南方日报：高层级个人信息立法刻不容缓

　　近日，工信部直属的中国软件测评中心透露，他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审，正报批国家标准。《指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节，其中还提出了个人信息保护的原则。

　　个人信息泄露之严重毋庸赘言，生活在这个社会的每一个社会人感同身受，人们就像鱼缸里的一条条金鱼，任由缸外人观赏，可怜的是，我们有时甚至不知道自己早已成为金鱼，依旧悠然自得地游着。今年央视3·15晚会再次给大家揭开了利用个人信息牟利黑幕的一角。上海罗维邓白氏营销服务有限公司，其业务最核心的资源就是精准的个人信息数据库。说白了，就是卖个人信息的。该公司拥有的大量、精准个人信息让人瞠目结舌，甚至包括银行卡信息、账户存款等，几乎不差毫厘。而之前饱受争议的储户银行卡资金莫名其妙“失窃”案件，不少皆是涉事银行的客户经理通过违法登录个人征信系统，盗取客户个人银行卡信息和个人征信报告，并售予不法分子而致。如此透明的鱼缸着实让人诚惶诚恐，因为谁也不知道自己会不会在下一秒成为别人口中的猎物。

　　个人信息泄露后果之严重，从小处说，不过就是收收垃圾短信，被人骚扰骚扰，烦不胜烦而已。但从大处说，就是个人经济安全与人身安全因为信息被泄漏，而处于一种极为不安全的状态，不法分子从中牟取暴利。2009年，刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名，首次将公民个人信息纳入刑法保护范畴，规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。但是，这一犯罪主体仅限于“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。而该罪名的界定标准亦未明确，存在巨大的细化空间。此外，对于个人信息保护已有近40部法律、30余部法规，以及近200部规章涉及，但普遍问题都是立法层级太低，过于分散。

　　个人信息立法早在学界与坊间热议已久，但至今仍然没有破冰。在个人信息安全缺少专门法律规范时，一部行业标准成为业内的希望。目前看来，这个希望显然没有多么巨大，此次个人信息安全国家标准“属于技术指导文件”，不仅没有强制性，甚至连参考标准都谈不上。反正标准咱是有了，至于执不执行，就是你们的事了。但是在如今个人信息非法牟利已经白热化的阶段，跟巨额的非法利益相比，有没有人会真正把这个标准当一回事实在值得考量。而且从实际来看，我们根本不差规则，而是规则太低端、太无力。如果仅仅满足于规则的低端重复建设，又能对这些让人瞠目结舌的泄密黑幕起到多大作用？

　　毫无疑问，个人信息保护涉及过于纷繁复杂的细节以及过多的行业部门，这是个人信息立法一直踌躇不前的重要因素。但个人信息亟需一部专门的综合性信息安全法律，明确用户、企业等相关方面责任义务，应该成为共识。必须强调的是，这部立法不应该是“光打苍蝇，不打老虎”的弱势立法。不仅将所有互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位都纳入其中。而且从深层次说，银行客户经理为何可以肆无忌惮通过个人征信报告牟利，电信运营商员工为何可以随意泄露客户信息、贩卖给“私家侦探”，正是因为单位并没有真正成为个人信息保护的主体。员工的非法行为只视为个人行为，只追究个人责任，单位的责任顶多也就是自愿情况下的道歉了事。这必然决定了单位不可能会花心思与力量去监管员工的各种泄密行为，从而放任个人信息泄密泛滥。

　　高层级的个人信息立法刻不容缓，强而有力、切中目标的保护效力是其题中应有之义。