《個人信息保護指南》能管住“泄密門”？

許麗萍

其實，比我們更了解自己的不是本人，而是黑客。黑客似乎有一雙“X光”眼睛，讓我們的個人信息經常處于“裸奔”狀態，對他們來說，我們已毫無私密可言。

量用戶被集體“裸曬”，誰之責?

經常接到莫名其妙的推銷電話，郵箱塞滿垃圾信息，QQ號接連失陷，網銀密碼突然被盜……在這我們生活工作中，已是屢見不鮮。

然而令人深憂的是，個人信息泄露已不是小部分人之事，而是數百上千萬海量人群被集體“裸曬”。

近期，繼CSDN、天涯社區、多玩游戲網等知名網站各有幾百萬用戶數據慘遭拖庫、泄露后，原以為堅不可催的電商領域內的當當、京東商城、淘寶網據稱也接連卷入“泄密門”，許多用戶信息已被外泄。360安全中心則發布紅色安全警報稱，目前已有超過5000萬用戶賬號和密碼在網上公開擴散。

5000萬網民個人信息的泄露，無疑再次對中國互聯網的信息安全漏洞敲響了警鐘!不論是網站運營管理的漏洞，還是黑客“魔高一丈”的技術，在互聯網面前，如今人們越發覺得自己幾乎沒有了隱私，一種普遍的不安全感彌漫于整個社會。

可以說，隨著互聯網和移動互聯網的發展，個人隱私保護已經成為人們上網時最大的隱憂。而到底是誰出賣了我們的個人信息隱私?隱私泄露，誰之責?用什么來保護我們的個人隱私?

《個人信息保護指南》能管住“泄密門”?

2011年國內網民數達到5億多，但與互聯網快速發展、如此龐大網民數量形成鮮明對比的是網絡信息安全問題日益尖銳，龐大的黑客如雨后春筍一般成長起來，互聯網上制毒、販毒、攻擊網站、牟取暴利的黑色產業鏈日益壯大，不義之財滾滾而來。

如今數量蔚為壯觀的黑客們均可以利用網絡輕松地遠程控制被感染的電腦，隨意上傳下載、竊取、刪除、修改用戶的文件，盜取用戶的網絡游戲賬號、銀行卡密碼、個人隱私等私密信息，進而給無數網民造成重大損失。國家計算機網絡應急中心估計，目前網絡病毒黑色產業鏈的年產值已超過4.5億元，每年給網民造成的各種損失可能高達近百億元。

可以說，時下網絡犯罪日益猖獗，黑色產業鏈經濟日漸“繁榮”，已嚴重威脅國家網絡安全，侵害網民個人信息和財產的安全。因此，全面完善對網絡安全的立法、加強個人信息保護、保障網絡信息安全、斬斷黑色病毒產業鏈顯得尤為迫切、重要。

所幸的是，時下，最大程度建立并完善網絡個人信息的保護制度、加強對網絡安全的立法的建設，已經逐漸成為了網民與管理者共同的呼聲，制標立法的進程也日益加快。

4月初，工業和信息化部相關部門負責人接受新華社記者專訪時稱，《信息安全技術公共及商用服務信息系統個人信息保護指南》目前正在國家標準委進行最后的技術審批，預計今年下半年正式出臺。這無疑讓那些對個人隱私保護一直深憂的國人重新看到希望。

眾所周知，至今我國網絡安全的立法存在明顯的滯后，尚沒有一部完善具體、行之有效的法律來制約、懲罰網絡病毒的制造、傳播。我國從2003年就開始進行《個人信息保護法》的研究、制定工作，但這個課題在業界一直難以達成共識，對于那些是需要保護的個人信息，學界看法不一。這導致我國只有在很多專門法里籠統地說明不能泄露個人信息、侵犯個人隱私，但究竟如何保護，卻沒有具體、詳細的內容分類和技術措施，比如對于哪些是木馬、黑客程序、流氓軟件等并沒有明確的界定，導致這些提法形同虛設。

從現實的法條來說，我們對網絡信息安全的法律保護基本停留在國家安全與系統安全的大層級上，比如《全國人大關于維護互聯網安全的決定》等多部法規基本未及厘清個人隱私及數據庫的安全權益。2009年，刑法修正案(七)確定了“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”罪名，首次將公民個人信息納入刑法保護范疇，規定要追究泄露、竊取和售賣公民個人信息行為的刑事責任。但是，這一犯罪主體過于狹窄，主指“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”，但大量商業公司如互聯網公司、房地產公司、物業公司、汽車廠商、賓館等卻未涉及。

與之同時，對網絡制作、傳播病毒的后果和損失的證據等難保全、易滅失，而損失情況也難于取證、評估，使得網絡病毒犯罪缺少具體定罪量刑標準。

以上這些不足與漏洞，都讓網絡違法犯罪者肆為忌憚，對竊取個人信息為所欲為。尤其是去年年底至今，接連爆發互聯網大規模的泄密事件，將如何更好地保護個人信息推向了風口浪尖，《個人信息保護指南》也就呼之而出。“有規矩方成方圓”，因此，對付這股“網絡黑勢力”首先必須盡早制定相關立法，完善相關立法，加大對網絡安全領域犯罪的打擊。

但不管是《刑法》還是《侵權責任法》都屬于事后救濟，而在網絡時代，急需對網絡安全和個人信息安全問題的前瞻，然后進行全程的監管才更為有效用。據悉，此次《個人信息保護指南》適應國際立法新的趨勢，即“以預防為主”，立足于事前防范，明確個人信息管理者的一整套法定責任，改變以往的民法“民不舉官不究”的做法。

據介紹，《個人信息保護指南》指出了個人信息處理四個主要環節，主要包括收集、加工、轉移和刪除四個主要環節，并提出了個人信息保護的原則，這個原則包括目的明確、最少使用、公開告知、個人同意、質量保證、安全保障、誠信履行和責任明確等八項。

“最少使用”的原則就是獲取一個人的信息量時，只要能滿足使用的目的就行，不一定非要讓用戶填上身份證號碼、家庭地址、手機號碼等。韓國一些知名網站也曾發生過大規模泄露網民信息事件，此事使得該國行政安全部對網絡安全進行了反思。此后，出于保護網絡用戶信息考慮，韓國政府決定逐步改變，要求個人或企業使用用戶身份證信息需要事先獲得批準，不能濫用。而“安全保障”則是要個人信息管理者一旦收集了個人信息，就必須建立一套個人信息保護制度，明確責任人和內部管理流程，以及應對個人信息泄露的風險。

不無遺憾的是，這個指南標準不是強制性標準，甚至也不是推薦性標準，標準通過會對互聯網行業起到多大的規范與約束效力，尚待觀察。《個人信息保護指南》內容還未公布，但不管如何，內容應制定某些急需的單行法，如對類似木馬、黑客程序、流氓軟件等計算機惡意程序進行有效的法律界定，并要增加完善涉及信息網絡的定罪、量刑標準內容，應考慮針對計算機網絡犯罪活動特點，增加法人(單位)犯罪、罰金刑、資格刑等具體細節、可量化內容，為執法者提供充分的理論和實踐依據，從而用法規法律威懾病毒制造者和非法牟利者。

專家認為，不管是目前的法律，還是即將出臺的《個人信息保護指南》，對信息管理者、泄露者的懲罰力度不夠，約束處罰機制也不強。在國內民法領域，對于個人數據信息的管理者及相關作惡者的治理機制仍然是一大片空白，要追究網站的責任步履為艱。在國外，像被木馬、黑客程序、流氓軟件這樣大規模竊取、泄露用戶信息，信息管理者至少要處于很重的經濟處罰，而對信息泄露者、竊取者更是毫不猶豫繩之以法。在美國，若facebook(臉譜)、twiiter(推特)發生此類事件，政府部門和法律團隊會在第一時間介入、處罰，進而造成公司股價波動，老板甚至可能引咎辭職、進牢房。但在國內，至今還沒有對網站較好的制約懲罰機制。為此，國內廣大網民呼吁要專門就個人信息保護立法，通過建立個人信息的合理使用制度、嚴厲的懲罰機制、設置監督機構等方式為個人信息上一道“保險栓”，全面改善、提高網站的“防火防盜”的功能。這也是人們對未來出臺《個人信息保護指南》的地位和作用的企盼。

另外，現行法律規定，個人信息受到侵害后，責任主體只承擔行政責任和刑事責任，但對于如何補償受害者并未做出相應規定，因此，當前理應建立一套完善的民事補償機制，更好地保護個人信息。這方面，《個人信息保護指南》應作進一步較好的規定與完善。任何網站都有對其資料“妥善保管”的義務，尤其是涉及隱私及財產權的信息內容，應該有著“銀行級”的保密舉措，一旦泄露，必須承擔第一責任，包括給個人受到侵害后作相應的民事補償，而不能只是一紙道歉蓋過。

謹望《個人信息保護指南》確實能為國內互聯網信息安全保駕護航，為民法、刑法提供更多充分可靠的執法依據，管住更多的“泄密門”，還互聯網一片藍天碧地!