个人信息保护将有国标

　　

 

　　刚买完火车票，黄牛党就打电话过来问还要不要票;孕妇刚查出怀孕，卖婴儿用品的电话就打来推销;去房产中介留个电话想租房，天天就有卖房的短信和电话来骚扰……个人信息泄露的案例可谓屡见不鲜。针对这些问题，《信息安全技术 公共及商用服务信息系统个人信息保护指南》(下称《个人信息保护指南》)目前正在国家标准委进行最后的技术审批，预计今年上半年正式出台。

　　有专家认为，目前制定的国家标准还只是一个适用于各个行业的共同标准，还需要按照不同行业的自身特点进行细化。该标准并不具备强制性，依赖相关行业协会和企业自愿参加，仍然需要一部专门的个人信息保护法。

　　个人信息使用后应立即删除

　　据介绍，《个人信息保护指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节，其中还提出了个人信息保护的原则。工业和信息化部信息安全协调司副司长欧阳武表示，“这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确八项。”

　　中国软件测评中心相关负责人对其中的要求做了明确的解释：“最少使用”的原则就是获取一个人的信息量时，只要能满足使用就行。“安全保障”则是要个人信息管理者一旦收集了个人信息，就必须建立一套个人信息保护制度，明确责任人和内部管理流程，以及应对个人信息泄露的风险。在收集个人信息阶段告知的“使用目的”达到后应立即删除个人信息。

　　欧阳武介绍说，我国从2003年就开始进行《个人信息保护法》的研究、制定工作，但这个课题在业界一直难以达成共识，对于哪些是需要保护的个人信息，学界看法不一。“这导致我国只有在很多专门法里笼统地提一句不能泄露个人信息、侵犯个人隐私，但如何保护，却没有具体、详细的规定和技术措施，导致这些提法形同虚设。”

　　业内领军企业一般会参照执行

　　信息安全问题在随着互联网的发展，和个人信息非法获利黑色链条的形成，已经成为了困扰消费者和国家相关部门的一个难题，国家在对个人信息安全保护问题方面也是日渐重视。据南方日报记者了解，2009年刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名，首次将公民个人信息纳入刑法保护范畴，规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。

　　“虽然个人信息保护有立法，但一直没有对个人信息的范围进行界定，《个人信息保护指南》如果可以成为国家标准，至少让国家的相关法律法规有了参照的标准。”曾经参与起草第一版《个人信息保护指南》的著名法律界人士赵占领在接受南方日报记者采访时表达了自己的看法。

　　“但国家标准有三种，强制性标准，推荐性标准和指导性技术文件，即使《个人信息保护指南》成为了国家标准，也只是将以指导性技术文件的形式发布，不具有强制执行力。”赵占领认为虽然没有强制执行力，但是一旦成为国家标准，还是具有很大的意义的。“行业内的领军企业一般也会参照执行，也给个人信息的立法提供一些实践经验。”

　　尽到安全保障义务可免责

　　“现在个人信息泄露现象比较严重，去年还发生CSDN等大规模泄露个人信息的事件，很多企业也遇到过个人信息保护水平低、甚至非法收集个人信息的质疑。”赵占领说。南方日报去年曾经详细报道过CSDN网站数据库被黑客入侵的事件，事件造成了600多万条用户名和密码泄露，而所泄露的用户名和密码在互联网上被随意传阅，造成了大量的安全事件。

　　有业内人士质疑：一旦《个人信息保护指南》成为国家标准，但是又没有任何的强制执行力，掌握着大量消费者个人信息的企业，有什么动力去执行这个标准呢?一旦执行了这个标准后，个人信息还是泄露的话，责任何在?

　　“网站和用户之间有服务合同关系，网站如果没有尽到基本的安全保障义务，比如CSDN明文保存密码，是应该向用户承担民事赔偿责任的，如果有证据证明自己尽到安全保障义务，可以免责，参照执行该标准就是一种有利证据。”赵占领从法律的角度解释了《个人信息保护指南》成为国家标准后，企业严格执行的意义所在：“免责”或将会成为互联网企业的“免死金牌”。

　　相对于让互联网企业寻找自己的“免死金牌”，业界人士普遍认为让企业提高自身的对于信息安全的重视程度才是正道。奇虎360公司首席隐私官谭晓生在接受南方日报记者采访时也认为，互联网企业的自律和自我约束更加重要，360公司发布的《用户隐私保护白皮书》就已经将其所有产品的工作原理和信息处理机制公布于众，接受公众的监督。谭晓生指出：“对用户隐私信息，互联网网站要有高度的负责任的精神，加大投入，切实做好用户隐私信息的管理工作，不能因为这一块不挣钱就忽视了对用户隐私的保护。”