网络环境下个人信息非法泄露及其对策

2016-03-27何培育

重庆与世界(教师发展版) 2016年12期

关键词：自律个人信息信息

詹鑫，何培育

(重庆理工大学知识产权学院，重庆 400054)

【政治与法律】

网络环境下个人信息非法泄露及其对策

詹鑫，何培育

(重庆理工大学知识产权学院，重庆 400054)

互联网数据包含大量的用户个人信息，个人信息的保护不仅仅关系到用户的个人隐私、财产安全、人身安全，还关系到整个社会诚信制度的建立、社会经济发展、歧视消除以及大数据产业的健康发展。在我国网络发展尚不成熟的环境下，公民的个人信息保护意识薄弱，行业自律还处于起始阶段，我国尚未建立统一的《个人信息保护法》，个人信息安全难以得到全面保障。个人信息保护与公民的社会生活息息相关，是大数据时代的焦点也是必须积极采取措施有待解决的问题。

个人信息；网络环境；信息泄露；个人信息保护

互联网改变人们生活方式的同时也给公民带来了极大的风险，大规模的信息泄露愈演愈烈，使公民财产安全和人格利益受到严重的威胁[1]。个人信息的泄露是信息非法使用的基础，不仅仅会给信息主体带来严重的损失，也将严重威胁到大数据产业的健康发展给社会的发展带来巨大影响。

一、网络环境下个人信息泄露成因分析

(一)大数据时代个人信息经济价值巨大

个人信息是指个人的姓名、性别、年龄、血型、健康状况、职业、身高、人种、地址、头衔、学位、生日、特征等可以被直接或间接识别该个人的信息[2]。一旦一个人的部分重要个人信息被泄露，将严重威胁到个人的财产安全、人身安全及人格利益[3]。互联网时代的到来像一张密网一样高效快速地收集着海量的个人信息，这些信息经过系统地处理分析将会对企业的管理、营销策略、战略规划等起着关键性的作用。比如金融行业可以利用大数据做风控、客户推广或产品销售，医疗行业可利用大数据进行精准医疗，政府可将大数据用于大数据安防、国家安全。随着大数据产业的发展，以贵阳大数据交易所为代表的各大数据挖掘公司和数据销售公司逐渐崛起。信息管理成为了企业的核心竞争力之一，企业致力于通过各种手段获取消费者的消费习惯、上网记录、联系方式等海量的个人信息。而这些个人信息除了一些网站可自动收集以外，还可以通过非法转卖、窃取等方式获得。对于金融机构、房地产业、学校、医院等掌握有大量公民个人信息的企、事业单位来说，个人信息市场规模更大，更容易成为不法分子的目标。一方面因企事业单位的监管不到位，内部信息管理者因未尽注意保护义务或禁不住利益诱惑而非法泄露、转卖个人信息；另一方面，数据规模宏大的行业单位是黑客发起攻击的主要对象。李克强总理在中国大数据产业峰会暨中国电子商务创新发展峰会上强调要“把握科技革命历史机遇，抢占大数据发展先机”。大数据中的个人信息具有可识别性、可共享性等特点，不仅仅可以提高机关单位工作效率及准确度，还可以促进信息共享；大数据中的个人信息也是国家、企业制定战略规划的重要资源，对国家社会的发展有重大意义。

(二)个人信息保护立法不完善

关于个人信息法律方面的保护，立法、行政、司法各方面都存在不足，存在立法分散、行政监管不到位、法律责任体系不完善、配套机制不健全等问题。目前，我国有关个人信息保护的法律条文零散地分布在民法、刑法、行政法等各个部门法中，并没有一部专门的、统一的针对个人信息进行保护的法律，相关条款不仅个别、分散、抽象，而且面对信息时代层出不穷的新问题也已经漏洞百出[4]。现阶段，我国与个人信息相关的法律保护文件有《刑法修正案九》《侵权责任法》、全国人大常委会颁布的《关于加强网络信息保护的决定》和《中华人民共和国网络安全法》，以及工业和信息化部颁发的《电信和互联网用户个人信息保护规定》等，现有立法通过“个人信息”“个人隐私”等范畴对个人信息实现直接或间接保护。近年来，在法规中直接对“个人信息保护”进行明确规定的趋势日渐明显，但仍有很多问题存在。现行法律法规对个人信息的保护仍不够全面、受害者维权举证困难、对侵权者惩罚力度小、行政机关监管不到位等因素共同造成了个人信息侵权行为多发的局面[5]。

(三)电子商务环境存在安全隐患

随着互联网持续渗透、网民数量高速增长、移动电商快速普及，中国现已经成为世界上最大的网购市场，2016年的双11销售额数据再创新高达到1 207亿元。作为一个新型行业，电子商务经过十几年的快速发展已成为中国网民生活中的一部分，越来越多的人通过互联网在网上进行网上订餐、网上购物、网上买票等网络消费活动。不可置疑，电子商务已是一种常态，在改变我们消费方式的同时也对网民个人信息安全构成一定威胁。一方面网络消费者必须填写基本的个人信息来获取快捷、高效的电商服务，注册需要填写邮箱、电话号码甚至需要身份证信息，在线交易需消费者填写银行卡号或第三方账号，物流也需要消费者的联系方式、住址信息，整个购物过程都存在信息泄露的风险。另一方面网络安全问题更加严重，以互联网为载体的各种恶意代码、木马程序、僵尸网络隐藏于各个角落，电子商务为不法分子利用各种病毒软件窃取各种信息提供了更多的机会。360互联网安全中心发布的《2016年双十一中国网购安全专题报告》显示，在双11当天共拦截钓鱼网站攻击高达5 193次，拦截各类骚扰电话共1.8亿次，垃圾短息拦截量高达1.9亿次[6]。个人信息的商业价值如黄金般吸引着各种不法分子，这些不法分子利用电子商务提供的平台通过设计钓鱼网站、恶意代码直接获取网民财产数据及个人信息，进而实施电信诈骗或其他网络违法活动。

二、网络环境下个人信息泄露渠道剖析

网络环境下个人信息泄露的渠道多样，而且信息泄露传播速度非常快，笔者将之分为信息主体泄露、信息管理者泄露、网站采集及黑客盗窃。

(一)信息主体泄露

信息主体发布泄露是一种主动的泄露，是信息所有者自己主动泄露信息的一种行为。互联网的发展使信息传播更广泛、快捷、方便，网民可以自由地通过各种社交应用平台在网上传播、获取、分享信息，比如以微博、QQ空间为代表的获取和分享信息的综合社交应用平台，以微信、陌陌、qq为代表的即时通讯社交应用平台，以美拍、唱吧、秒拍为代表的图片或视频类社交应用平台，这三大社交应用平台逐渐渗透网民生活成为了网民社交生活不可缺少一部分。互联网的发展迎合了现代人民休闲、娱乐、交流、广泛交友，以及即时获取新闻资讯的需求，社交应用为网民提供了传播、获取、分享信息的平台。发朋友圈、发微博、分享图片视屏是网民社交生活的常态，网民在享受各种社交软件带来的方便时也将自己的个人信息赤裸裸地暴露于互联网这样一个具有杀伤力的环境之下。网民自己发布、传播、分享的信息虽然不会直接威胁到信息主体的财产安全但这些信息往往与信息主体的生活息息相关。各种零零散散的信息一旦经过整合就具有很强的识别性可以直接指向具体的个人，比如你的爱好习性、位置信息、家庭状况、工作单位、作息时间、大体经济状况等等。一旦一个人的部分重要个人信息被不法分子捕获、整合，就给犯罪分子有机可乘。目前，我国的网络环境尚不成熟，网民的个人信息保护意识非常淡薄，有些网民甚至不知道自己的个人信息受到严重的威胁，随意发布传播自己的信息、图片、视屏，严重威胁到自己的人身财产安全。

(二)信息管理者泄露

信息管理者是为了达到某一合法目的比如增加顾客的黏性、促进顾客的购买欲等进而对个人信息进行合法搜集、处理、利用的主体。信息管理者泄露是因信息管理者的个人信息保护意识淡薄或管理机制不健全从而导致个人信息遭到非法泄露的行为。信息管理者可以分为国家机关和其他组织或个人[3]。国家机关往往出于维护公共利益的目的对公民大量的个人信息进行收集处理，非国家机关如企业掌握了大量的顾客信息也是常见的信息管理者。信息管理者往往掌握有海量信息主体的大量基本信息甚至是敏感信息，信息管理者泄露个人信息分为两种情况：一是信息管理者为获取非法利益对个人信息进行非法处理的主动泄露；二是信息管理者因未尽注意保护义务或遭黑客攻击导致个人信息被泄露。大数据产业迎来了快速发展时代，谁掌握了信息谁就站在时代前沿，不论是对企事业单位还是对暗藏于网络环境中的不法分子而言，都具有相当大的诱惑力。

(三)网站自动采集

网络环境下，网站采集个人信息已是屡见不鲜。网站采集个人信息主要有 4 种方式：用户注册填写信息、在线调查活动中填写个人信息、Cookies 收集的用户上网信息，其他采集方式[7]。各种商业网站往往出于用户更好地体验网站的服务、增加顾客的黏性，需要用户填写许多个人信息如银行卡号、电话号码、姓名、住址甚至身份证号码等信息，这些网站承载有大量私密性的个人信息甚至直接与个人财产相关，一方面网站在存储、处理信息的过程中若未尽注意保护义务或因技术安全保障出现问题导致个人敏感信息的泄露，则会给信息主体带来巨大的经济损失甚至是人身伤害；另一方面，若网站将采集得到的个人信息进行非法处理或非法转卖，会严重威胁到信息主体的财产利益和人格利益，阻碍大数据产业的健康发展及诚信制度在我国的建立。在线调查活动是在网上发布问卷的形式，这些问卷通常会采集信息主体的部分个人信息，但往往由于这些问卷表面具有无害性或者因声明绝不外露等原因，许多网民就会因为好奇去填写个人的资料。Cookies 收集是一种网上自动采集信息的方式，网民的所有上网活动被跟踪记录，但大多数网络用户不知道怎样避免自己的上网记录被跟踪甚至不知道自己的上网记录正在被跟踪，有些网民即使知道怎样避免上网记录被跟踪也不会积极采取措施处理。

(四)黑客窃取

随着互联网技术的发展，个人数据地下产业链以迅猛之势崛起，具有巨大商业价值的个人信息成为黑客的主要目标，形成了有组织有团体有分工的黑客团伙，他们利用互联网通过各种不法手段对具有识别性的个人身份信息及具有财产性质的个人数据进行窃取。如信用卡号及密码、银行卡账号及密码、在线支付账号及密码、股票基金账号及卡密、游戏装备号及密码，这些卡号及密码直接关系到信息主体的财产安全，一旦被窃取会直接给信息主体带来巨大经济损失。黑客常用的技术方法有网络钓鱼(Phishing)和网银木马(Bank Stealing Trojan Horse)，网络钓鱼是一种利用社会工程学和技术手段盗窃消费者个人身份资料和金融账号凭证的身份信息在线窃取活动，通常会以商品优惠、安全借口等社会工程学方法骗取信息主体的账号密码[8]。网银木马是黑帽技术、工具与培训地下产业链中的一类主流工具，因此可以通过地下黑市购买获得。而网络犯罪者也可以借助互联网资源与服务滥用地下产业链的支持，通过僵尸主机植入、软件捆绑、网站挂马、恶意邮件、即时通信群发恶意信息等多种渠道传播网银木马，使得互联网用户主机遭受感染，然后利用键击记录、截屏录像、窃取数字证书等方式盗取信息主体的账号密码[8]。

三、网络环境下个人信息保护策略

(一)完善个人信息保护相关法律法规

目前，世界上有很多国家都已经出台了专门针对个人信息进行保护的法律法规，而我国于2003年开始起草的《个人信息保护法》经过了10多年的探究尚未完成。立法完善是一个缓慢的过程，在《个人信息保护法》正式颁布之前，法律方面如何来采取有效措施保护个人信息是我们当下必须解决的问题。

首先，应加快制定《个人信息保护法》。现阶段法学界关于个人信息的概念界定、个人信息保护立法模式、个人信息权利基础、基本原则、如何平衡信息自由与人格利益出现了争端。笔者认为个人信息保护法的制定必须综合我国互联网发展实情、交易习惯、文化习俗等实现大数据产业发展的利益最大化和公民个人信息利益最大化。个人信息保护法的确立，使得以往只能凭借民法、行政法和刑法上之抽象概念保护的个人信息问题得到了专门立法的细致化和规范化的保护[3]。

其次，可以在现有的法律基础之上完善相关法律法规。个人信息无处不在，很多法律法规都可以对个人信息进行保护，所以在现有的法律法规的基础上对公民的个人信息进行保护是当前最快且有效的方法。比如2009年2月颁布的《刑法修正案七》确定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪；在2015年11月，经修订后的《刑法修正案九》将犯罪主体身份一般化、获取方式不限，而且最高刑提至7年，加大处罚力度；2014年3月经修订后的《消费者权益保护法》增添了“保护个人信息，禁止商家‘卖单’”的制度。

(二)加强行政监管及司法保护

个人信息安全想要得到有效的保障，政府必须得加强行政管理，严厉打击个人信息非法泄露的行为。

一是设置权责清晰的机构进行监督，工业和信息化部只涉及了电信和互联网行业管理，而个人信息的采集、处理和利用主要是通过互联网计算机进行，在此过程中个人信息遭到泄露的危险性非常大，需要有多方面明确的行政机关通过行政职权的合理配置，对保障个人信息安全实施全面、严格的行政监管[5]。

二是严格监管制度。建立严格的质量保证和监管体系，规范信息管理者的使用权利、具体责任要件、明确责任认定等。合理约束重要部门和敏感部门对个人信息处理利用，特别是对于政府部门、医院、教育机构、金融机构等特殊行业要加强监管力度；严格要求信息管理者采取有效的技术保护措施、履行个人信息保护的注意义务、对数据的二次利用必须进行脱敏处理。特别要重视对具有隐私性质的个人信息的划分，根据信息管理者的性质不同，如根据政府机关、商业网站等对个人信息的保护的规则不同而采用不同的责任承担方式。

三是加大惩处力度。从司法保护角度来说，不论是民事保护还是刑事保护其惩处力度都是不够的，现有的法律惩处措施并不能有效的遏制个人信息泄露的非法行为并让这些行为主体受到相应的惩罚。笔者认为其惩罚力度应根据行为主体的盈利能力以及违法行为造成的损失大小来认定，以工业和信息化部颁布的《电信和互联网用户个人信息保护规定》为例，该规定对相关的未发行为设定的警告和 3 万元以下的罚款处罚，对于大型企业来说根本不能起到惩罚以及震慑的作用。

(三)倡导行业自律

国家及行业主管部门应鼓励支持行业组织制定行业公约，加强行业自律，建立健全的行业信用评价体系和服务评议制度，促进行业规范发展。

第一，确立行业自律组织及其制度的法律地位。互联网产业在我国的发展尚不成熟，行业自律模式在我国尚未引起高度重视，确立行业自律及其制度的法律地位有利于行业自治模式在我国的渗透。

第二，制定个人信息保护行业自律制度。个人信息保护行业自律制度的建立有助于行业自律模式的推进，可以从多个方面来制定行业自律制度，比如确立处理个人信息原则，制定行业统一的网站用户隐私保护内容标准等等[9]。明确规范行业自律制度，可以增强行业自律制度的实施以及可操作性，也可以调动企业自律的积极性，是行业自律走向成熟的基础。

第三，构建相应的监督认证机构。虽然行业自律是一种企业自愿参与的信息保护模式，但也需要相应的监督及认证机构规范其行为，特别是我国的行业自律保护出于起步阶段，缺乏可操作性，需要相关的单位规范引导其行为，这些监督机构是一些合法的、独立的、非营利组织可对相关企业单位进行信誉认证，给认证合格者颁发统一的证书，这样不仅可以提高企业的可信度，调动企业积极性，也可以减少个人信息的泄露及非法利用[10]。

[1] 2015年中国手机网民网络安全状况报告[R].北京：中国互联网络信息中心(CNNIC)，2016.

[2] 张才琴，齐爱民，李仪.大数据时代个人信息开发利用法律制度研究[M].北京：法律出版社，2015:72.

[3] 齐爱民.大数据时代个人信息保护法国际比较研究[M].北京：法律出版社，2015:136.

[4] 佟大柱.网络环境下的个人信息安全与保护探讨[J].网络安全技术与应用，2012(8):19.

[5] 史卫民.大数据时代个人信息保护的现实困境与路径选择[J].情报杂志，2013(12):157-158.

[6] 2016年双十一中国网购安全专题报告[R].北京：360互联网安全中心，2016.

[7] 李皓.网络环境下个人信息泄露的理论分析及防范探讨[J].情报探索，2011(1):41.

[8] 诸葛建伟，段海新，谷亮.中国互联网信息安全地下产业链调查[J].信息安全与通信保密，2012(9):5-11.

[9] 赵培云.国外个人信息行业自律保护及我们的改进设想[J].图书馆学研究，2015(8):99-100.

[10]穆合义，杨娟.信息共享社会中的个人信息保护问题研究[J].法制与社会，2008(9):227-228.

(责任编辑张佑法)

重庆市社会科学规划项目“大数据时代个人数据信息隐私安全风险及应对机制研究”(2015YBGL110)；重庆理工大学科研立项“网络环境下个人数据非法泄露与对策研究”(KLC16005)