对于个人信息保护的难题，业内讨论认为主要有三方面：保护程度界定，难以区别正当或非法使用个人信息;信息泄露取证，难以确定个人信息是在哪个环节发生泄露;执法力度统一，难以确保多个监管主体执法的宽严尺度一致。

　　“出台一部专门法律，上述问题可迎刃而解。”周汉华是个人信息保护法专家建议稿的起草者之一。他同时表示，国际上公认个人信息保护是一项基本权利，是宪法权利，而不仅仅是民事权利，民法中的隐私权，这意味着个人信息保护不仅仅是私领域的事项，不仅仅是民不举、官不究的事项，而是需要公共权力介入，强制要求相关主体承担法定义务的事项。

　　周汉华介绍说，目前已有38个地方制定了个人信息保护的相关法规。

　　但是，地方立法的先行先试也难免有一些负面作用。比如各地标准不统一，法律适用存在较大困难。

　　周汉华建议，要推“大法”，先做好顶层设计，各地可再据此制定具体实施细则。

　　在他看来，立法是一个要解决的难题，同样关键的，还要保证法律出台之后得到有效实施。有三点不可或缺：

　　其一，注重平衡原则。个人信息具有不同程度的价值，既要保障信息充分流通，推动信息社会进步，也要避免滥用个人信息。其二，他律与自律结合。不可能全部交给政府部门监管，要设置有效机制，让企业自我管理。其三，要有一定程度的执法威慑。

　　寄望自律

　　原国务院信息办是个人信息保护法的积极推动者。2008年大部门制改革后，工信部信息安全协调司继续承担着推进个人信息保护的职责。

　　该司副司长欧阳武表示，对个人信息保护最好的办法还是立法，要通过法律明确组织和个人在处理信息过程中的责任，建立个人信息的监管体制，明确滥用他人个人信息的行政处罚制度和责任。

　　在法制成型之前，则倡导行业自律。“由行业组织依据个人信息保护的规则，照顾行业特点，制定行业信息保护的规范，采取行业自律的方式，不仅在当下，而且在未来法律制度完善之后，都是一种非常好的选择。”欧阳武说。

　　据悉，2011年工信部曾委托中国软件评测中心，选取电子商务，论坛博客，银行、保险、游戏等共7类105家网站的隐私政策进行测评。经测评发现，隐私政策执行情况不明，包括政策适用范围、信息收集的方式、处理过程等关键问题阐述不清。

　　工信部同期启动了个人信息保护标准的编制工作，据悉，《公共及商用服务信息系统个人信息保护指南》年内即将出台。“为行业开展自律工作提供很好的参考”，欧阳武说。

　　中国软件评测中心常务副主任黄子河表示，即将出台的国家标准对相关定义、角色、职责、操作规范等都予以明确，提出了保护过程中的若干基本原则。

　　比如“最少够用原则”。通俗而言，在网上办一件很小的事，结果填了一大堆信息，包括家庭住址、手机号码等等，就不符合“最少够用原则”。

　　又有“安全保障原则”。个人信息的管理者一旦收集了信息，就要建立起一整套信息保护制度，明确责任人、严格内部管理流程、应对风险等等。

　　“标准适用于除了政府机关等行使公共管理职能以外的各类组织和机构”，黄子河说。

　　但该标准仍仅是从宏观上对个人信息保护提供框架性指导，具体的技术性保护指南有待进一步研究制定。欧阳武表示，今后还将从管理、技术、评测等方面制定相关规范，形成一系列标准体系。尤其要建立第三方测评机制，不仅能够促进行业自律，而且要推动全社会的个人信息保护意识。

　　黄子河提出，还可以考虑建设个人信息保护的技术手段，建设个人信息的非法采集及滥用事件的投诉通道和监测手段，为保护个人信息提供技术解决方案。

　　多管齐下成为了破解个人信息保护难题的共识。“推动立法，行业自律，公众维权与监督，努力在个人信息保护方面尽快取得实际进步。”工信部副部长杨学山这样说。

(责任编辑：)