近日,工信部直属的中国软件测评中心透露,他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。但该中心常务副主任黄子河透露说,这个指南并非国家强制性标准。(相关报道见今日本报19版)
制定个人信息保护指南,旨在为行业开展自律工作提供参考依据,为企业处理个人信息制定行为准则。指南涵盖的最少使用、安全保障、诚信履行、责任明确等八项原则,条条鞭辟入里,击中要害,为个人信息保护勾勒出一幅美妙的蓝图。只是这看起来很美的梦想,能否真正照进现实,恐怕还要打上一个问号。
个人信息被比喻成“很多钱装在纸糊的银行里”,很容易被别有用心者攻破,显然,一个不是强制性标准,甚至也不是推荐性标准的指南,不足以为这座信息银行筑起铜墙铁壁。把希望寄托在行业道德自律上,更像是防君子不防小人,如果企业不按照标准执行,我们没有任何钳制办法,只能无可奈何。
必须看到,个人信息泄露频发,并非企业不知道如何保护,而是不愿意去做,甚至是有意为之。首先,缺乏对个人信息的尊重和敬畏,一些商业公司疏于管理,令内部员工未经授权就能获取客户信息;其次,无利不起早,在经济利益的诱惑下,个别企业主动将所掌握的个人信息拿来交易;此外,更为重要的是,惩罚机制缺失,使得信息泄露呈现出“高收益、零风险”的不对称。CSDN一案中,600多万条用户名和密码泄露,相关网站受到的仅仅是行政警告,几乎没有威慑力。由此观之,徒具观赏价值的国标,并未真正触及个人信息保护的症结,只能让企业看穿制度的孱弱,更加变本加厉,有恃无恐。
一句话,保护个人信息,立标不如立法。正如工信部副部长杨学山所言,“个人信息保护实行面广,一定要从法的角度规范,才能使这项工作在法律上有依据。”目前,世界上已有50多个国家和地区制定了保护个人信息的相关法律,以加拿大1993年出台的《关于私人机构中个人信息保护法案》为例,法案明确规定侵害他人的个人信息,将会承担相应的行政、民事和刑事责任。
反观我国,尽管目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,但内容较为分散,法律法规层次偏低,执法主体缺位,执法力度不足。当务之急是出台一部专门法律,明确组织和个人在处理信息过程中的责任,建立个人信息的监管体制,厘清滥用他人个人信息的行政处罚制度和责任。立标诚可贵,立法价更高,如能推动初稿提交6年的《个人信息保护法》,早日真正进入正式立法程序,其意义远甚于制定所谓的国家标准。
