摘 要 从2014年开始，网络上个人信息的泄露逐渐扩大化、规模化，“撞库”作为一种使得个人信息规模泄露的重要攻击方式，不仅没有得到良好遏制，反而持续猖獗。如何判定网络信息泄露的责任，如何保证用户能够有保障地开展“网上生活”而不用胆战心惊，我们需要从法律角度进行解读思考。

关键词 “撞库” 个人信息 责任认定

作者简介：左进玮，华中师范大学法学院。

中图分类号：D922.7 文献标识码：A DOI：10.19387/j.cnki.1009-0592.2017.08.310

一、 何为“撞库”

2014年，携程网系统出现技术漏洞导致用户个人信息、银行卡CVV安全码信息泄露，小米论坛用户资料泄露，快递网站遭黑客入侵使1400万条个人信息在网络上被多次转卖，年底智联招聘86万用户简历信息泄露，东方航空大量用户订单信息泄露，12306火车订票网站被“撞库”。

大规模个人信息泄漏事件并没有就此停止，而是愈演愈烈。2015年京东曝出“撞库”抹黑事件，2016年事件仍然高发，大麦网又遭“撞库”攻击，39位用户被骗147万元，甚至腾讯、网易邮箱等大型社交网站、互联网厂商都纷纷被曝遭遇“撞库”。越来越多的用户在网络上的个人信息遭到泄露，由此带来一系列的财产损失等问题，网络安全成为亟待解决的问题。

那么，什么是撞库呢？所谓“撞库”，是一种针对数据库的攻击方式，是黑客通过收集互联网已泄露的用户和密码信息，尝试批量登录其他网站后，得到一系列可以登录的用户账号。简单来说，就是黑客通过攻破安全性较差的网站获取用户的个人信息，通过数据分析后尝试批量登陆用户同账号密码的其他网站。

“撞库”运操作简单、成本较低，其对数据库的攻击只需要经过“脱库”——攻破网站、“洗库”——数据处理分析，然后就可以进行“撞库”。“撞库”之所以能够持续猖獗，究其原因是用户个人的密码安全意识不强，设置密码过于简单、多个网站长期使用同一账号密码登录。

二、个人信息泄露谁之过

从个人信息小规模贩卖到大规模泄露，事件不仅没有得到控制反而愈演愈烈，是什么原因使得黑客能够持续猖獗、个人信息安全得不到保障呢？

2016年票务网站大麦网信息泄露使得39名用户损失147万的事件中，大麦网表示该事件便是由不法分子用“撞库”的方式造成的，并采取对用户进行先行赔付的方式解决该事件。从大麦网对该事件的解决方式来看，“撞库”归责，绝不仅仅是一方。

（一）网站

大麦网采取先行赔付的方式，同时承认存在技术监管方面的漏洞才使得黑客有可乘之机，因此在大麦网信息泄露事件中，网站也应当承担一定的责任。

在个人信息泄露事件中，关于网站应当承担的责任，应当分情况讨论。

第一，如果个人信息是从网站泄露，则应当区分网站信息泄露的主观故意。如果是网站故意对个人信息泄露，则网站承担侵权责任，我国对于信息泄露的用途没有进行区分，国外则区分商业用途和非商业用途，商业用途承担责任更大，除了民事上的侵权责任，由于大面积的用户隐私泄露影响恶劣，还应当承担行政责任；如果是过失泄露，应当根据过错推定责任原则追究责任，由于网站对于用户的个人信息有保管义务，因此应当先推定其有过错，再由网站进行举证其尽到应尽的义务，如果不能举证或者确实由于网站在数据保密层面上技术保护水平存在漏洞导致数据泄露，则应当承担侵权责任。

第二，信息是从与其授权合作的平台泄露。由于网站与第三方存在合作关系，用户信息通过网站提供给第三方，因此如果用户信息是从第三方泄露，则该网站也应当承担连带责任，由网站和第三方平台共同向用户承担侵权责任，网站可以在赔偿后根据与合作方的协议向第三方平台追偿。具体责任认定规则与从网站泄露的情况一致。

第三，信息是黑客从其他网站获取后对该网站“撞库”获取。在该情况下，网站只要尽到应尽的义务、达到一定的技术保护水平则无需承担责任。

（二）用户

尽管我国法律规定了网络服务商在用户信息保管方面的责任，但是消费者信息的泄露决不能只归责网络服务商，许多泄漏事件是消费者的安全意识低、没有对自己的个人信息尽到保管责任造成的。首先，部分用户长期使用同一账号密码登录不同的网站，增大“撞库”风险；其次，随意刷二维码、登录钓鱼网站，贪图便宜使用安全性差的移动终端硬件，这样的高风险行为给不法分子提供可乘之机。

在这种由于消费者自身原因造成的信息泄露事故情况下，如果要求网络服务商承担责任，向其索赔，则是没有道理的。

三、 我国网络个人信息保护的立法现状

大规模信息泄露事件出现后，2012年12月28日全国人大常委会通过了《关于加强网络信息保护的决定》后，网络个人信息保护有了法律依据。

随后，2014年3月施行的新《消费者权益保护法》增加了保护消费者个人信息的规定。

2014年10月9日，最高法院公布了《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》，其中首次列举了个人隐私的范围。

2016年11月发布的《中华人民共和国网络安全法》规定了公民个人信息保护的基木法律制度，主要的目的是为了保障公民对于个人信息的收集，使用拥有知情权和决定权，避免个人信息被泄露以及非法倒卖。

此外，国务院各部委还制定了一些关于个人信息保护内容的部门规章，如工业和信息化部的《电信和互联网用户个人信息保护规定》《信息安全技术公共及商用服务信息系统个人信息保护指南》，工商总局的《网络交易管理办法》等。也有许多地区结合地区实际情况出台地方性法律，如《深圳经济特区互联网信息服务安全条例》。

在最新出臺的《民法总则》中，新增对个人信息的保护条文，第111条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”该法条是我国民法领域首次对个人信息权的正式确立，对于非法获取信息的行为从民事立法上进行了限制。从该法条可以看出：

首先，个人信息受法律保护。

其次，任何组织和个人需要获取他人个人信息的应当依照个人信息保护相关法律取得。

再次，依法获取信息的个人和组织有义务保证信息的安全。

最后，法条对于非法处理信息的行为以列举方式作出限制。

尽管我国对于个人信息保护的法律法规如雨后春笋规模逐渐扩大，但是却没有一个完整的法律保护体系。通过分析能够看出，我国法律对于个人信息保护的规定主要为概括式笼统的保护性条文，法律对于个人信息的保护主要停留在“是什么”，即个人信息保护的范围、哪些个人信息是受到法律保护不得非法侵犯的，但是对于“怎么办”，即对于不同主体的不同行为应当怎样的处罚则散落于行政和刑事法律中，“谁担责”，即侵犯个人信息的具体主体的责任义务划分更是少之又少，比如网络服务商应尽的注意义务程度、网站具体承担责任的大小、个人在信息泄露事故中应当承担的风险与责任。此外，由于不同層级的法律法规对其都有不同程度的规定，有时会造成混乱和立法上的浪费。法律应当对个人信息形成系统性的保护，对于个人信息从获取到泄露整个环节较为全面规定，才能让此类事件从商业道德上升到法律层面。

四、如何完善网络个人信息的法律保护

（一）形成网络信息的系统法律保护机制

对网络个人信息进行保护，首先要形成系统的法律保护体系，使得对信息泄漏事故中担责主体进行惩治的时候有法可依，解决在适用法律时出现混乱或模糊的情况。尤其是在上面叙述中提到的“谁担责”和“怎么办”问题，建议尽快形成一部系统的《个人信息保护法》，根据不同个人信息及其泄露途径的类型进行不同的法律规制，同时在刑事、民事、行政方面制定相应的惩治方式，做到责任明确、惩治方式清晰。

（二）提高违法犯罪成本

“撞库”操作简单、成本低、成功率高，而在实践中涉案金额大、认定金额低，因此成为网络诈骗的首选。因此，要从根本上杜绝网络信息泄露，就要从立法上规范对于犯罪数额的认定标准，同时加大惩治力度，除了在数额方面体现，还可以进行关闭网站、吊销执照甚至进行人身方面的限制，从犯罪成本上加大威慑力。

（三）管理机构权威标准化

伴随着越来越多的信息安全事故，可以从立法上设立信息管理的专门机构进行个人核心信息的集中保管，其他各个机构对于这些核心信息的使用需要该机构经手备案，在我国网络实名制度下，取消商业网站对于个人核心信息保管的权利，转由该技术更好、安全系数更高的机构进行管理。

参考文献：

[1]齐爱民编. 拯救信息社会中的人格：个人信息保护法总论. 北京大学出版社. 2009.

[2]余建斌.网络黑色产业的不法手段越来越多元化和复杂化：小心，“撞库”正窃取你账号. 人民日报. 2016-11-25（20）.

[3]姚建芳. 电商屡屡信息泄漏谁之过 电商中心发布防诈骗指南. 计算机与网络. 2016（14）.

[4]司运晴. 以网络信息泄露频发为例浅析信息安全的法律保护. 法制与社会. 2017（5）.

[5]吴燕雨. 12306用户信息泄露调查：疑似撞库，漏洞为什么没有及时被补救？. 21世纪经济报道. 2014-12-26（002）.