密码泄露危机暴露个人信息保护短板

　　近日，陈永东接受了《中国青年报》记者的采访，讨论了最近国内互联网大量用户账号密码泄漏问题。以下为该报记者来扬采访了陈永东等人之后撰写的文章：　　

    2012年尚未到来，密码危机却提前上演。近日，国内多家网站遭遇史上最大“泄密”事件：先是中国最大的开发者技术社区CSDN的600万用户数据库被泄露，继而包括天涯社区在内的多家国内知名网站被传密码外泄——范围涉及社交、游戏、婚恋、电子商务等领域，网络新秀微博也未能幸免。

    别查了，还是赶紧改密码吧

    尽管一些网站否认了这一说法，但CSDN和天涯都已在各自的首页上刊登了致歉信和建议用户修改密码的提醒。

    12月21日晚，CSDN发布公告，就部分用户数据泄露事件向用户表示歉意，提醒用户修改相关密码，“如果您在其他网站也使用同一密码，请一定同时修改相关网站的密码”。两天后，CSDN给出了关于账号信息修改的详细说明。

    天涯社区也从12月26日起在首页置顶了相关告示，坦承其也是遭受黑客攻击并导致部分用户数据库外泄的受害网站之一。在致歉并提醒用户重置密码的同时，天涯社区还表示，“已向公安机关报案，公安机关也正在调查相关线索”。

    一时间，借助第三方查询工具查看自己的账号是否被外泄成了不少用户的直接反应——这在一定程度上推动了一些外泄密码查询网站在短时间内流量暴涨，有的提供查询的网站甚至需要反复提交多次请求后，才能返回结果；也有查询网站以调侃的语气劝告用户：别查了，还是赶紧改密码吧。

    在一些用户忙着修改密码的同时，有网友从被泄露的密码中找乐子。一条名为“CSDN杯我最喜欢的密码大决选”的微博列出了此次遭遇泄露的密码中的冠亚军：亚军：hanshansi.location()!∈[gusucity]——姑苏城外寒山寺；冠军：hold?fish:palm——鱼和熊掌不可兼得。

    另一个类似评选的“总冠军”颇具特色：ppnn13%dkstFeb.1st——翻译之后就是：“娉娉袅袅十三余，豆蔻梢头二月初”，出自唐代诗人杜牧的《赠别》一诗。

    在IT从业者阿杰看来，设计再复杂、再有内涵的密码，如果网站没有相应的保密措施，在黑客眼里尽可一览无余，也就谈不上保密了。

    “发生密码泄露事件后，可能用户自己还觉得很安全；但在别人眼里，你的一些个人信息已经在‘裸奔’了。”中国传媒大学政法学院教授王四新说。

    密码危机 谁是受害者

    在王四新看来，在最近发生的密码危机中，个人信息被泄露的用户是最直接的受害者；而“网站的生存是要靠用户的。如果用户的个人信息得不到有效的保护，可能会导致用户流失，他们可能不再相信、不再登录你的网站。”王四新说，“因此，一些互联网服务提供商也是密码危机的受害者。”

    “互联网是一个桥接各种社会资源的平台，用户在网上建构自己的身份，结交私密的朋友，购买自己喜欢的商品和服务。”王四新分析说，随着互联网技术发展和应用的普及，以互联网为终端的各种产业纷纷兴旺发达。但互联网相关产业的繁荣是建立在安全和信任的基础上的，“泄密可能会导致网络银行账户内的财产受损，个人信箱或页面上的私密信息被外人查看。如果用户有这种担心，就会对互联网上的信息存储、交友、交易等活动产生不信任感。进而影响到互联网产业的发展。”王四新说。

    上海戏剧学院信息中心技术主管陈永东副教授撰文分析了在此次密码危机中可能受影响的三大群体：用户是最主要的担惊受怕者，辛苦支撑着网站的站长们会面对巨大的压力，此外，制造危机的黑客会因为“不符合黑客精神”而受到质疑。“不将你已破解的账号分享于你的朋友”是一条黑客守则，“此次大面积密码泄露至少说明泄露者没有遵守这一守则。”陈永东在文章中写道。

    陈永东认为，用户个人信息泄露的损失应该直接追究的是网站的责任。原则上网站利益也受到了损失，应归咎于攻击网站并窃取信息甚至获得非法利益的人（如黑客）。他说，“但是，网站也存在管理不严密的情况，国内对于不同级别的网站通常有不同级别的安全防范措施要求，如果达不到这些要求，这些网站的主办方也负有相应的责任。”

    目前，CSDN和天涯社区都已开始针对用户个人信息泄露及可能产生的连锁反应，而采取相应的补救措施。

    12月26日上午，有用户在微博上向CSDN创始人蒋涛反映：“近几天垃圾邮件明显成倍增加。”

    12月27日，CSDN邀请了多位安全界的专家研讨对密码危机的应对。当天中午，蒋涛发表微博称，对系统安全和数据安全的忽视是这次密码危机的主要原因。当天23时37分，他又发微博提醒用户，钓鱼网站、垃圾邮件“都活跃起来了”。

    28日9时许，蒋涛再发微博，列举了CSDN在第一时间做的6项补救措施：联系下载源禁止下载，公开道歉，重置密码通知相关用户，联系邮件服务商发送邮件通知，向公安机关报警并协助调查，联系安全公司对CSDN全站系统进行审计、查补漏洞。

    “关于事件的进展和用户补偿，限于还在调查中不便透露，以后我们会公开。”蒋涛说。

    专家呼吁完善个人信息保护立法

    针对此次密码危机可能给用户带来的风险，一些安全软件企业也开展了应对。

    卡巴斯基安全专家分析此次密码泄露事件的原因时称，一方面，由于某些网站采用了明文密码保存方式，被黑客轻易破解，导致用户资料泄露；另一方面与网友平时的密码使用习惯有关。网友经常是一组账号密码通用在各大网站注册，一个账号泄露则与之相关联的多个网站账号密码也同时泄密，从而导致此次密码泄露事件的进一步扩大。

    在给用户的提醒公告中，CSDN和天涯社区都建议用户同时修改也在其他网站上使用的同一密码。

    卡巴斯基安全专家在给网友的建议中指出，从技术上提升密码管理级别，并尽量养成良好的密码使用习惯。对网络应用比较多的网友，最好使用含有密码管理器功能的安全软件，对自己的账号密码实行“分级管理”，在不同的网站使用不同的账号及邮箱，确保对密码的安全使用。

    在陈永东看来，除了用户增强密码保护意识，网站加强安全防范，黑客要守住底线“黑亦有道”之外，完善对个人信息保护的相关立法也是今后避免类似密码危机的解决之道。

    “目前有关互联网个人信息保护的相关法规确实并不健全，相关的责任界定也不是很清楚。”他说。

    王四新告诉记者，目前，对于个人信息的立法保护，我国只有2009年通过的《刑法修正案（七）》将非法提供和非法获取公民个人信息纳入刑事制裁范畴，“但仅有刑法来规制是不够的”。2009年2月28日，第十一届全国人民代表大会常务委员会第七次会议通过《刑法修正案（七）》。该修正案新增了两项关于侵害个人信息犯罪的罪名：出售、非法提供公民个人信息罪和非法获取公民个人信息罪。但在司法实践中，相关条款的适用非常罕见。

    在王四新看来，近年来我国发生的个人信息泄露的案例并不少见，这与社会缺乏对个人隐私权文化的认可有关。“在美国、欧洲等很多国家，对隐私、个人数据的保护都有专门的立法。”王四新说，“我国需要完善对个人信息保护的立法，增强公众保护隐私和个人信息的意识。”

    中国社会科学院法学研究所研究员周汉华在接受媒体采访时也表示，如果靠民事执法来保护个人信息安全，成本非常高，且取证困难，如果用刑事执法，虽然《刑法修正案（七）》将非法提供和非法获取公民个人信息纳入刑事制裁范畴，“但刑事制裁还是一个事后手段，并且各地的进展不平衡。”他还表示，我国目前对于个人信息保护的立法进程，在某种程度上处于停摆的状态。周汉华和他的课题组在6年前便起草了《中华人民共和国个人信息保护法（专家建议稿）》，但相关立法进展并无下文。（原作者：来扬，本文已刊载于《中国青年报》2009-12-19第12版，被采访人陈永东电子邮件：cyd888@sina.com）