“國家標準”能免個人信息“裸奔”嗎

張海林 葉雨岑

一款“QQ聊天記錄查看器”以50余元的價格在網(wǎng)上售賣，近日經(jīng)媒體披露之后，輿論頓感“像是在網(wǎng)絡(luò)里裸奔”。

我國首個個人信息保護國家標準——《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》于2013年2月1日起實施。該標準由全國信息安全標準化技術(shù)委員會提出并歸口組織，中國軟件評測中心牽頭，聯(lián)合多家單位制定。

此前，2012年12月28日，全國人大常委會通過《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》（下文簡稱《決定》）。該《決定》被認為從立法層面跨出了補齊網(wǎng)絡(luò)信息保護立法“短板”的第一步。

個人信息“裸奔”之患

2011年末，一場被媒體稱為“中國互聯(lián)網(wǎng)史上規(guī)模最大的泄密事件”突如其來。

自當年12月21日開始，中國最大開發(fā)者技術(shù)社區(qū)CSDN的600萬用戶數(shù)據(jù)被泄露，其中包含極為敏感的用戶名、明文密碼；次日，垂直游戲網(wǎng)站多玩網(wǎng)被傳泄露800萬用戶數(shù)據(jù)；25日，號稱“最有影響力華人論壇”天涯社區(qū)4000萬用戶數(shù)據(jù)包被瘋傳；51CTO、CNZZ、eNet、UUU9、YY語音、百合網(wǎng)、開心網(wǎng)、人人網(wǎng)、美空網(wǎng)、珍愛網(wǎng)等相繼被卷入用戶數(shù)據(jù)泄露風波；支付寶、當當網(wǎng)以及京東商城等電子商務(wù)網(wǎng)站亦未幸免；29日，網(wǎng)絡(luò)傳言交通銀行7000萬及民生銀行3500萬用戶卡號、姓名及密碼泄露，恐慌感被推至高點，“泄密門”達到高潮。

2012年11月6日，《每日經(jīng)濟新聞》記者接到報料稱，快遞單號的信息正被大面積泄露，甚至衍生出多個專門交易快遞單號信息的網(wǎng)站。

在“淘單114”和“單號吧”網(wǎng)站上，快遞單號信息被明碼標價，售價從0. 4元至2元不等，并附帶“生成底單”等配套服務(wù)。被交易的快遞單號來自包括申通、圓通、中通、韻達在內(nèi)的多個快遞公司，“淘單114”網(wǎng)還寫著“單號來源于各地快遞員”。

事實上，因快遞單號信息泄露而引發(fā)的入室搶劫案例早就屢見報端。據(jù)2013年1月16日由中國互聯(lián)網(wǎng)協(xié)會主辦的2012中國互聯(lián)網(wǎng)產(chǎn)業(yè)年會發(fā)布的《2012中國互聯(lián)網(wǎng)安全報告》顯示，我國有84. 8%的網(wǎng)民遇到過網(wǎng)絡(luò)信息安全事件，包括個人資料泄露、網(wǎng)購支付不安全等。在這些網(wǎng)民中，77. 7%遭受了不同形式的損失，其中，產(chǎn)生經(jīng)濟損失的占7. 7%。

面對如此嚴峻態(tài)勢，對于公民個人信息的保護，《決定》規(guī)定：“任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息?！?/p>

《決定》亦明確了各個組織關(guān)于保護公民個人電子信息的義務(wù)。不論是網(wǎng)絡(luò)服務(wù)提供者或其他企事業(yè)單位，還是國家機關(guān)及其工作人員，都不得泄露、篡改、毀損、出售或者非法向他人提供公民個人電子信息，同時還負有保密和保護的義務(wù)。

除了立法層面的完善，對泄密犯罪增加打擊力度同樣重要。2012年4月26日公安部刑偵局副局長廖進榮接受央視采訪時透露一次打擊侵害公民個人信息犯罪專案集中行動的階段性成果：“到目前為止已經(jīng)抓獲犯罪嫌疑人1778名，其中掌握信息源頭的犯罪嫌疑人有38名，我們還打掉了大肆買賣公民個人信息數(shù)據(jù)平臺161個，還打掉了從事非法調(diào)查活動的犯罪嫌疑人611名?！?/p>

公安部刑偵局政委楊東認為打擊侵害公民個人信息類犯罪，是一場持久戰(zhàn)，“隨著市場經(jīng)濟的發(fā)展，公民個人信息已經(jīng)成為一種資源，有市場的剛性需求?！?/p>

中國實名制制度設(shè)計有其優(yōu)勢

后臺實名制到來，馬甲或?qū)氐淄顺鰰r代，這引起了喜歡“吐槽”的網(wǎng)友的不安。

實名制規(guī)定見于《決定》的第七條規(guī)定之中，即網(wǎng)絡(luò)服務(wù)提供者為用戶辦理網(wǎng)站接入服務(wù)，辦理固定電話、移動電話等入網(wǎng)手續(xù)，或者為用戶提供信息發(fā)布服務(wù)時，應當在與用戶簽訂協(xié)議或者確認提供服務(wù)時，要求用戶提供真實身份信息。

其實，早在2011年12月16日北京市出臺的《北京市微博客發(fā)展管理若干規(guī)定》中，實名制已被建立。該《規(guī)定》要求北京市行政區(qū)域內(nèi)的網(wǎng)站微博用戶，無論是組織還是個人，在注冊微博時都應當使用真實的身份信息。

自2012年3月16日起，微博實名制正式實施。按規(guī)定，新浪、搜狐、網(wǎng)易和騰訊四大門戶網(wǎng)站微博要求新注冊用戶提交身份證號碼、手機號碼等信息才能注冊成功。未通過身份認證的微博用戶將不能發(fā)言、轉(zhuǎn)發(fā)，只能瀏覽。

網(wǎng)友認為后臺實名制一旦實施，意味著隨時可以追查到真實姓名，舉報估計會減少，在網(wǎng)上發(fā)表言論將變得不自由，尤其是批評言論。

對此，全國人大常委會法工委副主任李飛認為，擔心《決定》會影響人民群眾通過網(wǎng)絡(luò)發(fā)表監(jiān)督批評意見、揭露腐敗行為是沒有必要的，“根據(jù)我國憲法，公民對國家機關(guān)和國家工作人員有提出批評和建議的權(quán)利，對失職違法行為，有權(quán)進行申訴、控告和檢舉”。

為了避免舉報者遭到報復，中國社會科學院法學所研究員徐炳認為政府應對通過網(wǎng)絡(luò)服務(wù)提供商查找網(wǎng)民個人信息設(shè)置嚴格的程序，“違反程序要擔責”，徐炳對《瞭望東方周刊》說。

但質(zhì)疑遠不止此，有網(wǎng)友認為“后臺實名制”可能會帶來個人身份信息的泄漏問題，韓國即是先例。

2008年針對ebay韓國子網(wǎng)站的黑客攻擊導致1800多萬用戶個人信息外泄；2011年11月發(fā)生的韓國某電腦游戲公司遭黑客攻擊事件中，大約1300萬名玩家的個人信息泄露；韓國現(xiàn)代資本服務(wù)公司和農(nóng)協(xié)銀行網(wǎng)絡(luò)也曾遭黑客襲擊，導致用戶信息暴露，在線交易系統(tǒng)一度癱瘓；最嚴重的一次事件發(fā)生在2011年7月，韓國門戶網(wǎng)站NATE網(wǎng)和著名社交網(wǎng)“賽我網(wǎng)”遭黑客攻擊，造成3500萬名用戶信息泄露。

2012年12月29日韓國國際廣播電臺報道，韓國將推進在網(wǎng)絡(luò)上限制使用“居民登錄證”（身份證）號碼的方案，以防止個人信息泄露。韓國廣播通信委員會計劃首先修改有關(guān)法律，從2012年起，日均訪問者超過1萬名的網(wǎng)站全面限制收集和使用“居民登錄證”號碼，2013年將其范圍擴大到所有網(wǎng)站。

不過也有聲音認為，我國用戶真實身份信息注冊制度與韓國“網(wǎng)絡(luò)實名制”有著本質(zhì)區(qū)別，我國的“網(wǎng)絡(luò)實名制”在制度設(shè)計上已經(jīng)將保護個人信息安全放在重要的位置。

韓國實名制有內(nèi)在缺陷，比如網(wǎng)站可以保留用戶身份信息，容易造成數(shù)據(jù)泄露；其認證機構(gòu)是社會上的商業(yè)組織，法律政策執(zhí)行不力；其認證機構(gòu)提供認證服務(wù)需要向網(wǎng)站收取一定的費用，影響了網(wǎng)站的積極性等等。我國的制度設(shè)計是，用戶通過在線方式直接向認證機構(gòu)提交身份信息，避免網(wǎng)站留存信息；由國家權(quán)威機構(gòu)作為互聯(lián)網(wǎng)用戶身份認證機構(gòu)，加強對認證機構(gòu)的監(jiān)督管理；后臺實名，前臺根據(jù)網(wǎng)民意愿，可選擇實名，也可用昵稱。

“短板”猶存

中國的網(wǎng)絡(luò)管理相關(guān)法律，始于上世紀90年代。

1994年《中華人民共和國計算機信息系統(tǒng)安全保護條例》出臺，2000年之后，《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《中華人民共和國電信條例》、《全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定》、《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》等一系列針對互聯(lián)網(wǎng)管理和維護的辦法和規(guī)定陸續(xù)頒布。

“2000年以來，全國人大常委會制定了關(guān)于維護互聯(lián)網(wǎng)安全的決定，制定《侵權(quán)責任法》、刑法修正案等法律時對網(wǎng)絡(luò)侵權(quán)行為規(guī)定了民事責任，對出售、非法提供公民個人信息的犯罪等作了嚴厲的刑罰規(guī)定?！比珖舜蟪Ｎ瘯ㄖ乒ぷ魑瘑T會副主任李飛公開說，“但總體看，我國有關(guān)網(wǎng)絡(luò)信息保護的法律規(guī)范還比較薄弱，一些必要的管理措施缺乏上位法依據(jù)。”

國務(wù)院法制辦副主任袁曙宏認為此次《決定》的出臺，為國務(wù)院制定、修訂有關(guān)行政法規(guī)提供了上位法的依據(jù)。但是針對是否有具體修改行政法規(guī)的時間表，袁曙宏并未做詳細回應。

目前《決定》在一些具體實施辦法上比較模糊。

《決定》第5條規(guī)定：“發(fā)現(xiàn)法律、法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌模W(wǎng)絡(luò)服務(wù)提供者應當立即停止傳輸該信息，采取消除等處置措施，保存有關(guān)記錄，并向有關(guān)主管部門報告?！?/p>

《決定》第5條規(guī)定：“發(fā)現(xiàn)法律、法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?，網(wǎng)絡(luò)服務(wù)提供者應當立即停止傳輸該信息，采取消除等處置措施，保存有關(guān)記錄，并向有關(guān)主管部門報告?！陛浾撜J為該款規(guī)定賦予了網(wǎng)絡(luò)服務(wù)提供者“刪帖”權(quán)，但沒有明確“錯誤刪除”后的補救措施和濫用“刪帖”權(quán)時應承擔的責任。這可能導致網(wǎng)絡(luò)服務(wù)提供者隨意“刪帖”，侵犯公民的言論表達權(quán)。

《決定》第10條規(guī)定明確授權(quán)有關(guān)主管部門有權(quán)在事后查處網(wǎng)絡(luò)信息違法犯罪行為，也授權(quán)有關(guān)主管部門有權(quán)在事前、事中防范和制止網(wǎng)絡(luò)信息違法犯罪行為。這意味著有關(guān)主管部門可以全程對公民網(wǎng)上發(fā)布信息進行實時監(jiān)控，因此，坊間對“有關(guān)主管部門”借“技術(shù)措施”和“其他必要措施”侵犯網(wǎng)民的個人基本信息及網(wǎng)絡(luò)信息發(fā)布權(quán)利的擔憂也依然存在。