解码“泄密门”(3)

发布时间:2012-01-16 15:47 作者:佚名来源:财经点击:加载中...次

据梁强所知，在业内，网银安全事件曾有发生，但整体比例很小。“多数原因是内部的管理疏忽和内部程序逻辑等，外部攻击的案例极少；直接攻破服务器的案例，则几乎没有。”

2010年1月28日，中国人民银行发布《网上银行系统信息安全通用规范（试行）》，对网银业务的发展提出了更多具体的保障要求，如明确规定禁止仅使用文件证书或文件证书加静态密码的方式进行转账类操作；强调客户端的安全性；对硬件数字证书的应用提出规范要求；交易机制的规范化基于客户计算机终端不安全的假定；关注Web应用安全等。

梁强认为，对普通用户来说，过分担心网银和支付宝的安全问题意义不大，更应该注意的是，将在网银使用的用户名和密码与在普通论坛、网站使用的加以严格区分。

实际上，多位受访专家均表示，此次泄露出的数据，受伤最重的是网民的隐私。一个直接的后果就是，你可能会接到更多的垃圾邮件、垃圾广告和推销电话。

泄密的成本：无奈的用户

黑客入侵的刑事案件进展备受关注。据国信办披露，截至目前，公安机关此次已查处入侵、窃取、倒卖数据案件九起，编造并炒作信息泄露案件三起，刑事拘留四人，予以治安处罚八人。

在现有法律框架内，《刑法修正案（七）》规定，“违反国家规定，侵入计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”，并增加了出售公民个人信息、非法提供公民个人信息以及非法获取公民个人信息等三项罪名。

“信息泄露要制源头，要打‘老虎’，而不是打‘苍蝇’。”中国社会科学院法学研究所研究员周汉华表示。

为何“苍蝇”难打？广东佛山网监支队一位警察向《财经》记者解释，黑客操作会被记录在被入侵方服务器日志上，网警通过电信部门查看路由日志查找入侵者IP地址。但很多时候，黑客往往几经兜转，连到国外服务器上去了，给其查找工作带来困难。

CSDN等网络服务提供者，既是黑客入侵受害者，对用户而言，也是密码泄露责任者之一，用户能否追责？在国外，2011年4月索尼PlayStation游戏网络遭黑客入侵事件中，索尼PS3和音乐、动画云服务网络Qriocity用户登录的个人信息被窃取，包括姓名、住址、生日、登录名和密码等，受影响用户多达7700万人，涉及57个国家和地区。之后一个月内，美国各级联邦法院就收到至少40起集团诉讼，指控索尼未能充分保护玩家个人数据和信用卡信息。

这类案件通常遵循统一的模式：用户隐私信息被泄露引发大规模诉讼，企业为了维护信誉支付巨额赔偿金。最终索尼正式道歉并对用户做出补偿。2004年，日本雅虎约有460万用户的个人信息外露，日本雅虎向每位用户“赔偿”6美元购物券。

中国网络法律网首席法律顾问赵占领认为，国内用户也可以依据侵权责任法和民法，起诉泄密网站；但最大的操作难点在于，用户如何证明自己曾注册该网站，且拥有被泄露的账户信息；经济损失界定亦是难点。

接近工信部通信保障局的人士向《财经》记者表示，目前并没有计划也缺乏明文依据对此次泄密的网站做出惩罚。

上述接近工信部通信保障局的人士称，下一阶段的工作重点是，依据工信部2009年12月发布的《通信网络安全防护管理办法》（下称11号令）通知各企业加强网络信息安全保障。

11号令是目前监管部门针对网络安全问题的主要处理依据，根据各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，由低到高划分为五级，实行分级管理。

杜跃进向《财经》记者解释，自11号令实施以来，依照定级结果，工信部对通信行业网络单元展开了大量的安全评测和检查工作。2011年8月又启动了包括网站、论坛等在内的增值电信业务的安全防护试点工作。

“本次用户数据泄露事件后，工信部加快了这方面的工作，目前已经完成了对一些试点网站业务的定级工作，下一步就需要进一步完善标准和实施安全评估、符合性评测以及安全检查等工作了。”蒋涛向记者表示，CSDN正在申请第二级等级保护。

网络“裸奔”隐忧：法制待健全

“网站的安全是不可信任的，无论是国内的还是国外的，你只能尽量控制信息的源头，一旦流出去了就基本脱离了你的控制。”绿盟科技上述网络安全专家说。

用户名、密码及其他用户信息，是网站最大的价值所在。前述企业架构师说，做网站安全体系架构时，有一个重要原则，“永远不要保存无法保证安全的数据”。

在这方面，韩国推行了四年有余的网络实名制面临尴尬。

2007年7月，韩国正式开始实施网络实名制，成为世界上当时唯一实行这一监管政策的国家。该政策最初要求，每天访问人数超过30万的35家主要网站实行真实姓名和身份证号注册，网民只有通过网站的身份验证后才能进行留言。从2009年4月起，这项制度进一步扩大，每天访问人数超过10万的153家主要网站亦被划入。

但是，随着时间的推移，网民个人信息遭泄露的情况时有发生。2011年7月，韩国SK通讯公司承认，旗下门户网站Nate和社交网站Cyworld被黑客攻击，不计算两家网站的用户重合部分，被盗取信息的用户数达3500万，而韩国总人口数为4900万。由于实行实名制，被盗取的用户信息非常详尽，包括电话号码、身份证号、生日、电子邮箱地址，甚至血型。

在向韩国总统李明博提交的2012年业务计划中，韩国互联网监管机构广播通信委员会提出了有关重新检讨网络实名制的方案。韩国部分媒体认为，虽然该方案是“重新检讨”，但事实上更侧重于取消这一制度。

“泄密门”发生后一周内，2011年12月29日，工信部发布调研一年之久的《互联网信息服务市场秩序管理若干规定》，以部门规章的形式强调“互联网信息服务提供者应当妥善保管用户个人信息”。

《财经》记者获得的一份由工信部信息安全协调司指导、全国信息安全标准化技术委员会秘书处组织起草的《信息安全技术信息系统个人信息保护指南》（送审稿）中，对上述“妥善保管义务”作出解读，即“保护个人信息不为处理目的之外的任何个人或机构所知，采取门禁、数据加密、数据完整性检验等方式防止对个人信息处理场所和个人信息存储介质的未授权访问、损害和干扰”。

该指南何时最终出台尚未可知，而且，“这只是一个推荐实施的国家标准，违反了也没有后果”。周汉华并不乐观。

工信部电信研究院法律专家蔡雄山指出，在国内立法上，对个人数据控制者未尽妥善保管义务的法律后果规定得并不完善，惩罚力度也不够。

关于个人信息保护条款散见于《刑法修正案（七）》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》等法律法规中；在监管机关层面，国内也缺乏明确的专职的个人信息保护机构，而以欧盟为例，27个成员国每个国家都有一个专门的信息保护机构。

据了解，《个人信息保护法》的立法工作在2003年曾一度启动，如今仍处于搁置中。

在网络信息安全监管层面，中国已有相关法律规范有百余部，除去《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》等专门立法外，还散见于《宪法》、《刑法》、《国家安全法》、《保守国家秘密法》、《治安管理处罚法》等中。承担信息安全监管工作的工信部、公安部、国家保密局以及国家密码管理局等都曾发布部门规章或相关规范性文件；而国家食品药品监督管理局、卫生部、银监会、证监会以及铁道部等也曾就各自主管领域发布规章文件。

现状是，法律规定分散交叉、立法层级不高，缺乏一部专门的综合性信息安全法律来规范网络行为，明确用户、企业等相关方面责任义务的法律。

2010年，工信部曾力推《信息安全条例》的出台，条例报送稿中对信息网络环境下法律主体的权利、义务，各种危害网络与信息系统安全行为等内容作出规定，迄今也并无新的消息。

(责任编辑：)