N本报记者 谢秋莲

时事背景：

据《新京报》报道，近日，《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审，正报批国家标准。该指南旨在为企业处理个人信息提供行为准则，但是，指南并非强制性标准。

个人信息的泄露已经是个普遍现象，不少人深受其害。个人信息泄露为何屡禁不绝，不具强制性的个人信息保护指南能否真正促进行业自律？

解码一 隐私被暴晒在陌生人面前

刚买过房子、刚买过车子、刚生过孩子或刚办完健身会员卡，就有人打电话向你推销装修材料、车险、婴儿用品或者是保养品、保健器材；陌生人在电话中叫出你的全名，让你猜猜“我是谁”，然后向你借钱；手机一天可能接到十几条垃圾广告；从未办理贷款，却在银行“负债累累”……

不少人或多或少遭遇过上述经历。工业和信息化部组织的相关调查近期公布，调查显示，60%的被调查对象遇到过个人信息被盗用等问题。而中国青年报社会调查中心早前进行的一项在线调查则显示，高达86.5%的受访者称遭遇过信息被泄密。

信息被出卖，除了要应对各式商业推销骚扰，人们还可能遭遇更严重的后果：银行卡被克隆、钱被冒领，身份证被不法分子伪造冒用、甚至用于犯罪用途……

解码二 隐私贩卖已经成为产业

谁出卖了我的信息？愤怒之余，人们却很难找到答案，因为，在现实生活中，随着实名制的遍地开花，可以堂皇收集我们的姓名、身份证、手机号等信息的单位和服务机构实在是太多了：政府部门、银行、房屋中介、保险公司、医院、网站……而各式会所、商场等则以会员服务的名义收集我们的详细信息。

2011年6月，网上有人售卖“2011年全国高考学生名单”，媒体抽查核实，发现大多为真实信息。2011年年底，我国多家社交网站的用户数据被泄露，数百万用户账号和密码被公开……

个人信息被肆意公开的背后，有相关机构和企业管理不善、网站数据库被黑客攻破等原因，但更多的都是内部人员为经济利益售卖所致，买卖个人信息甚至都成了一种产业。

去年8月，北京审判了一起倒卖公民个人信息案，23名被告人被判处有期徒刑两年半到缓刑不等。这些人中有国内三大电信运营商“内鬼”7人。去年12月，一个在网上倒卖个人信息的某信息咨询公司老板赵某在北京被抓，他倒卖千万条个人信息，获利20多万元。

解码三 个人信息安全立法裹足不前

虽然有时大家心知肚明知道是被谁卖了，但在目前的法律语境下，个人维权却很难。

即便个人可以揣测出是哪家机构或哪个部门泄露的信息，但“谁主张，谁举证”，个人很难排除其他可能性。而且，诉讼成本过高、赔偿额过低等也严重影响了大家维权的积极性。

据统计，目前我国有近40部法律、30多部法规，以及近200部规章涉及个人信息保护，数量并不少，但是内容较为分散、法律法规层级偏低。而且，这些规定中，或者没有罚则，或者是惩罚力度很小。

最近，年年都有专家和全国人大代表呼吁在全国层面为个人信息保护立专门法律。其实，国务院早在2003年就开始破冰研究相关法律。中国社科院法学所曾受命领头提出《个人信息保护法（专家建议稿件）》，该稿曾提交国务院法制办，但至今未进入立法程序。

不过，虽然尚无专门立法，但在惩罚机制不足问题上，2009年通过并实施的《刑法修正案七》有所弥补，其中确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名，首次将公民个人信息纳入刑法保护范畴。

在3月的“2012中国个人信息保护大会”上，工信部副部长杨学山力主加快立法。

对于正在报批的《信息安全技术、公共及商用服务信息系统个人信息保护指南》，工信部和一些专家寄予厚望，认为可望促进行业自律。可是，也有法学专家表示，如果没有足够的惩罚制度，在经济利益的驱动下，自律很可能成为空话。关键还是要从民事、行政和刑事责任等多方面去约束限制政府机构和企业。

他山之石

●美国有“不许打电话”服务：

在美国，电话公司 或邮局可以把用户的电话号码和家庭地址等信息出售给专门的广告商盈利。但美国有法律约束，拨打一个专线电话，申请美国联邦贸易委员会的“不许打电话”服务，便可以禁止这些公司再来骚扰。在用户要求不许打电话骚扰后，如果哪家公司再打电话推销，每打一个电话罚款1.1万美元。目前被联邦贸易委员会罚款最高额是650万美元。

●法国罚款和刑罚并重：

在未经本人同意的情况下，将隐私信息泄露出去，按照法国刑法可判处一年监禁和15000欧元罚款。因透露隐私信息对他人声誉或其他方面造成严重损害，可最高判5年监禁和30万欧元的罚款。

□相关新闻

个人信息保护指南正式报批

N新京报

本报讯 近日，工信部直属的中国软件测评中心透露，他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审，正报批国家标准。指南对个人信息的处理包括收集、加工、转移和删除四个主要环节，并提出了个人信息保护的原则。

该中心常务副主任黄子河透露说，指南目前还在等待批准文号，但其最终的发布应是“指日可待”。工信部安全协调司副司长欧阳武介绍说，这个指南为企业处理个人信息制定了行为准则，将为行业自律提供参考。

用后要即删除

《个人信息保护指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节，其中还提出了个人信息保护的原则。

工信部安全协调司副司长欧阳武介绍，“这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。”

“最少使用”的原则就是获取一个人的信息量时，只要能满足使用的目的就行。黄子河举例说，一些网站本是办一个很小的事，却让用户填包括家庭住址、手机号在内等很多信息，这就不符合“最少使用”原则。

“安全保障”则是要个人信息管理者一旦收集了个人信息，就必须建立一套个人信息保护制度，明确责任人和内部管理流程，以及应对个人信息泄露的风险。中国软件测评中心的副主任高炽扬估计，个人信息泄露中70%~80%属内部作案，这是“安全保障”原则没能落实好所致。

依照《个人信息保护指南》，在收集个人信息阶段告知的“使用目的”达到后应立即删除个人信息。

非强制标准

中国软件评测中心研究员刘陶把个人信息比喻成“很多钱装在纸糊的银行里，很容易被黑客破解”。

让人担忧的是，这个指南标准不是强制性标准，甚至也不是推荐性标准，标准通过会对行业起到多大的规范效力，仍待观察。

中国软件评测中心主任助理朱璇说，指南“属于技术指导文件”。国家标准分为三种，一个是强制性标准，一个是推荐性标准，一个是指导性技术文件，标准可以作为参考。