工业和信息化部信息安全协调司副司长欧阳武5日接受新华社记者专访时透露,《信息安全技术 公共及商用服务信息系统个人信息保护指南》(以下简称《个人信息保护指南》)目前正在国家标准委进行最后的技术审批,预计今年上半年正式出台。
欧阳武表示:“现在每个企业都说自己对个人信息的保护工作做得很好,但如果去查,肯定都有问题,都保护得不好。这些系列标准出台后,就可以形成一个闭环,明确责任,推动企业遵照执行。”
焦点
个人信息用后立即删除
在个人信息安全缺少专门法律规范时,一部行业标准成为业内的希望。
《个人信息保护指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节,其中还提出了个人信息保护的原则。
欧阳武介绍:“这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。”
“最少使用”的原则就是获取一个人的信息量时,只要能满足使用的目的就行。
“安全保障”则是要个人信息管理者一旦收集了个人信息,就必须建立一套个人信息保护制度,明确责任人和内部管理流程,以及应对个人信息泄露的风险。
中国软件测评中心副主任高炽扬估计,个人信息泄露中70%~80%属内部作案,这是“安全保障”原则没能落实好所致。
依照《个人信息保护指南》,在收集个人信息阶段告知的“使用目的”达到后应立即删除个人信息。
信息保护指南非强制标准
“为了经济效益,无利不起早。”高炽扬估计,目前没有哪个行业不存在信息泄露。
比如孕妇生完孩子刚回家,卖奶粉的电话就过来了;病人检查完身体,检查单还没看懂,相应的医药公司就已经打电话卖药来了。
中国软件测评中心研究员刘陶把个人信息比喻成“很多钱装在纸糊的银行里,很容易被黑客破解”。据他们调查,公众最关心的是金融、电信等领域的个人信息安全。
而让人担忧的是,这个指南标准不是强制性标准,甚至也不是推荐性标准,标准通过会对行业起到多大的规范效力,仍待观察。
现状
40部法律难约束个人信息泄露
工信部电子科技情报研究所副所长刘九如统计,目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定、医疗信息规定、个人信用管理办法等。
“针对个人信息的法律法规并不少,然而内容较为分散、法律法规层级偏低。”刘九如说。
《个人信息安全法》未入立法程序
《个人信息安全法》并非从未尝试破冰。
工信部副部长杨学山回忆,2003年4月,国务院信息化办公室专门对个人信息立法研究课题进行部署,2005年《个人信息保护法》专家意见稿已经提交。不过这项立法建议一直未能进入正式的立法程序。
欧阳武介绍说,我国从2003年就开始进行《个人信息保护法》的研究、制定工作,但这个课题在业界一直难以达成共识,对于哪些是需要保护的个人信息,学界看法不一。“这导致我国只有在很多专门法里笼统地提一句不能泄露个人信息、侵犯个人隐私,但如何保护,却没有具体、详细的规定和技术措施,导致这些提法形同虚设。”
■辣评
保护个人信息
仍是嘴上“唱功”?
信息保护指南非强制标准,这未免太让人失望了。作为专项保护个人信息的国标,只是告诉别人怎么做,而无任何惩处条款,无异于一个花瓶,那些见利忘义的商家会对《个人信息保护指南》顶礼膜拜吗?保护公民个人信息仍然是嘴上的“唱功”?让人忧心。
如今,以牟利为目的的贩卖个人信息行为已经相当严重,今年央视3·15晚会曝光上海罗维邓白氏营销服务有限公司出售1.5亿条个人信息,每条要价0.3到1.5元。如今公民个人信息被“裸体”司空见惯,你去售楼处买房,出不了三天,家装公司就会打电话向你推销装修;你去车市买车,很快就会有人向你促销保险。或许你感到惊讶,家装公司、保险公司怎么知道我的信息?秘密就在于商家将你“卖”了。
公众对个人信息被商家出售很烦心,又很无奈。2009年2月28日颁布的《刑法修正案(七)》,增设“非法获取公民个人信息罪”,规定“情节严重的,处三年以下有期徒刑或者拘役”。这一定罪在执行中存在着较大空间的“自由载量权”,首先“情节严重”是一个不确定概念;其次“情节不严重”自然就不构成犯罪,怎么处罚?没了下文。而现实中大量的买卖个人信息行为都属于“情节不太严重”,但对个人的危害却很严重。
这类情况该怎样处罚?不妨借鉴他山之石。比如德国,早在1977年就制定《联邦数据保护法》,以后两度修法,明确手机用户拒绝商业广告短信,可与运营商签订一份合同,运营商违规滥发短信,投诉一次最高可罚五万欧元。依此类推,如果有10人、100人投诉,电信商可能要被罚得倾家荡产。
可见,国外处罚垃圾短信和出售个人信息行为,对未构成犯罪的,一律施以严厉的罚款,让商家芒刺在背,不敢越雷池半步。(本报综合)