信息保护指南非强制标准
“为了经济效益,无利不起早。”高炽扬估计,目前没有哪个行业不存在信息泄露。
比如孕妇生完孩子刚回家,卖奶粉的电话就过来了,病人检查完身体,检查单还没看懂,相应的医药公司就已经打电话卖药来了。
中国软件评测中心研究员刘陶把个人信息比喻成“很多钱装在纸糊的银行里,很容易被黑客破解。”据他们调查,公众最关心的金融、电信等领域的个人信息安全。
而让人担忧的是,这个指南标准不是强制性标准,甚至也不是推荐性标准,标准通过会对行业起到多大的规范效力,仍待观察。
中国软件评测中心主任助理朱璇说,此次个人信息安全国家标准“属于技术指导文件”。
国家标准分为三种,一个是强制性标准,一个是推荐性标准,一个是指导性技术文件,标准可以作为参考。而国家强制性标准多在食品安全领域。
不过,黄子河认为,标准适用于除了政府机关等行使公共管理职能以外的各类组织和机构,特别是电信、医疗等涉及个人敏感信息比较多的服务机构。
-现状
40部法律难约束个人信息泄露
工信部电子科技情报研究所副所长刘九如统计,目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定,医疗信息规定,个人信用管理办法等。
刑法修正案(七)被认为是个人信息立法的标志性事件之一。
但是,这一犯罪主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。除此之外,还存在着互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位。
诸多法律界人士认为,刑法未明确该罪的具体界定标准,这一条款还有进一步改进和完善的空间。
另外,专家认为法律中对信息泄露者惩罚机制不够。
前段时间,警方破获CSDN(即中国软件开发联盟)的600多万条用户名和密码泄露案件,“目前为止对网站的处罚只是提出行政警告,太轻了,这种处罚几乎没有威慑力。”北京科技大学经管学院教授梅绍祖说。
梅绍祖认为,如果在国外,这样的大规模用户信息泄露,至少应该有经济处罚。
但是,社科院法学所研究员周汉华说,《刑法》和《侵权责任法》都属于事后救济,在网络时代要对网络安全以及个人信息进行全流程的监管才更为有效。
