我国首个关于'个人信息保护'的国家标准已经正式通过评审正在报批，这份叫做《信息安全技术、公共及商用服务信息系统个人信息保护指南》的指导性文件，对个人信息的收集、加工、转移和删除等环节制定了详细的操作指导，其中个人信息用后立即删除、只收集符合使用目的的最少个人信息等规定，对保护个人信息意义重大，但这项准国家标准，是非强制性的，用一份非强制性的国家标准，来面对愈演愈烈的个人信息泄露，是否能起到希望的规范性作用呢?而这份仅限于互联网信息系统领域的标准，又能否对其他领域产生借鉴意义呢?

　　如今个人信息泄露似乎已经司空见惯，去售楼处买房，出不了三天，家装公司就会打电话来推销装修;去车市买车，很快就有人电话推销保险。今年央视3·15晚会更是曝光了上海罗维邓白氏公司出售1.5亿条个人信息，每条要价3毛到1块五。根据工业和信息化部电子科技情报所的调查，我国目前涉及个人信息保护的法律将近40部，另外还有近200部涉及个人信息保护的部门规章，曾在2004年参与《个人信息保护法》(专家意见稿)研究的北京科技大学教授梅绍祖认为，目前如此多的法律法规都不能起到有效的保护作用

　　【同期】我觉得这种说法可能给人带来一种误解，人觉得，哦，这么多法，那完全足够了，像美国，肯定数不出四十部来，但是我们所谓的四十部，都是点点滴滴，只言片语的，你譬如说，我们宪法里头，宪法谈的是什么，人格和尊严的问题，人格尊严里头，包含不包含，人格权，肖像权的问题，那肯定和个人数据个人信息相关，它不是直接的，间接地提到，譬如你不能诽谤，不能侵犯，那侵犯了怎么样，诽谤了怎么样，民法通则里头有，刑法里头有，未成年人保护法里有，妇女权益保护法里头也有，都是只言片语，提到隐私用到这个词了，但是隐私是什么概念啊，或者什么叫个人信息，谁来监管，谁来仲裁，没有。

　　工业和信息化部电子科技情报所副所长刘九如认为，《保护指南》的首要意义就在于首次明确定义了个人信息的范围 。

　　【同期】我们这些法规里边，没有明确界定个人信息是什么，保护的责任是什么，最多提到要保护个人隐私，或者注重个人信息，但是怎么操作，怎么界定，没有法律依据，怎么处罚，也基本没有，比较明显的，不得泄露国家秘密，商业秘密和个人隐私，这样一笔带过，操作性不是很强，至今没有明确地界定个人信息包括哪些方面，应该怎么去保护，这个指南的意义就是它比较好的界定了个人信息，包括个人敏感信息，个人一般信息，对个人信息定义做了明确地界定，法律法规只是提到，要保护个人隐私啊，保护个人信息，但到底个人什么信息，

　　《保护指南》的主要起草者中国软件测评中心副主任高炽扬说，这份标准不仅定义了什么是个人信息，还区分了个人信息中的敏感信息和一般信息。

　　【同期】我这人叫什么名字，这肯定是我个人信息，但这个大家一般人都觉得更多人可以知道，我的身份证号在很多情况下，也传播得比较多一点，但是我的个人收入，我的地理位置，这些都是非常敏感的，以及随着不同的应用不同的敏感程度不一样，对于男士来说，可能身份敏感，对于女士来说，可能体重敏感，但是整体这种情况下，可能是在一种应用背景，比如说他是去交友，这个事情很敏感，但是你去一个单位应聘的时候，可能就没那么敏感了，所以不同的行业，不同的应用，不同的人群，对于个人信息他的要求保护的等级是不一样的。

　　《保护指南》还制定了个人信息管理者的八项基本原则，最引入注目的是最少够用原则，电子科技情报所副所长刘九如说：

　　【同期】申请一个手机，或者申请一个互联网账号，你本来不应该了解我其他的信息，比方说我身体状况，不要了解我财产，或者不要了解我政治信仰，这样的信息也要我填，那就不合理，应该是你需要什么信息，跟你又密切相关的，你就最少，够用就够了，不要让大家提供那么多的信息。

　　“最少够用原则”同时规定了，使用后在最短时间内删除个人信息，如若不然可能造成严重后果。本台新闻热线就曾报道，市民王先生只是在电话里口头同意购买中国平安车险，对方居然就擅自从王先生的信用卡中刷走了3千多元的保费，原因就在于王先生前一年通过网上支付购买了车险，而保险公司长期保存了王先生的信用卡信息，在未经王先生同意的情况下，就通过保存的信息，刷走了王先生信用卡中的钱。

　　【同期】这个钱根本不是我同意就消费了的。去年我在上车险的时候是网上支付的，肯定把卡号输进去了，但是密码他们怎么能知道呢?单凭信用卡卡号就能划走钱么?

　　王先生向中国平安电话车险的业务员陈小姐了解情况

　　【同期】：我想知道怎么回事?

　　我只能估计，因为您去年是因为您用的信用卡给您办的，估计去年直接那么操作的话，今年就默认了。

　　你们的意思是系统的问题是吧?

　　对。但是IT部门也没有给我答复。

　　那我要想知道真正的原因，我找谁?这个事我要是投诉的话，找谁?

　　我不知道你应该联系谁

　　有必要么?您打了也没有用。像我们的IT部我们的合规部都在处理，只要有结果，立马给您答复

　　全都是你们一头的事，你想给我打，我就能接到，我想给你打根本找不着

　　不经过消费者同意，保险公司就通过往年保存的账户记录，直接从消费者的信用卡里划走了钱，这样的行为明显违法了《个人信息保护指南》中的最少够用原则。而《保护指南》中的另一项重要原则就是个人同意原则，北京科技大学梅绍祖教授介绍说，美国的电话促销行业必须在类似原则下谨慎进行。

　　【同期】05年06年，小布什下来以前，还签个法令，能不能搞电话促销，人要不允许的话，你不能用电话促销的方式，它现在美国据我了解呢就是，它有个名单，进入这库里头，就是我不愿意电话促销的，所以要搞电话促销的，商业企业单位，它得到库里去查有没有这个人它有这个人，他给人家电话促销，人家现在就可以去告他。

　　《保护指南》中还包括'目的明确原则'，这是指不扩大使用范围，不改变处理个人信息的目的，另外还有，公开告知原则，责任明确原则等。北京科技大学教授梅绍祖认为，个人信息保护不利，不仅影响到个人权利，还将影响国家间贸易，欧盟就曾因为美国的互联网信息保护不符合欧盟要求，而阻止欧盟的个人信息流向美国。

　　【同期】欧盟认为你美国对个人数据的保护的力度，够不上欧盟的标准，我们欧盟的数据就不能流向你美国，好多相关的经济活动就没法做了，没法进行了，所以当时美国当时的戈尔副总统，花了两年时间，带着这些企业，商家，法律界，政府出面和欧盟进行谈判，谈了两年，搞了个安全框架协议，我们和欧盟之间，假定有这种生意，就没法做。

　　目前我国大陆还没有专门的个人信息保护监管机构，而香港早在1996年就成立了个人资料私隐专员公署，而欧盟则设有政府支持的'信息港'，监管网络个人信息的流动，中国软件测评中心副主任高炽扬说：

　　【同期】所有欧盟的个人信息，如果流向境外的话，包括美国当然，那么必须经过信息港，才可以，也就是说，你这边谁把这个东西拿走，后边怎么使用，你这边的个人信息管理者，也就是说比如你这个企业，你是不是符合处理个人信息保护的条件，它都有很强的约束，经常说国外政府管得少，其实在个人信息上，国外政府的关注管得并不少。除了对每个人来说，那么对国家也很重要，大量东西流到境外去，那会发生什么事情，会有什么结果，其实是非常难把握和预期的。

　　另外，欧盟还在2001年设立了欧洲数据保护专员，指导监督境内所有机构和组织的个人信息处理行为，而美国的个人信息保护监管的代表性机构是联邦贸易委员会FTC。欧盟数据保护专员和美国联邦贸易委员会都对谷歌、苹果等互联网巨头进行过调查，提出过整改要求。而行业自律也是个人信息保护工作的重要一环，工信部电子科技情报所副所长刘九如介绍说：

　　【同期】像美国欧盟都有像'在线隐私联盟'这样的机构，或者说还有一些民间的机构，它通过测试认证，这个网站做得好，管理得比较好，它就给它一个认证标志，然后不断地发布哪些网站，哪些商业机构，哪些数据库管理机构，是经过我的认证的，只有经过认证的机构大家才可以信任它，促进了行业自律这块儿。

　　由于国家法律和行业自律组织的要求，国外大公司大多设有个人信息保护专员，北京科技大学梅绍祖教授清晰地记得在2005年前后，联想为了收购美国IBM的个人计算机业务而专门聘请了一名美国主管负责信息隐私，这一职位即便目前在国内公司中也极少见。

　　【同期】联想在收购IBM的PC以前，当他的信息主管CPO，信息隐私主管，国外大的有名的企业都有，接触到这个数据的人，由专人接触到，其他人不能接触到，不能看的。

　　梅绍祖认为，与国外严厉的法律要求和严格的自律规范相反，目前国内对个人信息泄露的处罚并不足以构成威慑，目前在我国个人信息保护的司法实践中，适用最多的是《民法通则》，而民法通则主要是从名誉权角度保护个人隐私，因为往往没有造成物质损害，而只能要求侵权人消除影响、赔礼道歉，不能要求赔偿。这种现状导致侵权方代价很小。例如此前，中国软件开发联盟CSDN的600多万条用户名和密码泄露，随后，天涯社区、世纪佳缘、当当网等国内知名网站也被曝出存在“类似泄密问题”，上千万用户账号和密码在网上被公开扩散，这被称为中国互联网史上规模最大的用户信息泄露事件，但最后只是对网站进行了行政警告，梅绍祖教授说：

　　【同期】这个机构好像就收到一个行政警告处分，这算什么啊，不痛不痒的，这样弄完了，给人感觉，这个事情无所谓啊，丢了就丢了不就警告吗。

(责任编辑：)