个人信息保护指南效力待检验 明确标准是提升监管关键
http://msn.finance.sina.com.cn 2012-04-13 07:15 来源: 通信信息报面对频繁发生的个人信息泄露事件,工信部相关部门负责人近日表示,中国第一个“个人信息保护”专项国家标准已制定完成,并正按程序报批。但该个人信息保护国家标准并非强制性标准,审批通过后会对行业起到多大的规范效力,仍有待观察
个人信息保护指南效力待检验 明确标准是提升监管关键
■本报记者 方微
据中新社报道,面对频繁发生的个人信息泄露事件,中国工业和信息化部相关部门负责人表示,中国第一个“个人信息保护”专项国家标准《信息安全技术、公共及商用服务信息系统个人信息保护指南》已制定完成。这份标准日前正式通过评审,正在报批国家标准。这个指南不仅明确了信息保护系统中一些原本模糊的概念,也为各方提供了一个行为规范。
个人隐私屡遭泄露,各界呼吁信息保护立法
我国个人信息保护现状不容乐观。今年的央视3·15晚会,曝光了上海某营销公司以每条3毛到1.5元的价格,出售1.5亿条个人信息。公民个人隐私被恶意泄露和滥用的猖獗现象被集中曝光,个人信息保护问题再次成为社会各界关注的焦点。
事实上,个人信息的泄露并不是新问题。近年来,兜售房主信息、股民信息、商务人士信息、车主信息、患者信息等似乎已形成了新的产业。并且,随着信息网络技术在社会各个领域的广泛应用,信息安全泄露的问题更加凸显。
受工业和信息化部安全协调司委托的一项调查显示:60%的被调查对象遇到过个人信息被盗用等问题,66%以上的人认为应加大力度打击非法获取个人信息的行为,近75%的人希望通过进一步立法来加强个人信息保护。
个人信息被泄露后,很多人并不知道在何处泄露。工业和信息化部科学技术情报研究所2011年下半年开展的调查显示,30%的人认为可能是通过网站泄露,30%的人认为可能是通讯公司,30%的人不清楚到底是在哪个地方泄露的。个人信息被滥用后,因取证困难,只有不足10%的被调查对象采取了相应维权措施。
据悉,信息泄露的犯罪主体多是国家机关或者金融、交通、教育、医疗等单位的工作人员,以及互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位。
随着网络发展,个人信息集中度越来越高,利用个人信息从事非法获利的黑色链条也逐渐形成。只有加强个人信息立法,才能从根本上割断个人信息牟利化的利益链条,解决个人信息保护的问题。个人信息保护成为法制建设关注的重要内容。
个人信息保护指南规范效力仍待观察
中国软件评测中心主任助理朱璇说,此次个人信息安全国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》属于技术指导文件。所谓技术指导文件,即只有指导性,没有强制性;只有象征意义,没有实际意义、操作价值。那么,不是强制性标准甚至非推荐性标准,标准通过会对行业起到多大的规范效力?仍待观察。
标准的通过能对行业起到多大的规范效力,着实令人担忧。据统计,我国目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,然而法律界人士认为,这些针对个人信息的法律法规内容较为分散、法律法规层级偏低,刑法也尚未明确该罪的具体界定标准,约束力明显不足。
“现行的法律法规在保护公民个人信息方面,确实还存在很大的不足。”西南政法大学法学院副教授黄开诚坦言,目前,政策法规涉及公民个人信息保护方面,只有《中华人民共和国刑法》第七次修正案中有所提及。
工业和信息化部信息安全协调司副司长欧阳武表示,个人信息安全国家标准是非强制性的,是政府组织及推动个人信息保护工作的一部分。这个标准正式出台后,还将有一系列的配套标准,包括技术保障、管理规范、认证和审计细则等。
同时,据工业和信息化部信息安全协调司副司长欧阳武介绍,该《指南》标准定义了个人信息保护的相关概念,明确在个人信息处理的收集、加工、转移、删除4个环节中,信息主体、管理者、获得者和独立测评机构的角色与职责,为行业开展个人信息保护工作提供了行为准则。
可见,在个人信息安全保护缺少专门法律规范的情况下,这一国家标准至少带来了一些希望,虽然这次指南属于国标中的技术指导性文件,法律层级并不高,但最大价值在于扩大明确了信息保护的对象和范围,其中规定的“用后立即删除”、“最少使用原则”等如果能够被业内接受,将大大强化对个人信息的保护。
保护个人信息明确标准是监管关键
早在2009年,刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴,规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。但是,这一犯罪主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。诸多法律界人士认为,刑法未明确该罪的具体界定标准,这一条款还有进一步改进和完善的空间。另外,专家认为法律中对信息泄露者惩罚机制不够。
“无法可依成为当下最严峻的问题。”黄开诚建议,“我们应效仿美国的《隐私权法》,出台《公民个人信息保护法》,在民事、行政、刑事三方面为公民个人信息提供统一、系统的保护。”
的确,个人信息频被泄露、被转卖,个人隐私、财产甚至生命安全受到严重威胁,亟待有关方面多出实招、多出重拳。首先还是要出台个人信息安全法。无论是什么原因,个人信息保护法立法需要提速。法律不是万能的,但却是必须的,是个人信息保护的基础。二是收集个人信息的机构、单位、公司在业务开展过程中要切实做好个人信息保护工作。三是社会公众要关注个人信息不被盗卖或滥用,社会各界和媒体要加强监督。
在现代社会生活中,需要人们提供个人信息的地方很多。比如网上注册、办理银行卡、、商业会员卡等。由于这些不同行业和部门管理水平参差不齐,就给个人信息安全造成了较大隐患。事实上,个人信息也就是从一些管理存在漏洞的行业和部门泄漏的。因此,切实加强对掌握私人信息的行业和部门的管理,建立起严格的监管机制,是保护个人信息的关键。