胡泳
2011年4月索尼游戏主机网络遭黑客入侵,全球7700万用户资料被窃取,包含姓名、信用卡号等。这一黑客攻击事件导致索尼被迫关闭了该服务,损失达1.7亿美元。
7月底,在以实行网络实名制闻名的韩国,多个知名门户网站遭黑客攻击,约3500万名用户个人信息外泄,此事在韩国引发轩然大波。韩国行政安全部称,出于保护网络用户个人信息安全考虑,政府拟分阶段逐步取消网络实名。
中国政府决心推行网络实名制,其主要范本正是韩国,然而韩国的新动向,有关部门似乎视而未见。2011年12月16日,北京市多个政府部门联合制定了《北京市微博客发展管理若干规定》,要求任何组织或者个人注册微博客账号,应当使用真实身份信息。其后,广州、深圳、上海等地也正式实施微博实名认证制。
正是在这个当口,中国的互联网世界上演了一出史上规模最大的泄密事件。12月21日,国内最大的开发者社区CSDN600万用户账号和密码遭黑客泄露;旋即,天涯有4000万用户密码流出。“泄露门”从论坛社区很快蔓延到人人网、开心网等多个社交、游戏网站,再到京东、当当、淘宝等电子商务网站。传闻还波及支付宝、工商银行、民生银行及交通银行等支付和金融机构。政府网站也未能幸免,广东省出入境政务服务网站的444万条用户信息,在2011年12月30日被证实泄露。
金山网络反病毒工程师李铁军12月30日接受财新《新世纪》记者采访时则表示,根据他们从网上下载的数据库,剔除重复信息之后,有超过1亿条用户信息在此次事件中泄露。泄密已演化成席卷整个中国互联网的大事件。
此次“泄露门”暴露出中国互联网在网络安全上的多个“命门”:
首先,即使国内一些看似很大的网站,在安全防御上也漏洞百出,很难应付黑客攻击。例如,匪夷所思的是,大型网站居然采用明文存储密码,甚至像CSDN这样以程序员和开发者为核心的大型社区也犯这种低级错误,如此这般违背常识,如何指望能够保护用户安全?
其次,从用户方面来看,非常多的网民习惯为邮箱、微博、游戏、网上支付等账号设置相同密码,一旦密码被泄露,很有可能导致网上支付等重要账号一并失窃,从而遭到更大程度的泄密及财产损失。即使规模如此之大的泄密之后,用户的安全意识也未见有多大提高。CSDN董事长蒋涛说,在密码泄露事件后,经多次提醒,仅有30%用户修改了密码。
但最关键的是,用户信息大量泄露后,个人权益无法得到保障,也没有明确的用户赔偿机制。在索尼用户个人资料泄密事件中,索尼承诺为所有泄密的美国用户提供一项价值100万美元的身份盗用保险,用于防止被窃取用户信用卡和个人信息被滥用而造成损失。而中国用户提交个人信息既难以得到有效的保护,发生泄密后,也无法使用法律追究泄密责任。在缺乏强有力外在约束的情况下,那些互联网企业没有谁愿意花大量资金投入网络安全,从而给黑客留下了可乘之机。出事了,大家只有面面相觑,问:“下一个被黑的是谁?”
随着微博实名制规定的出台及实名制向其他网站扩大化的可能,用户私人信息大量泄漏的风险更加巨大,一旦出现这种情况,将不仅成为一场网络个人隐私灾难。而且,伴随电子商务在互联网经济中日渐突出的重要性,这样的个人隐私灾难也意味着一场经济上的重创。
大规模泄密事件,也暴露了互联网江湖中最为隐秘的黑色产业链——数据交易。有网络安全人士估算,目前互联网地下数据交易产业规模已达到上千亿元。个人隐私保护从来就非单纯的技术问题,而是事关利益的博弈。《个人信息保护法》迟迟不能出台,本身就与信息滥用业已形成巨大产业链,有关各方难以“忍痛割爱”相关。
在今天的中国社会,个人信息成了利益筹码被随意倒卖,滥用个人信息达到触目惊心的程度,滥用者包括形形色色的机构:银行、保险公司、汽车销售商、医院、学校和各种各样服务代理商都卷入其中。中国社会科学院发布的2009年《法治蓝皮书》指出,随着信息处理和存储技术的不断发展,我国个人信息滥用问题日趋严重,社会对个人信息保护立法的需求越来越迫切。但据调查,仅有4%左右的人对个人信息被滥用进行过投诉或提起过诉讼。究其根源,在于目前个人信息保护尚缺乏专门性规定。社科院认为,通过设定刑事责任来加大对滥用个人信息的打击力度固然重要,但如果不能确立个人信息保护的基本制度来对个人信息处理行为进行有效的管制,则很难从根本上遏制滥用个人信息的问题。为此,必须抓紧对隐私、个人数据保护进行专门立法。