“考研信息泄露”为个人信息安全敲响警钟（2）

邬迪：这个泄露环节很多，比如像系统漏洞导致的泄露就是很直接的，也是网络上的攻击者经常用的一种，就是外部的人通过一些漏洞进去把数据库“脱裤”，这也是乌云网上看到的最多的。另外，也有可能是内部原因比如管理不当等。我们现在只是猜测，正在调查中，还没办法确定到底是什么原因。

作为立足计算机厂商和安全研究者之间的安全问题反馈及发布平台，用户可以通过乌云网在线提交发现的网站安全漏洞，企业用户也可通过平台获知自己网站的漏报。邬迪坦言，现在发现的漏洞越来越多，每年都以成倍的速度在增长。

邬迪：现在每天后台都能看到有几百个漏洞在提交，一般200个以上。目前的趋势看，漏洞的数量是迅速递增的。去年一年，我们大概收到4万多个漏洞，前年是2万多个，再往前是1万多。我们最初收集到的更多的是互联网公司的漏洞，现在这块也比较多。过去没有在互联网上的一些系统，比如政府、金融的一些系统都是在局域网或者要去柜台办理的，但近年来，这些系统也逐渐搬到互联网上，出了很多问题，漏洞在增加。

邬迪说，要防范并及时弥补漏洞，并不容易。

邬迪：一些大型的金融机构、互联网企业等，一般有专职的安全团队去做，但是对于普通企业，特别是互联网金融、O2O等很多创业型公司，早期可能就是程序员、开发人员做一些业务，但现在能力上、经济实力上或者关注点上还没到安全这一块，所以问题比较多，短期内也比较难解决，可能会原来越多。

不能让考研信息泄露“年年有今日”

考研临近，又有诸多网友爆料：广告短信横行，推销电话如云。事实上，几乎每年这个时候，考研者类似的抱怨，都会准时上演，一出“年年有今日”的繁荣景象。而更加悲催的是，不仅考研如此，高考、国考、省考，甚至前些年考英语四六级，都是如此，都有“先知诸葛们”知道你要参加什么考试，然后“点对点”地给你提供推销服务。对于这样的景象，显然不能用“见怪不怪”来形容，而必须提高警惕，因为这事关信息保护的大事。

一个显而易见的问题是：考生的信息，到底是谁泄密的？目前仍不得而知。但仔细分析不难得出真相：要么是网站泄露的，因为他们拥有第一手资料；要么是黑客侵袭的，他们卖考生信息牟利。但不管怎样，没有买卖就没有伤害，在信息泄密背后，早已形成了完整的利益链条。据内部人士透露，“信息一般按照文件大小来销售，打包的文件大多是上百兆有上千条信息，一般是几万元，有时候可达上百万元，有人会利用信息诈骗，有人会给用户发广告或垃圾信息牟利……”

对于这样的利益链条，我们必须着力斩断，因为这就是对公民权益的侵害。遗憾的是，我国关于保护个人信息的规定却散见于多部法律中，如宪法、刑法、侵权责任法等，而且多是以保护个人隐私、通信秘密等形式出现。这一方面可操作性不强，另一方面也不符合互联网时代的信息保护需求。此外，虽然近年来全国人大常委会、各行业主管部门都先后制定了一些规范性文件，如《关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等，但其现实的法律效果很有限。

当信息保护遭遇尴尬，当考研者甚至是考生信息泄露又“年年有今日”，对相关问题进行求解，无疑迫在眉睫。他山之石可以攻玉的道理，早已为人所知。就眼下而言，不妨学习一番外国的经验。如在德国，采用的是立法模式，其出台了个人资料保护法；而在英美法等国家，则采取立法与行业自律并行的模式，如美国通过《隐私法案》等法律和行业自律来保护个人数据。就我们而言，这些国家的经验，无疑是值得借鉴的。

但无论学习何种模式，一部专门的《个人信息保护法》，理应不再是镜中月水中花。显然，多数考试时，都会有“集体性信息泄密”的传闻，这必然属于“情节严重”的侵犯个人隐私的行为，对这样的行为，必须在民事与刑事两个方面求解。一方面，给予被泄密者的民事补偿应该涉及；另一方面，对于泄密者的刑事责任也不能忽略。而这，不仅要有法可依，更要有法必依。不能让信息泄密“年年有今日”，相关部门的行动，的确应快马一鞭了。