新京报：严惩泄露源头，方能保护公民信息

　　保护公民信息，既要打击信息贩子，也要挖出躲在医疗、教育等系统内部的信息“蛀虫”。

　　12月24日，十一届全国人大常委会第三十次会议审议了委员长会议提请审议的《全国人民代表大会常务委员会关于加强网络信息保护的决定(草案)》(以下简称“草案”)的议案。该草案对网络服务提供者和其他企业事业单位收集、使用个人信息的规范及其保护个人电子信息的义务作出多项规定，政府有关部门及其工作人员对在履行职责中知悉的公民个人信息同样负有保密和保护义务(据新华社报道)。

　　我们的个人信息资料，经常在网络上被贩卖。冤有头债有主，泄露也是有源头的。其中一个不容忽视的来源，是网站、电信运营商、银行等机构的“内鬼”。

　　比如，最近警方披露南京许某通过网上购买公民征信资料、骗办信用卡、盗刷牟利的案件，信息泄露的源头是某银行合作单位的工作人员。他从银行内部窃取公民征信信息后拿到网上贩卖。今年上海警方在办理信用卡诈骗案时发现，犯罪嫌疑人用于作案的大量公民个人信息均购于互联网，并成功抓获负责某卫生局信息数据系统运行维护的嫌疑人张某某。

　　事实上，2009年通过的《刑法修正案(七)》规定：出售或者非法提供公民个人信息为犯罪。该法条剑指的主要对象，就是公权机关及银行、医院等“准公权机关”。当时全国人大常委会法制工作委员会副主任郎胜解释，国家机关在履行职权的时候，或者是一些公共服务机构在向社会提供服务的时候，凡是收集公民个人信息的都要有法律依据，都须承担对这些信息予以保密的义务。

　　但从已公布的多起案例看，刑事打击的主要对象还是信息贩子，鲜有教育招生、医疗机构等人员因为泄露信息而受追究的。其中，固然需要司法机关拿出“执法勇气”，另一方面，还需要由法律定纷止争，划出合理利用和非法泄露个人信息的边界。

　　对此，“草案”对有关单位收集、使用个人信息的规范及其保护个人电子信息的义务作出多项规定，这无疑是一大进步。

　　有了严密的法律，才能有完善的权利，保护公民信息，既要打击信息贩子，也要挖出躲在医疗、教育等系统内部的信息“蛀虫”。

　　另外，现行的法律处罚泄露公民信息的力度不够，难以触动网站、电信运营商等责任方。比如，去年被曝光的CSDN泄密门，导致包括600多万个注册邮箱账号和密码被泄露。今年3月此案告破后，北京市公安局依《计算机信息系统安全保护条例》，对CSDN网运营公司的处罚仅仅是行政警告；而之前网站也只是轻描淡写发了一封道歉书。造成数以万计的客户信息泄露，相关银行账号置于危险之中，而对网站的问责仅是被警告和道歉，没有支付一分钱的赔偿。

　　前述的两起以银行、卫生局为泄露源头的案件，至今，相关主体的真名实姓都未被披露，遑论道歉、赔偿。

　　严惩信息泄露源头，既包括立法明确政府的监管责任，严格规范招生、医疗、银行、网站等机构处理公民信息的流程，违者课以重罚；也包括立法规定由网站承担自己未泄露信息的举证责任，否则即推定其有过错，方便公民维权。