近日,工信部直屬的中國軟件測評中心透露,他們聯合30多家單位起草的《信息安全技術、公共及商用服務信息系統個人信息保護指南》已正式通過評審,正報批國家標準。指南提出“最少夠用原則”、個人信息用后應立即刪除。但這個指南并非國家強制性標準(4月5日《新京報》)。
這個行業標準被稱為“國標”。在個人信息安全缺少專門法律規范的情況下,這個“國標”顯然寄托了很多人的希望,希望能拓展個人信息保護體系,希望能指導個人信息保護工作。但遺憾的是,這個“國標”屬于“技術指導文件”,即只有指導性,沒有強制性;只有象征意義、觀賞價值,沒有實際意義、操作價值。
何以這么說呢?原因是這個“國標”沒有實際約束力——沒有法律效力,沒有監督力,涉及個人信息的相關部門、機構和企業等,不會拿這樣的“國標”當回事。個人信息保護關乎公民隱私、財產甚至生命安全,需要出實招,需要招招見效。
包括刑法修正案在內的40部法律,都約束不了個人信息泄露,顯然,沒有任何強制性的技術“國標”更是花拳繡腿。據悉,“國標”分為三種:強制性標準、推薦性標準和指導性技術文件。而國家強制性標準多在食品安全領域。事實上,個人信息安全與食品安全同樣重要,拿最弱的標準保障個人信息安全不妥。
需要我們反思的是,為何會制訂這樣的“花瓶國標”?報道稱,在個人信息安全缺少專門法律規范時,一部行業標準成為業內的希望。也就是說,此“國標”是為了彌補個人信息安全缺少專門法律規范的缺憾。但這樣的“國標”不具有法律效力又如何彌補法律上的缺憾?無疑,法律的問題需要立法解決,而非指導性技術文件。
之所以制訂“花瓶國標”,不排除三個原因:一是在個人信息保護法拖了9年未見出臺的情況下,相關部門只能在力所能及的范圍內有所作為,以面對輿論壓力;二是個人信息泄露多次發生在電信公司,說明電信領域是高發區,“老子”對“兒子”或許不愿動真格;三是先以“軟國標”試水然后再“硬”。
但不管是什么原因,制訂“花瓶國標”不是在出實招。而個人信息頻被泄露、被轉賣,個人隱私、財產甚至生命安全受到嚴重威脅,亟待有關方面多出實招、多出重拳。首先還是要出臺個人信息安全法。無論是什么原因,個人信息保護法立法需要提速。法律不是萬能的,但卻是必須的,是個人信息保護的基礎。
盡管刑法修正案(七)被認為是個人信息立法的標志性事件,盡管我們有40部法律涉及個人信息保護,但要承認,法律內容分散,法律層級偏低。與擁有隱私權法、信息保護和安全法、防止身份盜用法、網上隱私保護法、消費者隱私保護法、反網絡欺詐法等多部專業法律的美國相比,我國個人信息保護的專業法律缺位是不應該的。
其次,需要專門機構推動立法、監督執法。個人信息安全法2003年就開始起草,今天依然不見蹤影,原因之一在于個人信息保護涉及多個部門,而推動立法似乎只有個別部門。如果相關部門不齊心協力推動立法,或者不設立專門機構推動立法,相關法律恐怕很難照進現實。
而且,個人信息保護涉及面廣,也應該有統一的專門機構來監督。以歐盟為例,據說27個成員國每個國家都有一個專門的信息保護機構。而我們卻沒有權責清晰的信息保護機構。如果設立專門機構,理應保持獨立性,真正代表民意。
再者,制訂的技術“國標”應該是“硬”標準。顯然,“國標”與專門的法律作用不同,都不可缺少。與其制訂沒有約束力的“軟國標”,不如制訂具有強制性、懲罰性的“硬國標”。制訂標準的程序要征求民意,誰違背標準誰就要付出應有代價。
該公開的政府信息遲遲不見公開,卻縱容公民個人信息被公開,顯然,這種反差讓人難以接受,亟須改變。