我國首個(gè)個(gè)人信息保護國家標準——《信息安全技術(shù)公共及商用服務(wù)信息系統個(gè)人信息保護指南》將于２月１日起實(shí)施，個(gè)人信息保護工作將正式進(jìn)入“有標可依”階段。該標準最顯著(zhù)的特點(diǎn)，是規定個(gè)人敏感信息在收集和利用之前，必須首先獲得個(gè)人信息主體明確授權。
　　毫無(wú)疑問(wèn)，這個(gè)國標的誕生，表明國家對尊重和捍衛公民隱私權的重視度上升了。信息技術(shù)瓦解了信息傳播的傳統障礙，也容易突破隱私的邊界，因而加強信息保護不可避免�，F實(shí)中，信息泄露首先是缺乏規則的結果，不同部門(mén)、行業(yè)乃至個(gè)人，對信息的采集和傳播邊界沒(méi)有清晰概念，信息泄露容易在無(wú)意識的情況下發(fā)生，甚至形成產(chǎn)業(yè)鏈�！吨改稀饭倘缓茈y徹底鏟除產(chǎn)業(yè)鏈，但能提供信息使用的規則。比如，《指南》明確了處理信息的八項原則，這是從標準、規則角度而言。
　　這套規則的前提，是對個(gè)人信息形成科學(xué)歸類(lèi)，有針對性地展開(kāi)保護，信息分類(lèi)既是難點(diǎn)也是重點(diǎn)�！吨改稀穼⑿畔⒔缍�為一般信息和個(gè)人敏感信息，并提出默許同意和明示同意兩種原則，劃分依據是什么暫不明確，但明示和默許對應著(zhù)法律意義上的授權。明確了主體授權，等于明確了權責關(guān)系，無(wú)授權則禁止收集和傳播，信息保護至少在發(fā)生泄漏時(shí)的追責上，是有據可依的。在這點(diǎn)上，《指南》的意義顯著(zhù)。
　　目前，問(wèn)題的關(guān)鍵是信息歸類(lèi)與具體行業(yè)形成對接。個(gè)人信息按私密度，可分為一般信息和敏感信息，但這是授權標準，而不是行業(yè)、部門(mén)的信息采集標準。信息采集的原則是最少告知，在這之上分類(lèi)保護。哪些是必要采集信息，哪些不必要，《指南》給出的是宏觀(guān)原則。行業(yè)、部門(mén)不同，對信息重要程度的認定也不同，在錄入過(guò)程中，一般信息也可能是不必要的采集信息，敏感信息也可能有采集的必要性，如何操作劃分，需要一套建立在行業(yè)特性上的技術(shù)性標準。沒(méi)有細化標準，可操作性不夠，信息泄露還是會(huì )有風(fēng)險。
　　強調這種風(fēng)險并非多慮。個(gè)人信息之所以陷入困境，一是信息錄入機構太多，包括金融、電信、教育、醫療以及網(wǎng)站房地產(chǎn)公司、賓館酒店等各色機構，二是泄露源多位于機構內部，所以即便我們遭遇信息泄露，也很難判斷泄漏發(fā)生在哪個(gè)環(huán)節，故而維權難，法律介入查證也難�！吨改稀访鞔_了使用標準，但解決不了這個(gè)技術(shù)難題，那么最好的情況是，明確信息錄入的行業(yè)標準，盡量減少個(gè)人的信息采集范圍，將可能泄露的信息量提前控制。
　　《指南》是國標，屬于“指導性技術(shù)文件”，而非法律文本，不具備法律效力，無(wú)力懲戒犯規者。它提供了信息使用的規則，但約束力有限，在個(gè)人信息立法落地之前，信息保護的法條呈碎片化條文。在這個(gè)大前提下，《指南》的意義，更多在于確立了一套行業(yè)自律的信息規則，以及強化民眾對個(gè)人相關(guān)信息的確權，加強自我保護意識。個(gè)人信息保護的關(guān)鍵，是強化對信息源頭監控，建立起信息錄入和傳播的責任機制，使信息泄露盡可能對應到具體責任人。