個(gè)人信息保護(hù)“國(guó)標(biāo)”徒具觀賞性
近日,工信部直屬的中國(guó)軟件測(cè)評(píng)中心透露,他們聯(lián)合30多家單位起草的《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》已正式通過評(píng)審,正報(bào)批國(guó)家標(biāo)準(zhǔn)。指南提出“最少夠用原則”、個(gè)人信息用后應(yīng)立即刪除。但這個(gè)指南并非國(guó)家強(qiáng)制性標(biāo)準(zhǔn)(4月5日《新京報(bào)》)。
這個(gè)行業(yè)標(biāo)準(zhǔn)被稱為“國(guó)標(biāo)”。在個(gè)人信息安全缺少專門法律規(guī)范的情況下,這個(gè)“國(guó)標(biāo)”顯然寄托了很多人的希望,希望能拓展個(gè)人信息保護(hù)體系,希望能指導(dǎo)個(gè)人信息保護(hù)工作。但遺憾的是,這個(gè)“國(guó)標(biāo)”屬于“技術(shù)指導(dǎo)文件”,即只有指導(dǎo)性,沒有強(qiáng)制性;只有象征意義、觀賞價(jià)值,沒有實(shí)際意義、操作價(jià)值。
何以這么說呢?原因是這個(gè)“國(guó)標(biāo)”沒有實(shí)際約束力——沒有法律效力,沒有監(jiān)督力,涉及個(gè)人信息的相關(guān)部門、機(jī)構(gòu)和企業(yè)等,不會(huì)拿這樣的“國(guó)標(biāo)”當(dāng)回事。個(gè)人信息保護(hù)關(guān)乎公民隱私、財(cái)產(chǎn)甚至生命安全,需要出實(shí)招,需要招招見效。
包括刑法修正案在內(nèi)的40部法律,都約束不了個(gè)人信息泄露,顯然,沒有任何強(qiáng)制性的技術(shù)“國(guó)標(biāo)”更是花拳繡腿。據(jù)悉,“國(guó)標(biāo)”分為三種:強(qiáng)制性標(biāo)準(zhǔn)、推薦性標(biāo)準(zhǔn)和指導(dǎo)性技術(shù)文件。而國(guó)家強(qiáng)制性標(biāo)準(zhǔn)多在食品安全領(lǐng)域。事實(shí)上,個(gè)人信息安全與食品安全同樣重要,拿最弱的標(biāo)準(zhǔn)保障個(gè)人信息安全不妥。
需要我們反思的是,為何會(huì)制訂這樣的“花瓶國(guó)標(biāo)”?報(bào)道稱,在個(gè)人信息安全缺少專門法律規(guī)范時(shí),一部行業(yè)標(biāo)準(zhǔn)成為業(yè)內(nèi)的希望。也就是說,此“國(guó)標(biāo)”是為了彌補(bǔ)個(gè)人信息安全缺少專門法律規(guī)范的缺憾。但這樣的“國(guó)標(biāo)”不具有法律效力又如何彌補(bǔ)法律上的缺憾?無疑,法律的問題需要立法解決,而非指導(dǎo)性技術(shù)文件。
之所以制訂“花瓶國(guó)標(biāo)”,不排除三個(gè)原因:一是在個(gè)人信息保護(hù)法拖了9年未見出臺(tái)的情況下,相關(guān)部門只能在力所能及的范圍內(nèi)有所作為,以面對(duì)輿論壓力;二是個(gè)人信息泄露多次發(fā)生在電信公司,說明電信領(lǐng)域是高發(fā)區(qū),“老子”對(duì)“兒子”或許不愿動(dòng)真格;三是先以“軟國(guó)標(biāo)”試水然后再“硬”。
但不管是什么原因,制訂“花瓶國(guó)標(biāo)”不是在出實(shí)招。而個(gè)人信息頻被泄露、被轉(zhuǎn)賣,個(gè)人隱私、財(cái)產(chǎn)甚至生命安全受到嚴(yán)重威脅,亟待有關(guān)方面多出實(shí)招、多出重拳。首先還是要出臺(tái)個(gè)人信息安全法。無論是什么原因,個(gè)人信息保護(hù)法立法需要提速。法律不是萬能的,但卻是必須的,是個(gè)人信息保護(hù)的基礎(chǔ)。
盡管刑法修正案(七)被認(rèn)為是個(gè)人信息立法的標(biāo)志性事件,盡管我們有40部法律涉及個(gè)人信息保護(hù),但要承認(rèn),法律內(nèi)容分散,法律層級(jí)偏低。與擁有隱私權(quán)法、信息保護(hù)和安全法、防止身份盜用法、網(wǎng)上隱私保護(hù)法、消費(fèi)者隱私保護(hù)法、反網(wǎng)絡(luò)欺詐法等多部專業(yè)法律的美國(guó)相比,我國(guó)個(gè)人信息保護(hù)的專業(yè)法律缺位是不應(yīng)該的。
其次,需要專門機(jī)構(gòu)推動(dòng)立法、監(jiān)督執(zhí)法。個(gè)人信息安全法2003年就開始起草,今天依然不見蹤影,原因之一在于個(gè)人信息保護(hù)涉及多個(gè)部門,而推動(dòng)立法似乎只有個(gè)別部門。如果相關(guān)部門不齊心協(xié)力推動(dòng)立法,或者不設(shè)立專門機(jī)構(gòu)推動(dòng)立法,相關(guān)法律恐怕很難照進(jìn)現(xiàn)實(shí)。
而且,個(gè)人信息保護(hù)涉及面廣,也應(yīng)該有統(tǒng)一的專門機(jī)構(gòu)來監(jiān)督。以歐盟為例,據(jù)說27個(gè)成員國(guó)每個(gè)國(guó)家都有一個(gè)專門的信息保護(hù)機(jī)構(gòu)。而我們卻沒有權(quán)責(zé)清晰的信息保護(hù)機(jī)構(gòu)。如果設(shè)立專門機(jī)構(gòu),理應(yīng)保持獨(dú)立性,真正代表民意。
再者,制訂的技術(shù)“國(guó)標(biāo)”應(yīng)該是“硬”標(biāo)準(zhǔn)。顯然,“國(guó)標(biāo)”與專門的法律作用不同,都不可缺少。與其制訂沒有約束力的“軟國(guó)標(biāo)”,不如制訂具有強(qiáng)制性、懲罰性的“硬國(guó)標(biāo)”。制訂標(biāo)準(zhǔn)的程序要征求民意,誰(shuí)違背標(biāo)準(zhǔn)誰(shuí)就要付出應(yīng)有代價(jià)。
該公開的政府信息遲遲不見公開,卻縱容公民個(gè)人信息被公開,顯然,這種反差讓人難以接受,亟須改變。
