数据泄露防治需法律与技术双管齐下

当人们满怀期盼准备买票回家过年之时，网上爆出火车购票官网12306发生骇人听闻的数十万条用户数据泄露事件。年终的“惊喜”给人们留下了难以抹去的问号。近两年频繁发生的数据泄露，究竟如何才能得到真正的防治呢？

当法治日趋深入人心时，人们往往会思考：法律是否不健全，管理是否不到位？目前我国的网络安全立法应当说属于起步阶段，既未形成网络安全的规范体系，亦无专门的个人信息保护法律。我国在网络安全立法方面的相对滞后是显而易见的。在网络安全立法起步较早的发达国家，他们不仅关注国际层面、国家层面、社会层面的网络安全立法，也十分关注企业和个人层面的网络安全立法。比如，美国早在2000年以前就已通过多部与电子商务、个人隐私相关的网络安全法律，具体包括《1984年惩治计算机欺诈和滥用法》《1986年电子通信隐私保护法》《1988年计算机适用及个人隐私保护法》《1996年经济间谍法》《1997年全球电子商务框架》《1998年数字千年版权法》《1999年在线隐私保护法》《2000年全球及全国电子签名法》。之后还于2005年出台了《2005年个人数据隐私与安全法》。

然而，数据泄露的网络防治，不能仅仅依靠法律规制，还需要不断提高的技术强化。一方面，网络是与生俱来的技术产物，网络的安全一定程度上是网络技术对抗的结果。另一方面，网络安全的威胁不仅来自恶意的人为攻击，还有网络自身的技术缺陷；不仅有来自域内可规制的犯罪行为，还有来自域外不可控的攻击行为。正因如此，走在前面的网络安全发达国家总是十分注重网络安全的技术发展和人才培养。比如，美国在2010年审议的《2010年网络安全法案》主要规定了网络安全的人才发展、网络安全知识培养等。后续的《2010年网络安全加强法案》则旨在加强网络安全的研究与发展，推进网络安全技术标准制定。

诚然，在网络社会徒法不足以行。这与传统社会事件是大不相同的。网络治理既需要法律规制，也需要技术强化。只有法律与技术双管齐下，才能真正实现网络的良性生态。

实际上，发达国家一直推崇网络安全的公私合作。2014年12月，美国国会先后通过的4项网络安全法律议案，其中最大的两个特点是理顺网络安全公私合作的体制障碍和加强联邦计算机网络的实时监控。然而，网络安全的公私合作不只是打击网络违法犯罪方面的公私合作，更多的是在网络安全技术的研究与发展方面的公私合作。

当然，我们也在困惑中不断探索公私合作之道。在12306数据泄露之后，12306网站提出“悬赏查漏洞”，可以说是借助市场化手段的公私合作。这与之前有些互联网企业在查处“涉恐数据”时提出的“有奖举报”，确有异曲同工之处。不管如何，在当前通过市场化手段进行网络安全的公私合作应当说是应急之需，值得鼓励！

我国即将出台的《网络安全法》，当务之急是如何认识网络治理的潜在规律，如何借鉴发达国家的立法先例，如何吸收我国实践探索的经验。这是一个任重而道远的课题。

（作者为中国人民大学物证技术鉴定中心副主任）