千万密码泄露的警钟为谁而鸣？

“泄密门”提示人们:在互联网时代，网络安全意识应该像日常交通安全意识一样作为常识被确立......而在正推行的网络实名制中，由于网站用户和身份资料紧密捆绑，也使网民信息泄露的风险大增。如何严格保密，将是网络实名制不得不面临的考验。

继12月21日国内最大的开发者社区CSDN.NET的600万用户的账号和密码遭黑客泄露之后，天涯又传出有4000万用户的密码流出。此外，涉嫌被黑客公布用户信息的还有人人、开心、多玩、7k7k、178游戏、嘟嘟牛等网站，涉及用户资料估计超过五千万份。

中国互联网从来没有像现在这样让人感到不安全，“泄密门”影响下，为了保护个人隐私和权益，成千上万的网民不得不着手修改其上网密码。

“泄密门”的爆出，终于使原来潜伏在水面之下的互联网信息安全问题成为公众关注的焦点。尽管在此之前，网站密码库的泄露在技术圈子内早已是公开的秘密，但一般民众并不知晓，而相关网站为了维护商誉与商业利益，也不会主动坦诚自己曾经遭遇黑客攻击。因此，从敲响网络安全警钟的角度讲，“泄密门”的爆出，对中国互联网的发展并非全是害处。

首先，被“泄密门”警醒的应是中国的广大网民。在互联网时代，网络安全意识应该像日常交通安全意识一样作为常识被确立，但“泄密门”却暴露出中国网民安全意识普遍较低的现状。以CSDN为例，作为国内权威的技术论坛，该社区的用户在技术方面堪称专业，但流出的CSDN密码却显示，大批用户使用的是12345678、11111111这样超简单的密码。不设置过于简单的网络密码、不在不同网站使用相同密码、不在互联网上存储过于隐私的资料......这些常识还远未成为常识。

另外，应该被警醒的还有互联网公司们。由于缺乏相关法律依据，且同为泄密事件的受害者，遭泄密的网站目前似乎还不必为“泄密门”担责，但是，这并不能说明他们在泄密事件中没有责任。比如，对用户密码进行加密存储，应该是商业网站的运营常识，然而，由于种种原因，像这次泄密的CSDN、天涯等网站，却长期使用明文密码，以至轻易遭窃。

很多网站为了吸引更多用户、实现更好的用户体验，而刻意简略注册过程，纵容用户使用简单密码，从而给黑客留下了可乘之机。对于这样的网站，今后应该通过完善《网络信息安全法》之类的立法，以追究其渎职之责。

对于那些因为“泄密门”连累而遭受损失的网民来说，他们当然希望能够讨个说法，但至少到目前为止，被泄密的互联网公司还很难成为究则对象。原因之一是因为网站本身跟用户一样，也是黑客攻击的受害者；原因之二则是因为缺少相关法律。即便从世界范围看，这样的案例也很少见，比如，近几年国外曾发生过多起大规模的信用卡泄密事件，其恶果要远超中国的这次“泄密门”，但也没有相关公司为此承担法律责任。所谓道高一尺，魔高一丈，再严密的系统也难免有漏洞，如果仅仅因为漏洞的存在而建立对互联网公司的究则制度的话，将会影响到互联网业的发展。要在“泄密门”事件中实施正义，偷窃信息的黑客应是主要究则对象，但前提仍是完善现有法律。在现有的法律框架下，黑客单是在网上公布网站数据库而非牟利的话，法律该如何对待仍有争议，即便在国外也是如此，比如黑客破解苹果手机系统，并协助他人越狱，即被判合法。

当然，对于黑客，或者商业网站或其内部人员有恶意泄露用户信息牟利的行为，则应该被追究责任。2009年《刑法修正案(七)》新增的“侵犯公民信息安全罪”，已有相关规定，也有现实案例。

当前，微博实名制、铁路网上实名售票等正在推行，“泄密门”也提示人们：由于网站用户和身份资料紧密捆绑，这也使网民信息泄露的风险大增。如何严格保密，将是网络实名制不得不面临的考验。韩国也曾主导推行过网络实名制，但最终受挫，导火索正是源于一起数千万用户个人真实信息泄露事件。

对此，国内互联网公司和相关监管部门不可不鉴。尽管，这些问题可以通过技术手段实现，但是，最重要的还是完善相关法规，明确各方保护互联网个人信息的责任。用法律逼迫网站安全技术升级，同时也应让那些不负责任的网站，依法受到惩罚。

而在此前因网游防沉迷系统由游戏公司收集验证用户身份证信息的做法亦应重新检讨。

欲思其利，必虑其害。随着科技的进展，人类正在步入“数字化生存”，数字与数据为人类生活正提供给着越来越多的便利，但“数字化生存”并不等同于“数据库生存”。“泄密门”告诉人们，对于现代生活中越来越多的数据库，应该有一个辩证的认识：数据库不是越多越好，而人也不决不能因过度依赖而成为数据和密码的奴隶，否则，就很可能发生那些科幻小说里预言的悲剧：人之作为人的特性被剔除，自由的社会也濒临毁灭。

（原文刊载为今日《新京报》社论，有删节。）