我国首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》将于２月１日起实施，个人信息保护工作将正式进入“有标可依”阶段。该标准最显著的特点，是规定个人敏感信息在收集和利用之前，必须首先获得个人信息主体明确授权。
　　毫无疑问，这个国标的诞生，表明国家对尊重和捍卫公民隐私权的重视度上升了。信息技术瓦解了信息传播的传统障碍，也容易突破隐私的边界，因而加强信息保护不可避免。现实中，信息泄露首先是缺乏规则的结果，不同部门、行业乃至个人，对信息的采集和传播边界没有清晰概念，信息泄露容易在无意识的情况下发生，甚至形成产业链。《指南》固然很难彻底铲除产业链，但能提供信息使用的规则。比如，《指南》明确了处理信息的八项原则，这是从标准、规则角度而言。
　　这套规则的前提，是对个人信息形成科学归类，有针对性地展开保护，信息分类既是难点也是重点。《指南》将信息界定为一般信息和个人敏感信息，并提出默许同意和明示同意两种原则，划分依据是什么暂不明确，但明示和默许对应着法律意义上的授权。明确了主体授权，等于明确了权责关系，无授权则禁止收集和传播，信息保护至少在发生泄漏时的追责上，是有据可依的。在这点上，《指南》的意义显著。
　　目前，问题的关键是信息归类与具体行业形成对接。个人信息按私密度，可分为一般信息和敏感信息，但这是授权标准，而不是行业、部门的信息采集标准。信息采集的原则是最少告知，在这之上分类保护。哪些是必要采集信息，哪些不必要，《指南》给出的是宏观原则。行业、部门不同，对信息重要程度的认定也不同，在录入过程中，一般信息也可能是不必要的采集信息，敏感信息也可能有采集的必要性，如何操作划分，需要一套建立在行业特性上的技术性标准。没有细化标准，可操作性不够，信息泄露还是会有风险。
　　强调这种风险并非多虑。个人信息之所以陷入困境，一是信息录入机构太多，包括金融、电信、教育、医疗以及网站房地产公司、宾馆酒店等各色机构，二是泄露源多位于机构内部，所以即便我们遭遇信息泄露，也很难判断泄漏发生在哪个环节，故而维权难，法律介入查证也难。《指南》明确了使用标准，但解决不了这个技术难题，那么最好的情况是，明确信息录入的行业标准，尽量减少个人的信息采集范围，将可能泄露的信息量提前控制。
　　《指南》是国标，属于“指导性技术文件”，而非法律文本，不具备法律效力，无力惩戒犯规者。它提供了信息使用的规则，但约束力有限，在个人信息立法落地之前，信息保护的法条呈碎片化条文。在这个大前提下，《指南》的意义，更多在于确立了一套行业自律的信息规则，以及强化民众对个人相关信息的确权，加强自我保护意识。个人信息保护的关键，是强化对信息源头监控，建立起信息录入和传播的责任机制，使信息泄露尽可能对应到具体责任人。