个人信息保护立法尚无时间表 企业成泄密主渠道

　   (声明：刊用《中国新闻周刊》稿件务经书面授权)　

  　个人信息保护不够，既源于企业不负责任的泄密，也因为缺乏明确的监管主体。已有12个省市出台相关地方法规、规章，但个人信息保护立法尚未进入程序

　　本刊记者/赵杰 (发自北京)

　　个人信息保护再有新进展，由工业和信息部直属的中国软件评测中心牵头起草、旨在规范社会公共服务机构和企业个人信息保护的一纸文件近日正式通过评审，正报批国家标准。

　　“按照正常程序，今年年内会正式推行。”该中心副主任高炽扬在接受《中国新闻周刊》采访时说，这份名为《信息安全技术、公共及商用服务信息系统个人信息保护指南》(下称“指南”)的文件起草前后历时四年多，其发布迈出了个人信息保护标准体系建设的第一步，也为立法工作做了大量前期铺垫，有助于未来法律的落地。

　　至于立法，高炽扬坦言，就其了解的情况，“还有大量工作要做”，此前的专家建议稿还有待修改完善。因此，该法律进入立法程序尚无时间表。

　　同样承担个人信息保护相关标准研究和制定的中国电子技术标准化研究院信息技术研究中心主任杨建军也告诉《中国新闻周刊》，《指南》只是一个指导性技术文件，距离立法出台尚遥远，并非此间有人所说“立法工作万事俱备，指日可待”，但是它可为立法提供相关基本原则。

　　企业成泄密主渠道

　　就《指南》的现实意义，工信部安全协调司副司长欧阳武指出，其能为行业开展自律工作提供参考，为企业处理个人信息制定行为准则。

　　“个人信息泄露问题更多地发生在公共及商业服务行业和企业。”高炽扬根据其调研情况告诉《中国新闻周刊》，当下不少企业扮演着个人信息管理者和获得者角色，其中有些存在不当使用个人信息行为；还有些知道问题严重，但由于法律缺位无从下手解决。而个人信息泄露事件有70%??80%的比例属于内部管理不当所致。

　　在4月6日刚刚由河北省政府提交该省人大常委会初次审议的《河北省信息化条例(草案)》中，这类企业被明确为“金融、保险、电信、供水、供电、供气、医疗、物业、房产中介以及其他掌握公众信息的单位”。

　　承担该草案起草工作的河北省工业和信息化厅政策法规处处长刘永青在接受《中国新闻周刊》采访时认为，目前由于个人信息泄露已对个人生活形成不良影响，“各种垃圾短信、邮件、骚扰电话等让老百姓不堪其扰”。通过长期调研，他们在法规起草中将上述机构列为主要规范对象。

　　近年因企业泄露个人信息而引发的案件也迅速增多。北京市朝阳法院就对其2007年以来审理的多起相关案件作了总结，并深入调研形成报告《电信部门工作人员非法泄露公民个人信息情况应予关注》。

　　据该法院提供给《中国新闻周刊》的报告，电信部门工作人员泄露公民个人信息主要存在四种途径：通过工作平台查询获得客户办理业务时留存的姓名、身份证号码、住址等个人信息，并非法提供给他人；通过内部授权指令查询获得客户的通话记录、短信内容等通讯信息，非法售与他人；凭借特殊权限，通过GPRS定位系统，私自帮助他人跟踪定位客户所处位置；未经机主同意，强制修改客服密码后将新密码提供给他人。

　　电信部门在客户信息的保护方面也有漏洞：多数运营商将客户信息列为商业秘密，仅从维护本单位经济利益角度加以管理和保护；相关规章制度中仅有禁止性规范，缺乏责任条款，约束力不足；欠缺有效的保密和监管措施。

　　“企业对个人信息保护的规章多数不规范。”曾于2003年参与个人信息保护法专家建议稿起草的北京科技大学教授梅绍祖，告诉《中国新闻周刊》，由于法律缺失，有些企业分不清对错，还有企业故意钻空子，何况没有法律，很多企业出于利益考虑，就不会有主动性。