保护个人信息，立标不如立法

近日，工信部直属的中国软件测评中心透露，他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审，正报批国家标准。但是，这个指南并非国家强制性标准。

孕妇还没生，奶粉商的电话接二连三；房子刚买下，装修队的短信源源不断……几乎每个人都有过这样被骚扰的经历；去年年底曝出的中国互联网最大规模的泄密事件中国软件开发联盟（CSDN）案件，更是将个人信息保护推向了风口浪尖。专家指出，我国信息技术保护不容乐观，利用个人信息非法获利的黑色链条已形成，不仅严重妨碍人们的正常生活，还为刑事犯罪提供了土壤。

制定个人信息保护指南，旨在为行业开展自律工作提供参考依据，为企业处理个人信息制定行为准则。指南涵盖的最少使用、安全保障、诚信履行、责任明确等八项原则，条条鞭辟入里，击中要害，为个人信息保护勾勒出一幅蓝图。只是这看起来很美的梦想，能否真正照进现实，恐怕还要打上一个问号。

个人信息被比喻成“很多钱装在纸糊的银行里”，很容易被别有用心者利用。显然，一个不是强制性标准，甚至也不是推荐性标准的指南，不足以为这座信息银行筑起铜墙铁壁。把希望寄托在行业道德自律上，更像是防君子不防小人，如果企业不按照标准执行，我们没有任何遏制办法，只能无可奈何。

必须看到，个人信息泄露事件频发，并非有关企业不知道如何保护，而是不愿意去做，甚至是有意为之。首先，缺乏对个人信息的尊重和敬畏，一些商业公司疏于管理，令内部员工未经授权就能获取客户信息；其次，无利不起早，在经济利益的诱惑下，个别企业主动将所掌握的个人信息拿来交易；此外，更为重要的是，惩罚机制缺失，使得信息泄露呈现出“高收益、零风险”的不对称。CSDN一案中，600多万条用户名和密码泄露，相关网站受到的仅仅是行政警告，几乎没有威慑力。由是观之，徒具观赏价值的国标，并未真正触及个人信息保护的症结，可能只会让企业看穿相关制度的孱弱，更加有恃无恐，变本加厉。

一句话，保护个人信息，立标不如立法。正如工信部副部长杨学山所言：“个人信息保护实行面广，一定要从法的角度规范，才能使这项工作在法律上有依据。”目前，世界上已有50多个国家和地区制定了保护个人信息的相关法律。英国《通信管理条例》规定，未经收信人同意发送兜售产品的垃圾信息，属于违法行为，法院受理起诉并查实后，每次罚运营商5000英镑。德国《联邦数据保护法》规定，手机用户可与运营商签订一份合同，运营商违规滥发短信，用户投诉一次最高可罚其5万欧元。

反观我国，尽管目前有近40部法律、30余部法规，以及近200部规章涉及个人信息保护，但内容较为分散，法律位阶偏低，执法主体缺位，执法力度不足。当务之急是出台一部专门法律，明确组织和个人在处理信息过程中的责任，建立个人信息的监管体制，厘清滥用他人个人信息的行政处罚制度和责任。立标诚可贵，立法价更高，如能推动2005年已提交初稿的《个人信息保护法》早日进入正式立法程序，其意义远甚于制定国家标准。（福建日报）