我國首個(gè)個(gè)人信息保護國家標準——《信息安全技術(shù)公共及商用服務(wù)信息系統個(gè)人信息保護指南》將于2月1日起實(shí)施,個(gè)人信息保護工作將正式進(jìn)入“有標可依”階段。該標準最顯著(zhù)的特點(diǎn),是規定個(gè)人敏感信息在收集和利用之前,必須首先獲得個(gè)人信息主體明確授權。 毫無(wú)疑問(wèn),這個(gè)國標的誕生,表明國家對尊重和捍衛公民隱私權的重視度上升了。信息技術(shù)瓦解了信息傳播的傳統障礙,也容易突破隱私的邊界,因而加強信息保護不可避免,F實(shí)中,信息泄露首先是缺乏規則的結果,不同部門(mén)、行業(yè)乃至個(gè)人,對信息的采集和傳播邊界沒(méi)有清晰概念,信息泄露容易在無(wú)意識的情況下發(fā)生,甚至形成產(chǎn)業(yè)鏈!吨改稀饭倘缓茈y徹底鏟除產(chǎn)業(yè)鏈,但能提供信息使用的規則。比如,《指南》明確了處理信息的八項原則,這是從標準、規則角度而言。 這套規則的前提,是對個(gè)人信息形成科學(xué)歸類(lèi),有針對性地展開(kāi)保護,信息分類(lèi)既是難點(diǎn)也是重點(diǎn)!吨改稀穼⑿畔⒔缍橐话阈畔⒑蛡(gè)人敏感信息,并提出默許同意和明示同意兩種原則,劃分依據是什么暫不明確,但明示和默許對應著(zhù)法律意義上的授權。明確了主體授權,等于明確了權責關(guān)系,無(wú)授權則禁止收集和傳播,信息保護至少在發(fā)生泄漏時(shí)的追責上,是有據可依的。在這點(diǎn)上,《指南》的意義顯著(zhù)。 目前,問(wèn)題的關(guān)鍵是信息歸類(lèi)與具體行業(yè)形成對接。個(gè)人信息按私密度,可分為一般信息和敏感信息,但這是授權標準,而不是行業(yè)、部門(mén)的信息采集標準。信息采集的原則是最少告知,在這之上分類(lèi)保護。哪些是必要采集信息,哪些不必要,《指南》給出的是宏觀(guān)原則。行業(yè)、部門(mén)不同,對信息重要程度的認定也不同,在錄入過(guò)程中,一般信息也可能是不必要的采集信息,敏感信息也可能有采集的必要性,如何操作劃分,需要一套建立在行業(yè)特性上的技術(shù)性標準。沒(méi)有細化標準,可操作性不夠,信息泄露還是會(huì )有風(fēng)險。 強調這種風(fēng)險并非多慮。個(gè)人信息之所以陷入困境,一是信息錄入機構太多,包括金融、電信、教育、醫療以及網(wǎng)站房地產(chǎn)公司、賓館酒店等各色機構,二是泄露源多位于機構內部,所以即便我們遭遇信息泄露,也很難判斷泄漏發(fā)生在哪個(gè)環(huán)節,故而維權難,法律介入查證也難!吨改稀访鞔_了使用標準,但解決不了這個(gè)技術(shù)難題,那么最好的情況是,明確信息錄入的行業(yè)標準,盡量減少個(gè)人的信息采集范圍,將可能泄露的信息量提前控制。 《指南》是國標,屬于“指導性技術(shù)文件”,而非法律文本,不具備法律效力,無(wú)力懲戒犯規者。它提供了信息使用的規則,但約束力有限,在個(gè)人信息立法落地之前,信息保護的法條呈碎片化條文。在這個(gè)大前提下,《指南》的意義,更多在于確立了一套行業(yè)自律的信息規則,以及強化民眾對個(gè)人相關(guān)信息的確權,加強自我保護意識。個(gè)人信息保護的關(guān)鍵,是強化對信息源頭監控,建立起信息錄入和傳播的責任機制,使信息泄露盡可能對應到具體責任人。
|