近日,随着住建部透漏“我国个人信息保护的首个国家标准编制完成”,个人信息保护这一老生常谈的问题再度成为公众关注的焦点。
乐观者表示,个人信息保护的首个国家标准,可以进一步推动公民对个人信息保护的自觉,增进共识,为个人信息保护立法积累经验。
近年来,个人信息被泄漏已呈现出泄露渠道多、范围广、程度深,且产生白色产业链的特性。对被泄露者而言,不仅害处巨大,还普遍存在“维权难”。一纸国标能够承当公众的憧憬?呼唤很久的个人信息保护立法能够紧跟而至?这些是每一位公众所关心的问题。
□视点关注
工业和信息化部近日宣布,《信息安全技术、公共及商用服务信息系统个人信息保护手册》已编制完成,现已作为指导性技术文件通过全国信息安全标准化技术委员会校长办公会审议,正根据国家标准审批程序上报国家标准化管理委员会批准,指南有望在去年上半年即将颁布。
该信息一经披露,就引起了公众对个人信息保护和个人信息保护立法的普遍关注。有叫好的,称赞其推动了个人信息保护的立法进程,比较给力;但也有指正的,称“多它一部不多、少它一部不少”,不是强制性标准,保护意义不大。
标准只解决技术问题
保护手册之所以在业内造成这么大的分歧和争议,原因来自于其本身的定位和属性。在业内人士看来,指南仅仅是一部带有行业指导意义的个人信息保护国家标准,它不是强制性标准。这点自此次手册制订单位——中国软件评测中心副校长高炽扬的介绍中就可得到印证。高炽扬表示,指南的颁布更具有行业指导意义,而不是法律,不具有强制性。
那么国家标准从法律意义上来讲到底具有哪些实质内容呢?《法制日报》记者就此专访了中国电子商务协会政策法律委员会副校长阿拉木斯。他告诉记者,国家标准是在全省范围内统一的技术要求,由国务院标准化行政主管部门统一审批、编号、发布。国家标准分为强制性国标(GB)和推荐性国标(GB/T)。强制性国标是保障人体健康、人身、财产安全的标准和法律及行政法规规定强制执行的国家标准;推荐性国标是指生产、检验、使用等方面,通过经济手段或市场调节而自愿采用的国家标准。
记者查阅了《中华人民共和国标准化法》,根据该法第六条规定,目前国外的标准分为国家标准、行业标准、地方标准(DB)、企业标准(QB)四级。而根据标准化对象,通常把标准分为技术标准、管理标准和工作标准三大类。
阿拉木斯觉得,标准解决的主要是技术问题、指标问题、流程问题,而标准恰恰不能解决权力义务和责任问题,不解决行为规范的问题,也就是不解决保护本身的问题,而解决这种问题则是法律的长项。
阿拉木斯的观点也得到高炽扬说法的印证。高炽扬近期在做客网站采访时表示,法律和标准的定义是完全不同的,法律是管人的,而标准关注的更多是信息系统的;法律的约束范围很广,特别是事后的惩戒部份,而标准关注的则是事前如何处理、该如何把它做好。
标准可促进行业自律
阿拉木斯觉得、指南在性质上属于一种行业标准,解决的应当是个人信息保护的技术问题。但目前我国在个人信息保护方面最迫切需要解决的问题,恰恰是权力、义务和责任方面的问题,而这种则须要立法来解决。一个行业技术标准是难以胜任的。
对此,中国社会科学院《法治蓝皮书》的《个人信息保护现况调研报告》主笔人、社科院法学所副研究员吕艳滨觉得,虽然手册这个标准不具有强制性,但也没必要否定它颁布的意义。因为它有助于提高公众的意识,至少首次用文件的方式明晰了个人到底有哪些权力、企业处理个人信息的一些规则。而且,不管具体疗效怎样,至少可以看出,它虽然也有促进行业自律的目的。
吕艳滨觉得,个人信息保护的关键是,企业、政府相关部门等在处理个人信息的每一个环节都应当规范化。如果仅仅借助立法和行政监管,这是难以实现的。因为执法者未能深入个人信息处理的每一个环节来监督个人信息处理者的处理活动。这就必然要提高企业的个人信息保护意识、守法意识和社会责任意识,并建立其内部管理机制。从一些国家和地区个人信息保护的成功经验看,通过标准、认证等自律机制,辅助强化个人信息保护,是非常必要的。
个人信息保护需综合治理
业内人士普遍觉得,此次手册的推出恰恰反映出我国个人信息保护立法的难堪现况。尽管早在2003年,国务院信息化办公室就对个人信息立法研究课题进行布署,2005年个人信息保护法专家意见稿也早已递交,但随后相关立法并没有哪些进展。就连高炽扬也不得不直言,标准制订未必一定就造成个人信息保护法律的很快形成,指南的颁布更具有行业指导意义,而立法还尚需时日。
那么,目前我国个人信息保护立法的难点到底彰显在那儿呢?
知名个人信息保护法研究专家、社科院法学所研究员周汉华觉得,信息立法首先面临着信息种类和范围的划分困局。从概念上讲,凡一切与公民个人相关的资讯都应属于个人信息,但对于立法而言,只能将其中的部份信息列入保护范围,如何界定这个界限就考验着立法者的智慧。是为应受法律保护的个人信息设置具体的标准,还是深入实践排列出个人信息的具体类别?是抽象化地对一般人信息做出规范,还是区分性地对公众人物的信息进行单独规范?这些困局都应该进行科学论证。
此外记者还注意到,在这次个人信息保护新国标的相关报导中提及,据住建部公布的相关统计数字,目前已有近40部法律、30余部法规以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定、医疗信息规定、个人信用管理办法等。当然,也包括刑法修正案七中关于侵害个人信息刑事责任的相关内容。那么公民个人信息屡次被大规模侵害的难堪局面何以出现呢?
对此,多年专注于互联网问题整治的阿拉木斯觉得,几乎所有的互联网问题都不是可以仅仅借助立法和许可证解决的,都须要综合性的解决方案。现有法律的好多硬性条款在互联网这个柔性的、互动的、跨区域和国界的皑皑大海中,显得力不从心。究其原因,就在于没有产生适宜互联网时代发展的有效的综合治理机制。在这个个性化、扁平化,有着自己独到语言和行为方法的虚拟世界里,立法签署某个条款规定人们不得做哪些或则在某个领域颁授某个许可证虽然都很容易,但要想做到令行禁止,真正做到发展与规范兼具,形成良性的、有效整治的长效机制,就须要转变非互联网的简单化的管理思路和手段,需要极大的制度创新的勇气和胆识,还须要从更全面的角度和更高的层面看待、分析问题。
◆相关链接
《信息安全技术、公共及商用服务信息系统个人信息保护手册》对个人信息的处理包括搜集、加工、转移和删掉四个主要环节,其中还提出了个人信息保护的原则。
据手册起草人、中国软件测评中心副校长高炽扬介绍,指南一项关键原则就是即“最少信息搜集”或“最少够用原则”,即获取一个人的信息量时,只要能满足使用目的就行。例如在峰会注册,如果只看帖、发帖,就不需要留下家庭地址和手机,降低用户信息泄漏的风险。
“安全保障”则是要求个人信息管理者一旦搜集了个人信息,就必须完善一套个人信息保护制度,明确责任人和内部管理流程以及应对个人信息外泄的风险。据称,个人信息外泄中70%至80%属内部作案,这是“安全保障”原则没能落实好所致。
依照手册,在搜集个人信息阶段告知的“使用目的”达到后应立刻删掉个人信息。不过,目前普遍的现况是,一旦信息被采集,即被采集者保存至数据库,极少有“用后即删”的。
高炽扬表示,指南的颁布更具有行业指导意义,而立法还尚需时日。但在标准的制订过程中间,一系列的前期督查、国内外法律研究以及与社会各界的交流,都为立法在技术和社会关注以及舆论层面做了挺好的铺垫,对立法工作会形成挺好的前期深化。(记者万静)
