近日,工信部直屬的中國軟體測評中心透露,他們聯合30多家單位起草的《資訊安全技術、公共及商用服務資訊系統個人資訊保護指南》已正式通過評審,正報批國家標準。但該中心常務副主任黃子河透露説,這個指南並非國家強制性標準。(相關報道見今日本報19版)
制定個人資訊保護指南,旨在為行業開展自律工作提供參考依據,為企業處理個人資訊制定行為準則。指南涵蓋的最少使用、安全保障、誠信履行、責任明確等八項原則,條條鞭辟入裏,擊中要害,為個人資訊保護勾勒出一幅美妙的藍圖。只是這看起來很美的夢想,能否真正照進現實,恐怕還要打上一個問號。
個人資訊被比喻成“很多錢裝在紙糊的銀行裏”,很容易被別有用心者攻破,顯然,一個不是強制性標準,甚至也不是推薦性標準的指南,不足以為這座資訊銀行築起銅墻鐵壁。把希望寄託在行業道德自律上,更像是防君子不防小人,如果企業不按照標準執行,我們沒有任何鉗制辦法,只能無可奈何。
必須看到,個人資訊洩露頻發,並非企業不知道如何保護,而是不願意去做,甚至是有意為之。首先,缺乏對個人資訊的尊重和敬畏,一些商業公司疏于管理,令內部員工未經授權就能獲取客戶資訊;其次,無利不起早,在經濟利益的誘惑下,個別企業主動將所掌握的個人資訊拿來交易;此外,更為重要的是,懲罰機制缺失,使得資訊洩露呈現出“高收益、零風險”的不對稱。CSDN一案中,600多萬條用戶名和密碼洩露,相關網站受到的僅僅是行政警告,幾乎沒有威懾力。由此觀之,徒具觀賞價值的國標,並未真正觸及個人資訊保護的癥結,只能讓企業看穿制度的孱弱,更加變本加厲,有恃無恐。
一句話,保護個人資訊,立標不如立法。正如工信部副部長楊學山所言,“個人資訊保護實行面廣,一定要從法的角度規範,才能使這項工作在法律上有依據。”目前,世界上已有50多個國家和地區制定了保護個人資訊的相關法律,以加拿大1993年出臺的《關於私人機構中個人資訊保護法案》為例,法案明確規定侵害他人的個人資訊,將會承擔相應的行政、民事和刑事責任。
反觀我國,儘管目前有近40部法律、30余部法規,以及近200部規章涉及個人資訊保護,但內容較為分散,法律法規層次偏低,執法主體缺位,執法力度不足。當務之急是出臺一部專門法律,明確組織和個人在處理資訊過程中的責任,建立個人資訊的監管體制,厘清濫用他人個人資訊的行政處罰制度和責任。立標誠可貴,立法價更高,如能推動初稿提交6年的《個人資訊保護法》,早日真正進入正式立法程式,其意義遠甚于制定所謂的國家標準。
