近日，工信部直属的中国软件测评中心透露，他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审，正报批国家标准。指南提出“最少够用原则”、个人信息用后应立即删除等，但这个指南并非国家强制性标准。

　　近年来，个人信息泄露已经成为困扰很多人的“大麻烦”。有关部门起草的“个人信息保护指南”，为很多人所期待。该指南彰显了相关行业对个人信息保护的重视，为企业提供了行为准则，对保护个人信息能起到一定作用。不过，若没有相应强制惩罚措施，有效性如何还有待观望。

　　但行业内的指南，终究难以约束行业以外的主体。有效保护个人信息，还需要行政、司法给力，而这有赖于相关法律的出台和完善。

　　目前，我国现行法律有一些涉及个人信息保护。早在2009年2月28日，刑法修正案（七）就增设了“出售、非法提供公民个人信息罪”和“非法提供公民个人信息罪”两项罪名，但对哪些信息属于“公民个人信息”，什么是“非法获取”，何种情形构成“情节严重”等，均没有作出明确规定。

　　权威司法解释的缺乏造成实践中检法机关、不同法官之间对此存在不同认识，必然造成自由裁量空间过大，进而导致定罪标准不统一、量刑结果不均衡。此外，这一罪行的犯罪主体有限，仅包括“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，却没有囊括其他掌握个人信息的机构和单位。面对日益严重的个人信息泄露问题，有必要出台新的司法解释，进行具体化、可操作的界定。

　　还有，仅靠刑罚也不足以保护公民的信息安全，因为只有那些客观上造成了“严重后果”的案件，才会进入刑事司法程序。而在民事领域，同样面临法律缺失的问题。

　　在民事领域，与公民个人信息相关的概念是保护个人隐私，但个人信息又不能完全等同于个人隐私。对于某些信息，如个人的身份证号、电话号码等，可以被归入个人信息的范畴，但是否属于隐私却存在争议。

　　再者，民事诉讼的一般举证责任原则是“谁主张、谁举证”。通常来看，公民很难调查到信息泄露的源头，而且即使掌握了足够的证据，由于公民一般仅仅遭到了电话骚扰，没有造成物质损害，侵权人通常只是承担停止侵害、消除影响、赔礼道歉等责任，不会有赔偿损失的问题，侵权的代价很小。而公民要通过起诉维权，却要花费时间精力和诉讼费，诉讼成本过高。

　　民众期待着一部设计合理、富有层次感、可操作性强、保护措施到位的“公民个人信息保护法”及早出台，通过建立信息泄露源倒查机制、群众举报奖励机制、企业保护客户信息评级机制等制度；通过明确责任，鼓励行业自律，增强行政机关监管措施，多部门协调联动、分工配合；让公民面临信息泄露可以起诉并且能够胜诉。由此，才能形成全社会参与遏制个人信息买卖和泄露的合力，使公民个人信息安全得到更全面的保护。