“裸奔”的“隱私”

當一個陌生人對你不愿公開的“秘密”倒背如流，你是不是覺得自己赤裸裸地站在他面前？從現(xiàn)實到網絡，誰該給“隱私”穿上衣服？

“您好，請問您是叫牛先生嗎？”“是啊。”“您今年是33歲嗎？”“嗯。”“您家是住在太原市迎澤區(qū)菜園街嗎？”“嗯，是。”“您名下有一輛豐田車是吧？”“對。”……您看到的這段對話不是發(fā)生在公安局派出所，而是今年央視3·15晚會記者向當事人求證的一幕。記者所問的信息來自“上海羅維鄧白氏”——一家以非法獲取、買賣租賃用戶個人信息為主業(yè)的中外合資公司。

據羅維鄧白氏公司當事人稱，1.5億高端消費者信息是從4S店、銀行等機構買來的。他們稱“數(shù)據可以賣”，也會按照各種方式幫客戶篩選目標人群，按照地域、時間、身份、資產情況等各方面進行精準篩選。說到這里，您可能會問：4S店、銀行……這可是與老百姓生活密切相關的地方。如果個人信息都能夠隨便買賣，百姓生活還有什么安全可言呢？沒錯。在信息爆炸的時代，個人信息如果不注意保護，很有可能被不法分子利用。那么，您知道哪些領域是個人信息泄露的“重災區(qū)”嗎？對于不法行為，您又該怎樣保護自己呢？國家對于個人信息保護會有哪些舉措呢？本期《新安全》為您解讀。

電信、醫(yī)療：個人信息保護陷被動

現(xiàn)象>>

在今年的央視3·15晚會上，涉及個人信息泄露的案件，除“羅偉鄧白氏”外，還有“湖北中國電信”一案。該電信公司員工將其掌握的用戶個人信息出賣，非法獲利。而大量的垃圾短信給眾多用戶造成生活上的困擾。其實，該電信運營商“泄密”案這并非頭一例。

2011年8月5日，北京市最大一起倒賣公民個人信息案在北京市二中院宣判，23名被告人分別因出售、非法提供、非法獲取公民個人信息罪等被判處有期徒刑兩年半到緩刑不等。這些人中有電信公司“內鬼”7人，國內三大電信運營商中國移動、中國聯(lián)通和中國電信均有人員涉案。他們獲取機主身份信息后，提供給中間人，幾經轉手最終落入調查公司之手。

當然，掌握個人信息的遠不止電信行業(yè)，醫(yī)療領域也是個人信息泄露的“重災區(qū)”。

小張是一位一歲孩子的母親，孩子的誕生讓小張和全家人每天都沉浸在幸福中。然而，回憶起初為人母的感受時，小張除了開心，還有一絲無奈。

“記得我還在坐月子期間，我老公曾接到這樣一個電話：對方首先祝賀我們喜得貴子，然后是對我老公進行了一些常識性的育兒指導，最后切入主題：推銷某品牌奶粉，還問是否注冊過他們的會員。老公說沒有。沒過幾天，該公司又打通我的手機。我們就猜想是不是我注冊的育兒論壇透露了我的信息。可是也不對，我從來都沒有輸入過我老公的聯(lián)系方式。于是就想到了醫(yī)院，只有醫(yī)院才將我和老公的聯(lián)系方式通通收走過。”

解讀>>

北京市京國律師事務所崔家楠律師認為，現(xiàn)實生活中，越來越多領域使用公民個人真實身份信息。這些商事活動中，公民完全處于弱勢地位。個人身份信息的保密與不泄露，已不取決于公民個人對信息資料的重視保管與保密程度。公民對個人信息的保密程度越來越被動。一旦公民因身份信息泄露而造成人身或財產損失，公民想維權都找不出具體明確的侵權人，因為你無法分清是哪個環(huán)節(jié)，是誰泄露了你的個人信息。

即便是你揣測到是哪家醫(yī)院或哪個部門泄露的，但起訴要被侵權的公民自己來舉證，這個就很難了。在民事訴訟法上，我國實行的是“誰主張，誰舉證”，這對個人來說根本無法做到。總之，現(xiàn)行條件下，公民個人信息的保護在立法或技術上的保護，都相當薄弱。

網站用戶：密碼分級管，賬號單獨設

現(xiàn)象>>

如今，不但現(xiàn)實生活中個人信息安全遭遇危機，互聯(lián)網上的用戶核心數(shù)據安全也在讓網民的心理受到一次又一次挑戰(zhàn)。2011年12月22日，北京警方接到CSDN網站報案，稱其服務器被入侵，核心數(shù)據遭到泄露。歷經40多天縝密偵查，日前，北京警方破獲CSDN網站用戶數(shù)據泄露案該案，并成功帶破另外4起網絡案件，以涉嫌非法獲取計算機數(shù)據罪刑事拘留曾某等5名犯罪嫌疑人。同時，北京警方還對CSDN網站未落實國家信息安全等級保護制度造成用戶信息泄露事件作出行政警告處罰，這是北京落實信息安全等級保護制度以來的首張罰單。

解讀>>

信息安全專家指出，其實，不僅是賬號和密碼，網絡用戶幾乎所有的信息都有被‘偷看’的價值和可能，比如用戶的地址、性別、年齡、收入、電話、單身與否、網購習慣和花銷、上網瀏覽習慣、地理位置等。

專家建議，用戶要分級管理密碼，重要賬號（如常用郵箱、網上支付、聊天賬號等）單獨設置密碼；定期修改密碼，可有效避免網站數(shù)據庫泄露影響自身賬號，工作郵箱不用于注冊網絡賬號，以免密碼泄露后危及企業(yè)信息安全。

此外，專家也提醒：不要信任任何網站的安全防護措施，采取正確的安全策略；不要隨意注冊無關網站賬號；不要輕易在安全性低的網站購物；并盡量采用更多的驗證方式，比如將賬號與手機綁定。

針對個人信息遭泄露的網站用戶如何維權，中國社科院法律研究所憲法行政法研究室主任周漢華認為，CSDN等網站及運營商應承擔法律義務和社會責任，保護用戶個人信息安全。在此次用戶信息泄露事件中，除公安機關依據相關規(guī)定對運營商處以行政處罰外，相關管理部門和用戶還可依據《中華人民共和國電信條例》和《互聯(lián)網信息服務管理辦法》等，就用戶個人信息泄露追究運營商的行政或民事責任。

周漢華表示，就保護網站用戶個人信息安全而言，2009年《刑法修正案（七）》、《侵權責任法》乃至《居民身份證法》等相關內容均有涉及，但目前，相關規(guī)定條款過于分散，且可操作性差，對于如“個人信息”、“違反規(guī)定”等關鍵概念界定不清，在執(zhí)法過程中，財大氣粗的運營商往往有較強的影響力，易形成現(xiàn)實的執(zhí)法困境。即便發(fā)生信息泄露，用戶個人在追究運營商民事責任的時候，也存在舉證難等問題，訴訟成本高、收益低，當事人很難依法維權。

網絡信息安全案件頻發(fā)、用戶個人信息被濫用的核心問題在于缺少統(tǒng)一的個人信息保護法。周漢華稱，目前全球已有近90個獨立經濟體進行了相關立法，而在我國，解決問題的關鍵在于盡快制定《個人信息保護法》，并設立獨立的執(zhí)法體制和機構。

《刑法修正案（七）》

出售個人信息 最高判刑三年

國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。

《居民身份證法》第十九條

泄露個人信息 沒收違法所得

國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員泄露在履行職責或者提供服務過程中獲得的居民身份證記載的公民個人信息，構成犯罪的，依法追究刑事責任；尚不構成犯罪的，由公安機關處十日以上十五日以下拘留，并處五千元罰款，有違法所得的，沒收違法所得。單位有前款行為，構成犯罪的，依法追究刑事責任；尚不構成犯罪的，由公安機關對其直接負責的主管人員和其他直接責任人員，處十日以上十五日以下拘留，并處十萬元以上五十萬元以下罰款，有違法所得的，沒收違法所得。有前兩款行為，對他人造成損害的，依法承擔民事責任。

銀行用戶：換卡改密可防“賊”

現(xiàn)象>>

今年的3·15晚會曝光了三家銀行的內部工作人員擅自將客戶的央行征信報告泄露給他人，其他人通過個人相關信息猜測到個人的密碼，再將個人賬戶的錢款轉移，給持卡人帶來損失。面對銀行卡信息被泄露的情況，持卡人不妨考慮通過換卡、更換密碼等方式來保證自己的安全。

解讀>>

1.密碼勿含個人信息

對于很多持卡人而言，一般在設置密碼已知曉不要使用自己的生日相關數(shù)字進行設置，但由于央行的征信報告中除了包含有個人生日信息外，還包括了家庭電話、地址、手機等信息，因此一旦客戶的這些個人信息被泄露后，他人可以憑借這些有效信息，通過不同的數(shù)字組合猜出賬戶密碼，從而實現(xiàn)轉移資金的目的。

為了確保自己的個人信息在泄露后，銀行密碼還能處于安全狀態(tài)，建議持卡人在設置密碼時，不要使用與個人現(xiàn)用信息相關的數(shù)字和字母，即使為了方便記憶，也盡量使用諸如讀書時的學號等現(xiàn)在已較難查詢的信息。特別需要提醒的是，部分持卡人將配偶或家人的生日作為密碼，其實這同樣不安全，因為在很多時候，個人信息資料上會同時出現(xiàn)配偶的身份證號碼，因此建議大家不要交叉使用，以免損失更大。

2.關閉網銀轉賬系統(tǒng)更安全

如果為了追求安全性，除了設置高強度的密碼外，更為安全的方法是將自己存有大額資金銀行卡關閉網上轉賬功能。一般來說，在沒有身份證的前提下，他人基本無法通過銀行柜面提取大額現(xiàn)金，同時ATM機取款單日也有一定限制，因此不可能出現(xiàn)短期內大額資金的外泄。

當然，也有持卡人擔心若關閉網銀，則無論是購買理財產品還是消費都會不太方便。對此不用擔心，目前各家銀行的網銀是可以單獨關閉轉賬功能的，購買理財產品等不受影響。

3.信用卡可以設置一元上限

考慮到客戶資料泄露后，信用卡的危險性更高，建議不妨可以考慮銷卡或直接要求更換新卡，以確保自己的賬戶安全。為了防范可能因信息泄露導致的信用卡被盜用的狀況，建議廣大持卡人可以將網絡消費的上限設置為一元，這樣可以避免損失，等需要網絡購物時，再調整自己的消費權限。

新聞背景

上海羅維鄧白氏自稱手中掌握著1.5億中國中高端消費者的信息，是一家專門從事直付營銷的公司。直付營銷是指通過發(fā)送短信進行營銷，他們可以應客戶的要求對1.5億個人信息數(shù)據，按照地域、時間、身份、資產情況等各方面進行精準篩選。

央視3·15晚會報道了羅維鄧白氏公司非法買賣公民個人信息的調查，根據中央電視臺報道，因涉嫌單位犯罪，羅維鄧白氏營銷服務有限公司總經理已被上海警方刑事拘留。 上海市公安局閘北分局經偵支隊在3月15日下午對羅維鄧白氏公司進行搜查取證后，于3月16日凌晨，對李某等三名數(shù)據部負責人刑事拘留，并連夜進行了審訊。警方表示，目前羅維鄧白氏公司總經理已被刑事拘留，是否追究其母公司相關責任人的法律責任，將視案情調查情況決定下一步的行動。

個人信息調查有底線

現(xiàn)象>>

在國內直復營銷領域有“教父”之稱的袁疆，曾是上海羅維鄧白氏公司前任CEO。在他所創(chuàng)辦的“羅維系”企業(yè)早期，除了利用招聘網站漏洞批量下載個人簡歷外，袁疆還曾介紹過收集個人信息的經驗，常規(guī)的做法是通過面談、電話、傳真或電子郵件發(fā)放信息調查問卷，還有更直接的方法是從一些機構(比如銀行、保險公司)購買數(shù)據信息。當然，作為“教父”，袁疆也有些許法律方面的意識。他說，關于個人信息保護方面的法律并不清晰，我們的信息收集建立在被調查者自愿的基礎上。

解讀>>

北京華標律師事務所李標田律師介紹，我國個人信息保護方面的法律存在較大短板，沒有一部專門的法律對個人信息進行較全面的保護。李標田律師指出，在征得消費者同意的情況下，進行一些營銷數(shù)據調研，是可以的。比如知名汽車公司對車主調研，了解產品的使用習慣、偏好，是合法的。但如果越過了邊界，涉及到更詳盡的個人信息，并且利用這種信息就行售賣租用、營銷開發(fā)，就是侵犯公民個人信息。

個人信息保護亟待立法

劉先生經常在外出差，他回憶起兩年前的一件事，至今還讓他心有余悸。“一天，我在公交車上突然接到家里電話，習慣性地‘喂’了一聲，電話里傳來幾個人的對話。開始是堂姐的聲音：‘是你家*伢了呢，沒出什么事。’接著聽到媽有氣無力的聲音，‘沒什么事就好，嚇死我了。’”

“堂姐告訴我，‘剛才有人打電話到家里，你媽接的，那人用普通話問是不是某某家。然后說，你家兒子出了事，在醫(yī)院，快寄多少錢來。你媽當時腿一軟，站都站不起來了。還好我們幾個在，接過電話把那人罵了一頓，那邊就掛了。你媽到現(xiàn)在還沒緩過氣來呢！’” “聽完堂姐的敘述，我亦是心慌不已。幸好買了個手機，否則，沒怎么見過世面的家人很可能真的會上當，錢被騙都算了，急壞了身子就虧大了。”

“當時我邊安慰母親邊想，到底是誰將我家里的電話泄漏出去的？最有可能的，是某個垃圾同學或者干脆就是學校哪個有機會接觸到檔案的人。因為只有他們才知道我家的號碼。當然，也有可能是村里面的人。”

劉先生說，那個家伙被罵后還不死心，幾天之后又打過一次，有了經驗的家人把他臭罵一頓，后來再未敢騷擾過。

面對個人信息被各種機構泄露并非法使用、買賣的現(xiàn)實，很多學者把問題的根本聚焦在立法工作中。其實，我國政府對于保護個人信息安全工作起步并不晚。早在2003年，國務院信息化工作辦公室就委托中國社科院法學研究所個人數(shù)據保護法研究課題組承擔“個人數(shù)據保護法”比較研究課題及草擬一份專家建議稿。經過近兩年的工作，最終形成了近8萬字的“中華人民共和國個人信息保護法(專家建議稿)及立法研究報告”，但時至今日卻仍未正式進入國家立法程序。

今年全國兩會期間，全國政協(xié)委員郭為在提案中表示，國家應加快個人信息安全及隱私保護的相關立法工作。首先應該建立一套符合中國國情的網絡公民身份體系并逐步推動網絡實名制的真正實施，建立信息安全產品安全審查和管理制度，同時還應加大監(jiān)管機制的建設并修訂相關法律。

3月15日下午，在2012年中國個人信息保護大會上，中國軟件評測中心介紹了我國第一個“個人信息保護”專項國家標準《公共及商用服務信息系統(tǒng)個人信息保護指南》（以下簡稱《指南》）的主要內容。《指南》目前已起草完成，被報送國家標準化管理委員會進行審批。

工業(yè)和信息化部信息安全協(xié)調司副司長歐陽武在會上說，《指南》除了明確相關概念的界定外，提出個人信息在收集、加工、轉移、刪除4個主要環(huán)節(jié)中所要遵循的基本原則、注意事項等。比如“目的明確原則”，要求“處理個人信息具有特定、明確、合理的目的，不擴大使用范圍，不在個人信息主體不知情的情況下改變處理個人信息的目的”；“最少夠用原則”，要求只處理與處理目的有關的最少信息，達到處理目的后，在最短時間內刪除個人信息。

各種跡象表明，政府已經意識到公民個人隱私的重要性。期待盡快看到我國個人信息保護的更多實質性進展。

國外個人信息保護掠影

美國

美國是世界上保護隱私權起步較早的國家之一。1974年美國頒布的《隱私權法》，可視為美國隱私權保護的基本法。之后，《財務隱私權法》、《錄像帶隱私保護法案》等不斷補充進來。

美國對網絡隱私權的保護更是非常重視。早在1986年，美國國會就通過了《聯(lián)邦電子通訊隱私權法案》，規(guī)定了通過截獲、訪問或泄漏保存的通信信息侵害個人隱私權的情況、例外及責任。1997年，美國政府公布了《全球電子商務發(fā)展框架》報告，把保護網絡隱私權作為一項基本原則提了出來。

美國還非常注重兒童隱私。1998年，美國商務部發(fā)布《兒童網上隱私權保護法》，禁止網站從業(yè)者誘導未成年人填寫個人信息，包括姓名、生日、住址、消費習慣、產品偏好，甚至父母年薪等資料。

英國

英國1984年制定的《數(shù)據保護法》規(guī)定，不允許以欺騙手段從數(shù)據主體那里取得信息，搜集取得個人信息必須征得有關個人的同意;只有為了特定和合法的目的，才能持有個人數(shù)據;必須采取安全措施，以防止個人數(shù)據未經許可而被擴散、更改、透露或銷毀;對于用戶遺失、毀壞有關數(shù)據，或者未經許可而透露有關數(shù)據的，數(shù)據主體有權請求賠償。之后，英國陸續(xù)通過了《調查權法》、《通信管理條例》等一系列旨在保護公民個人信息的法律。此外，英國貿工部和計算機協(xié)會還制定了專門的信息安全認證計劃，得到了全球主要軟件商的承認。

日本

在上世紀80年代，日本就頒布了保障用戶個人信息的相關法案，對個人信息泄露和買賣等行為加以約束和限制。不過，由于沒有明確的處罰規(guī)定，個人信息外泄事件仍然屢禁不止。直到2003年，日本出臺了包含具體細則的《個人信息保護法關聯(lián)五法》，規(guī)定如果企業(yè)沒有采取有效地防范個人信息流失的措施，將依法受到刑事懲罰。法律出臺后，日本企業(yè)泄露公民個人信息的行為得以約束。而日本保護個人信息安全的根本法律《個人信息保護法》則在2005年4月生效。

在健全法律的同時，日本政府同樣注重提高公民的個人信息保護意識。如在手機維修點，工作人員會在顧客的監(jiān)督下刪除送修手機內的電話號碼、郵件等個人信息。如果顧客把淘汰下來的手機交給零售店回收，店員當著顧客的面用專用工具在手機上打4個孔，消除個人信息。