|
我國首個個人信息保護國家標準——《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》將于2月1日起實施�,個人信息保護工作將正式進入“有標可依”階段���。該標準最顯著的特點�����,是規(guī)定個人敏感信息在收集和利用之前�,必須首先獲得個人信息主體明確授權����。
毫無疑問�,這個國標的誕生�,表明國家對尊重和捍衛(wèi)公民隱私權的重視度上升了。信息技術瓦解了信息傳播的傳統(tǒng)障礙��,也容易突破隱私的邊界�,因而加強信息保護不可避免。現(xiàn)實中��,信息泄露首先是缺乏規(guī)則的結果�,不同部門、行業(yè)乃至個人�,對信息的采集和傳播邊界沒有清晰概念���,信息泄露容易在無意識的情況下發(fā)生�����,甚至形成產(chǎn)業(yè)鏈���。《指南》固然很難徹底鏟除產(chǎn)業(yè)鏈�,但能提供信息使用的規(guī)則���。比如,《指南》明確了處理信息的八項原則����,這是從標準、規(guī)則角度而言����。
這套規(guī)則的前提,是對個人信息形成科學歸類�,有針對性地展開保護,信息分類既是難點也是重點�������!吨改稀穼⑿畔⒔缍橐话阈畔⒑蛡人敏感信息���,并提出默許同意和明示同意兩種原則�,劃分依據(jù)是什么暫不明確���,但明示和默許對應著法律意義上的授權�����。明確了主體授權����,等于明確了權責關系,無授權則禁止收集和傳播�����,信息保護至少在發(fā)生泄漏時的追責上�,是有據(jù)可依的��。在這點上����,《指南》的意義顯著����。
目前,問題的關鍵是信息歸類與具體行業(yè)形成對接���。個人信息按私密度,可分為一般信息和敏感信息�����,但這是授權標準,而不是行業(yè)����、部門的信息采集標準。信息采集的原則是最少告知����,在這之上分類保護。哪些是必要采集信息�,哪些不必要,《指南》給出的是宏觀原則�。行業(yè)��、部門不同,對信息重要程度的認定也不同�,在錄入過程中�����,一般信息也可能是不必要的采集信息,敏感信息也可能有采集的必要性,如何操作劃分����,需要一套建立在行業(yè)特性上的技術性標準��。沒有細化標準��,可操作性不夠�,信息泄露還是會有風險。
強調這種風險并非多慮�。個人信息之所以陷入困境�,一是信息錄入機構太多����,包括金融�、電信、教育���、醫(yī)療以及網(wǎng)站房地產(chǎn)公司、賓館酒店等各色機構�����,二是泄露源多位于機構內部,所以即便我們遭遇信息泄露�����,也很難判斷泄漏發(fā)生在哪個環(huán)節(jié)�����,故而維權難,法律介入查證也難������!吨改稀访鞔_了使用標準����,但解決不了這個技術難題,那么最好的情況是��,明確信息錄入的行業(yè)標準���,盡量減少個人的信息采集范圍��,將可能泄露的信息量提前控制。
《指南》是國標����,屬于“指導性技術文件”���,而非法律文本��,不具備法律效力,無力懲戒犯規(guī)者��。它提供了信息使用的規(guī)則�,但約束力有限,在個人信息立法落地之前�,信息保護的法條呈碎片化條文�����。在這個大前提下,《指南》的意義��,更多在于確立了一套行業(yè)自律的信息規(guī)則,以及強化民眾對個人相關信息的確權��,加強自我保護意識��。個人信息保護的關鍵�,是強化對信息源頭監(jiān)控���,建立起信息錄入和傳播的責任機制�����,使信息泄露盡可能對應到具體責任人���。
|