近期,CSDN(中国软件开发联盟)、天涯社区等网站发生用户信息泄露事件。针对此事,工信部日前发布通告,强烈谴责窃取和泄露用户信息的行为,同时要求各互联网站要及时发现和修复安全漏洞。
CSDN像倒下的第一张多米诺骨牌,大量知名网站相继“沦陷”,拉开我国互联网史上最大规模的用户信息泄露的序幕,受害网民超过一亿。原以为自己在网上包得很密实,孰料在黑客眼中,却是在“裸奔”。今天是网站信息,明天是银行信息,如何了得?
用户信息频频泄露,对一个网民数量超过4亿、电子商务规模今年有望超过6万亿、网络实名制渐行渐近的国家来说,意味着什么?公众饱受垃圾短信、违法违规信息骚扰只是最低等级的危害,利用他人信息进行金融诈骗、洗黑钱以及盗取他人资金,则直接构成金融犯罪、扰乱金融秩序,而公众心理恐慌的生成,对电子商务、网络实名制、互联网的发展的损害更加深远。对此,管理层应有清醒的认识和警惕,思忖互联网安全的应对之策,防止用户信息泄露出现“破窗效应”,而不能止于“强烈谴责”与敦促网站修补漏洞。
与互联网一日千里的发展速度相比,相关的制度供给显然处于稀缺状态,不足以规范行业秩序。仅用户信息和隐私管理,就存在许多悬而未决的议题:用户向网站提交个人信息,网站有没有保护的义务?一旦泄露又承担多大的责任?网站主动将用户个人信息交给第三方,属于什么性质的行为?黑客肆意盗取用户信息,是否构成刑事犯罪?受到损害的用户能否可以找到及时而有效的司法救济?就时下的现实,这一切都处于界线不明、责任不清、若有若无的混沌状态。
由于责任不明,不但网站不愿意在安全上多投入——据一家券商TMT研究部门的调研数据显示,中国互联网公司的信息安全支出,在整体IT支出中的比例不到1%,而欧美的比例是8%~10%,甚至个别缺乏自律的网站还做起“无本生意”,主动倒卖用户信息,明码标价,形成一条黑色产业链。
是故,在“强烈谴责”之余,更应着手制度建设,针对互联网个人信息保护漏洞,及早制订相关法律法规,依法治理方能长治久安。首先,通过立法明确界定个人信息和隐私的范围,制定个人信息保护的国家标准,确立司法救济的原则与方式;其次,明晰互联网平台商在用户信息中的法律责任,明确收集、处理、使用用户个人信息的原则、程序、范围、方法等,防止滥用、侵权行为发生。最后,要把非法采集、存储、处理以及使用等侵犯公民个人信息安全的行为方式纳入刑法调整的范围。在发达国家,对用户个人信息的保护一向很重视。比如,欧盟国家早在1995年就出台个人信息保护指令。在日本,如果外泄数据仅限于姓名、电话等基本信息,企业应赔每人5000日元至1万日元;如果遭泄露信息涉及个人隐私,赔偿额将大幅跳升。
今番用户信息大泄露,是一个标志性事件,如何处置考验着管理者的智慧。明智的做法是,以此为契机,大抓规范建设,力促网络安全,防止问题愈演愈烈。