近日,工信部直属的中国软件测评中心透露,他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。指南提出“最少够用原则”、个人信息用后应立即删除。但这个指南并非国家强制性标准。(4月5日《新京报》)
当前,我国个人信息保护不容乐观,各种泄密事件频发,甚至已经形成利用个人信息从事非法获利的黑色利益链。在这种现实语境下,制定和出台相关行业标准,一定程度上可以为行业开展自律工作提供很好的参考,为企业处理个人信息制定行为准则。但根本上,保护个人信息不能寄望于行业自律。
一个行业要良性发展,必须要有自己的行业规定,只有大家都遵守,才能真正发展壮大。可是,我们不得不承认,行业自律是脆弱的,往往敌不过商人趋利的本性。三聚氰胺事件无疑就是一个鲜明的例子,在利益的驱使下,一些企业罔顾行业准则,险致牛奶行业全军覆没。
对于信息行业的从业者来说,买卖个人信息无疑是一个不可忽视的利润来源。更何况,由于针对个人信息的法律法规内容分散、层级偏低,即便刑法确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”等罪名,因惩罚机制不完善,追究起来也是轻飘飘。
在此种情况下,单单靠制定和出台行业标准,显然达不到保护个人信息的目的。由于缺乏强制性,从业者大可不必担忧自己会因不遵守行业准则而付出代价。而即便是出现个人信息泄露,相应的处罚亦不足以使得潜在违法者望而生畏。自然而然,从业者也就不可能重视保护个人信息。
归根结底,对于个人信息的保护,最管用且最实在的还是法律和监管。只有加快完善法律,提升个人信息保护的法律法规层级,明确买卖个人信息罪名的界定标准,并加大惩罚力度,才能倒逼从业者遵守行业标准;只有完善和加强监管,才能让无良者无处遁形。