个人信息保护国家标准即将出台

法界

来源：�望日期：2012-03-26 阅读：7,130次

多管齐下加强个人信息保护

在个人信息保护法进入立法程序前，开展个人信息保护行业自律成为当然选择

文/《�望》新闻周刊记者董瑞丰

60%的被调查对象遇到过个人信息被盗用等问题，66%以上认为应加大力度打击非法获取个人信息的行为，近75%希望进一步立法来加强个人信息保护。

一项受工业和信息化部安全协调司委托的调查，对2500多份问卷进行分析后，得出上述结论。《�望》新闻周刊记者采访了解到，与调查结果显示的立法诉求相比，目前针对个人信息保护的法律依据，失之于分散和疏漏；出台一部专门的个人信息保护法，则尚无具体时间表。

“2003年4月，国务院信息办专门对个人信息的法律研究课题进行部署，大概在2004、2005年，专家的建议稿就出来了。”3月15日在北京召开的2012中国个人信息保护大会上，工信部领导表示。

知情人士称，连续多年，全国人大代表和政协委员就个人信息保护立法问题，提出一批议案提案。

政府部门寄望先制定相关标准，以填补空缺，促进自律。上述大会公布了即将出台的个人信息保护国家标准。“对个人信息处理的过程作出一些明确规范，对个人信息的拥有者如何保护个人信息，也提供了借鉴。”会议主办方介绍。

双重困惑

对个人信息保护现状常见的一个困惑是：知道信息被泄露，却不知道在何处泄露。

工信部科学技术情报研究所2011年下半年开展的调查显示，30%的被调查对象认为可能是通过网站泄露，30%认为可能是通讯公司，另有30%不清楚到底是在哪个地方泄露。而在个人信息被滥用后，因取证困难，不足10%的调查对象采取了相应维权措施。

互联网安全厂商360公司总裁齐向东表示，手机短信包含很私密的信息，因此通讯运营商要制定严格的查询手续。但一些网站服务商，同样保存着用户的姓名、地址、电话甚至银行密码等各种信息，却没有在传、存、使用和销毁等环节建立起保护隐私的完整机制。

“比如有的网站收集个人信息很随意，只需一份信息，却收集上传了十份，个别网站甚至把过期的、多余的信息随意丢弃。”齐向东说，“同时，网站还要面临黑客攻击，有的黑客就是为了恶意窃取个人信息。”

网站之外，也有银行、保险、通讯等行业员工出于牟利目的，出卖客户信息。本刊记者日前即接到读者来函，称其所持的某国有大型银行信用卡被异地盗刷，公安机关初步调查认为，这种卡未离身却被盗刷的情况，很可能是银行内部掌握客户征信信息的人员监守自盗。

利益驱动下，非法使用个人信息已经出现黑色产业链。中央电视台“3・15”晚会曝光的上海罗维邓白氏公司，其非法获取、买卖公民个人信息不仅数量庞大，而且相当详细精准。部分厂商购买这些信息，通过群发短信等渠道进行广告投放。

一方面个人信息泄露事件多发，另一方面，哪些信息需要保护，需要如何保护，怎样查处追责，还没有明确标准。前述科学技术情报研究所调查发现，大部分企业已采取不同程度保护个人信息的措施，但很难保证在各个业务环节落实。该所副所长刘九如说，企业在调查中也反映了若干困惑，首先是“没有明确的法律义务和参照依据”。

刘九如表示，现有涉及个人信息保护的法规制度中，金融、电信等领域相关规定最为具体，而职业中介活动引入的个人信息，其保护规定比较缺失。

“个人信息保护不是某一方可以独立完成的事，”齐向东说，“一家网站可以标榜，用户信息放在自己这里很安全，但说起来容易，做起来难。”

“即使欧美国家，法规制度相对更健全，仍然经常发生大量个人信息泄露的事件。”中国社科院法学院研究员周汉华说，“国内目前曝光的这些案例，可能还仅仅是冰山一角。”

立法难题

周汉华认为，目前国内关于个人信息保护的法规分散，既缺乏对个人信息的界定，也缺乏可操作之标准，执法主体缺位，执法力度不足。

“分散立法不是不行，但要求有很强的法制统一能力，以及很高的执法能力。”周汉华介绍，同是个人信息保护立法，美国采用分散立法的形式，欧盟则要统一立法。

研究者统计，目前约有40部法律、30部法规和近200项来自工信部、银监会、保监会等部门的规章涉及个人信息保护。全国人大颁布的法律，较有代表性的是民法通则；国务院出台的法规，则有个人存款账户实名制规定，互联网信息管理办法等；此外还有一些地方法规，如江苏省2011年出台的信息化条例，以及深圳市正在制定的个人信息保护条例。

相关部门规章更多。银监会信息科技风险管理处处长骆絮飞表示，银监会正着力加强银行业监管，制定有关银行的网上安全规范，以客户数据为重点对银行信息安全进行检查，同时指导银行加强对外包服务机构的数据安全管理。

但据本刊记者采访了解，各类法规章程的操作细则仍不够周全。如前述的信用卡盗刷事件、垃圾短信“精准投放”现象，查处追责均存在较多困难。

对于个人信息保护的难题，业内讨论认为主要有三方面：保护程度界定，难以区别正当或非法使用个人信息；信息泄露取证，难以确定个人信息是在哪个环节发生泄露；执法力度统一，难以确保多个监管主体执法的宽严尺度一致。

“出台一部专门法律，上述问题可迎刃而解。”周汉华是个人信息保护法专家建议稿的起草者之一。他同时表示，国际上公认个人信息保护是一项基本权利，是宪法权利，而不仅仅是民事权利，民法中的隐私权，这意味着个人信息保护不仅仅是私领域的事项，不仅仅是民不举、官不究的事项，而是需要公共权力介入，强制要求相关主体承担法定义务的事项。

周汉华介绍说，目前已有38个地方制定了个人信息保护的相关法规。

但是，地方立法的先行先试也难免有一些负面作用。比如各地标准不统一，法律适用存在较大困难。

周汉华建议，要推“大法”，先做好顶层设计，各地可再据此制定具体实施细则。

在他看来，立法是一个要解决的难题，同样关键的，还要保证法律出台之后得到有效实施。有三点不可或缺：

其一，注重平衡原则。个人信息具有不同程度的价值，既要保障信息充分流通，推动信息社会进步，也要避免滥用个人信息。其二，他律与自律结合。不可能全部交给政府部门监管，要设置有效机制，让企业自我管理。其三，要有一定程度的执法威慑。

寄望自律

原国务院信息办是个人信息保护法的积极推动者。2008年大部门制改革后，工信部信息安全协调司继续承担着推进个人信息保护的职责。

该司副司长欧阳武表示，对个人信息保护最好的办法还是立法，要通过法律明确组织和个人在处理信息过程中的责任，建立个人信息的监管体制，明确滥用他人个人信息的行政处罚制度和责任。

在法制成型之前，则倡导行业自律。“由行业组织依据个人信息保护的规则，照顾行业特点，制定行业信息保护的规范，采取行业自律的方式，不仅在当下，而且在未来法律制度完善之后，都是一种非常好的选择。”欧阳武说。

据悉，2011年工信部曾委托中国软件评测中心，选取电子商务，论坛博客，银行、保险、游戏等共7类105家网站的隐私政策进行测评。经测评发现，隐私政策执行情况不明，包括政策适用范围、信息收集的方式、处理过程等关键问题阐述不清。

工信部同期启动了个人信息保护标准的编制工作，据悉，《公共及商用服务信息系统个人信息保护指南》年内即将出台。“为行业开展自律工作提供很好的参考”，欧阳武说。

中国软件评测中心常务副主任黄子河表示，即将出台的国家标准对相关定义、角色、职责、操作规范等都予以明确，提出了保护过程中的若干基本原则。