堵網站泄密，不應止于懸賞

最近幾天，12306網站用戶數據泄露成為大眾關注焦點，鐵路警方迅速抓獲了泄密嫌疑人。網站主管方中國鐵道科學研究院最高懸賞2000元，號召網友查找漏洞。此前，有媒體報道稱，大量12306網站用戶信息遭泄露，已知公開傳播的數據庫涉及的用戶數據超過13萬條。

一位網站安全專家曾說過，“網站的安全是不可信任的，無論是國內的還是國外的，你只能盡量控制信息的源頭，一旦流出去了就基本脫離了你的控制。”外行看熱鬧，很難對此作專業評價。近年來，互聯網用戶數據庫泄露事件是越來越頻密、越來越嚴重倒是不假。2011年，CSDN等十余網站用戶信息數據庫被泄露；2014年5月，“小米”用戶數據庫泄漏，約800萬個涵蓋用戶名、密碼、短信、通訊錄等私密內容“裸奔”；今次，12306網站中招，許多旅客“躺著中槍”。

網站不可能不受黑客攻擊，尤其是一些擁有大量公民個人信息的大型網站，因此網站賬號安全顯得尤為重要。如果賬號安全體系做得足夠好，黑客在攻擊網站時，網站就能及時發現并阻斷，不讓黑客得逞，泄露則說明網站存在一定的漏洞。12306提醒旅客，為保障信息安全，不要使用第三方搶票軟件購票或委托第三方網站購票。這種提醒，聊勝于無。一些旅客為什么使用第三方搶票軟件，還不是因為在正規網站搶不到票嗎？而對許多只能依賴代售點購票的農民工來說，誰知對方使用的是什么搶票軟件？

通過“懸賞令”，請安全專家和黑客技術高手出馬，尋找網站存在的安全漏洞，旨在幫助企業發現并修復漏洞，在一定程度上助益于網站提升安全防護水平。問題是，安全專業和民間高人能否跑得過那些專門竊取數據的“非法入侵者”？互聯網走到了今天，在用戶數據利用上，業已形成一條規模巨大的地下黑色產業鏈——有人粗略估計規模在百億元左右，且環環相扣，有人負責偷取，有人販賣倒賣，有人利用數據推銷詐騙，甚至直接在網上盜取他人錢財，可謂步步驚心。

在與竊取用戶信息、盜竊網銀、轉移虛擬財產的犯罪分子斗智斗勇的路上，直接為網民提供服務的網站無疑是網絡安全的“第一責任人”，有責任進行有效的內部治理，提高安全意識、增大安全投入、改進技術手段，堵住可能泄露的漏洞，而這些幾乎是國內網站的軟肋。

僅靠內部治理仍不足撐起整座網絡安全大廈，外部治理必須抬高違法成本，對相關犯罪行為形成實時的、常態的、有效的打擊。在法律實踐上，也存在一些明顯的漏洞，需要打“法律補丁”。譬如規定模糊，2009年的《刑法修正案（七）》雖設相關罪名，但在公民個人信息范圍多大、何謂“情節嚴重”等關鍵問題上的規定相當粗略。此外，“情節嚴重的，處三年以下有期徒刑或者拘役”的規定，亦有偏輕之嫌，難以形成剛性約束力。

總而言之，在網絡信息安全問題上，用戶、網站、社會要形成合力。

（練洪洋）