非強制性，規(guī)范效力仍待觀察

中國軟件評測中心主任助理朱璇說，此次個人信息安全國家標準《信息安全技術(shù)公共及商用服務信息系統(tǒng)個人信息保護指南》屬于技術(shù)指導文件。所謂技術(shù)指導文件，即只有指導性，沒有強制性；只有象征意義，沒有實際意義、操作價值。那么，不是強制性標準甚至非推薦性標準，標準通過會對行業(yè)起到多大的規(guī)范效力仍待觀察。

歐陽武也表示，即將出臺的標準是非強制性的，是政府組織推動個人信息保護工作的一部分。這個標準正式出臺后，還將有一系列的配套標準，包括技術(shù)保障、管理規(guī)范、認證和審計細則等?！艾F(xiàn)在每個企業(yè)都說自己對個人信息的保護工作做得很好，但如果去查，肯定都有問題，都保護得不好。這些系列標準出臺后，就可以形成一個閉環(huán)，明確責任，推動企業(yè)遵照執(zhí)行。”

立法討論

業(yè)內(nèi)觀點：保護個人信息還得靠立法

此次出臺的《指南》，在不少業(yè)內(nèi)人士看來，對保護個人信息安全作用有限，最重要的還是得立法。

有評論認為，個人信息保護指南并非國家強制性標準，只具有引導作用，在強制性、權(quán)威性與震懾力上，都不可能替代法律法規(guī)的作用。在巨額利潤誘惑之下，若沒有嚴厲的處罰措施，讓那些機構(gòu)、企業(yè)談自律，要求他們按行為準則來行事，這無異于癡人說夢。僅憑一部非強制性的指南實現(xiàn)個人信息安全也是不現(xiàn)實的。

上海律師杜躍平認為，目前信息保護問題雖已到“深水區(qū)”，但還在“摸石頭過河”，工信部出一個指南，畢竟“聊勝于無”，在實踐中積累些經(jīng)驗。但關(guān)鍵還是要出專門法，可先出個專門條例，以后再上升到法律。

“主要還是得立法?！敝袊畔⒔?jīng)濟學會副理事長楊培芳認為，“現(xiàn)在有些部門規(guī)章，但層級不夠，要有專門法律，進行細化歸納。原有的東西可以延用，但還要增加一些新條款，能覆蓋種種新現(xiàn)象。”

《指南》起到鋪墊作用，但立法尚需時日

《指南》牽頭制定單位中國軟件評測中心副主任高熾揚日前表示，《指南》的出臺更具有行業(yè)指導意義，而立法還尚需時日。

高熾揚表示，法律和標準的定義是完全不同的，法律是管人的，而標準更多的關(guān)心的是信息系統(tǒng)的；法律的約束范圍很廣，特別是事后的懲戒部分，而標準關(guān)注的則是事前怎么處理，該怎么把它做好?！八哉f，標準制定未必一定就能夠?qū)е逻@個法律很快的產(chǎn)生，談指日可待這件事情還不那么容易?！?/p>

但高熾揚認為，在標準的制定過程中間，一系列的前期調(diào)研、國內(nèi)外法律研究，以及與社會各界的交流，都為立法在技術(shù)和社會關(guān)注以及輿論層面做了很好的鋪墊，對立法工作會產(chǎn)生很好的前期推進。

相關(guān)新聞：

《個人信息保護指南》將出臺 給你的個人信息穿上“馬甲”
個人信息泄露形成黑色產(chǎn)業(yè)鏈 幾乎人人“裸奔”
工信部宣布中國即將出臺個人信息保護國家標準
個人信息安全，出路在何處？
工信部將出臺個人信息保護指南