大数据时代软件产品个人信息安全认证机制构建

摘要：软件产业的开发、生产、销售各个环节都对于用户个人信息保护与安全至关重要。在借鉴美国的隐私认证制度、日本的个人信息评价制度以及我国大连软件及信息服务业个人信息评价制度的基础上，提出从宏观深入到微观、从表面深入到实质、从产业深入到产品，将个人信息认证制度推广到软件产业链的末梢，全面加强软件行业的自律，切实保障广大用户的权益，增强用户对于软件产品的信心，并对该制度的构建着重从软件产品个人信息保护认证标准和软件产品个人信息保护认证流程两个方面进行了探讨。

关键词：大数据；软件产品；个人信息安全；认证机制

中图分类号：D923；G203文献标识码：A文章编号：16738268（2016）02003907

一、计算机软件产品成为世界的核心和灵魂（一）计算机软件产业成为战略性新兴产业工信部软件服务业司司长陈伟表示：“今天，很多人提出了SDN（软件定义网络）、SDD（软件定义数据中心）、SDS（软件定义系统），而我认为，软件可以定义世界（SDW），软件应该成为世界的核心和灵魂，成为信息消费的引擎和重要内容。”[1]软件产业在我国国民经济中具有重要的战略地位，随着大数据、物联网、移动互联网的兴起与广泛运用，软件产品已经覆盖人民生产、生活的各个领域，逐渐成为重要的民生物品。软件产业个人信息保护不仅关系到本产业的发展，关系到国民高品质智能化生活，而且对于整个信息产业的长远发展，对于信息消费市场的培育与推动，对于“宽带中国”战略的实施，对于国家信息安全的保障具有重要的战略意义。

软件产业已从一个朝阳产业逐步成为经济社会发展的战略性、支柱性和先导性产业，软件产品则是整个产业中的灵魂。作为支撑国民经济和社会发展的基础产业，软件产业是战略性新兴产业和现代信息技术产业体系的重要组织部分，在现代信息技术产业体系中的地位继续提高，并成为整个信息产业生态体系发展与健全的重要支撑。随着大数据时代的到来，数据的挖掘、分析、利用为软件产业的涅带来新的机遇，软件产品成为用户数据、用户个人信息进入网络空间利用与处理的第一道关口。

在信息社会，社会对信息的依赖性越来越强。个人信息成为信息社会的一种重要社会资源[2]。大数据时代，用户个人信息业已成为互联网企业的核心竞争力，用户个人信息的共享利用对于软件产品发挥功效、为用户提供更好的服务意义重大。计算机软件产品的个人信息安全认证，关乎着整个产业的健康和可持续发展。针对隐私保护与个人信息保护的评价、认证，国内外已通过立法、行业自律等多种形式进行实践，积累了大量可资借鉴的经验[3]。美国著名的隐私保护认证机构主要有TRUSTe和BBBOnLine，前者为美国第一家民间认证机构，后者为促进良好商业顾问局委员会发起的认证计划，这两个认证机构的认证对象为网站。日本个人信息保护评价制度Privacy Mark（简称Pmark）和我国大连的个人信息保护评价制度（PIPA）极具代表性，但是两者评价的对象是企事业单位，而不针对软件产品，本研究将针对日本与大连的个人信息保护评价进行比较分析，然后结合软件产品在数据挖掘分析方面的特点，构建专门针对软件产品的个人信息安全认证制度。

（二）计算机软件产品的界定

政治经济学将产品称为商品，其共同观点是，产品是人类劳动创造的物质成果。政治经济学的产品具有两大属性。一是使用价值，是指产品能满足人们需要的属性、质量和特征[4]。对于以计算机软件为代表的新兴事物是否属于产品范畴，学界从来就没有停止过争议。传统理论上，成为产品的首要条件是该产品必须是“物”，而自罗马法以来，民法理论奉行“物必有体”的原则，物权法上的“物”仅限于有体物，而不包括无体物。以知识财产如作品、专利、商标等为代表的无体物，以信息为内容，虽然依附于一定的有形物质载体，但本质上仍是一种无形[5]的智力成果，不应纳入所有权客体的范围[6]。因此，基于软件作品生产的软件产品也就不属于传统意义上“产品”的范畴。

技术业已变革，整个社会都在地动山摇发生着巨大的变化，如果法律制度仍然固守两千年前的传统理论，秉持“祖宗之法不可变”的陈词滥调，那么法律制度必定束缚生产力的发展，并必然地被技术的迅猛发展而冲破。从物和产品的发展趋势来看，随着社会经济高速发展，物与产品的观念均有扩展之势[7]。世界各国出于对消费者权益的保护，不再对已经以“产品”的形式流通的计算机软件“视而不见”，纷纷以“计算机软件产品”称呼之，并开展相关立法规范。

我国立法实践也早已将计算机软件定义为“产品”。工业和信息化部2009年《软件产品管理办法》第3条将“软件产品”定义为：指向用户提供的计算机软件、信息系统或者设备中嵌入的软件或者在提供计算机信息系统集成、应用服务等技术服务时提供的计算机软件。该定义描述了计算机软件产品的技术特征，却并未揭示出计算机软件产品的本质。本研究认为，计算机软件产品是指利用软件作品与物质实体材料或电子信息材料相结合制造出来可以满足人们生产生活需要的产品。二、大数据时代计算机软件产品冲击用户个人信息安全计算机软件产品是整个网络空间的神经末梢，是网民与互联网直接链接的重要桥梁，是网络空间中互联网企业、政府机关、商业机构等单位和个人收集用户个人信息的执行工具和第一道关口。事实上，网络空间中一切个人信息的收集利用均是基于计算机软件而得以实现，与此同时，网民通过各种系统软件与应用软件实现信息的交互与传递，因此，计算机软件产品对于网络空间个人信息保护具有至关重要的地位。

当个人信息逐步成为信息社会重要的经济资源，计算机软件则逐步沦为互联网企业或其他商家攫取用户个人信息资源的帮凶，甚至越来越多的软件开发者专门开发窃取用户个人信息的恶意软件，通过贩卖恶意盗取的用户个人信息牟取巨大的商业利益。要治理网络空间个人信息滥用与侵权的乱象，则必须以计算机软件为入口和抓手，从源头上截断个人信息的无序收集，才能牵住网络个人信息保护的牛鼻子，让网络空间个人信息的收集利用不再以践踏个人信息主体的人格利益为基本手段，以法律制度制服科技这头洪水猛兽，促进科技与基本人权保障之间的和谐发展。

  由于计算机软件对于个人信息收集利用改变了人类千百年来对于信息处理的方式，它在赋予人类强大数据处理能力的同时，也让个人信息安全面临前所未有的威胁。面对计算机时代个人信息保护的问题，世界各个国家和地区纷纷采取立法措施予以应对[8]。典型的如我国台湾地区最早的个人信息保护相关规定直接命名为《电脑处理个人资料保护法》，其规范对象仅针对“电脑处理”的个人信息，而不包括人工处理的个人信息，可见其立法的最初目的乃在于应对计算机与互联网的发展，专门针对计算机软件收集、处理和利用个人信息进行规范。由于我国目前个人信息保护法律制度的滞后，互联网企业利用软件收集用户个人信息无序化现象严重，时至今日，最为高新技术的信息产业仍旧奉行最原始的“丛林法则”，自腾讯与奇虎公司“3Q大战”爆发以来，互联网企业之间更是打着侵犯隐私与个人信息的旗号互相攻击陷入“军阀混战”。2013年6月，美国通过九大互联网企业服务器监控全球各国政府与全世界网民的“棱镜门”事件曝光，显示出个人信息保护已不只事关个人权益，而是涉及到国家的主权与安全。然而，作为网络空间个人信息收集的工具与第一道关口，计算机软件产品安全认证机制在目前所有的个人信息保护研究中尚未受到应有的重视。

三、国内外典型个人信息保护评价制度之比较与借鉴

（一）美国TRUSTe隐私认证制度评析

TRUSTe成立于1997年6月10日，是由商务网络财团（CommerceNet Consortium）和电子前线基金会（Electronic Frontier Foundation，EFF）所组建的美国首个非盈利性的民间网络隐私认证机构。TURSTe隐私计划包括：一般网页的隐私计划、欧盟安全港隐私认证计划、儿童的隐私认证计划、电子邮件隐私认证计划等。TRUSTe的隐私认证计划以联邦、各州和相关行业个人隐私保护的法规为标准，包括加利福尼亚州网络隐私保护法（California Online Privacy Protection Act）、联邦反垃圾邮件法（Federal CANSPAM Act）、联邦贸易委员会批准的公平资讯惯例（Fair Information Practices）以及美国商业部的安全港隐私保护原则（Safe Harbor Privacy Principles）。

TRUSTe认证工作主要涵盖以下几个方面。

1.初始认证

当网站为获得TRUSTe 的认证而提交了正式的申请表后，TRUSTe 将检查申请网站，看它是否符合程序原则（Program Principles）。其目的是为了确保该网站的隐私政策，明确指出哪类个人信息被收集、谁在收集、为何目的收集、如何使用以及与谁共享等。如果网站符合TRUSTe关于隐私保护的认证要求，TRUSTe就会授予该网站隐私图章，允许在其网站主页上张贴TRUSTe的隐私图章标志。

2.后续监督

当申请网站成为会员后，TRUSTe就会定期检查网站，确保网站的行为符合它公布的隐私声明，并且检查网站隐私声明的变动。初始认证和后续监督都是在网站事先不知道的情况下，通过提交特定标志符到网站来跟踪该站点个人信息的使用，并监控结果，以此来确定其信息收集使用行为是否与该站点的隐私声明相符合。

3.争端解决

当消费者认为网站侵犯其隐私权，而就隐私侵权问题不能得到会员网站恰当处理时，TRUSTe为其提供一种在线的争端解决服务，即所谓的看门狗争端解决方法（Watchdog Dispute Resolution Process）。一旦TRUSTe针对涉嫌侵犯隐私而被消费者投诉的网站作出最终决定，网站必须执行，否则其所获得的隐私图章将被取消，并被列入“不守规矩的网站”的名单中，TRUSTe甚至通过适当的途径向相关的法律权威部门提起诉讼，如美国贸易委员会或者消费保护机构等。这样的争端解决程序逐渐为TRUSTe 树立了一定的威信。

（二）日本个人信息保护评价制度评析

日本早在1998年由非官方第三方机构日本情报处理开发协会（Japan Information Processing Development Corporation，JIPDEC）建立了Pmark认证制度，2005年日本《个人信息保护法》的实施，极大地推进了企业参与个人信息保护认证。

1998年制定的法律第95号《行政机关保有电子计算机处理个人情报保护法律》成为日本第一部保护个人信息的法律，但该法律仅针对公务机关，不针对非公务机关的个人信息收集、处理和利用进行规范。随着互联网的发展和信息技术的不断成熟，个人信息透过电脑得以大量处理，并容易散布于互联网上，社会大众开始期盼民间企业能够保护个人信息。由于要求有效率的保护个人信息的措施能尽快地实施，呼声四起，于是根据当时通产省（现称为经产省Ministry of Economy，Trade and Industry）的指示，日本情报处理开发协会建立了一套自律验证个人资料保护的管理制度，即Privacy Mark（Pmark）制度。该制度通过认证促使民间企业能采取适当的措施来保护个人信息。通过该制度认证的民间企业被授予隐私标识，企业可以在其商业活动期间有权展示隐私标识。该制度的隐私认证依据为日本工业标准 JIS Q 15001∶2006《个人资料保护管理系统――要求》。该标准在对跨境个人信息的保护方面，在3.4.3.4委托监督中规定：“企业在委托别人使用全部或部分个人信息时，必须选定符合充分保护个人信息水平的企业，为此，委托者必须确立被委托者的选定标准。” 这就对日本企业在跨境外包业务时个人信息的利用提出了要求，外国企业如果达不到所谓“充分保护个人信息水平”，就无法承接日本企业的外包业务，这对我国以承接日本软件外包业务为支柱的大连造成了巨大的冲击。特别是2005年4月1日，日本《个人信息保护法》颁布后，我国大连对日外包软件信息服务业受到很大的影响，这在一定程度上催生了我国大连的软件及信息服务业个人信息保护评价制度。

  （三）大连软件及信息服务业个人信息保护评价制度

我国大连市是全国第一个制定个人信息保护标准并建立认证制度PIPA的城市。大连是我国承接日本软件外包业务最集中的城市，软件和服务外包产业是大连重点扶持的支持产业，日本2005年实施《个人信息保护法》将个人信息保护作为选择软件外包对象的重要条件，为了帮助企业达到对日软件外包业务的门槛，大连软件行业协会制定了《大连软件及信息服务业个人信息保护规范》（以下简称《规范》）并于2006年4月推行实施，根据该《规范》的要求，大连于2006年5月1日正式建立了主要针对软件及信息服务业的个人信息保护认证体系PIPA（Personal Information Protection Assessment）。2006年，大连软件行业协会与日本情报处理开发协会（JIPDEC）签定了PIPA与Pmark相互承认的合作协议，2008年6月，双方达成互认。这是国际上首个两国互相全面承认的个人信息保护认证体系的合作项目。它标志着中日两国在信息交流方面的壁垒与障碍已消除，为促进我国信息服务外包产业的发展，以及国内软件企业承接日本外包业务增加了新的保障[9]。

软件及信息服务业个人信息保护评价体系（PIPA）评价的对象主要是企业，其初衷在于帮助以软件和信息服务业为主的企业建立个人信息保护制度，使得企业有能力在2005年日本《个人信息保护法》实施后继续承接日本软件外包业务。通过PIPA评价的企业可以得到个人信息保护合格证书和PIPA标志使用权。具体而言，大连个人信息保护评价制度包括以下几个方面。

1.评价机构

软件及信息服务业个人信息保护评价机构为大连软件行业协会，下设个人信息保护工作委员会、PIPA办公室和评价专家组。

PIPA办公室主要负责PIPA文件管理和事务性工作，负责PIPA受理及投诉，负责评价员的聘任及管理工作，PIPA办公室下设培训教育部门，负责个人信息保护企业培训和评价员培训、考核。

个人信息保护工作委员会主要负责标准和PIPA体系相关文件的制定、修改和完善，负责PIPA申批、投诉及事故处理结果的审批，负责对PIPA的监督及聘任评价员的审批等工作。工作委员会下设：标准组、仲裁组、宣传推广组、国际交流组和教育培训组。标准组主要负责标准的研究和制定；仲裁组负责投诉及事故的调查及处理；宣传推广组负责PIPA宣传推广；国际交流组负责国际间的交流与合作；教育培训组负责个人信息保护人才的教育、培养研究及试点，开展个人信息保护人才培养工作。

2.评价依据

大连软件行业协会在全国率先开始制定软件及信息服务业的个人信息保护标准，即《规范》，经过多年的实践，在大连市的地方标准的基础上，形成了辽宁省的个人信息保护“省标”《辽宁省软件与信息服务业个人信息保护规范》DB21/T 15222007、《个人信息保护规范》DB21/T 16282008和辽宁省地方标准《信息安全个人信息保护规范》DB21/T 1628.12012。目前大连软件行业协会已经发布通知自2014年6月1日起正式实施《信息安全个人信息保护规范》，即2012版标准替代目前实施的2008版标准[10]。

3.评价流程

个人信息保护评价流程包括申请、受理、文件审查（前期审查）、现场审核、公示15天、审批、颁发合格证和标志等几个环节[11]。个人信息保护评价申请的前提是申请评价的企业按照《规范》的要求建立企业个人信息保护制度，经过三个月运行的检验，在这期间没有发生任何涉及个人信息保护的重大事故，方得以开展评价申请。

4.评价监督管理

通过个人信息保护认证的企业并非一劳永逸，大连软件行业协会对于通过认证的企业具有监督管理的权利。大连软件行业协会对于通过认证的企业可以采取抽查的方式进行监督管理，对于抽查不合格的企业，将限期整改，整改后仍然无法达到相关标准的企业，则取消其使用个人信息保护合格证书和PIPA标志的资格。同时，大连软件行业协会在接到重要举报和投诉时，可对认证企业进行复审，复审不合格的企业同样取消其使用个人信息保护合格证书和PIPA标志的资格。

5.证书与标志

通过个人信息保护认证的企业，由大连软件行业协会颁发个人信息保护合格证书、PIPA标志，证书和标志在两年内有效。

值得一提的是，由于大连行业协会与日本情报处理开发协会签署了互认合作协议，即通过大连PIPA认证的企业受到日本情报处理开发协会的个人信息认证体系Pmark认可，无需再另行申请日本Pmark认证，因此，通过大连行业协会个人信息保护认证的企业还可以获得PIPAmark互认标志。

（四）中美日个人信息保护评价制度比较及启示中美日的个人信息保护评价制度各具特色，三者的共同点在于均是出于对用户个人信息和隐私的保护而构建的一整套认证制度，均是以非官方组织为主导开展的评价认证，三者的差别在于：

从评价对象来看，以TRUSTe为代表的美国个人信息评价制度主要针对网络进行评价，而不限行业；日本的Pmark个人信息评价体系则是针对所有企业，而不仅仅是企业的网站；大连的PIPA个人信息评价体系针对的主要是软件及信息服务业的企业，有明显的行业特征。

从评价的地域范围来看，由于互联网的无国界性，以TRUSTe为代表的美国个人信息评价制度目前已经发展成为一个全球性的认证体系，并不局限于仅对美国的网站开展认证业务；日本的Pmark个人信息评价体系则是针对日本的企业开展认证服务，是日本国家级的认证体系，但不针对国外的企业开展认证；大连的PIPA评价体系最初仅仅局限于针对大连市的企业，而且是对软件和信息服务业的企业开展评价，现在逐步向全国范围内扩大。

通过对比中美日三国个人信息保护评价制度，可以得到如下启示：目前，我国尚未建立全国性的个人信息保护认证体系，已经严重影响到大数据时代我国信息产业的长远发展。随着信息化社会的发展和国家网络空间安全保障战略的构建，全国性个人信息保护制度的建立已经势在必行，与之相伴的是建立全国统一的个人信息保护认证体系。我国已于2012年12月28日出台《全国人大常委会关于加强网络信息保护的决定》，并于2013年2月1日起正式实施《信息安全技术 公共及商用服务信息系统个人信息保护指南》（GB/Z 288282012），该标准是我国第一个个人信息保护国家标准，中国软件评测中心也着手在此标准基础上建立全国性的个人信息保护管理体系认证，对企业级的个人信息保护能力进行总体评价。未来建立的中国个人信息保护认证机制还必须加强国际合作与互认，使通过认证的企业能够得到国际社会的认可，促进全球信息安全保障的实现。

  中美日现有隐私和个人信息评价制度带给我们更为重要的启示意义在于，个人信息评价必须从宏观深入到微观、从表面深入到实质、从产业深入到产品，将个人信息认证制度推广到软件产业链的末梢，全面加强软件行业的自律，切实保障广大用户的权益，增强用户对于软件产品的信心。四、我国软件产品个人信息安全认证制度构建的对策个人信息安全认证制度并非强制性的机制，而是非官方机构开展个人信息保护行业自律的重要形式，国内外的实践均取得了显著的成效。我国加强软件产品个人信息保护，可以借鉴现有国内外主要针对网站、软件开发企业的个人信息保护认证制度，构建更为精细的软件产品个人信息安全认证制度。

软件产品个人信息安全认证制度的建立，主要应当从软件产品个人信息安全认证管理机构、认证管理标准、建立认证管理流程制度和软件产品违规处罚与退出制度等几个方面着力进行。软件产品个人信息安全认证管理机构应当是全国性的民间非营利组织，可制定具有权威性的国家级软件产品认证管理标准。目前我国现有条件下，可在工信部指导下成立全国性的软件产品个人信息安全认证协会或借助现有工信部直属事业单位――中国软件测评中心开展软件产品个人信息安全认证工作。软件产品个人信息安全认证制度的建立，有利于广大软件开发者的健康成长，培育具有责任感和事业心的软件开发者，帮助用户辨别软件产品的安全性，符合整个产业的长远发展需要。下面就软件产品个人信息安全认证制度构建中的核心问题即认证标准和认证流程进行深入探讨。

（一）软件产品个人信息安全认证标准

软件产品个人信息安全认证标准是软件产品个人信息安全认证最基本的依据，放眼全球，目前尚无一个针对软件产品个人信息安全认证的标准，只有类似针对整个企业的个人信息保护管理系统的标准、针对软件和信息服务业整个行业的个人信息保护规范、针对网站的隐私认证标准，而缺乏针对最直接收集个人信息的计算机软件产品的个人信息安全认证标准。

日本JIS Q 15001∶2006《个人资料保护管理系统――要求》对我国个人信息保护评价标准影响较大。我国现有个人信息保护标准主要有《信息安全技术 公共及商用服务信息系统个人信息保护指南》（GB/Z 288282012）、《辽宁省软件与信息服务业个人信息保护规范》DB21/T 15222007、《个人信息保护规范》DB21/T 16282008和辽宁省地方标准《信息安全 个人信息保护规范》DB21/T 1628.12012。2013年2月1日起正式实施的《信息安全技术 公共及商用服务信息系统个人信息保护指南》（GB/Z 288282012）是我国第一个个人信息保护国家标准，该标准针对个人信息分类规定授权方式提出处理个人信息的八项基本原则，使我国个人信息保护进入“有标可依”的阶段，但是该标准是非强制性的，靠企业自律实施。其余三个辽宁省的地方标准，均由大连软件行业协会主导制定。2007年6月13日正式发布、2007年8月1日开始实施的《辽宁省软件及信息服务业个人信息保护规范》DB21/T 15222007为辽宁省地方行业标准，是我国首个全省性的个人信息保护行业标准。该标准是在借鉴世界经济合作发展组织（OECD）《关于保护隐私和个人数据跨国流通指导原则》的基础上，参考各国个人信息保护立法与行业自律标准，结合我国相关法规和标准制定的。《信息安全个人信息保护规范》DB21/T 1628.12012为辽宁省地方标准，于2012年2月7日发布、3月7日正式实施，该标准适用于自动或非自动处理全部或部分个人信息的机关、企业、事业、社会团体等组织。无论是国家级标准还是地方级标准，在很大程度上为企业个人信息保护体制的建立提供了参考依据，起到了指导作用，具有一定的进步意义。

总体而言，现有标准由于主要针对企事业单位，其内容是轮廓式、粗线条式的。软件产品的个人信息保护标准则需要在此基础上更为精细，促使软件产品将个人信息保护法律和个人信息保护标准赋予用户的各项权利予以落实，而对于用户个人信息收集、利用的类别、范围、方式予以严格控制。软件产品个人信息保护标准有必要在现有国家标准《信息安全技术 公共及商用服务信息系统个人信息保护指南》（GB/Z 288282012）的基础上进一步细化，结合软件产品运行的特点，使用户的个人信息安全及权利得以保障。

（二）软件产品个人信息安全认证流程

建立软件产品申请个人信息保护认证流程，对于符合个人信息保护法律收集、利用和处理的软件产品，经审查合格的，颁发软件产品个人信息保护合格证书与标志。该软件产品的开发者和利用者可以在其上注明个人信息保护合格标志，以告知用户，增加用户对其的信赖感。软件产品个人信息安全认证流程与软件企业的个人信息保护认证并不相同，前者注重的是软件产品是否合法收集利用用户个人信息、是否保障用户个人信息安全，而后者强调的是企业个人信息保护管理体系的建立以及对于个人信息保护的政策。

本研究结合国内外隐私认证和企业个人信息保护评价的流程，对软件产品个人信息安全认证流程初步设计如下。

1.申报

欲进行个人信息保护认证的软件产品开发者或生产者、经营者作为申请单位需填写《软件产品个人信息安全认证申请书》及相关附件材料呈交评价机构。

2.资料审查

由评价机构对申请单位提交的《软件产品个人信息安全认证申请书》及相关附件材料进行审查，审查合格者制作审查合格报告，并进入软件信息保护评估阶段，不合格者返回补正。

3.软件信息保护评估

资料审查合格的单位向评价机构提交软件产品样品一份，由评价机构利用技术手段针对软件的安全性进行测试，包括软件产品的信息安全、软件产品的运行机制、软件产品对于用户个人信息的收集利用情况等方面，并由专家组进行评估，最终形成评价报告。通过者进入审核阶段；未通过者，申报单位按照专家组的评价意见进行一次改进完善，改进完善后重新进行评估，如仍不能通过，则出具评估不合格报告，若未进行实质性修改完善，不得再申请进行个人信息安全评价。

  4.审核

依据专家组形成的评价报告，评价机构进行审核，而后签署最终审核意见。评价机构对通过审核者公示10个工作日，其间如没有实质性异议，则正式通过审核并予以公告，颁发“软件产品个人信息安全合格证书”及认证标志。

对于授予“软件产品个人信息安全合格证书”及认证标志的软件产品，评价机构有监督管理的权利，可以对软件产品运行中个人信息保护情况进行抽查。对抽查不合格的软件产品限期整改，整改后仍不符合个人信息安全标准的软件产品，将取消其对于“软件产品个人信息安全合格证书”和认证标志的使用资格。用户在使用过程中可以对软件产品个人信息保护进行监督，若发现软件产品存在违法收集、利用用户个人信息，甚至窃取用户个人信息的行为，则可以向评价机构进行举报，评价机构经查证若属实，则取消“软件产品个人信息安全合格证书”和认证标志，并予以通报。

通过软件产品个人信息安全认证机制的构建，有助于培育一批品质优良、注重用户权益、服务经济社会发展需要的软件产品，从而肃清我国软件产品市场鱼目混珠的乱象，引领软件产业的发展，为信息产业的长远发展奠定基础。

参考文献：

[1]姚传富.软件正在定义世界[EB/OL].（20130529）[20150128].http：//news.xinhuanet.com/info/201305/29/c_132416051.htm.

[2]齐爱民.拯救信息社会中的人格――个人信息保护法总论[M].北京：北京大学出版社，2009：20.

[3]刁胜先.个人信息网络侵权责任形式的分类与构成要件[J].重庆邮电大学学报（社会科学版），2014（2）：2835.

[4]刘东升，陈宇杰.政治经济学原理[M].北京：对外经济贸易大学出版社，1999：52.

[5]梁慧星，陈华彬.物权法[M].北京：法律出版社，1997：67.

[6]吴汉东，胡开忠.无形财产权制度研究[M].北京：法律出版社，2001：33.

[7]赵相林，曹俊.国际产品责任法[M].北京：中国政法大学出版社，2000：46.

[8]张娟，李仪.电子商务环境下消费者个人信息保护危机与应对――以新制度经济学为视角[J].重庆邮电大学学报（社会科学版），2015（3）：3943.

[9]PIPA介绍[EB/OL].（20131028）[20150128].http：//www.pipa.gov.cn/NewsDetail.asp？ID=273.

[10]关于2014年正式实施《信息安全 个人信息保护规范》（DB21/T 1628.12012）的通知[EB/OL].（20140112）[20150111].http：//www.pipa.gov.cn/NewsDetail.asp？ID=920.

[11]个人信息保护评价（PIPA）流程图[EB/OL].（20131112）[20150212].http：//www.pipa.gov.cn/Flow.asp.