網絡環境下個人信息非法泄露及其對策

詹 鑫，何培育

(重慶理工大學 知識產權學院，重慶 400054)

?

【政治與法律】

網絡環境下個人信息非法泄露及其對策

詹 鑫，何培育

(重慶理工大學 知識產權學院，重慶 400054)

互聯網數據包含大量的用戶個人信息，個人信息的保護不僅僅關系到用戶的個人隱私、財產安全、人身安全，還關系到整個社會誠信制度的建立、社會經濟發展、歧視消除以及大數據產業的健康發展。在我國網絡發展尚不成熟的環境下，公民的個人信息保護意識薄弱，行業自律還處于起始階段，我國尚未建立統一的《個人信息保護法》，個人信息安全難以得到全面保障。個人信息保護與公民的社會生活息息相關，是大數據時代的焦點也是必須積極采取措施有待解決的問題。

個人信息；網絡環境；信息泄露；個人信息保護

互聯網改變人們生活方式的同時也給公民帶來了極大的風險，大規模的信息泄露愈演愈烈，使公民財產安全和人格利益受到嚴重的威脅[1]。個人信息的泄露是信息非法使用的基礎，不僅僅會給信息主體帶來嚴重的損失，也將嚴重威脅到大數據產業的健康發展給社會的發展帶來巨大影響。

一、網絡環境下個人信息泄露成因分析

(一)大數據時代個人信息經濟價值巨大

個人信息是指個人的姓名、性別、年齡、血型、健康狀況、職業、身高、人種、地址、頭銜、學位、生日、特征等可以被直接或間接識別該個人的信息[2]。一旦一個人的部分重要個人信息被泄露，將嚴重威脅到個人的財產安全、人身安全及人格利益[3]。互聯網時代的到來像一張密網一樣高效快速地收集著海量的個人信息，這些信息經過系統地處理分析將會對企業的管理、營銷策略、戰略規劃等起著關鍵性的作用。比如金融行業可以利用大數據做風控、客戶推廣或產品銷售，醫療行業可利用大數據進行精準醫療，政府可將大數據用于大數據安防、國家安全。隨著大數據產業的發展，以貴陽大數據交易所為代表的各大數據挖掘公司和數據銷售公司逐漸崛起。信息管理成為了企業的核心競爭力之一，企業致力于通過各種手段獲取消費者的消費習慣、上網記錄、聯系方式等海量的個人信息。而這些個人信息除了一些網站可自動收集以外，還可以通過非法轉賣、竊取等方式獲得。對于金融機構、房地產業、學校、醫院等掌握有大量公民個人信息的企、事業單位來說，個人信息市場規模更大，更容易成為不法分子的目標。一方面因企事業單位的監管不到位，內部信息管理者因未盡注意保護義務或禁不住利益誘惑而非法泄露、轉賣個人信息；另一方面，數據規模宏大的行業單位是黑客發起攻擊的主要對象。李克強總理在中國大數據產業峰會暨中國電子商務創新發展峰會上強調要“把握科技革命歷史機遇，搶占大數據發展先機”。大數據中的個人信息具有可識別性、可共享性等特點，不僅僅可以提高機關單位工作效率及準確度，還可以促進信息共享；大數據中的個人信息也是國家、企業制定戰略規劃的重要資源，對國家社會的發展有重大意義。

(二)個人信息保護立法不完善

關于個人信息法律方面的保護，立法、行政、司法各方面都存在不足，存在立法分散、行政監管不到位、法律責任體系不完善、配套機制不健全等問題。目前，我國有關個人信息保護的法律條文零散地分布在民法、刑法、行政法等各個部門法中，并沒有一部專門的、統一的針對個人信息進行保護的法律，相關條款不僅個別、分散、抽象，而且面對信息時代層出不窮的新問題也已經漏洞百出[4]。現階段，我國與個人信息相關的法律保護文件有《刑法修正案九》《侵權責任法》、全國人大常委會頒布的《關于加強網絡信息保護的決定》和《中華人民共和國網絡安全法》，以及工業和信息化部頒發的《電信和互聯網用戶個人信息保護規定》等，現有立法通過“個人信息”“個人隱私”等范疇對個人信息實現直接或間接保護。近年來，在法規中直接對“個人信息保護”進行明確規定的趨勢日漸明顯，但仍有很多問題存在。現行法律法規對個人信息的保護仍不夠全面、受害者維權舉證困難、對侵權者懲罰力度小、行政機關監管不到位等因素共同造成了個人信息侵權行為多發的局面[5]。

(三)電子商務環境存在安全隱患

隨著互聯網持續滲透、網民數量高速增長、移動電商快速普及，中國現已經成為世界上最大的網購市場，2016年的雙11銷售額數據再創新高達到1 207億元。作為一個新型行業，電子商務經過十幾年的快速發展已成為中國網民生活中的一部分，越來越多的人通過互聯網在網上進行網上訂餐、網上購物、網上買票等網絡消費活動。不可置疑，電子商務已是一種常態，在改變我們消費方式的同時也對網民個人信息安全構成一定威脅。一方面網絡消費者必須填寫基本的個人信息來獲取快捷、高效的電商服務，注冊需要填寫郵箱、電話號碼甚至需要身份證信息，在線交易需消費者填寫銀行卡號或第三方賬號，物流也需要消費者的聯系方式、住址信息，整個購物過程都存在信息泄露的風險。另一方面網絡安全問題更加嚴重，以互聯網為載體的各種惡意代碼、木馬程序、僵尸網絡隱藏于各個角落，電子商務為不法分子利用各種病毒軟件竊取各種信息提供了更多的機會。360互聯網安全中心發布的《2016年雙十一中國網購安全專題報告》顯示，在雙11當天共攔截釣魚網站攻擊高達5 193次，攔截各類騷擾電話共1.8億次，垃圾短息攔截量高達1.9億次[6]。個人信息的商業價值如黃金般吸引著各種不法分子，這些不法分子利用電子商務提供的平臺通過設計釣魚網站、惡意代碼直接獲取網民財產數據及個人信息，進而實施電信詐騙或其他網絡違法活動。

二、網絡環境下個人信息泄露渠道剖析

網絡環境下個人信息泄露的渠道多樣，而且信息泄露傳播速度非常快，筆者將之分為信息主體泄露、信息管理者泄露、網站采集及黑客盜竊。

(一)信息主體泄露

信息主體發布泄露是一種主動的泄露，是信息所有者自己主動泄露信息的一種行為。互聯網的發展使信息傳播更廣泛、快捷、方便，網民可以自由地通過各種社交應用平臺在網上傳播、獲取、分享信息，比如以微博、QQ空間為代表的獲取和分享信息的綜合社交應用平臺，以微信、陌陌、qq為代表的即時通訊社交應用平臺，以美拍、唱吧、秒拍為代表的圖片或視頻類社交應用平臺，這三大社交應用平臺逐漸滲透網民生活成為了網民社交生活不可缺少一部分。互聯網的發展迎合了現代人民休閑、娛樂、交流、廣泛交友，以及即時獲取新聞資訊的需求，社交應用為網民提供了傳播、獲取、分享信息的平臺。發朋友圈、發微博、分享圖片視屏是網民社交生活的常態，網民在享受各種社交軟件帶來的方便時也將自己的個人信息赤裸裸地暴露于互聯網這樣一個具有殺傷力的環境之下。網民自己發布、傳播、分享的信息雖然不會直接威脅到信息主體的財產安全但這些信息往往與信息主體的生活息息相關。各種零零散散的信息一旦經過整合就具有很強的識別性可以直接指向具體的個人，比如你的愛好習性、位置信息、家庭狀況、工作單位、作息時間、大體經濟狀況等等。一旦一個人的部分重要個人信息被不法分子捕獲、整合，就給犯罪分子有機可乘。目前，我國的網絡環境尚不成熟，網民的個人信息保護意識非常淡薄，有些網民甚至不知道自己的個人信息受到嚴重的威脅，隨意發布傳播自己的信息、圖片、視屏，嚴重威脅到自己的人身財產安全。

(二)信息管理者泄露

信息管理者是為了達到某一合法目的比如增加顧客的黏性、促進顧客的購買欲等進而對個人信息進行合法搜集、處理、利用的主體。信息管理者泄露是因信息管理者的個人信息保護意識淡薄或管理機制不健全從而導致個人信息遭到非法泄露的行為。信息管理者可以分為國家機關和其他組織或個人[3]。國家機關往往出于維護公共利益的目的對公民大量的個人信息進行收集處理，非國家機關如企業掌握了大量的顧客信息也是常見的信息管理者。信息管理者往往掌握有海量信息主體的大量基本信息甚至是敏感信息，信息管理者泄露個人信息分為兩種情況：一是信息管理者為獲取非法利益對個人信息進行非法處理的主動泄露；二是信息管理者因未盡注意保護義務或遭黑客攻擊導致個人信息被泄露。大數據產業迎來了快速發展時代，誰掌握了信息誰就站在時代前沿，不論是對企事業單位還是對暗藏于網絡環境中的不法分子而言，都具有相當大的誘惑力。

(三)網站自動采集

網絡環境下，網站采集個人信息已是屢見不鮮。網站采集個人信息主要有 4 種方式：用戶注冊填寫信息、在線調查活動中填寫個人信息、Cookies 收集的用戶上網信息，其他采集方式[7]。各種商業網站往往出于用戶更好地體驗網站的服務、增加顧客的黏性，需要用戶填寫許多個人信息如銀行卡號、電話號碼、姓名、住址甚至身份證號碼等信息，這些網站承載有大量私密性的個人信息甚至直接與個人財產相關，一方面網站在存儲、處理信息的過程中若未盡注意保護義務或因技術安全保障出現問題導致個人敏感信息的泄露，則會給信息主體帶來巨大的經濟損失甚至是人身傷害；另一方面，若網站將采集得到的個人信息進行非法處理或非法轉賣，會嚴重威脅到信息主體的財產利益和人格利益，阻礙大數據產業的健康發展及誠信制度在我國的建立。在線調查活動是在網上發布問卷的形式，這些問卷通常會采集信息主體的部分個人信息，但往往由于這些問卷表面具有無害性或者因聲明絕不外露等原因，許多網民就會因為好奇去填寫個人的資料。Cookies 收集是一種網上自動采集信息的方式，網民的所有上網活動被跟蹤記錄，但大多數網絡用戶不知道怎樣避免自己的上網記錄被跟蹤甚至不知道自己的上網記錄正在被跟蹤，有些網民即使知道怎樣避免上網記錄被跟蹤也不會積極采取措施處理。

(四)黑客竊取

隨著互聯網技術的發展，個人數據地下產業鏈以迅猛之勢崛起，具有巨大商業價值的個人信息成為黑客的主要目標，形成了有組織有團體有分工的黑客團伙，他們利用互聯網通過各種不法手段對具有識別性的個人身份信息及具有財產性質的個人數據進行竊取。如信用卡號及密碼、銀行卡賬號及密碼、在線支付賬號及密碼、股票基金賬號及卡密、游戲裝備號及密碼，這些卡號及密碼直接關系到信息主體的財產安全，一旦被竊取會直接給信息主體帶來巨大經濟損失。黑客常用的技術方法有網絡釣魚(Phishing)和網銀木馬(Bank Stealing Trojan Horse)，網絡釣魚是一種利用社會工程學和技術手段盜竊消費者個人身份資料和金融賬號憑證的身份信息在線竊取活動，通常會以商品優惠、安全借口等社會工程學方法騙取信息主體的賬號密碼[8]。網銀木馬是黑帽技術、工具與培訓地下產業鏈中的一類主流工具，因此可以通過地下黑市購買獲得。而網絡犯罪者也可以借助互聯網資源與服務濫用地下產業鏈的支持，通過僵尸主機植入、軟件捆綁、網站掛馬、惡意郵件、即時通信群發惡意信息等多種渠道傳播網銀木馬，使得互聯網用戶主機遭受感染，然后利用鍵擊記錄、截屏錄像、竊取數字證書等方式盜取信息主體的賬號密碼[8]。

三、網絡環境下個人信息保護策略

(一)完善個人信息保護相關法律法規

目前，世界上有很多國家都已經出臺了專門針對個人信息進行保護的法律法規，而我國于2003年開始起草的《個人信息保護法》經過了10多年的探究尚未完成。立法完善是一個緩慢的過程，在《個人信息保護法》正式頒布之前，法律方面如何來采取有效措施保護個人信息是我們當下必須解決的問題。

首先，應加快制定《個人信息保護法》。現階段法學界關于個人信息的概念界定、個人信息保護立法模式、個人信息權利基礎、基本原則、如何平衡信息自由與人格利益出現了爭端。筆者認為個人信息保護法的制定必須綜合我國互聯網發展實情、交易習慣、文化習俗等實現大數據產業發展的利益最大化和公民個人信息利益最大化。個人信息保護法的確立，使得以往只能憑借民法、行政法和刑法上之抽象概念保護的個人信息問題得到了專門立法的細致化和規范化的保護[3]。

其次，可以在現有的法律基礎之上完善相關法律法規。個人信息無處不在，很多法律法規都可以對個人信息進行保護，所以在現有的法律法規的基礎上對公民的個人信息進行保護是當前最快且有效的方法。比如2009年2月頒布的《刑法修正案七》確定了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪；在2015年11月，經修訂后的《刑法修正案九》將犯罪主體身份一般化、獲取方式不限，而且最高刑提至7年，加大處罰力度；2014年3月經修訂后的《消費者權益保護法》增添了“保護個人信息，禁止商家‘賣單’”的制度。

(二)加強行政監管及司法保護

個人信息安全想要得到有效的保障，政府必須得加強行政管理，嚴厲打擊個人信息非法泄露的行為。

一是設置權責清晰的機構進行監督，工業和信息化部只涉及了電信和互聯網行業管理，而個人信息的采集、處理和利用主要是通過互聯網計算機進行，在此過程中個人信息遭到泄露的危險性非常大，需要有多方面明確的行政機關通過行政職權的合理配置，對保障個人信息安全實施全面、嚴格的行政監管[5]。

二是嚴格監管制度。建立嚴格的質量保證和監管體系，規范信息管理者的使用權利、具體責任要件、明確責任認定等。合理約束重要部門和敏感部門對個人信息處理利用，特別是對于政府部門、醫院、教育機構、金融機構等特殊行業要加強監管力度；嚴格要求信息管理者采取有效的技術保護措施、履行個人信息保護的注意義務、對數據的二次利用必須進行脫敏處理。特別要重視對具有隱私性質的個人信息的劃分，根據信息管理者的性質不同，如根據政府機關、商業網站等對個人信息的保護的規則不同而采用不同的責任承擔方式。

三是加大懲處力度。從司法保護角度來說，不論是民事保護還是刑事保護其懲處力度都是不夠的，現有的法律懲處措施并不能有效的遏制個人信息泄露的非法行為并讓這些行為主體受到相應的懲罰。筆者認為其懲罰力度應根據行為主體的盈利能力以及違法行為造成的損失大小來認定，以工業和信息化部頒布的《電信和互聯網用戶個人信息保護規定》為例，該規定對相關的未發行為設定的警告和 3 萬元以下的罰款處罰，對于大型企業來說根本不能起到懲罰以及震懾的作用。

(三)倡導行業自律

國家及行業主管部門應鼓勵支持行業組織制定行業公約，加強行業自律，建立健全的行業信用評價體系和服務評議制度，促進行業規范發展。

第一，確立行業自律組織及其制度的法律地位。互聯網產業在我國的發展尚不成熟，行業自律模式在我國尚未引起高度重視，確立行業自律及其制度的法律地位有利于行業自治模式在我國的滲透。

第二，制定個人信息保護行業自律制度。個人信息保護行業自律制度的建立有助于行業自律模式的推進，可以從多個方面來制定行業自律制度，比如確立處理個人信息原則，制定行業統一的網站用戶隱私保護內容標準等等[9]。明確規范行業自律制度，可以增強行業自律制度的實施以及可操作性，也可以調動企業自律的積極性，是行業自律走向成熟的基礎。

第三，構建相應的監督認證機構。雖然行業自律是一種企業自愿參與的信息保護模式，但也需要相應的監督及認證機構規范其行為，特別是我國的行業自律保護出于起步階段，缺乏可操作性，需要相關的單位規范引導其行為，這些監督機構是一些合法的、獨立的、非營利組織可對相關企業單位進行信譽認證，給認證合格者頒發統一的證書，這樣不僅可以提高企業的可信度，調動企業積極性，也可以減少個人信息的泄露及非法利用[10]。

[1] 2015年中國手機網民網絡安全狀況報告[R].北京：中國互聯網絡信息中心(CNNIC)，2016.

[2] 張才琴，齊愛民，李儀.大數據時代個人信息開發利用法律制度研究[M].北京：法律出版社，2015:72.

[3] 齊愛民.大數據時代個人信息保護法國際比較研究[M].北京：法律出版社，2015:136.

[4] 佟大柱.網絡環境下的個人信息安全與保護探討[J].網絡安全技術與應用，2012(8):19.

[5] 史衛民.大數據時代個人信息保護的現實困境與路徑選擇[J].情報雜志，2013(12):157-158.

[6] 2016年雙十一中國網購安全專題報告[R].北京：360互聯網安全中心，2016.

[7] 李皓.網絡環境下個人信息泄露的理論分析及防范探討[J].情報探索，2011(1):41.

[8] 諸葛建偉，段海新，谷亮.中國互聯網信息安全地下產業鏈調查[J].信息安全與通信保密，2012(9):5-11.

[9] 趙培云.國外個人信息行業自律保護及我們的改進設想[J].圖書館學研究，2015(8):99-100.

[10]穆合義，楊娟.信息共享社會中的個人信息保護問題研究[J].法制與社會，2008(9):227-228.

(責任編輯張佑法)

重慶市社會科學規劃項目“大數據時代個人數據信息隱私安全風險及應對機制研究”(2015YBGL110)；重慶理工大學科研立項“網絡環境下個人數據非法泄露與對策研究”(KLC16005)

詹鑫(1995—)，女，研究方向：知識產權；何培育(1983—)，男，副教授，研究方向：信息法學。

10.13769/j.cnki.cn50-1011/d.2016.12.032

詹鑫，何培育.網絡環境下個人信息非法泄露及其對策[J].重慶與世界，2016(12):99-102.

D923

A

1007-7111(2016)12-0099-04