近日，工信部直屬的中國軟體測評中心透露，他們聯合30多家單位起草的《信息安全技術、公共及商用服務信息系統個人信息保護指南》(下稱“指南”)已正式通過評審，正報批國家標準。“指南”對個人信息的處理包括收集、加工、轉移和刪除四個環節，其中特別強調了對個人信息保護，個人信息用後應立即刪除。(《新京報》4月5日)

　　當下，個人信息洩露屢屢發生，我們常常遭到保險、房産、醫療推銷廣告的“定點騷擾”，一些網站密碼也被成規模破解……我們一直期待政府有強有力的作為。不過，目前的這個“指南”並非國家立法，甚至並非強制性標準。

　　但“指南”本身還是有相當多的亮點。去年2月，工信部網站曾公佈過《信息安全技術個人信息保護指南》(草案)(下稱“草案”)，向全社會徵求意見。這個“草案”跟現在的“指南”頗有淵源。“草案”是由中國軟體評測中心，以及新浪、騰訊、百度、金山、360等IT公司參與制訂的，適用範圍僅是“利用信息系統進行個人信息處理”，應該被看作是規範軟體商、網站處理用戶信息的標準。而目前的“指南”在名稱中增加了“公共及商用服務信息系統”，也就是説在IT産業之後，把公眾最關心的醫療、金融、電信、民航等掌握公民個人信息，且時常發生洩露信息案件的産業，也置於未來新國標規範之下。這使得“指南”有了個人保護“小立法”的格局。

　　這部未來國標的指導理念，還是相當先進的，按工信部官員解釋，未來新國標的保護原則包括目的明確、最少使用、公開告知、個人同意、質量保證、安全保障、誠信履行和責任明確等八項。比如，一些網站讓用戶填寫家庭住址、手機號等很多信息，這就不符合“最少使用”原則。“指南”還規定，在收集個人信息階段告知的“使用目的”達到後，應立即刪除個人信息。

　　結合新聞報道，以及去年公佈的“草案”，個人信息保護的未來國標明顯借鑒歐盟等先進地區的立法，比如1995年歐盟《個人數據保護指令》中的“個人數據的收集和處理必須充分和相關，不能過度，不能超越目的範圍”、“經個人數據主體明確同意”等等，都能在未來新國標找到相應的規定。

　　未來新國標雖好，但它是沒有“牙齒”的，即使被國家標準管理委員會批准，也只是推薦性國標。就算電信、銀行、網站等企業，承諾採納這套國標，也無法評估體制企業是否做到了“最小使用”、“用後即刪”。按1988年的《標準化法》，只有對違反國家標準生産的“産品”，才能予以沒收、罰款等執法；而企業處理用戶個人信息，並沒有“産品”讓執法部門執法。到時候，國標的執行只能看商家的“良心”。

　　然而，從2009年起屢屢曝光的電信企業將用戶信息，販賣給垃圾短信商來看，沒有明確的法律禁止和處罰，商家的“良心”是靠不住的。中國缺的是一部“個人信息保護法”，從法律層面，而不是行業規範的層面，來提綱挈領，通盤保護公民的信息安全。

　　簡單地説，就是要立法定分止爭，規定企業、機關如何收集公民信息，如何保障信息安全，在何種法律授權下可以向第三方公佈，一旦保障制度不落實、故意洩露信息，接受何種處罰……大的原則，在“指南”中已經明確，關鍵要“裝上牙齒”，明確企業違法蒐集、濫用、不刪除個人信息的法律後果，這才能真正保衛信息安全。