|网|

网络泄密背后脆弱的网站和法律防火墙(2)

发布时间:2012-01-10 10:09 作者:中国信息安全博士网来源:财新网点击:加载中...次

而在整条黑色产业链中，分工也比较明确。最核心和最难的是发掘漏洞，这对技术的要求最高，能发掘漏洞的黑客也比较少。吕延辉介绍，在地下黑客中，有人专门负责发掘漏洞，有人专门负责根据漏洞开发利用工具，有人负责漏洞利用工具的销售，有人负责刷库，有人负责洗库，有人负责数据库的销售，最后端，还有人利用数据库钓鱼、诈骗、发送垃圾邮件。

有网络安全人士估算，目前互联网的地下黑色产业链规模已经达到上千亿元，而安全行业的规模目前还只有几百亿元，“就像毒品的市场规模反而大于麻醉药的市场规模”。

失能的法律防火墙

周汉华表示，“当网站的资料和个人信息紧密相连，安全却没有保障，这种情况下，实名制是相当危险的”

刘辉判断，这次泄密事件将注定会是互联网发展历史上一件大事。一方面是对互联网业务发展模式的影响；另一方面，则是互联网行业安全规范机制的建立已势在必行。

“短期内，互联网行业的发展会受到一定的影响。”刘辉说，例如近两年兴起的云计算服务，现在提供云服务的互联网公司必须要重新建立用户的信息，并说服用户上传至云端的资料是安全的。要说服用户，就需要相应的安全承诺及安全认证机制。

蒋涛也表示，这次泄密事件相当于给整个互联网业上了一课。“CSDN也是专业的IT社区平台，我们会利用这个平台来加强安全的教育和普及，提升互联网行业的安全意识。”他说，除了加强自身的安全性，这是CSDN在2012年要去做的重要事情，“互联网上各大网站的关联度越来越高，安全已经不是一家两家的问题，而是全行业的问题”。

在全世界，身份的盗用和密码的泄露每天都会出现，但与发达国家不同的是，这次密码泄露事件发生后，各方几乎束手无策。“大家都不知道怎么去保护自己的权利，大家就只能看着发生，等着下一次什么时候发生。”中国社会科学院研究员周汉华对财新《新世纪》记者说，“我们的问题是没有有效的管理手段，没有可以适用的法律。”

在亚太网络法律研究中心主任刘德良教授看来，个人信息在网络时代越来越具有商业价值，这也是目前非法收集、加工、买卖和商业性滥用个人信息行为日益泛滥的内在驱动力。针对如此严重的网络的个人信息安全威胁，法律的“防火墙”为何失能以及如何重构，成为一个急需解决的问题。

上海一位经侦人员对财新《新世纪》记者介绍，他们曾经侦办过一个利用个人信息实施犯罪的案子。有人发现几百万元银行存款莫名消失，于是报案。此案涉及几百万条的车主信息数据库，这些信息有黑客攻击得到的，也有银行、保险业的内部人泄露出来的。犯罪分子的作案手法是，通过内部泄露或者黑客攻击得到包括车主姓名和身份证号码的用户信息库，找银行的人查开户信息，这个行话叫“包行”，几百块就能做。得到卡号后，然后猜密码，利用黑客软件和银行卡进行比对。

从刑事法律来看，2009年《刑法》修正案增加了“非法侵入计算机信息系统罪”的条款，“违反国家规定，侵入计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”。

同年，全国人大常委会还出台《侵权责任法》，规定网络服务提供者和网络用户利用网络侵害他人民事权益的，应当承担侵权责任；网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。2000年，全国人大常委会又专门制定了《关于维护互联网安全的决定》，重申各种互联网违法的刑事责任和民事责任。

在行政监管层面，除了国务院在1994年制定的《计算机信息系统安全保护条例》，作为全国计算机系统安全保护工作主管部门的公安部，也制定了《信息安全等级保护管理办法》以及《计算机信息系统安全保护等级划分准则》《信息系统安全等级保护基本要求》《信息系统安全等级保护测评要求》等30多个标准。

多重的法律规定，为何实施效果不佳？周汉华认为，《刑法》的适用门槛比较高，需要“违反国家规定”和“情节严重”的条件，何况这两个条件目前都缺乏相应的标准。而《侵权责任法》的适用，在网络环境下，当事人举证非常困难，而且存在成本投入和收益不对称的情况。

周汉华认为，《刑法》和《侵权责任法》都属于事后救济，在网络时代，由于损害的发生是系统性的、不可复原的，所以对网络安全以及个人信息进行全流程的监管才更为有效。目前对于这种全流程的监管，中国既缺乏专门的法律，也没有专门的执法机关，搜集个人资料的企业所应承担的相应的安全责任以及相应的信息流管理行为规范都缺失。“这就是为什么要制定《个人信息保护法》的原因。”周汉华称。

据财新《新世纪》记者了解，早在2003年之时，周汉华曾经受当时的国务院信息化办公室委托，主持《个人信息保护法》的立法研究，并且在2005年形成了一份专家意见稿。但时隔多年，这部法律的立法工作迟迟未被启动。

刘德良教授认为，在当前中国的法律框架下，把个人信息都纳入人格权的范畴，而不承认个人信息的商业价值也是个人的财产；人格权受到侵害后，原则上也不能要求财产损害赔偿。因此他提出，对于个人信息的法律保护，应该包括隐私上的人格利益和个人信息的商业价值这双方面，将个人信息的商业价值视为个人的财产，未经允许擅自收集和商业性利用个人隐私，既是一种侵犯人格权的行为，也是一种侵害财产权的行为。

(责任编辑：)