《个人信息保护指南》将出台 给你的个人信息穿上“马甲”
非强制性,规范效力仍待观察
中国软件评测中心主任助理朱璇说,此次个人信息安全国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》属于技术指导文件。所谓技术指导文件,即只有指导性,没有强制性;只有象征意义,没有实际意义、操作价值。那么,不是强制性标准甚至非推荐性标准,标准通过会对行业起到多大的规范效力仍待观察。
欧阳武也表示,即将出台的标准是非强制性的,是政府组织推动个人信息保护工作的一部分。这个标准正式出台后,还将有一系列的配套标准,包括技术保障、管理规范、认证和审计细则等。“现在每个企业都说自己对个人信息的保护工作做得很好,但如果去查,肯定都有问题,都保护得不好。这些系列标准出台后,就可以形成一个闭环,明确责任,推动企业遵照执行。”
立法讨论
业内观点:保护个人信息还得靠立法
此次出台的《指南》,在不少业内人士看来,对保护个人信息安全作用有限,最重要的还是得立法。
有评论认为,个人信息保护指南并非国家强制性标准,只具有引导作用,在强制性、权威性与震慑力上,都不可能替代法律法规的作用。在巨额利润诱惑之下,若没有严厉的处罚措施,让那些机构、企业谈自律,要求他们按行为准则来行事,这无异于痴人说梦。仅凭一部非强制性的指南实现个人信息安全也是不现实的。
上海律师杜跃平认为,目前信息保护问题虽已到“深水区”,但还在“摸石头过河”,工信部出一个指南,毕竟“聊胜于无”,在实践中积累些经验。但关键还是要出专门法,可先出个专门条例,以后再上升到法律。
“主要还是得立法。”中国信息经济学会副理事长杨培芳认为,“现在有些部门规章,但层级不够,要有专门法律,进行细化归纳。原有的东西可以延用,但还要增加一些新条款,能覆盖种种新现象。”
《指南》起到铺垫作用,但立法尚需时日
《指南》牵头制定单位中国软件评测中心副主任高炽扬日前表示,《指南》的出台更具有行业指导意义,而立法还尚需时日。
高炽扬表示,法律和标准的定义是完全不同的,法律是管人的,而标准更多的关心的是信息系统的;法律的约束范围很广,特别是事后的惩戒部分,而标准关注的则是事前怎么处理,该怎么把它做好。“所以说,标准制定未必一定就能够导致这个法律很快的产生,谈指日可待这件事情还不那么容易。”
但高炽扬认为,在标准的制定过程中间,一系列的前期调研、国内外法律研究,以及与社会各界的交流,都为立法在技术和社会关注以及舆论层面做了很好的铺垫,对立法工作会产生很好的前期推进。
相关新闻:
《个人信息保护指南》将出台 给你的个人信息穿上“马甲”
个人信息泄露形成黑色产业链 几乎人人“裸奔”
工信部宣布中国即将出台个人信息保护国家标准
个人信息安全,出路在何处?
工信部将出台个人信息保护指南