8月19日，山东临沂女孩徐玉玉因电信诈骗而殒命，由此掀起了整个社会的滔滔舆情，重压之下的徐玉玉案被火速侦破。然而，个人信息泄露的阴云并没有因此而消散，诈骗者并没有就此罢手。日前，一则《贵阳女大学生接到骗子电话 这一次骗子被戏耍了》的新闻，再次登上了各大门户网站的首页。
　　据今年4月国家工商行政管理总局发布的 《中国消费者权益保护年度报告（2015工商行政管理卷）》显示，2015年工商部门受理的网购投诉中，涉及个人信息泄露的有1139件，同比增长近七成。在现实生活中，遭遇过因个人信息泄露而引发的各类诈骗和电信骚扰的消费者更是难以计数，而绝大多数人或选择默默忍受，或无可奈何。
　　那么，互联网时代相关政府部门与商业机构到底能够收集哪些个人信息，应该如何收集和保存才能保证基本的个人信息安全呢？
■本报记者 胡军
部分信息收集的必要性存疑
　　在刚刚发生的徐玉玉悲剧中，除了诈骗者的主观故意外，个人信息被过度收集且能通过不明途径流入诈骗行为实施者手中也是重大诱因。据了解，徐玉玉的助学金申请中总共包含了多达26个与个人隐私信息有关的数据项，其中不仅包括姓名、身份证号、联系方式、住址，还有个人照片、生日、银行账号、学号、家庭经济情况、家庭成员信息等，不仅囊括了申请者自身的状况，还完整描述了其个人的基本社会关系网络信息。
　　此类过度收集个人信息的行为，近几年来一直被社会所广泛诟病：2012年，《武汉晚报》爆出当地一家超市在办理买菜用的会员卡时，居然要求消费者出示身份证方可办理，需要登记个人姓名、电话、住址和身份证号码；2014年3月，携程网出现安全漏洞，漏洞发现者声称消费者在携程网上支付过程中的信息可被任意黑客读取，导致持卡人姓名、身份证、信用卡号等信息泄露；申请信用卡时不仅需要填写个人信息，甚至被要求填写父母和配偶的工作单位信息以及一位同事或朋友或其他人的姓名、工作单位、固定电话和移动电话等；银行汇款不仅需要出示身份证，还要求手工填写身份证信息和联系电话……
　　在随机采访中，绝大多数消费者对于部分政府部门和商业机构对个人信息收集权力的无限滥用深恶痛绝但又无可奈何，几乎没有任何机构对于为什么要收集这些个人数据进行过必要性解释，更甭提其合法性、正当性和科学性。“不管是办手机卡还是办银行卡或保险定损什么的，都不仅要出示身份证、提供复印件，还要在纸质表格上面手工填写身份证上已经明明白白的信息。这些纸质文件到底去向何方？上面的信息如何加密保存？没有一家机构承诺过，就这么漫无目标、无休无止地收集着。”对于日常生活中被无数次要求填写各种个人信息表格的现象，从事车贷和保险业务代理多年的北京王先生表示烦透了，“你说填那些表干嘛？收集那么多个人信息用来干什么？入学、求职、结婚、购房、看病、驾照、银行卡等，哪一个都得填表，动不动就复印身份证、户口本什么的，烦！”
数据未加密保护等同于“裸奔”
　　毫无疑问，正确的数据收集是信息时代的基础，但是过度收集则没必要，特别是在没有数据安全保障措施下的过度收集。在当前的信息技术条件下，未经加密保护的数据，其复制、转移的成本和速度基本可以忽略不计，完全处于“裸奔”状态。
　　目前，消费者不仅在现实生活中需要向部分政府机构和商业机构提供大量的个人信息，而且绝大多数第三方手机应用软件均要求在安装时获取位置、通讯录、推送消息、使用摄像头之类的授权，籍此收集消费者的个人隐私信息，部分网络浏览器等也在后台默默地收集着使用者的海量个人信息。前不久，《中国青年报》社会调查中心通过问卷网对2001人进行的一项调查显示，81.8%的受访者认为目前网络运营者、软件开发商存在过度收集用户信息的行为。
　　早在2009年，中国社会科学院发布2009年“法治蓝皮书”就指出，随着信息处理和存储技术的不断发展，我国个人信息滥用问题日趋严重，社会对个人信息保护立法的需求越来越迫切。2007年9月至2008年12月，课题组对北京、成都、青岛、西安4个城市进行调研后，对调研结果颇为“惊心”：第一就是有关机构超出所办理业务的需要，收集大量非必要或完全无关的个人信息；二是有关机构未获法律授权、未经本人许可或者超出必要限度地披露他人个人信息；三是有关机构在未经法律授权或者本人同意的情况下，将所掌握的个人信息提供给其他机构，流行“共享客户信息”的潜规则；四是出现了大量兜售房主信息、股民信息、商务人士信息、车主信息、电信用户信息、患者信息的现象，并形成了一个新兴的产业……
　　2015年7月，中国互联网协会公布的《中国网民权益保护调查报告》显示，一年内因个人信息泄露、垃圾信息、诈骗信息等原因，导致网民总体损失约805亿元。
　　“商业机构也好，政府机构也好，对收集来的个人信息进行加密并不难，只是需要有人去做而已，技术手段有的是。”从事信息安全系统开发多年的重庆某信息安全公司总经理刘先生告诉记者，“目前绝大多数机构都不进行加密处理，尤其是普通消费者填表的信息。现在的技术条件，根本就用不着填什么纸质的表格了，直接电子填写、电子加密，这些个人隐私信息就很难泄露出去了。就算是内鬼想卖数据，就算是普通黑客侵入数据库，在加密条件下也可以保证复制不了，除非是逐个对着屏幕用手机拍照发送。”
无法可依是个人信息收集黑洞泛滥主因
　　调查发现，目前我国尚未正式出台专门的《个人信息保护法》，仅有一些法律和部门规章体现了相应的约束条款：《刑法》已经将泄露和出售个人信息入罪；《民法通则》也有关于个人隐私的条例，但这些条例零散、抽象、原则性太强，缺乏可操作性；《身份证法》中的条例更多的是一种宣言式的；原信息产业部2000年11月7日发布的《互联网电子公告服务管理规定》中提及“电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意，不得向他人泄露”，违反此规定者，由电信管理机构责令改正，给上网用户造成损害或者损失的，依法承担法律责任；中国人民银行2005年通过了《个人信用信息基础数据库管理暂行办法》，对个人信用信息的收集、处理、利用、流通等做了较为详细的规定，很大程度上遵循了个人信息保护的收集限制原则、信息质量原则、目的特定原则、使用限制原则、安全保障原则、公开原则、个人参与原则及责任原则等。
　　目前，在大数据这一热点的诱惑下，个人信息的潜在价值刺激着商业机构甚至硬件设备商、网络运营商、软件开发商等对之进行无序的收集和滥用。接近九成的受访者均表示国家应该尽快出台保护个人信息的法律法规，对个人信息采集设立标准、流程和保护措施。
　　据了解，自2003年起国务院就委托有关部门开始起草《个人信息保护法》，2005年建议稿已经完成，并提交国务院审议，启动了保护个人信息的立法程序。在每年的全国“两会”上，都有人大代表大声疾呼，但目前仍没有正式颁布和实施的消息。今年5月份，全国信息安全标准化技术委员会秘书长高林表示，目前信息数据采集方面的标准“已经在报批过程中”，为企业行为标明底线，但不具有强制性。
　　“没有数据加密保护是非常可怕的，没有个人信息数据的采集标准和范围列表，以及必要的保护能力，却可以肆无忌惮地随意收集，这在基本的社会道德和商业道德上都是说不过去的，好一点的机构数据库可能还有个防火墙系统或者通用的数据加密，这些对于黑客和内鬼来说，基本上就是形同虚设。”对于信息安全保护的重要性，从事信息安全研究的北京某国家级研究机构技术负责人赵先生认为安全是数据收集的先决条件，“必须要有法律来规定数据收集的安全准入门槛，必须要有数据收集的必要性前置审批。严格来说，许多个人信息数据不仅对个人安全很致命，严重的还威胁到国家的信息安全。”