在2010年3月份结束的两会期间,很多代表委员再次表达了对尽快对保护公民的个人信息的安全进行立法的提议:
全国人大代表、民建上海市委专职副主委张兆安介绍说,现在孩子刚出生,就有人打电话推荐奶粉、尿不湿、百日照、胎毛笔等;购的新房尚未交付,就有人打电话询问是否需要装潢;刚买了一辆新车,就有人打电话推销各类保险;亲人故世,尸骨未寒,就有人打电话提供殡葬一条龙服务……还有不少居民因购买各种所谓的保健品或保健器材而上当受骗,甚至被境内外不法分子联手骗取巨额钱财。
  张兆安表示,我国应加快建立健全统一的公民信息安全保护法,对公民个人信息的采集、使用和保密等问题制定详细规定。在信息采集的源头方面,对采集主体设定门槛,规定必须在事先履行核准和登记程序。群防群治,完善举报机制。
  全国政协委员、同济大学副校长郑惠强表示,应尽快出台个人信息保护法,明确规定受保护的个人信息范围等内容。此外,要加大对个人信息的保护力度。目前主要是在对个人信息的泄露者和通过窃取或其他方法非法获取者进行处罚的基础上,对通过正当途径获取的个人信息,若用于诈骗、盗窃、敲诈勒索,可分别按诈骗罪、盗窃罪、敲诈勒索罪追诉。在有关法规中规定个人信息的侵权责任,从民事法规层面保护好个人信息。
  郑惠强还建议,修改《×××居民×××法》,对能够采集和掌握公民×××信息主体的保密义务作出规定。尤其要严格禁止银行、房地产公司、信用卡发行机构、航空公司等商业机构将客户相关信息提供给合作伙伴。

在针对公民个人信息安全保护的立法方面,我国其实很早就开始研究比起草相关法律了,但是迟迟没有针对性的结果。倒是在其他法律方面进行了相应的完善。例如去年颁布的《刑法(七)》中写道:
在刑法第二百五十三条后增加一条,作为第二百五十三条之一:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
   “窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。
   “单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
这是一个重大的进步。但是法律界人士评论说,刑法作为一部终端法(子法),是一系列母法最后推导出来的,用于约束公民行为的法律。但是在这个条款中却缺少前置条款,因而需要诸如个人信息保护法这样的法规来完善。例如,刑法中提到了“国家机关”、“公民个人信息”等词汇,如何界定?谁属于国家机关?就是指公务员?那些事业单位算不算?政府雇佣的劳务人员算不算?还有,什么是“公民个人信息”,有没有清晰的法律界定?所有这些都会使得这个刑法条款的执行力度受到制约。但无论如何,刑法七的出台对于促进个人信息法的订立有很大的推动作用,正如法律界人士提出的所谓“刑法倒逼机制”一样。

针对个人信息立法保护,我国还算比较积极的,取得了不少成果,这方面,美国【注1】也是在探索的过程中。在直指个人信息保护的领域,辽宁省和大连已经走在了前面。2008年6月16日,辽宁颁布了《个人信息保护规范》DB21/T1628-2008。而更早前,2007年辽宁颁布了另一个专门针对软件及信息服务业的地方标准DB21/T1522-2007《软件及信息服务业个人信息保护规范》和《大连软件及信息服务业个人信息保护规范》。
  例如,软件及信息服务业个人信息保护规范按照PDCA的流程对个人信息保护的各个环节进行了规范。其中,明确要求“应采取必要的安全保护措施,防止个人信息的丢失、泄漏、篡改和破坏等事件发生。”我想,这将极大地促进信息保护类产品的发展。
   并且,作为对这些规范的落地,大连还成立了专门的机构,并开展个人信息保护评价PIPA(Personal Information ProtectionAssessment)。目前,该评价主要针对软件及信息服务业,特别是外包企业,这是与大连定位于外包服务业相配套的,就像 ISO27000系列一样。为了证明企业自身提供外包服务的资质和能力,ISO27001很重要,而PIPA也试图扮演类似的角色。

【注1】2009年11月5日,美国参议院司法委员会通过了《个人数据隐私与安全法案2009》,以及《数据泄漏通知法案》,即将提交参议院全体表决通过。《个人数据隐私与安全法案2009》建立了一套对敏感信息的风险评估、弱点测试、安全控制、审计记录的指引和要求。该法案包括了对动态数据和静态数据的保护要求。