【背景链接】
2012年4月,工信部直属的中国软件测评中心透露,他们联合30多家单位起草的相关个人信息保护指南已正式通过评审,正报批国家标准。目前,我国信息技术保护不容乐观,甚至已形成利用个人信息从事非法获利的黑色链条。
【热点分析】
个人信息正出现多头管理的局面,最新的一个管理法则是“行业标准”。这部由工信部牵头30多家单位起草的“个人信息保护指南”,面向“信息安全技术、公共及商用服务信息系统”,据称是“为行业开展自律工作提供了很好的参考,为企业处理个人信息制定了行为准则”。
行业标准也是一种规约,尽管它并非强制性标准,未必具有强大的规范效力,但作为一种制度存在,它仍然有其存在的必要价值。正如道德往往没有强制力,却能成为大多数人们心中的行为准则一样。没有行业标准,各类企业和组织往往各行其是,有了这一标准,有良知的就会自觉遵照。然而,这种只有软约束力的行业标准,对那些公民个人信息权益保护意识淡薄甚至无良的企业和组织,是难起作用的。
行业标准尽管是一个必要存在,但仍然不能替代法律保驾。在个人信息保护领域,恰恰是因为这样一部专门法律的缺位,使这里成了“九龙治水”,谁都来管,又谁都只是稍带一管,结果便是谁也管不好。据有关人士统计,目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定、医疗信息规定、个人信用管理办法等。面对这个数量惊人的各类管理法规,再对照现实中个人信息被大肆侵权的现实,我们就能更深切体会到多头管理之弊了。
不是说各领域的法规不该列有对个人信息保护的条款,而是因为其立法规则基本是各管一摊,只是针对本领域涉及的个人信息施行保护。这就在事实上对个人信息这一庞大领域进行了肢解,不仅各法之间有较大空隙,而且大家未必管得都专心。这是主体缺位下多头管理的一种必然局限性。如果有专门的个人信息保护法补位,则各法规、各制度及此次草拟的行业标准,就会相得益彰,发挥各自效力。
个人信息太需要一部专门的法律来保护了。在这样一个信息社会,个人信息牵涉面之广、牵涉人数之多、关系公民安全之要,以及个人信息被泄露和滥用之严重,都已到了十分峻切的地步。可是,这样一个早在2003年就启动立法课题、在2005年就提交的《个人信息保护法(意见稿)》,直到今天却仍然未能进入正式的立法程序。
个人信息保护关系13亿人民的切身利益,我们常说“立法为民”,但只有把这一理念更多贯注到社会关切、群众反应强烈的立法实践中,社会公众才会对这一理念有更真切的感受。盼个人信息保护立法提速,是民众的现实呼声。