個人信息保護不夠，既源於企業不負責任的泄密，也因為缺乏明確的監管主體。已有12個省市出臺相關地方法規、規章，但個人信息保護立法尚未進入程序

　　　個人信息保護再有新進展，由工業和信息部直屬的中國軟體評測中心&&起草、旨在規範社會公共服務機構和企業個人信息保護的一紙文件近日正式通過評審，正報批國家標準。

　　“按照正常程序，今年年內會正式推行。”該中心副主任高熾揚在接受《中國新聞週刊》採訪時説，這份名為《信息安全技術、公共及商用服務信息系統個人信息保護指南》(下稱“指南”)的文件起草前後歷時四年多，其發佈邁出了個人信息保護標準體系建設的第一步，也為立法工作做了大量前期鋪墊，有助於未來法律的落地。

　　至於立法，高熾揚坦言，就其了解的情況，“還有大量工作要做”，此前的專家建議稿還有待修改完善。因此，該法律進入立法程序尚無時間表。

　　同樣承擔個人信息保護相關標準研究和制定的中國電子技術標準化研究院信息技術研究中心主任楊建軍也告訴《中國新聞週刊》，《指南》只是一個指導性技術文件，距離立法出臺尚遙遠，並非此間有人所説“立法工作萬事俱備，指日可待”，但是它可為立法提供相關基本原則。

　　企業成泄密主渠道

　　就《指南》的現實意義，工信部安全協調司副司長歐陽武指出，其能為行業開展自律工作提供參考，為企業處理個人信息制定行為準則。

　　“個人信息洩露問題更多地發生在公共及商業服務行業和企業。”高熾揚根據其調研情況告訴《中國新聞週刊》，當下不少企業扮演著個人信息管理者和獲得者角色，其中有些存在不當使用個人信息行為；還有些知道問題嚴重，但由於法律缺位無從下手解決。而個人信息洩露事件有70%80%的比例屬於內部管理不當所致。

　　在4月6日剛剛由河北省政府提交該省人大常委會初次審議的《河北省信息化條例(草案)》中，這類企業被明確為“金融、保險、電信、供水、供電、供氣、醫療、物業、房産仲介以及其他掌握公眾信息的單位”。

　　承擔該草案起草工作的河北省工業和信息化廳政策法規處處長劉永青在接受《中國新聞週刊》採訪時認為，目前由於個人信息洩露已對個人生活形成不良影響，“各種垃圾短信、郵件、騷擾電話等讓老百姓不堪其擾”。通過長期調研，他們在法規起草中將上述機構列為主要規範對象。

　　近年因企業洩露個人信息而引發的案件也迅速增多。北京市朝陽法院就對其2007年以來審理的多起相關案件作了總結，並深入調研形成報告《電信部門工作人員非法洩露公民個人信息情況應予關注》。

　　據該法院提供給《中國新聞週刊》的報告，電信部門工作人員洩露公民個人信息主要存在四種途徑：通過工作平臺查詢獲得客戶辦理業務時留存的姓名、身份證號碼、住址等個人信息，並非法提供給他人；通過內部授權指令查詢獲得客戶的通話記錄、短信內容等通訊信息，非法售與他人；憑藉特殊權限，通過GPRS定位系統，私自幫助他人跟蹤定位客戶所處位置；未經機主同意，強制修改客服密碼後將新密碼提供給他人。

　　電信部門在客戶信息的保護方面也有漏洞：多數運營商將客戶信息列為商業秘密，僅從維護本單位經濟利益角度加以管理和保護；相關規章制度中僅有禁止性規範，缺乏責任條款，約束力不足；欠缺有效的保密和監管措施。

　　“企業對個人信息保護的規章多數不規範。”曾于2003年參與個人信息保護法專家建議稿起草的北京科技大學教授梅紹祖，告訴《中國新聞週刊》，由於法律缺失，有些企業分不清對錯，還有企業故意鑽空子，何況沒有法律，很多企業出於利益考慮，就不會有主動性。

　　監管主體仍模糊

　　去年，工信部曾委託有關部門對互聯網有關信息進行測評，包括個人信息轉移、監督機制和執行情況等八類，涵蓋電子商務、論壇博客、銀行等七類105家網站的隱私政策。結果顯示網站的個人信息保護不夠。

　　梅紹祖向《中國新聞週刊》描述了個人信息洩露的幾種主要途徑：網站被攻破，數據庫遭侵；內部管理不嚴，掌握數據者有意無意泄密；一些機構出於利益考慮交易數據；數據傳輸過程中遭竊取。分析根本原因，他認為是立法缺失導致事故責任不明確、監督主體和執法部門不確定。

　　監督責任主體的明確是楊建軍口中“目前困惑最大的一個內容”。他坦言，目前個人信息保護的相關工作由其主管單位工信部進行，但是具體的監管、執法職責尚不明確，而此難題的解決只有寄希望於立法程序的啟動。

　　2009年刑法修正案(七)填補了該領域的空白，明確了“出售、非法提供公民個人信息罪”“非法獲取公民個人信息罪”罪名，首次將公民個人信息納入刑法保護範疇。但梅紹祖認為，該法只是原則性條款，並未明確該罪的具體界定標準，缺乏可操作性。

　　中國社科院法學所研究員周漢華也指出，《刑法》和《侵權責任法》都屬於事後救濟，要對網絡安全以及個人信息進行全流程監管才更有效。現實中，執法主體缺乏是個人信息被濫用的重要原因。

　　“要對個人信息保護最好的辦法還是立法。”歐陽武認為，要通過法律明確組織和個人在處理信息過程中的責任，建立個人信息的監管體制，明確侵害他人隱私的行政處罰的制度和責任。

　　高熾揚更強調個人信息管理者的責任，“要規範個人信息處理的流程，並且要落實責任，管控信息系統個人信息處理的風險”。並且，一旦收集了個人信息，就要建立一套保護制度，明確責任人。

　　作為企業代表的360總裁齊向東在此間舉行的“2012年個人信息保護大會”上則提出，個人信息保護不是某一家的事，應該是政府、網站、安全公司三位一體，和網民一起構建一個完整的保護隱私體系。

　　立法尚無時間表

　　不管是個人信息保護工作主管單位工信部的副部長楊學山，還是承擔標準研究的高熾揚和楊建軍，再到專家層面的梅紹祖和在地方負責相應工作的劉永青，在談及個人信息保護工作時，無一例外希望加快個人信息保護法的立法進程。

　　北京市朝陽法院在上述報告中提出的第一條建議是，“應加快公民個人信息保護立法，明確公民個人信息使用過程中的相關權利和義務，對洩露個人信息的各種行為設定相應的法律責任。”

　　高熾揚指出，國際上在個人信息保護領域的普遍做法是“立法+標準”，而標準體系框架的建立要在立法大框架下進行才最理想。但是，根據中國現狀，只能採取標準先行，為立法做準備鋪墊。

　　其實，個人信息保護法的立法工作早在約十年前就已啟動，2003年4月，國務院信息化辦公室對該立法研究課題首次部署，兩年後，由周漢華&&、梅紹祖等參與的該法專家建議稿就已提交給國務院法制辦。但是，至今未入立法程序。

　　梅紹祖告訴《中國新聞週刊》，自己並不清楚該法立法遲遲不能推進的真正原因。“技術和文本應該是到位了，立法的緊迫性也有，或許各個層面感受不同，立法機關並不覺得立法時機成熟。”楊建軍也指出，國家從整體出發考慮，需要有全盤的立法規劃，該法未被納入立法程序證明其還沒有足夠成熟完善。

　　楊學山在上述會議上也明確表達“個人信息保護已成為社會的迫切問題”觀點，並強調要在個人信息立法上努力儘快使其進入正式程序。雖然同樣承認緊迫性，但是高熾揚的觀點和梅紹祖並不盡相同。他説就其了解的情況，該法的立法還有很多工作要做，2005年的版本在現在看來有很多內容並不完善，要做進一步修改。因此，“據我所知，立法程序的啟動不會很快”。

　　其實，理論層面的意見也並非一致。有人將個人信息保護歸為隱私權的私權範疇；有人堅持其為公權的觀點。周漢華即提出大家在認識上必須明確“這是一個公權，存在一個獨立的個人信息保護法的領域”。

　　另外還存在地方、部門與中央的關係問題。劉永青告訴《中國新聞週刊》，河北省之所以出臺上述條例，就是因為沒有上位法，地方卻遇到實際問題，工信部就支持各地先行探索。據悉，目前全國有12個省市已出臺相關法規、規章。

　　周漢華認為對此值得探討，因為中國的立法權限劃分明確，地方的先行先試要處理好多種關係，難免産生不必要的負面作用。梅紹祖則表示“聊勝於無”，地方先根據自身情況把一些工作做起來，縱然有其局限性，但可以在沒有上位法的情況下解決一些緊迫問題。