個人信息保護“國標”徒具觀賞性

　　近日，工信部直屬的中國軟件測評中心透露，他們聯(lián)合30多家單位起草的《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》已正式通過評審，正報批國家標準。指南提出“最少夠用原則”、個人信息用后應(yīng)立即刪除。但這個指南并非國家強制性標準（4月5日《新京報》）。

　　這個行業(yè)標準被稱為“國標”。在個人信息安全缺少專門法律規(guī)范的情況下，這個“國標”顯然寄托了很多人的希望，希望能拓展個人信息保護體系，希望能指導個人信息保護工作。但遺憾的是，這個“國標”屬于“技術(shù)指導文件”，即只有指導性，沒有強制性；只有象征意義、觀賞價值，沒有實際意義、操作價值。

　　何以這么說呢？原因是這個“國標”沒有實際約束力——沒有法律效力，沒有監(jiān)督力，涉及個人信息的相關(guān)部門、機構(gòu)和企業(yè)等，不會拿這樣的“國標”當回事。個人信息保護關(guān)乎公民隱私、財產(chǎn)甚至生命安全，需要出實招，需要招招見效。

　　包括刑法修正案在內(nèi)的40部法律，都約束不了個人信息泄露，顯然，沒有任何強制性的技術(shù)“國標”更是花拳繡腿。據(jù)悉，“國標”分為三種：強制性標準、推薦性標準和指導性技術(shù)文件。而國家強制性標準多在食品安全領(lǐng)域。事實上，個人信息安全與食品安全同樣重要，拿最弱的標準保障個人信息安全不妥。

　　需要我們反思的是，為何會制訂這樣的“花瓶國標”？報道稱，在個人信息安全缺少專門法律規(guī)范時，一部行業(yè)標準成為業(yè)內(nèi)的希望。也就是說，此“國標”是為了彌補個人信息安全缺少專門法律規(guī)范的缺憾。但這樣的“國標”不具有法律效力又如何彌補法律上的缺憾？無疑，法律的問題需要立法解決，而非指導性技術(shù)文件。

　　之所以制訂“花瓶國標”，不排除三個原因：一是在個人信息保護法拖了9年未見出臺的情況下，相關(guān)部門只能在力所能及的范圍內(nèi)有所作為，以面對輿論壓力；二是個人信息泄露多次發(fā)生在電信公司，說明電信領(lǐng)域是高發(fā)區(qū)，“老子”對“兒子”或許不愿動真格；三是先以“軟國標”試水然后再“硬”。

　　但不管是什么原因，制訂“花瓶國標”不是在出實招。而個人信息頻被泄露、被轉(zhuǎn)賣，個人隱私、財產(chǎn)甚至生命安全受到嚴重威脅，亟待有關(guān)方面多出實招、多出重拳。首先還是要出臺個人信息安全法。無論是什么原因，個人信息保護法立法需要提速。法律不是萬能的，但卻是必須的，是個人信息保護的基礎(chǔ)。

　　盡管刑法修正案（七）被認為是個人信息立法的標志性事件，盡管我們有40部法律涉及個人信息保護，但要承認，法律內(nèi)容分散，法律層級偏低。與擁有隱私權(quán)法、信息保護和安全法、防止身份盜用法、網(wǎng)上隱私保護法、消費者隱私保護法、反網(wǎng)絡(luò)欺詐法等多部專業(yè)法律的美國相比，我國個人信息保護的專業(yè)法律缺位是不應(yīng)該的。

　　其次，需要專門機構(gòu)推動立法、監(jiān)督執(zhí)法。個人信息安全法2003年就開始起草，今天依然不見蹤影，原因之一在于個人信息保護涉及多個部門，而推動立法似乎只有個別部門。如果相關(guān)部門不齊心協(xié)力推動立法，或者不設(shè)立專門機構(gòu)推動立法，相關(guān)法律恐怕很難照進現(xiàn)實。

　　而且，個人信息保護涉及面廣，也應(yīng)該有統(tǒng)一的專門機構(gòu)來監(jiān)督。以歐盟為例，據(jù)說27個成員國每個國家都有一個專門的信息保護機構(gòu)。而我們卻沒有權(quán)責清晰的信息保護機構(gòu)。如果設(shè)立專門機構(gòu)，理應(yīng)保持獨立性，真正代表民意。

　　再者，制訂的技術(shù)“國標”應(yīng)該是“硬”標準。顯然，“國標”與專門的法律作用不同，都不可缺少。與其制訂沒有約束力的“軟國標”，不如制訂具有強制性、懲罰性的“硬國標”。制訂標準的程序要征求民意，誰違背標準誰就要付出應(yīng)有代價。

　　該公開的政府信息遲遲不見公開，卻縱容公民個人信息被公開，顯然，這種反差讓人難以接受，亟須改變。