蔡雄山：“泄露门”敲响警钟 呼唤个人信息安全立法完善

　　■本报记者　陈丽容

　　2011年12月是中国互联网“黑色”的一个月，先是国内最大的程序员社区CSDN网站600万多用户的登录名及密码被公开泄露，随后多家网站的用户密码被黑客披露在网上，其中包括天涯社区4000万用户的登录名和密码。那么，如此大规模的信息泄露事件是必然还是偶然？原因何在？我国个人信息保护方面亟需加强哪些举措？就此，本报记者采访了工信部电信研究院法律专家蔡雄山。

　　大规模个人信息泄露有深层次原因

　　2011年12月21日，CSDN网站用户数据库信息被公开置于网络之中，包括600余万个明文注册邮箱账号和密码。一天后，人人网、天涯、开心网、多玩、世纪佳缘、珍爱网等网站的用户数据资料相继“沦陷”，资料信息被放到网上公开下载。一场互联网恐慌如蝴蝶效应般迅速波及开来，被称为中国互联网史上最大的一次信息泄露事件。

　　 　近年来，随着互联网的发展，各种论坛、博客、视频分享网站等大量涌现，智能手机、搜索引擎、物联网、云计算等技术不断发展，我国个人信息保护问题日益凸显。蔡雄山认为，发生类似信息泄露事件并非偶然，主要有如下几类原因：

　　首先，长期以来我国对于个人信息保护观念意识淡薄。个人对于个人信息泄露危险性认识不足，保护意识不强，一些企业或个人收集个人信息，甚至倒卖个人信息从中牟利；其次，在个人信息保护立法与机制建设方面还有待完善；最后，一些企业缺乏行业自律，部分企业技术管理措施不到位。

　　个人信息保护缺失系统立法成问题关键

　　据蔡雄山介绍，从当前立法来看，我国《宪法》、《刑法》（包括第七修正案）、《刑事诉讼法》、《邮政法》、全国人大常委会《关于维护互联网安全的决定》、《治安管理处罚法》、《邮政法实施细则》、《电信条例》、《互联网信息服务管理办法》、《互联网上网服务营业场所管理条例》、《计算机信息网络国际联网安全保护管理办法》、《计算机信息网络国际联网管理暂行规定实施办法》、《互联网电子邮件服务管理办法》等法律法规都有涉及个人信息法律保护的内容。同时，在重要行业的信息保护方面，金融、医疗等重要行业也有部分个人数据保护的相关法律规定。

　　但是，整体上我国并没有完整的统一的个人数据保护法，个人数据保护规则有待完善。“个人信息保护涉及到各行各业，不仅仅是互联网行业的问题，金融、医疗、教育、政府机构、公共机构等都涉及到个人信息保护的问题，但目前我国没有统一的个人信息保护法，相关立法通常层级较低，存在个人信息内涵不清晰、个人信息收集处理程序不完备、 执法手段、处罚措施不足等问题。”蔡雄山说，当前推动一个涉及各行各业的统一的个人信息保护立法存在一定困难，但各行业一直在不断完善相关个人信息保护立法。

　　　

　　保障个人信息安全应明确监管机构与职责

　　那么，对于我国个人信息保护问题究竟应从哪些方面落实？蔡雄山认为，可结合国外一些案例进行参考。例如，欧盟是世界上对个人数据保护最为严格的地区，在互联网蓬勃发展的今天，网络技术给个人数据保护带来了极大挑战，欧盟并没有放松对个人数据的保护，而是加强监管、积极研究相应对策。

　　以欧盟成员国法国为例，首先，法国有专门的个人数据保护立法。法国于1978年通过了《数据处理、档案与自由法案》，其中第一条明确规定立法原则：信息应该为每一个公民服务。其次，独立专业的监管机构。国家信息与自由委员会（CNIL）为法国个人数据保护机构，其为独立的行政机构，由1978年个人信息保护法案成立。该机构不接受任何其他机构指示，直接向议会负责，其主要职责在于保护个人隐私与自由，包括：

　　第一，审查管理个人数据：个人信息的收集与处理通常需要向其申报或获得许可。对于敏感数据及档案由该委员会审查，不遵守相关规定可能面临行政或刑事制裁。该委员会为控制信息应用，可以进入所有工作场合；要求所需文件及复印；进入信息项目或数据库。其监控信息系统安全，保证已采取相关措施阻止数据库被改变或泄漏给其他人。

　　第二，制裁权：该委员会具有一系列强制措施。从2004年8月修改该法案后，委员会对于违反相关法律者可以罚款最高至30万欧元或5年监禁。

　　第三，教育与建议职责 ：该委员会负有宣传信息与自由法案职责，参与相关研讨会及论坛。其同样接受民众个人信息与隐私被侵犯等相关投诉，向政府提出个人信息保护相关立法建议，接受政府在个人信息保护立法方面的咨询。该委员会还向数据库负责人提出履行个人信息保护义务的相关建议。

　　对于信息安全方面的事件，网络服务提供商有义务向CNIL报告并接受其相关检查。在数据安全方面，数据处理负责人必须采取与数据性质相适应的物理安全措施与信息系统安全措施。违反该规定可能被处于最高30万欧元的罚款及5年的监禁。

　　同时， 法国信息保护立法明确规定了数据处理者的权利与义务。在法国，开展个人数据处理业务的机构统称数据处理者，他们必须履行下列义务：向CNIL申报有关的个人数据处理，部分数据处理需要得到许可；维护公民的信息自由权；保证个人数据的安全性和保密性，不得曲解个人数据或者向无关的第三人泄露数据；接受委员会的现场检查等。

　　近年来，随着物联网、云计算等新兴产业的发展，给个人信息保护带来了更大的挑战，欧盟、美国等都在积极探讨进一步完善个人信息保护立法以适应这些信息技术的发展，我们目前也在发展类似产业，同样面临类似问题。因此，蔡雄山认为，我国可以从以下三个方面切入：

　　首先，切实提高个人信息保护的观念与意识。个人信息保护涉及到多方主体，无论是政府、公共机构、企业及个人都要切实提高个人信息保护的意识，采取相应技术等措施加强个人信息保护。

　　其次，完善个人信息保护立法，明确监管机构与职责。我国目前需要借鉴其它发达国家的经验，完善个人信息保护立法，必要时建立个人信息收集处理的申报制度。同时，应明确监管机构及职责，明确个人信息处理者的权利与义务，加大对于违规者的处罚力度。

　　最后，加强行业自律。互联网个人信息保护与传统信息保护不同，由于其自身特点，导致个人信息或隐私容易被侵犯、侵犯频率高、方式多样、影响范围广等特点。因此，针对其特点，应该建立适合互联网环境的个人信息保护机制，如通知-删除、在线投诉、个人信息收集在线申报等机制，便于投诉及处理等。在立法的基础上结合行业自律等措施，推行行业个人信息保护宣言，建议、指南等。对于监管机构来说，应该服务与管理并重，一方面加强个人信息保护的监管，另一方面应做好投诉机制等服务工作，便于用户投诉及纠纷解决。