中国将出台个人信息保护国家标准 (2)

　　立法难题

　　周汉华认为，目前国内关于个人信息保护的法规分散，既缺乏对个人信息的界定，也缺乏可操作之标准，执法主体缺位，执法力度不足。

　　“分散立法不是不行，但要求有很强的法制统一能力，以及很高的执法能力。”周汉华介绍，同是个人信息保护立法，美国采用分散立法的形式，欧盟则要统一立法。

　　研究者统计，目前约有40部法律、30部法规和近200项来自工信部、银监会、保监会等部门的规章涉及个人信息保护。全国人大颁布的法律，较有代表性的是民法通则；国务院出台的法规，则有个人存款账户实名制规定，互联网信息管理办法等；此外还有一些地方法规，如江苏省2011年出台的信息化条例，以及深圳市正在制定的个人信息保护条例。

　　相关部门规章更多。银监会信息科技风险管理处处长骆絮飞表示，银监会正着力加强银行业监管，制定有关银行的网上安全规范，以客户数据为重点对银行信息安全进行检查，同时指导银行加强对外包服务机构的数据安全管理。

　　但据本刊记者采访了解，各类法规章程的操作细则仍不够周全。如前述的信用卡盗刷事件、垃圾短信“精准投放”现象，查处追责均存在较多困难。

　　对于个人信息保护的难题，业内讨论认为主要有三方面：保护程度界定，难以区别正当或非法使用个人信息；信息泄露取证，难以确定个人信息是在哪个环节发生泄露；执法力度统一，难以确保多个监管主体执法的宽严尺度一致。

　　“出台一部专门法律，上述问题可迎刃而解。”周汉华是个人信息保护法专家建议稿的起草者之一。他同时表示，国际上公认个人信息保护是一项基本权利，是宪法权利，而不仅仅是民事权利，民法中的隐私权，这意味着个人信息保护不仅仅是私领域的事项，不仅仅是民不举、官不究的事项，而是需要公共权力介入，强制要求相关主体承担法定义务的事项。

　　周汉华介绍说，目前已有38个地方制定了个人信息保护的相关法规。

　　但是，地方立法的先行先试也难免有一些负面作用。比如各地标准不统一，法律适用存在较大困难。

　　周汉华建议，要推“大法”，先做好顶层设计，各地可再据此制定具体实施细则。

　　在他看来，立法是一个要解决的难题，同样关键的，还要保证法律出台之后得到有效实施。有三点不可或缺：

　　其一，注重平衡原则。个人信息具有不同程度的价值，既要保障信息充分流通，推动信息社会进步，也要避免滥用个人信息。其二，他律与自律结合。不可能全部交给政府部门监管，要设置有效机制，让企业自我管理。其三，要有一定程度的执法威慑。