3月19日,当当网发布公告,要求用户在3月19日至3月22日修改账户密码。在此期间账户中的礼品卡和余额将被冻结。据称,事件源于近日极个别账户被盗,造成少数消费者的账户余额被盗用。当当网还对外透露,信息的根源在CSDN。
2011年12月21日,国内最大程序员社区CSDN上的600万用户账号和密码被公开。随后,密码泄露事件开始大范围发酵,天涯社区、世纪佳缘、当当网等国内知名网站也被曝出存在“类似泄密问题”,上千万用户账号和密码在网上被公开扩散,该事件被媒体称为“中国互联网史上最大规模的用户信息泄露事件”。
今年“3·15”消费者权益日,中国电子信息产业发展研究院、中国软件评测中心举办“2012中国个人信息保护大会”,会上发布的《公众个人信息保护意识调研报告》显示,超过60%的被访者遇到过个人信息被盗用的情况。
刚刚结束的全国两会上,多位代表、委员提出议案、提案,建议尽快出台个人信息保护法。
网站运营机构泄露用户隐私成为主要渠道
网络安全公司360总裁齐向东总结了目前导致个人信息泄露的三种主要渠道:“第一种是用户的电脑或手机被木马软件劫持,也就是说远在天边的木马直接控制用户的硬盘;第二种是网站的服务商对个人信息没有尽到妥善保管的义务,在使用过程当中把个人隐私泄露出去;第三种是个人信息在互联网传输的过程中,经过一些传输路由时被他人控制。”
与技术因素相比,中国软件测评中心信息安全研究部副总经理刘陶认为,网站运营机构泄露用户隐私已经成为当下侵犯个人信息安全更为重要的原因。
很多网民在不知不觉中已经将个人信息存储在网站运营商的服务器中。例如,利用即时通讯工具聊天,聊天过程中涉及大量包括电话、邮箱以及更为私密的内容在内的信息,都作为聊天记录存储在服务器上;在电子商城购物,包括个人银行卡、支付密码、家庭住址等信息也都存储在网站运营商的服务器上。而公众所熟悉的杀毒软件重点在保护用户端的电脑安全,对于存储在运营商服务器上的数据安全鞭长莫及。
“虽然已经有不少网友对个人信息安全问题存在顾虑,但有时为了获取免费服务、免费产品,或者为了认识更多的朋友,仍然会在网上填写个人的真实信息,”中国电子学会电子商务专家委员会副主任、北京科技大学管理学院梅绍祖教授早在1998年就提出关于“隐私权在电子商务的实施中可能引发的问题”,将网友的上述行为称为“无奈的选择”。
首个个人信息安全标准将出台
在梅绍祖看来,个人信息,包括个人敏感信息和个人一般信息。对于身份证号码、手机号码、银行账号等敏感信息要严格保护;而对于一般信息,在遵循基本规范的前提下可以适度开发,以促进网络新经济的发展。
但是由于缺乏相关标准规范,目前企业对于个人信息在收集、加工、利用等环节都存在问题。
“个人信息过度收集的情况非常普遍。比如电子购物,实际上只需要姓名、地址、联系电话,但是很多网站却要求提供教育背景、年龄、收入情况等其他信息。此外,还存在对个人信息的隐性收集问题。隐性收集就是没有告诉你,但却利用技术手段,收集你的个人信息,以及网页浏览时间、次数,关注和点击等网络使用行为,并对这些数据进行后台挖掘,分析出个人兴趣和偏好。”梅绍祖分析说。
业内技术专家表示,随着数据挖掘技术的不断发展,散落在网络各处的个人信息一旦得以整合,经过数据关联分析的话,可能会造成极为严重的后果。
“个人信息的保护与共享是一对矛盾,但关键在于度的把握,底线的坚守以及规范的建立非常必要。”梅绍祖说。
据中国软件测评中心常务副主任黄子河介绍,2011年初,在信息安全标准委员会的指导下,由该中心牵头制定了我国第一项“个人信息保护”专项国家标准——《信息安全技术、公共及商用服务信息系统个人信息保护指南》,目前已进入国标报批流程。国家标准的制定发布,将填补目前我国缺少具有广泛指导性和适用性规章制度的空白。
标准除了明确相关概念的界定外,提出个人信息在收集、加工、转移、删除4个主要环节中所要遵循的基本原则、注意事项等。比如,“目的明确原则”,要求“处理个人信息具有特定、明确、合理的目的,不扩大使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的”;“最少够用原则”,要求只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。
保护个人信息安全是系统工程
在中国社会科学院法学研究所副研究员吕艳滨看来,由于个人信息保护涉及的行业部门过多,且不同行业之间差异较大,目前制定的国家标准还只是一个适用于各个行业的共同标准,还需要按照不同行业的自身特点进行细化。同时,他认为该标准并不具备强制性,依赖相关行业协会和企业自愿参加,仍然需要一部专门的个人信息保护法。
对于出台个人信息保护法,全国两会上,多位代表委员建议从立法宗旨、基本概念、信息资源主管部门、基本原则、适用范围、个人信息收集主体、收集范围、收集程序、部门或组织告知义务、个人信息的储存与使用、更改程序、共享程序、行业自律机制、监督机构及职责、损害赔偿、法律责任等方面做出规定。
然而,在梅绍祖看来,虽然个人信息保护法立法时机已经成熟,但法律不能解决所有问题,个人信息安全保护是一项系统工程。
他建议,政府部门作为公民个人信息最大的拥有者,首先应高度重视在个人信息应用方面的管理,为公民网上活动和互联网产业发展提供良好的法律环境。同时,相关企业要强化自律,加强技术和管理,条件成熟时还可设立企业首席隐私官,专门负责处理与用户隐私权相关事宜。而普通大众也要提高个人信息安全保护的意识和能力,防范网络行为可能带来的潜在风险,权衡得失。
齐向东也认为,个人信息保护不能一家包办,必须政府、网站、安全公司和用户个人多方努力,“尤其是互联网企业要承担起保护个人信息的重要职责,不能既作运动员,又当裁判员”。