个人信息保护不能只停留于“指南”

近日，工信部直属的中国软件测评中心透露，他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审，正报批国家标准。指南提出“最少够用原则”、个人信息用后应立即删除等，但这个指南并非国家强制性标准。

对于这个即将出台的新国标，笔者愿意将此看做是去年震惊国内的多家网站信息泄漏事件巨大社会影响下的产物，只可惜，人们千呼万唤始出来的不是保障个人信息安全的法律法规，而是一个缺乏严格执行力的行业规范。

然而，有一个统一可行的标准终归是比一片混沌的信息裸露现状好，“指南”本身还是有一些亮点的。早在去年2月份，工信部网站曾公布过《信息安全技术个人信息保护指南(草案)》向全社会征求意见。这个“草案”跟现在的“指南”有一脉相承之处。旧“草案”是由中国软件评测中心以及多家IT公司参与制订的适用范围仅为“利用信息系统进行个人信息处理”，因此，旧“草案”被视为只是规范软件商和网站处理用户信息的标准。而新“指南”在名称中增加了“公共及商用服务信息系统”也就是此次将公众最关心的医疗、金融、电信、民航等掌握公民个人信息且时常发生泄露信息案件的产业也置于未来新国标规范之下。可以说，新“指南”的视野更加开阔，也为个人信息保护领域建立了新格局。

然而，这样的指导性行业规范如今也只是看起来很美好。在日常生活中，我们都尝过被泄露信息之苦，卖保险的、办证的、贷款的、买卖房子的各种中介等等的推销诈骗电话短信满天飞，这种公民信息裸露的常态化让人觉得哪天收不到这样的消息才不正常。而如此现状与各种商业机构滥用信息采集权是脱不了干系的。新出炉的《指南》明确了个人信息“使用后立即删除”以及“最少使用”等原则，即信息获取满足使用目的就行，不需在登记信息时过多涉及家庭住址联系电话等私人信息。虽然它列出了“公开告知，个人同意，质量保证，安全保障，诚信履行和责任明确”等八项原则，但它从根本上来上说仍只是一个仅具参考价值的非强制性的技术规范，在实际操作中，如此建议性的规范只具有参考借鉴价值而无严格约束能力，换句话说，就是全凭商户自觉，就算电信、银行、网站等企业承诺采纳这套国标也无法评估企业是否做到了“最小使用”，“用后即删”。在当下倒卖公民个人信息已形成一条黑色产业链的情况下，让企业在良心和利益面前自己做选择，还没有第三方的监管，这无异于与虎谋皮。

也难怪新“指南”一出，民间嘘声一片。行业新规虽好，但缺乏约束力，难以产生保护效力，怎能不让焦虑的百姓失望？要知道，民众期待的是一部设计合理、可操作性强、保护措施到位的“公民个人信息保护法”，谁都不希望等到信息泄露再出现时，大家都投诉无据，我们也希望通过建立信息泄露源倒查机制、企业保护客户信息评级机制等制度，不仅仅依靠行业自律，而是要增强行政机关监管措施，多部门协调联动、分工配合，以形成全社会参与遏制个人信息买卖和泄露的合力，使公民个人信息安全得到更全面的保护。

新闻推荐

最佳飞行员替补81岁丈夫驾驶飞机突发心脏病80岁老伴安全迫降

替补八旬老妇海伦的丈夫约翰·柯林斯81岁。本月1日，他驾驶一架“塞斯纳”414A型8座双螺旋桨飞机从佛罗里达州的马尔科岛起飞，打算和妻子飞回位于...