《个人信息保护指南》能管住“泄密门”？

许丽萍

其实，比我们更了解自己的不是本人，而是黑客。黑客似乎有一双“X光”眼睛，让我们的个人信息经常处于“裸奔”状态，对他们来说，我们已毫无私密可言。

量用户被集体“裸晒”，谁之责?

经常接到莫名其妙的推销电话，邮箱塞满垃圾信息，QQ号接连失陷，网银密码突然被盗……在这我们生活工作中，已是屡见不鲜。

然而令人深忧的是，个人信息泄露已不是小部分人之事，而是数百上千万海量人群被集体“裸晒”。

近期，继CSDN、天涯社区、多玩游戏网等知名网站各有几百万用户数据惨遭拖库、泄露后，原以为坚不可催的电商领域内的当当、京东商城、淘宝网据称也接连卷入“泄密门”，许多用户信息已被外泄。360安全中心则发布红色安全警报称，目前已有超过5000万用户账号和密码在网上公开扩散。

5000万网民个人信息的泄露，无疑再次对中国互联网的信息安全漏洞敲响了警钟!不论是网站运营管理的漏洞，还是黑客“魔高一丈”的技术，在互联网面前，如今人们越发觉得自己几乎没有了隐私，一种普遍的不安全感弥漫于整个社会。

可以说，随着互联网和移动互联网的发展，个人隐私保护已经成为人们上网时最大的隐忧。而到底是谁出卖了我们的个人信息隐私?隐私泄露，谁之责?用什么来保护我们的个人隐私?

《个人信息保护指南》能管住“泄密门”?

2011年国内网民数达到5亿多，但与互联网快速发展、如此庞大网民数量形成鲜明对比的是网络信息安全问题日益尖锐，庞大的黑客如雨后春笋一般成长起来，互联网上制毒、贩毒、攻击网站、牟取暴利的黑色产业链日益壮大，不义之财滚滚而来。

如今数量蔚为壮观的黑客们均可以利用网络轻松地远程控制被感染的电脑，随意上传下载、窃取、删除、修改用户的文件，盗取用户的网络游戏账号、银行卡密码、个人隐私等私密信息，进而给无数网民造成重大损失。国家计算机网络应急中心估计，目前网络病毒黑色产业链的年产值已超过4.5亿元，每年给网民造成的各种损失可能高达近百亿元。

可以说，时下网络犯罪日益猖獗，黑色产业链经济日渐“繁荣”，已严重威胁国家网络安全，侵害网民个人信息和财产的安全。因此，全面完善对网络安全的立法、加强个人信息保护、保障网络信息安全、斩断黑色病毒产业链显得尤为迫切、重要。

所幸的是，时下，最大程度建立并完善网络个人信息的保护制度、加强对网络安全的立法的建设，已经逐渐成为了网民与管理者共同的呼声，制标立法的进程也日益加快。

4月初，工业和信息化部相关部门负责人接受新华社记者专访时称，《信息安全技术公共及商用服务信息系统个人信息保护指南》目前正在国家标准委进行最后的技术审批，预计今年下半年正式出台。这无疑让那些对个人隐私保护一直深忧的国人重新看到希望。

众所周知，至今我国网络安全的立法存在明显的滞后，尚没有一部完善具体、行之有效的法律来制约、惩罚网络病毒的制造、传播。我国从2003年就开始进行《个人信息保护法》的研究、制定工作，但这个课题在业界一直难以达成共识，对于那些是需要保护的个人信息，学界看法不一。这导致我国只有在很多专门法里笼统地说明不能泄露个人信息、侵犯个人隐私，但究竟如何保护，却没有具体、详细的内容分类和技术措施，比如对于哪些是木马、黑客程序、流氓软件等并没有明确的界定，导致这些提法形同虚设。

从现实的法条来说，我们对网络信息安全的法律保护基本停留在国家安全与系统安全的大层级上，比如《全国人大关于维护互联网安全的决定》等多部法规基本未及厘清个人隐私及数据库的安全权益。2009年，刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名，首次将公民个人信息纳入刑法保护范畴，规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。但是，这一犯罪主体过于狭窄，主指“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，但大量商业公司如互联网公司、房地产公司、物业公司、汽车厂商、宾馆等却未涉及。

与之同时，对网络制作、传播病毒的后果和损失的证据等难保全、易灭失，而损失情况也难于取证、评估，使得网络病毒犯罪缺少具体定罪量刑标准。

以上这些不足与漏洞，都让网络违法犯罪者肆为忌惮，对窃取个人信息为所欲为。尤其是去年年底至今，接连爆发互联网大规模的泄密事件，将如何更好地保护个人信息推向了风口浪尖，《个人信息保护指南》也就呼之而出。“有规矩方成方圆”，因此，对付这股“网络黑势力”首先必须尽早制定相关立法，完善相关立法，加大对网络安全领域犯罪的打击。

但不管是《刑法》还是《侵权责任法》都属于事后救济，而在网络时代，急需对网络安全和个人信息安全问题的前瞻，然后进行全程的监管才更为有效用。据悉，此次《个人信息保护指南》适应国际立法新的趋势，即“以预防为主”，立足于事前防范，明确个人信息管理者的一整套法定责任，改变以往的民法“民不举官不究”的做法。

据介绍，《个人信息保护指南》指出了个人信息处理四个主要环节，主要包括收集、加工、转移和删除四个主要环节，并提出了个人信息保护的原则，这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。

“最少使用”的原则就是获取一个人的信息量时，只要能满足使用的目的就行，不一定非要让用户填上身份证号码、家庭地址、手机号码等。韩国一些知名网站也曾发生过大规模泄露网民信息事件，此事使得该国行政安全部对网络安全进行了反思。此后，出于保护网络用户信息考虑，韩国政府决定逐步改变，要求个人或企业使用用户身份证信息需要事先获得批准，不能滥用。而“安全保障”则是要个人信息管理者一旦收集了个人信息，就必须建立一套个人信息保护制度，明确责任人和内部管理流程，以及应对个人信息泄露的风险。

不无遗憾的是，这个指南标准不是强制性标准，甚至也不是推荐性标准，标准通过会对互联网行业起到多大的规范与约束效力，尚待观察。《个人信息保护指南》内容还未公布，但不管如何，内容应制定某些急需的单行法，如对类似木马、黑客程序、流氓软件等计算机恶意程序进行有效的法律界定，并要增加完善涉及信息网络的定罪、量刑标准内容，应考虑针对计算机网络犯罪活动特点，增加法人(单位)犯罪、罚金刑、资格刑等具体细节、可量化内容，为执法者提供充分的理论和实践依据，从而用法规法律威慑病毒制造者和非法牟利者。

专家认为，不管是目前的法律，还是即将出台的《个人信息保护指南》，对信息管理者、泄露者的惩罚力度不够，约束处罚机制也不强。在国内民法领域，对于个人数据信息的管理者及相关作恶者的治理机制仍然是一大片空白，要追究网站的责任步履为艰。在国外，像被木马、黑客程序、流氓软件这样大规模窃取、泄露用户信息，信息管理者至少要处于很重的经济处罚，而对信息泄露者、窃取者更是毫不犹豫绳之以法。在美国，若facebook(脸谱)、twiiter(推特)发生此类事件，政府部门和法律团队会在第一时间介入、处罚，进而造成公司股价波动，老板甚至可能引咎辞职、进牢房。但在国内，至今还没有对网站较好的制约惩罚机制。为此，国内广大网民呼吁要专门就个人信息保护立法，通过建立个人信息的合理使用制度、严厉的惩罚机制、设置监督机构等方式为个人信息上一道“保险栓”，全面改善、提高网站的“防火防盗”的功能。这也是人们对未来出台《个人信息保护指南》的地位和作用的企盼。

另外，现行法律规定，个人信息受到侵害后，责任主体只承担行政责任和刑事责任，但对于如何补偿受害者并未做出相应规定，因此，当前理应建立一套完善的民事补偿机制，更好地保护个人信息。这方面，《个人信息保护指南》应作进一步较好的规定与完善。任何网站都有对其资料“妥善保管”的义务，尤其是涉及隐私及财产权的信息内容，应该有着“银行级”的保密举措，一旦泄露，必须承担第一责任，包括给个人受到侵害后作相应的民事补偿，而不能只是一纸道歉盖过。

谨望《个人信息保护指南》确实能为国内互联网信息安全保驾护航，为民法、刑法提供更多充分可靠的执法依据，管住更多的“泄密门”，还互联网一片蓝天碧地!