我國首個個人信息保護國家標準——《信息安全技術公共及商用服務信息系統個人信息保護指南》將于２月１日起實施，個人信息保護工作將正式進入“有標可依”階段。該標準最顯著的特點，是規定個人敏感信息在收集和利用之前，必須首先獲得個人信息主體明確授權。
　　毫無疑問，這個國標的誕生，表明國家對尊重和捍衛公民隱私權的重視度上升了。信息技術瓦解了信息傳播的傳統障礙，也容易突破隱私的邊界，因而加強信息保護不可避免。現實中，信息泄露首先是缺乏規則的結果，不同部門、行業乃至個人，對信息的采集和傳播邊界沒有清晰概念，信息泄露容易在無意識的情況下發生，甚至形成產業鏈。《指南》固然很難徹底鏟除產業鏈，但能提供信息使用的規則。比如，《指南》明確了處理信息的八項原則，這是從標準、規則角度而言。
　　這套規則的前提，是對個人信息形成科學歸類，有針對性地展開保護，信息分類既是難點也是重點。《指南》將信息界定為一般信息和個人敏感信息，并提出默許同意和明示同意兩種原則，劃分依據是什么暫不明確，但明示和默許對應著法律意義上的授權。明確了主體授權，等于明確了權責關系，無授權則禁止收集和傳播，信息保護至少在發生泄漏時的追責上，是有據可依的。在這點上，《指南》的意義顯著。
　　目前，問題的關鍵是信息歸類與具體行業形成對接。個人信息按私密度，可分為一般信息和敏感信息，但這是授權標準，而不是行業、部門的信息采集標準。信息采集的原則是最少告知，在這之上分類保護。哪些是必要采集信息，哪些不必要，《指南》給出的是宏觀原則。行業、部門不同，對信息重要程度的認定也不同，在錄入過程中，一般信息也可能是不必要的采集信息，敏感信息也可能有采集的必要性，如何操作劃分，需要一套建立在行業特性上的技術性標準。沒有細化標準，可操作性不夠，信息泄露還是會有風險。
　　強調這種風險并非多慮。個人信息之所以陷入困境，一是信息錄入機構太多，包括金融、電信、教育、醫療以及網站房地產公司、賓館酒店等各色機構，二是泄露源多位于機構內部，所以即便我們遭遇信息泄露，也很難判斷泄漏發生在哪個環節，故而維權難，法律介入查證也難。《指南》明確了使用標準，但解決不了這個技術難題，那么最好的情況是，明確信息錄入的行業標準，盡量減少個人的信息采集范圍，將可能泄露的信息量提前控制。
　　《指南》是國標，屬于“指導性技術文件”，而非法律文本，不具備法律效力，無力懲戒犯規者。它提供了信息使用的規則，但約束力有限，在個人信息立法落地之前，信息保護的法條呈碎片化條文。在這個大前提下，《指南》的意義，更多在于確立了一套行業自律的信息規則，以及強化民眾對個人相關信息的確權，加強自我保護意識。個人信息保護的關鍵，是強化對信息源頭監控，建立起信息錄入和傳播的責任機制，使信息泄露盡可能對應到具體責任人。