工信部直屬的中國軟體測評中心透露,他們聯合30多家單位起草的《資訊安全技術、公共及商用服務資訊系統個人資訊保護指南》已正式通過評審,正報批國家標準。指南提出最少夠用原則、個人資訊用後應立即刪除。但這個指南並非國家強制性標準。(今日本報B04版)
公民個人資訊“裸奔”這麼多年,還是淪為商家砧板上的魚肉:今年央視3�15晚會曝光了上海羅維鄧白氏行銷服務公司出售1.5億條個人資訊,每條要價0.3到1.5元。買車了,保險推銷接踵而至;買房了,裝修廣告無縫而入;生孩子了,嬰幼兒用品宣傳狂轟濫炸……2011年底,因駭客入侵導致的波及1億用戶的網際網路個人資訊洩露事件,不過是個人資訊安全危機的網路路演。
儘管《個人資訊保護指南》初衷良善,甚至還提出了個人資訊保護的八項原則,但“指南”不具有強制性,只是一個推薦實施的國家標準,網站、商家違反了也不會受到任何處罰。既然如此,説得再天花亂墜,恐怕也嚇不退寄生在個人資訊利益鏈上的諸多貪婪。工信部電子科技情報研究所副所長劉九如曾統計,目前有近40部法律、30余部法規,以及近200部規章涉及個人資訊保護。2009年,刑法修正案(七)確定了“出售、非法提供公民個人資訊罪”、“非法獲取公民個人資訊罪”罪名,首次將公民個人資訊納入刑法保護範疇。諸多更高層級的法律尚且管不住個人資訊販賣的勾當,僅靠一部行業色彩濃郁的“指南”就能為個人資訊安全找到一條回家的路?
真正的問題在於兩個層面:一是專門立法的遲滯。早在2003年4月,國務院資訊化辦公室就曾專門對個人資訊立法研究課題進行部署,2005年《個人資訊保護法》專家意見稿已經提交,近十年來,無論官方抑或民間都在積極推動,遺憾的是,這項建議一直未能進入正式的立法程式;二是責罰綿柔,譬如此前警方破獲CSDN的600多萬條用戶名和密碼洩露案件,隨後對相關網站的處罰只是提出行政警告而已。而在德國,手機用戶拒絕商業廣告短信,可與運營商簽訂一份合同,運營商違規濫發短信,投訴一次最高可罰五萬歐元。按照這樣的罰則,中國的電信運營商傾家蕩産N次都來不及。
個人資訊安全已經在密集的公共事件中一次次被拷問,這不是輕飄飄的行業指南所能紓解的癥結。不管怎麼説,個人資訊安全堪憂,這總不是資訊社會應有的常態。
