《個(gè)人信息保護(hù)指南》能管住“泄密門”？

許麗萍

其實(shí)，比我們更了解自己的不是本人，而是黑客。黑客似乎有一雙“X光”眼睛，讓我們的個(gè)人信息經(jīng)常處于“裸奔”狀態(tài)，對(duì)他們來說，我們已毫無私密可言。

量用戶被集體“裸曬”，誰之責(zé)?

經(jīng)常接到莫名其妙的推銷電話，郵箱塞滿垃圾信息，QQ號(hào)接連失陷，網(wǎng)銀密碼突然被盜……在這我們生活工作中，已是屢見不鮮。

然而令人深憂的是，個(gè)人信息泄露已不是小部分人之事，而是數(shù)百上千萬海量人群被集體“裸曬”。

近期，繼CSDN、天涯社區(qū)、多玩游戲網(wǎng)等知名網(wǎng)站各有幾百萬用戶數(shù)據(jù)慘遭拖庫(kù)、泄露后，原以為堅(jiān)不可催的電商領(lǐng)域內(nèi)的當(dāng)當(dāng)、京東商城、淘寶網(wǎng)據(jù)稱也接連卷入“泄密門”，許多用戶信息已被外泄。360安全中心則發(fā)布紅色安全警報(bào)稱，目前已有超過5000萬用戶賬號(hào)和密碼在網(wǎng)上公開擴(kuò)散。

5000萬網(wǎng)民個(gè)人信息的泄露，無疑再次對(duì)中國(guó)互聯(lián)網(wǎng)的信息安全漏洞敲響了警鐘!不論是網(wǎng)站運(yùn)營(yíng)管理的漏洞，還是黑客“魔高一丈”的技術(shù)，在互聯(lián)網(wǎng)面前，如今人們?cè)桨l(fā)覺得自己幾乎沒有了隱私，一種普遍的不安全感彌漫于整個(gè)社會(huì)。

可以說，隨著互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)的發(fā)展，個(gè)人隱私保護(hù)已經(jīng)成為人們上網(wǎng)時(shí)最大的隱憂。而到底是誰出賣了我們的個(gè)人信息隱私?隱私泄露，誰之責(zé)?用什么來保護(hù)我們的個(gè)人隱私?

《個(gè)人信息保護(hù)指南》能管住“泄密門”?

2011年國(guó)內(nèi)網(wǎng)民數(shù)達(dá)到5億多，但與互聯(lián)網(wǎng)快速發(fā)展、如此龐大網(wǎng)民數(shù)量形成鮮明對(duì)比的是網(wǎng)絡(luò)信息安全問題日益尖銳，龐大的黑客如雨后春筍一般成長(zhǎng)起來，互聯(lián)網(wǎng)上制毒、販毒、攻擊網(wǎng)站、牟取暴利的黑色產(chǎn)業(yè)鏈日益壯大，不義之財(cái)滾滾而來。

如今數(shù)量蔚為壯觀的黑客們均可以利用網(wǎng)絡(luò)輕松地遠(yuǎn)程控制被感染的電腦，隨意上傳下載、竊取、刪除、修改用戶的文件，盜取用戶的網(wǎng)絡(luò)游戲賬號(hào)、銀行卡密碼、個(gè)人隱私等私密信息，進(jìn)而給無數(shù)網(wǎng)民造成重大損失。國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急中心估計(jì)，目前網(wǎng)絡(luò)病毒黑色產(chǎn)業(yè)鏈的年產(chǎn)值已超過4.5億元，每年給網(wǎng)民造成的各種損失可能高達(dá)近百億元。

可以說，時(shí)下網(wǎng)絡(luò)犯罪日益猖獗，黑色產(chǎn)業(yè)鏈經(jīng)濟(jì)日漸“繁榮”，已嚴(yán)重威脅國(guó)家網(wǎng)絡(luò)安全，侵害網(wǎng)民個(gè)人信息和財(cái)產(chǎn)的安全。因此，全面完善對(duì)網(wǎng)絡(luò)安全的立法、加強(qiáng)個(gè)人信息保護(hù)、保障網(wǎng)絡(luò)信息安全、斬?cái)嗪谏《井a(chǎn)業(yè)鏈顯得尤為迫切、重要。

所幸的是，時(shí)下，最大程度建立并完善網(wǎng)絡(luò)個(gè)人信息的保護(hù)制度、加強(qiáng)對(duì)網(wǎng)絡(luò)安全的立法的建設(shè)，已經(jīng)逐漸成為了網(wǎng)民與管理者共同的呼聲，制標(biāo)立法的進(jìn)程也日益加快。

4月初，工業(yè)和信息化部相關(guān)部門負(fù)責(zé)人接受新華社記者專訪時(shí)稱，《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》目前正在國(guó)家標(biāo)準(zhǔn)委進(jìn)行最后的技術(shù)審批，預(yù)計(jì)今年下半年正式出臺(tái)。這無疑讓那些對(duì)個(gè)人隱私保護(hù)一直深憂的國(guó)人重新看到希望。

眾所周知，至今我國(guó)網(wǎng)絡(luò)安全的立法存在明顯的滯后，尚沒有一部完善具體、行之有效的法律來制約、懲罰網(wǎng)絡(luò)病毒的制造、傳播。我國(guó)從2003年就開始進(jìn)行《個(gè)人信息保護(hù)法》的研究、制定工作，但這個(gè)課題在業(yè)界一直難以達(dá)成共識(shí)，對(duì)于那些是需要保護(hù)的個(gè)人信息，學(xué)界看法不一。這導(dǎo)致我國(guó)只有在很多專門法里籠統(tǒng)地說明不能泄露個(gè)人信息、侵犯?jìng)€(gè)人隱私，但究竟如何保護(hù)，卻沒有具體、詳細(xì)的內(nèi)容分類和技術(shù)措施，比如對(duì)于哪些是木馬、黑客程序、流氓軟件等并沒有明確的界定，導(dǎo)致這些提法形同虛設(shè)。

從現(xiàn)實(shí)的法條來說，我們對(duì)網(wǎng)絡(luò)信息安全的法律保護(hù)基本停留在國(guó)家安全與系統(tǒng)安全的大層級(jí)上，比如《全國(guó)人大關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》等多部法規(guī)基本未及厘清個(gè)人隱私及數(shù)據(jù)庫(kù)的安全權(quán)益。2009年，刑法修正案(七)確定了“出售、非法提供公民個(gè)人信息罪”、“非法獲取公民個(gè)人信息罪”罪名，首次將公民個(gè)人信息納入刑法保護(hù)范疇，規(guī)定要追究泄露、竊取和售賣公民個(gè)人信息行為的刑事責(zé)任。但是，這一犯罪主體過于狹窄，主指“國(guó)家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員”，但大量商業(yè)公司如互聯(lián)網(wǎng)公司、房地產(chǎn)公司、物業(yè)公司、汽車廠商、賓館等卻未涉及。

與之同時(shí)，對(duì)網(wǎng)絡(luò)制作、傳播病毒的后果和損失的證據(jù)等難保全、易滅失，而損失情況也難于取證、評(píng)估，使得網(wǎng)絡(luò)病毒犯罪缺少具體定罪量刑標(biāo)準(zhǔn)。

以上這些不足與漏洞，都讓網(wǎng)絡(luò)違法犯罪者肆為忌憚，對(duì)竊取個(gè)人信息為所欲為。尤其是去年年底至今，接連爆發(fā)互聯(lián)網(wǎng)大規(guī)模的泄密事件，將如何更好地保護(hù)個(gè)人信息推向了風(fēng)口浪尖，《個(gè)人信息保護(hù)指南》也就呼之而出。“有規(guī)矩方成方圓”，因此，對(duì)付這股“網(wǎng)絡(luò)黑勢(shì)力”首先必須盡早制定相關(guān)立法，完善相關(guān)立法，加大對(duì)網(wǎng)絡(luò)安全領(lǐng)域犯罪的打擊。

但不管是《刑法》還是《侵權(quán)責(zé)任法》都屬于事后救濟(jì)，而在網(wǎng)絡(luò)時(shí)代，急需對(duì)網(wǎng)絡(luò)安全和個(gè)人信息安全問題的前瞻，然后進(jìn)行全程的監(jiān)管才更為有效用。據(jù)悉，此次《個(gè)人信息保護(hù)指南》適應(yīng)國(guó)際立法新的趨勢(shì)，即“以預(yù)防為主”，立足于事前防范，明確個(gè)人信息管理者的一整套法定責(zé)任，改變以往的民法“民不舉官不究”的做法。

據(jù)介紹，《個(gè)人信息保護(hù)指南》指出了個(gè)人信息處理四個(gè)主要環(huán)節(jié)，主要包括收集、加工、轉(zhuǎn)移和刪除四個(gè)主要環(huán)節(jié)，并提出了個(gè)人信息保護(hù)的原則，這個(gè)原則包括目的明確、最少使用、公開告知、個(gè)人同意、質(zhì)量保證、安全保障、誠(chéng)信履行和責(zé)任明確等八項(xiàng)。

“最少使用”的原則就是獲取一個(gè)人的信息量時(shí)，只要能滿足使用的目的就行，不一定非要讓用戶填上身份證號(hào)碼、家庭地址、手機(jī)號(hào)碼等。韓國(guó)一些知名網(wǎng)站也曾發(fā)生過大規(guī)模泄露網(wǎng)民信息事件，此事使得該國(guó)行政安全部對(duì)網(wǎng)絡(luò)安全進(jìn)行了反思。此后，出于保護(hù)網(wǎng)絡(luò)用戶信息考慮，韓國(guó)政府決定逐步改變，要求個(gè)人或企業(yè)使用用戶身份證信息需要事先獲得批準(zhǔn)，不能濫用。而“安全保障”則是要個(gè)人信息管理者一旦收集了個(gè)人信息，就必須建立一套個(gè)人信息保護(hù)制度，明確責(zé)任人和內(nèi)部管理流程，以及應(yīng)對(duì)個(gè)人信息泄露的風(fēng)險(xiǎn)。

不無遺憾的是，這個(gè)指南標(biāo)準(zhǔn)不是強(qiáng)制性標(biāo)準(zhǔn)，甚至也不是推薦性標(biāo)準(zhǔn)，標(biāo)準(zhǔn)通過會(huì)對(duì)互聯(lián)網(wǎng)行業(yè)起到多大的規(guī)范與約束效力，尚待觀察?！秱€(gè)人信息保護(hù)指南》內(nèi)容還未公布，但不管如何，內(nèi)容應(yīng)制定某些急需的單行法，如對(duì)類似木馬、黑客程序、流氓軟件等計(jì)算機(jī)惡意程序進(jìn)行有效的法律界定，并要增加完善涉及信息網(wǎng)絡(luò)的定罪、量刑標(biāo)準(zhǔn)內(nèi)容，應(yīng)考慮針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)犯罪活動(dòng)特點(diǎn)，增加法人(單位)犯罪、罰金刑、資格刑等具體細(xì)節(jié)、可量化內(nèi)容，為執(zhí)法者提供充分的理論和實(shí)踐依據(jù)，從而用法規(guī)法律威懾病毒制造者和非法牟利者。

專家認(rèn)為，不管是目前的法律，還是即將出臺(tái)的《個(gè)人信息保護(hù)指南》，對(duì)信息管理者、泄露者的懲罰力度不夠，約束處罰機(jī)制也不強(qiáng)。在國(guó)內(nèi)民法領(lǐng)域，對(duì)于個(gè)人數(shù)據(jù)信息的管理者及相關(guān)作惡者的治理機(jī)制仍然是一大片空白，要追究網(wǎng)站的責(zé)任步履為艱。在國(guó)外，像被木馬、黑客程序、流氓軟件這樣大規(guī)模竊取、泄露用戶信息，信息管理者至少要處于很重的經(jīng)濟(jì)處罰，而對(duì)信息泄露者、竊取者更是毫不猶豫繩之以法。在美國(guó)，若facebook(臉譜)、twiiter(推特)發(fā)生此類事件，政府部門和法律團(tuán)隊(duì)會(huì)在第一時(shí)間介入、處罰，進(jìn)而造成公司股價(jià)波動(dòng)，老板甚至可能引咎辭職、進(jìn)牢房。但在國(guó)內(nèi)，至今還沒有對(duì)網(wǎng)站較好的制約懲罰機(jī)制。為此，國(guó)內(nèi)廣大網(wǎng)民呼吁要專門就個(gè)人信息保護(hù)立法，通過建立個(gè)人信息的合理使用制度、嚴(yán)厲的懲罰機(jī)制、設(shè)置監(jiān)督機(jī)構(gòu)等方式為個(gè)人信息上一道“保險(xiǎn)栓”，全面改善、提高網(wǎng)站的“防火防盜”的功能。這也是人們對(duì)未來出臺(tái)《個(gè)人信息保護(hù)指南》的地位和作用的企盼。

另外，現(xiàn)行法律規(guī)定，個(gè)人信息受到侵害后，責(zé)任主體只承擔(dān)行政責(zé)任和刑事責(zé)任，但對(duì)于如何補(bǔ)償受害者并未做出相應(yīng)規(guī)定，因此，當(dāng)前理應(yīng)建立一套完善的民事補(bǔ)償機(jī)制，更好地保護(hù)個(gè)人信息。這方面，《個(gè)人信息保護(hù)指南》應(yīng)作進(jìn)一步較好的規(guī)定與完善。任何網(wǎng)站都有對(duì)其資料“妥善保管”的義務(wù)，尤其是涉及隱私及財(cái)產(chǎn)權(quán)的信息內(nèi)容，應(yīng)該有著“銀行級(jí)”的保密舉措，一旦泄露，必須承擔(dān)第一責(zé)任，包括給個(gè)人受到侵害后作相應(yīng)的民事補(bǔ)償，而不能只是一紙道歉蓋過。

謹(jǐn)望《個(gè)人信息保護(hù)指南》確實(shí)能為國(guó)內(nèi)互聯(lián)網(wǎng)信息安全保駕護(hù)航，為民法、刑法提供更多充分可靠的執(zhí)法依據(jù)，管住更多的“泄密門”，還互聯(lián)網(wǎng)一片藍(lán)天碧地!