600万用户的密码泄露了!12月21日，有黑客在网上公开了CSDN网站用户数据库，包括600多万个注册邮箱账号和密码。CSDN是程序员社区网站，其用户达到了2000万。因为不少人习惯在多个网站上使用相同账号和密码，所以这次泄密可能导致很多人的邮箱、网银等被破解。

　　此事敲响了网络信息隐私保护的警钟。2000万多用户的程序社区网站也被黑，那么还有没有“不可能的任务”?正像业内人士所说：“这次CSDN网站的密码泄露，也暴露了目前网络用户注册制度的大隐患，你在网站上录入的个人信息越多，对你造成的威胁就越大。”

　　其实，外国也有网站大规模泄密用户信息的。比如，2008年韩国电子商务网站Auction 的1800万名用户信息外泄，泄露的用户信息非常详尽，据称泄密几乎牵涉到了所有韩国网民。今年7月，韩国SK通讯旗下的韩国三大门户网站之一Nate和社交网站“赛我网”遭到黑客攻击，约3500万名用户的信息外泄。韩国国会立法调查处发表的调查报告称：与外国相比，韩国门户网站的个人信息泄露风险更大，这与互联网用户信息管理漏洞不无关系。在谈论网络信息隐私保护之前，先谈一下去年闹得沸沸扬扬的“手机实名制”。去年，工信部宣布当年9月1日起，我国正式实施电话用户实名登记制度。9月9日《南方日报》就刊载了程鹏先生的评论——《手机实名制其实无法可依》：推动手机实名制的工信部，并没有公布相关的正式文件。关键问题还在于无法可依，电信条例并没有任何实名制的规定。

　　另一方面，电信条例也没有规定电信商有保护用户个人信息的义务。2009年刑法中增设了“出售、非法提供公民个人信息罪”，但这一法条未能有效防止公民个人信息的泄露，关键还在没有配套法律，明确规定电信商等企业有保护用户信息的义务。因此，在个人信息保护法出台之前，手机实名制更多是用户对电信商的责任，难有相对应的权利。

　　当前世界各国的各类网站在用户信息注册方面，也存在类似问题，用户单方面向网站提交一些个人身份信息，就承担了很大的风险，网站有没有相应的保障?一旦泄密又应承担多大的责任?网站会不会在没有法律依据的情况下，将个人信息交给“第三方”?“第三方”会不会滥用公民的个人信息?这些都是法律风险所在。

　　这次CSDN的大规模泄密，网站只需要发封道歉书，而用户的关联网上银行、支付宝如果被黑，还得“举证”是因为CSDN泄密引起的，否则难以获得赔偿。目前的司法实践中，如果用户仅以密码被泄露、侵害隐私权索赔的话，几乎一分钱都得不到。

　　这里还要谈一下饱受批评的美国《爱国者法案》，该法第210条和第211条规定：执法部门可以在“未经司法审查”的情况下，要求网络运营商提供客户的详细信息。而美国宪法第四条修正案规定：公民的人身、住宅、文件和财产不得受无理搜查和扣押。所以，美国警方在搜查取证前，必须取得法官的令状;否则，取得的证据将是无效的。但这种严格程序影响了911之后的反恐工作，所以才有了《爱国者法案》的“特别授权”。但即使这个法案，不要求用户向运营商提供真实个人信息，却也引发了包括中国在内各国用户的恐慌。对此，今年8月19日人民网还专门做了《爱国者案危及中国信息安全不应轻信美企承诺》的报道。人同此心，心同此理：运营商掌握了大量客户个人资料，说给谁就给谁，说泄露就泄露，用户没有一点话语权，自然不会放心。

　　所以，针对眼下层出不穷的互联网泄密事件，立法者首先要确定：网站注册用户有哪些权利?谁有权调阅用户资料?一旦泄密有何责任?