保护个人隐私亟待立法

“360被曝侵犯隐私”一事，一石激起千层浪，针对360的各种声音纷至沓来，“爱之者为之欢呼，恨之者为之切齿”。事件关注度如此之高，除了360公司的知名度外，也说明人们对于保护个人隐私意识的觉醒和行业呼唤良性商业竞争的美好愿景。

抛开“360公司软件产品是否存在侵犯用户隐私”的事实，将关注点聚焦于如何保护个人隐私信息，或许意义更大。

对软件安全行业而言，其工作原理都无外乎是从操作系统底层嵌入来阻挡病毒。做信息安全就必须获得用户的底层数据，如果从这一点而言，任何做软件安全的厂商，都有侵犯用户隐私数据的机会和可能。

但关键在于，个人隐私信息怎么用？用多久，用来干什么？一般而言，个人信息获得者必须明确在获取个人信息时，要明确告知用户，个人信息的收集方式和手段、收集的具体内容和留存时限、使用范围、被收集后的个人信息保护措施、个人信息主体的投诉渠道等。

如果要将个人信息转移或委托于其他组织和机构时，也必须向用户明确告知转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等。而这些能否落实到位，除了企业自律外，关键都在于有法可依，要让企业的行为在一定的规则内行事，才能最大程度上保护用户的隐私信息。

这些都是良性企业应该遵守的基本原则。

为防止企业获取个人隐私信息权限过大，软件在设计之时，都会遵循“最小特权原则”。即，一方面，给予软件“必不可少”的特权，保证其能完成相应的任务；另一方面，它只给予“必不可少”的特权，限制过度操作，防止软件恶意入侵其他程序和数据。

但这一安全原则，毕竟不是法律、法规，即使违反了，对商家或个人隐私信息获得者的影响也微乎其微，仅是道德约束和谴责。对商家而言，追求利益最大化乃是天然属性，通过道德约束让企业自律，在丰厚的利益面前，恐难以奏效。

惟有立法，才能从根本上规范企业侵犯个人隐私的行为。而在软件安全行业的野蛮生长时期，此点尤为重要。要让商家对侵犯用户隐私用之牟利或打击竞争对手的行为付出难以承受的成本，商家才会痛定思痛。当触犯规则的成本，远远大于所获收益时，商家才不会铤而走险。

将已有的、公平的、被证明是有效、可行的商业规则，通过法律、法规的形式固定下来，上升为所有企业和个人都遵守的制度时，行业才会规范、个人隐私才能真正得以保护。但需要提醒的是，任何法律、法规都是滞后的，只有当事情发生后，通过行业、专家、个人的呼吁，有关部门才会采取相应措施，制定相应的法律、法规，才能够有法可依，有规可循。

令人欣慰的是，中国首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》已于2月1日起开始实施，该标准有望在个人信息收集和利用方面给出一定的规范。但如何具体落实，执行力度是否到位，还需时间检验。