个人信息保护：“软国标”须配“硬法规”

● 焦宏彤

2013年2月1日起，《信息安全技术公共及商用服务信息系统个人信息保护指南》 （以下称《指南》）开始付诸实施。作为我国首部个人信息保护国家标准，它确立了“目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行、责任明确”8项原则，主要对信息服务从业者进行规范。

《指南》最显著的特点是规定个人敏感信息在收集和利用之前，必须首先获得个人信息主体明确授权。然而，在《指南》落地施行一段时间之后，金融机构、通讯运营及电子商务等行业依然静悄悄，企业大多对《指南》并不重视，公众对《指南》也不知情。作为一部没有任何法律约束力和强制性的“软国标”，实施效力和前景如何，也被各方广泛质疑。

现状：4类个人信息最吃香，“唐僧肉”轮番被争抢倒卖

眼下，除了最火的股民信息外，在网络上，有4类个人信息比较热卖——

新房业主。他们是房产中介、装饰公司最垂涎的客户资源，这类公司通过各种手段拿到新买房业主的资料后，就会挨个多次电话公关“扫荡”。

私家车主。买得起车的人一般被认为具有一定的消费能力，因而，保险公司、保健品、奢侈品、车友俱乐部等各种业务都会主动“问候”。

企业主或经理人。这个群体属于高端客户，是各行各业服务机构争相拿下的目标，同时也是高档消费会所、金融机构VIP部门、高尔夫球俱乐部主要的“财神”。

新生婴儿。这是很容易被人忽略但同样重要的消费群。“再穷不能穷孩子”，产妇及家人都有这样的经历：宝宝还没出生就招来了奶粉商和胎毛笔商；出生之后，婴儿摄影店的电话总能掐准时间；接着，保险公司、早教机构接踵而来……

当前，个人信息安全问题日益凸显。有报告显示，2012年，网络犯罪使全球个人用户蒙受直接经济损失高达1100亿美元，在中国，网络犯罪的受害人数超过2.57亿人，蒙受的直接经济损失达到了2890亿元，网络犯罪的受害者占网络比重高达75%，平均每1位网民受到直接经济损失达到1100元，个人信息的窃取等网络犯罪行为正在威胁着公众对网络信息安全的信心。日益严峻的信息安全形势，迫切需要加快网络系统建设，保障个人信息安全，维护公众个人信息权益。

所谓个人信息，是指现实生活中“能够识别特定个人的一切信息”，其范围很广，包括文档、视频音频文件、指纹、档案等。

《指南》将个人信息分为一般信息和敏感信息，并提出默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上，只要个人信息主体没有明确表示反对，可以收集和利用。个人敏感信息包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。对于个人敏感信息，则需要建立在明示同意的基础上，在收集和利用之前，必须首先获得个人信息主体明确的“授权”。

目前，各类服务行业在获取个人信息时表现不一。一些金融机构的信用卡办理采用沉默原则。个人可以主动在身份证复印件或业务表格中声明“该身份信息仅限此业务、不能作其他用途”；如果不声明，柜员也不会专门作出提醒。

通讯运营商对个人信息保护的态度则较为积极。不论用户是否进行授权声明，在办理业务时，营业厅服务人员都会在用户的身份证复印件上敲上“该信息只用于此业务”的专用章，以确保个人信息安全。

京东、天猫、凡客等电子商务网站在用户注册协议中注明“本网站不会泄露用户隐私”、“用户在本站进行浏览、下单购物等活动时，涉及用户真实姓名、通信地址、联系电话、电子邮箱等隐私信息的，本站将予以严格保密”等条款，但是没有在用户填写信息时，添加“个人信息授权使用”的选项。随着电子商务狂潮的来临，网络纠纷大幅度增多，其中很多涉及个人信息侵犯问题，个人信息保护国家标准及法律法规的出台和实施显得迫在眉睫。

《指南》进步意义大，欠缺约束力

《指南》明确了个人信息保护过程中涉及到的主体、管理、个人信息获得以及独立机构4类角色。要求处理个人信息应当具有特定、明确和合理的目的，应当在个人信息主体知情的情况下获得个人信息主体的同意，在达成个人信息使用目的之后删除个人信息。

《指南》还正式划分了收集、加工、转移、删除4个环节，并针对每一个环节提出了落实8项基本原则的具体要求。事实上，《指南》制定的最大目的，是着力提高全社会对个人信息的保护意识。

《指南》的出台及实施，表达出政府有关部门尽力要跟上信息时代发展步伐的意图，尤其是在遏制信息犯罪、保护公民的合法权益方面，具有明显的进步作用。但是，《指南》毕竟只是一部标准，可以产生多大效力，仍引起业界质疑。

在当前个人信息安全缺少专门法律规范的现状下，这个《指南》显然寄托了全社会的不少希望：希望能拓展和建立起个人信息保护体系，希望能指导个人信息保护工作的有效开展，希望提高全社会的个人信息保护意识。

据了解，作为《指南》的起草单位，中国软件评测中心还将牵头组建个人信息保护推进联盟。通过建立企业自律模式，弥补我国个人信息保护相关组织机构的缺失问题。

国家标准分为强制性国家标准、推荐性国家标准和指导性技术文件3种。这个《指南》属于“技术指导文件”，换句话说，其仅有指导性作用，而没有强制性的威力。

在目前的法律真空期，用户在提供相关个人信息时，如果主动声明该信息的使用范围，可以较好地保护自己的权益。在这样的基础上，一旦发现自己的个人隐私被盗，相关信息采集者属于违约，可以运用《合同法》进行维权。

在个人信息安全缺少专门法律规范时，一部行业标准承担的责任显得过于沉重。也就是说，《指南》的出台一定程度上可以弥补个人信息安全缺乏专门法律规范“硬伤”。

个人信息保护法律法规缺位

当前，信息化已经成为推动经济社会发展的重要力量，成为衡量一个国家和地区经济社会发展水平的重要标志。但当前存在着信息安全意识不强、安全防护水平不高、信息安全管理薄弱等问题，网上有害信息传播、病毒入侵和网络攻击日趋严重，网络泄密事件屡有发生，网络信息安全形势不容乐观。个人信息频繁被泄露、被转卖，个人隐私、财产安全受到严重威胁，亟待监管部门从立法层面多出实招、多出重拳来保护个人信息。在我国，最迫切的是要尽快出台个人信息保护相关法律法规，提速个人信息保护立法。法律不是万能的，但是离开法律却是万万不行的，法律法规是个人信息保护的基础和保障。

眼下，国际社会已经有比较成熟的个人信息保护法律，比如美国的《隐私法》，英国的《个人数据保护法》等。是否有个人信息保护法律法规甚至还成为一些国家设置贸易壁垒的借口。所以，尽快出台《个人信息保护法》意义重大。

刑法修正案（七）被认为是个人信息立法的标志性事件，尽管我国有多达40部法律涉及个人信息保护，但是，法律内容分散，与拥有《隐私法》、《信息保护和安全法》、《防止身份盗用法》、《网上隐私保护法》、《消费者隐私保护法》、《反网络欺诈法》等多部专业法律的美国相比，我国个人信息保护的专业法律缺位是非常明显的。

从2003年起，我国就开始酝酿制定《个人信息保护法》，然而时至今日，10年过去了，依然不见踪影，很大原因就在于个人信息保护涉及多个部门，而推动立法的似乎只有个别部门。如果相关部门不齐心协力推动立法，或者不设立专门机构推动立法，相关法律法规恐怕依然只是个影子。

而且，个人信息保护涉及面广，也应该有统一的专门机构来监督。以欧盟为例，27个成员国每个国家都有一个专门的信息保护机构。而我国却没有权责清晰的信息保护机构。如果设立专门机构，还应该真正代表最广大的公众利益，而不是成为某些行业利益的代言人。

目前，在法律法规缺位的社会环境下，某些地区正在通过先行建立地方法规的方式，推动个人信息保护。据了解，河北省近期酝酿出台地方法规，保护个人信息不被泄露。法规的“最亮点”规定是：金融、保险、电信、供水、供电、供气、医疗、物业、房产中介及其他掌握公众信息的单位，如果将获取的公民、法人或者其他组织的信息出售或者以其他方式非法提供给他人，最高将被罚50万元；对侵犯他人信息的个人，处以1万元以上5万元以下罚款；构成犯罪的，依法追究刑事责任。

标准与法规：软硬搭配最有效

当然，在个人信息保护法规“干打雷不下雨”的情况下，相关部门只能退而求其次，先以“软”国标试水，然后再推动制定和出台“硬”法规。事实上，国家标准与专门的法律法规作用不同，但是两者都不可缺少。《指南》的出台，只是一个有效的投石问路，需要在实施过程中不断完善，并尽快上升到法律法规层面，包括要明确对侵犯个人信息者如何制裁、由什么机构负责执法等问题，让公众能够依法维护自身的合法权益。

《指南》对于个人信息保护起到了明确的技术规范作用，但是，由于《指南》缺乏实际约束力，如果没有相关法律法规的配合，涉及个人信息的相关部门、机构和企业对国家标准的重视和实施程度会大大降低。个人信息保护关乎公众隐私、财产安全，更需要主管部门出实招、见实效，解决公众的实际问题。

同样，法律法规固然重要，但是，立法需要一定的时间和过程。即便制定出法律法规，也不可能覆盖到个人信息保护的方方面面和每个角落，法律法规不可能详细到企业个人信息的管理和内部流程。而作为国家标准的《指南》，则相对更容易解决这一问题。