我国首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》将于2月1日起实施,个人信息保护工作将正式进入“有标可依”阶段。该标准最显著的特点,是规定个人敏感信息在收集和利用之前,必须首先获得个人信息主体明确授权。 毫无疑问,这个国标的诞生,表明国家对尊重和捍卫公民隐私权的重视度上升了。信息技术瓦解了信息传播的传统障碍,也容易突破隐私的边界,因而加强信息保护不可避免。现实中,信息泄露首先是缺乏规则的结果,不同部门、行业乃至个人,对信息的采集和传播边界没有清晰概念,信息泄露容易在无意识的情况下发生,甚至形成产业链。《指南》固然很难彻底铲除产业链,但能提供信息使用的规则。比如,《指南》明确了处理信息的八项原则,这是从标准、规则角度而言。 这套规则的前提,是对个人信息形成科学归类,有针对性地展开保护,信息分类既是难点也是重点。《指南》将信息界定为一般信息和个人敏感信息,并提出默许同意和明示同意两种原则,划分依据是什么暂不明确,但明示和默许对应着法律意义上的授权。明确了主体授权,等于明确了权责关系,无授权则禁止收集和传播,信息保护至少在发生泄漏时的追责上,是有据可依的。在这点上,《指南》的意义显著。 目前,问题的关键是信息归类与具体行业形成对接。个人信息按私密度,可分为一般信息和敏感信息,但这是授权标准,而不是行业、部门的信息采集标准。信息采集的原则是最少告知,在这之上分类保护。哪些是必要采集信息,哪些不必要,《指南》给出的是宏观原则。行业、部门不同,对信息重要程度的认定也不同,在录入过程中,一般信息也可能是不必要的采集信息,敏感信息也可能有采集的必要性,如何操作划分,需要一套建立在行业特性上的技术性标准。没有细化标准,可操作性不够,信息泄露还是会有风险。 强调这种风险并非多虑。个人信息之所以陷入困境,一是信息录入机构太多,包括金融、电信、教育、医疗以及网站房地产公司、宾馆酒店等各色机构,二是泄露源多位于机构内部,所以即便我们遭遇信息泄露,也很难判断泄漏发生在哪个环节,故而维权难,法律介入查证也难。《指南》明确了使用标准,但解决不了这个技术难题,那么最好的情况是,明确信息录入的行业标准,尽量减少个人的信息采集范围,将可能泄露的信息量提前控制。 《指南》是国标,属于“指导性技术文件”,而非法律文本,不具备法律效力,无力惩戒犯规者。它提供了信息使用的规则,但约束力有限,在个人信息立法落地之前,信息保护的法条呈碎片化条文。在这个大前提下,《指南》的意义,更多在于确立了一套行业自律的信息规则,以及强化民众对个人相关信息的确权,加强自我保护意识。个人信息保护的关键,是强化对信息源头监控,建立起信息录入和传播的责任机制,使信息泄露尽可能对应到具体责任人。
|