4月5日,工业和信息化部信息安全协调司副司长欧阳武透露,《信息安全技术　公共及商用服务信息系统个人信息保护指南》目前正在国家标准委进行最后的技术审批,预计今年上半年正式出台。指南由工信部直属的中国软件测评中心牵头,联合近30家单位起草。指南规定,个人信息用后须立即删除。我国信息技术保护不容乐观,甚至已形成利用个人信息从事非法获利的黑色链条。据估计,个人信息泄露中70%-80%属内部作案,这是“安全保障”原则没能落实好所致。

焦点
标准不是强制性的
　　在个人信息安全缺少专门法律规范时,一部行业标准成为业内的希望。“去年正式通过了评审,报批国家标准。”中国电子信息产业发展研究院院长、中国软件评测中心主任罗文希望今年能通过这项标准,以拓展个人信息保护的体系。
　　指南对个人信息的处理包括收集、加工、转移和删除四个主要环节,其中还提出了个人信息保护的原则。
　　工信部安全协调司副司长欧阳武介绍:“这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。”“最少使用”就是获取一个人的信息量时,只要能满足使用的目的就行。
　　中国软件测评中心常务副主任黄子河举例说,一些网站本是办一个很小的事,却让用户填包括家庭住址、手机号在内等很多信息,这就不符合“最少使用”原则。
　　“安全保障”则是要个人信息管理者一旦收集了个人信息,就必须建立一套个人信息保护制度,明确责任人和内部管理流程,以及应对个人信息泄露的风险。
　　中国软件测评中心的副主任高炽扬估计,个人信息泄露中70%-80%属内部作案,这是“安全保障”原则没能落实好所致。他介绍说,一些商业公司掌握大量个人信息,由于管理制度疏漏,一些内部员工未经授权就能获取客户信息。
　　依照《个人信息保护指南》,在收集个人信息阶段告知的“使用目的”达到后应立即删除个人信息。
　　而让人担忧的是,这个指南标准不是强制性标准,甚至也不是推荐性标准,标准通过会对行业起到多大的规范效力,仍待观察。
现状
法规难管信息泄露
　　工信部电子科技情报研究所副所长刘九如统计,目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定,医疗信息规定,个人信用管理办法等。
　　“针对个人信息的法律法规并不少,然而内容较为分散、法律法规层级偏低。”刘九如说。
　　刑法修正案(七)被认为是个人信息立法的标志性事件之一。2009年,刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴,规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。但是,这一犯罪主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。除此之外,还存在着互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位。
　　诸多法律界人士认为,刑法未明确该罪的具体界定标准,这一条款还有进一步改进和完善的空间。另外,法律中对信息泄露者惩罚机制不够。
　　工业和信息化部副部长杨学山说,个人信息保护实行面广,一定要从法的角度规范,才能使这项工作在法律上有依据。

记者探访个人信息交易各环节　“盗号团队”按分工定分成
　　接到莫名其妙的推销电话,邮箱、QQ甚至网银密码被盗……到底是谁出卖了我们的信息?我们的个人信息通过什么渠道扩散的?在互联网日益发达的今天,我们时不时产生这样的疑问。其实在一个特殊的群体看来,个人信息的买卖早已是家常便饭。有人编程、有人攻击网站盗取个人信息,有人网上叫卖,有人从中进行倒卖。这个特殊的群体中间既有黑客,也有专门的公司从事这项业务。近日,记者接近了这个特殊的群体,了解个人信息交易背后的一些真相。

黑客
多聚在QQ群或论坛
　　“拖库”,是指从数据库导出数据,“拖库”作为威胁互联网安全的最大隐患,也为普通网友所熟知。
　　360公司网络工程师小雷告诉记者,有能力通过攻击服务器“拖库”的“黑客”,分“黑帽”和“白帽”,黑帽就是利用网络漏洞制作攻击病毒获利的这部分人。“他们一般不直接露面,也不直接攻击网站,主要是卖技术。”一位网名为Ferry的知情人士告诉记者,现在网络黑客基本是通过拖库、挂黑链(简单地说,就是在被黑网站上链接自己指定的网站)赚钱。他们平时主要聚集在QQ群或者论坛,通过网络进行交易。卖力的“黑帽”,一个月就靠卖“黑链”、卖恶意代码,多的可以获利十几万,赚上万元则是很普遍的。
　　Ferry说,这些交易往往见不得光,交易隐蔽性非常强。有的“黑帽”采取团队合作,分工合作,获利后按照约定分成,越高级的技术人员分得越多。“一个团队可能来自全国各地,也可能从境外潜入,一般的网站很难防御。”而这些人之间的合作,基本上用的是虚拟的身份,有一套固定的交易模式,一般人无法渗透其中,也难以掌握这些合作者的真实身份。
脚本小子
用别人的病毒攻击
　　小雷说,对于大型有组织的攻击,一个人无法完成,需要大规模的合作。拖库、扫描漏洞、交易数据库等等,他们分工明确。其中人数最多的一类被称作“脚本小子”,他们并不真正掌握编写病毒技术,主要用别人编好的工具去攻击网站。掌握这些手法很容易,在很短的时间里上网拜师或者从地下论坛购买工具就能操作。若以具体比例估计,每1000名黑客对应的“脚本小子”会超过10万人。
　　据网络工程师小张介绍,在对一个网站攻击前,需要通过扫描了解这个网站安装了什么软件、有什么“后门”、安全性如何。这个步骤大部分就是“脚本小子”来做。常用的工具是一种漏洞扫描器,扫哪个网站有漏洞,可以去攻击它,获取用户个人信息数据。
销售
一万个账号卖50元
　　“脚本小子”们的电脑连接着的另一端就是庞大的网络信息消费群体。
　　小雷举例说,按照保守估计,CSDN泄露的600万用户信息,若其中10%有效,那么就有60万网络用户信息被黑客掌握。获取这些信息以后,可以直接侵入别人账号、邮箱获取有用的信息,也可以在网上打包销售。购买者主要会用于网络推销、电信垃圾广告、电商垃圾邮件。
　　“有客户需要利用微博来刷广告,那么就有人针对微博编写一个程序,只要把数据库套入就能自动批量试。”小张一脸轻松地说,测试成功的就添加成新的库在网上转卖。“其实这个很简单,几乎是零成本。”据一些网络高手曾经测试的结果看,CSDN泄露出来的密码成功登录同一用户的另一个账号,成功概率高达20%。
　　交易也非常简单,在网络上有专门的地下黑客论坛或者通过QQ聊天交易。小张曾经在网站上看到一则消息,有人拿到了300万的数据库销售。他试着与这个黑客取得联系,“1万个账号50元,对方为了让你相信,还会先给你10个免费测试是否好用。”
　　这种形式贩卖网络用户信息,获利非常大。小张说,别小看这几十块钱的1万个信息,掌握这样库的黑客,手里都有上百万的用户信息,可以多次销售给不同的人。
产业
银行商场也卖信息
　　今年27岁的王旭,在沈阳有过一段“话务营销”经历。“话务营销”是业内术语,现在有了更时髦叫法:信息咨询营销。说白了就是买卖个人信息。从网络等途径买到的个人信息,在他们手中成为倒卖的商品。
　　2005年,他加入了沈阳市一个小型的“话务营销”公司,他的主要工作是与“客户”接头交易。他们卖的信息有很多类,既有业主信息、车主信息,甚至还有一些大企业或是政府工作人员的信息。“普通业主信息、车主信息是一般货,卖不了多少钱。如果有某一个行业的管理人员信息、政府人员的信息,这就是‘牛货’,能卖大价。”
　　王旭所指的“大价”指的是3000元甚至更高,一般信息100元到800元不等。
　　“话务公司”的信息是从哪里来的呢?王旭说,一般“话务公司”在各行业或者企业内部有自己的“线人”。“像银行、商场、4S店,这些企业有很多个人信息。公司会给这些线人钱,让他们透露一些出来。”对于具体的价格,王旭并不清楚,但在他的印象中,应该至少有五位数。另一个获得信息的渠道是从同行处购买或者交换。
　　　　　　　　　　　　　　据《新京报》