从国内滥用个人信息的案件来看，问题主要发生于公共权力部门、一些社会组织以及商业机构中某些“内鬼”对个人信息的滥用，由于各个机构对自己所掌握的相关信息在管理和使用上都比较混乱，所以才给一些“内鬼”的违法行为提供了活动的空间。

今年年初，由工信部直属的中国软件测评中心牵头联合30多家单位起草推出了《信息安全技术、公共及商用服务信息系统个人信息保护指南》，目前已正式通过评审，并报批国家标准。《信息安全技术、公共及商用服务信息系统个人信息保护指南》对个人信息处理包括收集、加工、转移和删除四个主要环节，都作出了详细的规定。遗憾的是，《信息安全技术、公共及商用服务信息系统个人信息保护指南》并不是强制标准，更没有上升到专门法的层面，因此对一些社会机构和个人没有强制力，这就严重影响了《信息安全技术、公共及商用服务信息系统个人信息保护指南》保护个人信息安全的效用。对个人信息保护进行专门的立法显得尤为迫切，特别是要通过立法进一步使相关部门对个人信息采集和使用的各环节都实施可操作可追罚的规定。这些规定应该体现下述原则：

“最少使用”原则。即各个机构在获取个人信息时，只要能满足使用目的即可，并在目的达到后立即删除个人信息。

知情和同意原则。信息的收集和使用必须合法，以合法的手段获得，以合法的手段使用，信息收集的目的必须告诉信息主体，并且经过信息主体的知情和同意。这一原则在本质上与对个人权利的保护有着内在的一致性。

个人参与性原则。英国在1984年颁布的《数据保护法》中规定：个人可以要求一份存储在计算机内和自己相关信息的拷贝，如果信息不正确或者过于陈旧的话，可以进行修改。

补偿性原则。数据所有者需要补偿由于信息不准确、丢失、损毁，或者未经授权泄露而造成金钱上的损失或人身伤害。在东莞百万个人信息被非法买卖的案件中，数千万条公民个人信息中包括了5800万条广东省神州行及动感地带用户的信息、46万条东莞市移动用户的信息、25万条东莞市联通用户的信息、40万东莞市车主的信息等公民个人信息。我们有必要追问这些信息是如何从相关公司泄露出去的?同时从责任追究的角度，对相关组织机构进行处罚，包括对用户造成的损失进行补偿。这样一来，就会增加相关公司信息泄露的风险成本，督促他们更好地对所掌握的信息进行安全管理。

责任到人的原则。英国设立了“数据保护登记员”这一专门岗位。如果有违反法律的行为，公民可以向登记员投诉进行索赔。登记员或者进行调解或者发出强制执行通知，要求信息使用者采取专门行动以遵守法律。登记员还有权发出通告，剥夺某些机构使用和处理相关信息的资格。

我们应该把这些原则通过法律规范具体化和细节化，以可操作性的规范让法律的执行具备现实性，从而大大强化执法的效率。

(责任编辑：)