中国将出台保护个人信息行业标准

昨日，一位乘客用手机扫描自己的火车票信息。通过扫描软件可获得火车票二维码含有的身份证信息。 本报记者 浦峰 摄

　　　　近日，工信部直属的中国软件测评中心透露，他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审，正报批国家标准。
　　工信部安全协调司副司长欧阳武介绍说，这个指南能为行业开展自律工作提供了很好的参考，为企业处理个人信息制定了行为准则。据介绍，我国信息技术保护不容乐观，甚至已形成利用个人信息从事非法获利的黑色链条。特别是去年年底揭露出的中国互联网最大规模的泄密事件，将个人信息保护推向了风口浪尖。
　　许多发达国家很早已开始个人信息的保护研究和立法工作。我国近年来也启动了个人信息保护的相关工作。
　　去年，全国信息安全标准化技术委员会提出制定个人信息保护指南。这个委员会主要从事信息安全标准化工作，现任主任由工信部副部长杨学山兼任。
　　个人信息保护指南的全称是《信息安全技术、公共及商用服务信息系统个人信息保护指南》，标准由工信部直属的中国软件测评中心牵头，联合近30家单位起草。
　　该中心常务副主任黄子河透露说，指南目前还在等待批准文号，但其最终的发布应是“指日可待”。但这个指南并非国家强制性标准。
　　■ 焦点
　　个人信息用后立即删除
　　在个人信息安全缺少专门法律规范时，一部行业标准成为业内的希望。
　　“去年正式通过了评审，报批国家标准”，中国电子信息产业发展研究院院长、中国软件评测中心主任罗文希望今年能通过这项标准，以拓展个人信息保护的体系。
　　《个人信息保护指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节，其中还提出了个人信息保护的原则。
　　工信部安全协调司副司长欧阳武介绍，“这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。”
　　“最少使用”的原则就是获取一个人的信息量时，只要能满足使用的目的就行。
　　黄子河举例说，一些网站本是办一个很小的事，却让用户填包括家庭住址、手机号在内等很多信息，这就不符合“最少使用”原则。
　　“安全保障”则是要个人信息管理者一旦收集了个人信息，就必须建立一套个人信息保护制度，明确责任人和内部管理流程，以及应对个人信息泄露的风险。
　　中国软件测评中心的副主任高炽扬估计，个人信息泄露中70%-80%属内部作案，这是“安全保障”原则没能落实好所致。
　　他介绍说，一些商业公司掌握大量个人信息，由于管理制度疏漏，一些内部员工未经授权就能获取客户信息。
　　依照《个人信息保护指南》，在收集个人信息阶段告知的“使用目的”达到后应立即删除个人信息。
　　高炽扬说，有次，他在某航空公司网站购买机票，使用电话支付的时候，工作人员搜集了他的支付信息：姓名、身份证号、信用卡号和信用卡的最后三位支付号码。购票成功。
　　但是，过段时间他再去购票时，对方问他，“您还是使用卡号末四位是****的信用卡支付吗？如果是，只要告诉我就可以了。”
　　“（这家公司）存储了我的信息。”3月26日，高炽扬一边讲述一边摇头。
　　高炽扬说，他所经历的航空公司电话订票的经历，就是航空公司在达到此次订票目的后，未能及时删除客户信息。

　　信息保护指南非强制标准
　　“为了经济效益，无利不起早。”高炽扬估计，目前没有哪个行业不存在信息泄露。
　　比如孕妇生完孩子刚回家，卖奶粉的电话就过来了，病人检查完身体，检查单还没看懂，相应的医药公司就已经打电话卖药来了。
　　中国软件评测中心研究员刘陶把个人信息比喻成“很多钱装在纸糊的银行里，很容易被黑客破解。”据他们调查，公众最关心的金融、电信等领域的个人信息安全。
　　而让人担忧的是，这个指南标准不是强制性标准，甚至也不是推荐性标准，标准通过会对行业起到多大的规范效力，仍待观察。
　　中国软件评测中心主任助理朱璇说，此次个人信息安全国家标准“属于技术指导文件”。
　　国家标准分为三种，一个是强制性标准，一个是推荐性标准，一个是指导性技术文件，标准可以作为参考。而国家强制性标准多在食品安全领域。
　　不过，黄子河认为，标准适用于除了政府机关等行使公共管理职能以外的各类组织和机构，特别是电信、医疗等涉及个人敏感信息比较多的服务机构。
　　■ 现状
　　40部法律难约束个人信息泄露
　　工信部电子科技情报研究所副所长刘九如统计，目前有近40部法律、30余部法规，以及近200部规章涉及个人信息保护，其中包括规范互联网信息规定，医疗信息规定，个人信用管理办法等。
　　“针对个人信息的法律法规并不少，然而内容较为分散、法律法规层级偏低。”刘九如说。
　　刑法修正案（七）被认为是个人信息立法的标志性事件之一。
　　2009年，刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名，首次将公民个人信息纳入刑法保护范畴，规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。
　　但是，这一犯罪主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。除此之外，还存在着互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位。
　　诸多法律界人士认为，刑法未明确该罪的具体界定标准，这一条款还有进一步改进和完善的空间。
　　另外，专家认为法律中对信息泄露者惩罚机制不够。
　　前段时间，警方破获CSDN（即中国软件开发联盟）的600多万条用户名和密码泄露案件，“目前为止对网站的处罚只是提出行政警告，太轻了，这种处罚几乎没有威慑力。”北京科技大学经管学院教授梅绍祖说。
　　梅绍祖认为，如果在国外，这样的大规模用户信息泄露，至少应该有经济处罚。
　　2009年，《侵权责任法》的通过，使“人肉搜索”侵犯受害人权利的责任认定有了法律的统一规制，如果网站无视受害人提出的屏蔽、删除要求，就要承担连带责任。
　　但是，社科院法学所研究员周汉华说，《刑法》和《侵权责任法》都属于事后救济，在网络时代要对网络安全以及个人信息进行全流程的监管才更为有效。
　　个人信息安全法未入立法程序
　　《个人信息安全法》并非从未尝试破冰。
　　工业和信息化部副部长杨学山回忆，2003年的4月，国务院信息化办公室专门对个人信息立法研究课题进行部署，2005年《个人信息保护法》专家意见稿已经提交。不过这项立法建议一直未能进入正式的立法程序。
　　参与此次专家意见稿的梅绍祖说，当时文本已从国务院信息化办公室上报到国务院法制办，此次未能进入正式立法程序的原因很复杂，主要是“从紧迫性上讲还没太关注这个问题”。
　　梅绍祖承认，凡事总有轻重缓急，有关部门会综合考虑，但考虑到目前我国发生的个人信息泄露和被盗、个人隐私侵犯以及个人信息交易的事件愈演愈烈的现实，再发展下去可能会影响到整个社会经济活动，“我觉得紧迫性早就有了，可能各个层面感觉不一样，有人觉得没那么紧迫”。
　　工信部副部长杨学山力主加快立法。
　　他说，个人信息保护实行面广，一定要从法的角度规范，才能使这项工作在法律上有依据。
　　“这几年我们和大家一起在个人信息立法尽快进入正式程序正在努力。”杨学山说，在大家的努力下，“尤其是在今天个人信息保护已经成为社会迫切的问题，立法的进程就会加快”。

　　一万个账号50元 可免费试用
　　接到莫名其妙的推销电话，邮箱、甚至网银密码被盗……到底是谁出卖了我们的信息？我们的个人信息通过什么渠道扩散的？在互联网日益发达的今天，我们时不时产生这样的疑问。其实在一个特殊的群体看来，个人信息的买卖早已是家常便饭。有人编程、有人攻击网站盗取个人信息，有人网上叫卖，有人从中进行倒卖。成千上万的个人信息就这样无声地流动着，并为这些人带来滚滚财富。这个特殊的群体中间既有黑客，也有专门的公司从事这项业务。近日，记者接近了这个特殊的群体，了解个人信息交易背后的一些真相。
　　1 黑客
　　分工合作按约定分成
　　“拖库”，是指从数据库导出数据，这个名词以前只是在程序员中间被熟知，但在去年CSDN用户数据泄露事件以后，“拖库”作为威胁互联网安全的最大隐患，也为普通网友所熟知。
　　360公司网络工程师小雷告诉记者，有能力通过攻击服务器“拖库”的“黑客”，分“黑帽”和“白帽”，黑帽就是利用网络漏洞制作攻击病毒获利的这部分人。“他们一般不直接露面，也不直接攻击网站，主要是卖技术。”一位网名为Ferry的知情人士告诉记者，现在网络黑客基本是通过拖库、挂黑链（简单地说，就是在被黑网站上链接自己指定的网站）赚钱。他们平时主要聚集在论坛，通过网络进行交易。
　　Ferry告诉记者，因为有利可图才会有人干这行。卖力的“黑帽”，一个月就靠卖“黑链”、卖恶意代码，多的可以获利十几万，赚上万元则是很普遍的。
　　圈子内把黑客不法获利的组织结构比喻成海星状。Ferry说，这些交易往往见不得光，交易隐蔽性非常强。有的“黑帽”采取团队合作。他们从网上论坛建立联系，分工合作，获利后按照约定分成。越高级的技术人员分得越多。“一个团队可能来自全国各地，也可能从境外潜入，一般的网站很难防御。”
　　而这些人之间的合作，基本上用的是虚拟的身份，有一套固定的交易模式，一般人无法渗透其中，也难以掌握这些合作者的真实身份。“也许干完一次，就转服务器换IP，这也是网络安全部门执法中常遇到的困难。”
　　2 脚本小子
　　用别人的病毒攻击网站
　　360公司网络工程师小雷说，对于大型有组织的攻击，一个人无法完成，需要大规模的合作。拖库、扫描漏洞、交易数据库等等，他们分工明确。其中人数最多的一类被称作“脚本小子”，他们并不真正掌握编写病毒技术，主要用别人编好的工具去攻击网站。掌握这些手法很容易，在很短的时间里上网拜师或者从地下论坛购买工具就能操作。 若以具体比例估计，每1000名黑客对应的脚本小子会超过10万人。
　　据网络工程师小张介绍，在对一个网站攻击前，需要通过扫描了解这个网站安装了什么软件、有什么“后门”、安全性如何。这个步骤大部分就是“脚本小子”来做。常用的工具是一种漏洞扫描器，扫哪个网站有漏洞，可以去攻击它，获取用户个人信息数据。
　　不过，哼哼（用户名）不希望别人叫他脚本小子，他说，在圈子里这个称呼似乎带有技术歧视性。“我就是黑客，你们的电脑只要我有兴趣就能进去。”今年26岁的他，大学毕业以后，有了正规工作，但每月的收入却不能维持他的生活追求。“我第一次收别人钱是挂黑链。”哼哼还记得，一家卖性药的网站需要提升权重，他开价1000元，后来860元成交。

　　3 销售
　　1万个账号可卖50元
　　哼哼们的电脑连接着的另一端就是庞大的网络信息消费群体。
　　小雷举例说，按照保守估计，CSDN泄露的600万用户信息，若其中10%有效，那么就有60万网络用户信息被黑客掌握。获取这些信息以后，可以直接侵入别人账号、邮箱获取有用的信息，也可以在网上打包销售。购买者主要会用于网络推销、电信垃圾广告、电商垃圾邮件。
　　“有客户需要利用微博来刷广告，那么就有人针对微博编写一个程序，只要把数据库套入就能自动批量试。”小张一脸轻松地说，测试成功的就添加成新的库在网上转卖。“其实这个很简单，几乎是零成本。”据一些网络高手曾经测试的结果看，CSDN泄露出来的密码成功登录同一用户的另一个账号，成功概率高达20%。
　　交易也非常简单，在网络上有专门的地下黑客论坛或者通过网络聊天交易。小张曾经在网站上看到一则消息，有人拿到了300万的数据库销售。他试着与这个黑客取得联系，“1万个账号50元，对方为了让你相信，还会先给你10个免费测试是否好用。”
　　这种形式贩卖网络用户信息，获利非常大。小张说，别小看这几十块钱的1万个信息，掌握这样库的黑客，手里都有上百万的用户信息，可以多次销售给不同的人。
　　4 产业
　　银行商场有人也卖信息
　　今年27岁的王旭，在沈阳有过一段“话务营销”经历。“话务营销”是业内术语，现在有了更时髦叫法：信息咨询营销。说白了就是买卖个人信息。从网络等途径买到的个人信息，在他们手中成为倒卖的商品。
　　2005年，他加入了沈阳市一个小型的“话务营销”公司，他主要工作是与“客户”接头交易。他们卖的信息有很多类，既有业主信息、车主信息，甚至还有一些大企业或是政府工作人员的信息。“普通业主信息、车主信息是一般货，卖不了多少钱。如果有某一个行业的管理人员信息、政府人员的信息，这就是‘牛货’，能卖大价。”
　　王旭所指的“大价”指的是3000元甚至更高，一般信息100到800元不等。
　　“话务公司”的信息是从哪里来的呢？王旭说，一般“话务公司”在各行业或者企业内部有自己的“线人”。“像银行、商场、4S店，这些企业有很多个人信息。公司会给这些线人钱，让他们透露一些出来。”对于具体的价格，王旭并不清楚，但在他的印象中，应该至少有五位数。
　　另一个获得信息的渠道是从同行处购买或者交换。“现在的这些公司叫信息咨询公司。这些公司在网络上互相买卖交换各地的个人信息。”由于现在做这个行当的公司很多，信息的价格骤降，10万条信息也就几百块。不过，这个买卖的渠道行内人并不十分看好，因为不能保证“质量”，很多都是假的或者是过时的。王旭回忆，2008年，他所在的公司大多数的收入来自网络销售，部分是线下销售，一家14个人公司，最高的一个月纯利润达到40多万元。“因为现在查的很紧，生意没以前那么好做了。”
　　从3月中旬至月底，记者试图以买主的身份联系几家北京和外地的信息咨询公司，但是得到的回答都是“风声紧”、“过一段时间再说”的回复。

　　如何让我们的密码更安全？
　　“请输入账号密码……”这个我们在众多网站司空见惯的模式，一不小心，就成为出卖我们信息最大的凶手。伴随着互联网诞生第一天就出现的个人密码，在今天依然是普通用户、网站管理员和黑客之间斗争的永恒对象。如何保证密码不被黑客盗取？没有最安全的密码，但我们至少可以让自己的密码变得更安全。
　　泄密探因
　　密码要经过一段旅途
　　为什么会发生如此大规模的密码泄露事件？中国软件评测中心高级工程师朱璇表示，问题出在两个方面，使用者的密码设置过于简单，网站管理出了问题。
　　当我们登录一个普通网站时，密码要经过这样的一段旅途：我们先在键盘上输入密码，网站将其上传到服务器，然后在服务器中保存，当我们丢失密码时，需要通过某种验证才能重新获得密码。
　　这每一个环节，都可能被黑客攻击，获得密码。
　　在输入密码阶段，黑客只需攻击个人计算机终端，当计算机中了木马病毒时，键盘里敲击的密码就可能被黑客截获，病毒也可能搜索计算机文件，获得里面和密码相关的信息。
　　在密码上传阶段，朱璇表示，密码信息上传到服务器，这段旅途虽短，但很多网站，包括一些论坛，都没有把密码明文加密的习惯，成为黑客攻击的薄弱环节。
　　如果上传的密码过于简单，也很容易被黑客用“暴力攻击”的形式获得，最常用的是“词典式攻击”。黑客手中会有一个海量密码的词典，如果用户使用简单的信息，如姓名、生日、电话等，黑客可以设计一个小程序，计算出来。因此，很多网站在登录密码页面会使用验证码，防止电脑的词典式攻击。
　　服务器保存
　　明文保存密码相当危险
　　密码到达终点，即网站服务器，它的保存方式也被黑客盯上。此次密码泄露，就是因为很多网站以明文形式保存用户的密码，而没有任何加密，当黑客攻击进入服务器后，就可以直接看到裸露的密码原文。
　　果壳网“死理性派”主编吴苏介绍，明文保存密码相当危险，黑客只要获得了密码数据库，再复杂的密码，都可以看到。
　　他介绍，现在网站服务器已经有了很普遍的加密方法，叫做哈希函数。比如，英文里“狐狸在冰上跑”和“狐狸在冰上走”两句话，通过哈希函数一转化，很快变成了完全让人摸不着头脑的组合“52ED879E”和“46042841”。
　　但即使用了哈希函数加密，也不代表无懈可击。
　　密码分析学家阮风光说，如果一串被哈希过的密码被盗，只要密码过于简单，黑客同样可以获得。
　　通常，黑客手中，都有一份很长的列表，称为“碰撞库”，里面储存的是很多常用密码对应的哈希值。朱璇介绍，现在网上有专门的网站对哈希值进行破解，根据密码难度进行收费。“比如要破解admin123，属于最常用的前1万个密码，你只要花1毛钱，如果密码是123456，就可以给你免费破。”“万恶之源是密码过于简单。”朱璇说。

　　密码矛盾
　　安全和便利不可兼得
　　“互联网安全问题分成管理层面和技术层面，密码安全横跨两个层面。”朱璇说。
　　对于网站而言需要考虑的安全因素太多了。比如，开发代码中是否存在漏洞，服务器所处的地理位置是否足够安全，服务器是否有密码，操作系统是否打了补丁，等等，任何一个环节出了漏洞，其他环节再安全，也可能被黑客攻进。
　　“一切都是需要花钱的，”阮风光说，“比如你要在服务器中对密码进行加密，就可能需要雇用有安全背景的人来写软件。”
　　目前，科学家和工程师们也在尽量让身份识别变得更为容易，如生物指纹、或视网膜鉴别等等方式，但即使这些额外的保护措施，同样需要花钱。“人们得意识到，更高的安全度，就意味着更多的钱。”阮风光说。
　　他表示，计算机科学技术发展到今天，人们也一直没解决密码安全性和便利性的矛盾，始终没有完美的解决方式。原则上，密码越长，越安全，可是也越难记住，哪怕记在电脑或者纸上也是不安全的。此外，用户如果在不同网站使用不同的密码，也更安全，但是却很不方便，很难记住这么多的密码。“要安全，就得舍弃方便，要舍弃麻烦而图便利，就可能不安全。”本报记者 金煜
　　■ 密码防盗指南
　　1 有足够的安全意识，避免在社会层面受到密码诈骗。
　　2 不同安全等级的网站设不同强度的密码。对于网银等和个人利益直接相关的网站，一定要设置超强的密码。
　　3 测试网站的密码安全性，在注册一个网站时，如果你输入密码“123456”也能通过，这个网站肯定不安全。同样，对密码长度没有要求，不能使用特殊字符，或者无法区分大小写的网站的安全性能也不高。
　　4 减少使用常用的个人信息，尽量不用自己的生日作为密码。尽量使用和自己个人信息不相关，或者距离远的信息。
　　5 利用经典密码学，设置自己的加密“函数”或规律。比如，你可以选取“不管三七二十一”，抽出其中的数字“3721”，对个别数字进行替换或移位，把“7”变成英文字母中的“L”，把“1”变成英文字母“i”，变成“3L2i”，这样，密码就稍微复杂一点。
　　6 多组合密码。搭配各类数字、字母、大小写、特殊符号的组合，比如一个10位长的随机密码，由于常用键一共有95个，因此一共会有（95的10次方）种组合，较难在短时间内被“暴力”破解。你可以把“3L2i”加上符号变成“3#L*2 i#”。
　　7 在你的密码“3#L*2 i#”和另一个人的密码“123456”之间，黑客肯定首先盗取后者的密码，一旦一个网站的密码发生泄露，你可以比有着简单密码的后者拥有更多的时间进行密码修改。
　　8 最后，隔一段时间，换一下自己的密码，总是能让密码更安全的。
　　■ 历史
　　互联网开创密码伴生
　　“互联网开创第一天，就有了密码。”清华大学高等研究院访问学者，密码分析学家阮风光说。上世纪60年代，互联网雏形初现，当时的计算机体形庞大，一台就占据整个机房。
　　由于每台巨型计算机被很多人共享，为了辨别不同用户身份，需要设置密码，这也决定了此后互联网设置密码的目的：辨别使用者。
　　事实上，密码学要比计算机的历史古老得多。从古罗马时期开始，各国打仗时就常常使用密文形式来传输信息，二战时密码技术更是突飞猛进。今天，在小说如《达芬奇密码》中，我们也时常能读到让人心驰神往的密码破译故事。
　　中国软件评测中心高级工程师朱璇介绍，古典密码学主要有两个基本原理，即“移位”和“替换”，比如，将数字往后移一位，3变成4, 7变成8，或者将字母A换成D，都可以起到加密作用。
　　现代密码学建立在传统密码学基础上，但增加了大量数学、物理学、计算机科学的内容，其对当前互联网技术发展、军事及国家安全、以及商贸、金融等行业的发展起到了至关重要的作用。
　　■ 密码泄露案例
　　国外发生过多起严重的密码泄露案件。
　　1998年，互联网安全网站CERT发现黑客袭击了18.6万多个加密密码，其中，47642个密码被盗。
　　2009年，社交网站Rockyou.com发生严重密码泄露，3200万个密码被盗，其密码以明文形式在服务器上存储。
　　2011年，索尼公司连续遭受四轮黑客袭击，致使过亿用户信息泄露，这些个人信息中包括用户账号密码、电子邮箱、家庭住址、生日等信息。索尼公司公开致歉，美国联邦调查局介入。此事成为近年来最大的网络安全事件。
　　2011年，第一个推行网络实名制的国家韩国发生个人信息泄露事件。韩国青瓦台、外交通商部、国家情报院等国家机构等共40个网站遭到攻击，造成大量用户信息外泄。去年年底，韩国广播通讯委员会提交报告，将逐步取消网络实名制。