个人信息不要“裸奔”

 

胡泳

 

2011年以来,在全球范围内发生过多起个人信息泄密事件。4月索尼游戏主机网络平台遭黑客入侵,全球7700万用户的个人资料被窃取,包含姓名、住址、生日、登录名和密码、信用卡号等。这一黑客攻击事件导致索尼被迫关闭了该服务,损失达1.7亿美元。

7月底,在以实行网络实名制而闻名的韩国,多个知名门户网站遭黑客攻击,约3500万名用户的个人信息外泄,包括未经加密的用户名、姓名、电话号码、电邮和加密的密码、身份证号码等,此事在韩国引发轩然大波。韩国行政安全部称,出于保护网络用户个人信息安全考虑,政府拟分阶段逐步取消网络实名。

中国政府决心推行网络实名制,其主要范本正是韩国,然而韩国的新动向,有关部门似乎视而未见。20111216日,北京市多个政府部门联合制定了《北京市微博客发展管理若干规定》,要求北京市行政区域内的网站开展微博客服务,应当建立健全信息内容审核制度,对微博客信息内容的制作、复制、发布、传播进行监管。任何组织或者个人注册微博客账号,制作、复制、发布、传播信息内容的,应当使用真实身份信息,不得以虚假、冒用的居民身份信息、企业注册信息、组织机构代码信息进行注册。其后,广州、深圳、上海等地也正式实施微博实名认证制。

正是在这个当口,中国的互联网世界上演了一出史上规模最大的泄密事件。1221日,国内最大的开发者社区CSDN600万用户的账号和密码遭黑客泄露;旋即,天涯有4000万用户的密码流出。“泄露门”从论坛社区很快蔓延到人人网、开心网、多玩网等多个社交、游戏网站,再到京东商城、当当网、淘宝网等电子商务网站。传闻还波及支付宝、工商银行、民生银行及交通银行等支付和金融机构。政府网站也未能幸免,广东省出入境政务服务网站的444万条用户信息,在20111230日被证实泄露。

金山网络反病毒工程师李铁军1230日接受财新《新世纪》记者采访时则表示,根据他们从网上下载的数据库,剔除重复信息之后,有超过1亿条用户信息在此次事件中泄露。仅仅一个星期,泄密已经从CSDN一家网站的危机演化成为了席卷整个中国互联网的大事件。目前尚未有人估算整体损失。

此次“泄露门”暴露出中国互联网在网络安全上的多个命门:首先,即使国内一些看似很大的网站,在安全防御上也是漏洞百出,很难应付黑客攻击。例如,匪夷所思的是,大型网站居然采用明文存储密码,导致海量用户的账号信息直接被泄露,甚至像CSDN这样的以程序员和开发者为核心的大型社区也犯这种低级错误。其违背常识如此,如何指望它们能够保护用户安全?别的不说,在泄密事件之前,有多少网站会在用户注册时提醒设置8位以上的强密码?有多少网站连注册验证码都没有?有多少网站不设置密码保护问题?

其次,从用户方面来看,非常多的网民习惯为邮箱、微博、游戏、网上支付、购物等账号设置相同的密码,一旦密码被泄露,很有可能导致网上支付等其他重要账号一并失窃,从而遭到更大程度的泄密以及财产损失。即使规模如此之大的泄密之后,用户的安全意识也未见多大提高。CSDN董事长蒋涛说,在密码泄露事件后,经多次提醒,仅有30%用户修改了密码。

但最关键的是,用户信息大量泄露后,个人权益无法得到保障,也没有明确的用户赔偿机制。在索尼用户个人资料泄密事件中,索尼承诺为所有泄密的美国用户提供一项价值100万美元的身份盗用保险,用于防止被窃取用户信用卡和个人信息被滥用而造成损失。而中国用户提交个人信息既难以得到有效的保护,发生泄密后,也无法使用法律追究泄密责任。在缺乏强有力的外在约束的情况下,那些互联网企业没有谁愿意花费大量资金投入网络安全,从而给黑客留下了可乘之机。出事了,大家只有面面相觑,问:“下一个被黑的是谁?”

随着微博实名制规定的出台及实名制向其他网站可能的扩大化,用户私人信息大量泄漏的风险更加巨大,一旦出现这种情况,将不仅成为一场网络个人隐私灾难,而且,伴随电子商务、网络支付、移动支付在互联网经济中日渐突出的重要性,这样的个人隐私灾难也意味着一场经济上的重创。

大规模的泄密事件,也暴露了互联网江湖中最为隐秘的黑色产业链——数据交易。有网络安全人士估算,目前互联网的地下数据交易产业规模已经达到上千亿元。个人隐私保护从来就非单纯的技术问题,而是事关利益的博弈。《个人信息保护法》迟迟不能出台,本身就与信息滥用业已形成巨大产业链、有关各方难以“忍痛割爱”相关。

在今天的中国社会,个人信息成了利益筹码被随意倒卖,滥用个人信息达到触目惊心的程度,滥用者包括形形色色的机构:银行、保险公司、汽车销售商、医院、学校和各种各样的服务代理商都卷入其中。中国社会科学院发布的2009年《法治蓝皮书》指出,随着信息处理和存储技术的不断发展,我国个人信息滥用问题日趋严重,社会对个人信息保护立法的需求越来越迫切。但据调查,仅有4%左右的人对个人信息被滥用进行过投诉或提起过诉讼。究其根源,在于目前个人信息保护尚缺乏专门性规定。社科院认为,通过设定刑事责任来加大对滥用个人信息的打击力度固然重要,但如果不能确立个人信息保护的基本制度来对个人信息处理行为进行有效的管制,则很难从根本上遏制滥用个人信息的问题。循此,必须抓紧对隐私、个人数据保护进行专门立法。

 

本文由自动聚合程序取自网络,内容和观点不代表数字时代立场

定期获得翻墙信息?请电邮订阅数字时代