工信部直属的中国软件测评中心透露,他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。指南提出最少够用原则、个人信息用后应立即删除。但这个指南并非国家强制性标准。(今日本报B04版)
公民个人信息“裸奔”这么多年,还是沦为商家砧板上的鱼肉:今年央视3·15晚会曝光了上海罗维邓白氏营销服务公司出售1.5亿条个人信息,每条要价0.3到1.5元。买车了,保险推销接踵而至;买房了,装修广告无缝而入;生孩子了,婴幼儿用品宣传狂轰滥炸……2011年底,因黑客入侵导致的波及1亿用户的互联网个人信息泄露事件,不过是个人信息安全危机的网络路演。
尽管《个人信息保护指南》初衷良善,甚至还提出了个人信息保护的八项原则,但“指南”不具有强制性,只是一个推荐实施的国家标准,网站、商家违反了也不会受到任何处罚。既然如此,说得再天花乱坠,恐怕也吓不退寄生在个人信息利益链上的诸多贪婪。工信部电子科技情报研究所副所长刘九如曾统计,目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护。2009年,刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴。诸多更高层级的法律尚且管不住个人信息贩卖的勾当,仅靠一部行业色彩浓郁的“指南”就能为个人信息安全找到一条回家的路?
真正的问题在于两个层面:一是专门立法的迟滞。早在2003年4月,国务院信息化办公室就曾专门对个人信息立法研究课题进行部署,2005年《个人信息保护法》专家意见稿已经提交,近十年来,无论官方抑或民间都在积极推动,遗憾的是,这项建议一直未能进入正式的立法程序;二是责罚绵柔,譬如此前警方破获CSDN的600多万条用户名和密码泄露案件,随后对相关网站的处罚只是提出行政警告而已。而在德国,手机用户拒绝商业广告短信,可与运营商签订一份合同,运营商违规滥发短信,投诉一次最高可罚五万欧元。按照这样的罚则,中国的电信运营商倾家荡产N次都来不及。
个人信息安全已经在密集的公共事件中一次次被拷问,这不是轻飘飘的行业指南所能纾解的症结。不管怎么说,个人信息安全堪忧,这总不是信息社会应有的常态。