据媒体报道，《河北省信息化条例(草案)》已正式提交河北省人大常委会审议。针对非法获取、出售或以其他方式提供他人个人信息的公共机构，草案规定最高将处以五十万元罚款。构成犯罪的，将依法追究刑事责任。

　　该草案的出台之所以备受关注，源自近段时间，国内集中爆发多起个人信息泄露事件。不久前，银行内部员工泄露并出售客户信息牟利事件曝光。2011年年底，我国互联网史上最大规模的用户信息泄露事件爆发，多家社交网站几千万用户账号及密码遭到泄露……

　　近日，在某知名房屋中介公司登记售房信息后，业主李星的电话便一刻不得安宁。“房产交易需要提供大量个人信息，包括我的单位、住址、贷款数额等等。如果我的售房信息能够被迅速共享，那么谁能保证其他信息不会？”她说，“更蹊跷的是，房子刚一卖出，骚扰电话立刻停了。信息传播之迅速让人觉得后怕。”

　　“这种感觉就像是‘不知何处有一双监视的眼睛’。”她说。

　　有过类似经历的用户不在少数，而涉及“泄密”的行业更是涵盖了银行、房屋中介、保险、医疗、社交网站、电信等近十种。

　　“对于技术原因造成信息泄露，管理者可通过技术升级补救、避免，比如增加密码强度、严格禁止无关人员访问数据库等等。对于主观故意性质的行为，则必须用制度约束。”中国软件评测中心主任助理朱璇说。

　　据了解，近日在这一领域的制度建设过程中，除了河北省拟立法，我国首个个人信息保护专项国家标准亦呼之欲出。《信息安全技术：公共及商用服务信息系统个人信息保护指南》(下称“《指南》”)预计将于今年出台。

　　“《指南》出台最重要的意义是明确了个人信息保护相关的基本概念、原则和要求。”朱璇说。对于目前仍备受争议的“个人信息”的定义，《指南》报批稿中规定，“可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。”

　　“通过这些信息能否识别并定位到具体个人？如果可以，就属于个人信息的范畴。”朱璇说。

　　除此之外，根据信息泄露带来的危害程度不同，《指南》进一步划分为个人信息和个人敏感信息。

　　“如果对内容敏感程度不加区分，会造成管理代价过高。在被获取信息时，《指南》区分了‘明示同意’和‘一般同意’。前者是针对敏感信息而言；后者针对普通个人信息，只需要个人用户默许即可收集。这亦降低了个人用户提供信息的时间、精力成本。”工业和信息化部计算机与微电子发展研究中心副主任高炽扬说。

　　概念明确后，《指南》还理清了参与主体、收集周期等内容。“总体而言，我将《指南》概括为明确并落实了‘三类人’在信息收集的‘四个阶段’如何遵循‘八个原则’。”高炽扬说。

　　朱璇认为，出台《指南》的意义是给收集和使用机构提出规范要求，指导其从收集、加工、转移到删除各个阶段如何保护个人信息。但是，《指南》中对于“泄露主体”及“信息泄露的危害程度”尚未明确定义。

　　“标准可以用来规范行为，但无法代替法律的约束力。”她说，“法律的缺失不该成为相关机构免责的借口。‘谁收集谁保护’，收集和使用个人信息的机构必须负起责任。我们不应要求个人用户具备完整的法律和技术知识。在这个问题上，个人用户本来就处于弱势。”

　　对于日前河北省出台的相关草案，朱璇表示，个人信息保护工作的推广需要政策法规的推动。“这是对违法者的警示，让他们有所收敛。”她说，“随着信息化的飞速发展，信息泄露已经伤害了很多消费者、用户的利益。我们必须通过持续的制度修补，将个人信息的利用维护在合理的范围内，而不应任其成为黑色产业链上的商品。”