工業和信息化部信息安全協調司副司長歐陽武5日接受新華社記者專訪時透露，《信息安全技術公共及商用服務信息系統個人信息保護指南》目前正在國家標準委進行最後的技術審批，預計今年上半年正式出臺。

　　指南對個人信息的處理包括收集、加工、轉移和刪除四個主要環節，其中還提出了個人信息保護的原則，包括目的明確、最少使用、公開告知、個人同意、質量保證、安全保障、誠信履行和責任明確等八項。指南規定，在收集個人信息階段告知的“使用目的”達到後應立即刪除個人信息。

　　歐陽武表示，這個標準是非強制性的，是政府組織及推動個人信息保護工作的一部分。這個標準正式出臺後，還將有一系列的配套標準，包括技術保障、管理規範、認證和審計細則等。“現在每個企業都說自己對個人信息的保護工作做得很好，但如果去查，肯定都有問題，都保護得不好。這些系列標準出臺後，就可以形成一個閉環，明確責任，推動企業遵照執行。”

　　-新聞背景

　　個人信息保護遭遇法律尷尬

　　歐陽武介紹說，我國從2003年就開始進行《個人信息保護法》的研究、制定工作，但這個課題在業界一直難以達成共識。爲此，2005年《個人信息保護法》專家意見稿已經提交，但這項立法建議一直未能進入正式的立法程序。

　　2009年，刑法修正案(七)確定了“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”罪名，首次將公民個人信息納入刑法保護範疇，規定要追究泄露、竊取和售賣公民個人信息行爲的刑事責任。這被認爲是保護個人信息的標誌性事件。

　　同年，《侵權責任法》的通過，使“人肉搜索”侵犯受害人權利的責任認定有了法律的統一規制，如果網站無視受害人提出的屏蔽、刪除要求，就要承擔連帶責任。

　　專家指出，《刑法》和《侵權責任法》都屬於事後救濟，在網絡時代要對網絡安全以及個人信息進行全流程的監管才更爲有效。據歐陽武介紹，“民法‘民不舉官不究’的原則已不能完全適應信息時代的需求，而必須運用刑事法的原則，立足於事前防範，明確個人信息管理者的一整套法定責任。”