“在互联网上没有人知道你是一条狗,但是一定有人比你还知道你究竟是什么人,这就是我们每个人面对的一个困境。”知名律师、中国互联网协会政策与资源工作委员会学术专家胡钢说,“随着信息技术发展,尤其是大数据、云计算技术对信息的挖掘、处理、加工、存储,我们每个人的信息都处于‘裸奔’的状态。”
“裸奔”状态下,如何保障信息安全?2012年12月28日,全国人大常委会通过了《关于加强网络信息保护的决定》(以下简称《决定》)。《决定》的第一条就是“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。2月1日,《信息安全技术公共及商用服务信息系统个人信息保护指南》国家标准实施。这些旨在保护个人信息安全的标准规定将起到怎样的作用?
不久前,中国计算机学会青年计算机科技论坛举行了一场名为“网络时代,隐私·骚扰·实名,何解”的论坛,试图对这些问题找出答案。
个人信息应如何收集保管
去银行、保险公司、电信服务公司办理业务,买机票、火车票都需要提供身份证,甚至有的还要提供住址、电话等等一系列个人信息,那么这些信息应该如何收集、保管?
《决定》规定,网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围;收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
但是一系列网络信息泄露事件,让人们对于信息安全心存疑虑。最著名的要属CSDN“拖库门”事件。2011年,全球最大的中文IT社区CSDN的用户密码泄露,由于大量网民的邮箱、微博、游戏、网上支付、购物等账号设置了相同的密码,一家网站服务器被黑客攻破,用户的常用邮箱和密码泄露后,可能导致网上支付等其他重要账号一并失窃。这一事件发生后,很多网站的用户信息被“拖库泄露”。
“‘拖库门’事件,证明运营商信息托管的安全很重要,可是2012年爆发的3Q大战,又引发了互联网企业安全的信任危机,就是连安全公司也不被大家信任了。”曾发起过中美黑客大战的万涛无奈地说,据他了解,中国联通曾有3名员工因泄露公民个人信息被判刑。
网名“江海客”的肖新光是反病毒领域的专家,在多项863科研课题中承担重要工作。他分析,“过去的信息托管,实行的是企业托管。比如说我们在电信运营商那里注册的时候出具身份证,办理手机号码,包括中小企业网站的站长都拿个人身份证注册。”
针对目前的情况,他认为国家托管制优于企业托管制。“企业托管本身就是一种离散风险,很难控制。我们把身份信息交给一个人安全还是交给多个人安全?肯定是交给多个人不安全,而且不管我们交给谁,事实上都等于交给国家。”
但肖新光不太赞同实名制:“韩国的网络实名制要求网民注册时提供真实的信息,导致许多国民的身份信息泄露。如果我国实行实名制,运行管理成本将非常高。”
万涛认为信息安全要始终以平衡为方向,现在的互联网巨头,比如百度、360、腾讯等公司,其渗透、控制能力太强,由此可能会导致失衡,所以要在安全领域进行平衡。可是这种平衡是不是需要付出极高的社会成本去实现呢?他举例说,隐私保护做得最好的是欧洲,在制衡设计上比较严格。可是,从网络技术发展上看,这种制衡限制了创新,导致欧洲的创新不如美国。
肖新光表示,“我们追求的是一个动态平衡,在信息安全领域没有终极方式。”
谭晓生是新上任的奇虎360首席隐私官,他认为最近引起大家重视的,侵犯用户隐私权的,不是一些大的互联网公司,而是像银行、房地产这样的公司。所以,到底哪个是老鼠,哪个是苍蝇,要搞清楚。
“目前咱们还处在无法可依的情况下,比如之前几家互联网公司打架,几部委联合调停,背后其实有很多故事,裁决也不一定是公正的。”谭晓生认为,由于无法可依,在执法的过程中,随意性就很强。这也造成了互联网公司之间相互“泼粪”指责,而严重“泼粪”之后也没有处罚。
“裸奔时代”的信息保护法律要“速立频修”
胡钢对有关信息保护的条款做了归纳:“我国现在对个人信息或者隐私保护的条款,散见于各种相关的法律中,没有专门的立法。”
他强调:“有关互联网的法规,特别是法律要坚持‘速立频修’的原则,就是快速建立频繁修订。”
《决定》第六条规定,“网络服务提供者为用户办理网站接入,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签定协议或者确认提供服务时,要求用户提供真实身份信息。”
这句话被公众普遍理解为实名制。胡钢特别提出:“自有了网站的登记制度以来,每份协议都要求用户提供真实的身份信息。所以,我们要警惕有人在未来的行政法规或者部门规章中,把这一条肆意扩大或者歪曲,这是最为重要的,《决定》里并没规定一定要使用身份证。”
胡钢还注意到了一个问题,就是《决定》几处都提到了“有关主管部门”,比如第五条:“网络服务提供者应当加强对其用户发布的信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。”
“立法的前提就是要明确,‘有关主管部门’的提法太模糊,是互联网信息内容主管部门、电信主管部门、公安机关还是其他,应该明确。”胡钢认为,《决定》的内容更多的带有宣示性,操作性有待在相关行政法规、部门规章及行业自律规范中加强。如网络服务提供者的责任界定与流程管理、网络实名制的实施步骤与风险防范、“有关主管部门”的主体明确与职权划分等。包括公民个人信息被滥发、被泄露,应该得到的赔偿都应当明确。
不过,万涛也说:“一部法律,还要从产业保护和发展的角度考虑,会产生什么样的影响。我们现在是只有东风,万事不备。”他认为,目前状况下,还是要约束互联网巨头的行为,因为互联网大公司掌握了大量数据,虽然现在有离散风险,但是随着技术的深入,数据分析和挖掘能力的不断壮大,“互联网公司即使现在不是老虎,未来也是老虎。”