個人信息保護：“軟國標”須配“硬法規”

● 焦宏彤

2013年2月1日起，《信息安全技術公共及商用服務信息系統個人信息保護指南》 （以下稱《指南》）開始付諸實施。作為我國首部個人信息保護國家標準，它確立了“目的明確、最少夠用、公開告知、個人同意、質量保證、安全保障、誠信履行、責任明確”8項原則，主要對信息服務從業者進行規范。

《指南》最顯著的特點是規定個人敏感信息在收集和利用之前，必須首先獲得個人信息主體明確授權。然而，在《指南》落地施行一段時間之后，金融機構、通訊運營及電子商務等行業依然靜悄悄，企業大多對《指南》并不重視，公眾對《指南》也不知情。作為一部沒有任何法律約束力和強制性的“軟國標”，實施效力和前景如何，也被各方廣泛質疑。

現狀：4類個人信息最吃香，“唐僧肉”輪番被爭搶倒賣

眼下，除了最火的股民信息外，在網絡上，有4類個人信息比較熱賣——

新房業主。他們是房產中介、裝飾公司最垂涎的客戶資源，這類公司通過各種手段拿到新買房業主的資料后，就會挨個多次電話公關“掃蕩”。

私家車主。買得起車的人一般被認為具有一定的消費能力，因而，保險公司、保健品、奢侈品、車友俱樂部等各種業務都會主動“問候”。

企業主或經理人。這個群體屬于高端客戶，是各行各業服務機構爭相拿下的目標，同時也是高檔消費會所、金融機構VIP部門、高爾夫球俱樂部主要的“財神”。

新生嬰兒。這是很容易被人忽略但同樣重要的消費群。“再窮不能窮孩子”，產婦及家人都有這樣的經歷：寶寶還沒出生就招來了奶粉商和胎毛筆商；出生之后，嬰兒攝影店的電話總能掐準時間；接著，保險公司、早教機構接踵而來……

當前，個人信息安全問題日益凸顯。有報告顯示，2012年，網絡犯罪使全球個人用戶蒙受直接經濟損失高達1100億美元，在中國，網絡犯罪的受害人數超過2.57億人，蒙受的直接經濟損失達到了2890億元，網絡犯罪的受害者占網絡比重高達75%，平均每1位網民受到直接經濟損失達到1100元，個人信息的竊取等網絡犯罪行為正在威脅著公眾對網絡信息安全的信心。日益嚴峻的信息安全形勢，迫切需要加快網絡系統建設，保障個人信息安全，維護公眾個人信息權益。

所謂個人信息，是指現實生活中“能夠識別特定個人的一切信息”，其范圍很廣，包括文檔、視頻音頻文件、指紋、檔案等。

《指南》將個人信息分為一般信息和敏感信息，并提出默許同意和明示同意的概念。對于個人一般信息的處理可以建立在默許同意的基礎上，只要個人信息主體沒有明確表示反對，可以收集和利用。個人敏感信息包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等。對于個人敏感信息，則需要建立在明示同意的基礎上，在收集和利用之前，必須首先獲得個人信息主體明確的“授權”。

目前，各類服務行業在獲取個人信息時表現不一。一些金融機構的信用卡辦理采用沉默原則。個人可以主動在身份證復印件或業務表格中聲明“該身份信息僅限此業務、不能作其他用途”；如果不聲明，柜員也不會專門作出提醒。

通訊運營商對個人信息保護的態度則較為積極。不論用戶是否進行授權聲明，在辦理業務時，營業廳服務人員都會在用戶的身份證復印件上敲上“該信息只用于此業務”的專用章，以確保個人信息安全。

京東、天貓、凡客等電子商務網站在用戶注冊協議中注明“本網站不會泄露用戶隱私”、“用戶在本站進行瀏覽、下單購物等活動時，涉及用戶真實姓名、通信地址、聯系電話、電子郵箱等隱私信息的，本站將予以嚴格保密”等條款，但是沒有在用戶填寫信息時，添加“個人信息授權使用”的選項。隨著電子商務狂潮的來臨，網絡糾紛大幅度增多，其中很多涉及個人信息侵犯問題，個人信息保護國家標準及法律法規的出臺和實施顯得迫在眉睫。

《指南》進步意義大，欠缺約束力

《指南》明確了個人信息保護過程中涉及到的主體、管理、個人信息獲得以及獨立機構4類角色。要求處理個人信息應當具有特定、明確和合理的目的，應當在個人信息主體知情的情況下獲得個人信息主體的同意，在達成個人信息使用目的之后刪除個人信息。

《指南》還正式劃分了收集、加工、轉移、刪除4個環節，并針對每一個環節提出了落實8項基本原則的具體要求。事實上，《指南》制定的最大目的，是著力提高全社會對個人信息的保護意識。

《指南》的出臺及實施，表達出政府有關部門盡力要跟上信息時代發展步伐的意圖，尤其是在遏制信息犯罪、保護公民的合法權益方面，具有明顯的進步作用。但是，《指南》畢竟只是一部標準，可以產生多大效力，仍引起業界質疑。

在當前個人信息安全缺少專門法律規范的現狀下，這個《指南》顯然寄托了全社會的不少希望：希望能拓展和建立起個人信息保護體系，希望能指導個人信息保護工作的有效開展，希望提高全社會的個人信息保護意識。

據了解，作為《指南》的起草單位，中國軟件評測中心還將牽頭組建個人信息保護推進聯盟。通過建立企業自律模式，彌補我國個人信息保護相關組織機構的缺失問題。

國家標準分為強制性國家標準、推薦性國家標準和指導性技術文件3種。這個《指南》屬于“技術指導文件”，換句話說，其僅有指導性作用，而沒有強制性的威力。

在目前的法律真空期，用戶在提供相關個人信息時，如果主動聲明該信息的使用范圍，可以較好地保護自己的權益。在這樣的基礎上，一旦發現自己的個人隱私被盜，相關信息采集者屬于違約，可以運用《合同法》進行維權。

在個人信息安全缺少專門法律規范時，一部行業標準承擔的責任顯得過于沉重。也就是說，《指南》的出臺一定程度上可以彌補個人信息安全缺乏專門法律規范“硬傷”。

個人信息保護法律法規缺位

當前，信息化已經成為推動經濟社會發展的重要力量，成為衡量一個國家和地區經濟社會發展水平的重要標志。但當前存在著信息安全意識不強、安全防護水平不高、信息安全管理薄弱等問題，網上有害信息傳播、病毒入侵和網絡攻擊日趨嚴重，網絡泄密事件屢有發生，網絡信息安全形勢不容樂觀。個人信息頻繁被泄露、被轉賣，個人隱私、財產安全受到嚴重威脅，亟待監管部門從立法層面多出實招、多出重拳來保護個人信息。在我國，最迫切的是要盡快出臺個人信息保護相關法律法規，提速個人信息保護立法。法律不是萬能的，但是離開法律卻是萬萬不行的，法律法規是個人信息保護的基礎和保障。

眼下，國際社會已經有比較成熟的個人信息保護法律，比如美國的《隱私法》，英國的《個人數據保護法》等。是否有個人信息保護法律法規甚至還成為一些國家設置貿易壁壘的借口。所以，盡快出臺《個人信息保護法》意義重大。

刑法修正案（七）被認為是個人信息立法的標志性事件，盡管我國有多達40部法律涉及個人信息保護，但是，法律內容分散，與擁有《隱私法》、《信息保護和安全法》、《防止身份盜用法》、《網上隱私保護法》、《消費者隱私保護法》、《反網絡欺詐法》等多部專業法律的美國相比，我國個人信息保護的專業法律缺位是非常明顯的。

從2003年起，我國就開始醞釀制定《個人信息保護法》，然而時至今日，10年過去了，依然不見蹤影，很大原因就在于個人信息保護涉及多個部門，而推動立法的似乎只有個別部門。如果相關部門不齊心協力推動立法，或者不設立專門機構推動立法，相關法律法規恐怕依然只是個影子。

而且，個人信息保護涉及面廣，也應該有統一的專門機構來監督。以歐盟為例，27個成員國每個國家都有一個專門的信息保護機構。而我國卻沒有權責清晰的信息保護機構。如果設立專門機構，還應該真正代表最廣大的公眾利益，而不是成為某些行業利益的代言人。

目前，在法律法規缺位的社會環境下，某些地區正在通過先行建立地方法規的方式，推動個人信息保護。據了解，河北省近期醞釀出臺地方法規，保護個人信息不被泄露。法規的“最亮點”規定是：金融、保險、電信、供水、供電、供氣、醫療、物業、房產中介及其他掌握公眾信息的單位，如果將獲取的公民、法人或者其他組織的信息出售或者以其他方式非法提供給他人，最高將被罰50萬元；對侵犯他人信息的個人，處以1萬元以上5萬元以下罰款；構成犯罪的，依法追究刑事責任。

標準與法規：軟硬搭配最有效

當然，在個人信息保護法規“干打雷不下雨”的情況下，相關部門只能退而求其次，先以“軟”國標試水，然后再推動制定和出臺“硬”法規。事實上，國家標準與專門的法律法規作用不同，但是兩者都不可缺少。《指南》的出臺，只是一個有效的投石問路，需要在實施過程中不斷完善，并盡快上升到法律法規層面，包括要明確對侵犯個人信息者如何制裁、由什么機構負責執法等問題，讓公眾能夠依法維護自身的合法權益。

《指南》對于個人信息保護起到了明確的技術規范作用，但是，由于《指南》缺乏實際約束力，如果沒有相關法律法規的配合，涉及個人信息的相關部門、機構和企業對國家標準的重視和實施程度會大大降低。個人信息保護關乎公眾隱私、財產安全，更需要主管部門出實招、見實效，解決公眾的實際問題。

同樣，法律法規固然重要，但是，立法需要一定的時間和過程。即便制定出法律法規，也不可能覆蓋到個人信息保護的方方面面和每個角落，法律法規不可能詳細到企業個人信息的管理和內部流程。而作為國家標準的《指南》，則相對更容易解決這一問題。