刘白

2014年12月25日，乌云漏洞平台曝光称，大量12306用户数据在互联网上被传播售卖，包括用户账号、明文密码、身份证号码、电子邮箱等。对此，12306官网发布公告回应，12306网站数据库所有用户密码都是多次加密的非明文转换码，而泄露信息全部含有用户的明文密码，泄露的用戶信息是其他网站或渠道流出的。

在春运抢票最为紧张的时刻，订票官网的用户数据泄露无疑在紧张之上增添了恐慌。信息交易每天都会发生，此次新闻中所谓的“大量泄露”不过是以往情况的集中展示，不过因为酿成了公共事件而变得尤其有能见度。即便最终能够找到此次信息流出的源头和买卖信息的责任人，仍旧有两个问题解决不了：一是被泄露信息者无法得到个体补偿;二是难以保证下次不发生同类事件。

近几年，与互联网相关的社交、交易、金融虽然跑得飞快，但信息保护却一直气喘吁吁难以跟上，这二者之间的距离，给泛滥的信息交易留下了巨大空间。很大程度上，公民信息安全还建立在行业的自律和企业的自说自话上，而那个能补上信息漏洞的法治补丁，仍然还在专家的呼吁中。

早在2009年，出售公民个人信息罪、非法获取公民个人信息罪就已入刑，然而，对“公民个人信息”的定义、“非法获取”的定义，仍然不明确。其他关于个人信息保护的规定，也只是散见于一些行业法规，既无系统性，也难称操作性。从近些年来越来越严重的信息买卖情况，就可推知这些法律法规的实际约束力。

人们希望系统的个人信息立法，至少能达到两个要点：一是能对公权力使用、公布个人信息的情况严格化;二是对金融、电信、交通、教育、医疗等大众服务类企业的客户安全严密保障和负起责任，并在此基础上引入惩罚性赔偿制度，将泄露信息、买卖信息的成本提升到“惩前毖后”的程度。

只有这样的法治补丁出现，才能规模化减少非法信息获取和信息买卖，提升企业对技术漏洞的紧张感，堵住信息泄露的渠道。