近日,工信部直屬的中國軟件測評中心透露,他們聯合30多家單位起草的《信息安全技術、公共及商用服務信息系統個人信息保護指南》(下稱“指南”)已正式通過評審,正報批國家標準。“指南”對個人信息的處理包括收集、加工、轉移和刪除四個環節,其中特別強調了對個人信息保護,個人信息用后應立即刪除。(《新京報》4月5日) 當下,個人信息泄露屢屢發生,我們常常遭到保險、房產、醫療推銷廣告的“定點騷擾”,一些網站密碼也被成規模破解……我們一直期待政府有強有力的作為。不過,目前的這個“指南”并非國家立法,甚至并非強制性標準。 但“指南”本身還是有相當多的亮點。去年2月,工信部網站曾公布過《信息安全技術個人信息保護指南》(草案)(下稱“草案”),向全社會征求意見。這個“草案”跟現在的“指南”頗有淵源。“草案”是由中國軟件評測中心,以及新浪、騰訊、百度、金山、360等IT公司參與制訂的,適用范圍僅是“利用信息系統進行個人信息處理”,應該被看作是規范軟件商、網站處理用戶信息的標準。而目前的“指南”在名稱中增加了“公共及商用服務信息系統”,也就是說在IT產業之后,把公眾最關心的醫療、金融、電信、民航等掌握公民個人信息,且時常發生泄露信息案件的產業,也置于未來新國標規范之下。這使得“指南”有了個人保護“小立法”的格局。 這部未來國標的指導理念,還是相當先進的,按工信部官員解釋,未來新國標的保護原則包括目的明確、最少使用、公開告知、個人同意、質量保證、安全保障、誠信履行和責任明確等八項。比如,一些網站讓用戶填寫家庭住址、手機號等很多信息,這就不符合“最少使用”原則。“指南”還規定,在收集個人信息階段告知的“使用目的”達到后,應立即刪除個人信息。 結合新聞報道,以及去年公布的“草案”,個人信息保護的未來國標明顯借鑒歐盟等先進地區的立法,比如1995年歐盟《個人數據保護指令》中的“個人數據的收集和處理必須充分和相關,不能過度,不能超越目的范圍”、“經個人數據主體明確同意”等等,都能在未來新國標找到相應的規定。 未來新國標雖好,但它是沒有“牙齒”的,即使被國家標準管理委員會批準,也只是推薦性國標。就算電信、銀行、網站等企業,承諾采納這套國標,也無法評估體制企業是否做到了“最小使用”、“用后即刪”。按1988年的《標準化法》,只有對違反國家標準生產的“產品”,才能予以沒收、罰款等執法;而企業處理用戶個人信息,并沒有“產品”讓執法部門執法。到時候,國標的執行只能看商家的“良心”。 然而,從2009年起屢屢曝光的電信企業將用戶信息,販賣給垃圾短信商來看,沒有明確的法律禁止和處罰,商家的“良心”是靠不住的。中國缺的是一部“個人信息保護法”,從法律層面,而不是行業規范的層面,來提綱挈領,通盤保護公民的信息安全。 簡單地說,就是要立法定分止爭,規定企業、機關如何收集公民信息,如何保障信息安全,在何種法律授權下可以向第三方公布,一旦保障制度不落實、故意泄露信息,接受何種處罰……大的原則,在“指南”中已經明確,關鍵要“裝上牙齒”,明確企業違法搜集、濫用、不刪除個人信息的法律后果,這才能真正保衛信息安全。
|