工业和信息化部信息安全协调司副司长欧阳武5日接受新华社记者专访时透露，《信息安全技术 公共及商用服务信息系统个人信息保护指南》（以下简称《个人信息保护指南》）目前正在国家标准委进行最后的技术审批，预计今年上半年正式出台。

  欧阳武表示：“现在每个企业都说自己对个人信息的保护工作做得很好，但如果去查，肯定都有问题，都保护得不好。这些系列标准出台后，就可以形成一个闭环，明确责任，推动企业遵照执行。”

  焦点

  个人信息用后立即删除

  在个人信息安全缺少专门法律规范时，一部行业标准成为业内的希望。

  《个人信息保护指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节，其中还提出了个人信息保护的原则。

  欧阳武介绍：“这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。”

  “最少使用”的原则就是获取一个人的信息量时，只要能满足使用的目的就行。

  “安全保障”则是要个人信息管理者一旦收集了个人信息，就必须建立一套个人信息保护制度，明确责任人和内部管理流程，以及应对个人信息泄露的风险。

  中国软件测评中心副主任高炽扬估计，个人信息泄露中70%~80%属内部作案，这是“安全保障”原则没能落实好所致。

  依照《个人信息保护指南》，在收集个人信息阶段告知的“使用目的”达到后应立即删除个人信息。

  信息保护指南非强制标准

  “为了经济效益，无利不起早。”高炽扬估计，目前没有哪个行业不存在信息泄露。

  比如孕妇生完孩子刚回家，卖奶粉的电话就过来了；病人检查完身体，检查单还没看懂，相应的医药公司就已经打电话卖药来了。

  中国软件测评中心研究员刘陶把个人信息比喻成“很多钱装在纸糊的银行里，很容易被黑客破解”。据他们调查，公众最关心的是金融、电信等领域的个人信息安全。

  而让人担忧的是，这个指南标准不是强制性标准，甚至也不是推荐性标准，标准通过会对行业起到多大的规范效力，仍待观察。

  现状

  40部法律难约束个人信息泄露

  工信部电子科技情报研究所副所长刘九如统计，目前有近40部法律、30余部法规，以及近200部规章涉及个人信息保护，其中包括规范互联网信息规定、医疗信息规定、个人信用管理办法等。

  “针对个人信息的法律法规并不少，然而内容较为分散、法律法规层级偏低。”刘九如说。

  《个人信息安全法》未入立法程序

  《个人信息安全法》并非从未尝试破冰。

  工信部副部长杨学山回忆，2003年4月，国务院信息化办公室专门对个人信息立法研究课题进行部署，2005年《个人信息保护法》专家意见稿已经提交。不过这项立法建议一直未能进入正式的立法程序。

  欧阳武介绍说，我国从2003年就开始进行《个人信息保护法》的研究、制定工作，但这个课题在业界一直难以达成共识，对于哪些是需要保护的个人信息，学界看法不一。“这导致我国只有在很多专门法里笼统地提一句不能泄露个人信息、侵犯个人隐私，但如何保护，却没有具体、详细的规定和技术措施，导致这些提法形同虚设。”

  ■辣评

  保护个人信息

  仍是嘴上“唱功”？

  信息保护指南非强制标准，这未免太让人失望了。作为专项保护个人信息的国标，只是告诉别人怎么做，而无任何惩处条款，无异于一个花瓶，那些见利忘义的商家会对《个人信息保护指南》顶礼膜拜吗？保护公民个人信息仍然是嘴上的“唱功”？让人忧心。

  如今，以牟利为目的的贩卖个人信息行为已经相当严重，今年央视3·15晚会曝光上海罗维邓白氏营销服务有限公司出售1.5亿条个人信息，每条要价0.3到1.5元。如今公民个人信息被“裸体”司空见惯，你去售楼处买房，出不了三天，家装公司就会打电话向你推销装修；你去车市买车，很快就会有人向你促销保险。或许你感到惊讶，家装公司、保险公司怎么知道我的信息？秘密就在于商家将你“卖”了。

  公众对个人信息被商家出售很烦心，又很无奈。2009年2月28日颁布的《刑法修正案(七)》，增设“非法获取公民个人信息罪”，规定“情节严重的，处三年以下有期徒刑或者拘役”。这一定罪在执行中存在着较大空间的“自由载量权”，首先“情节严重”是一个不确定概念；其次“情节不严重”自然就不构成犯罪，怎么处罚？没了下文。而现实中大量的买卖个人信息行为都属于“情节不太严重”，但对个人的危害却很严重。

  这类情况该怎样处罚？不妨借鉴他山之石。比如德国，早在1977年就制定《联邦数据保护法》，以后两度修法，明确手机用户拒绝商业广告短信，可与运营商签订一份合同，运营商违规滥发短信，投诉一次最高可罚五万欧元。依此类推，如果有10人、100人投诉，电信商可能要被罚得倾家荡产。

  可见，国外处罚垃圾短信和出售个人信息行为，对未构成犯罪的，一律施以严厉的罚款，让商家芒刺在背，不敢越雷池半步。（本报综合）