北京航空航天大学 杨 力

12306网站信息泄露事件的法律对策探讨

北京航空航天大学 杨 力

正值春运抢票白热化阶段，2014年12月25日，爆发了12306网站用户数据信息大规模泄漏的风波。第三方漏洞报告平台乌云网发布检测信息称，大量12306用户数据信息在互联网传播售卖，已知公开传播的数据库涉及用户数超过13万条，包括用户账号、明文密码、身份证、邮箱、信用卡信息、购买记录等。事发后，12306网站以及第三方抢票软件双方各执一词，均认为此次用户个人信息泄漏与己方无关。实际上，近年来此类事件屡有发生，当当网、京东商城、携程等电子商务网站都发生过类似用户个人信息泄露的情形。我国在互联网保持快速发展的同时，网络消费者个人信息安全问题已经渗透到网络生活的方方面面，此次，12306网站用户数据信息泄露由于涉及面广、危害大，再次给我们敲响了互联网信息安全的警钟。

信息社会，信息成为商品，网络消费者个人信息更是商机无限的重要商品。但网络消费者个人信息的权利边界在哪里？谁有权将网络消费者个人信息商业化？网络消费者个人信息流动存在巨大的市场需求，法律又该如何加以规范？这些都是有待互联网信息安全法律规范应予以解决的问题。

网络消费者维权面临的种种困境

我国的电子商务规模正在逐年快速增长, 与此形成鲜明对比的是我国的电子商务法律体系还处于初建阶段,专门的法律法规制度较少,实践中缺乏针对性和操作性,对于商家应如何妥善保管网络消费者的个人信息,具有何种义务,一旦泄露消费者个人信息应该承担什么样的法律责任；网络消费者面对侵权应该如何维权,有哪些部门来进行监管等等，都缺乏相对明确的法律规定。这就导致网络消费者相对于网站经营者成为了弱势的群体，在个人信息被泄露，需要维权时，往往处于十分被动的地位。

目前我国还没有制定网络消费者个人信息保护的专门法律，我国对网络消费者个人信息的保护只是散见于以下几个法律规定中:1.2009年，《中华人民共和国刑法修正案（七）》确定了 “出售 、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名，首次将公民个人信息纳入刑法保护范畴，规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。2.2010年施行的《最高人民法院关于审理旅游纠纷案件适用法律若干问题的规定》第9条规定: “旅游经营者、旅游辅助服务者泄露旅游者个人信息或者未经旅游者同意公开其个人信息，旅游者请求其承担相应责任的，人民法院应予支持。”3.2012年，全国人民代表大会常务委员会通过的《关于加强网络信息保护的决定》分别在信息保护、垃圾信息、网络身份管理、部门监管等领域对网络信息保护提出了具体的要求和规范。4.2013年，工信部通过的《电信和互联网用户个人信息保护规定》对“公民个人电子信息”做了具体界定，并明确了信息收集、使用的原则和相关规则，但由于它仅是部门规章，且设定的罚款数额过低、处罚力度过小，并不利于惩处和预防侵害用户个人信息的违法行为。5.2014年3月15日施行的《中华人民共和国消费者权益保护法》第14条规定: “消费者在购买、使用商品和接受服务时，享有人格尊严、民族风俗习惯得到尊重的权利，享有个人信息依法得到保护的权利。”第29条规定:“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。”从以上这些法律、法规的规定来看，大多数只是停留在口号宣示上，具体操作性不强，缺乏系统性和具体的程序来保障其实施，这就造成了目前对网络消费者信息保护力度不强的局面。

在法律适用上，我国诉讼法证明责任的分配，采用的是“谁主张，谁举证”的原则，若网络消费者因个人信息泄露造成损害，以相关经营者为被告提起诉讼时，网络消费者就应拿出自己权利遭受侵害的事实是由于该经营者泄露其个人信息所导致的相关证据。而实际情况是，这些信息和操作途径的证据大多数掌握在该经营者手中，这种信息不对称的局面，使遭受侵害的网络消费者身处举证难的困境。同时，网络消费者个人信息的泄露往往会对个人正常的生活秩序产生诸多不便和影响，而如何影响、影响到什么程度很难从法律上界定，目前法律上也缺乏相应的明确界定标准。另外，由于信息化社会的高速发展，信息的来源渠道、流向的多样化，使网络消费者在明知自己的个人信息被泄露和利用时，却无从知晓到底是谁泄露和利用了其个人信息，找不到明确的被告，也就无法拿起法律的武器来维护自己的合法权利。

网站经营者的义务和责任规则应强化

在信息社会里,网络消费者个人信息的收集、储存、检索、传输和使用变得更加容易、快捷,网络消费者个人信息的保密则变得更加困难。所以，在这种法律关系中,法律规定应侧重保护网络消费者作为信息权利主体应享有的权利,强化网站经营者作为信息的处理者应遵守的义务和责任规则。

从事电子商务信息服务的网站经营者会不遗余力地收集消费者的各种个人信息,以丰富其数据库的内容,便于向消费者提供更加全面的服务,由此可以获得更多的商业利益；网络消费者在申请某项服务或者购买某项商品时,需要填写一份包括个人基本情况的申请表，消费者没有明确授权这一申请表可被用于其他用途,往往也没有意识到它可能被用于其他用途,但就是这份申请表上所包含的个人信息内容很可能被非法使用或转卖。因此，不管是英美法系还是大陆法系国家均在其个人信息保护法中,对信息处理者的义务和责任都作了明确的强化规定。

美国国会在1973年通过的《隐私权法》是美国对于公民信息保护最为重要的一部法案，该法主要是规范政府机构处理个人信息行为,同时也鼓励各非政府机构按该标准实施行业自律。该法规定行政机关在管理档案记录时需遵守的义务,包括其档案材料中仅能保存与完成由法律或总统命令要求其完成的相关任务而且是必须的信息材料；在其用于收集信息的表格或其他可以由个人保存的表格上向每个被其要求提供信息的人通知下列情况:收集这种信息和决定是否提供这种信息的权力是强制性的还是自愿性的；准备使用这些信息的主要目的；这些信息的可能性常规用途；不按要求提供全部或部分信息会带来的后果。另外,行政机关应制定适当的管理性、技术性和物质性防护措施,以保证档案材料的安全和机密性,并防范任何对档案材料的安全或完整的可预见的威胁或危险。同时还规定有关于记录不正确或泄露的民事和刑事责任。之后，美国又相继推出了《信息保护和安全法》、《防止身份盗用法》、《网上隐私保护法》、《消费者隐私保护法》、《全球电子商务框架报告》、《儿童网上隐私保护法》等等，都着重强调对网民隐私保护、要求网络服务业者必须要告知其隐私权政策等等。

欧洲各国的《个人数据保护法》针对数据管理者的原则性义务作出了比较一致的规定,同时规制政府机构和非政府机构的个人信息处理活动。个人数据应是出于特定、明确和合法的目的而进行收集的,所进行的进一步处理不能违反这些目的,同时收集的个人数据应该精确、完整并为最新状态；除了管理者为了履行其合法义务、保护数据主体的重要利益或是公众利益等例外情况,对数据进行处理必须得到数据主体明确同意的表示；数据管理者必须在有明确指示的情况下才能对数据进行处理,同时管理者必须采取适当的技术和组织措施以保护个人数据免予遭受意外或非法的破坏以及意外丢失、更改和进行未经授权的公开或访问。

加拿大相继实施了《信息获取法》、《隐私权法》与《信息获取法》，明确对加拿大150个联邦政府部门以及中介机构收集、利用、公布个人信息的行为作出限制。规定非属当前任务所必需，政府机构不得采集个人信息；除个别情况外，应向信息关系人直接采集，并同时向其通报采集信息的目的；个人信息只可用于既定目的并只许在限定条件下披露；政府机构必须为含有个人信息的数据库编制索引并至少每年修订一次。该索引具体介绍有哪些政府机构控制着哪些个人信息以及个人信息的使用目的，方便公众查询。

日本的《个人信息保护法》主要规制国家以及地方公共团体的个人信息处理行为,对信息处理业者的行为同样作出了严格限制,比如要求各信息处理业者在处理个人信息时,必须尽可能将其利用目的加以特定,未经本人事先同意,不得超出特定目的所必须的范围；不得以虚假或不正当的手段获取个人信息；必须在实现利用目的所必需的范围之内努力确保个人数据的正确性和最新状态；另外还必须采取必要且适当的措施防止其所处理的个人数据泄露、灭失或毁损,对个人数据应进行安全管理。

因此，为了更好的保护网络消费者的个人信息，我国在个人信息保护立法中应当把网络消费者个人信息的保护作为电子商务网站经营者的法定义务和责任加以明确强化规定，明确网站经营者对其所收集、使用的个人信息保护的义务和责任，规定网站经营者在收集、使用消费者个人信息时，应遵循合理、合法、正当、必要的原则，应明示收集、使用信息的目的、方式和范围，在使用消费者个人信息时，应公开其收集、使用规则；未经消费者同意，不得违反法律法规的规定和双方的约定收集、使用消费者的个人信息；且对消费者个人信息的使用应限定在合理的范围之内,以维护消费者的合法利益。网站经营者在收集、使用消费者个人信息时，应严格保密，有义务采取可靠的技术和物理措施,积极有效地保证设备的稳定性和安全性,防止因设备被攻击而导致消费者个人信息被泄露、滥用、篡改和毁损丢失。网站经营者应当加强对其收集、使用消费者个人信息的管理，不得出售或者非法向他人提供。网站经营者在提供网络服务过程中，应对消费者个人信息的保管和使用有一个完整的记录, 保证个人信息使用的可査性，防止对个人信息的使用行为被否认。

网络消费者自身的个人信息保护和防范意识有待提高

由于互联网在我国的快速发展，部分网络消费者并不十分了解网络电子商务的特征，对发布网络个人信息的后果缺乏足够认识，加上个人防范意识不强，例如使用重复的用户名和密码，使用简单易破解的用户密码，以及随意的使用一些恶意的计算机软件等等，最终导致不少网络个人信息的泄露事件的发生。此次12306网站用户数据信息泄露事件的犯罪嫌疑人就是通过“撞库”的方法获取了大量的用户个人信息。

因此，网络消费者自身应提高个人信息安全的保护意识，从增强个人信息保护意识做起，网络消费者在填写个人信息资料时,除了填写商家要求必须要填写的内容外,应尽量不要提供与个人相关的任何敏感信息,有必要时可提供一些虚假的信息，如可填写虚假的姓名、真实的地址,这在一定程度上可减少个人敏感信息泄露的可能性。同时网络消费者应该尽量选择信誉度较高的商家，网络消费者还应主动了解商家的隐私保护策略,包括具体收集的信息内容、收集信息的方式和目的、信息使用的主体、范围、途径、期限、采取怎样的保护措施、如何维护来确保个人信息安全的等等。此外，网络消费者还应增强个人信息保护的法律意识，学会利用法律的武器维护自己的合法权益，对于网络上的一些侵权行为，不能表现出一种漠不关心、无所谓的态度，要积极维护自己的正当权利，如果漠视个人信息的肆意侵犯，并将会带来更大范围的个人合法权利的侵犯。

完善网络环境下个人信息保护的法律制度

要使网络消费者个人信息安全得到全面、切实的保护，就必须建立起完善的、具有操作性的网络环境下个人信息法律保护体系，形成维护网络环境下个人信息安全的法律环境。而目前，我国网络环境下个人信息保护的立法, 主要集中在民事和刑事领域, 且多以间接保护为主,主要有《中华人民共和国刑法》、《中华人民共和国民法》、《中华人民共和国侵权责任法》、全国人民代表大会常务委员会通过的《关于维护互联网安全的决定》和《关于加强网络信息保护的决定》、《中华人民共和国消费者权益保护法》、《中华人民共和国计算机信息安全保护条例》、《中华人民共和国电信条例》、《互联网信息服务管理办法》、《互联网电子邮件服务管理办法》、《电信和互联网用户个人信息保护规定》、《规范互联网信息服务市场秩序若干规定》等法律法规,以上这些相关的法律法规,零散且不系统、不健全，缺少专门的立法规定，明显不能满足我们网络信息社会快速发展的实际需要。

世界上已经有很多个国家和地区制定了专门的个人信息保护法律法规，从各国立法来看，主要规范的是个人信息收集、使用者的义务、责任和个人信息当事人的权利保护。我国网络环境下的个人信息保护立法应以世界上大多数国家认可的国际通行标准作为参考，制定个人信息保护的专门法律法，从立法宗旨、基本概念、信息资源主管部门、基本原则、适用范围、个人信息收集主体、收集范围、收集程序、部门或组织告知义务、个人信息的储存与使用、更改程序、共享程序、行业自律机制、监督机构及职责、损害赔偿、法律责任等方面做出全面的明确规定。这样便于打破网络消费者个人信息法律保护的僵局，构筑起统一的网络消费者个人信息法律保护体系，对网络消费者个人信息进行直接、全面的地保护，适应信息化社会发展的需要。

在网络消费者个人信息保护的法律适用方面，消费者个人信息遭到侵害难以获得救济,很大程度上是由于消费者举证困难。我们可以借鉴国外的成功经验，在消费者个人信息侵权的法律适用上实行举证责任倒置的规则，让经营者证明自己没有通过非法或不合时宜的途径侵犯消费者个人信息，能够最大限度地保护消费者的合法权益。例如，欧盟的《远程金融服务指令》中就有相关规定,即规定“在一定条件下,施行举证责任倒置,即由远程金融服务的提供方承担告知消费者，消费者自愿缔结远程金融服务合同的举证责任。”

网络的普及，使网络消费者日益成为一个庞大的社会群体，我们在积极借鉴国外个人信息保护立法成功经验的同时，还应结合我国目前的立法体制和我国网络环境下个人信息保护的现状，构建多层次的网络环境下个人信息保护的法律体系。国家需要完善相关立法，执法监管部门需要完善监管措施，行业需要行业自律，建立行业诚信。中国互联网协会公布的《中国互联网行业自律公约》,倡议互联网行业的从业者加入本公约,并要求成员“自觉维护消费者的合法权益,保守用户信息秘密；不利用用户提供的信息从事任何与向用户作出的承诺无关的活动,不利用技术或其他优势侵犯消费者或用户的合法权益”。