許麗萍

其實，比我們更了解自己的不是本人，而是黑客。黑客似乎有一雙“X光”眼睛，讓我們的個人信息經(jīng)常處于“裸奔”狀態(tài)，對他們來說，我們已毫無私密可言。

量用戶被集體“裸曬”，誰之責(zé)?

經(jīng)常接到莫名其妙的推銷電話，郵箱塞滿垃圾信息，QQ號接連失陷，網(wǎng)銀密碼突然被盜……在這我們生活工作中，已是屢見不鮮。

然而令人深憂的是，個人信息泄露已不是小部分人之事，而是數(shù)百上千萬海量人群被集體“裸曬”。

近期，繼CSDN、天涯社區(qū)、多玩游戲網(wǎng)等知名網(wǎng)站各有幾百萬用戶數(shù)據(jù)慘遭拖庫、泄露后，原以為堅不可催的電商領(lǐng)域內(nèi)的當(dāng)當(dāng)、京東商城、淘寶網(wǎng)據(jù)稱也接連卷入“泄密門”，許多用戶信息已被外泄。360安全中心則發(fā)布紅色安全警報稱，目前已有超過5000萬用戶賬號和密碼在網(wǎng)上公開擴散。

5000萬網(wǎng)民個人信息的泄露，無疑再次對中國互聯(lián)網(wǎng)的信息安全漏洞敲響了警鐘!不論是網(wǎng)站運營管理的漏洞，還是黑客“魔高一丈”的技術(shù)，在互聯(lián)網(wǎng)面前，如今人們越發(fā)覺得自己幾乎沒有了隱私，一種普遍的不安全感彌漫于整個社會。

可以說，隨著互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)的發(fā)展，個人隱私保護已經(jīng)成為人們上網(wǎng)時最大的隱憂。而到底是誰出賣了我們的個人信息隱私?隱私泄露，誰之責(zé)?用什么來保護我們的個人隱私?

《個人信息保護指南》能管住“泄密門”?

2011年國內(nèi)網(wǎng)民數(shù)達(dá)到5億多，但與互聯(lián)網(wǎng)快速發(fā)展、如此龐大網(wǎng)民數(shù)量形成鮮明對比的是網(wǎng)絡(luò)信息安全問題日益尖銳，龐大的黑客如雨后春筍一般成長起來，互聯(lián)網(wǎng)上制毒、販毒、攻擊網(wǎng)站、牟取暴利的黑色產(chǎn)業(yè)鏈日益壯大，不義之財滾滾而來。

如今數(shù)量蔚為壯觀的黑客們均可以利用網(wǎng)絡(luò)輕松地遠(yuǎn)程控制被感染的電腦，隨意上傳下載、竊取、刪除、修改用戶的文件，盜取用戶的網(wǎng)絡(luò)游戲賬號、銀行卡密碼、個人隱私等私密信息，進而給無數(shù)網(wǎng)民造成重大損失。國家計算機網(wǎng)絡(luò)應(yīng)急中心估計，目前網(wǎng)絡(luò)病毒黑色產(chǎn)業(yè)鏈的年產(chǎn)值已超過4.5億元，每年給網(wǎng)民造成的各種損失可能高達(dá)近百億元。

可以說，時下網(wǎng)絡(luò)犯罪日益猖獗，黑色產(chǎn)業(yè)鏈經(jīng)濟日漸“繁榮”，已嚴(yán)重威脅國家網(wǎng)絡(luò)安全，侵害網(wǎng)民個人信息和財產(chǎn)的安全。因此，全面完善對網(wǎng)絡(luò)安全的立法、加強個人信息保護、保障網(wǎng)絡(luò)信息安全、斬斷黑色病毒產(chǎn)業(yè)鏈顯得尤為迫切、重要。

所幸的是，時下，最大程度建立并完善網(wǎng)絡(luò)個人信息的保護制度、加強對網(wǎng)絡(luò)安全的立法的建設(shè)，已經(jīng)逐漸成為了網(wǎng)民與管理者共同的呼聲，制標(biāo)立法的進程也日益加快。

4月初，工業(yè)和信息化部相關(guān)部門負(fù)責(zé)人接受新華社記者專訪時稱，《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》目前正在國家標(biāo)準(zhǔn)委進行最后的技術(shù)審批，預(yù)計今年下半年正式出臺。這無疑讓那些對個人隱私保護一直深憂的國人重新看到希望。

眾所周知，至今我國網(wǎng)絡(luò)安全的立法存在明顯的滯后，尚沒有一部完善具體、行之有效的法律來制約、懲罰網(wǎng)絡(luò)病毒的制造、傳播。我國從2003年就開始進行《個人信息保護法》的研究、制定工作，但這個課題在業(yè)界一直難以達(dá)成共識，對于那些是需要保護的個人信息，學(xué)界看法不一。這導(dǎo)致我國只有在很多專門法里籠統(tǒng)地說明不能泄露個人信息、侵犯個人隱私，但究竟如何保護，卻沒有具體、詳細(xì)的內(nèi)容分類和技術(shù)措施，比如對于哪些是木馬、黑客程序、流氓軟件等并沒有明確的界定，導(dǎo)致這些提法形同虛設(shè)。

從現(xiàn)實的法條來說，我們對網(wǎng)絡(luò)信息安全的法律保護基本停留在國家安全與系統(tǒng)安全的大層級上，比如《全國人大關(guān)于維護互聯(lián)網(wǎng)安全的決定》等多部法規(guī)基本未及厘清個人隱私及數(shù)據(jù)庫的安全權(quán)益。2009年，刑法修正案(七)確定了“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”罪名，首次將公民個人信息納入刑法保護范疇，規(guī)定要追究泄露、竊取和售賣公民個人信息行為的刑事責(zé)任。但是，這一犯罪主體過于狹窄，主指“國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員”，但大量商業(yè)公司如互聯(lián)網(wǎng)公司、房地產(chǎn)公司、物業(yè)公司、汽車廠商、賓館等卻未涉及。

與之同時，對網(wǎng)絡(luò)制作、傳播病毒的后果和損失的證據(jù)等難保全、易滅失，而損失情況也難于取證、評估，使得網(wǎng)絡(luò)病毒犯罪缺少具體定罪量刑標(biāo)準(zhǔn)。

以上這些不足與漏洞，都讓網(wǎng)絡(luò)違法犯罪者肆為忌憚，對竊取個人信息為所欲為。尤其是去年年底至今，接連爆發(fā)互聯(lián)網(wǎng)大規(guī)模的泄密事件，將如何更好地保護個人信息推向了風(fēng)口浪尖，《個人信息保護指南》也就呼之而出?！坝幸?guī)矩方成方圓”，因此，對付這股“網(wǎng)絡(luò)黑勢力”首先必須盡早制定相關(guān)立法，完善相關(guān)立法，加大對網(wǎng)絡(luò)安全領(lǐng)域犯罪的打擊。

但不管是《刑法》還是《侵權(quán)責(zé)任法》都屬于事后救濟，而在網(wǎng)絡(luò)時代，急需對網(wǎng)絡(luò)安全和個人信息安全問題的前瞻，然后進行全程的監(jiān)管才更為有效用。據(jù)悉，此次《個人信息保護指南》適應(yīng)國際立法新的趨勢，即“以預(yù)防為主”，立足于事前防范，明確個人信息管理者的一整套法定責(zé)任，改變以往的民法“民不舉官不究”的做法。

據(jù)介紹，《個人信息保護指南》指出了個人信息處理四個主要環(huán)節(jié)，主要包括收集、加工、轉(zhuǎn)移和刪除四個主要環(huán)節(jié)，并提出了個人信息保護的原則，這個原則包括目的明確、最少使用、公開告知、個人同意、質(zhì)量保證、安全保障、誠信履行和責(zé)任明確等八項。

“最少使用”的原則就是獲取一個人的信息量時，只要能滿足使用的目的就行，不一定非要讓用戶填上身份證號碼、家庭地址、手機號碼等。韓國一些知名網(wǎng)站也曾發(fā)生過大規(guī)模泄露網(wǎng)民信息事件，此事使得該國行政安全部對網(wǎng)絡(luò)安全進行了反思。此后，出于保護網(wǎng)絡(luò)用戶信息考慮，韓國政府決定逐步改變，要求個人或企業(yè)使用用戶身份證信息需要事先獲得批準(zhǔn)，不能濫用。而“安全保障”則是要個人信息管理者一旦收集了個人信息，就必須建立一套個人信息保護制度，明確責(zé)任人和內(nèi)部管理流程，以及應(yīng)對個人信息泄露的風(fēng)險。

不無遺憾的是，這個指南標(biāo)準(zhǔn)不是強制性標(biāo)準(zhǔn)，甚至也不是推薦性標(biāo)準(zhǔn)，標(biāo)準(zhǔn)通過會對互聯(lián)網(wǎng)行業(yè)起到多大的規(guī)范與約束效力，尚待觀察?！秱€人信息保護指南》內(nèi)容還未公布，但不管如何，內(nèi)容應(yīng)制定某些急需的單行法，如對類似木馬、黑客程序、流氓軟件等計算機惡意程序進行有效的法律界定，并要增加完善涉及信息網(wǎng)絡(luò)的定罪、量刑標(biāo)準(zhǔn)內(nèi)容，應(yīng)考慮針對計算機網(wǎng)絡(luò)犯罪活動特點，增加法人(單位)犯罪、罰金刑、資格刑等具體細(xì)節(jié)、可量化內(nèi)容，為執(zhí)法者提供充分的理論和實踐依據(jù)，從而用法規(guī)法律威懾病毒制造者和非法牟利者。

專家認(rèn)為，不管是目前的法律，還是即將出臺的《個人信息保護指南》，對信息管理者、泄露者的懲罰力度不夠，約束處罰機制也不強。在國內(nèi)民法領(lǐng)域，對于個人數(shù)據(jù)信息的管理者及相關(guān)作惡者的治理機制仍然是一大片空白，要追究網(wǎng)站的責(zé)任步履為艱。在國外，像被木馬、黑客程序、流氓軟件這樣大規(guī)模竊取、泄露用戶信息，信息管理者至少要處于很重的經(jīng)濟處罰，而對信息泄露者、竊取者更是毫不猶豫繩之以法。在美國，若facebook(臉譜)、twiiter(推特)發(fā)生此類事件，政府部門和法律團隊會在第一時間介入、處罰，進而造成公司股價波動，老板甚至可能引咎辭職、進牢房。但在國內(nèi)，至今還沒有對網(wǎng)站較好的制約懲罰機制。為此，國內(nèi)廣大網(wǎng)民呼吁要專門就個人信息保護立法，通過建立個人信息的合理使用制度、嚴(yán)厲的懲罰機制、設(shè)置監(jiān)督機構(gòu)等方式為個人信息上一道“保險栓”，全面改善、提高網(wǎng)站的“防火防盜”的功能。這也是人們對未來出臺《個人信息保護指南》的地位和作用的企盼。

另外，現(xiàn)行法律規(guī)定，個人信息受到侵害后，責(zé)任主體只承擔(dān)行政責(zé)任和刑事責(zé)任，但對于如何補償受害者并未做出相應(yīng)規(guī)定，因此，當(dāng)前理應(yīng)建立一套完善的民事補償機制，更好地保護個人信息。這方面，《個人信息保護指南》應(yīng)作進一步較好的規(guī)定與完善。任何網(wǎng)站都有對其資料“妥善保管”的義務(wù)，尤其是涉及隱私及財產(chǎn)權(quán)的信息內(nèi)容，應(yīng)該有著“銀行級”的保密舉措，一旦泄露，必須承擔(dān)第一責(zé)任，包括給個人受到侵害后作相應(yīng)的民事補償，而不能只是一紙道歉蓋過。

謹(jǐn)望《個人信息保護指南》確實能為國內(nèi)互聯(lián)網(wǎng)信息安全保駕護航，為民法、刑法提供更多充分可靠的執(zhí)法依據(jù)，管住更多的“泄密門”，還互聯(lián)網(wǎng)一片藍(lán)天碧地!