我國将出台保護個人信息行業标準

工信部安全協調司副司長歐陽武介紹說，這個指南能爲行業開展自律工作提供瞭(le)很好的參(cān)考，爲企業處理個人信息制定瞭(le)行爲準則。據介紹，我國信息技術保護不容樂觀，甚至已形成利用個人信息從事非法獲利的黑色鏈條。特别是去年年底揭露出的中國互聯網最大規模的洩密事件，将個人信息保護推向瞭(le)風口浪尖。

許多發達(dá)國家很早已開始個人信息的保護研究和立法工作。我國近年來也啓動瞭(le)個人信息保護的相關工作。

去年，全國信息安全标準化技術委員會提出制定個人信息保護指南。這個委員會主要從(cóng)事信息安全标準化工作，現任主任由工信部副部長(zhǎng)楊學山兼任。

個人信息保護指南的全稱(chēng)是《信息安全技術、公共及商用服務信息系統個人信息保護指南》，标準由工信部直屬的中國軟件測(cè)評中心牽頭，聯合近30家單位起草。

該中心常務副主任黃子河透露說，指南目前還在等待批準文号，但其最終的發(fā)布應是“指日可待”。但這個指南並(bìng)非國家強制性标準。

■ 焦點

個人信息用後立即删除

在個(gè)人信息安全缺少專門法律規範(fàn)時，一部行業标準成爲業内的希望。

“去年正式通過瞭(le)評審，報(bào)批國家标準”，中國電子信息産業發展研究院院長、中國軟件評測中心主任羅文希望今年能通過這項标準
，以拓展個人信息保護的體系。

《個人信息保護指南》對個人信息的處(chù)理包括收集、加工、轉移和删除四個主要環節，其中還提出瞭(le)個人信息保護的原則。

工信部安全協調司副司長(zhǎng)歐陽武介紹，“這個原則包括目的明確(què)、最少使用、公開告知、個人同意、質量保證、安全保障、誠信履行和責任明確(què)等八項。”

“最少使用”的原則就是獲(huò)取一個(gè)人的信息量時，隻要能滿足使用的目的就行。

黃子河舉例說，一些網站本是辦(bàn)一個(gè)很小的事，卻讓用戶填包括家庭住址、手機号在内等很多信息，這就不符合“最少使用”原則。

“安全保障”則是要個人信息管理者一旦收集瞭(le)個人信息
，就必須建立一套個人信息保護制度，明確(què)責任人和内部管理流程，以及應對個人信息洩露的風險。

中國軟件測(cè)評中心的副主任高熾(chì)揚估計，個人信息洩露中70%-80%屬内部作案
，這是“安全保障”原則沒能落實好所緻。

他介紹說，一些商業公司掌握大量個(gè)人信息，由於(yú)管理制度疏漏，一些内部員工未經授權就能獲取客戶信息。

依照《個(gè)人信息保護指南》，在收集個(gè)人信息階段告知的“使用目的”達(dá)到後應立即删除個(gè)人信息。

高熾(chì)揚說，有次，他在某航空公司網站購買機票，使用電話支付的時候，工作人員搜集瞭(le)他的支付信息：姓名、身份證号、信用卡号和信用卡的最後三位支付号碼。購票成功。

但是，過段時間他再去購票時，對(duì)方問他，“您還是使用卡号末四位是****的信用卡支付嗎？如果是，隻要告訴我就可以瞭(le)。”

“（這家公司）存儲瞭(le)我的信息。”3月26日，高熾揚一邊(biān)講述一邊(biān)搖頭。

高熾(chì)揚說，他所經曆的航空公司電話訂票的經曆，就是航空公司在達(dá)到此次訂票目的後，未能及時删除客戶信息。

信息保護指南非強制标準

“爲瞭(le)經濟效益，無利不起早。”高熾(chì)揚估計，目前沒有哪個行業不存在信息洩露。

比如孕婦生完孩子剛回家，賣奶粉的電話就過來瞭(le)，病人檢查完身體，檢查單(dān)還沒看懂，相應的醫藥公司就已經打電話賣藥來瞭(le)。

中國軟件評測(cè)中心研究員劉陶把個人信息比喻成“很多錢裝在紙糊的銀行裏，很容易被黑客破解。”據他們調查，公衆最關心的金融、電(diàn)信等領域的個人信息安全。

而讓人擔(dān)憂的是，這個指南标準不是強制性标準，甚至也不是推薦性标準，标準通過會對(duì)行業起到多大的規範效力，仍待觀察。

中國軟件評測(cè)中心主任助理朱璇說，此次個人信息安全國家标準“屬於(yú)技術指導文件”。

國家标準分爲三種，一個是強制性标準，一個是推薦性标準，一個是指導(dǎo)性技術文件，标準可以作爲參(cān)考。而國家強制性标準多在食品安全領域。

不過
，黃子河認爲，标準适用於(yú)除瞭(le)政府機關等行使公共管理職能以外的各類組織和機構，特别是電信、醫療等涉及個人敏感信息比較多的服務機構。

■ 現狀

40部法律難約束個人信息洩露

工信部電子科技情報(bào)研究所副所長劉九如統計，目前有近40部法律、30餘部法規，以及近200部規章涉及個人信息保護，其中包括規範互聯網信息規定，醫療信息規定，個人信用管理辦(bàn)法等。

“針對個人信息的法律法規並(bìng)不少，然而内容較爲分散、法律法規層(céng)級偏低。”劉九如說。

刑法修正案（七）被認(rèn)爲是個(gè)人信息立法的标志性事件之一。

2009年，刑法修正案(七)確(què)定瞭(le)“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”罪名，首次将公民個人信息納入刑法保護範疇，規定要追究洩露、竊取和售賣公民個人信息行爲的刑事責任。

但是，這一犯罪主體是“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”。除此之外，還存在著(zhe)互聯網公司、房地産公司、物業公司、汽車廠商、賓(bīn)館酒店、會計師事務所等掌握個人信息的機構和單位。

諸多法律界人士認爲，刑法未明確(què)該(gāi)罪的具體界定标準，這一條款還有進一步改進和完善的空間。

另外，專家認爲法律中對(duì)信息洩露者懲(chéng)罰機制不夠。

前段時間，警方破獲CSDN（即中國軟件開發聯盟）的600多萬條用戶名和密碼洩露案件，“目前爲止對網站的處(chù)罰隻是提出行政警告，太輕瞭(le)，這種處(chù)罰幾乎沒有威懾力。”北京科技大學經管學院教授梅紹祖說。

梅紹祖認爲，如果在國外，這樣的大規模用戶信息洩露，至少應該有經濟處(chù)罰(fá)。

2009年，《侵權責任法》的通過，使“人肉搜索”侵犯受害人權利的責任認定有瞭(le)法律的統一規制，如果網站無視受害人提出的屏蔽、删除要求，就要承擔連帶(dài)責任。

但是，社科院法學所研究員周漢華說，《刑法》和《侵權責任法》都屬於(yú)事後救濟，在網絡時代要對(duì)網絡安全以及個人信息進行全流程的監管才更爲有效。

個人信息安全法未入立法程序

《個人信息安全法》並(bìng)非從未嘗(cháng)試破冰。

工業和信息化部副部長(zhǎng)楊學山回憶，2003年的4月，國務院信息化辦(bàn)公室專門對個人信息立法研究課題進行部署，2005年《個人信息保護法》專家意見稿已經提交。不過這項立法建議一直未能進入正式的立法程序。

參與此次專家意見稿的梅紹祖說，當時文本已從國務院信息化辦(bàn)公室上報(bào)到國務院法制辦(bàn)，此次未能進入正式立法程序的原因很複雜，主要是“從緊迫性上講還沒太關注這個問題”。

梅紹祖承認，凡事總有輕重緩急，有關部門會綜合考慮，但考慮到目前我國發生的個人信息洩露和被盜、個人隐私侵犯以及個人信息交易的事件愈演愈烈的現實，再發展下去可能會影響到整個社會經濟活動，“我覺得緊迫性早就有瞭(le)，可能各個層(céng)面感覺不一樣，有人覺得沒那麽緊迫”。

工信部副部長(zhǎng)楊學(xué)山力主加快立法。

他說，個人信息保護實行面廣，一定要從(cóng)法的角度規範(fàn)，才能使這項工作在法律上有依據。

“這幾年我們和大家一起在個(gè)人信息立法盡快進入正式程序正在努力。”楊學山說，在大家的努力下，“尤其是在今天個(gè)人信息保護(hù)已經成爲社會迫切的問題，立法的進程就會加快”。