中国首个个人信息保护国标被指约束力偏弱

2月1日，酝酿已久的《信息安全技术公共及商用服务信息系统个人信息保护指南》（下称《指南》）千呼万唤始出来。作为中国首个个人信息保护国标，它确立了“目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行、责任明确”八项原则，对信息服务从业者进行规范。然而，《IT时报》记者调查发现，在《指南》出台之际，银行、电商等依旧静悄悄，有些企业对国标并不知情。该《指南》能否落地仍有疑问。

企业隐私保护表现不一

《指南》将个人信息分为一般信息和敏感信息，并提出默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上，只要个人信息主体没有明确表示反对，可以收集和利用。对于个人敏感信息，则需要建立在明示同意的基础上，在收集和利用之前，必须首先获得个人信息主体明确的“授权”。个人敏感信息包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。

《IT时报》记者调查发现，各企业在获取个人信息时表现不一。记者在几家银行办理信用卡时，在表格中并没有列出用户提供授权的选项。一名推销银行信用卡的专员郑先生告诉《IT时报》记者，目前一些银行的信用卡办理采用沉默原则。用户可以主动在身份证复印件或业务表格中声明“该身份信息仅限此业务、不能作其他用途”，这样的话安全系数更高一些；如果不声明，业务员也不会提醒。

运营商的态度则较为积极。上海电信某营业厅的一名业务经理告诉记者，不论用户是否进行授权声明，在办理业务时，营业厅都会在用户的身份证复印件上敲上“该信息只用于此业务”的章，确保个人隐私安全。

天猫、京东、凡客等电子商务网站在用户注册协议中写明“本网站不会泄露用户隐私”、“用户在本站进行浏览、下单购物等活动时，涉及用户真实姓名、通信地址、联系电话、电子邮箱等隐私信息的，本站将予以严格保密”等条款，但是没有在用户填写信息时，添加“个人信息授权使用”的选项。

《指南》约束力偏弱