拿什么管住“泄密門”?

近日，中國軟件測評中心聯合30多家單位起草的《信息安全技術、公共及商用服務信息系統個人信息保護指南》已正式通過評審，由工業和信息化部報國家批準。此消息一經披露，因備受詬病的個人信息泄露問題而引發的個人信息安全話題再度成為社會廣泛熱議的焦點，個人信息保護問題被推向輿論的風口浪尖。

其實，比我們更了解自己的不是本人，而

是黑客。黑客似乎有一雙“X光”的眼睛，讓我們個人信息經常處于“裸奔”狀態，我們似乎已無處掩藏，毫無私密可言。

中國青年報社會調查中心通過民意中國網等，對1958人進行的在線調查顯示，86.5%的受訪者表示自己的個人信息曾遭泄露，49.8%的人抱怨信息遭泄露已嚴重影響自己的生活。而這一切的根源在于，我國在個人信息保護立法上的不完善。通過立法形成公民個人信息保護法律體系，已成為一件刻不容緩的大事。

海量用戶被集體“裸曬”

經常接到莫名其妙的推銷電話，郵箱塞滿垃圾信息，QQ號接連失陷，網銀密碼突然被盜……這在我們生活工作中，已是屢見不鮮。

然而令人深憂的是，個人信息泄露已不是小部分人之事，而是數百上千萬海量人群被集體“裸曬”。

近期，繼CSDN、天涯社區、多玩游戲網等知名網站各有幾百萬用戶數據慘遭拖庫、泄露后，原以為堅不可催的電商領域內的當當、京東商城、淘寶網據稱也被卷入“泄密門”，許多用戶信息已被外泄。360安全中心則發布紅色安全警報稱，目前已有超過5000萬用戶賬號和密碼在網上公開擴散。

5000萬網民個人信息的泄露，無疑再次對中國互聯網的信息安全漏洞敲響了警鐘！不論是網站運營管理的漏洞，還是黑客“魔高一丈”的技術，在互聯網面前，如今人們越發覺得自己幾乎沒有了隱私，一種普遍的不安全感彌漫在人們周圍。

可以說，隨著互聯網和移動互聯網的發展，個人隱私保護已經成為人們上網時最大的隱憂。而到底是誰出賣了我們的個人信息隱私？隱私泄露，誰之責？用什么來保護我們的個人隱私？

《個人信息保護指南》呼之而出

2011年，國內網民數達5億之多。伴隨著如此龐大的網民隊伍出現的，是網絡信息安全問題的日益尖銳。龐大的黑客如雨后春筍批發而起，互聯網上制毒、販毒、攻擊網站、牟取暴利的黑色產業鏈日益壯大，不義的財富滾滾而來。

如今，數量蔚為大觀的黑客們均可以利用網絡輕松地遠程控制被感染的電腦，隨意上傳下載、竊取、刪除、修改用戶的文件，盜取用戶的網絡游戲賬號、銀行卡密碼、個人隱私等私密信息，進而給無數網民造成重大損失。國家計算機網絡應急中心估計，目前網絡病毒黑色產業鏈的年產值已超過四五億元，每年給網民造成的各種損失可能高達近百億元。

可以說，時下網絡犯罪日益猖獗，黑色產業鏈經濟日漸“繁榮”，已嚴重威脅國家網絡安全，侵害網民個人信息和財產的安全。因此，全面完善網絡安全的立法、加強個人信息保護、斬斷黑色病毒產業鏈，顯得尤為迫切和重要。

所幸的是，今天最大程度建立并完善網絡個人信息的保護制度、加強對網絡安全的立法已經逐漸成為了網民與管理者共同的呼聲，制標立法的進程也日益加快。

4月初，工業和信息化部相關部門負責人接受新華社記者專訪時稱，《信息安全技術、公共及商用服務信息系統個人信息保護指南》目前正在國家標準委進行最后的技術審批，預計今年下半年正式出臺。

這無疑讓那些對個人隱私保護一直深憂的國人重新看到希望。

眾所周知，我國網絡安全的立法存在明顯的滯后，至今尚無一部完善具體、行之有效的法律來制約、懲罰網絡病毒的制造和傳播。我國從2003年就開始《個人信息保護法》的研究和制定工作，但這個課題在業界一直難以達成共識，導致我國目前只是在很多專門法里籠統地提一句“不能泄露個人信息、侵犯個人隱私”，但如何保護，卻沒有具體、詳細的內容分類和技術措施。

從現實的法條來說，我們對網絡信息安全的法律保護基本停留在國家安全與系統安全的大層級上，比如，《全國人大關于維護互聯網安全的決定》等多部法規基本未及厘清個人隱私及數據庫的安全權益。2009年，刑法修正案(七)確定了“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”罪名，首次將公民個人信息納入刑法保護范疇，規定要追究泄露、竊取和售賣公民個人信息行為的刑事責任。但是，這一犯罪主體過于狹窄，主要是指“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”，并未涉及大量商業公司，如互聯網公司、房地產公司、物業公司、汽車廠商、賓館等。

與之同時，對網絡制作、傳播病毒的后果和損失的證據等難保全、易滅失，損失情況難取證和評估的現象存在，也使得網絡病毒犯罪缺少具體定罪量刑標準。

以上這些不足與漏洞，都讓網絡違法犯罪者肆無忌憚，對竊取個人信息為所欲為。

去年年底至今，接連爆發的互聯網大規模泄密事件，終于將如何更好地保護個人信息推向了風口浪尖，《個人信息保護指南》呼之而出。

據悉，此次《個人信息保護指南》適應國際立法新的趨勢，即“以預防為主”，立足于事前防范，明確個人信息管理者的一整套法定責任，改變以往的民法“民不舉官不究”的做法，也和《刑法》或《侵權責任法》的事后救濟有了本質性區別。

《個人信息保護指南》指出了個人信息處理四個主要環節，主要包括收集、加工、轉移和刪除四個主要環節，并提出了個人信息保護的原則。這個原則包括目的明確、最少使用、公開告知、個人同意、質量保證、安全保障、誠信履行和責任明確等八項。

“最少使用”的原則就是獲取一個人的信息量時，只要能滿足使用的目的即可，不一定非要讓用戶填上身份證號碼、家庭地址、手機號碼等個人私密信息。韓國一些知名網站也曾發生過大規模泄露網民信息事件，此事使得該國行政安全部對網絡安全進行了反思。此后，出于保護網絡用戶信息考慮，韓國政府決定逐步改變，要求個人或企業使用用戶身份證信息需要事先獲得批準，并不能濫用。

而“安全保障”則是要個人信息管理者一旦收集了個人信息，就必須建立一套個人信息保護制度，明確責任人和內部管理流程，以及應對個人信息泄露的風險。

“保護指南”約束力尚待觀察

不無遺憾的是，即將出臺的《個人信息保護指南》不是強制性標準，甚至也不是推薦性標準。此標準通過會對互聯網行業起到多大的規范與約束效力，尚待觀察，尤其是能否管住網絡黑客，還讓人深感憂慮。

《個人信息保護指南》內容還未公布，但不管如何，內容應有制定某些急需的單行法，如對類似木馬、黑客程序、流氓軟件等計算機惡意程序進行有效法律界定，并要增加完善涉及信息網絡的定罪、量刑標準內容，應考慮針對計算機網絡犯罪活動特點，增加法人（單位）犯罪、罰金刑、資格刑等具體細節、可量化內容，為執法者提供充分的理論和實踐依據，從而能用法規法律有效威懾病毒制造者和非法牟利者。

專家認為，不管是目前的法律，還是即將出臺的《個人信息保護指南》，對信息管理者、泄露者的懲罰建言不夠，約束處罰機制仍不強。在國內民法領域，對于個人數據信息的管理者及相關作惡者的治理機制仍然是一大片空白，要追究網站的責任步履維艱。在國外，像被木馬、黑客程序、流氓軟件這樣大規模竊取、泄露用戶信息，信息管理者至少要處于很重的經濟處罰，而對信息泄露者、竊取者更是毫不猶豫繩之以法。在美國，若facebook（臉譜）、twitter（推特）發生此類事件，政府部門和法律團隊會在第一時間介入、處罰，進而造成公司股價波動，老板甚至可能引咎辭職甚至受刑入獄；但在國內，至今還沒有對網站的制約懲罰機制。為此，國內廣大網民呼吁，要專門就個人信息保護立法，通過建立個人信息的合理使用制度、嚴厲的懲罰機制、設置監督機構等方式，為個人信息上一道“保險栓”，全面改善、提高網站的“防火防盜”的功能。而這，也是人們對未來出臺《個人信息保護指南》的地位和作用的企盼。

此外，現行法律規定，個人信息受到侵害后，責任主體只承擔行政責任和刑事責任，但對于如何補償受害者并未作出相應規定。因此，當前理應建立一套完善的民事補償機制，更好地保護個人信息。這方面，《個人信息保護指南》應作進一步較好的規定與完善。任何網站都有對其資料“妥善保管”的義務，尤其是涉及隱私及財產權的信息內容，應該有著“銀行級”的保密舉措，一旦泄露，必須承擔第一責任，包括給個人受到侵害后作相應的民事補償，而不能只是一紙道歉蓋過。

總而言之，我們期盼著《個人信息保護指南》確實能為國內互聯網信息安全保駕護航，為民法、刑法提供更多充分可靠的執法依據，管住更多的“泄密門”，還互聯網一片藍天碧地。