近日,工信部直属的中国软件测评中心透露,其联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。(《新京报》4月5日)
中国青年报做过的一项社会调查显示,有88.8%的人表示有过个人信息泄露而遭遇困扰的经历。而在深圳市,有统计称,深圳全市累计每年泄露的孕产妇个人信息达10万余例!不法分子还将4万多条信息制成“泄密光盘”销售,每条信息0.3元,一张光盘1.2万元一口价销售!这些事件说明,在我国,侵犯个人信息的事件有多么严重,有关个人信息保护的标准出台非常必要。
工信部这一《指南》面对企业,推出了“目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确”等八项原则的标准,涉及个人信息处理的收集、加工、转移和删除等四个主要环节,若严格遵守这些标准,必将更有力地保障个人信息。遗憾的是,指南标准不是强制性标准,甚至也不是推荐性标准,它的出台对于保障个人信息到底能起到多大作用,着实不容让人乐观。
其实,对个人信息保护问题,有关部门前些年就已关注。2009年,刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名。但是,这一罪名的犯罪主体仅是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。而网络、房地产、物管、汽车厂商、宾馆酒店等各类中介服务机构却无法惩治;其次,这一罪名侧重于事后救济,无法事先防范违法者窃取和传播个人信息。此外,我国目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,但是,这些法律、法规与工信部的《指南》一样,要么法律层次太低,要么各自为战,仅涉及本部门的问题,要么较笼统,没有规定责任部门和惩处措施,虽林林总总,却难以周全保护个人信息。
目前,我们亟待出台一部法律,来全方位地保护公民个人信息。这样一部法律,首先应当是全国人大通过的法律,对于全国各地和各部门都通用,能成为行政执法和司法部门司法的依据。其次,法律针对的主体不仅是国家机关和公营部门,而且要针对互联网公司等所有可能涉及公民个人信息的机构与单位;再次,法律必须提供周全的保护,既要提供事前防范也要提供事后救济措施。比如,在事先防范上,规定所有能获取公民信息的单位与个人,须制定严密的对公民个人信息保密的制度,并且在获取公民个人信息之时,要与公民签订保密条款,同时将工信部《指南》中的八原则吸收在内。在事后救济上,除了完善刑事处罚外,还要完善行政和民事上的处罚等等。
有报道称,2005年《个人信息保护法》专家意见稿已经提交,但迄今为止这一立法建议一直未进入正式的立法程序。希望这一部法律能尽快启动立法程序,同时在立法中针对目前个人信息被侵犯的严峻态势制定全方位的保护措施。
