個人信息不要“裸奔”

胡泳

2011年4月索尼游戲主機(jī)網(wǎng)絡(luò)遭黑客入侵，全球7700萬用戶資料被竊取，包含姓名、信用卡號等。這一黑客攻擊事件導(dǎo)致索尼被迫關(guān)閉了該服務(wù)，損失達(dá)1.7億美元。

7月底，在以實行網(wǎng)絡(luò)實名制聞名的韓國，多個知名門戶網(wǎng)站遭黑客攻擊，約3500萬名用戶個人信息外泄，此事在韓國引發(fā)軒然大波。韓國行政安全部稱，出于保護(hù)網(wǎng)絡(luò)用戶個人信息安全考慮，政府?dāng)M分階段逐步取消網(wǎng)絡(luò)實名。

中國政府決心推行網(wǎng)絡(luò)實名制，其主要范本正是韓國，然而韓國的新動向，有關(guān)部門似乎視而未見。2011年12月16日，北京市多個政府部門聯(lián)合制定了《北京市微博客發(fā)展管理若干規(guī)定》，要求任何組織或者個人注冊微博客賬號，應(yīng)當(dāng)使用真實身份信息。其后，廣州、深圳、上海等地也正式實施微博實名認(rèn)證制。

正是在這個當(dāng)口，中國的互聯(lián)網(wǎng)世界上演了一出史上規(guī)模最大的泄密事件。12月21日，國內(nèi)最大的開發(fā)者社區(qū)CSDN600萬用戶賬號和密碼遭黑客泄露；旋即，天涯有4000萬用戶密碼流出。“泄露門”從論壇社區(qū)很快蔓延到人人網(wǎng)、開心網(wǎng)等多個社交、游戲網(wǎng)站，再到京東、當(dāng)當(dāng)、淘寶等電子商務(wù)網(wǎng)站。傳聞還波及支付寶、工商銀行、民生銀行及交通銀行等支付和金融機(jī)構(gòu)。政府網(wǎng)站也未能幸免，廣東省出入境政務(wù)服務(wù)網(wǎng)站的444萬條用戶信息，在2011年12月30日被證實泄露。

金山網(wǎng)絡(luò)反病毒工程師李鐵軍12月30日接受財新《新世紀(jì)》記者采訪時則表示，根據(jù)他們從網(wǎng)上下載的數(shù)據(jù)庫，剔除重復(fù)信息之后，有超過1億條用戶信息在此次事件中泄露。泄密已演化成席卷整個中國互聯(lián)網(wǎng)的大事件。

此次“泄露門”暴露出中國互聯(lián)網(wǎng)在網(wǎng)絡(luò)安全上的多個“命門”：

首先，即使國內(nèi)一些看似很大的網(wǎng)站，在安全防御上也漏洞百出，很難應(yīng)付黑客攻擊。例如，匪夷所思的是，大型網(wǎng)站居然采用明文存儲密碼，甚至像CSDN這樣以程序員和開發(fā)者為核心的大型社區(qū)也犯這種低級錯誤，如此這般違背常識，如何指望能夠保護(hù)用戶安全？

其次，從用戶方面來看，非常多的網(wǎng)民習(xí)慣為郵箱、微博、游戲、網(wǎng)上支付等賬號設(shè)置相同密碼，一旦密碼被泄露，很有可能導(dǎo)致網(wǎng)上支付等重要賬號一并失竊，從而遭到更大程度的泄密及財產(chǎn)損失。即使規(guī)模如此之大的泄密之后，用戶的安全意識也未見有多大提高。CSDN董事長蔣濤說，在密碼泄露事件后，經(jīng)多次提醒，僅有30%用戶修改了密碼。

但最關(guān)鍵的是，用戶信息大量泄露后，個人權(quán)益無法得到保障，也沒有明確的用戶賠償機(jī)制。在索尼用戶個人資料泄密事件中，索尼承諾為所有泄密的美國用戶提供一項價值100萬美元的身份盜用保險，用于防止被竊取用戶信用卡和個人信息被濫用而造成損失。而中國用戶提交個人信息既難以得到有效的保護(hù)，發(fā)生泄密后，也無法使用法律追究泄密責(zé)任。在缺乏強(qiáng)有力外在約束的情況下，那些互聯(lián)網(wǎng)企業(yè)沒有誰愿意花大量資金投入網(wǎng)絡(luò)安全，從而給黑客留下了可乘之機(jī)。出事了，大家只有面面相覷，問：“下一個被黑的是誰？”

隨著微博實名制規(guī)定的出臺及實名制向其他網(wǎng)站擴(kuò)大化的可能，用戶私人信息大量泄漏的風(fēng)險更加巨大，一旦出現(xiàn)這種情況，將不僅成為一場網(wǎng)絡(luò)個人隱私災(zāi)難。而且，伴隨電子商務(wù)在互聯(lián)網(wǎng)經(jīng)濟(jì)中日漸突出的重要性，這樣的個人隱私災(zāi)難也意味著一場經(jīng)濟(jì)上的重創(chuàng)。

大規(guī)模泄密事件，也暴露了互聯(lián)網(wǎng)江湖中最為隱秘的黑色產(chǎn)業(yè)鏈——數(shù)據(jù)交易。有網(wǎng)絡(luò)安全人士估算，目前互聯(lián)網(wǎng)地下數(shù)據(jù)交易產(chǎn)業(yè)規(guī)模已達(dá)到上千億元。個人隱私保護(hù)從來就非單純的技術(shù)問題，而是事關(guān)利益的博弈。《個人信息保護(hù)法》遲遲不能出臺，本身就與信息濫用業(yè)已形成巨大產(chǎn)業(yè)鏈，有關(guān)各方難以“忍痛割愛”相關(guān)。

在今天的中國社會，個人信息成了利益籌碼被隨意倒賣，濫用個人信息達(dá)到觸目驚心的程度，濫用者包括形形色色的機(jī)構(gòu)：銀行、保險公司、汽車銷售商、醫(yī)院、學(xué)校和各種各樣服務(wù)代理商都卷入其中。中國社會科學(xué)院發(fā)布的2009年《法治藍(lán)皮書》指出，隨著信息處理和存儲技術(shù)的不斷發(fā)展，我國個人信息濫用問題日趨嚴(yán)重，社會對個人信息保護(hù)立法的需求越來越迫切。但據(jù)調(diào)查，僅有4％左右的人對個人信息被濫用進(jìn)行過投訴或提起過訴訟。究其根源，在于目前個人信息保護(hù)尚缺乏專門性規(guī)定。社科院認(rèn)為，通過設(shè)定刑事責(zé)任來加大對濫用個人信息的打擊力度固然重要，但如果不能確立個人信息保護(hù)的基本制度來對個人信息處理行為進(jìn)行有效的管制，則很難從根本上遏制濫用個人信息的問題。為此，必須抓緊對隱私、個人數(shù)據(jù)保護(hù)進(jìn)行專門立法。