时评：保护个人信息安全必须立法

　　早报评论员 沈彬

　　近日，工信部直属的中国软件测评中心透露，他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》(下称“指南”)已正式通过评审，正报批国家标准。“指南”对个人信息的处理包括收集、加工、转移和删除四个环节，其中特别强调了对个人信息保护，个人信息用后应立即删除。(《新京报》4月5日)

　　当下，个人信息泄露屡屡发生，我们常常遭到保险、房产、医疗推销广告的“定点骚扰”，一些网站密码也被成规模破解……我们一直期待政府有强有力的作为。不过，目前的这个“指南”并非国家立法，甚至并非强制性标准。

　　但“指南”本身还是有相当多的亮点。去年2月，工信部网站曾公布过《信息安全技术个人信息保护指南》(草案)(下称“草案”)，向全社会征求意见。这个“草案”跟现在的“指南”颇有渊源。“草案”是由中国软件评测中心，以及新浪、腾讯、百度、金山、360等IT公司参与制订的，适用范围仅是“利用信息系统进行个人信息处理”，应该被看作是规范软件商、网站处理用户信息的标准。而目前的“指南”在名称中增加了“公共及商用服务信息系统”，也就是说在IT产业之后，把公众最关心的医疗、金融、电信、民航等掌握公民个人信息，且时常发生泄露信息案件的产业，也置于未来新国标规范之下。这使得“指南”有了个人保护“小立法”的格局。

　　这部未来国标的指导理念，还是相当先进的，按工信部官员解释，未来新国标的保护原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。比如，一些网站让用户填写家庭住址、手机号等很多信息，这就不符合“最少使用”原则。“指南”还规定，在收集个人信息阶段告知的“使用目的”达到后，应立即删除个人信息。

　　结合新闻报道，以及去年公布的“草案”，个人信息保护的未来国标明显借鉴欧盟等先进地区的立法，比如1995年欧盟《个人数据保护指令》中的“个人数据的收集和处理必须充分和相关，不能过度，不能超越目的范围”、“经个人数据主体明确同意”等等，都能在未来新国标找到相应的规定。

　　未来新国标虽好，但它是没有“牙齿”的，即使被国家标准管理委员会批准，也只是推荐性国标。就算电信、银行、网站等企业，承诺采纳这套国标，也无法评估体制企业是否做到了“最小使用”、“用后即删”。按1988年的《标准化法》，只有对违反国家标准生产的“产品”，才能予以没收、罚款等执法；而企业处理用户个人信息，并没有“产品”让执法部门执法。到时候，国标的执行只能看商家的“良心”。

　　然而，从2009年起屡屡曝光的电信企业将用户信息，贩卖给垃圾短信商来看，没有明确的法律禁止和处罚，商家的“良心”是靠不住的。中国缺的是一部“个人信息保护法”，从法律层面，而不是行业规范的层面，来提纲挈领，通盘保护公民的信息安全。

　　简单地说，就是要立法定分止争，规定企业、机关如何收集公民信息，如何保障信息安全，在何种法律授权下可以向第三方公布，一旦保障制度不落实、故意泄露信息，接受何种处罚……大的原则，在“指南”中已经明确，关键要“装上牙齿”，明确企业违法搜集、滥用、不删除个人信息的法律后果，这才能真正保卫信息安全。