近日,工信部直屬的中國軟體測評中心透露,他們聯合30多家單位起草的《資訊安全技術、公共及商用服務資訊系統個人資訊保護指南》已正式通過評審,正報批國家標準。指南提出“最少夠用原則”、個人資訊用後應立即刪除。但這個指南並非國家強制性標準(4月5日《新京報》)。
這個行業標準被稱為“國標”。在個人資訊安全缺少專門法律規範的情況下,這個“國標”顯然寄託了很多人的希望,希望能拓展個人資訊保護體系,希望能指導個人資訊保護工作。但遺憾的是,這個“國標”屬於“技術指導文件”,即只有指導性,沒有強制性;只有象徵意義、觀賞價值,沒有實際意義、操作價值。
何以這麼説呢?原因是這個“國標”沒有實際約束力——沒有法律效力,沒有監督力,涉及個人資訊的相關部門、機構和企業等,不會拿這樣的“國標”當回事。個人資訊保護關乎公民隱私、財産甚至生命安全,需要出實招,需要招招見效。
包括刑法修正案在內的40部法律,都約束不了個人資訊洩露,顯然,沒有任何強制性的技術“國標”更是花拳繡腿。據悉,“國標”分為三種:強制性標準、推薦性標準和指導性技術文件。而國家強制性標準多在食品安全領域。事實上,個人資訊安全與食品安全同樣重要,拿最弱的標准保障個人資訊安全不妥。
需要我們反思的是,為何會制訂這樣的“花瓶國標”?報道稱,在個人資訊安全缺少專門法律規範時,一部行業標準成為業內的希望。也就是説,此“國標”是為了彌補個人資訊安全缺少專門法律規範的缺憾。但這樣的“國標”不具有法律效力又如何彌補法律上的缺憾?無疑,法律的問題需要立法解決,而非指導性技術文件。
之所以制訂“花瓶國標”,不排除三個原因:一是在個人資訊保護法拖了9年未見出臺的情況下,相關部門只能在力所能及的範圍內有所作為,以面對輿論壓力;二是個人資訊洩露多次發生在電信公司,説明電信領域是高發區,“老子”對“兒子”或許不願動真格;三是先以“軟國標”試水然後再“硬”。
但不管是什麼原因,制訂“花瓶國標”不是在出實招。而個人資訊頻被洩露、被轉賣,個人隱私、財産甚至生命安全受到嚴重威脅,亟待有關方面多出實招、多出重拳。首先還是要出臺個人資訊安全法。無論是什麼原因,個人資訊保護法立法需要提速。法律不是萬能的,但卻是必須的,是個人資訊保護的基礎。
儘管刑法修正案(七)被認為是個人資訊立法的標誌性事件,儘管我們有40部法律涉及個人資訊保護,但要承認,法律內容分散,法律層級偏低。與擁有隱私權法、資訊保護和安全法、防止身份盜用法、網上隱私保護法、消費者隱私保護法、反網路欺詐法等多部專業法律的美國相比,我國個人資訊保護的專業法律缺位是不應該的。
其次,需要專門機構推動立法、監督執法。個人資訊安全法2003年就開始起草,今天依然不見蹤影,原因之一在於個人資訊保護涉及多個部門,而推動立法似乎只有個別部門。如果相關部門不齊心協力推動立法,或者不設立專門機構推動立法,相關法律恐怕很難照進現實。
而且,個人資訊保護涉及面廣,也應該有統一的專門機構來監督。以歐盟為例,據説27個成員國每個國家都有一個專門的資訊保護機構。而我們卻沒有權責清晰的資訊保護機構。如果設立專門機構,理應保持獨立性,真正代表民意。
再者,制訂的技術“國標”應該是“硬”標準。顯然,“國標”與專門的法律作用不同,都不可缺少。與其制訂沒有約束力的“軟國標”,不如制訂具有強制性、懲罰性的“硬國標”。制訂標準的程式要徵求民意,誰違背標準誰就要付出應有代價。
該公開的政府資訊遲遲不見公開,卻縱容公民個人資訊被公開,顯然,這種反差讓人難以接受,亟須改變。
