增强制度自信，构建中国特色个人信息保护

    继去年底《全国人大常务委员会关于加强网络信息保护的决定》通过之后，我国在网络个人信息保护方面再次亮剑：中国首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》（以下简称《指南》）于2013年２月１日起正式实施，个人信息保护工作将正式进入“有标可依”阶段。

    对于这一标准，各方反应不一：有叫好的，称赞其推进了个人信息保护的标准化进程，传播了个人信息保护的正能量，非常给力；但也有不以为然的，称他是“多一部不多、少一部不少”，因为该标准属于“技术指导性文件”，而不是强制性标准，企业完全可以置之不理，意义不大。

    对于这一争议，笔者认为《指南》的积极意义是显而易见的。它既可以作为行业内部自律的技术指引，又可以成为监管部门执法的技术支撑。未来如果做得好，以《指南》为基础，可以构建政府引导下的行业自律机制，形成具有我国特色的个人信息保护模式，这绝非妄言，而是在对世界各国主要信息保护机制总结分析的基础上得出的结论。

    放眼全球，世界各国对个人信息保护的思路可以分为两大流派：以美国为主的行业自律模式和以欧洲为主的立法规制模式。

    美国为鼓励和促进互联网产业快速发展，激发企业积极性，一直限制政府过多干预其中。从政府到社会各界，对网络经济一般持宽松态度，不愿在互联网发展初步阶段即以各种法律对其进行限制，故美国主要侧重于采取行业自律模式来保护网络个人信息，即采取由行业内部制定标准和规范，并号召企业自觉遵从的方式来保护网络个人信息。行业自律模式的优势在于：尊重市场自身规律；企业可以根据技术的发展来随时调整网络个人信息保护的政策与方法，增强个人信息保护的时效性，避免法律的僵化与滞后性。然而，行业自律模式也存在明显弊端：他不具有强制执行力，主要依赖于行业内部成员的自觉遵守，许多发布了个人信息保护政策或获得网络信息保护认证的企业仍频频出现侵犯用户隐私、泄漏个人信息的现象。从这个意义上看，中国出台的这部《指南》主要价值就是一部行业自律的指导手册，它的适用对象就是部分或全部使用个人信息的企事业单位，指引他们如何合法的收集、使用、披露、公开、销毁、删除个人信息，他的出台填补了我国在这方面的空白。

    与美国相对的是，欧洲更加强调国家与政府主导的管控模式。欧盟国家普遍认为，隐私权和个人信息是法律赋予个人的基本权利，应当采取法律手段进行保护。因此，在网络信息保护上，欧盟采用以法律规制为主导模式，即通过立法对个人隐私进行统一保护。在这种模式下，网络服务商在网上搜集、处理用户信息的行为更规范，对于用户来说也更透明，使用户的隐私权更容易得到保护。但其不足之处也是显而易见，立法规制模式对采集用户数据和隐私的行为进行一定的限制，无疑会增加信息产业成本，挫伤行业发展积极性，一定程度上限制互联网产业发展。此外，法律本身所具有的滞后性也难以适应互联网快速发展形势，对个人信息保护有时难免会监管落空。

    相比较而言，各种模式各有利弊，只有汲取众家之长，取长补短，才能打造出一套完整的个人信息保护机制。因此，对中国而言，不能单纯寄希望于依靠某一种模式，而应双措并举：一方面加强立法，推动《全国人大常务委员会关于加强网络信息保护的决定》的落地和《个人信息保护法》早日出台；另一方面又要通过《指南》的施行，推动行业自律发展和完善。只有综合行业自律和立法规制两者优势，才能最终构建“企业自律为主导，政府监督配合，法律法规约束”这样一种有中国特色的个人信息保护模式，也只有这样才能使个人信息保护无懈可击。正如习近平总书记在新进中央委员会委员、候补委员学习贯彻十八大精神研讨班开班式上指出的那样：“我们就是要有这样的道路自信、理论自信、制度自信。”

    (作者为中国信息安全测评中心秘书长博士)