近日,工信部直属的中国软件测评中心透露,他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》(下称“指南”)已正式通过评审,正报批国家标准。“指南”对个人信息的处理包括收集、加工、转移和删除四个环节,其中特别强调了对个人信息保护,个人信息用后应立即删除。(《新京报》4月5日) 当下,个人信息泄露屡屡发生,我们常常遭到保险、房产、医疗推销广告的“定点骚扰”,一些网站密码也被成规模破解……我们一直期待政府有强有力的作为。不过,目前的这个“指南”并非国家立法,甚至并非强制性标准。 但“指南”本身还是有相当多的亮点。去年2月,工信部网站曾公布过《信息安全技术个人信息保护指南》(草案)(下称“草案”),向全社会征求意见。这个“草案”跟现在的“指南”颇有渊源。“草案”是由中国软件评测中心,以及新浪、腾讯、百度、金山、360等IT公司参与制订的,适用范围仅是“利用信息系统进行个人信息处理”,应该被看作是规范软件商、网站处理用户信息的标准。而目前的“指南”在名称中增加了“公共及商用服务信息系统”,也就是说在IT产业之后,把公众最关心的医疗、金融、电信、民航等掌握公民个人信息,且时常发生泄露信息案件的产业,也置于未来新国标规范之下。这使得“指南”有了个人保护“小立法”的格局。 这部未来国标的指导理念,还是相当先进的,按工信部官员解释,未来新国标的保护原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。比如,一些网站让用户填写家庭住址、手机号等很多信息,这就不符合“最少使用”原则。“指南”还规定,在收集个人信息阶段告知的“使用目的”达到后,应立即删除个人信息。 结合新闻报道,以及去年公布的“草案”,个人信息保护的未来国标明显借鉴欧盟等先进地区的立法,比如1995年欧盟《个人数据保护指令》中的“个人数据的收集和处理必须充分和相关,不能过度,不能超越目的范围”、“经个人数据主体明确同意”等等,都能在未来新国标找到相应的规定。 未来新国标虽好,但它是没有“牙齿”的,即使被国家标准管理委员会批准,也只是推荐性国标。就算电信、银行、网站等企业,承诺采纳这套国标,也无法评估体制企业是否做到了“最小使用”、“用后即删”。按1988年的《标准化法》,只有对违反国家标准生产的“产品”,才能予以没收、罚款等执法;而企业处理用户个人信息,并没有“产品”让执法部门执法。到时候,国标的执行只能看商家的“良心”。 然而,从2009年起屡屡曝光的电信企业将用户信息,贩卖给垃圾短信商来看,没有明确的法律禁止和处罚,商家的“良心”是靠不住的。中国缺的是一部“个人信息保护法”,从法律层面,而不是行业规范的层面,来提纲挈领,通盘保护公民的信息安全。 简单地说,就是要立法定分止争,规定企业、机关如何收集公民信息,如何保障信息安全,在何种法律授权下可以向第三方公布,一旦保障制度不落实、故意泄露信息,接受何种处罚……大的原则,在“指南”中已经明确,关键要“装上牙齿”,明确企业违法搜集、滥用、不删除个人信息的法律后果,这才能真正保卫信息安全。
|