上海市兩位在IT業(yè)工作的白領近日因在一份名為“2000萬開房數據”中查到自己在酒店開房的信息,認為隱私受到侵犯,遂向酒店發(fā)起訴訟。

專家認為,該案是公民隱私受到侵犯的新型法律范疇事件,如何保護公民隱私對當下法律是個新的挑戰(zhàn)。個人信息安全立法必須加快步伐,如果沒有專門的個人信息保護法作基礎,如何認定違法將會是一個難題。

國內首例個人信息泄露維權案

王金龍和張威是上海一家公司的白領,兩人從事信息安全工作10多年,都是專職的信息安全講師。出于職業(yè)習慣,兩人對個人隱私和信息安全保護意識都非常強。即便如此,近兩年來,他們也遭受到各種垃圾短信、營銷電話的騷擾。

隨著“2000萬開房信息”被泄露到網上,張威很輕易就下載到這份數據庫。當他查找自己的信息時,發(fā)現包括姓名、身份證號、性別、出生年月日、手機號及注冊郵箱在內的詳細個人信息都一覽無余。

由于工作原因,張威經常出差,“這些信息和我出差住酒店的記錄完全吻合。”　

張威檢索發(fā)現,網上有400多個種子提供下載,資料泄露呈幾何級發(fā)展,傳播范圍已經很難預估。

“這些數據中包含的個人信息太精確,肯定會被加以分析利用,后果事實上是難以改變了。”張威擔心地說。

“作為信息安全講師,我們一直告訴別人如何做好信息安全,到最后發(fā)現連自己的隱私都保護不了。”王金龍和張威表示。

相比這種直接的挫敗感,更讓他們擔心的是,法律在信息安全保護上的不足,以及個人維權的無奈。最終,兩人決定用實際行動來推動信息安全保護。

據記者了解,上海市律師協(xié)會電子商務與網絡法律委員會主任商建剛和同事黃海東律師,已接受王金龍和張威的委托,以個人名義向酒店發(fā)起訴訟。1月12日,上海市浦東區(qū)人民法院已受理該案,這在國內尚屬首例。

商建剛表示,如何阻止信息繼續(xù)擴散和泄露,這應該是拋給侵權方的問題。“修復漏洞,刪除網上擴散的信息,也是我們的訴訟請求。”

“我們希望能夠給那些不重視信息安全的商家以警示,給那些認為可以隨意買賣個人信息的人員以警示,給那些正利用我們的信息謀取不義之財的人以警示。”王金龍說。

上海86萬人開房記錄遭泄露

30歲的楊小姐是上海某高校的老師。半年多前,經父母的朋友介紹,她參加了一次相親活動,認識了許先生。

35歲的許先生在國企工作,說話風趣幽默,頗得楊小姐的歡心。兩人很快便談起戀愛,感情迅速升溫,已到了談婚論嫁程度。誰知,就在兩人的愛情即將修成正果之際,卻突然分手了。

楊小姐聽同事說,網上正在流傳一個數據庫,里面包含數千萬人在過去多年的開房信息。為了“考察”未婚夫,楊小姐下載了這個數據庫。

查詢結果顯示,許先生在幾年前幾乎每周都有幾個晚上到賓館開房,而且從入住時間和退房時間來看,每次都不過夜,只逗留兩三個小時。楊小姐最終決定分手。

王金龍通過分析,完成了《上海市民信息泄露情況分析報告》。該報告顯示,在2000萬個人信息中,經過過濾,去除一些無效或重復的信息,可以得到約1800余萬條個人準確的身份信息,涉及上海市戶籍人口為86萬多人。按上海市戶籍人口1400萬計算,相當于每17個上海人中,有1人的身份信息在其中。

據統(tǒng)計,網上流轉的1.7G數據庫中包含涉及個人信息的33個字段。其中,27個字段內容相對較完整,14個字段內容直接涉及個人信息,包括姓名、性別、國籍、民族、身份證號、生日、地址、郵編、手機、固話、傳真、郵箱、公司、住宿時間。

除上述直接信息外,在泄露的數據中,通過對郵箱地址的分析,還可以發(fā)現一些隱性個人身份信息。包括個人的QQ號和個人網絡的常用用戶名(郵箱地址中@前部分內容)。

立法保護個人信息迫在眉睫

上海政法學院社會管理學院院長章友德認為,楊小姐的案例表面上看是道德范疇,其實是公民隱私受到侵犯的法律范疇事件。

“男女通過相親認識,彼此之間的認知可能僅停留在一些表面的因素,一旦因為信息泄露而使得一方過往不良行為暴露在對方眼前,便會被無限放大,從而引發(fā)信任危機。”章友德說。

上海律師王展則認為,開房信息屬于比較私密的個人信息,從法律上講,將這種私密信息通過網絡、通過海量數據庫的方式大規(guī)模地泄露出去,使得私密信息被他人窺視,這就是侵犯隱私權的行為。“查開房”僅僅是冰山一角,信息泄露的情況會逐漸蔓延到醫(yī)療、電子購物等領域,甚至會引發(fā)詐騙案件。

專家認為,目前我國對于泄露信息的處罰,沒有相關的法律體系作為支撐,還未形成一個統(tǒng)一的、關于個人信息保護方面的基本大法,僅在民法和刑法中個別提到,且量刑不高。

要解決信息泄露問題,首先是在源頭加強安全防護,不斷修補網絡漏洞,降低信息外泄的可行性；其次是完善個人隱私泄密的法律,制定并不斷完善《個人信息保護法》。有了一部專門的法律,才能明確監(jiān)管責任,才能明晰企業(yè)處理個人信息的邊界和責任,也才能讓販賣個人信息者罪當其罰。