近日,工信部直屬的中國軟體測評中心透露,他們聯合30多家單位起草的《資訊安全技術、公共及商用服務資訊系統個人資訊保護指南》已正式通過評審,正報批國家標準。指南提出“最少夠用原則”、個人資訊用後應立即刪除。但這個指南並非國家強制性標準。(4月5日《新京報》)
當前,我國個人資訊保護不容樂觀,各種泄密事件頻發,甚至已經形成利用個人資訊從事非法獲利的黑色利益鏈。在這種現實語境下,制定和出臺相關行業標準,一定程度上可以為行業開展自律工作提供很好的參考,為企業處理個人資訊制定行為準則。但根本上,保護個人資訊不能寄望于行業自律。
一個行業要良性發展,必須要有自己的行業規定,只有大家都遵守,才能真正發展壯大。可是,我們不得不承認,行業自律是脆弱的,往往敵不過商人趨利的本性。三聚氰胺事件無疑就是一個鮮明的例子,在利益的驅使下,一些企業罔顧行業準則,險致牛奶行業全軍覆沒。
對於資訊行業的從業者來説,買賣個人資訊無疑是一個不可忽視的利潤來源。更何況,由於針對個人資訊的法律法規內容分散、層級偏低,即便刑法確定了“出售、非法提供公民個人資訊罪”、“非法獲取公民個人資訊罪”等罪名,因懲罰機制不完善,追究起來也是輕飄飄。
在此種情況下,單單靠制定和出臺行業標準,顯然達不到保護個人資訊的目的。由於缺乏強制性,從業者大可不必擔憂自己會因不遵守行業準則而付出代價。而即便是出現個人資訊洩露,相應的處罰亦不足以使得潛在違法者望而生畏。自然而然,從業者也就不可能重視保護個人資訊。
歸根結底,對於個人資訊的保護,最管用且最實在的還是法律和監管。只有加快完善法律,提升個人資訊保護的法律法規層級,明確買賣個人資訊罪名的界定標準,並加大懲罰力度,才能倒逼從業者遵守行業標準;只有完善和加強監管,才能讓無良者無處遁形。