个人信息保护标准即将出台

近日，工业和信息化部直属的中国软件测评中心透露，他们联合30多家单位起草的《信息安全技术 公共及商用服务信息系统个人信息保护指南》（以下简称《指南》）已通过评审，正报批国家标准。该《指南》属于国家标准中的技术指导性文件，而非强制性国家标准。《指南》定义了个人信息保护的相关概念，明确在个人信息处理的收集、加工、转移、删除4个环节中，信息主体、管理者、获得者和独立测评机构的角色与职责，为行业开展个人信息保护工作提供了行为准则。《指南》是一个总体性的框架性标准，这个标准正式出台后，还将有一系列的配套标准，包括技术保障、管理规范、认证和审计细则等。

《指南》中的个人信息保护的8项原则，吸收和借鉴了其他国家，尤其是欧盟的立法经验，将法律原则转化成国家标准，因此，它对于个人信息保护来说，具有系统性的意义，实现了对个人信息的全流程管理，从收集到使用、交流、保护、销毁都有涉及，符合个人信息保护的内在要求。其中 “最少使用”原则就是获取一个人的信息量时，只要能满足使用目的就行；“安全保障”原则是要求个人信息管理者一旦收集了个人信息，就必须建立一套个人信息保护制度，明确责任人和内部管理流程，以及应对个人信息泄露的风险。

个人信息的泄露并不是新问题。近年来，兜售房主信息、股民信息、商务人士信息、车主信息、患者信息等似乎已形成了新的产业。随着信息网络技术在社会各个领域的广泛应用，信息安全泄露的问题更加凸显。每年的央视3·15晚会披露的案例都或多或少涉及到个人信息保护方面的问题，一些电信公司、一些营销公司都在赤裸裸地滥用个人信息，造成了很坏的社会影响。

随着网络发展，个人信息集中度越来越高，利用个人信息从事非法获利的黑色链条也逐渐形成。只有加强个人信息立法，才能从根本上割断个人信息牟利化的利益链条，解决个人信息保护的问题。个人信息保护成为法制建设关注的重要内容。

实际上，国外在个人信息保护方面已取得不少进展，为我们提供了很多借鉴之处。

美国：自律模式

美国对个人信息的保护起步比较早，且多采用行业自律模式。在互联网方面，美国在线隐私联盟于1998年公布了一份指导网络和其他电子行业隐私保护的指南。采取网络隐私认证计划，要求那些被许可在网站上张贴其隐私认证标志的网站必须遵守在线资料收集的行为规则，并且服从多种形式的监督管理。此外针对信息安全事故的增多，美国也颁布相关法律保护信息安全。

欧洲：法律保护

总体来说，欧洲在保护个人信息方面成效显著，这与欧盟采用严格的法律法规来加强信息保护不无关系。1995年欧盟通过《欧盟个人数据保护指令》，协调各国国内法以确保个人信息在欧盟范围内自由流动。各欧盟国家也分别制定国内的相关法律，保护信息安全。德国于1976年颁布《联邦资料保护法》，法国于1978年通过《法国自由、档案、信息法》，1984年英国制定了《数据保护法》。

为解决欧美之间不同的信息保护标准，欧盟与美国政府在2000年签订了个人信息保护“安全港”计划，对加入“安全港”计划的美国公司进行监管，在确保美国企业达到欧盟的较高保护标准的同时，维持美国长久以来一直采用的自律机制。

日本：保护意识强

在个人信息保护方面，日本是一个法律和民众意识都比较健全的国家，这也是经过很长时间才得以完善的。日本制定了一系列保护个人信息安全的法律，将民间企业也纳入个人信息保护的调整范围内。2005年4月《个人信息保护法》开始生效，这是日本保护个人信息安全的根本法律。

日本企业在管理客户信息方面非常严格。从公司发出的邮件，公司管理人员和监管部门都严格审阅，公司的手提电脑一般不允许带出公司。一旦存有客户信息的电脑丢失，媒体就会争相报道，给公司带来极其恶劣的影响。

个人信息要真正得到全面的保护，必须同时发挥法治的作用与行业自律的作用，也要调动全社会参与的积极性，这样才能够真正有效地保护个人信息。