如果法律对敏感个人信息的持有行为,类比于对敏感药物的持有一样的法律立场,那么我们就有希望在现实与网络空间上不断收缴与清除流失的个人敏感信息痕迹

　　近日,多名百度云用户发现自己的账号被盗,一夜之间网盘内所存的大量文件消失,有的甚至被塞满黄片。调查发现,至少50万账号被盗。这一事件给百度云团队带来了严重的影响,也让许多用户对百度云产品在信息安全方面产生质疑。

　　云计算及云储存是大数据化后的高端信息技术。按理说,高阶技术条件下的产品,抗黑客攻击的能力应高于低阶技术产品。而让人震惊的是,百度50万账号“被黑”事件,并非是一场牺牲于“技高一筹”的黑客攻击下的泄密事件,而是一次非常普通的“撞库”泄密事件。更让人震惊的是,低成功概率的原始“撞库”行为,居然撞出近百万账号!这背后的原因令人忧虑。

　　“撞库”之所以成功率如此之高,是因为“撞库者”拥有高质量的“个性信息”库。这些高质量“个性信息”库的形成,源于大量包含个人账号及密码的个人信息在网络空间被一些不法分子随意流通买卖。

　　我们注意到,现在越来越多的网站或单位要求用户注册及开立账户,当这样的征信注册越来越频繁之后,再小心翼翼的用户也会出现数个账号与密码交错或同步使用情况。当越来越多的网站或单位相继陷入大规模泄密之后,这些流失的“个性信息”有可能成为下一场大规模泄密的原因。这说明,除法律进一步加强对征信单位的信息安全要求之外,法律应对流失于外的个人敏感信息的流通与持有环节加大介入程度。

　　如果法律对敏感个人信息的持有行为,类比于对敏感药物的持有一样的法律立场,那么我们就有希望在现实与网络空间上不断收缴与清除流失的个人敏感信息痕迹。凡是有人在说明不了合理理由的情况下持有他人敏感个人信息的,应类比于持有毒品一样的行为予以司法介入,那么,目前广泛流传于网络空间的这类信息就会越来越少,“撞库”的基础数据库就无法有效建立起来。事实上,这次百度账号被黑事件中,犯罪嫌疑人最初以拥有的2000万条“个性信息”,成功“撞”出了50万个他人账号。而且有人居然在淘宝店公然售卖个人账号与密码,只要他无法说明这些账号为其本人持有,那么就有理由指控其售卖的是“被盗物”。

　　当前有关规范信息安全的法律,基本上以前端控制为主,即强化对征信单位的信息安全管理要求。然而,前端控制的办法却无法保证让那些已流失的敏感信息自动消失。流失信息一旦沉积不除,就有可能变成一场“泥石流”。百度泄密于这么普通一次“泥石流”撞击,说明我们的信息安全工作环节是多么薄弱。

    (作者系西南政法大学政治与公共管理学院副教授)