个人信息的泄露已呈决堤之势,个体在社会生活中急速“被透明化”,然而,个人信息安全却缺少专门法律规范。近日,工信部直属的中国软件测评中心透露,他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准,将为企业处理个人信息提供行为准则。不过,该标准只具指导性,没有强制力,通过后会对行业起到多大的规范效力,仍待观察。
个人信息保护出台指南
和许多人一样,上海同济大学退休教授杨关超几乎每天都会接到垃圾电话和短信,在电话中,对方都能准确地叫出他的名字。“卖房子的、卖商铺的、理财的、卖保险的……无所不有,甚至还有人向我推销殡葬一条龙服务。很多时候,他们能报出我的身份证号码,有个家伙理直气壮地告诉我,他们是从某知名通信运营商那里搞来的。真是不胜其扰!”
“这很荒唐,政府难道不应该有所作为吗?”杨关超去派出所报过案,称自己的个人信息已被泄露。派出所警官告知:“这种事我们也管不了。”
本应深藏在“安全盒”中的个人信息,正以决堤之势不断被泄露。去年年底揭出的中国互联网最大规模泄密事件,触目惊心地凸显个人信息保护的脆弱现状。中国黑客教父goodwell接受媒体采访时称,仅“黑客”公布的用户账号及密码信息就有约1亿个,“地下黑客”可能还掌握了更多的互联网用户账号信息。
愈演愈烈的个人信息泄露,催生出一部行业标准。近日,工信部直属的中国软件测评中心透露,他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已通过评审,正报批国家标准。
《个人信息保护指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节,其中还提出了个人信息保护的原则。
“最少使用”的原则就是获取一个人的信息量时,只要能满足使用目的就行。比如,一些网站只是办一件小事,却让用户填包括家庭住址、手机号在内等很多信息,这就不符合“最少使用”原则。
“安全保障”则是要个人信息管理者一旦收集了个人信息,就必须建立一套个人信息保护制度,明确责任人和内部管理流程,以及应对个人信息泄露的风险。中国软件测评中心副主任高炽扬估计,个人信息泄露中70%-80%属内部作案,这是“安全保障”原则没能落实好所致。
依照《个人信息保护指南》,在收集个人信息阶段告知的“使用目的”达到后应立即删除个人信息。不过,目前普遍的现状是,一旦信息被采集,即被采集者保存至数据库,极少有“用后即删”的。
令人遗憾的是,此次个人信息安全国家标准通过后,仅是技术指导文件,并非强制性标准,甚至也不是推荐性标准。
信息倒卖产生黑色利益链
“对个人信息的保护,与其说不重视,不如说漠视,极端漠视。”中国消费者协会信息专家谢伟民告诉时代周报。他认为,个人在社会生活中正在不断地“被透明化”,公民自愿和不自愿地需要留存个人信息的场域越来越多,而信息的采集者又极端地不负责任,任其泄露,甚至主动买卖。“据我所知,一些很知名的大公司都参与到信息买卖的交易中。”
事实上,利用个人信息从事非法获利的黑色链条已经形成。“黑客”攻击获取某公司采集的用户信息数据库,倒卖至市场获利,与公司内部员工乃至公司本身倒卖数据库并行不悖,成为信息泄露的两条主要路径。
“黑客”的攻击,是一些网站数据库失陷的原因。“‘黑客’也分好多层次,最成功的是‘拖库’的,拿到网站的所有权限,把所有的内容都可以下载走。”金山反病毒工程师李铁军告诉时代周报。
一些网站的疏于防范,给“黑客”造成了不少可趁之机。李铁军说:“一些互联网企业收集的用户信息在后台是用明文的方式存在,也有的只是做一些简单的加密,这对‘黑客’来讲几乎没用。‘黑客’一旦入侵,这些信息就一览无余。此外,一些小企业对数据库的管理不善,也易造成泄露。在管理较恰当的企业,应该是具有相应权限的员工才能访问数据库,且每次访问都会有日志留下记录,并有比较专业的审核系统。”
李铁军告诉时代周报,每天,仅微博账户被盗者就有几万人,几乎每分钟都有人发现账户被盗。被盗的账户在评论和私信中都夹带广告。“‘黑客’比较多地利用‘撞库’的方法盗号,因为完全拿到某网站微博的用户账号数据库是比较难的,但去年年底泄露了那么多用户数据,而大约有20%的用户对不同的互联网服务使用同一账号和密码,拿这些账号、密码去套用,不少就成功了。”
拿到数据后,下一步就是交易。“‘黑客’们会在黑市里、小圈子里交易,往往是私密访问的论坛、QQ群等,外面的人基本上看不到交易的细节,只能看到交易结果。有些‘黑客’还会对账号进行筛选,有些账号里有虚拟货币等,就尝试去盗取,完全没价值的账号,就用来发广告。这些账号的购买者也主要是想做广告的企业。”李铁军透露。
一个不容乐观的数据是,360网站安全检测平台的分析显示,国内83%以上的网站存在各种安全漏洞,大部分网站基础防护能力薄弱。而据一家券商TMT研究部门的调研数据,目前中国互联网公司的信息安全支出,在整体IT支出中的比例不到1%,欧美的比例是8%?10%。
一方面是吝于投入、难挡“外贼”,另一方面,更有企业滋生“内鬼”、开门缉盗,甚至整个企业自为盗贼。
“不少网站收集完用户信息后,干脆就倒闭了,带着信息消失了。通过欺诈的形式来收集个人信息也非常普遍。”李铁军说,去年有人谎称在淘宝上做一个“一元秒杀”的活动,几百元的商品只卖一元,在两三天之内就收集到了几万名用户的信息,然后立马“人间蒸发”。
一些所谓的信息咨询公司,干脆直接买卖个人信息。时代周报记者致电浙江省某家信息咨询公司,对方很干脆地承认有信息可卖,并且问记者要买哪个行业、哪种类型的信息。记者略一迟疑,对方即挂断了电话。
“道高一尺,魔高一丈。怎么加强个人信息保护,确是个难题。”北京邮电大学信息产业政策与发展研究所教授阚凯力告诉时代周报。
最重要还是要立法
此次出台的《个人信息保护指南》,在不少业内人士看来,对保护个人信息安全作用有限,最重要的还是得立法。
“工信部制定这个指南,其实是为了敷衍前段时间大规模泄密引起的强烈不满,只是虚应故事,很难说有实质的作用和意义。比如说,谁来保证信息用后即删?去行政机关办事,白纸黑字登记,用后会销毁纸张吗?信息保护没有那么简单。”北京律师董正伟告诉时代周报。
上海律师杜跃平则认为,目前信息保护问题虽已到“深水区”,但还在“摸石头过河”,工信部出一个指南,毕竟“聊胜于无”,在实践中积累些经验。但关键还是要出专门法,可先出个专门条例,以后再上升到法律。
“主要还是得立法。”中国信息经济学会副理事长杨培芳也对时代周报表示,“现在有些部门规章,但层级不够,要有专门法律,进行细化归纳。原有的东西可以延用,但还要增加一些新条款,能覆盖种种新现象。”
据工信部电子科技情报研究所副所长刘九如统计,目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,但内容较为分散、法律法规层级偏低。
2009年,刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”等罪名,被认为是个人信息保护立法的标志性事件。修正案首次将公民个人信息纳入刑法保护范畴,规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。但这一犯罪主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。
较为人所知的还有《侵权责任法》。该法主要起草者之一、中国人民大学法学院教授杨立新告诉时代周报:“《侵权责任法》第二条,侵害民事权益,应当依照本法承担侵权责任。其中民事权益包括隐私权,个人信息即包含在隐私权里面,但没有明说。而一旦泄露了个人信息,可适用第六条,行为人因过错侵害他人民事权益,应当承担侵权责任。”
遗憾的是,在个人信息安全方面,目前并无一部专门法规。据了解,《个人信息安全法》自2003年起已部署起草,但这项立法建议一直未能进入正式的立法程序。
董正伟认为,该法搁浅的主要原因,在于这几年行政权力扩张过快,社会管理出现行政化加强、法制淡化的趋势。“如果要保护个人信息,对不断推进的实名制会形成约束。两者出现对抗,法就立不下去了。”
在董正伟看来,今年1月1日起开始实行的修改后的《居民身份证法》,对查阅居民身份证进行了严格的规定和限制,显然有助于加强对个人信息的保护。不过,目前正在向公众征求意见的著作权法修改草案,允许版权所有人采取技术保护措施。“这简直就是承认微软黑屏合法化,等于让计算机软件程序所有人可不择手段地私自非法入侵用户计算机系统,对个人信息保护的危害性很大,也让刑法中‘非法侵入计算机信息系统’的条款难以执行。”
“我建议起草一部公民权益保护法,其中单列个人信息保护章节。首先要定义什么叫个人信息,哪些信息不能随便采集,要划禁区。要规定什么情况下才允许使用公民信息。身份证信息要严格控制使用,这是个基本原则。不能落实公民身份信息保护措施的机构,没有任何理由要求公民出示身份证。此外,还要考虑是否要专门成立个人信息保护的监管机构,要有人负责,不负责的话,保护就是一句空话。泄露信息应承担什么民事或刑事、行政责任,立法也一定要写进去。而公民信息被泄露,也有权要求精神损失费,对精神损失费可设下限规定,不低于多少钱。”董正伟建议。
杨立新也认为,“最起码应有个条例。什么是个人信息,个人信息谁有权采集,谁有权使用,使用范围是什么,违反这些规定应怎样承担责任,这些都是立法中最主要的问题。”
而在法律未出台之前,如何尽量想法保护个人信息?杜跃平建议,对互联网企业,管理部门应加强监管,企业不得指令用户提供详细信息,“未必要实名制,也未必要填准确真实信息,应该也同样可以使用网站服务。”