南方日報評論員

　　近日，工信部直屬的中國軟件測評中心透露，他們聯合30多家單位起草的《信息安全技術、公共及商用服務信息系統個人信息保護指南》已正式通過評審，正報批國家標準。《指南》對個人信息的處理包括收集、加工、轉移和刪除四個主要環節，其中還提出了個人信息保護的原則。

　　個人信息泄露之嚴重毋庸贅言，生活在這個社會的每一個社會人感同身受，人們就像魚缸裏的一條條金魚，任由缸外人觀賞，可憐的是，我們有時甚至不知道自己早已成爲金魚，依舊悠然自得地遊着。今年央視3·15晚會再次給大家揭開了利用個人信息牟利黑幕的一角。上海羅維鄧白氏營銷服務有限公司，其業務最核心的資源就是精準的個人信息數據庫。說白了，就是賣個人信息的。該公司擁有的大量、精準個人信息讓人瞠目結舌，甚至包括銀行卡信息、賬戶存款等，幾乎不差毫釐。而之前飽受爭議的儲戶銀行卡資金莫名其妙“失竊”案件，不少皆是涉事銀行的客戶經理通過違法登錄個人徵信系統，盜取客戶個人銀行卡信息和個人徵信報告，並售予不法分子而致。如此透明的魚缸着實讓人誠惶誠恐，因爲誰也不知道自己會不會在下一秒成爲別人口中的獵物。

　　個人信息泄露後果之嚴重，從小處說，不過就是收收垃圾短信，被人騷擾騷擾，煩不勝煩而已。但從大處說，就是個人經濟安全與人身安全因爲信息被泄漏，而處於一種極爲不安全的狀態，不法分子從中牟取暴利。2009年，刑法修正案(七)確定了“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”罪名，首次將公民個人信息納入刑法保護範疇，規定要追究泄露、竊取和售賣公民個人信息行爲的刑事責任。但是，這一犯罪主體僅限於“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”。而該罪名的界定標準亦未明確，存在巨大的細化空間。此外，對於個人信息保護已有近40部法律、30餘部法規，以及近200部規章涉及，但普遍問題都是立法層級太低，過於分散。

　　個人信息立法早在學界與坊間熱議已久，但至今仍然沒有破冰。在個人信息安全缺少專門法律規範時，一部行業標準成爲業內的希望。目前看來，這個希望顯然沒有多麼巨大，此次個人信息安全國家標準“屬於技術指導文件”，不僅沒有強制性，甚至連參考標準都談不上。反正標準咱是有了，至於執不執行，就是你們的事了。但是在如今個人信息非法牟利已經白熱化的階段，跟鉅額的非法利益相比，有沒有人會真正把這個標準當一回事實在值得考量。而且從實際來看，我們根本不差規則，而是規則太低端、太無力。如果僅僅滿足於規則的低端重複建設，又能對這些讓人瞠目結舌的泄密黑幕起到多大作用？

　　毫無疑問，個人信息保護涉及過於紛繁複雜的細節以及過多的行業部門，這是個人信息立法一直躊躇不前的重要因素。但個人信息亟需一部專門的綜合性信息安全法律，明確用戶、企業等相關方面責任義務，應該成爲共識。必須強調的是，這部立法不應該是“光打蒼蠅，不打老虎”的弱勢立法。不僅將所有互聯網公司、房地產公司、物業公司、汽車廠商、賓館酒店、會計師事務所等掌握個人信息的機構和單位都納入其中。而且從深層次說，銀行客戶經理爲何可以肆無忌憚通過個人徵信報告牟利，電信運營商員工爲何可以隨意泄露客戶信息、販賣給“私家偵探”，正是因爲單位並沒有真正成爲個人信息保護的主體。員工的非法行爲只視爲個人行爲，只追究個人責任，單位的責任頂多也就是自願情況下的道歉了事。這必然決定了單位不可能會花心思與力量去監管員工的各種泄密行爲，從而放任個人信息泄密氾濫。

　　高層級的個人信息立法刻不容緩，強而有力、切中目標的保護效力是其題中應有之義。