个人信息保护国家标准作用遭疑 非强制性意义不大

　　近日，随着工信部透露“我国个人信息保护的首个国家标准编制完成”，个人信息保护这一老生常谈的问题再次成为公众关注的焦点。

　　乐观者表示，个人信息保护的首个国家标准，可以进一步促进公民对个人信息保护的自觉，增进共识，为个人信息保护立法积累经验。

　　近年来，个人信息被泄露已呈现出泄密渠道多、范围广、程度深，且形成黑色产业链的特点。对被泄露者而言，不仅危害巨大，还普遍存在“维权难”。一纸国标能否承担公众的期许？呼唤许久的个人信息保护立法能否紧随而来？这些是每一位公众所关心的问题。

　　□视点关注

　　工业和信息化部日前宣布，《信息安全技术、公共及商用服务信息系统个人信息保护指南》已编制完成，现已作为指导性技术文件通过全国信息安全标准化技术委员会主任办公会审议，正按照国家标准审批程序上报国家标准化管理委员会批准，指南有望在今年上半年正式出台。

　　该信息一经披露，就引发了公众对个人信息保护和个人信息保护立法的普遍关注。有叫好的，称赞其推进了个人信息保护的立法进程，比较给力；但也有拍砖的，称“多它一部不多、少它一部不少”，不是强制性标准，保护意义不大。

　　标准只解决技术问题

　　保护指南之所以在业内引起如此大的分歧和争议，原因来自于其本身的定位和属性。在业内人士看来，指南仅仅是一部带有行业指导意义的个人信息保护国家标准，它不是强制性标准。这点从此次指南制定单位——中国软件评测中心副主任高炽扬的介绍中就可得到印证。高炽扬表示，指南的出台更具有行业指导意义，而不是法律，不具有强制性。

　　那么国家标准从法律意义上来讲究竟具有什么实质内容呢？《法制日报》记者就此采访了中国电子商务协会政策法律委员会副主任阿拉木斯。他告诉记者，国家标准是在全国范围内统一的技术要求，由国务院标准化行政主管部门统一审批、编号、发布。国家标准分为强制性国标(GB)和推荐性国标(GB/T)。强制性国标是保障人体健康、人身、财产安全的标准和法律及行政法规规定强制执行的国家标准；推荐性国标是指生产、检验、使用等方面，通过经济手段或市场调节而自愿采用的国家标准。

　　记者查阅了《中华人民共和国标准化法》，根据该法第六条规定，目前国内的标准分为国家标准、行业标准、地方标准(DB)、企业标准(QB)四级。而按照标准化对象，通常把标准分为技术标准、管理标准和工作标准三大类。

　　阿拉木斯认为，标准解决的主要是技术问题、指标问题、流程问题，而标准恰恰不能解决权利义务和责任问题，不解决行为规范的问题，也就是不解决保护本身的问题，而解决这些问题则是法律的长项。

　　阿拉木斯的观点也得到高炽扬说法的印证。高炽扬近日在作客网站访谈时表示，法律和标准的定义是完全不同的，法律是管人的，而标准关注的更多是信息系统的；法律的约束范围很广，特别是事后的惩戒部分，而标准关注的则是事前怎么处理、该怎么把它做好。

　　标准可推动行业自律

　　阿拉木斯认为、指南在性质上属于一种行业标准，解决的应该是个人信息保护的技术问题。但目前我国在个人信息保护方面最迫切需要解决的问题，恰恰是权利、义务和责任方面的问题，而这些则需要立法来解决。一个行业技术标准是无法胜任的。

　　对此，中国社会科学院《法治蓝皮书》的《个人信息保护现状调研报告》主笔人、社科院法学所副研究员吕艳滨认为，虽然指南这个标准不具有强制性，但也没必要否定它出台的意义。因为它有助于提升公众的意识，至少首次用文件的形式明确了个人究竟有什么权利、企业处理个人信息的一些规则。而且，不管具体效果如何，至少可以看出，它似乎也有推动行业自律的目的。

　　吕艳滨认为，个人信息保护的关键是，企业、政府相关部门等在处理个人信息的每一个环节都应该规范化。如果仅仅依靠立法和行政监管，这是无法实现的。因为执法者无法深入个人信息处理的每一个环节来监督个人信息处理者的处理活动。这就必然要提升企业的个人信息保护意识、守法意识和社会责任意识，并完善其内部管理机制。从一些国家和地区个人信息保护的成功经验看，通过标准、认证等自律机制，辅助加强个人信息保护，是十分必要的。

　　个人信息保护需综合治理

　　业内人士普遍认为，此次指南的推出恰恰反映出我国个人信息保护立法的尴尬现状。尽管早在2003年，国务院信息化办公室就对个人信息立法研究课题进行部署，2005年个人信息保护法专家意见稿也已经提交，但此后相关立法并没有什么进展。就连高炽扬也不得不坦承，标准制定未必一定就导致个人信息保护法律的很快产生，指南的出台更具有行业指导意义，而立法还尚需时日。

　　那么，目前我国个人信息保护立法的难点究竟体现在哪里呢？

　　知名个人信息保护法研究专家、社科院法学所研究员周汉华认为，信息立法首先面临着信息种类和范围的界定难题。从概念上讲，凡一切与公民个人相关的资讯都应属于个人信息，但对于立法而言，只能将其中的部分信息纳入保护范围，如何划分这个界限就考验着立法者的智慧。是为应受法律保护的个人信息设置具体的标准，还是深入实践排列出个人信息的具体类别？是抽象化地对一般人信息作出规范，还是区分性地对公众人物的信息进行单独规范？这些难题都应当进行科学论证。

　　此外记者还注意到，在此次个人信息保护新国标的相关报道中提到，据工信部公布的相关统计数字，目前已有近40部法律、30余部法规以及近200部规章涉及个人信息保护，其中包括规范互联网信息规定、医疗信息规定、个人信用管理办法等。当然，也包括刑法修正案七中关于侵犯个人信息刑事责任的相关内容。那么公民个人信息屡屡被大规模侵犯的尴尬局面何以出现呢？

　　对此，多年专注于互联网问题治理的阿拉木斯认为，几乎所有的互联网问题都不是可以仅仅依靠立法和许可证解决的，都需要综合性的解决方案。现有法律的很多硬性条款在互联网这个柔性的、互动的、跨区域和国界的茫茫大海中，显得力不从心。究其原因，就在于没有形成适合互联网时代发展的有效的综合治理机制。在这个个性化、扁平化，有着自己独特语言和行为方式的虚拟世界里，立法订立某个条款规定人们不得做什么或者在某个领域颁发某个许可证其实都很容易，但要想做到令行禁止，真正做到发展与规范兼顾，形成良性的、有效治理的长效机制，就需要转变非互联网的简单化的管理思路和手段，需要极大的制度创新的勇气和胆识，还需要从更全面的角度和更高的层面看待、分析问题。

　　◆相关链接

　　《信息安全技术、公共及商用服务信息系统个人信息保护指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节，其中还提出了个人信息保护的原则。

　　据指南起草人、中国软件测评中心副主任高炽扬介绍，指南一项关键原则就是即“最少信息收集”或“最少够用原则”，即获取一个人的信息量时，只要能满足使用目的就行。例如在论坛注册，如果只看帖、发帖，就不需要留下家庭地址和手机，降低用户信息泄露的风险。

　　“安全保障”则是要求个人信息管理者一旦收集了个人信息，就必须建立一套个人信息保护制度，明确责任人和内部管理流程以及应对个人信息泄露的风险。据称，个人信息泄露中70%至80%属内部作案，这是“安全保障”原则没能落实好所致。

　　依照指南，在收集个人信息阶段告知的“使用目的”达到后应立即删除个人信息。不过，目前普遍的现状是，一旦信息被采集，即被采集者保存至数据库，极少有“用后即删”的。

　　高炽扬表示，指南的出台更具有行业指导意义，而立法还尚需时日。但在标准的制定过程中间，一系列的前期调研、国内外法律研究以及与社会各界的交流，都为立法在技术和社会关注以及舆论层面做了很好的铺垫，对立法工作会产生很好的前期推进。(记者万静)