给你的个人信息穿上“马甲”

 刚生了宝宝，推销奶粉的电话就“如约而至”；报名参加了职称考试，各种辅导课程推荐甚至考题解密很快出现在短信中；办理一张银行卡，股票、基金、保险各种各样的专业人士自告奋勇要帮你理财……

    有报道称，800元能买数百楼盘业主信息，0.3元可收购一个新生宝宝信息，不法之徒已将个人信息商品化，以低廉的价格打包出售。

    一项受工信部信息安全协调司委托的调查显示，60%受访者遇到个人信息被盗用的问题，60%左右收到过垃圾短信，60%的受调查对象对当前个人信息保护的现状表示不满。

    个人信息泄露的事件层出不穷，一部非强制性的技术标准是否能够保住个人信息，避免我们成为信息社会的“透明人”？或许其保护作用只相当于一件“马甲”？

    新闻回放

    《个人信息保护指南》有望今年上半年出台

    据新华社消息，工业和信息化部信息安全协调司副司长欧阳武日前透露，《信息安全技术公共及商用服务信息系统个人信息保护指南》（以下简称《指南》）目前正在国家标准委进行最后的技术审批，预计今年上半年正式出台。

    据统计，我国目前涉及到个人信息保护的法律法规已有很多，其中全国人大及其常委会发布的有近40部，国务院发布的法规30部左右，还有工业和信息化部（含原信息产业部）、银监会、保监会等部门发布了近200部的个人信息保护的规章。但如何保护，却没有具体、详细的规定和技术措施，导致这些提法形同虚设。

    据介绍，《指南》不仅明确了信息保护系统中一些原本模糊的概念，也为各方提供了一个行为规范。欧阳武透露，下一步政府部门还将培养、扶持独立的第三方专业机构，对企业保护个人信息的工作进行全方位审查，保证系列标准的落实。

    聚焦《指南》

    提出“最少信息收集”原则

    《指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节，其中还提出了个人信息保护的原则。

    指南起草人、中国软件测评中心副主任高炽扬介绍说，《指南》一项关键原则就是即“最少信息收集”或“最少够用原则”，即获取一个人的信息量时，只要能满足使用目的就行。例如在论坛注册，如果只看帖、发帖，就不需要留下家庭地址和手机网络公司对用户信息的收集和保管，降低了用户信息泄露的风险。

    “安全保障”则是要个人信息管理者一旦收集了个人信息，就必须建立一套个人信息保护制度，明确责任人和内部管理流程，以及应对个人信息泄露的风险。高炽扬估计，个人信息泄露中70%—80%属内部作案，这是“安全保障”原则没能落实好所致。

    依照《指南》，在收集个人信息阶段告知的“使用目的”达到后应立即删除个人信息。不过，目前普遍的现状是，一旦信息被采集，即被采集者保存至数据库，极少有“用后即删”的。

    非强制性，规范效力仍待观察

    中国软件评测中心主任助理朱璇说，此次个人信息安全国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》属于技术指导文件。所谓技术指导文件，即只有指导性，没有强制性；只有象征意义，没有实际意义、操作价值。那么，不是强制性标准甚至非推荐性标准，标准通过会对行业起到多大的规范效力仍待观察。

    欧阳武也表示，即将出台的标准是非强制性的，是政府组织推动个人信息保护工作的一部分。这个标准正式出台后，还将有一系列的配套标准，包括技术保障、管理规范、认证和审计细则等。“现在每个企业都说自己对个人信息的保护工作做得很好，但如果去查，肯定都有问题，都保护得不好。这些系列标准出台后，就可以形成一个闭环，明确责任，推动企业遵照执行。”

    立法讨论

    业内观点：保护个人信息还得靠立法

    此次出台的《指南》，在不少业内人士看来，对保护个人信息安全作用有限，最重要的还是得立法。

    有评论认为，个人信息保护指南并非国家强制性标准，只具有引导作用，在强制性、权威性与震慑力上，都不可能替代法律法规的作用。在巨额利润诱惑之下，若没有严厉的处罚措施，让那些机构、企业谈自律，要求他们按行为准则来行事，这无异于痴人说梦。仅凭一部非强制性的指南实现个人信息安全也是不现实的。

    上海律师杜跃平认为，目前信息保护问题虽已到“深水区”，但还在“摸石头过河”，工信部出一个指南，毕竟“聊胜于无”，在实践中积累些经验。但关键还是要出专门法，可先出个专门条例，以后再上升到法律。

    “主要还是得立法。”中国信息经济学会副理事长杨培芳认为，“现在有些部门规章，但层级不够，要有专门法律，进行细化归纳。原有的东西可以延用，但还要增加一些新条款，能覆盖种种新现象。”

    《指南》起到铺垫作用，但立法尚需时日

    《指南》牵头制定单位中国软件评测中心副主任高炽扬日前表示，《指南》的出台更具有行业指导意义，而立法还尚需时日。

    高炽扬表示，法律和标准的定义是完全不同的，法律是管人的，而标准更多的关心的是信息系统的；法律的约束范围很广，特别是事后的惩戒部分，而标准关注的则是事前怎么处理，该怎么把它做好。“所以说，标准制定未必一定就能够导致这个法律很快的产生，谈指日可待这件事情还不那么容易。”

    但高炽扬认为，在标准的制定过程中间，一系列的前期调研、国内外法律研究，以及与社会各界的交流，都为立法在技术和社会关注以及舆论层面做了很好的铺垫，对立法工作会产生很好的前期推进。

    预防为主成个人信息保护立法新趋势

    据工信部信息安全协调司副司长欧阳武介绍，目前在保护个人信息方面国际立法界有个新的趋势，即“以预防为主”。

    他表示：“在互联网信息时代，个人信息安全的侵犯者和被害人是不对等的，首先是有时难以找到具体的侵权方，其次侵害后果已经形成，事后即使追究也无法消除影响。所以民法‘民不举官不究’的原则恐怕就不能适应信息时代的需求，而必须运用刑事法的原则，立足于事前防范，明确个人信息管理者的一整套法定责任。”

    参与个人信息保护立法起草的专家周汉华表示，即使出台了个人信息保护法，要保证其能得到有效实施，还得注意三个问题：一是平衡原则，既要保障信息充分流通、推动信息社会进步，也要避免滥用个人信息；二是他律与自律的结合，监管职责不能全部都交由政府部门，应该设置有效机制，推动企业的自我管理；三是体现执法的威慑，真正将法律的规定严格在现实中遵照执行。

    延伸阅读

    50多个国家和地区保护个人信息有法可依

    目前，世界上已有50多个国家和地区制定了保护个人信息的相关法律。

    美国2005年通过一批保护个人信息的法律，如《隐私权法》、《信息保护和安全法》、《防止身份盗用法》、《网上隐私保护法》、《消费者隐私保护法》、《反网络欺诈法》和《社会安全号码保护法》。 2011年4月，美国一些重量级的参议员又提出关于在线综合信息保护立法的议案。

    欧盟则在1995年通过《欧盟个人数据保护指令》，协调各国国内法以确保个人信息在欧盟范围内自由流动。各欧盟国家也分别制定国内的相关法律，如德国于1976年颁布《联邦资料保护法》，法国于1978年通过《法国自由、档案、信息法》，1984年英国制订《数据保护法》。

    在亚洲国家内，日本个人信息安全保护意识较强，2005年4月，《个人信息保护法》正式实施，此外，日本企业对于客户信息管理方面非常严格，从公司发出的邮件，公司管理人员和监管部门都严格审阅。

    《科技日报》（2012-04-17 六版）