個人信息不要“裸奔”

胡泳

2011年4月索尼游戲主機網絡遭黑客入侵，全球7700萬用戶資料被竊取，包含姓名、信用卡號等。這一黑客攻擊事件導致索尼被迫關閉了該服務，損失達1.7億美元。

7月底，在以實行網絡實名制聞名的韓國，多個知名門戶網站遭黑客攻擊，約3500萬名用戶個人信息外泄，此事在韓國引發軒然大波。韓國行政安全部稱，出于保護網絡用戶個人信息安全考慮，政府擬分階段逐步取消網絡實名。

中國政府決心推行網絡實名制，其主要范本正是韓國，然而韓國的新動向，有關部門似乎視而未見。2011年12月16日，北京市多個政府部門聯合制定了《北京市微博客發展管理若干規定》，要求任何組織或者個人注冊微博客賬號，應當使用真實身份信息。其后，廣州、深圳、上海等地也正式實施微博實名認證制。

正是在這個當口，中國的互聯網世界上演了一出史上規模最大的泄密事件。12月21日，國內最大的開發者社區CSDN600萬用戶賬號和密碼遭黑客泄露；旋即，天涯有4000萬用戶密碼流出。“泄露門”從論壇社區很快蔓延到人人網、開心網等多個社交、游戲網站，再到京東、當當、淘寶等電子商務網站。傳聞還波及支付寶、工商銀行、民生銀行及交通銀行等支付和金融機構。政府網站也未能幸免，廣東省出入境政務服務網站的444萬條用戶信息，在2011年12月30日被證實泄露。

金山網絡反病毒工程師李鐵軍12月30日接受財新《新世紀》記者采訪時則表示，根據他們從網上下載的數據庫，剔除重復信息之后，有超過1億條用戶信息在此次事件中泄露。泄密已演化成席卷整個中國互聯網的大事件。

此次“泄露門”暴露出中國互聯網在網絡安全上的多個“命門”：

首先，即使國內一些看似很大的網站，在安全防御上也漏洞百出，很難應付黑客攻擊。例如，匪夷所思的是，大型網站居然采用明文存儲密碼，甚至像CSDN這樣以程序員和開發者為核心的大型社區也犯這種低級錯誤，如此這般違背常識，如何指望能夠保護用戶安全？

其次，從用戶方面來看，非常多的網民習慣為郵箱、微博、游戲、網上支付等賬號設置相同密碼，一旦密碼被泄露，很有可能導致網上支付等重要賬號一并失竊，從而遭到更大程度的泄密及財產損失。即使規模如此之大的泄密之后，用戶的安全意識也未見有多大提高。CSDN董事長蔣濤說，在密碼泄露事件后，經多次提醒，僅有30%用戶修改了密碼。

但最關鍵的是，用戶信息大量泄露后，個人權益無法得到保障，也沒有明確的用戶賠償機制。在索尼用戶個人資料泄密事件中，索尼承諾為所有泄密的美國用戶提供一項價值100萬美元的身份盜用保險，用于防止被竊取用戶信用卡和個人信息被濫用而造成損失。而中國用戶提交個人信息既難以得到有效的保護，發生泄密后，也無法使用法律追究泄密責任。在缺乏強有力外在約束的情況下，那些互聯網企業沒有誰愿意花大量資金投入網絡安全，從而給黑客留下了可乘之機。出事了，大家只有面面相覷，問：“下一個被黑的是誰？”

隨著微博實名制規定的出臺及實名制向其他網站擴大化的可能，用戶私人信息大量泄漏的風險更加巨大，一旦出現這種情況，將不僅成為一場網絡個人隱私災難。而且，伴隨電子商務在互聯網經濟中日漸突出的重要性，這樣的個人隱私災難也意味著一場經濟上的重創。

大規模泄密事件，也暴露了互聯網江湖中最為隱秘的黑色產業鏈——數據交易。有網絡安全人士估算，目前互聯網地下數據交易產業規模已達到上千億元。個人隱私保護從來就非單純的技術問題，而是事關利益的博弈。《個人信息保護法》遲遲不能出臺，本身就與信息濫用業已形成巨大產業鏈，有關各方難以“忍痛割愛”相關。

在今天的中國社會，個人信息成了利益籌碼被隨意倒賣，濫用個人信息達到觸目驚心的程度，濫用者包括形形色色的機構：銀行、保險公司、汽車銷售商、醫院、學校和各種各樣服務代理商都卷入其中。中國社會科學院發布的2009年《法治藍皮書》指出，隨著信息處理和存儲技術的不斷發展，我國個人信息濫用問題日趨嚴重，社會對個人信息保護立法的需求越來越迫切。但據調查，僅有4％左右的人對個人信息被濫用進行過投訴或提起過訴訟。究其根源，在于目前個人信息保護尚缺乏專門性規定。社科院認為，通過設定刑事責任來加大對濫用個人信息的打擊力度固然重要，但如果不能確立個人信息保護的基本制度來對個人信息處理行為進行有效的管制，則很難從根本上遏制濫用個人信息的問題。為此，必須抓緊對隱私、個人數據保護進行專門立法。