“國家標準”能免個人信息“裸奔”嗎

張海林 葉雨岑

一款“QQ聊天記錄查看器”以50余元的價格在網上售賣，近日經媒體披露之后，輿論頓感“像是在網絡里裸奔”。

我國首個個人信息保護國家標準——《信息安全技術公共及商用服務信息系統個人信息保護指南》于2013年2月1日起實施。該標準由全國信息安全標準化技術委員會提出并歸口組織，中國軟件評測中心牽頭，聯合多家單位制定。

此前，2012年12月28日，全國人大常委會通過《關于加強網絡信息保護的決定》（下文簡稱《決定》）。該《決定》被認為從立法層面跨出了補齊網絡信息保護立法“短板”的第一步。

個人信息“裸奔”之患

2011年末，一場被媒體稱為“中國互聯網史上規模最大的泄密事件”突如其來。

自當年12月21日開始，中國最大開發者技術社區CSDN的600萬用戶數據被泄露，其中包含極為敏感的用戶名、明文密碼；次日，垂直游戲網站多玩網被傳泄露800萬用戶數據；25日，號稱“最有影響力華人論壇”天涯社區4000萬用戶數據包被瘋傳；51CTO、CNZZ、eNet、UUU9、YY語音、百合網、開心網、人人網、美空網、珍愛網等相繼被卷入用戶數據泄露風波；支付寶、當當網以及京東商城等電子商務網站亦未幸免；29日，網絡傳言交通銀行7000萬及民生銀行3500萬用戶卡號、姓名及密碼泄露，恐慌感被推至高點，“泄密門”達到高潮。

2012年11月6日，《每日經濟新聞》記者接到報料稱，快遞單號的信息正被大面積泄露，甚至衍生出多個專門交易快遞單號信息的網站。

在“淘單114”和“單號吧”網站上，快遞單號信息被明碼標價，售價從0. 4元至2元不等，并附帶“生成底單”等配套服務。被交易的快遞單號來自包括申通、圓通、中通、韻達在內的多個快遞公司，“淘單114”網還寫著“單號來源于各地快遞員”。

事實上，因快遞單號信息泄露而引發的入室搶劫案例早就屢見報端。據2013年1月16日由中國互聯網協會主辦的2012中國互聯網產業年會發布的《2012中國互聯網安全報告》顯示，我國有84. 8%的網民遇到過網絡信息安全事件，包括個人資料泄露、網購支付不安全等。在這些網民中，77. 7%遭受了不同形式的損失，其中，產生經濟損失的占7. 7%。

面對如此嚴峻態勢，對于公民個人信息的保護，《決定》規定：“任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息。”

《決定》亦明確了各個組織關于保護公民個人電子信息的義務。不論是網絡服務提供者或其他企事業單位，還是國家機關及其工作人員，都不得泄露、篡改、毀損、出售或者非法向他人提供公民個人電子信息，同時還負有保密和保護的義務。

除了立法層面的完善，對泄密犯罪增加打擊力度同樣重要。2012年4月26日公安部刑偵局副局長廖進榮接受央視采訪時透露一次打擊侵害公民個人信息犯罪專案集中行動的階段性成果：“到目前為止已經抓獲犯罪嫌疑人1778名，其中掌握信息源頭的犯罪嫌疑人有38名，我們還打掉了大肆買賣公民個人信息數據平臺161個，還打掉了從事非法調查活動的犯罪嫌疑人611名。”

公安部刑偵局政委楊東認為打擊侵害公民個人信息類犯罪，是一場持久戰，“隨著市場經濟的發展，公民個人信息已經成為一種資源，有市場的剛性需求。”

中國實名制制度設計有其優勢

后臺實名制到來，馬甲或將徹底退出時代，這引起了喜歡“吐槽”的網友的不安。

實名制規定見于《決定》的第七條規定之中，即網絡服務提供者為用戶辦理網站接入服務，辦理固定電話、移動電話等入網手續，或者為用戶提供信息發布服務時，應當在與用戶簽訂協議或者確認提供服務時，要求用戶提供真實身份信息。

其實，早在2011年12月16日北京市出臺的《北京市微博客發展管理若干規定》中，實名制已被建立。該《規定》要求北京市行政區域內的網站微博用戶，無論是組織還是個人，在注冊微博時都應當使用真實的身份信息。

自2012年3月16日起，微博實名制正式實施。按規定，新浪、搜狐、網易和騰訊四大門戶網站微博要求新注冊用戶提交身份證號碼、手機號碼等信息才能注冊成功。未通過身份認證的微博用戶將不能發言、轉發，只能瀏覽。

網友認為后臺實名制一旦實施，意味著隨時可以追查到真實姓名，舉報估計會減少，在網上發表言論將變得不自由，尤其是批評言論。

對此，全國人大常委會法工委副主任李飛認為，擔心《決定》會影響人民群眾通過網絡發表監督批評意見、揭露腐敗行為是沒有必要的，“根據我國憲法，公民對國家機關和國家工作人員有提出批評和建議的權利，對失職違法行為，有權進行申訴、控告和檢舉”。

為了避免舉報者遭到報復，中國社會科學院法學所研究員徐炳認為政府應對通過網絡服務提供商查找網民個人信息設置嚴格的程序，“違反程序要擔責”，徐炳對《瞭望東方周刊》說。

但質疑遠不止此，有網友認為“后臺實名制”可能會帶來個人身份信息的泄漏問題，韓國即是先例。

2008年針對ebay韓國子網站的黑客攻擊導致1800多萬用戶個人信息外泄；2011年11月發生的韓國某電腦游戲公司遭黑客攻擊事件中，大約1300萬名玩家的個人信息泄露；韓國現代資本服務公司和農協銀行網絡也曾遭黑客襲擊，導致用戶信息暴露，在線交易系統一度癱瘓；最嚴重的一次事件發生在2011年7月，韓國門戶網站NATE網和著名社交網“賽我網”遭黑客攻擊，造成3500萬名用戶信息泄露。

2012年12月29日韓國國際廣播電臺報道，韓國將推進在網絡上限制使用“居民登錄證”（身份證）號碼的方案，以防止個人信息泄露。韓國廣播通信委員會計劃首先修改有關法律，從2012年起，日均訪問者超過1萬名的網站全面限制收集和使用“居民登錄證”號碼，2013年將其范圍擴大到所有網站。

不過也有聲音認為，我國用戶真實身份信息注冊制度與韓國“網絡實名制”有著本質區別，我國的“網絡實名制”在制度設計上已經將保護個人信息安全放在重要的位置。

韓國實名制有內在缺陷，比如網站可以保留用戶身份信息，容易造成數據泄露；其認證機構是社會上的商業組織，法律政策執行不力；其認證機構提供認證服務需要向網站收取一定的費用，影響了網站的積極性等等。我國的制度設計是，用戶通過在線方式直接向認證機構提交身份信息，避免網站留存信息；由國家權威機構作為互聯網用戶身份認證機構，加強對認證機構的監督管理；后臺實名，前臺根據網民意愿，可選擇實名，也可用昵稱。

“短板”猶存

中國的網絡管理相關法律，始于上世紀90年代。

1994年《中華人民共和國計算機信息系統安全保護條例》出臺，2000年之后，《互聯網信息服務管理辦法》、《中華人民共和國電信條例》、《全國人民代表大會常務委員會關于維護互聯網安全的決定》、《互聯網新聞信息服務管理規定》等一系列針對互聯網管理和維護的辦法和規定陸續頒布。

“2000年以來，全國人大常委會制定了關于維護互聯網安全的決定，制定《侵權責任法》、刑法修正案等法律時對網絡侵權行為規定了民事責任，對出售、非法提供公民個人信息的犯罪等作了嚴厲的刑罰規定。”全國人大常委會法制工作委員會副主任李飛公開說，“但總體看，我國有關網絡信息保護的法律規范還比較薄弱，一些必要的管理措施缺乏上位法依據。”

國務院法制辦副主任袁曙宏認為此次《決定》的出臺，為國務院制定、修訂有關行政法規提供了上位法的依據。但是針對是否有具體修改行政法規的時間表，袁曙宏并未做詳細回應。

目前《決定》在一些具體實施辦法上比較模糊。

《決定》第5條規定：“發現法律、法規禁止發布或者傳輸的信息的，網絡服務提供者應當立即停止傳輸該信息，采取消除等處置措施，保存有關記錄，并向有關主管部門報告。”

《決定》第5條規定：“發現法律、法規禁止發布或者傳輸的信息的，網絡服務提供者應當立即停止傳輸該信息，采取消除等處置措施，保存有關記錄，并向有關主管部門報告。”輿論認為該款規定賦予了網絡服務提供者“刪帖”權，但沒有明確“錯誤刪除”后的補救措施和濫用“刪帖”權時應承擔的責任。這可能導致網絡服務提供者隨意“刪帖”，侵犯公民的言論表達權。

《決定》第10條規定明確授權有關主管部門有權在事后查處網絡信息違法犯罪行為，也授權有關主管部門有權在事前、事中防范和制止網絡信息違法犯罪行為。這意味著有關主管部門可以全程對公民網上發布信息進行實時監控，因此，坊間對“有關主管部門”借“技術措施”和“其他必要措施”侵犯網民的個人基本信息及網絡信息發布權利的擔憂也依然存在。