■本報記者　陳麗容

　　2011年12月是中國互聯網“黑色”的一個月，先是國內最大的程序員社區CSDN網站600萬多用戶的登錄名及密碼被公開泄露，隨后多家網站的用戶密碼被黑客披露在網上，其中包括天涯社區4000萬用戶的登錄名和密碼。那么，如此大規模的信息泄露事件是必然還是偶然？原因何在？我國個人信息保護方面亟需加強哪些舉措？就此，本報記者采訪了工信部電信研究院法律專家蔡雄山。

　　大規模個人信息泄露有深層次原因

　　2011年12月21日，CSDN網站用戶數據庫信息被公開置于網絡之中，包括600余萬個明文注冊郵箱賬號和密碼。一天后，人人網、天涯、開心網、多玩、世紀佳緣(微博)、珍愛網等網站的用戶數據資料相繼“淪陷”，資料信息被放到網上公開下載。一場互聯網恐慌如蝴蝶效應般迅速波及開來，被稱為中國互聯網史上最大的一次信息泄露事件。

　　 　近年來，隨著互聯網的發展，各種論壇、博客、視頻分享網站等大量涌現，智能手機、搜索引擎、物聯網、云計算等技術不斷發展，我國個人信息保護問題日益凸顯。蔡雄山認為，發生類似信息泄露事件并非偶然，主要有如下幾類原因：

　　首先，長期以來我國對于個人信息保護觀念意識淡薄。個人對于個人信息泄露危險性認識不足，保護意識不強，一些企業或個人收集個人信息，甚至倒賣個人信息從中牟利；其次，在個人信息保護立法與機制建設方面還有待完善；最后，一些企業缺乏行業自律，部分企業技術管理措施不到位。

　　個人信息保護缺失系統立法成問題關鍵

　　據蔡雄山介紹，從當前立法來看，我國《憲法》、《刑法》（包括第七修正案）、《刑事訴訟法》、《郵政法》、全國人大常委會《關于維護互聯網安全的決定》、《治安管理處罰法》、《郵政法實施細則》、《電信條例》、《互聯網信息服務管理辦法》、《互聯網上網服務營業場所管理條例》、《計算機信息網絡國際聯網安全保護管理辦法》、《計算機信息網絡國際聯網管理暫行規定實施辦法》、《互聯網電子郵件服務管理辦法》等法律法規都有涉及個人信息法律保護的內容。同時，在重要行業的信息保護方面，金融、醫療等重要行業也有部分個人數據保護的相關法律規定。

　　但是，整體上我國并沒有完整的統一的個人數據保護法，個人數據保護規則有待完善。“個人信息保護涉及到各行各業，不僅僅是互聯網行業的問題，金融、醫療、教育、政府機構、公共機構等都涉及到個人信息保護的問題，但目前我國沒有統一的個人信息保護法，相關立法通常層級較低，存在個人信息內涵不清晰、個人信息收集處理程序不完備、 執法手段、處罰措施不足等問題。”蔡雄山說，當前推動一個涉及各行各業的統一的個人信息保護立法存在一定困難，但各行業一直在不斷完善相關個人信息保護立法。

　　保障個人信息安全應明確監管機構與職責

　　那么，對于我國個人信息保護問題究竟應從哪些方面落實？蔡雄山認為，可結合國外一些案例進行參考。例如，歐盟是世界上對個人數據保護最為嚴格的地區，在互聯網蓬勃發展的今天，網絡技術給個人數據保護帶來了極大挑戰，歐盟并沒有放松對個人數據的保護，而是加強監管、積極研究相應對策。

　　以歐盟成員國法國為例，首先，法國有專門的個人數據保護立法。法國于1978年通過了《數據處理、檔案與自由法案》，其中第一條明確規定立法原則：信息應該為每一個公民服務。其次，獨立專業的監管機構。國家信息與自由委員會（CNIL）為法國個人數據保護機構，其為獨立的行政機構，由1978年個人信息保護法案成立。該機構不接受任何其他機構指示，直接向議會負責，其主要職責在于保護個人隱私與自由，包括：

　　第一，審查管理個人數據：個人信息的收集與處理通常需要向其申報或獲得許可。對于敏感數據及檔案由該委員會審查，不遵守相關規定可能面臨行政或刑事制裁。該委員會為控制信息應用，可以進入所有工作場合；要求所需文件及復印；進入信息項目或數據庫。其監控信息系統安全，保證已采取相關措施阻止數據庫被改變或泄漏給其他人。

　　第二，制裁權：該委員會具有一系列強制措施。從2004年8月修改該法案后，委員會對于違反相關法律者可以罰款最高至30萬歐元或5年監禁。

　　第三，教育與建議職責 ：該委員會負有宣傳信息與自由法案職責，參與相關研討會及論壇。其同樣接受民眾個人信息與隱私被侵犯等相關投訴，向政府提出個人信息保護相關立法建議，接受政府在個人信息保護立法方面的咨詢。該委員會還向數據庫負責人提出履行個人信息保護義務的相關建議。

　　對于信息安全方面的事件，網絡服務提供商有義務向CNIL報告并接受其相關檢查。在數據安全方面，數據處理負責人必須采取與數據性質相適應的物理安全措施與信息系統安全措施。違反該規定可能被處于最高30萬歐元的罰款及5年的監禁。

　　同時， 法國信息保護立法明確規定了數據處理者的權利與義務。在法國，開展個人數據處理業務的機構統稱數據處理者，他們必須履行下列義務：向CNIL申報有關的個人數據處理，部分數據處理需要得到許可；維護公民的信息自由權；保證個人數據的安全性和保密性，不得曲解個人數據或者向無關的第三人泄露數據；接受委員會的現場檢查等。

　　近年來，隨著物聯網、云計算等新興產業的發展，給個人信息保護帶來了更大的挑戰，歐盟、美國等都在積極探討進一步完善個人信息保護立法以適應這些信息技術的發展，我們目前也在發展類似產業，同樣面臨類似問題。因此，蔡雄山認為，我國可以從以下三個方面切入：

　　首先，切實提高個人信息保護的觀念與意識。個人信息保護涉及到多方主體，無論是政府、公共機構、企業及個人都要切實提高個人信息保護的意識，采取相應技術等措施加強個人信息保護。

　　其次，完善個人信息保護立法，明確監管機構與職責。我國目前需要借鑒其它發達國家的經驗，完善個人信息保護立法，必要時建立個人信息收集處理的申報制度。同時，應明確監管機構及職責，明確個人信息處理者的權利與義務，加大對于違規者的處罰力度。

　　最后，加強行業自律。互聯網個人信息保護與傳統信息保護不同，由于其自身特點，導致個人信息或隱私容易被侵犯、侵犯頻率高、方式多樣、影響范圍廣等特點。因此，針對其特點，應該建立適合互聯網環境的個人信息保護機制，如通知-刪除、在線投訴、個人信息收集在線申報等機制，便于投訴及處理等。在立法的基礎上結合行業自律等措施，推行行業個人信息保護宣言，建議、指南等。對于監管機構來說，應該服務與管理并重，一方面加強個人信息保護的監管，另一方面應做好投訴機制等服務工作，便于用戶投訴及糾紛解決。