近日,工信部直属的中国软件测评中心透露,他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。指南提出“最少够用原则”、个人信息用后应立即删除。但这个指南并非国家强制性标准(4月5日《新京报》)。

    包括刑法修正案在内的40部法律,都约束不了个人信息泄露,显然,没有任何强制性的技术“国标”更是花拳绣腿。据悉,“国标”分为三种:强制性标准、推荐性标准和指导性技术文件。而国家强制性标准多在食品安全领域。事实上,个人信息安全与食品安全同样重要,拿最弱的标准保障个人信息安全不妥。

    需要我们反思的是,为何会制订这样的“花瓶国标”?报道称,在个人信息安全缺少专门法律规范时,一部行业标准成为业内的希望。也就是说,此“国标”是为了弥补个人信息安全缺少专门法律规范的缺憾。但这样的“国标”不具有法律效力又如何弥补法律上的缺憾?无疑,法律的问题需要立法解决,而非指导性技术文件。

    之所以制订“花瓶国标”,不排除三个原因:一是在个人信息保护法拖了9年未见出台的情况下,相关部门只能在力所能及的范围内有所作为,以面对舆论压力；二是个人信息泄露多次发生在电信公司,说明电信领域是高发区,“老子”对“儿子”或许不愿动真格；三是先以“软国标”试水然后再“硬”。

    但不管是什么原因,制订“花瓶国标”不是在出实招。而个人信息频被泄露、被转卖,个人隐私、财产甚至生命安全受到严重威胁,亟待有关方面多出实招、多出重拳。首先还是要出台个人信息安全法。无论是什么原因,个人信息保护法立法需要提速。法律不是万能的,但却是必须的,是个人信息保护的基础。

    尽管刑法修正案(七)被认为是个人信息立法的标志性事件,尽管我们有40部法律涉及个人信息保护,但要承认,法律内容分散,法律层级偏低。与拥有隐私权法、信息保护和安全法、防止身份盗用法、网上隐私保护法、消费者隐私保护法、反网络欺诈法等多部专业法律的美国相比,我国个人信息保护的专业法律缺位是不应该的。

    其次,需要专门机构推动立法、监督执法。个人信息安全法2003年就开始起草,今天依然不见踪影,原因之一在于个人信息保护涉及多个部门,而推动立法似乎只有个别部门。如果相关部门不齐心协力推动立法,或者不设立专门机构推动立法,相关法律恐怕很难照进现实。

    而且,个人信息保护涉及面广,也应该有统一的专门机构来监督。以欧盟为例,据说27个成员国每个国家都有一个专门的信息保护机构。而我们却没有权责清晰的信息保护机构。如果设立专门机构,理应保持独立性,真正代表民意。

    再者,制订的技术“国标”应该是“硬”标准。显然,“国标”与专门的法律作用不同,都不可缺少。与其制订没有约束力的“软国标”,不如制订具有强制性、惩罚性的“硬国标”。制订标准的程序要征求民意,谁违背标准谁就要付出应有代价。

    该公开的政府信息迟迟不见公开,却纵容公民个人信息被公开,显然,这种反差让人难以接受,亟须改变。