信息安全业界认为，此次事件的深远影响将在2012年以后逐渐显现，将可能在立法、政策、商业模式及格局等环节带来变革。

杜跃进说，其实中国的信息安全的很多领域在国际上并不落后，甚至领先，比如中国是最早出台国家层面的信息安全协调机制、国家级网络应急响应组织的国家，国家互联网应急中心从2003年就开始了对互联网络的病毒与木马全面监测，而在此次事件后，公众网络信息安全的防护或许还会得到进一步提升。

“在2008年以前，中国针对网络犯罪的立法曾相对滞后，但在过去两三年，尤其是2010年以来的法律修订过程中，已经有较大的完善，比如对制作病毒、木马，盗窃虚拟资产等行为，都已经有执法依据，此前也已有犯罪分子因为涉及触犯条例被刑事处罚。”陈睿说，“但在公民的网络信息安全、网络财产等权益保障环节，立法仍有一定空白，这在此次事件后可能会有所加速。”

很多安全人士则呼吁政府，对涉及用户信息保存与使用的网站，出台新的规范，以相对硬性的规定，约束网站达到一定的安全规范。

一位政府人士向《财经国家周刊》记者透露，未来政府可能会对互联网企业进行评估，社会影响较大的网站或服务将会进行强制性的安全要求，“增值电信领域的尝试近期就将开始。”

与此同时，互联网自身的市场竞争，也正在催生提高用户信息安全的新商业模式出现。

比如OPEN ID（通用账号）。互联网企业人士透露，目前新浪、腾讯、支付宝等大网站都已经在各自联合大量合作伙伴推广OPEN ID。通过这一服务，用户只需要记住一个统一的账号和密码，就可以同时登陆多家网站，而其账号、密码等信息，只存储于核心企业数据库中，这既减少了用户记忆密码的难度，也因为可以集中保护，减低了数据泄露的风险。

而在2011年8月，金山网络也推出了新的业务“网购敢赔”，承诺只要金山毒霸2012用户开启网购“敢赔模式”，如果网购仍感染木马或登录钓鱼网站遭遇财产被盗，金山网络将进行上限500元的现金赔付。在业内人士看来，在目前中国仍未出现虚拟财产保险的情况下，这一商业模式也正是迎合了信息安全风险不断加大的网络生态，在增加用户安全保障同时为企业吸引用户。

潘柱廷则认为，未来面向中小企业的信息安全防护业务也可能得到迅速发展。因为中小企业往往难以单独进行大量的信息安全投入，但地方政府、数据中心、运营商、云计算服务商等平台可能在服务中整合信息安全功能，在自身获得业务增值同时，也让整个互联网产业的信息安全也得以提升。

网络保护的法理求解

用户数据库泄密事件之后，无论是数据库已经泄密的CSDN和天涯等社区网站，还是被用户担心和疑虑的新浪、腾讯等门户网站，无一例外地采取了“低调”或“沉默”的应对方式，而数以亿计的用户此时发现，保护自身信息安全，除了修改密码之外几乎无计可施。

还没有单独立法

在CSDN和天涯用户数据库泄密之后，大量的普通互联网用户在担忧自己的注册信息是否泄密的同时，也参与到泄密数据库的下载和转发过程中。

“需要提醒的是，普通用户得到这些数据库密码信息，再进行传播，也是违法的。” 中国政法大学知识产权中心研究员、法律专家赵占领对《财经国家周刊》记者表示。他进一步提出，“政府和法律界应更为重视类似事件的处理，从法理和法规上，对互联网信息安全进行政策和法律的制定。”

根据赵占领的介绍，围绕互联网个人信息保护的法律法规，中国当前的主要参照依据，仍然是刑法的相关规定，“相关的判例也有，但那些都是涉及到明确的主体、明确的资金，在民事赔偿和行政处罚领域，仍然缺乏明确依据。”

由此不难理解，为何CSDN和天涯两大泄密网站一方面分别在北京和海南向公安机关报案，而另一方面绝口不提对用户的任何赔偿方案，仅以道歉作为终结事件的底线。

CSDN相关负责人告诉《财经国家周刊》记者，公司内部对于如何处理此次注册用户数据库泄密事件已有结论，“一方面通过各种方式，包括和其他网站合作，通知用户修改密码；另一方面我们也对存在安全隐患的用户，进行临时的密码锁定，敦促用户在登录过程中修改密码。”

该人士多次强调，CSDN早于2009年4月开始，就已经使用加密密码保存用户数据库，“已泄密数据属于早前数据，甚至相当一部分密码用户已经修改过，但业界媒体和很多用户对此并不了解。”在谈及是否已有对涉及泄密的用户提供赔偿方案或者弥补措施时，该人士表示，通知密码修改和临时锁定就是弥补措施，对于赔偿方案，对方拒绝讨论，并称“这个事情甚至不是我们公司所能决定。”

天涯网站一位副总裁则私下对《财经国家周刊》表示，“国内在用户赔偿方面，还没有什么具体可依据的标准，而且用户的损失究竟如何界定，也不是很清楚。”该人士透露，天涯内部证据显示，有些用户数据库泄密，其原因并不是因为天涯网站，而在于用户在其他网站使用了同样的ID和密码，“那些网站发生泄密后，我们发现了极少数用户在天涯也使用了同样的ID和密码。这种泄密，天涯根本无法预防。”同样，该副总裁也对记者表示，虽然并不具体负责技术部门，但也明确知晓公司至2009年以来，就一直采用的是非明文密码数据库。

包括CSDN、天涯、网易等网站在内的超过2亿个账户及密码泄密事件，所涉及的金额数量目前仍然难以估计。在《财经国家周刊》调查过程中，无论是网站主体，还是普通用户，都认为大部分网站注册用户的相关数据“是免费的，没有太多实际资金的损失。”

“其实从法律的角度，虽然没有单独立法，但从多个法律条款已经对用户信息保障有所规定，难点仍然是在执法上，这个问题从全球看都是一样的，就如同美国和欧洲也有黑客盗取信息。”互联网领域的知名律师于国富对《财经国家周刊》表示，“例如中国的法律就规定了，对于非法入侵他人电脑获取信息，可以判处三年或以下拘役徒刑，但年轻的黑客们甚至都不知道这个法律条文，他们精通互联网技术，却在法律方面面临大片的盲区。”

同样，发生于2011年底的互联网用户数据库泄密事件，并非中国互联网发展过程中的第一次规模性安全事件。2005年底，中国互联网曾爆发了第一次大规模个人信息泄密事件，即“9000万人信息泄露”事件，该次事件将“优库网Ucloo”和“中国同学录”直接推至浪尖。

立法纠结之处

1994年由国务院颁布了《中华人民共和国计算机信息系统安全保护条例》，但这一条例更多的是从计算机病毒和国家信息安全的角度，对计算机信息领域安全进行了规范，而这之后，随着中国互联网的发展，有关个人信息保护的立法，多年来一直是让法律界和政府主管部门纠结的环节之一。

2002年，国务院信息化办公室联合中国社科院，开始了“个人数据法律法规比较课题”的研究，并于2005年在此基础上形成了《中华人民共和国个人信息保护法（专家建议稿）及立法研究报告》。此后没有更进一步立法进展。

在过去近十年中，试图牵头个人信息保护领域立法工作的部委，分别包括了国务院信息化办公室、原信息产业部（现为工业和信息化部）、商务部等多个部委，然而，缺乏统一的牵头单位，成为中国个人信息领域尤其是互联网个人信息领域立法推进缓慢的核心原因。

“就目前而言，中国政府目前甚至没有专门的信息资源主管部门。如果无法从源头厘清这一现状，制定个人信息保护的法律法规，就无从谈起，即便制定出这一法律，也无法得到有效实施和规范。”北京邮电大学教授、法律专家谢明敦对《财经国家周刊》说。

作为中国互联网业务上的主管部委，工业和信息化部于2011年2月曾发布《信息安全技术个人信息保护指南》，但由于该文件仅属于建议性和规范性范畴，因此并没有对互联网信息泄露有任何可执行的规范和处罚条文。

于国富律师认为，中国的法律采用大陆法系的成文法体系，需要经过法定程序研讨制订，法律才能在司法实践中起到作用，而法律制订通常需要很长的时间并经过严格的程序，这必然会导致立法滞后于实践。

“不过从目前来看，中国有比较完善的司法解释制度，涉及互联网案例中尚未立法的部分，司法体系或许可以通过司法解释来填补空缺。”于国富说。

(责任编辑：)