近日,工信部直屬的中國軟件測評中心透露,他們聯合30多家單位起草的《信息安全技術、公共及商用服務信息系統個人信息保護指南》已正式通過評審,正報批國家標準。但該中心常務副主任黃子河透露說,這個指南并非國家強制性標準。(相關報道見今日本報19版)
制定個人信息保護指南,旨在為行業開展自律工作提供參考依據,為企業處理個人信息制定行為準則。指南涵蓋的最少使用、安全保障、誠信履行、責任明確等八項原則,條條鞭辟入里,擊中要害,為個人信息保護勾勒出一幅美妙的藍圖。只是這看起來很美的夢想,能否真正照進現實,恐怕還要打上一個問號。
個人信息被比喻成“很多錢裝在紙糊的銀行里”,很容易被別有用心者攻破,顯然,一個不是強制性標準,甚至也不是推薦性標準的指南,不足以為這座信息銀行筑起銅墻鐵壁。把希望寄托在行業道德自律上,更像是防君子不防小人,如果企業不按照標準執行,我們沒有任何鉗制辦法,只能無可奈何。
必須看到,個人信息泄露頻發,并非企業不知道如何保護,而是不愿意去做,甚至是有意為之。首先,缺乏對個人信息的尊重和敬畏,一些商業公司疏于管理,令內部員工未經授權就能獲取客戶信息;其次,無利不起早,在經濟利益的誘惑下,個別企業主動將所掌握的個人信息拿來交易;此外,更為重要的是,懲罰機制缺失,使得信息泄露呈現出“高收益、零風險”的不對稱。CSDN一案中,600多萬條用戶名和密碼泄露,相關網站受到的僅僅是行政警告,幾乎沒有威懾力。由此觀之,徒具觀賞價值的國標,并未真正觸及個人信息保護的癥結,只能讓企業看穿制度的孱弱,更加變本加厲,有恃無恐。
一句話,保護個人信息,立標不如立法。正如工信部副部長楊學山所言,“個人信息保護實行面廣,一定要從法的角度規范,才能使這項工作在法律上有依據!蹦壳,世界上已有50多個國家和地區制定了保護個人信息的相關法律,以加拿大1993年出臺的《關于私人機構中個人信息保護法案》為例,法案明確規定侵害他人的個人信息,將會承擔相應的行政、民事和刑事責任。
反觀我國,盡管目前有近40部法律、30余部法規,以及近200部規章涉及個人信息保護,但內容較為分散,法律法規層次偏低,執法主體缺位,執法力度不足。當務之急是出臺一部專門法律,明確組織和個人在處理信息過程中的責任,建立個人信息的監管體制,厘清濫用他人個人信息的行政處罰制度和責任。立標誠可貴,立法價更高,如能推動初稿提交6年的《個人信息保護法》,早日真正進入正式立法程序,其意義遠甚于制定所謂的國家標準。