“撞庫”視角下的個人信息保護研究

摘 要 從2014年開始，網絡上個人信息的泄露逐漸擴大化、規?；?，“撞庫”作為一種使得個人信息規模泄露的重要攻擊方式，不僅沒有得到良好遏制，反而持續猖獗。如何判定網絡信息泄露的責任，如何保證用戶能夠有保障地開展“網上生活”而不用膽戰心驚，我們需要從法律角度進行解讀思考。

關鍵詞 “撞庫” 個人信息 責任認定

作者簡介：左進瑋，華中師范大學法學院。

中圖分類號：D922.7 文獻標識碼：A DOI：10.19387/j.cnki.1009-0592.2017.08.310

一、 何為“撞庫”

2014年，攜程網系統出現技術漏洞導致用戶個人信息、銀行卡CVV安全碼信息泄露，小米論壇用戶資料泄露，快遞網站遭黑客入侵使1400萬條個人信息在網絡上被多次轉賣，年底智聯招聘86萬用戶簡歷信息泄露，東方航空大量用戶訂單信息泄露，12306火車訂票網站被“撞庫”。

大規模個人信息泄漏事件并沒有就此停止，而是愈演愈烈。2015年京東曝出“撞庫”抹黑事件，2016年事件仍然高發，大麥網又遭“撞庫”攻擊，39位用戶被騙147萬元，甚至騰訊、網易郵箱等大型社交網站、互聯網廠商都紛紛被曝遭遇“撞庫”。越來越多的用戶在網絡上的個人信息遭到泄露，由此帶來一系列的財產損失等問題，網絡安全成為亟待解決的問題。

那么，什么是撞庫呢？所謂“撞庫”，是一種針對數據庫的攻擊方式，是黑客通過收集互聯網已泄露的用戶和密碼信息，嘗試批量登錄其他網站后，得到一系列可以登錄的用戶賬號。簡單來說，就是黑客通過攻破安全性較差的網站獲取用戶的個人信息，通過數據分析后嘗試批量登陸用戶同賬號密碼的其他網站。

“撞庫”運操作簡單、成本較低，其對數據庫的攻擊只需要經過“脫庫”——攻破網站、“洗庫”——數據處理分析，然后就可以進行“撞庫”?！白矌臁敝阅軌虺掷m猖獗，究其原因是用戶個人的密碼安全意識不強，設置密碼過于簡單、多個網站長期使用同一賬號密碼登錄。

二、個人信息泄露誰之過

從個人信息小規模販賣到大規模泄露，事件不僅沒有得到控制反而愈演愈烈，是什么原因使得黑客能夠持續猖獗、個人信息安全得不到保障呢？

2016年票務網站大麥網信息泄露使得39名用戶損失147萬的事件中，大麥網表示該事件便是由不法分子用“撞庫”的方式造成的，并采取對用戶進行先行賠付的方式解決該事件。從大麥網對該事件的解決方式來看，“撞庫”歸責，絕不僅僅是一方。

（一）網站

大麥網采取先行賠付的方式，同時承認存在技術監管方面的漏洞才使得黑客有可乘之機，因此在大麥網信息泄露事件中，網站也應當承擔一定的責任。

在個人信息泄露事件中，關于網站應當承擔的責任，應當分情況討論。

第一，如果個人信息是從網站泄露，則應當區分網站信息泄露的主觀故意。如果是網站故意對個人信息泄露，則網站承擔侵權責任，我國對于信息泄露的用途沒有進行區分，國外則區分商業用途和非商業用途，商業用途承擔責任更大，除了民事上的侵權責任，由于大面積的用戶隱私泄露影響惡劣，還應當承擔行政責任；如果是過失泄露，應當根據過錯推定責任原則追究責任，由于網站對于用戶的個人信息有保管義務，因此應當先推定其有過錯，再由網站進行舉證其盡到應盡的義務，如果不能舉證或者確實由于網站在數據保密層面上技術保護水平存在漏洞導致數據泄露，則應當承擔侵權責任。

第二，信息是從與其授權合作的平臺泄露。由于網站與第三方存在合作關系，用戶信息通過網站提供給第三方，因此如果用戶信息是從第三方泄露，則該網站也應當承擔連帶責任，由網站和第三方平臺共同向用戶承擔侵權責任，網站可以在賠償后根據與合作方的協議向第三方平臺追償。具體責任認定規則與從網站泄露的情況一致。

第三，信息是黑客從其他網站獲取后對該網站“撞庫”獲取。在該情況下，網站只要盡到應盡的義務、達到一定的技術保護水平則無需承擔責任。

（二）用戶

盡管我國法律規定了網絡服務商在用戶信息保管方面的責任，但是消費者信息的泄露決不能只歸責網絡服務商，許多泄漏事件是消費者的安全意識低、沒有對自己的個人信息盡到保管責任造成的。首先，部分用戶長期使用同一賬號密碼登錄不同的網站，增大“撞庫”風險；其次，隨意刷二維碼、登錄釣魚網站，貪圖便宜使用安全性差的移動終端硬件，這樣的高風險行為給不法分子提供可乘之機。

在這種由于消費者自身原因造成的信息泄露事故情況下，如果要求網絡服務商承擔責任，向其索賠，則是沒有道理的。

三、 我國網絡個人信息保護的立法現狀

大規模信息泄露事件出現后，2012年12月28日全國人大常委會通過了《關于加強網絡信息保護的決定》后，網絡個人信息保護有了法律依據。

隨后，2014年3月施行的新《消費者權益保護法》增加了保護消費者個人信息的規定。

2014年10月9日，最高法院公布了《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》，其中首次列舉了個人隱私的范圍。

2016年11月發布的《中華人民共和國網絡安全法》規定了公民個人信息保護的基木法律制度，主要的目的是為了保障公民對于個人信息的收集，使用擁有知情權和決定權，避免個人信息被泄露以及非法倒賣。

此外，國務院各部委還制定了一些關于個人信息保護內容的部門規章，如工業和信息化部的《電信和互聯網用戶個人信息保護規定》《信息安全技術公共及商用服務信息系統個人信息保護指南》，工商總局的《網絡交易管理辦法》等。也有許多地區結合地區實際情況出臺地方性法律，如《深圳經濟特區互聯網信息服務安全條例》。

在最新出臺的《民法總則》中，新增對個人信息的保護條文，第111條規定：“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”該法條是我國民法領域首次對個人信息權的正式確立，對于非法獲取信息的行為從民事立法上進行了限制。從該法條可以看出：

首先，個人信息受法律保護。

其次，任何組織和個人需要獲取他人個人信息的應當依照個人信息保護相關法律取得。

再次，依法獲取信息的個人和組織有義務保證信息的安全。

最后，法條對于非法處理信息的行為以列舉方式作出限制。

盡管我國對于個人信息保護的法律法規如雨后春筍規模逐漸擴大，但是卻沒有一個完整的法律保護體系。通過分析能夠看出，我國法律對于個人信息保護的規定主要為概括式籠統的保護性條文，法律對于個人信息的保護主要停留在“是什么”，即個人信息保護的范圍、哪些個人信息是受到法律保護不得非法侵犯的，但是對于“怎么辦”，即對于不同主體的不同行為應當怎樣的處罰則散落于行政和刑事法律中，“誰擔責”，即侵犯個人信息的具體主體的責任義務劃分更是少之又少，比如網絡服務商應盡的注意義務程度、網站具體承擔責任的大小、個人在信息泄露事故中應當承擔的風險與責任。此外，由于不同層級的法律法規對其都有不同程度的規定，有時會造成混亂和立法上的浪費。法律應當對個人信息形成系統性的保護，對于個人信息從獲取到泄露整個環節較為全面規定，才能讓此類事件從商業道德上升到法律層面。

四、如何完善網絡個人信息的法律保護

（一）形成網絡信息的系統法律保護機制

對網絡個人信息進行保護，首先要形成系統的法律保護體系，使得對信息泄漏事故中擔責主體進行懲治的時候有法可依，解決在適用法律時出現混亂或模糊的情況。尤其是在上面敘述中提到的“誰擔責”和“怎么辦”問題，建議盡快形成一部系統的《個人信息保護法》，根據不同個人信息及其泄露途徑的類型進行不同的法律規制，同時在刑事、民事、行政方面制定相應的懲治方式，做到責任明確、懲治方式清晰。

（二）提高違法犯罪成本

“撞庫”操作簡單、成本低、成功率高，而在實踐中涉案金額大、認定金額低，因此成為網絡詐騙的首選。因此，要從根本上杜絕網絡信息泄露，就要從立法上規范對于犯罪數額的認定標準，同時加大懲治力度，除了在數額方面體現，還可以進行關閉網站、吊銷執照甚至進行人身方面的限制，從犯罪成本上加大威懾力。

（三）管理機構權威標準化

伴隨著越來越多的信息安全事故，可以從立法上設立信息管理的專門機構進行個人核心信息的集中保管，其他各個機構對于這些核心信息的使用需要該機構經手備案，在我國網絡實名制度下，取消商業網站對于個人核心信息保管的權利，轉由該技術更好、安全系數更高的機構進行管理。

參考文獻：

[1]齊愛民編. 拯救信息社會中的人格：個人信息保護法總論. 北京大學出版社. 2009.

[2]余建斌.網絡黑色產業的不法手段越來越多元化和復雜化：小心，“撞庫”正竊取你賬號. 人民日報. 2016-11-25（20）.

[3]姚建芳. 電商屢屢信息泄漏誰之過 電商中心發布防詐騙指南. 計算機與網絡. 2016（14）.

[4]司運晴. 以網絡信息泄露頻發為例淺析信息安全的法律保護. 法制與社會. 2017（5）.

[5]吳燕雨. 12306用戶信息泄露調查：疑似撞庫，漏洞為什么沒有及時被補救？. 21世紀經濟報道. 2014-12-26（002）.