手機上數不清的廣告短信，郵箱里莫名其妙的垃圾郵件；時不時地還能在電話里聽到保險銷售們熱絡的寒暄，房屋中介熟稔的推介，騙子們煞有其事的威脅……這樣的經歷，很多人都有，痛恨非常卻又無可奈何——公民的個人信息被泄露，已經是信息化社會的頑疾之一。

　　談起怎樣保護個人信息，立法常常被當成“終極武器”。

　　目前，中國已出臺與網絡相關的法律、法規和規章共計兩百多部。據統計，涉及個人信息保護方面的法律有將近40部，法規有30部，另外還有一些部門規章和一些地方法規。

　　但是，這些散落各處的法律條文和異彩紛呈的規章，都難以撐起保護個人信息的大傘。而專門的個人信息保護法律歷經多年，卻仍然難產。

　　立法進程“前”快“后”慢

　　2003年，國務院信息辦委托中國社會科學院法學研究所個人數據保護法研究課題組，承擔《個人數據保護法》的研究課題，并草擬一份專家建議稿。

　　課題組成員、法學所憲法與行政法研究室副主任呂艷濱在接受中國青年報記者采訪時說，“其實，那個時候個人信息的泄露還不是很嚴重，最多的無非就是房屋中介打打電話吧。”

　　不過，“當時，預期到個人信息保護是一個很重要的問題，提前預防。”呂艷濱表示，從世界范圍來看，它不僅是國內法的問題，還可能影響到世界貿 易，當時歐盟有一個規定，如果其他國家沒有達到個人信息的保護標準的話，它可以禁止自己的企業和哪些國家的企業進行貿易，很多國際貿易都必須依靠信息的流 動，沒有信息就沒有辦法去做貿易，它實際上是會造成一種新的貿易壁壘。“這也是特別重要的一點，不僅是保護個人信息的問題，而且是上升到國際貿易的層 面”。

　　課題組歷時兩年，主要對國外的個人信息保護制度進行了調研，“我們另外一個老師帶著大家把好幾十個國家的個人信息保護法做了翻譯以及比較。”呂艷濱說，專家建議稿綜合參考了歐盟、美國、日本等比較有代表性的個人信息保護制度。

　　2005年，近8萬字的《中華人民共和國個人信息保護法(專家建議稿)及立法研究報告》完成。

　　2008年，《個人信息保護法》草案呈交國務院。

　　“它確定了個人信息保護的基本原則，包括個人一些最基本的權利。”呂艷濱說，草案規定了擁有個人信息的企業與團體應承擔的法律責任，除犯罪、稅收記錄及媒體調查外，禁止任何團體在未經個人同意的前提下，將個人信息泄露給第三方。

　　至此，學界與官方之間推動個人信息保護法出臺的“互動”戛然而止，間或有專家學者隔空喊話呼吁加快立法進程，但至今不見對方的“積極”回應。

　　在接受中國青年報記者采訪時，呂艷濱坦承，沒有關于這部法律草案的確切消息，“它的最新進展，我們也不太清楚”。

　　多部門交叉管理是掣肘所在

　　呂艷濱覺得，個人信息保護法立法進展緩慢的原因很難說，“恐怕只有立法者才能明白”，但涉及的管理部門太多、行業太多，也是掣肘所在。公安部近 日統一部署北京、河北、山西等20個省區市公安機關開展集中行動，挖出的44個信息源頭里，涉及電信、工商、銀行、司法、公安、民政等多個領域。

　　公安部刑偵局副局長、專案副指揮長廖進榮表示，首先的困難是發現比較難，尤其是源頭。當公民感受到危害的時候，他的個人信息已經經過了好幾道手，意識到信息被泄露時，已經過去了很長時間，查找源頭相當困難。

　　據不完全統計，除了承擔信息安全監管工作的工信部，公安部、國家保密局、國家密碼管理局、衛生部、食品藥品監督管理局、銀監會、證監會、鐵道部等部門都有規章文件涉及個人信息保護。

　　“現在，非常大的問題就是這種交叉管理的機制。”北京郵電大學(微博)人文學院院長、互聯網治理與法律研究中心主任李欲曉說，我們現在對個人信息的保護 層級不夠，部門規章僅僅限定在部門業務范圍之內，但是它們無法管理職責范圍之外的東西。可另一方面，網絡上的業務往往是超越我們目前部門的劃分的。比如說 買票，它包括鐵路內部的運營協調，還有電子商務、銀行結算等，這些可能超越了鐵路部門、銀行它們原先的業務范圍。

　　那么，在保護個人信息時，不同的部門、不同的行業之間如何協調對接，如何分配各自的權利義務，現在并沒有明確的規定。

　　廖進榮認為，堵住源頭光靠公安機關一家的打擊是遠遠不夠的。涉及源頭的部門和公司，都應該反思對公民信息保護當中的漏洞，“不加強監管是不行的”。

　　但是，“現在的行政執法權高度分散。”中國社會科學院法學研究所研究員周漢華在接受采訪時表示，在執法者和被執法者很多的情況下，“行業執法部門負責本行業執法，存在利益糾葛，行政執法力度非常弱”。

　　分而散之、各管一攤的直接后果就造成了個人信息保護力度的弱化。李欲曉教授認為，個人信息牽涉每一個人，而網絡最大的特點就是匯聚性，“當所有人的信息在這里匯集的時候，信息保護就不是哪個部門的事了，而是在國家層面上需要考慮的戰略問題。”

　　“個人信息保護法既要保障個人在網絡社會的基本權利，也是在保護我們國家的一種戰略資源。”李欲曉說，“試想，全世界都可以從網絡上拿走你的信息，而我們卻沒有法律去保護它，這是非常可怕的。”

　　實名制或可成為抓手

　　廖進榮表示，在打擊侵犯個人信息犯罪行動中，確定犯罪嫌疑人身份是比較難的。買賣信息多在網上進行，是一種網絡犯罪，身份都是虛擬的，從網絡到真實身份，需要進行大量的偵查工作。

　　于是，網絡實名制又成了一個無法回避的備選答案。

　　“為什么有人一面反對實名制，一面抱怨他們在網絡上的合法權益不受保護？”李欲曉說，當整個社會信用機制缺失的時候，個人信息保護也存在很大的難題。“因為，在你主張你的權利的時候，我無法確認權利受損的就是你，我們之間沒有支持互相信任的制度和平臺”。

　　“一聽到實名制就說這是限制我上網、限制我發言，我覺得不是那么一回事。”李欲曉說，如果都是模糊的，那法律無法確定需要保護的對象，各方權利義務也無法界定。

　　2010年9月1日，全國開始推行手機實名制。用戶到營業廳購買手機卡，必須持身份證才能辦理。但是，不到兩年的時間，不少地區已重現了手機“無證駕駛”的“繁榮景象”，手機實名制形同虛設。

　　李欲曉認為，這是因為與實名制相關的配套法律跟不上。如果說提供個人信息保護的前提是要“確認你就是你”，那么，保護這些確認信息的必須是法律。

　　“如果沒有配套法律制度保障，實名制很難推行。”李欲曉表示，比如，實名信息在授權的范圍內該怎么使用，如果超出了授權范圍、出了問題，服務商要承擔什么樣的責任等，如果這些在法律上都沒有清晰的規定，“誰敢把自己的真實信息放心地交給你呢？”

　　“從政府的角度來說，監管同樣需要法律依據。因此，通過立法來完善相關的保護機制，是最明智的做法。”李欲曉說，比如由第三方監測機構，監督服 務提供商是否按照法定標準提供了可靠的信息保護服務，如果侵權，政府部門可以依法處罰違規的服務提供商，公民個人也可以起訴索賠。

　　有效的制度模式是立法的先決條件

　　公安機關偵破的一些重大案件中，出售企業信息和股東信息的河北保定市工商局檔案室工作人員劉某是被抓獲的犯罪嫌疑人之一。

　　2010年，劉某加入到一個名為“河北省工商管理”的QQ群，隨后開始有一些外地人在網上聯系他，付費要他幫忙查一些信息。企業名稱、注冊號、 經營地址、經營范圍、法人電話等這些基本信息，5元錢一條。而涉及公司股東的身份證號、手機號、住址等，則賣到20元一條。截至案發，劉某非法獲利約在6 萬元。

　　不過，劉某并不認為他是犯罪，“這些信息屬于可以公開查詢的，別人給的錢頂多算‘不當得利’”。但辦案民警表示，公司信息可以公開查詢，但股東的身份證號碼等完全屬于公民的個人信息。

　　“什么樣的信息屬于個人信息？什么樣的個人信息需要保護？怎么樣使用這些信息？現在，這一塊沒有清晰嚴格的法律界限。”李欲曉說，“在這些方面都比較模糊的時候，看起來比較混亂。”

　　今年4月，工業和信息化部信息安全協調司副司長歐陽武透露，《信息安全技術公共及商用服務信息系統個人信息保護指南》目前正在國家標準委進行最后的技術審批，預計今年下半年正式出臺。

　　雖然指南中明確了個人信息的保護原則，但是，這個指南標準不是強制性標準，甚至也不是推薦性標準，標準通過會對行業起到多大的規范效力，仍待觀察。

　　“我感覺，直接采用個人信息保護法的形式可能更有效。”李欲曉說，現在降低難度變成非強制性的指南，應該可以起到一個普及常識的作用，比如個人 信息包括哪些，哪些可以分類，哪些可以分級；哪些可以管理，哪些不可以管理，“它告訴了公眾這些概念，但是能不能上升為國家層級的法律，還是需要一個過 程”。

　　4月25日，全國人大法工委副主任信春鷹在中國法學會舉辦的工作會議上表示，要推進網絡管理法制建設，手機實名制、微博實名制陸續出臺，但國家立法條件還不成熟，“要形成有效制度模式后才能上升為法律”。

　　“如果能從行業自律到部門規范再到國家立法，這樣一個過程，當然好。”李欲曉說，但互聯網技術的快速發展使得個人信息更復雜、更豐富，非常需要加速國家層級的立法進程。