“国家标准”能免个人信息“裸奔”吗
2013-04-29张海林叶雨岑
张海林 叶雨岑
一款“QQ聊天记录查看器”以50余元的价格在网上售卖,近日经媒体披露之后,舆论顿感“像是在网络里裸奔”。
我国首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》于2013年2月1日起实施。该标准由全国信息安全标准化技术委员会提出并归口组织,中国软件评测中心牵头,联合多家单位制定。
此前,2012年12月28日,全国人大常委会通过《关于加强网络信息保护的决定》(下文简称《决定》)。该《决定》被认为从立法层面跨出了补齐网络信息保护立法“短板”的第一步。
个人信息“裸奔”之患
2011年末,一场被媒体称为“中国互联网史上规模最大的泄密事件”突如其来。
自当年12月21日开始,中国最大开发者技术社区CSDN的600万用户数据被泄露,其中包含极为敏感的用户名、明文密码;次日,垂直游戏网站多玩网被传泄露800万用户数据;25日,号称“最有影响力华人论坛”天涯社区4000万用户数据包被疯传;51CTO、CNZZ、eNet、UUU9、YY语音、百合网、开心网、人人网、美空网、珍爱网等相继被卷入用户数据泄露风波;支付宝、当当网以及京东商城等电子商务网站亦未幸免;29日,网络传言交通银行7000万及民生银行3500万用户卡号、姓名及密码泄露,恐慌感被推至高点,“泄密门”达到高潮。
2012年11月6日,《每日经济新闻》记者接到报料称,快递单号的信息正被大面积泄露,甚至衍生出多个专门交易快递单号信息的网站。
在“淘单114”和“单号吧”网站上,快递单号信息被明码标价,售价从0. 4元至2元不等,并附带“生成底单”等配套服务。被交易的快递单号来自包括申通、圆通、中通、韵达在内的多个快递公司,“淘单114”网还写着“单号来源于各地快递员”。
事实上,因快递单号信息泄露而引发的入室抢劫案例早就屡见报端。据2013年1月16日由中国互联网协会主办的2012中国互联网产业年会发布的《2012中国互联网安全报告》显示,我国有84. 8%的网民遇到过网絡信息安全事件,包括个人资料泄露、网购支付不安全等。在这些网民中,77. 7%遭受了不同形式的损失,其中,产生经济损失的占7. 7%。
面对如此严峻态势,对于公民个人信息的保护,《决定》规定:“任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”
《决定》亦明确了各个组织关于保护公民个人电子信息的义务。不论是网络服务提供者或其他企事业单位,还是国家机关及其工作人员,都不得泄露、篡改、毁损、出售或者非法向他人提供公民个人电子信息,同时还负有保密和保护的义务。
除了立法层面的完善,对泄密犯罪增加打击力度同样重要。2012年4月26日公安部刑侦局副局长廖进荣接受央视采访时透露一次打击侵害公民个人信息犯罪专案集中行动的阶段性成果:“到目前为止已经抓获犯罪嫌疑人1778名,其中掌握信息源头的犯罪嫌疑人有38名,我们还打掉了大肆买卖公民个人信息数据平台161个,还打掉了从事非法调查活动的犯罪嫌疑人611名。”
公安部刑侦局政委杨东认为打击侵害公民个人信息类犯罪,是一场持久战,“随着市场经济的发展,公民个人信息已经成为一种资源,有市场的刚性需求。”
中国实名制制度设计有其优势
后台实名制到来,马甲或将彻底退出时代,这引起了喜欢“吐槽”的网友的不安。
实名制规定见于《决定》的第七条规定之中,即网络服务提供者为用户办理网站接入服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务时,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。
其实,早在2011年12月16日北京市出台的《北京市微博客发展管理若干规定》中,实名制已被建立。该《规定》要求北京市行政区域内的网站微博用户,无论是组织还是个人,在注册微博时都应当使用真实的身份信息。
自2012年3月16日起,微博实名制正式实施。按规定,新浪、搜狐、网易和腾讯四大门户网站微博要求新注册用户提交身份证号码、手机号码等信息才能注册成功。未通过身份认证的微博用户将不能发言、转发,只能浏览。
网友认为后台实名制一旦实施,意味着随时可以追查到真实姓名,举报估计会减少,在网上发表言论将变得不自由,尤其是批评言论。
对此,全国人大常委会法工委副主任李飞认为,担心《决定》会影响人民群众通过网络发表监督批评意见、揭露腐败行为是没有必要的,“根据我国宪法,公民对国家机关和国家工作人员有提出批评和建议的权利,对失职违法行为,有权进行申诉、控告和检举”。
为了避免举报者遭到报复,中国社会科学院法学所研究员徐炳认为政府应对通过网络服务提供商查找网民个人信息设置严格的程序,“违反程序要担责”,徐炳对《瞭望东方周刊》说。
但质疑远不止此,有网友认为“后台实名制”可能会带来个人身份信息的泄漏问题,韩国即是先例。
2008年针对ebay韩国子网站的黑客攻击导致1800多万用户个人信息外泄;2011年11月发生的韩国某电脑游戏公司遭黑客攻击事件中,大约1300万名玩家的个人信息泄露;韩国现代资本服务公司和农协银行网络也曾遭黑客袭击,导致用户信息暴露,在线交易系统一度瘫痪;最严重的一次事件发生在2011年7月,韩国门户网站NATE网和著名社交网“赛我网”遭黑客攻击,造成3500万名用户信息泄露。
2012年12月29日韩国国际广播电台报道,韩国将推进在网络上限制使用“居民登录证”(身份证)号码的方案,以防止个人信息泄露。韩国广播通信委员会计划首先修改有关法律,从2012年起,日均访问者超过1万名的网站全面限制收集和使用“居民登录证”号码,2013年将其范围扩大到所有网站。
不过也有声音认为,我国用户真实身份信息注册制度与韩国“网络实名制”有着本质区别,我国的“网络实名制”在制度设计上已经将保护个人信息安全放在重要的位置。
韩国实名制有内在缺陷,比如网站可以保留用户身份信息,容易造成数据泄露;其认证机构是社会上的商业组织,法律政策执行不力;其认证机构提供认证服务需要向网站收取一定的费用,影响了网站的积极性等等。我国的制度设计是,用户通过在线方式直接向认证机构提交身份信息,避免网站留存信息;由国家权威机构作为互联网用户身份认证机构,加强对认证机构的监督管理;后台实名,前台根据网民意愿,可选择实名,也可用昵称。
“短板”犹存
中国的网络管理相关法律,始于上世纪90年代。
1994年《中华人民共和国计算机信息系统安全保护条例》出台,2000年之后,《互联网信息服务管理办法》、《中华人民共和国电信条例》、《全国人民代表大会常务委员会关于维护互联网安全的决定》、《互联网新闻信息服务管理规定》等一系列针对互联网管理和维护的办法和规定陆续颁布。
“2000年以来,全国人大常委会制定了关于维护互联网安全的决定,制定《侵权责任法》、刑法修正案等法律时对网络侵权行为规定了民事责任,对出售、非法提供公民个人信息的犯罪等作了严厉的刑罚规定。”全国人大常委会法制工作委员会副主任李飞公开说,“但总体看,我国有关网络信息保护的法律规范还比较薄弱,一些必要的管理措施缺乏上位法依据。”
国务院法制办副主任袁曙宏认为此次《决定》的出台,为国务院制定、修订有关行政法规提供了上位法的依据。但是针对是否有具体修改行政法规的时间表,袁曙宏并未做详细回应。
目前《决定》在一些具体实施办法上比较模糊。
《决定》第5条规定:“发现法律、法规禁止发布或者传输的信息的,网络服务提供者应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。”
《決定》第5条规定:“发现法律、法规禁止发布或者传输的信息的,网络服务提供者应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。”舆论认为该款规定赋予了网络服务提供者“删帖”权,但没有明确“错误删除”后的补救措施和滥用“删帖”权时应承担的责任。这可能导致网络服务提供者随意“删帖”,侵犯公民的言论表达权。
《决定》第10条规定明确授权有关主管部门有权在事后查处网络信息违法犯罪行为,也授权有关主管部门有权在事前、事中防范和制止网络信息违法犯罪行为。这意味着有关主管部门可以全程对公民网上发布信息进行实时监控,因此,坊间对“有关主管部门”借“技术措施”和“其他必要措施”侵犯网民的个人基本信息及网络信息发布权利的担忧也依然存在。