个人信息泄露无法可依 隐私泄露应严打

    近年来，个人信息安全问题已经成为全民关注的话题，个人信息泄露成为困扰网民的难题。近日，工信部直属的中国软件测评中心透露，其联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》（以下简称《指南》）已正式通过评审，正报批国家标准。消息一出，再度引发公众对个人信息安全的热议。

有关部门起草的“个人信息保护指南”，很多人表示很期待，但是这个“指南”并不具强制性的标准。北京市盛峰律师事务所主任于国富告诉IT商业新闻网记者，国家标准有强制性标准和建议性标准，而这个《指南》不具备强制性，对于全面保护个人信息作用不大。

北京市德和衡律师事务所陈浩律师在接受IT商业新闻网记者采访时表示，作为我国关于个人信息保护的第一个国家标准，在个人信息被大规模非法传播的当前，标准的制定具有良好的开端作用，明确了确立了个人信息应该受到法律保护以及如何进行保护。但是，因为《指南》不是强制性标准，只具有引导作用，因此，在当务之急，应该制定具备强制力的保护措施，严厉打击个人信息泄露泛滥这一顽疾。

个人信息保护指南无法律效力 信息安全仍难监管

个人信息泄露严重 网民深受其害

3月15日下午，在2012年中国个人信息保护大会上，主办方之一的中国软件测评中心发布了《2012年网站个人信息保护政策测评报告》。这份报告中的“2011年个人信息保护政策网站分类平均得分排名”显示，银行网站得分仅31.98分（满分100分），成为电子商务、招聘网站、婚恋网站和游戏网站等7个测评分类中得分最低的网站类型。

而中国青年报做过的一项社会调查显示，有88.8%的人表示有过个人信息泄露而遭遇困扰的经历。据了解，CSDN泄露的600万用户信息，若其中10%有效，那么就有60万网络用户信息被黑客掌握。

一般而言，单纯倒卖用户数据库并不赚钱，有些数据库经过多次交易后，几百个账号的价格只有几分钱，因此不少黑客盗取用户数据库之后，会直接侵入别人账号、邮箱获取有用的信息进行诈骗；也会在网上打包销售，转卖给黑公关或竞争对手等多种途径完成利益很大化的变现；购买信息的人主要会用于网络推销、电信垃圾广告、电商垃圾邮件。

在我国，侵犯个人信息的事件非常严重，相关法律亟待出台，而这个《指南》的出台让网民看到一线希望。

工信部这一《指南》面对企业，推出了“目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确”等八项原则的标准，涉及个人信息处理的收集、加工、转移和删除等四个主要环节，若严格遵守这些标准，必将更有力地保障个人信息。

IT法律专家，中国互联网协会信用评价中心法律顾问赵占领指出，个人信息保护这块我们已经有很多的法律，但是隐私权的具体范围没有界定。只有互联网协会，还有这次的国家标准，对个人信息，才做了第一次的界定。

个人信息无强有力的法律保护

专家指出，《指南》能够为社会提供指导性意见，而国家标准则能够统一社会对于某一具体问题的差异，终终趋向达到一致。但是，在强制性、权威性与震慑力上，指南和国家标准都不可能替代法律法规的作用。

实际上，我国早已经认识到个人信息保护问题，目前，有近40部法律、30余部法规，以及近200部规章都有涉及。陈浩指出，比如《护照法》规定，泄露因制作、签发护照而知悉的公民个人信息，侵害公民合法权益的，依法给予行政处分；构成犯罪的，依法追究刑事责任。另外，《身份证法》规定，国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息，构成犯罪的，依法追究刑事责任。

除此以外，大多数个人信息保护的规定散见于各种行政法规、部门规章或司法解释。2009年，刑法修正案（七）确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名，首次把对个人隐私和信息保护上升到刑法层面。

但是，这一罪名的犯罪主体仅是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。而网络、房地产、物管、汽车厂商、宾馆酒店等各类中介服务机构却无法惩治；其次，这一罪名侧重于事后救济，无法事先防范违法者窃取和传播个人信息。

赵占领就指出了《刑法修正案七》中存在局限性，第一个局限是主体范围有限。这个刑法修正案就只有国家机关：金融机构、电信、教育、医疗这些单位的工作人员泄露信息才可能适用这样一个刑法的罪名。另外一个就是只包括了非法的提供和出售个人信息；除了这两种行为之外非法处理个人信息无法适用刑法修正案。从处罚力度来讲，可能还是比较轻的：一个是最高刑罚是三年以下有期徒刑。

实践中，对个人隐私窃取者的追究难度仍然很大，出了事之后，信息保管单位的法律责任也偏轻：去年，CSDN等网站发生 600多万用户信息泄露案件，也只是受到行政警告了事。

也就是说，这些法律、法规与工信部的《指南》一样，要么法律层次太低，要么各自为战，仅涉及本部门的问题，要么较笼统，没有规定责任部门和惩处措施，虽林林总总，却难以周全保护个人信息。

《个人信息保护法》亟待出台

赵占领认为，应该给信息主体存储赋予一些法律义务，增强这些信息主体主动保护个人信息主动性，通过行政处罚赋予相关机构一些执法权，那么对于用户个人来讲，还可以依据这些法律，来追究网站的民事赔偿责任。因此，应继续推动《个人信息保护法》。

据了解，2005年《个人信息保护法》专家意见稿已经提交，但迄今为止这一立法建议一直未进入正式的立法程序。

赵占领IT商业新闻网记者，2003年前后，国务院信息办工作办公室负责起草《个人信息保护法》，但是，后来大部制改革被并入工信部，智能由工信部的信息安全协调司承担，因此，个人信息保护法一直就没有列入立法计划。

赵占领认为，由于立法资源有限，立法机构缺乏足够重视，《个人信息保护法》短期内也没有希望列入国务院的立法计划，所以工信部选择先以国家标准的形式发布。

虽然《指南》有一定指导性作用，但是只有法律法规的出台才具有强制性和威慑性。专家希望《个人信息保护法》法律能尽快启动立法程序，同时在立法中针对目前个人信息被侵犯的严峻态势制定全方位的保护措施，对泄露或出卖个人信息者予以惩戒。

---