全國信息安全標準化技術委員會近日在京舉辦座談會。針對如何維護個人信息安全，中國全國信息安全標準化技術委員會秘書長高林對媒體透露，信息數據采集的“行為準則”正在報批過程中。

信息數據采集之所以迫切需要一個“行為準則”，當然是因為當下公民個人信息泄露問題相當嚴峻，特別是隨著移動互聯網、云計算等新技術的飛速發展，人類步入大數據時代，隨之而來的信息安全、信息濫用問題也日益嚴重，公民個人信息被不當使用或非法泄露的情況時有發生。據中國互聯網協會發布的《中國網民權益保護調查報告(2015)》，63.4%的網民通話記錄、網上購物記錄等網上活動信息遭泄露；78.2%的網民個人身份信息曾被泄露，包括姓名、家庭住址、身份證號及工作單位等。

大量公民個人信息被無端泄露帶來了嚴重危害。近段時間，舉國上下都在致力于打擊電信詐騙，并取得了一定成效。但人們普遍認為，電信詐騙屢打不絕的一個根本原因在于公民個人信息保護乏力，從而使不法分子能夠利用這些信息進行“精準”詐騙，讓公民防不勝防。

在大數據時代，公民不提供足夠的信息會導致一些業務無法開展，也可能影響產業的進步，但究竟哪些信息是必要的，哪些信息不應該被采集，這中間有一個邊界問題；在收集到了公民個人信息之后，作為采集的一方，如何確保這些信息不會被泄露乃至正常業務之外的非法利用，這又是一個內部管理和控制的問題。在前一個問題上，采集者往往只考慮自己一方的方便，容易產生“公民提供的信息越多越好”的傾向，而在后一個問題上，“內鬼”的出現常常使貌似嚴格的內部管理制度成為一紙空文。

最近北京市大興區人民法院審理的京東用戶信息被泄露案件是一個最新的例證。2014年12月至2015年1月，數百名京東用戶遭遇信息泄露，精準的訂單信息騙局隨之而來，受騙用戶損失少則數百上千元，多則數萬元。現在法院審理查明，泄露事件系京東3名內部員工所為，他們通過登錄京東ER P辦公系統，非法獲取了京東商城用戶個人信息9313條，并將上述信息售予他人，造成京東公司大量客戶信息泄露。

對企業收集用戶個人信息應有合理限制，“不是什么信息都可以收集”，對收集的信息應該怎樣管理，一個清晰的信息數據采集標準必須解決這兩個問題。現在信息安全標準化技術委員會透露標準正在報批之中，公眾自然愿意樂觀其成。

但是正如高林所說，這個標準不具備強制性。充其量，它更像一個行業用以自律的制度。顯而易見，確保公民個人信息不被泄露和濫用，僅僅依靠行業的自律是遠遠不夠的。還有一點也許并非不重要，這就是泄露和濫用公民個人信息的并非只有企業。

全面保護公民個人信息，法律的作用無疑首屈一指。雖然在現行法律體系中，并不是沒有個人信息保護的條款，刑法中也有相關規定，但一來這些條款散布在多個法律法規之中，多頭管理操作不易，二來刑法雖有威懾，但大多數侵害公民個人信息的行為往往由于達不到定罪量刑的標準而無法使用刑法懲處。有鑒于此，盡管立法不是萬能，無法指望立一部法就一勞永逸，但在一些法學家看來，為保護公民個人信息而制訂一部專門的法律已經刻不容緩。

如果進行專門立法，明確立法宗旨、基本原則之外，這樣一些內容應該不可或缺：哪些是公民個人信息收集的適當主體，收集公民個人信息應該限定在什么范圍、經過哪些公開的程序，以及造成損害的賠償和法律責任等等。

近年兩會上，都會有代表委員建議國家盡早啟動個人信息保護立法。現在，電信詐騙之惡讓各界對相關問題的認識更加深化，立法的時機顯然愈趨成熟了。