个人信息“裸奔”？超七成网民遭泄露

近日，山东临沂准大学生徐玉玉被骗光学费郁结而死的事件引发了全民关注。犯罪分子精确获取徐玉玉的个人信息是案件的关键。

实际上，公民个人信息已经进入了危机时代。缺乏立法的有效调整，公民的个人信息时刻处于“裸奔”之中。何种个人信息被泄露？

近年来，我国公民个人信息安全日益遭遇挑战。6.88亿网民个人信息安全的危机成为我国公民个人信息安全的重要注脚。

中国互联网协会在2016年6月发布了《中国网民权益保护调查报告2016》，对网民个人信息安全的形势做了全面的梳理。身份信息、网上活动信息和通讯信息是信息泄露的重灾区。

下图显示，有72%的受访网民表示身份信息（姓名、手机号、电子邮件、学历、住址和身份证号码等）遭到泄露；有54%的受调查网民表示网上活动信息（网购记录、网站浏览痕迹、IP地址、位置信息等）遭到泄露。

值得注意的是，另有26%的受访网民表示个人财务信息遭到泄露，包括网络账号和密码、银行卡号、财产等。这类信息的泄露通常意味着财产的直接损失。

只有10%的受访网民表示没有发现个人信息被泄露过。但没发现和没有泄露是两回事儿。

有人曾调侃到，在互联网尤其是大数据时代，公民个人信息进入了“裸奔”时代。现在看来，这种调侃并非完全没有道理。只是有不少公众还没有发现自己在“裸奔”。

个人信息如何被泄露？

这些信息都是通过什么途径被泄露的呢？概括起来大致有3类：

APP与社交软件在用户完全不知情或不完全知情的情形下收集信息；

商场、医院、教育机构、金融机构、物流环节等疏于管理而被内部工作人员泄露；

黑客技术、恶意代码，破解、盗取相关信息。

相似的情形也发生在域外，澳大利亚2014年的一份研究就显示，公民个人信息泄露事件中，64%系数据收集主体的雇员或前雇员泄密；21%则可归咎于公民个人的疏忽。

个人信息被泄露的后果

骚扰与诈骗是个人信息泄露后最常见的后果。

下表是由中国互联网协会统计的，2016年上半年网民个人信息泄露最常见的14种情形。相信大家对绝大多数情形都不会陌生。尤其是第2、第4、第7、第11等情形都曾是一段时间的舆论热点。

在2016年上半年报告个人信息泄露的网民中，59.6%表示遭遇了不同程度的骚扰。

16.2%的表示遭遇诈骗，并且骗子在诈骗时对网民的个人信息了如指掌，从而能够有针对性地编造精准的骗局，让人难以防范。本次徐玉玉悲剧正是此类个人信息泄露之后造成后果的典型。

据报告统计，近一年，我国网民因为垃圾信息、诈骗信息和个人信息泄露遭受的经济损失达到915亿元，人均损失133元。就在一年之前，相关经济损失为805亿，一年之内增长超过100亿！

个人信息安全立法的五大原则

当然，个人信息泄露是全世界面临的共同问题。它是人类享受互联网与大数据时代便利所必须遭遇的副产品。

2014年，日本航空公司超过75万条的各户信息泄露。同样是2014年，美国发生了明星个人照片泄露事件，超过100名女明星的私密照片被黑客公布，其中就包括珍妮佛·劳伦斯。

2016年4月，9340万条墨西哥选民的登记信息被泄露给商业机构。同年7月，著名商业机构亚马逊的8万条用户信息被黑客攻破获取。

实际上，公民本人往往是个人信息泄露的重要源头之一。比如在微博等自媒体上详细描述自己的多种信息，而在爬虫软件日益成熟的背景下这些信息可以被批量收集。所以，防范个人信息泄露首先要对公民个人进行充分的信息安全启蒙。

除了个人信息安全教育之外，立法也是保障公民个人信息安全不可或缺的手段。

为了应对信息的泄露，世界相当部分国家出台了综合性的信息安全法案，在不同国家有不同的称谓，有的称作“数据隐私法案”Data Privacy Laws，有的则称作“信息安全法案”Information Security Laws。

瑞典1973年出台的《数据法》被公认为世界范围内第一部数据保护法案，其中许多原则至今仍然被许多国家借鉴。

在此后的40多年的时间内，全球掀起了一股数据安全立法的潮流。根据学者的统计，截止2012年，全球范围内至少有89个国家出台了相关的信息安全法案，包括欧洲几乎所有国家，以及亚洲、非洲与拉美的相当部分国家。在数十年的发展中，信息安全法案确立了五大基本原则：

所有公民个人信息的收集都必须明确说明信息收集的目的；

信息收集主体不得将收集到的公民个人信息转让给其他个人或组织，除非法律明确授权或者基于公民个人的同意；

在信息收集目的实现或消失的情况下，所收集的个人信息必须删除；

禁止将公民个人信息转移到安全措施不到位的特定位置；

部分极度敏感的信息不得收集（如性倾向、宗教信仰等），除非在极度特殊的情形下，并且有法律的明确授权。

目前，我国公民信息安全保护方面还有一些不尽如人意的地方。比如，有些信息收集主体将收集的公民个人信息用以商业开发或转让给第三方；相当部分信息收集主体对公民信息没有完善的加密程序，给黑客以可乘之机；公民个人信息经常在安全措施不到位的环境中传递等等。

好在，目前我国《网络安全法》已经公布的相关的草案并于今年进行了第二次审议，其中有专章规范公民个人信息的保护。希望徐玉玉事件能够加速该法案的出台。

本文转自d1net（转载）