保護公民信息，既要打擊信息販子，也要挖出躲在醫療、教育等系統內部的信息“蛀蟲”。

　　12月24日，十一屆全國人大常委會第三十次會議審議了委員長會議提請審議的《全國人民代表大會常務委員會關于加強網絡信息保護的決定(草案)》(以下簡稱“草案”)的議案。該草案對網絡服務提供者和其他企業事業單位收集、使用個人信息的規范及其保護個人電子信息的義務作出多項規定，政府有關部門及其工作人員對在履行職責中知悉的公民個人信息同樣負有保密和保護義務(據新華社報道)。

　　我們的個人信息資料，經常在網絡上被販賣。冤有頭債有主，泄露也是有源頭的。其中一個不容忽視的來源，是網站、電信運營商、銀行等機構的“內鬼”。

　　比如，最近警方披露南京許某通過網上購買公民征信資料、騙辦信用卡、盜刷牟利的案件，信息泄露的源頭是某銀行合作單位的工作人員。他從銀行內部竊取公民征信信息后拿到網上販賣。今年上海警方在辦理信用卡詐騙案時發現，犯罪嫌疑人用于作案的大量公民個人信息均購于互聯網，并成功抓獲負責某衛生局信息數據系統運行維護的嫌疑人張某某。

　　事實上，2009年通過的《刑法修正案(七)》規定：出售或者非法提供公民個人信息為犯罪。該法條劍指的主要對象，就是公權機關及銀行、醫院等“準公權機關”。當時全國人大常委會法制工作委員會副主任郎勝解釋，國家機關在履行職權的時候，或者是一些公共服務機構在向社會提供服務的時候，凡是收集公民個人信息的都要有法律依據，都須承擔對這些信息予以保密的義務。

　　但從已公布的多起案例看，刑事打擊的主要對象還是信息販子，鮮有教育招生、醫療機構等人員因為泄露信息而受追究的。其中，固然需要司法機關拿出“執法勇氣”，另一方面，還需要由法律定紛止爭，劃出合理利用和非法泄露個人信息的邊界。

　　對此，“草案”對有關單位收集、使用個人信息的規范及其保護個人電子信息的義務作出多項規定，這無疑是一大進步。

　　有了嚴密的法律，才能有完善的權利，保護公民信息，既要打擊信息販子，也要挖出躲在醫療、教育等系統內部的信息“蛀蟲”。

　　另外，現行的法律處罰泄露公民信息的力度不夠，難以觸動網站、電信運營商等責任方。比如，去年被曝光的CSDN泄密門，導致包括600多萬個注冊郵箱賬號和密碼被泄露。今年3月此案告破后，北京市公安局依《計算機信息系統安全保護條例》，對CSDN網運營公司的處罰僅僅是行政警告；而之前網站也只是輕描淡寫發了一封道歉書。造成數以萬計的客戶信息泄露，相關銀行賬號置于危險之中，而對網站的問責僅是被警告和道歉，沒有支付一分錢的賠償。

　　前述的兩起以銀行、衛生局為泄露源頭的案件，至今，相關主體的真名實姓都未被披露，遑論道歉、賠償。

　　嚴懲信息泄露源頭，既包括立法明確政府的監管責任，嚴格規范招生、醫療、銀行、網站等機構處理公民信息的流程，違者課以重罰；也包括立法規定由網站承擔自己未泄露信息的舉證責任，否則即推定其有過錯，方便公民維權。