个人常用的证件号码应定期变更

　　
　　近日，根据公安部统一部署，辽宁、北京、广东、湖南等地公安机关破获一起特大侵犯公民个人信息案，打掉包括非法获取、贩卖公民个人信息并利用公民个人信息复制、盗刷银行卡的犯罪团伙，查获涉及交通、物流、医疗、社交、银行等各类被窃公民个人信息20多亿条。
　　
　　个人身份信息泄露现状惊人。试列举比较知名的事件，2013年Struts2的安全漏洞问题，当时国内几乎所有互联网公司及大量银行、政府机构受到影响，包括支付宝、工行、交行、民生银行等。2015年，30多个省市的社保系统、户籍查询系统等被曝存在高危漏洞，包括身份证号码、参保信息等5000多万条社保用户信息可能被泄露。不法分子利用丰富、精确的个人信息实施电话诈骗，可以向受害人报出准确的身份证号码、家庭住址、社会关系，能极大地提高犯罪的成功率。
　　
　　面对这种愈演愈烈的形势，国家开始出台法律予以规范，新近的《网络安全法》要求企业在搜集、使用、存储、传输个人信息的时候，明示搜集的规则、不得搜集无关的个人信息，不能非法出售或泄露个人信息。公安部门等也开始协同应对，打击涉及个人隐私信息的贩卖、窃取和违规使用。
　　
　　然而，这些恐怕很难遏制个人隐私信息泄露、滥用多发的局面。首先，现有法律法规对于企业过度搜集个人信息的规范没有清晰的操作细则。6月30日，阿里旗下的“花呗”更新了服务协议，协议注明可能会搜集的信息包括所有的身份信息、所有财产信息、银行信息、社保和公积金信息，甚至包括往来通讯号码、通话时长等通话详单信息。很多网友质疑，通讯详单信息与花呗的业务有何联系？如此隐私的信息是否必须搜集的信息？
　　
　　其次，中国在多个领域要求实名制，包括银行账户、住宿、交通、电话号码、社交账户、网游、快递等，到处都要收集实名信息。工商登记、社会福利分配等制度的公示中，也需要公布个人的证件号码。这些要求使得大多数企业必须收集个人的敏感信息。既然有个人隐私信息，信息保护无论多安全，都难以避免发生黑天鹅事件，一定会有泄露发生。
　　
　　再次，中国的个人信息保护还有一个难点是终身唯一的公民身份证件号码的广泛使用。境内拥有居民身份证的公民要证明自己的身份，大多只能使用身份证，如在银行开户、新办手机号码等，驾照、社保卡、自然人纳税号等号码也逐步与身份证号合并，多号合一。
　　
　　这意味着个人信息只要有一处泄露，不法分子就可以顺藤摸瓜，搜集到个人的完整信息。例如2015年成都女司机别车被打事件后，网民通过车牌号查出车主身份证号码，以此拉出其最近两年的开房记录，有好事者甚至算出其生理周期，除此以外，住址、电话、聊天账号、照片、工作单位及亲属信息等一并被曝光。虽然这些信息的曝光很大程度上是因为人肉搜索的威力，但身份证号码在个人生活中的滥用无疑是主因。
　　
　　要防止泄露的个人信息被滥用，首先需要严格限制企业搜集非必要的身份信息，只有从根源上限制住企业，企业才没有机会泄露个人的身份信息。政府也不要轻易出台行业实名制政策，实名制的关键不是记录一个身份证号码，而是确认身份，单纯地记录一个号码只会让普通公民的隐私暴露，真正的坏人总可以绕过身份确认。例如快递业如此开放、分散，从业人员流动性极高且从业门槛较低的情况下，更应当谨慎从事，不应该贸然强制推行实名制。
　　
　　其次，身份证件应当分级，个人终身唯一不变的编码应当严格限制在纳税、银行、婚姻等极少数关键且低频率使用的环节，身份证号码也应当改变现有过于直接的编码方式，不再以个人出生地、生日的信息进行编码。
　　
　　个人日常和高频使用的环节，如住店、旅行、驾照等，凡是政府签发的带头像的证件都应该成为合法的身份证件，这些证件应该独立编码，后台数据可以联网并一一对应，但分配给公民的各类证件号码应该不同。同时应该效仿护照编码的国际标准，这些证件在补发、定期换发时，证件号码要随之变更，即使隐私被酒店等机构泄露了，至少补发、换发证件后，其他人无法知晓当事人未来的信息。
　　
　　(作者聂日明系上海金融与法律研究院研究员)