拿什么管住“泄密門”?

近日，中國軟件測評中心聯(lián)合30多家單位起草的《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》已正式通過評審，由工業(yè)和信息化部報國家批準。此消息一經(jīng)披露，因備受詬病的個人信息泄露問題而引發(fā)的個人信息安全話題再度成為社會廣泛熱議的焦點，個人信息保護問題被推向輿論的風口浪尖。

其實，比我們更了解自己的不是本人，而

是黑客。黑客似乎有一雙“X光”的眼睛，讓我們個人信息經(jīng)常處于“裸奔”狀態(tài)，我們似乎已無處掩藏，毫無私密可言。

中國青年報社會調(diào)查中心通過民意中國網(wǎng)等，對1958人進行的在線調(diào)查顯示，86.5%的受訪者表示自己的個人信息曾遭泄露，49.8%的人抱怨信息遭泄露已嚴重影響自己的生活。而這一切的根源在于，我國在個人信息保護立法上的不完善。通過立法形成公民個人信息保護法律體系，已成為一件刻不容緩的大事。

海量用戶被集體“裸曬”

經(jīng)常接到莫名其妙的推銷電話，郵箱塞滿垃圾信息，QQ號接連失陷，網(wǎng)銀密碼突然被盜……這在我們生活工作中，已是屢見不鮮。

然而令人深憂的是，個人信息泄露已不是小部分人之事，而是數(shù)百上千萬海量人群被集體“裸曬”。

近期，繼CSDN、天涯社區(qū)、多玩游戲網(wǎng)等知名網(wǎng)站各有幾百萬用戶數(shù)據(jù)慘遭拖庫、泄露后，原以為堅不可催的電商領(lǐng)域內(nèi)的當當、京東商城、淘寶網(wǎng)據(jù)稱也被卷入“泄密門”，許多用戶信息已被外泄。360安全中心則發(fā)布紅色安全警報稱，目前已有超過5000萬用戶賬號和密碼在網(wǎng)上公開擴散。

5000萬網(wǎng)民個人信息的泄露，無疑再次對中國互聯(lián)網(wǎng)的信息安全漏洞敲響了警鐘！不論是網(wǎng)站運營管理的漏洞，還是黑客“魔高一丈”的技術(shù)，在互聯(lián)網(wǎng)面前，如今人們越發(fā)覺得自己幾乎沒有了隱私，一種普遍的不安全感彌漫在人們周圍。

可以說，隨著互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)的發(fā)展，個人隱私保護已經(jīng)成為人們上網(wǎng)時最大的隱憂。而到底是誰出賣了我們的個人信息隱私？隱私泄露，誰之責？用什么來保護我們的個人隱私？

《個人信息保護指南》呼之而出

2011年，國內(nèi)網(wǎng)民數(shù)達5億之多。伴隨著如此龐大的網(wǎng)民隊伍出現(xiàn)的，是網(wǎng)絡(luò)信息安全問題的日益尖銳。龐大的黑客如雨后春筍批發(fā)而起，互聯(lián)網(wǎng)上制毒、販毒、攻擊網(wǎng)站、牟取暴利的黑色產(chǎn)業(yè)鏈日益壯大，不義的財富滾滾而來。

如今，數(shù)量蔚為大觀的黑客們均可以利用網(wǎng)絡(luò)輕松地遠程控制被感染的電腦，隨意上傳下載、竊取、刪除、修改用戶的文件，盜取用戶的網(wǎng)絡(luò)游戲賬號、銀行卡密碼、個人隱私等私密信息，進而給無數(shù)網(wǎng)民造成重大損失。國家計算機網(wǎng)絡(luò)應急中心估計，目前網(wǎng)絡(luò)病毒黑色產(chǎn)業(yè)鏈的年產(chǎn)值已超過四五億元，每年給網(wǎng)民造成的各種損失可能高達近百億元。

可以說，時下網(wǎng)絡(luò)犯罪日益猖獗，黑色產(chǎn)業(yè)鏈經(jīng)濟日漸“繁榮”，已嚴重威脅國家網(wǎng)絡(luò)安全，侵害網(wǎng)民個人信息和財產(chǎn)的安全。因此，全面完善網(wǎng)絡(luò)安全的立法、加強個人信息保護、斬斷黑色病毒產(chǎn)業(yè)鏈，顯得尤為迫切和重要。

所幸的是，今天最大程度建立并完善網(wǎng)絡(luò)個人信息的保護制度、加強對網(wǎng)絡(luò)安全的立法已經(jīng)逐漸成為了網(wǎng)民與管理者共同的呼聲，制標立法的進程也日益加快。

4月初，工業(yè)和信息化部相關(guān)部門負責人接受新華社記者專訪時稱，《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》目前正在國家標準委進行最后的技術(shù)審批，預計今年下半年正式出臺。

這無疑讓那些對個人隱私保護一直深憂的國人重新看到希望。

眾所周知，我國網(wǎng)絡(luò)安全的立法存在明顯的滯后，至今尚無一部完善具體、行之有效的法律來制約、懲罰網(wǎng)絡(luò)病毒的制造和傳播。我國從2003年就開始《個人信息保護法》的研究和制定工作，但這個課題在業(yè)界一直難以達成共識，導致我國目前只是在很多專門法里籠統(tǒng)地提一句“不能泄露個人信息、侵犯個人隱私”，但如何保護，卻沒有具體、詳細的內(nèi)容分類和技術(shù)措施。

從現(xiàn)實的法條來說，我們對網(wǎng)絡(luò)信息安全的法律保護基本停留在國家安全與系統(tǒng)安全的大層級上，比如，《全國人大關(guān)于維護互聯(lián)網(wǎng)安全的決定》等多部法規(guī)基本未及厘清個人隱私及數(shù)據(jù)庫的安全權(quán)益。2009年，刑法修正案(七)確定了“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”罪名，首次將公民個人信息納入刑法保護范疇，規(guī)定要追究泄露、竊取和售賣公民個人信息行為的刑事責任。但是，這一犯罪主體過于狹窄，主要是指“國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員”，并未涉及大量商業(yè)公司，如互聯(lián)網(wǎng)公司、房地產(chǎn)公司、物業(yè)公司、汽車廠商、賓館等。

與之同時，對網(wǎng)絡(luò)制作、傳播病毒的后果和損失的證據(jù)等難保全、易滅失，損失情況難取證和評估的現(xiàn)象存在，也使得網(wǎng)絡(luò)病毒犯罪缺少具體定罪量刑標準。

以上這些不足與漏洞，都讓網(wǎng)絡(luò)違法犯罪者肆無忌憚，對竊取個人信息為所欲為。

去年年底至今，接連爆發(fā)的互聯(lián)網(wǎng)大規(guī)模泄密事件，終于將如何更好地保護個人信息推向了風口浪尖，《個人信息保護指南》呼之而出。

據(jù)悉，此次《個人信息保護指南》適應國際立法新的趨勢，即“以預防為主”，立足于事前防范，明確個人信息管理者的一整套法定責任，改變以往的民法“民不舉官不究”的做法，也和《刑法》或《侵權(quán)責任法》的事后救濟有了本質(zhì)性區(qū)別。

《個人信息保護指南》指出了個人信息處理四個主要環(huán)節(jié)，主要包括收集、加工、轉(zhuǎn)移和刪除四個主要環(huán)節(jié)，并提出了個人信息保護的原則。這個原則包括目的明確、最少使用、公開告知、個人同意、質(zhì)量保證、安全保障、誠信履行和責任明確等八項。

“最少使用”的原則就是獲取一個人的信息量時，只要能滿足使用的目的即可，不一定非要讓用戶填上身份證號碼、家庭地址、手機號碼等個人私密信息。韓國一些知名網(wǎng)站也曾發(fā)生過大規(guī)模泄露網(wǎng)民信息事件，此事使得該國行政安全部對網(wǎng)絡(luò)安全進行了反思。此后，出于保護網(wǎng)絡(luò)用戶信息考慮，韓國政府決定逐步改變，要求個人或企業(yè)使用用戶身份證信息需要事先獲得批準，并不能濫用。

而“安全保障”則是要個人信息管理者一旦收集了個人信息，就必須建立一套個人信息保護制度，明確責任人和內(nèi)部管理流程，以及應對個人信息泄露的風險。

“保護指南”約束力尚待觀察

不無遺憾的是，即將出臺的《個人信息保護指南》不是強制性標準，甚至也不是推薦性標準。此標準通過會對互聯(lián)網(wǎng)行業(yè)起到多大的規(guī)范與約束效力，尚待觀察，尤其是能否管住網(wǎng)絡(luò)黑客，還讓人深感憂慮。

《個人信息保護指南》內(nèi)容還未公布，但不管如何，內(nèi)容應有制定某些急需的單行法，如對類似木馬、黑客程序、流氓軟件等計算機惡意程序進行有效法律界定，并要增加完善涉及信息網(wǎng)絡(luò)的定罪、量刑標準內(nèi)容，應考慮針對計算機網(wǎng)絡(luò)犯罪活動特點，增加法人（單位）犯罪、罰金刑、資格刑等具體細節(jié)、可量化內(nèi)容，為執(zhí)法者提供充分的理論和實踐依據(jù)，從而能用法規(guī)法律有效威懾病毒制造者和非法牟利者。

專家認為，不管是目前的法律，還是即將出臺的《個人信息保護指南》，對信息管理者、泄露者的懲罰建言不夠，約束處罰機制仍不強。在國內(nèi)民法領(lǐng)域，對于個人數(shù)據(jù)信息的管理者及相關(guān)作惡者的治理機制仍然是一大片空白，要追究網(wǎng)站的責任步履維艱。在國外，像被木馬、黑客程序、流氓軟件這樣大規(guī)模竊取、泄露用戶信息，信息管理者至少要處于很重的經(jīng)濟處罰，而對信息泄露者、竊取者更是毫不猶豫繩之以法。在美國，若facebook（臉譜）、twitter（推特）發(fā)生此類事件，政府部門和法律團隊會在第一時間介入、處罰，進而造成公司股價波動，老板甚至可能引咎辭職甚至受刑入獄；但在國內(nèi)，至今還沒有對網(wǎng)站的制約懲罰機制。為此，國內(nèi)廣大網(wǎng)民呼吁，要專門就個人信息保護立法，通過建立個人信息的合理使用制度、嚴厲的懲罰機制、設(shè)置監(jiān)督機構(gòu)等方式，為個人信息上一道“保險栓”，全面改善、提高網(wǎng)站的“防火防盜”的功能。而這，也是人們對未來出臺《個人信息保護指南》的地位和作用的企盼。

此外，現(xiàn)行法律規(guī)定，個人信息受到侵害后，責任主體只承擔行政責任和刑事責任，但對于如何補償受害者并未作出相應規(guī)定。因此，當前理應建立一套完善的民事補償機制，更好地保護個人信息。這方面，《個人信息保護指南》應作進一步較好的規(guī)定與完善。任何網(wǎng)站都有對其資料“妥善保管”的義務(wù)，尤其是涉及隱私及財產(chǎn)權(quán)的信息內(nèi)容，應該有著“銀行級”的保密舉措，一旦泄露，必須承擔第一責任，包括給個人受到侵害后作相應的民事補償，而不能只是一紙道歉蓋過。

總而言之，我們期盼著《個人信息保護指南》確實能為國內(nèi)互聯(lián)網(wǎng)信息安全保駕護航，為民法、刑法提供更多充分可靠的執(zhí)法依據(jù)，管住更多的“泄密門”，還互聯(lián)網(wǎng)一片藍天碧地。