600万用户的密码泄露了!12月21日,有黑客在网上公开了CSDN网站用户数据库,包括600多万个注册邮箱账号和密码。CSDN是程序员社区网站,其用户达到了2000万。因为不少人习惯在多个网站上使用相同账号和密码,所以这次泄密可能导致很多人的邮箱、网银等被破解。
此事敲响了网络信息隐私保护的警钟。2000万多用户的程序社区网站也被黑,那么还有没有“不可能的任务”?正像业内人士所说:“这次CSDN网站的密码泄露,也暴露了目前网络用户注册制度的大隐患,你在网站上录入的个人信息越多,对你造成的威胁就越大。”
其实,外国也有网站大规模泄密用户信息的。比如,2008年韩国电子商务网站Auction 的1800万名用户信息外泄,泄露的用户信息非常详尽,据称泄密几乎牵涉到了所有韩国网民。今年7月,韩国SK通讯旗下的韩国三大门户网站之一Nate和社交网站“赛我网”遭到黑客攻击,约3500万名用户的信息外泄。韩国国会立法调查处发表的调查报告称:与外国相比,韩国门户网站的个人信息泄露风险更大,这与互联网用户信息管理漏洞不无关系。在谈论网络信息隐私保护之前,先谈一下去年闹得沸沸扬扬的“手机实名制”。去年,工信部宣布当年9月1日起,我国正式实施电话用户实名登记制度。9月9日《南方日报》就刊载了程鹏先生的评论——《手机实名制其实无法可依》:推动手机实名制的工信部,并没有公布相关的正式文件。关键问题还在于无法可依,电信条例并没有任何实名制的规定。
另一方面,电信条例也没有规定电信商有保护用户个人信息的义务。2009年刑法中增设了“出售、非法提供公民个人信息罪”,但这一法条未能有效防止公民个人信息的泄露,关键还在没有配套法律,明确规定电信商等企业有保护用户信息的义务。因此,在个人信息保护法出台之前,手机实名制更多是用户对电信商的责任,难有相对应的权利。
当前世界各国的各类网站在用户信息注册方面,也存在类似问题,用户单方面向网站提交一些个人身份信息,就承担了很大的风险,网站有没有相应的保障?一旦泄密又应承担多大的责任?网站会不会在没有法律依据的情况下,将个人信息交给“第三方”?“第三方”会不会滥用公民的个人信息?这些都是法律风险所在。
这次CSDN的大规模泄密,网站只需要发封道歉书,而用户的关联网上银行、支付宝如果被黑,还得“举证”是因为CSDN泄密引起的,否则难以获得赔偿。目前的司法实践中,如果用户仅以密码被泄露、侵害隐私权索赔的话,几乎一分钱都得不到。
这里还要谈一下饱受批评的美国《爱国者法案》,该法第210条和第211条规定:执法部门可以在“未经司法审查”的情况下,要求网络运营商提供客户的详细信息。而美国宪法第四条修正案规定:公民的人身、住宅、文件和财产不得受无理搜查和扣押。所以,美国警方在搜查取证前,必须取得法官的令状;否则,取得的证据将是无效的。但这种严格程序影响了911之后的反恐工作,所以才有了《爱国者法案》的“特别授权”。但即使这个法案,不要求用户向运营商提供真实个人信息,却也引发了包括中国在内各国用户的恐慌。对此,今年8月19日人民网还专门做了《爱国者案危及中国信息安全不应轻信美企承诺》的报道。人同此心,心同此理:运营商掌握了大量客户个人资料,说给谁就给谁,说泄露就泄露,用户没有一点话语权,自然不会放心。
所以,针对眼下层出不穷的互联网泄密事件,立法者首先要确定:网站注册用户有哪些权利?谁有权调阅用户资料?一旦泄密有何责任?