个人信息保护将出台国标 参考标准被疑空头支票

　　羊城晚报记者 李晓莉 林曦

　　近日，工信部直属的中国软件测评中心透露，《信息安全技术、公共及商用服务信息系统个人信息保护指南》（以下简称《指南》）已正式通过评审，正报批国家标准。到底这份《指南》能不能完全保护个人信息？

　　“《指南》的作用不是很大。”广东省法学会律师学研究会会长、著名律师朱永平在接受羊城晚报记者采访时，泼出了第一瓢冷水。

　　谁动了我的个人信息？

　　去年12月，知名程序员网站CSDN的安全系统遭到黑客攻击，600万用户的登录名、密码和邮箱遭到泄露。随后，天涯、世纪佳缘等网站也相继曝出用户信息遭到泄密。

　　今年的央视3·15晚会，曝光了上海罗维邓白氏营销服务有限公司以每条3毛到1.5元的价格，出售1.5亿条个人信息，引起舆论哗然。

　　再加上五花八门的保险、购房电话，各式各样的垃圾短信，QQ、邮箱甚至网银账号被盗。此类信息层出不穷，只道出了一个现实：个人信息被贩卖，个人隐私被践踏。“轻伤”者被垃圾信息“攻击”，“重伤”者财物、名誉双双受损，还要赔上大量的人力物力“善后”。

　　所以，很多人都想知道：到底谁动了我的信息？我要如何维护个人信息？

　　国标到底能监管谁？

　　《指南》便是在这样的呼声中出台的第一个“个人信息保护”专项国家标准。

　　根据中国软件测评中心副主任高炽扬的介绍，《指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节，其中还提出了个人信息保护的原则，包括“目的明确”、“最少使用”、“公开告知”、“个人同意”、“质量保证”、“安全保障”、“诚信履行”和“责任明确”等八项。他希望今年能通过这项标准，以拓展个人信息保护的体系。

　　“我们还没有看到这份《指南》。”一位广东通信界业内人士在接受羊城晚报采访时分析道，“但我个人认为，《指南》最大的意义在于指导企业在获取大量的个人信息之后如何进行管理，什么情况下要销毁，什么情况下要加密，什么情况下要防止被盗。尤其是那些大量个人信息‘接入单位’。”

　　保护给不给力谁知道？

　　工信部科学技术情报研究所一项调查显示，30%的被调查对象认为可能是通过网站泄露，30%认为可能是通讯公司，另有30%不清楚到底是在哪个地方泄露。而在个人信息被滥用后，因取证困难，只有不足10%的调查对象采取了相应维权措施。

　　瑞星安全专家指出，像去年CSDN、天涯这种大规模用户数据泄露事件，其实反映的是网站的服务器端安全机制问题。“当一些大的网络公司不重视个人信息资料保护、不重金保护服务器相关系统的时候，这些资料被窃取就是轻而易举的事情。”一位IT界人士透露。

　　与之同时，还有存心要套取个人信息的“钓鱼网站”，数据显示，2011年新增钓鱼网站在45万个左右，而今年钓鱼网站的危害程度在急剧增加，高峰期甚至比去年增加了100倍！

　　网站之外，也有银行、保险、通讯等行业员工出于牟利目的，出卖客户信息。央视“3·15”晚会曝光的上海罗维邓白氏公司，其非法获取、买卖公民个人信息不仅数量庞大，而且相当详细精准。

　　“让人担忧的是，《指南》不是强制性标准，甚至也不是推荐性标准，其执行效力如何，仍待观察。”一位资深工程师坦言，“一旦与企业的利益发生矛盾，那么《指南》能发挥的作用便更小。”

　　谁来查泄露的源头？

　　“我个人认为，《指南》的作用不是很大。”朱永平表示，目前针对个人信息的法律保护，主要依靠《侵权法》、《民法通则》、《刑法》和《计算机系统安全保护条例》等组成的“立体”的对个人信息保护“法网”，但他也坦言：“其中漏洞很多，还有很大的改进空间。”

　　“对于被泄露个人信息的公民而言，最大的困难在于查不到泄漏源头。”朱永平说：“我们常常看到，不少市民的手机号码、家庭座机号码都被当商品买卖，此类信息的泄露源头肯定来自掌握大量信息的公司的内部人员，但消费者维权很难，同一个信息，有可能是被网站泄露的，也有可能是被银行、保险公司甚至是医院泄露的。”

　　“《指南》公布之后，还需要政府加大宣传的力度。”朱永平表示，一方面可以加强《指南》的执行力度，另一方面也可以提高市民对个人信息的保护意识。

　　专家观点

　　信息安全 从我做起

　　“任何互联网服务都潜在信息泄露危险。”艾媒咨询集团CEO张毅向记者表示，国家除了明确立法和严格的保护措施外，厂商的自律也非常重要。对于用户而言，互联网不是万能，不要把全部信息暴露在互联网上。

　　金山安全专家李铁军建议：“将自己日常使用的网络服务分为两类：重要的（网上支付和聊天账号等）和一般的；使用至少2个邮箱来绑定或申请网络服务，并确保邮箱密码不重复使用；重要服务用重要邮箱来申请，一般服务用次要邮箱来申请，二者绝不混用；重要服务使用的密码，不能和邮箱相同，并要定期更改，最好一两个月修改一次。”

　　他山之石

　　德国：早在1977年就制定了《联邦数据保护法》，以后两度修法，明确手机用户拒绝商业广告短信，可与运营商签订一份合同，运营商违规滥发短信，投诉一次最高可罚五万欧元。这样一来，如果投诉的人多，电信商可能要被罚得倾家荡产。

　　英国：《通信管理条例》规定，未经收信人同意发送兜售产品的垃圾信息，属于违法，法院受理起诉并查实后，每次罚运营商5000英镑。