近日，山東臨沂準大學(xué)生徐玉玉被騙光學(xué)費郁結(jié)而死的事件引發(fā)了全民關(guān)注。犯罪分子精確獲取徐玉玉的個人信息是案件的關(guān)鍵。

實際上，公民個人信息已經(jīng)進入了危機時代。缺乏立法的有效調(diào)整，公民的個人信息時刻處于“裸奔”之中。何種個人信息被泄露？

近年來，我國公民個人信息安全日益遭遇挑戰(zhàn)。6.88億網(wǎng)民個人信息安全的危機成為我國公民個人信息安全的重要注腳。

中國互聯(lián)網(wǎng)協(xié)會在2016年6月發(fā)布了《中國網(wǎng)民權(quán)益保護調(diào)查報告2016》，對網(wǎng)民個人信息安全的形勢做了全面的梳理。身份信息、網(wǎng)上活動信息和通訊信息是信息泄露的重災(zāi)區(qū)。

下圖顯示，有72%的受訪網(wǎng)民表示身份信息（姓名、手機號、電子郵件、學(xué)歷、住址和身份證號碼等）遭到泄露；有54%的受調(diào)查網(wǎng)民表示網(wǎng)上活動信息（網(wǎng)購記錄、網(wǎng)站瀏覽痕跡、IP地址、位置信息等）遭到泄露。

值得注意的是，另有26%的受訪網(wǎng)民表示個人財務(wù)信息遭到泄露，包括網(wǎng)絡(luò)賬號和密碼、銀行卡號、財產(chǎn)等。這類信息的泄露通常意味著財產(chǎn)的直接損失。

只有10%的受訪網(wǎng)民表示沒有發(fā)現(xiàn)個人信息被泄露過。但沒發(fā)現(xiàn)和沒有泄露是兩回事兒。

有人曾調(diào)侃到，在互聯(lián)網(wǎng)尤其是大數(shù)據(jù)時代，公民個人信息進入了“裸奔”時代?，F(xiàn)在看來，這種調(diào)侃并非完全沒有道理。只是有不少公眾還沒有發(fā)現(xiàn)自己在“裸奔”。

個人信息如何被泄露？

這些信息都是通過什么途徑被泄露的呢？概括起來大致有3類：

APP與社交軟件在用戶完全不知情或不完全知情的情形下收集信息；

商場、醫(yī)院、教育機構(gòu)、金融機構(gòu)、物流環(huán)節(jié)等疏于管理而被內(nèi)部工作人員泄露；

黑客技術(shù)、惡意代碼，破解、盜取相關(guān)信息。

相似的情形也發(fā)生在域外，澳大利亞2014年的一份研究就顯示，公民個人信息泄露事件中，64%系數(shù)據(jù)收集主體的雇員或前雇員泄密；21%則可歸咎于公民個人的疏忽。

個人信息被泄露的后果

騷擾與詐騙是個人信息泄露后最常見的后果。

下表是由中國互聯(lián)網(wǎng)協(xié)會統(tǒng)計的，2016年上半年網(wǎng)民個人信息泄露最常見的14種情形。相信大家對絕大多數(shù)情形都不會陌生。尤其是第2、第4、第7、第11等情形都曾是一段時間的輿論熱點。

在2016年上半年報告?zhèn)€人信息泄露的網(wǎng)民中，59.6%表示遭遇了不同程度的騷擾。

16.2%的表示遭遇詐騙，并且騙子在詐騙時對網(wǎng)民的個人信息了如指掌，從而能夠有針對性地編造精準的騙局，讓人難以防范。本次徐玉玉悲劇正是此類個人信息泄露之后造成后果的典型。

據(jù)報告統(tǒng)計，近一年，我國網(wǎng)民因為垃圾信息、詐騙信息和個人信息泄露遭受的經(jīng)濟損失達到915億元，人均損失133元。就在一年之前，相關(guān)經(jīng)濟損失為805億，一年之內(nèi)增長超過100億！

個人信息安全立法的五大原則

當然，個人信息泄露是全世界面臨的共同問題。它是人類享受互聯(lián)網(wǎng)與大數(shù)據(jù)時代便利所必須遭遇的副產(chǎn)品。

2014年，日本航空公司超過75萬條的各戶信息泄露。同樣是2014年，美國發(fā)生了明星個人照片泄露事件，超過100名女明星的私密照片被黑客公布，其中就包括珍妮佛·勞倫斯。

2016年4月，9340萬條墨西哥選民的登記信息被泄露給商業(yè)機構(gòu)。同年7月，著名商業(yè)機構(gòu)亞馬遜的8萬條用戶信息被黑客攻破獲取。

實際上，公民本人往往是個人信息泄露的重要源頭之一。比如在微博等自媒體上詳細描述自己的多種信息，而在爬蟲軟件日益成熟的背景下這些信息可以被批量收集。所以，防范個人信息泄露首先要對公民個人進行充分的信息安全啟蒙。

除了個人信息安全教育之外，立法也是保障公民個人信息安全不可或缺的手段。

為了應(yīng)對信息的泄露，世界相當部分國家出臺了綜合性的信息安全法案，在不同國家有不同的稱謂，有的稱作“數(shù)據(jù)隱私法案”Data Privacy Laws，有的則稱作“信息安全法案”Information Security Laws。

瑞典1973年出臺的《數(shù)據(jù)法》被公認為世界范圍內(nèi)第一部數(shù)據(jù)保護法案，其中許多原則至今仍然被許多國家借鑒。

在此后的40多年的時間內(nèi)，全球掀起了一股數(shù)據(jù)安全立法的潮流。根據(jù)學(xué)者的統(tǒng)計，截止2012年，全球范圍內(nèi)至少有89個國家出臺了相關(guān)的信息安全法案，包括歐洲幾乎所有國家，以及亞洲、非洲與拉美的相當部分國家。在數(shù)十年的發(fā)展中，信息安全法案確立了五大基本原則：

所有公民個人信息的收集都必須明確說明信息收集的目的；

信息收集主體不得將收集到的公民個人信息轉(zhuǎn)讓給其他個人或組織，除非法律明確授權(quán)或者基于公民個人的同意；

在信息收集目的實現(xiàn)或消失的情況下，所收集的個人信息必須刪除；

禁止將公民個人信息轉(zhuǎn)移到安全措施不到位的特定位置；

部分極度敏感的信息不得收集（如性傾向、宗教信仰等），除非在極度特殊的情形下，并且有法律的明確授權(quán)。

目前，我國公民信息安全保護方面還有一些不盡如人意的地方。比如，有些信息收集主體將收集的公民個人信息用以商業(yè)開發(fā)或轉(zhuǎn)讓給第三方；相當部分信息收集主體對公民信息沒有完善的加密程序，給黑客以可乘之機；公民個人信息經(jīng)常在安全措施不到位的環(huán)境中傳遞等等。

好在，目前我國《網(wǎng)絡(luò)安全法》已經(jīng)公布的相關(guān)的草案并于今年進行了第二次審議，其中有專章規(guī)范公民個人信息的保護。希望徐玉玉事件能夠加速該法案的出臺。