個(gè)人信息保護(hù)：“軟國標(biāo)”須配“硬法規(guī)”

● 焦宏彤

2013年2月1日起，《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》 （以下稱《指南》）開始付諸實(shí)施。作為我國首部個(gè)人信息保護(hù)國家標(biāo)準(zhǔn)，它確立了“目的明確、最少夠用、公開告知、個(gè)人同意、質(zhì)量保證、安全保障、誠信履行、責(zé)任明確”8項(xiàng)原則，主要對信息服務(wù)從業(yè)者進(jìn)行規(guī)范。

《指南》最顯著的特點(diǎn)是規(guī)定個(gè)人敏感信息在收集和利用之前，必須首先獲得個(gè)人信息主體明確授權(quán)。然而，在《指南》落地施行一段時(shí)間之后，金融機(jī)構(gòu)、通訊運(yùn)營及電子商務(wù)等行業(yè)依然靜悄悄，企業(yè)大多對《指南》并不重視，公眾對《指南》也不知情。作為一部沒有任何法律約束力和強(qiáng)制性的“軟國標(biāo)”，實(shí)施效力和前景如何，也被各方廣泛質(zhì)疑。

現(xiàn)狀：4類個(gè)人信息最吃香，“唐僧肉”輪番被爭搶倒賣

眼下，除了最火的股民信息外，在網(wǎng)絡(luò)上，有4類個(gè)人信息比較熱賣——

新房業(yè)主。他們是房產(chǎn)中介、裝飾公司最垂涎的客戶資源，這類公司通過各種手段拿到新買房業(yè)主的資料后，就會(huì)挨個(gè)多次電話公關(guān)“掃蕩”。

私家車主。買得起車的人一般被認(rèn)為具有一定的消費(fèi)能力，因而，保險(xiǎn)公司、保健品、奢侈品、車友俱樂部等各種業(yè)務(wù)都會(huì)主動(dòng)“問候”。

企業(yè)主或經(jīng)理人。這個(gè)群體屬于高端客戶，是各行各業(yè)服務(wù)機(jī)構(gòu)爭相拿下的目標(biāo)，同時(shí)也是高檔消費(fèi)會(huì)所、金融機(jī)構(gòu)VIP部門、高爾夫球俱樂部主要的“財(cái)神”。

新生嬰兒。這是很容易被人忽略但同樣重要的消費(fèi)群。“再窮不能窮孩子”，產(chǎn)婦及家人都有這樣的經(jīng)歷：寶寶還沒出生就招來了奶粉商和胎毛筆商；出生之后，嬰兒攝影店的電話總能掐準(zhǔn)時(shí)間；接著，保險(xiǎn)公司、早教機(jī)構(gòu)接踵而來……

當(dāng)前，個(gè)人信息安全問題日益凸顯。有報(bào)告顯示，2012年，網(wǎng)絡(luò)犯罪使全球個(gè)人用戶蒙受直接經(jīng)濟(jì)損失高達(dá)1100億美元，在中國，網(wǎng)絡(luò)犯罪的受害人數(shù)超過2.57億人，蒙受的直接經(jīng)濟(jì)損失達(dá)到了2890億元，網(wǎng)絡(luò)犯罪的受害者占網(wǎng)絡(luò)比重高達(dá)75%，平均每1位網(wǎng)民受到直接經(jīng)濟(jì)損失達(dá)到1100元，個(gè)人信息的竊取等網(wǎng)絡(luò)犯罪行為正在威脅著公眾對網(wǎng)絡(luò)信息安全的信心。日益嚴(yán)峻的信息安全形勢，迫切需要加快網(wǎng)絡(luò)系統(tǒng)建設(shè)，保障個(gè)人信息安全，維護(hù)公眾個(gè)人信息權(quán)益。

所謂個(gè)人信息，是指現(xiàn)實(shí)生活中“能夠識(shí)別特定個(gè)人的一切信息”，其范圍很廣，包括文檔、視頻音頻文件、指紋、檔案等。

《指南》將個(gè)人信息分為一般信息和敏感信息，并提出默許同意和明示同意的概念。對于個(gè)人一般信息的處理可以建立在默許同意的基礎(chǔ)上，只要個(gè)人信息主體沒有明確表示反對，可以收集和利用。個(gè)人敏感信息包括身份證號碼、手機(jī)號碼、種族、政治觀點(diǎn)、宗教信仰、基因、指紋等。對于個(gè)人敏感信息，則需要建立在明示同意的基礎(chǔ)上，在收集和利用之前，必須首先獲得個(gè)人信息主體明確的“授權(quán)”。

目前，各類服務(wù)行業(yè)在獲取個(gè)人信息時(shí)表現(xiàn)不一。一些金融機(jī)構(gòu)的信用卡辦理采用沉默原則。個(gè)人可以主動(dòng)在身份證復(fù)印件或業(yè)務(wù)表格中聲明“該身份信息僅限此業(yè)務(wù)、不能作其他用途”；如果不聲明，柜員也不會(huì)專門作出提醒。

通訊運(yùn)營商對個(gè)人信息保護(hù)的態(tài)度則較為積極。不論用戶是否進(jìn)行授權(quán)聲明，在辦理業(yè)務(wù)時(shí)，營業(yè)廳服務(wù)人員都會(huì)在用戶的身份證復(fù)印件上敲上“該信息只用于此業(yè)務(wù)”的專用章，以確保個(gè)人信息安全。

京東、天貓、凡客等電子商務(wù)網(wǎng)站在用戶注冊協(xié)議中注明“本網(wǎng)站不會(huì)泄露用戶隱私”、“用戶在本站進(jìn)行瀏覽、下單購物等活動(dòng)時(shí)，涉及用戶真實(shí)姓名、通信地址、聯(lián)系電話、電子郵箱等隱私信息的，本站將予以嚴(yán)格保密”等條款，但是沒有在用戶填寫信息時(shí)，添加“個(gè)人信息授權(quán)使用”的選項(xiàng)。隨著電子商務(wù)狂潮的來臨，網(wǎng)絡(luò)糾紛大幅度增多，其中很多涉及個(gè)人信息侵犯問題，個(gè)人信息保護(hù)國家標(biāo)準(zhǔn)及法律法規(guī)的出臺(tái)和實(shí)施顯得迫在眉睫。

《指南》進(jìn)步意義大，欠缺約束力

《指南》明確了個(gè)人信息保護(hù)過程中涉及到的主體、管理、個(gè)人信息獲得以及獨(dú)立機(jī)構(gòu)4類角色。要求處理個(gè)人信息應(yīng)當(dāng)具有特定、明確和合理的目的，應(yīng)當(dāng)在個(gè)人信息主體知情的情況下獲得個(gè)人信息主體的同意，在達(dá)成個(gè)人信息使用目的之后刪除個(gè)人信息。

《指南》還正式劃分了收集、加工、轉(zhuǎn)移、刪除4個(gè)環(huán)節(jié)，并針對每一個(gè)環(huán)節(jié)提出了落實(shí)8項(xiàng)基本原則的具體要求。事實(shí)上，《指南》制定的最大目的，是著力提高全社會(huì)對個(gè)人信息的保護(hù)意識(shí)。

《指南》的出臺(tái)及實(shí)施，表達(dá)出政府有關(guān)部門盡力要跟上信息時(shí)代發(fā)展步伐的意圖，尤其是在遏制信息犯罪、保護(hù)公民的合法權(quán)益方面，具有明顯的進(jìn)步作用。但是，《指南》畢竟只是一部標(biāo)準(zhǔn)，可以產(chǎn)生多大效力，仍引起業(yè)界質(zhì)疑。

在當(dāng)前個(gè)人信息安全缺少專門法律規(guī)范的現(xiàn)狀下，這個(gè)《指南》顯然寄托了全社會(huì)的不少希望：希望能拓展和建立起個(gè)人信息保護(hù)體系，希望能指導(dǎo)個(gè)人信息保護(hù)工作的有效開展，希望提高全社會(huì)的個(gè)人信息保護(hù)意識(shí)。

據(jù)了解，作為《指南》的起草單位，中國軟件評測中心還將牽頭組建個(gè)人信息保護(hù)推進(jìn)聯(lián)盟。通過建立企業(yè)自律模式，彌補(bǔ)我國個(gè)人信息保護(hù)相關(guān)組織機(jī)構(gòu)的缺失問題。

國家標(biāo)準(zhǔn)分為強(qiáng)制性國家標(biāo)準(zhǔn)、推薦性國家標(biāo)準(zhǔn)和指導(dǎo)性技術(shù)文件3種。這個(gè)《指南》屬于“技術(shù)指導(dǎo)文件”，換句話說，其僅有指導(dǎo)性作用，而沒有強(qiáng)制性的威力。

在目前的法律真空期，用戶在提供相關(guān)個(gè)人信息時(shí)，如果主動(dòng)聲明該信息的使用范圍，可以較好地保護(hù)自己的權(quán)益。在這樣的基礎(chǔ)上，一旦發(fā)現(xiàn)自己的個(gè)人隱私被盜，相關(guān)信息采集者屬于違約，可以運(yùn)用《合同法》進(jìn)行維權(quán)。

在個(gè)人信息安全缺少專門法律規(guī)范時(shí)，一部行業(yè)標(biāo)準(zhǔn)承擔(dān)的責(zé)任顯得過于沉重。也就是說，《指南》的出臺(tái)一定程度上可以彌補(bǔ)個(gè)人信息安全缺乏專門法律規(guī)范“硬傷”。

個(gè)人信息保護(hù)法律法規(guī)缺位

當(dāng)前，信息化已經(jīng)成為推動(dòng)經(jīng)濟(jì)社會(huì)發(fā)展的重要力量，成為衡量一個(gè)國家和地區(qū)經(jīng)濟(jì)社會(huì)發(fā)展水平的重要標(biāo)志。但當(dāng)前存在著信息安全意識(shí)不強(qiáng)、安全防護(hù)水平不高、信息安全管理薄弱等問題，網(wǎng)上有害信息傳播、病毒入侵和網(wǎng)絡(luò)攻擊日趨嚴(yán)重，網(wǎng)絡(luò)泄密事件屢有發(fā)生，網(wǎng)絡(luò)信息安全形勢不容樂觀。個(gè)人信息頻繁被泄露、被轉(zhuǎn)賣，個(gè)人隱私、財(cái)產(chǎn)安全受到嚴(yán)重威脅，亟待監(jiān)管部門從立法層面多出實(shí)招、多出重拳來保護(hù)個(gè)人信息。在我國，最迫切的是要盡快出臺(tái)個(gè)人信息保護(hù)相關(guān)法律法規(guī)，提速個(gè)人信息保護(hù)立法。法律不是萬能的，但是離開法律卻是萬萬不行的，法律法規(guī)是個(gè)人信息保護(hù)的基礎(chǔ)和保障。

眼下，國際社會(huì)已經(jīng)有比較成熟的個(gè)人信息保護(hù)法律，比如美國的《隱私法》，英國的《個(gè)人數(shù)據(jù)保護(hù)法》等。是否有個(gè)人信息保護(hù)法律法規(guī)甚至還成為一些國家設(shè)置貿(mào)易壁壘的借口。所以，盡快出臺(tái)《個(gè)人信息保護(hù)法》意義重大。

刑法修正案（七）被認(rèn)為是個(gè)人信息立法的標(biāo)志性事件，盡管我國有多達(dá)40部法律涉及個(gè)人信息保護(hù)，但是，法律內(nèi)容分散，與擁有《隱私法》、《信息保護(hù)和安全法》、《防止身份盜用法》、《網(wǎng)上隱私保護(hù)法》、《消費(fèi)者隱私保護(hù)法》、《反網(wǎng)絡(luò)欺詐法》等多部專業(yè)法律的美國相比，我國個(gè)人信息保護(hù)的專業(yè)法律缺位是非常明顯的。

從2003年起，我國就開始醞釀制定《個(gè)人信息保護(hù)法》，然而時(shí)至今日，10年過去了，依然不見蹤影，很大原因就在于個(gè)人信息保護(hù)涉及多個(gè)部門，而推動(dòng)立法的似乎只有個(gè)別部門。如果相關(guān)部門不齊心協(xié)力推動(dòng)立法，或者不設(shè)立專門機(jī)構(gòu)推動(dòng)立法，相關(guān)法律法規(guī)恐怕依然只是個(gè)影子。

而且，個(gè)人信息保護(hù)涉及面廣，也應(yīng)該有統(tǒng)一的專門機(jī)構(gòu)來監(jiān)督。以歐盟為例，27個(gè)成員國每個(gè)國家都有一個(gè)專門的信息保護(hù)機(jī)構(gòu)。而我國卻沒有權(quán)責(zé)清晰的信息保護(hù)機(jī)構(gòu)。如果設(shè)立專門機(jī)構(gòu)，還應(yīng)該真正代表最廣大的公眾利益，而不是成為某些行業(yè)利益的代言人。

目前，在法律法規(guī)缺位的社會(huì)環(huán)境下，某些地區(qū)正在通過先行建立地方法規(guī)的方式，推動(dòng)個(gè)人信息保護(hù)。據(jù)了解，河北省近期醞釀出臺(tái)地方法規(guī)，保護(hù)個(gè)人信息不被泄露。法規(guī)的“最亮點(diǎn)”規(guī)定是：金融、保險(xiǎn)、電信、供水、供電、供氣、醫(yī)療、物業(yè)、房產(chǎn)中介及其他掌握公眾信息的單位，如果將獲取的公民、法人或者其他組織的信息出售或者以其他方式非法提供給他人，最高將被罰50萬元；對侵犯他人信息的個(gè)人，處以1萬元以上5萬元以下罰款；構(gòu)成犯罪的，依法追究刑事責(zé)任。

標(biāo)準(zhǔn)與法規(guī)：軟硬搭配最有效

當(dāng)然，在個(gè)人信息保護(hù)法規(guī)“干打雷不下雨”的情況下，相關(guān)部門只能退而求其次，先以“軟”國標(biāo)試水，然后再推動(dòng)制定和出臺(tái)“硬”法規(guī)。事實(shí)上，國家標(biāo)準(zhǔn)與專門的法律法規(guī)作用不同，但是兩者都不可缺少?！吨改稀返某雠_(tái)，只是一個(gè)有效的投石問路，需要在實(shí)施過程中不斷完善，并盡快上升到法律法規(guī)層面，包括要明確對侵犯個(gè)人信息者如何制裁、由什么機(jī)構(gòu)負(fù)責(zé)執(zhí)法等問題，讓公眾能夠依法維護(hù)自身的合法權(quán)益。

《指南》對于個(gè)人信息保護(hù)起到了明確的技術(shù)規(guī)范作用，但是，由于《指南》缺乏實(shí)際約束力，如果沒有相關(guān)法律法規(guī)的配合，涉及個(gè)人信息的相關(guān)部門、機(jī)構(gòu)和企業(yè)對國家標(biāo)準(zhǔn)的重視和實(shí)施程度會(huì)大大降低。個(gè)人信息保護(hù)關(guān)乎公眾隱私、財(cái)產(chǎn)安全，更需要主管部門出實(shí)招、見實(shí)效，解決公眾的實(shí)際問題。

同樣，法律法規(guī)固然重要，但是，立法需要一定的時(shí)間和過程。即便制定出法律法規(guī)，也不可能覆蓋到個(gè)人信息保護(hù)的方方面面和每個(gè)角落，法律法規(guī)不可能詳細(xì)到企業(yè)個(gè)人信息的管理和內(nèi)部流程。而作為國家標(biāo)準(zhǔn)的《指南》，則相對更容易解決這一問題。