“撞庫”視角下的個人信息保護(hù)研究

摘 要 從2014年開始，網(wǎng)絡(luò)上個人信息的泄露逐漸擴(kuò)大化、規(guī)模化，“撞庫”作為一種使得個人信息規(guī)模泄露的重要攻擊方式，不僅沒有得到良好遏制，反而持續(xù)猖獗。如何判定網(wǎng)絡(luò)信息泄露的責(zé)任，如何保證用戶能夠有保障地開展“網(wǎng)上生活”而不用膽戰(zhàn)心驚，我們需要從法律角度進(jìn)行解讀思考。

關(guān)鍵詞 “撞庫” 個人信息 責(zé)任認(rèn)定

作者簡介：左進(jìn)瑋，華中師范大學(xué)法學(xué)院。

中圖分類號：D922.7 文獻(xiàn)標(biāo)識碼：A DOI：10.19387/j.cnki.1009-0592.2017.08.310

一、 何為“撞庫”

2014年，攜程網(wǎng)系統(tǒng)出現(xiàn)技術(shù)漏洞導(dǎo)致用戶個人信息、銀行卡CVV安全碼信息泄露，小米論壇用戶資料泄露，快遞網(wǎng)站遭黑客入侵使1400萬條個人信息在網(wǎng)絡(luò)上被多次轉(zhuǎn)賣，年底智聯(lián)招聘86萬用戶簡歷信息泄露，東方航空大量用戶訂單信息泄露，12306火車訂票網(wǎng)站被“撞庫”。

大規(guī)模個人信息泄漏事件并沒有就此停止，而是愈演愈烈。2015年京東曝出“撞庫”抹黑事件，2016年事件仍然高發(fā)，大麥網(wǎng)又遭“撞庫”攻擊，39位用戶被騙147萬元，甚至騰訊、網(wǎng)易郵箱等大型社交網(wǎng)站、互聯(lián)網(wǎng)廠商都紛紛被曝遭遇“撞庫”。越來越多的用戶在網(wǎng)絡(luò)上的個人信息遭到泄露，由此帶來一系列的財產(chǎn)損失等問題，網(wǎng)絡(luò)安全成為亟待解決的問題。

那么，什么是撞庫呢？所謂“撞庫”，是一種針對數(shù)據(jù)庫的攻擊方式，是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，嘗試批量登錄其他網(wǎng)站后，得到一系列可以登錄的用戶賬號。簡單來說，就是黑客通過攻破安全性較差的網(wǎng)站獲取用戶的個人信息，通過數(shù)據(jù)分析后嘗試批量登陸用戶同賬號密碼的其他網(wǎng)站。

“撞庫”運操作簡單、成本較低，其對數(shù)據(jù)庫的攻擊只需要經(jīng)過“脫庫”——攻破網(wǎng)站、“洗庫”——數(shù)據(jù)處理分析，然后就可以進(jìn)行“撞庫”。“撞庫”之所以能夠持續(xù)猖獗，究其原因是用戶個人的密碼安全意識不強，設(shè)置密碼過于簡單、多個網(wǎng)站長期使用同一賬號密碼登錄。

二、個人信息泄露誰之過

從個人信息小規(guī)模販賣到大規(guī)模泄露，事件不僅沒有得到控制反而愈演愈烈，是什么原因使得黑客能夠持續(xù)猖獗、個人信息安全得不到保障呢？

2016年票務(wù)網(wǎng)站大麥網(wǎng)信息泄露使得39名用戶損失147萬的事件中，大麥網(wǎng)表示該事件便是由不法分子用“撞庫”的方式造成的，并采取對用戶進(jìn)行先行賠付的方式解決該事件。從大麥網(wǎng)對該事件的解決方式來看，“撞庫”歸責(zé)，絕不僅僅是一方。

（一）網(wǎng)站

大麥網(wǎng)采取先行賠付的方式，同時承認(rèn)存在技術(shù)監(jiān)管方面的漏洞才使得黑客有可乘之機(jī)，因此在大麥網(wǎng)信息泄露事件中，網(wǎng)站也應(yīng)當(dāng)承擔(dān)一定的責(zé)任。

在個人信息泄露事件中，關(guān)于網(wǎng)站應(yīng)當(dāng)承擔(dān)的責(zé)任，應(yīng)當(dāng)分情況討論。

第一，如果個人信息是從網(wǎng)站泄露，則應(yīng)當(dāng)區(qū)分網(wǎng)站信息泄露的主觀故意。如果是網(wǎng)站故意對個人信息泄露，則網(wǎng)站承擔(dān)侵權(quán)責(zé)任，我國對于信息泄露的用途沒有進(jìn)行區(qū)分，國外則區(qū)分商業(yè)用途和非商業(yè)用途，商業(yè)用途承擔(dān)責(zé)任更大，除了民事上的侵權(quán)責(zé)任，由于大面積的用戶隱私泄露影響惡劣，還應(yīng)當(dāng)承擔(dān)行政責(zé)任；如果是過失泄露，應(yīng)當(dāng)根據(jù)過錯推定責(zé)任原則追究責(zé)任，由于網(wǎng)站對于用戶的個人信息有保管義務(wù)，因此應(yīng)當(dāng)先推定其有過錯，再由網(wǎng)站進(jìn)行舉證其盡到應(yīng)盡的義務(wù)，如果不能舉證或者確實由于網(wǎng)站在數(shù)據(jù)保密層面上技術(shù)保護(hù)水平存在漏洞導(dǎo)致數(shù)據(jù)泄露，則應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。

第二，信息是從與其授權(quán)合作的平臺泄露。由于網(wǎng)站與第三方存在合作關(guān)系，用戶信息通過網(wǎng)站提供給第三方，因此如果用戶信息是從第三方泄露，則該網(wǎng)站也應(yīng)當(dāng)承擔(dān)連帶責(zé)任，由網(wǎng)站和第三方平臺共同向用戶承擔(dān)侵權(quán)責(zé)任，網(wǎng)站可以在賠償后根據(jù)與合作方的協(xié)議向第三方平臺追償。具體責(zé)任認(rèn)定規(guī)則與從網(wǎng)站泄露的情況一致。

第三，信息是黑客從其他網(wǎng)站獲取后對該網(wǎng)站“撞庫”獲取。在該情況下，網(wǎng)站只要盡到應(yīng)盡的義務(wù)、達(dá)到一定的技術(shù)保護(hù)水平則無需承擔(dān)責(zé)任。

（二）用戶

盡管我國法律規(guī)定了網(wǎng)絡(luò)服務(wù)商在用戶信息保管方面的責(zé)任，但是消費者信息的泄露決不能只歸責(zé)網(wǎng)絡(luò)服務(wù)商，許多泄漏事件是消費者的安全意識低、沒有對自己的個人信息盡到保管責(zé)任造成的。首先，部分用戶長期使用同一賬號密碼登錄不同的網(wǎng)站，增大“撞庫”風(fēng)險；其次，隨意刷二維碼、登錄釣魚網(wǎng)站，貪圖便宜使用安全性差的移動終端硬件，這樣的高風(fēng)險行為給不法分子提供可乘之機(jī)。

在這種由于消費者自身原因造成的信息泄露事故情況下，如果要求網(wǎng)絡(luò)服務(wù)商承擔(dān)責(zé)任，向其索賠，則是沒有道理的。

三、 我國網(wǎng)絡(luò)個人信息保護(hù)的立法現(xiàn)狀

大規(guī)模信息泄露事件出現(xiàn)后，2012年12月28日全國人大常委會通過了《關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》后，網(wǎng)絡(luò)個人信息保護(hù)有了法律依據(jù)。

隨后，2014年3月施行的新《消費者權(quán)益保護(hù)法》增加了保護(hù)消費者個人信息的規(guī)定。

2014年10月9日，最高法院公布了《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》，其中首次列舉了個人隱私的范圍。

2016年11月發(fā)布的《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定了公民個人信息保護(hù)的基木法律制度，主要的目的是為了保障公民對于個人信息的收集，使用擁有知情權(quán)和決定權(quán)，避免個人信息被泄露以及非法倒賣。

此外，國務(wù)院各部委還制定了一些關(guān)于個人信息保護(hù)內(nèi)容的部門規(guī)章，如工業(yè)和信息化部的《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》，工商總局的《網(wǎng)絡(luò)交易管理辦法》等。也有許多地區(qū)結(jié)合地區(qū)實際情況出臺地方性法律，如《深圳經(jīng)濟(jì)特區(qū)互聯(lián)網(wǎng)信息服務(wù)安全條例》。

在最新出臺的《民法總則》中，新增對個人信息的保護(hù)條文，第111條規(guī)定：“自然人的個人信息受法律保護(hù)。任何組織和個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”該法條是我國民法領(lǐng)域首次對個人信息權(quán)的正式確立，對于非法獲取信息的行為從民事立法上進(jìn)行了限制。從該法條可以看出：

首先，個人信息受法律保護(hù)。

其次，任何組織和個人需要獲取他人個人信息的應(yīng)當(dāng)依照個人信息保護(hù)相關(guān)法律取得。

再次，依法獲取信息的個人和組織有義務(wù)保證信息的安全。

最后，法條對于非法處理信息的行為以列舉方式作出限制。

盡管我國對于個人信息保護(hù)的法律法規(guī)如雨后春筍規(guī)模逐漸擴(kuò)大，但是卻沒有一個完整的法律保護(hù)體系。通過分析能夠看出，我國法律對于個人信息保護(hù)的規(guī)定主要為概括式籠統(tǒng)的保護(hù)性條文，法律對于個人信息的保護(hù)主要停留在“是什么”，即個人信息保護(hù)的范圍、哪些個人信息是受到法律保護(hù)不得非法侵犯的，但是對于“怎么辦”，即對于不同主體的不同行為應(yīng)當(dāng)怎樣的處罰則散落于行政和刑事法律中，“誰擔(dān)責(zé)”，即侵犯個人信息的具體主體的責(zé)任義務(wù)劃分更是少之又少，比如網(wǎng)絡(luò)服務(wù)商應(yīng)盡的注意義務(wù)程度、網(wǎng)站具體承擔(dān)責(zé)任的大小、個人在信息泄露事故中應(yīng)當(dāng)承擔(dān)的風(fēng)險與責(zé)任。此外，由于不同層級的法律法規(guī)對其都有不同程度的規(guī)定，有時會造成混亂和立法上的浪費。法律應(yīng)當(dāng)對個人信息形成系統(tǒng)性的保護(hù)，對于個人信息從獲取到泄露整個環(huán)節(jié)較為全面規(guī)定，才能讓此類事件從商業(yè)道德上升到法律層面。

四、如何完善網(wǎng)絡(luò)個人信息的法律保護(hù)

（一）形成網(wǎng)絡(luò)信息的系統(tǒng)法律保護(hù)機(jī)制

對網(wǎng)絡(luò)個人信息進(jìn)行保護(hù)，首先要形成系統(tǒng)的法律保護(hù)體系，使得對信息泄漏事故中擔(dān)責(zé)主體進(jìn)行懲治的時候有法可依，解決在適用法律時出現(xiàn)混亂或模糊的情況。尤其是在上面敘述中提到的“誰擔(dān)責(zé)”和“怎么辦”問題，建議盡快形成一部系統(tǒng)的《個人信息保護(hù)法》，根據(jù)不同個人信息及其泄露途徑的類型進(jìn)行不同的法律規(guī)制，同時在刑事、民事、行政方面制定相應(yīng)的懲治方式，做到責(zé)任明確、懲治方式清晰。

（二）提高違法犯罪成本

“撞庫”操作簡單、成本低、成功率高，而在實踐中涉案金額大、認(rèn)定金額低，因此成為網(wǎng)絡(luò)詐騙的首選。因此，要從根本上杜絕網(wǎng)絡(luò)信息泄露，就要從立法上規(guī)范對于犯罪數(shù)額的認(rèn)定標(biāo)準(zhǔn)，同時加大懲治力度，除了在數(shù)額方面體現(xiàn)，還可以進(jìn)行關(guān)閉網(wǎng)站、吊銷執(zhí)照甚至進(jìn)行人身方面的限制，從犯罪成本上加大威懾力。

（三）管理機(jī)構(gòu)權(quán)威標(biāo)準(zhǔn)化

伴隨著越來越多的信息安全事故，可以從立法上設(shè)立信息管理的專門機(jī)構(gòu)進(jìn)行個人核心信息的集中保管，其他各個機(jī)構(gòu)對于這些核心信息的使用需要該機(jī)構(gòu)經(jīng)手備案，在我國網(wǎng)絡(luò)實名制度下，取消商業(yè)網(wǎng)站對于個人核心信息保管的權(quán)利，轉(zhuǎn)由該技術(shù)更好、安全系數(shù)更高的機(jī)構(gòu)進(jìn)行管理。

參考文獻(xiàn)：

[1]齊愛民編. 拯救信息社會中的人格：個人信息保護(hù)法總論. 北京大學(xué)出版社. 2009.

[2]余建斌.網(wǎng)絡(luò)黑色產(chǎn)業(yè)的不法手段越來越多元化和復(fù)雜化：小心，“撞庫”正竊取你賬號. 人民日報. 2016-11-25（20）.

[3]姚建芳. 電商屢屢信息泄漏誰之過 電商中心發(fā)布防詐騙指南. 計算機(jī)與網(wǎng)絡(luò). 2016（14）.

[4]司運晴. 以網(wǎng)絡(luò)信息泄露頻發(fā)為例淺析信息安全的法律保護(hù). 法制與社會. 2017（5）.

[5]吳燕雨. 12306用戶信息泄露調(diào)查：疑似撞庫，漏洞為什么沒有及時被補救？. 21世紀(jì)經(jīng)濟(jì)報道. 2014-12-26（002）.