也就是说,标准解决的主要是技术问题、指标问题、流程问题,而标准恰恰不能解决权利义务和责任问题,不解决行为规范的问题,也就是不解决保护本身的问题,保护和行为规范却是法律的长项。而诸如环境保护标准等之所以把保护和标准放在一起,只是因为其中涉及太多的技术性很强的指标问题,需要通过标准解决保护之前的指标问题,而环境保护行为本身也是要依靠立法解决的,除此类之外,我们再看不到其他的关于保护的标准。而目前我们在个人信息保护方面需要解决的,都是权利、义务和责任方面的问题,正如工信部介绍的,该《个人信息保护指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节,其中还提出了个人信息保护的原则。这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。显然,其中我们没有看到任何技术上的指标,没有看到标准保护和人信息的基础和必要性,而这些原则又基本都是欧盟等个人信息保护立法的核心内容。
同时,我们也注意到,该国标不是强制性标准,可以预期的是,该标准基本不会对个人信息保护的现状产生任何实质性的影响。但有人认为有总比没有好,毕竟可以为立法做出铺垫,还是很有意义的。但我想说的是,这个世界上完全没有意义的事情基本是没有的,在侵权普遍、保护形势严峻、泥沙俱下、积重难返的复杂形势面前,需要的不仅是政府的及时出手,更要切中要害、力度得当,而不是“放空枪”以壮声势。
如果说,工信部出台个人信息保护的部门规章推进个人信息保护立法进程,还是顺理成章的,而一个原本需要立法解决的问题,非要绕道标准,何来推进立法进程一说呢?不仅南辕北辙,更会误导公众对于法律和标准不同功能的认识。如果个人信息保护的国标出台了,今后网络版权保护、商标保护、名誉权保护是不是都需要出国标呢?是不是今后的相关立法都要绕道或借力于国标呢?
2、需要警惕的“立法与许可证依赖症”
我们还注意到,在此次个人信息保护新国标的相关报道中提到,据工信部电子科技情报研究所副所长刘九如统计,目前已有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定,医疗信息规定,个人信用管理办法等。当然,也包括刑法第七修正案中关于侵犯个人信息刑事责任的相关内容。那么,我的问题是,为什么我们已经有了这么多的相关规定,270多部,覆盖面不可谓不广泛;从法律到法规再到规章,层次不可谓不丰富;刑事责任、有期徒刑,处罚力度不可谓不强,却依然面临个人信息保护不够给力,公民个人信息屡屡被大规模侵犯的尴尬局面呢,是不是我们所面临的问题远远不是再立一部或几部法能够解决的呢?
