新華社發

　　剛買完火車票，黃牛黨就打電話過來問還要不要票；孕婦剛查出懷孕，賣嬰兒用品的電話就打來推銷；去房產中介留個電話想租房，天天就有賣房的短信和電話來騷擾……個人信息泄露的案例可謂屢見不鮮。針對這些問題，《信息安全技術公共及商用服務信息系統個人信息保護指南》(下稱《個人信息保護指南》)目前正在國家標准委進行最後的技術審批，預計今年上半年正式出臺。

　　有專家認為，目前制定的國家標准還只是一個適用於各個行業的共同標准，還需要按照不同行業的自身特點進行細化。該標准並不具備強制性，依賴相關行業協會和企業自願參加，仍然需要一部專門的個人信息保護法。

　　個人信息使用後應立即刪除

　　據介紹，《個人信息保護指南》對個人信息的處理包括收集、加工、轉移和刪除四個主要環節，其中還提出了個人信息保護的原則。工業和信息化部信息安全協調司副司長歐陽武表示，『這個原則包括目的明確、最少使用、公開告知、個人同意、質量保證、安全保障、誠信履行和責任明確八項。』

　　中國軟件測評中心相關負責人對其中的要求做了明確的解釋：『最少使用』的原則就是獲取一個人的信息量時，只要能滿足使用就行。『安全保障』則是要個人信息管理者一旦收集了個人信息，就必須建立一套個人信息保護制度，明確責任人和內部管理流程，以及應對個人信息泄露的風險。在收集個人信息階段告知的『使用目的』達到後應立即刪除個人信息。

　　歐陽武介紹說，我國從2003年就開始進行《個人信息保護法》的研究、制定工作，但這個課題在業界一直難以達成共識，對於哪些是需要保護的個人信息，學界看法不一。『這導致我國只有在很多專門法裡籠統地提一句不能泄露個人信息、侵犯個人隱私，但如何保護，卻沒有具體、詳細的規定和技術措施，導致這些提法形同虛設。』

　　業內領軍企業一般會參照執行

　　信息安全問題在隨著互聯網的發展，和個人信息非法獲利黑色鏈條的形成，已經成為了困擾消費者和國家相關部門的一個難題，國家在對個人信息安全保護問題方面也是日漸重視。據南方日報記者了解，2009年刑法修正案(七)確定了『出售、非法提供公民個人信息罪』、『非法獲取公民個人信息罪』罪名，首次將公民個人信息納入刑法保護范疇，規定要追究泄露、竊取和售賣公民個人信息行為的刑事責任。

　　『雖然個人信息保護有立法，但一直沒有對個人信息的范圍進行界定，《個人信息保護指南》如果可以成為國家標准，至少讓國家的相關法律法規有了參照的標准。』曾經參與起草第一版《個人信息保護指南》的著名法律界人士趙佔領在接受南方日報記者采訪時表達了自己的看法。

　　『但國家標准有三種，強制性標准，推薦性標准和指導性技術文件，即使《個人信息保護指南》成為了國家標准，也只是將以指導性技術文件的形式發布，不具有強制執行力。』趙佔領認為雖然沒有強制執行力，但是一旦成為國家標准，還是具有很大的意義的。『行業內的領軍企業一般也會參照執行，也給個人信息的立法提供一些實踐經驗。』

　　盡到安全保障義務可免責

　　『現在個人信息泄露現象比較嚴重，去年還發生CSDN等大規模泄露個人信息的事件，很多企業也遇到過個人信息保護水平低、甚至非法收集個人信息的質疑。』趙佔領說。南方日報去年曾經詳細報道過CSDN網站數據庫被黑客入侵的事件，事件造成了600多萬條用戶名和密碼泄露，而所泄露的用戶名和密碼在互聯網上被隨意傳閱，造成了大量的安全事件。

　　有業內人士質疑：一旦《個人信息保護指南》成為國家標准，但是又沒有任何的強制執行力，掌握著大量消費者個人信息的企業，有什麼動力去執行這個標准呢？一旦執行了這個標准後，個人信息還是泄露的話，責任何在？

　　『網站和用戶之間有服務合同關系，網站如果沒有盡到基本的安全保障義務，比如CSDN明文保存密碼，是應該向用戶承擔民事賠償責任的，如果有證據證明自己盡到安全保障義務，可以免責，參照執行該標准就是一種有利證據。』趙佔領從法律的角度解釋了《個人信息保護指南》成為國家標准後，企業嚴格執行的意義所在：『免責』或將會成為互聯網企業的『免死金牌』。

　　相對於讓互聯網企業尋找自己的『免死金牌』，業界人士普遍認為讓企業提高自身的對於信息安全的重視程度纔是正道。奇虎360公司首席隱私官譚曉生在接受南方日報記者采訪時也認為，互聯網企業的自律和自我約束更加重要，360公司發布的《用戶隱私保護白皮書》就已經將其所有產品的工作原理和信息處理機制公布於眾，接受公眾的監督。譚曉生指出：『對用戶隱私信息，互聯網網站要有高度的負責任的精神，加大投入，切實做好用戶隱私信息的管理工作，不能因為這一塊不掙錢就忽視了對用戶隱私的保護。』

　　南方日報記者葉丹