對個人隱私保護的思考

夏天雨

摘 要：論文結合個人信息電子化的特點，指出了當前個人隱私遭受侵犯的風險，并提出了個人信息的保護措施。以“徐玉玉案”為例，首先分析了非法獲取個人信息的技術手段，其次闡述了當前有關法律對犯罪分子的懲治，最后在法律層面和道德層面提出個人信息保護的建議。

關鍵詞：大數據；個人信息保護；入侵技術；法律懲治

中圖分類號：D035.39 文獻標識碼：B

Abstract： Based on the characteristics of electronic information of personal information， this paper points out the risk of personal privacy violation， and puts forward the protection measures of personal information. Taking the "Xu Yuyu case" as an example， it first analyzes the technical means of illegally obtaining personal information， and secondly expounds the current law on the punishment of criminals， and finally puts forward the protection of personal information at the legal level and moral level.

Key words： big data； personal information protection； intrusion technology

1 引言

大數據時代，互聯網與社會生產生活深度融合，電子化個人信息也存儲在網絡云端，人們的衣食住行與網絡有著千絲萬縷的關系。公民在上網過程中產生了大量包含個人信息的電子數據，如網站購物信息、外賣訂餐信息、酒店預訂信息、機票改簽信息等。電子化個人信息一方面給人們的生產生活帶來諸多便利，另一方面也因其保護的脆弱性面臨不法分子的盜竊濫用。犯罪分子利用網站服務器漏洞非法竊取個人信息，并進行非法使用，對公民的人身財產安全帶來了極大的危害。

當前，我國還沒有制定出臺一部專門的個人信息保護法，我國對個人信息保護的法律主要體現在《刑法》第253、285、286、287條等[1]。此外，我國《刑法修正案（九）》對“侵犯個人信息罪”進行了修改完善，我國《網絡安全法》第76條對“個人信息”的概念進行了拓展[2]。但是，當前法律仍不能滿足對個人信息進行有效保護的要求，對侵犯個人信息行為的懲治力度還需提高，國家制定和出臺一部專門的個人信息保護法就顯得尤為重要。

2 個人信息電子化帶來的安全隱患

我國《網絡安全法》規定的個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息。具體而言，個人信息可分為兩大類，電子化的個人信息和網絡中特有的個人信息[3]。電子化的個人信息包括公民姓名、身份證號、手機號碼、住址、學歷信息、婚姻狀況等。網絡中特有的個人信息包括虛擬身份信息、網頁瀏覽記錄、聊天通訊記錄、網購消費信息、地理位置信息、機票改簽信息等。

2.1 網絡服務商收集的個人信息被過度利用

網絡服務商，簡稱為ISP，包括ICP（網絡內容提供商）、ASP（應用服務提供商）、IMP（網上媒體提供商）、OSP（在線服務提供商）等。在用戶注冊登錄網站、瀏覽網頁、支付消費、添加收藏活動中，上網用戶的個人信息和操作痕跡會存入網站后臺數據庫中。

網絡服務商收集的個人信息存在被過度使用的問題。例如，淘寶、京東等電商企業通過收集用戶的消費記錄、瀏覽記錄、收貨地址，將購物習慣相同的用戶進行交叉分析，對用戶的身份、職業、地理位置、購買力進行預測，從而向用戶精準定向的推送商品廣告。電商企業可以合法的收集個人信息，但是利用公民個人信息進行商業推銷活動卻侵犯了公民的個人隱私。

2.2 商業機構收集的個人信息被內部人員泄露

銀行機構在客戶辦理存取款業務過程中，收集存儲了客戶的姓名、性別、身份證號、年齡、身份、地址、存取款金額、存取時間、筆數等涉及個人信息的資料；商業保險機構在客戶投保過程中，收集了客戶的姓名、性別、健康、婚姻、財產、住所、家庭成員、工作經歷等隱私信息。有些商業機構內部人員法律意識淡薄，只追求一己私利，便將公民個人信息出售，造成公民個人信息泄露。

2.3 公共管理服務部門面臨黑客入侵

公共管理服務部門在服務公眾的過程中往往收集和存儲了公民的詳細個人信息，如稅務部門收集納稅人信息，治安管理部門收集公民身份信息，教育部門收集學生學籍考試信息，醫療部門存儲著患者疾病用藥等方面隱私數據。

除此之外，人們在求職、買車、買房、辦理會員卡、掃描二維碼參加活動等過程中也會泄露個人信息。這些個人信息的泄露會給公民帶來人身騷擾、推銷詐騙等風險。

以徐玉玉案為例，山東省教育招生考試院網站收集和存儲著高考考生的詳細報名信息，包括姓名、性別、年齡、身份證號、家庭成員、家庭住址和聯系方式。教育網站因為服務器版本內核較低，存在較多安全漏洞，網站維護人員沒有及時更新，給黑客非法獲取網站后臺數據庫提供了可乘之機。

3 非法獲取個人信息的技術手段

如圖1所示，OWASP（開放式Web應用程序安全項目）公布的十大網站程序安全漏洞分別為注入漏洞、失效的認證和會話管理漏洞、XSS漏洞、失效的訪問控制漏洞、安全配置不當漏洞、敏感信息泄露漏洞、攻擊防護不足漏洞、CSRF漏洞、使用已知漏洞組件、未受有效保護的API漏洞[4]。

以2017年Top1 SQL注入漏洞為例，黑客在Web表單提交過程中，插入一系列非法字符，致使服務器執行偽造SQL語句，最終獲得數據庫返回信息和網站后臺管理員權限，對用戶個人信息進行竊取或修改，攻擊過程如圖2所示。典型的SQL注入攻擊包括強制產生錯誤（收集數據庫版本信息），特殊字符注入（利用特殊字符避開輸入過濾技術）和條件語句注入。

綜上所述，SQL注入攻擊和XSS漏洞攻擊、CSRF攻擊類似，黑客通過輸入特殊的字段，使其輸入的數據變成可執行的代碼，即惡意代碼。要防范此類攻擊就要杜絕用戶提交的參數入庫并且執行。此外，負責網站安全的維護人員需要每天審計日志記錄、定期進行漏洞監測和安裝操作系統補丁，增強服務器個人信息的存儲安全。

4 我國法律對非法侵犯個人信息罪的懲治

當前我國還沒有制定專門的個人信息保護法，我國對個人信息保護的法律主要體現在各個法律、法規以及解釋中。以“徐玉玉案”為例，犯罪嫌疑人杜某利用漏洞掃描工具發現“山東省2016高考網上報名信息系統”存在漏洞，于是他便利用網站漏洞獲取了網站后臺登錄權限，盜取了包括徐玉玉在內的64萬余條考生報名信息，并通過支付寶、QQ向陳某出售上述信息10萬余條，獲利14100余元。黑客杜某的行為觸犯了《刑法》第285條，情節特別嚴重，構成了侵犯公民個人信息罪。陳某通過QQ群向黑客杜某購買上萬條山東高考考生信息數據，非法獲利超過9900元，依據《關于侵犯公民個人信息刑事案件適用法律若干問題的解釋》陳某構成犯罪且情節特別嚴重。

5 結束語

當前，網絡個人信息泄露已成為網絡空間安全的嚴重威脅，治理個人信息泄露、保障網絡信息安全已成為推進我國信息化發展戰略的緊迫任務。因此，在大數據時代背景下，我們既要充分發揮電子化信息的快捷便利，又要加強行業自律監管，推進法制建設，提升全民道德素質。

大數據和云計算的出現為網絡服務提供商大規模地收集公民個人信息提供了可能，因而收集和存儲公民個人信息的運營單位要加強行業自律，保護個人信息安全。數據運營單位要定期進行漏洞監測，及時安裝最新補丁，認真審查系統日志，提高網絡系統安全水平。此外，數據運營單位要加強內部人員管理，根據數據庫內容給員工設置分級權限，提升員工責任意識和法律意識，設立追責機制，防止內部信息泄露。

網絡空間作為現實社會的延伸并不是“法外之地”。因此，國家立法機構制定出臺一部專門的個人信息保護法就顯得尤為重要。我建議法律首先明確個人信息的分類，對侵犯個人信息的犯罪量刑定義更加明確，解決當前個人信息保護法律落地難的問題，建立完整、高效、適用性強的網絡安全法律體系。

個人信息保護需要全社會的共同努力，要不斷提高公民道德素養，加強網絡安全知識宣傳教育。可以在校園、社區開展知識競賽、宣傳畫報展覽活動，舉辦專題講座，同時通過微博、微信新媒體進行全方位宣傳，共同營造清朗的網絡空間。

參考文獻

[1] 中華人民共和國刑法[M].北京：中國法制出版社，2015.

[2] 中華人民共和國網絡安全法[M].北京：中國法制出版社，2017.

[3] 俞信吉.網絡環境下個人信息概念厘定[OL].中國法院網，https：//www.chinacourt.org/article/detail/2010/08/id/424704.shtml，2010-08-25.

[4] OWASP.OWASP Top 10-2017. Open Web Application Security.Project.[OL].http：//www.owasp.org.cn，2017.