南都讯 记者吴瑶发自北京　工业和信息化部信息安全协调司副司长欧阳武日前透露，《信息安全技术、公共及商用服务信息系统个人保护指南》已经进入国家标准委最后的技术审批阶段，预计在今年上半年出台。

　　《指南》不具备行政处罚权

　　据新华社报道，欧阳武表示，该标准正式出台后，将有一系列配套标准，包括技术保障、管理规范、认证和审计细则等。他指出，这样的标准可以明确责任，推动企业遵照执行。

　　而他在3月15日举行的中国个人信息保护大会上介绍该《指南》时说，《指南》确立了对个人信息处理中的收集、加工、转移和删除等四个主要环节所要遵循的原则，还明确提出个人信息包括的原则，“包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确八项。”其中“最少够用原则”提出要求只处理与处理目的有关的最少信息，达到处理目的后，在最短时间内删除个人信息。

　　然而，《指南》只是行业自律性条款，不具备行政处罚权。在个人信息保护专门法成型之前，只能先倡导行业自律。

　　他透露，下一步政府部门将培养和扶持独立的第三方专业机构，对企业保护个人信息的工作进行全方位审查，保证系列标准的落实。

　　《指南》缺乏法律刚性，那么第三方专业机构是否会面临审查受权基础不牢的问题？作为《个人信息保护法》(专家建议稿)起草人之一的中科院法学所研究员周汉华表示，第三方专业机构面临法律授权障碍确实是影响审查效果的最大问题，“如果是树典型，说哪些做得好还没什么，但一旦第三方机构充当了‘警察’角色，揭露企业的负面行为，很容易因为没有足够的法律授权而引起争议”。

　　多部法律涉及，但保护力度不足

　　据新京报报道，有研究者统计目前涉及个人信息保护的法律法规和规章数量，包括近40部法律、30余部法规和近200部规章。然而，中国社科院法学院研究员周汉华指出，这些法律法规和规章较为分散，基本上只是提到个人信息保护的概念，缺乏对个人信息的界定和分类，也缺乏可操作之标准，执法主体缺位，执法力度不足。

　　2009年颁布的刑法修正案(七)被认为是加强个人信息保护的重要标志，该修正案首次将公民个人信息纳入刑法保护范畴，要求追究泄露、窃取和售卖公民个人信息行为的刑事责任。但由于它的犯罪主体仅限于“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，近年来用户个人信息泄露事件频发的互联网、房地产等行业却不包含在内，存在巨大漏洞。另外，它对“违反有关规定”具体是指哪些行为也没有给出界定。

　　因此，周汉华认为，“现在真正需要的法律是全面、系统地对个人信息进行界定、保护的制度设计，以及规定程序、权限和违反行为所带来的法律后果。”

　　建议尽快建立个人信息保护制度

　　其实，我国《个人信息保护法》的研究制定自2003年起陆续展开、学界业界曾经多次就此展开讨论，2005年，由周汉华领衔的中国社科院法学所课题组还向国务院法制办等相关部门递交了近8万字的《个人信息保护法(专家建议稿)及立法研究报告》，但目前立法工作未取得明显突破。

　　广西民族大学法学院院长齐爱民认为，要制止个人信息侵权、保护受害人权益的根本是要建立完善的个人信息保护制度。

　　周汉华指出，实际上行业自律或强制性的标准出台与否，与立法并没有先后顺序，是并行不悖的，“大量立法的国家也在推行行业自律的标准，两者互不排斥。从现实情况来看，单靠规范难以遏制滥用个人信息的现象，而更应该加快立法步伐。”