近日，根據公安部統一部署，遼寧、北京、廣東、湖南等地公安機關破獲一起特大侵犯公民個人信息案，打掉包括非法獲取、販賣公民個人信息并利用公民個人信息復制、盜刷銀行卡的犯罪團伙，查獲涉及交通、物流、醫療、社交、銀行等各類被竊公民個人信息20多億條。
　　
　　個人身份信息泄露現狀驚人。試列舉比較知名的事件，2013年Struts2的安全漏洞問題，當時國內幾乎所有互聯網公司及大量銀行、政府機構受到影響，包括支付寶、工行、交行、民生銀行等。2015年，30多個省市的社保系統、戶籍查詢系統等被曝存在高危漏洞，包括身份證號碼、參保信息等5000多萬條社保用戶信息可能被泄露。不法分子利用豐富、精確的個人信息實施電話詐騙，可以向受害人報出準確的身份證號碼、家庭住址、社會關系，能極大地提高犯罪的成功率。
　　
　　面對這種愈演愈烈的形勢，國家開始出臺法律予以規范，新近的《網絡安全法》要求企業在搜集、使用、存儲、傳輸個人信息的時候，明示搜集的規則、不得搜集無關的個人信息，不能非法出售或泄露個人信息。公安部門等也開始協同應對，打擊涉及個人隱私信息的販賣、竊取和違規使用。
　　
　　然而，這些恐怕很難遏制個人隱私信息泄露、濫用多發的局面。首先，現有法律法規對于企業過度搜集個人信息的規范沒有清晰的操作細則。6月30日，阿里旗下的“花唄”更新了服務協議，協議注明可能會搜集的信息包括所有的身份信息、所有財產信息、銀行信息、社保和公積金信息，甚至包括往來通訊號碼、通話時長等通話詳單信息。很多網友質疑，通訊詳單信息與花唄的業務有何聯系？如此隱私的信息是否必須搜集的信息？
　　
　　其次，中國在多個領域要求實名制，包括銀行賬戶、住宿、交通、電話號碼、社交賬戶、網游、快遞等，到處都要收集實名信息。工商登記、社會福利分配等制度的公示中，也需要公布個人的證件號碼。這些要求使得大多數企業必須收集個人的敏感信息。既然有個人隱私信息，信息保護無論多安全，都難以避免發生黑天鵝事件，一定會有泄露發生。
　　
　　再次，中國的個人信息保護還有一個難點是終身唯一的公民身份證件號碼的廣泛使用。境內擁有居民身份證的公民要證明自己的身份，大多只能使用身份證，如在銀行開戶、新辦手機號碼等，駕照、社保卡、自然人納稅號等號碼也逐步與身份證號合并，多號合一。
　　
　　這意味著個人信息只要有一處泄露，不法分子就可以順藤摸瓜，搜集到個人的完整信息。例如2015年成都女司機別車被打事件后，網民通過車牌號查出車主身份證號碼，以此拉出其最近兩年的開房記錄，有好事者甚至算出其生理周期，除此以外，住址、電話、聊天賬號、照片、工作單位及親屬信息等一并被曝光。雖然這些信息的曝光很大程度上是因為人肉搜索的威力，但身份證號碼在個人生活中的濫用無疑是主因。
　　
　　要防止泄露的個人信息被濫用，首先需要嚴格限制企業搜集非必要的身份信息，只有從根源上限制住企業，企業才沒有機會泄露個人的身份信息。政府也不要輕易出臺行業實名制政策，實名制的關鍵不是記錄一個身份證號碼，而是確認身份，單純地記錄一個號碼只會讓普通公民的隱私暴露，真正的壞人總可以繞過身份確認。例如快遞業如此開放、分散，從業人員流動性極高且從業門檻較低的情況下，更應當謹慎從事，不應該貿然強制推行實名制。
　　
　　其次，身份證件應當分級，個人終身唯一不變的編碼應當嚴格限制在納稅、銀行、婚姻等極少數關鍵且低頻率使用的環節，身份證號碼也應當改變現有過于直接的編碼方式，不再以個人出生地、生日的信息進行編碼。
　　
　　個人日常和高頻使用的環節，如住店、旅行、駕照等，凡是政府簽發的帶頭像的證件都應該成為合法的身份證件，這些證件應該獨立編碼，后臺數據可以聯網并一一對應，但分配給公民的各類證件號碼應該不同。同時應該效仿護照編碼的國際標準，這些證件在補發、定期換發時，證件號碼要隨之變更，即使隱私被酒店等機構泄露了，至少補發、換發證件后，其他人無法知曉當事人未來的信息。
　　
　　(作者聶日明系上海金融與法律研究院研究員)