|
我國首個個人信息保護國家標準——《信息安全技術公共及商用服務信息系統個人信息保護指南》將于2月1日起實施,個人信息保護工作將正式進入“有標可依”階段。該標準最顯著的特點,是規定個人敏感信息在收集和利用之前,必須首先獲得個人信息主體明確授權。
毫無疑問,這個國標的誕生,表明國家對尊重和捍衛公民隱私權的重視度上升了。信息技術瓦解了信息傳播的傳統障礙,也容易突破隱私的邊界,因而加強信息保護不可避免。現實中,信息泄露首先是缺乏規則的結果,不同部門、行業乃至個人,對信息的采集和傳播邊界沒有清晰概念,信息泄露容易在無意識的情況下發生,甚至形成產業鏈。《指南》固然很難徹底鏟除產業鏈,但能提供信息使用的規則。比如,《指南》明確了處理信息的八項原則,這是從標準、規則角度而言。
這套規則的前提,是對個人信息形成科學歸類,有針對性地展開保護,信息分類既是難點也是重點。《指南》將信息界定為一般信息和個人敏感信息,并提出默許同意和明示同意兩種原則,劃分依據是什么暫不明確,但明示和默許對應著法律意義上的授權。明確了主體授權,等于明確了權責關系,無授權則禁止收集和傳播,信息保護至少在發生泄漏時的追責上,是有據可依的。在這點上,《指南》的意義顯著。
目前,問題的關鍵是信息歸類與具體行業形成對接。個人信息按私密度,可分為一般信息和敏感信息,但這是授權標準,而不是行業、部門的信息采集標準。信息采集的原則是最少告知,在這之上分類保護。哪些是必要采集信息,哪些不必要,《指南》給出的是宏觀原則。行業、部門不同,對信息重要程度的認定也不同,在錄入過程中,一般信息也可能是不必要的采集信息,敏感信息也可能有采集的必要性,如何操作劃分,需要一套建立在行業特性上的技術性標準。沒有細化標準,可操作性不夠,信息泄露還是會有風險。
強調這種風險并非多慮。個人信息之所以陷入困境,一是信息錄入機構太多,包括金融、電信、教育、醫療以及網站房地產公司、賓館酒店等各色機構,二是泄露源多位于機構內部,所以即便我們遭遇信息泄露,也很難判斷泄漏發生在哪個環節,故而維權難,法律介入查證也難。《指南》明確了使用標準,但解決不了這個技術難題,那么最好的情況是,明確信息錄入的行業標準,盡量減少個人的信息采集范圍,將可能泄露的信息量提前控制。
《指南》是國標,屬于“指導性技術文件”,而非法律文本,不具備法律效力,無力懲戒犯規者。它提供了信息使用的規則,但約束力有限,在個人信息立法落地之前,信息保護的法條呈碎片化條文。在這個大前提下,《指南》的意義,更多在于確立了一套行業自律的信息規則,以及強化民眾對個人相關信息的確權,加強自我保護意識。個人信息保護的關鍵,是強化對信息源頭監控,建立起信息錄入和傳播的責任機制,使信息泄露盡可能對應到具體責任人。
|