维护信息安全，给信息数据树起“防火墙”

　　无论是黑客入侵、“内鬼”窃取，还是本案这样“监听”劫持，利用的都是信息数据管理防护的漏洞甚至是不设防。

　　近日，堪称“史上最大规模数据窃取案”被浙江绍兴越城区警方侦破。警方查明，一伙犯罪分子利用非法窃取的30亿条用户数据，操控用户账号非法获利，旗下一家公司一年营收就超过3000万元。该犯罪团伙依托北京一家上市公司，通过与全国十余省市多家运营商签订营销广告系统服务合同，非法从运营商流量池中获取用户数据。（见8月20日《北京青年报》）

　　成立公司利用技术手段窃取个人信息，是信息安全犯罪技术化组织化的典型缩影，相对于小批量、单一类型的信息窃取案件，这种技术化窃取信息数据的危害尤其巨大。比如，此案涉及窃取的数据信息多达30亿条，囊括用户的搜索记录、出行记录、开房记录、交易记录等综合信息，一旦被诈骗集团利用，后果不堪设想。

　　此案窃取信息的手段和原理值得反思，他们通过劫持信息通信渠道，获得用户信息数据的方式，相当于在通信后台设置了非法的信息“监听”程序，从而完成用户信息的采集、提取、贮存，折射出了网络通信过程安全的巨大漏洞。比如，犯罪分子利用从运营商数据中清洗出的用户cookie（浏览器缓存）、访问记录等关键数据，非法进入用户账户，百度、腾讯、阿里、今日头条等全国96家互联网公司的用户数据，几乎无一幸免。

　　换言之，如果网络通信的信息安全防线不牢固，类似信息窃取案件就会频发，甚至可能成为信息安全犯罪的一种惯用手法，被广泛利用。如果仅仅止于对此类犯罪行为的打击，显然无助于从根本上维护公民信息安全。

　　维护公民信息安全不能总在末端治理，更应注重源头保护。许多案件表明，公民信息泄露无外乎出自于信息数据的存贮、查询使用和通信这三个重要环节，无论是黑客入侵、“内鬼”窃取，还是本案这样“监听”劫持，利用的都是信息数据管理防护的漏洞甚至是不设防。

　　因而，应进一步完善信息安全立法，强化信息数据各个环节的保护责任——谁收集存贮信息数据、谁查询使用数据、谁提供数据通信的渠道，谁就是信息数据安全保护的主体，为可能发生信息泄漏和窃取的风险及后果承担责任；责任主体若因技术防护与管理不力等原因，出现泄密事件，应当受到严厉处罚，承担相应赔偿责任，倒逼其提升信息防护的能力，改变个人信息“裸奔”的困局；引导和鼓励信息安全保护技术的研发与运用，不断完善信息数据安全防护系统，堵住信息数据被泄露和窃取的安全漏洞，给信息数据树起“防火墙”。