个人信息保护指南规范效力仍待观察

时间：2012-04-13 15:08:00

关键字：信息安全技术信息系统互联网

手机看文章

扫描二维码
随时随地手机看文章

[导读]面对频繁发生的个人信息泄露事件，工信部相关部门负责人近日表示，中国第一个“个人信息保护”专项国家标准已制定完成，并正按程序报批。但该个人信息保护国家标准并非强制性标准，审批通过后会对行业起到

面对频繁发生的个人信息泄露事件，工信部相关部门负责人近日表示，中国第一个&ldquo;个人信息保护&rdquo;专项国家标准已制定完成，并正按程序报批。但该个人信息保护国家标准并非强制性标准，审批通过后会对行业起到多大的规范效力，仍有待观察

据中新社报道，面对频繁发生的个人信息泄露事件，中国工业和信息化部相关部门负责人表示，中国第一个“个人信息保护”专项国家标准《信息安全技术、公共及商用服务信息系统个人信息保护指南》已制定完成。这份标准日前正式通过评审，正在报批国家标准。这个指南不仅明确了信息保护系统中一些原本模糊的概念，也为各方提供了一个行为规范。

个人隐私屡遭泄露，各界呼吁信息保护立法

我国个人信息保护现状不容乐观。今年的央视3&middot;15晚会，曝光了上海某营销公司以每条3毛到1.5元的价格，出售1.5亿条个人信息。公民个人隐私被恶意泄露和滥用的猖獗现象被集中曝光，个人信息保护问题再次成为社会各界关注的焦点。

事实上，个人信息的泄露并不是新问题。近年来，兜售房主信息、股民信息、商务人士信息、车主信息、患者信息等似乎已形成了新的产业。并且，随着信息网络技术在社会各个领域的广泛应用，信息安全泄露的问题更加凸显。

受工业和信息化部安全协调司委托的一项调查显示：60%的被调查对象遇到过个人信息被盗用等问题，66%以上的人认为应加大力度打击非法获取个人信息的行为，近75%的人希望通过进一步立法来加强个人信息保护。

个人信息被泄露后，很多人并不知道在何处泄露。工业和信息化部科学技术情报研究所2011年下半年开展的调查显示，30%的人认为可能是通过网站泄露，30%的人认为可能是通讯公司，30%的人不清楚到底是在哪个地方泄露的。个人信息被滥用后，因取证困难，只有不足10%的被调查对象采取了相应维权措施。

据悉，信息泄露的犯罪主体多是国家机关或者金融、交通、教育、医疗等单位的工作人员，以及互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位。

随着网络发展，个人信息集中度越来越高，利用个人信息从事非法获利的黑色链条也逐渐形成。只有加强个人信息立法，才能从根本上割断个人信息牟利化的利益链条，解决个人信息保护的问题。个人信息保护成为法制建设关注的重要内容。

个人信息保护指南规范效力仍待观察

中国软件评测中心主任助理朱璇说，此次个人信息安全国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》属于技术指导文件。所谓技术指导文件，即只有指导性，没有强制性；只有象征意义，没有实际意义、操作价值。那么，不是强制性标准甚至非推荐性标准，标准通过会对行业起到多大的规范效力？仍待观察。

标准的通过能对行业起到多大的规范效力，着实令人担忧。据统计，我国目前有近40部法律、30余部法规，以及近200部规章涉及个人信息保护，然而法律界人士认为，这些针对个人信息的法律法规内容较为分散、法律法规层级偏低，刑法也尚未明确该罪的具体界定标准，约束力明显不足。

“现行的法律法规在保护公民个人信息方面，确实还存在很大的不足。”西南政法大学法学院副教授黄开诚坦言，目前，政策法规涉及公民个人信息保护方面，只有《中华人民共和国刑法》第七次修正案中有所提及。

工业和信息化部信息安全协调司副司长欧阳武表示，个人信息安全国家标准是非强制性的，是政府组织及推动个人信息保护工作的一部分。这个标准正式出台后，还将有一系列的配套标准，包括技术保障、管理规范、认证和审计细则等。

同时，据工业和信息化部信息安全协调司副司长欧阳武介绍，该《指南》标准定义了个人信息保护的相关概念，明确在个人信息处理的收集、加工、转移、删除4个环节中，信息主体、管理者、获得者和独立测评机构的角色与职责，为行业开展个人信息保护工作提供了行为准则。

可见，在个人信息安全保护缺少专门法律规范的情况下，这一国家标准至少带来了一些希望，虽然这次指南属于国标中的技术指导性文件，法律层级并不高，但最大价值在于扩大明确了信息保护的对象和范围，其中规定的“用后立即删除”、“最少使用原则”等如果能够被业内接受，将大大强化对个人信息的保护。

保护个人信息明确标准是监管关键

早在2009年，刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名，首次将公民个人信息纳入刑法保护范畴，规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。但是，这一犯罪主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。诸多法律界人士认为，刑法未明确该罪的具体界定标准，这一条款还有进一步改进和完善的空间。另外，专家认为法律中对信息泄露者惩罚机制不够。

“无法可依成为当下最严峻的问题。”黄开诚建议，&ldquo;我们应效仿美国的《隐私权法》，出台《公民个人信息保护法》，在民事、行政、刑事三方面为公民个人信息提供统一、系统的保护。&rdquo;

的确，个人信息频被泄露、被转卖，个人隐私、财产甚至生命安全受到严重威胁，亟待有关方面多出实招、多出重拳。首先还是要出台个人信息安全法。无论是什么原因，个人信息保护法立法需要提速。法律不是万能的，但却是必须的，是个人信息保护的基础。二是收集个人信息的机构、单位、公司在业务开展过程中要切实做好个人信息保护工作。三是社会公众要关注个人信息不被盗卖或滥用，社会各界和媒体要加强监督。

在现代社会生活中，需要人们提供个人信息的地方很多。比如网上注册、办理银行卡、、商业会员卡等。由于这些不同行业和部门管理水平参差不齐，就给个人信息安全造成了较大隐患。事实上，个人信息也就是从一些管理存在漏洞的行业和部门泄漏的。因此，切实加强对掌握私人信息的行业和部门的管理，建立起严格的监管机制，是保护个人信息的关键。