“撞庫”視角下的個人信息保護研究

摘 要 從2014年開始，網(wǎng)絡上個人信息的泄露逐漸擴大化、規(guī)模化，“撞庫”作為一種使得個人信息規(guī)模泄露的重要攻擊方式，不僅沒有得到良好遏制，反而持續(xù)猖獗。如何判定網(wǎng)絡信息泄露的責任，如何保證用戶能夠有保障地開展“網(wǎng)上生活”而不用膽戰(zhàn)心驚，我們需要從法律角度進行解讀思考。

關鍵詞 “撞庫” 個人信息 責任認定

作者簡介：左進瑋，華中師范大學法學院。

中圖分類號：D922.7 文獻標識碼：A DOI：10.19387/j.cnki.1009-0592.2017.08.310

一、 何為“撞庫”

2014年，攜程網(wǎng)系統(tǒng)出現(xiàn)技術漏洞導致用戶個人信息、銀行卡CVV安全碼信息泄露，小米論壇用戶資料泄露，快遞網(wǎng)站遭黑客入侵使1400萬條個人信息在網(wǎng)絡上被多次轉賣，年底智聯(lián)招聘86萬用戶簡歷信息泄露，東方航空大量用戶訂單信息泄露，12306火車訂票網(wǎng)站被“撞庫”。

大規(guī)模個人信息泄漏事件并沒有就此停止，而是愈演愈烈。2015年京東曝出“撞庫”抹黑事件，2016年事件仍然高發(fā)，大麥網(wǎng)又遭“撞庫”攻擊，39位用戶被騙147萬元，甚至騰訊、網(wǎng)易郵箱等大型社交網(wǎng)站、互聯(lián)網(wǎng)廠商都紛紛被曝遭遇“撞庫”。越來越多的用戶在網(wǎng)絡上的個人信息遭到泄露，由此帶來一系列的財產(chǎn)損失等問題，網(wǎng)絡安全成為亟待解決的問題。

那么，什么是撞庫呢？所謂“撞庫”，是一種針對數(shù)據(jù)庫的攻擊方式，是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，嘗試批量登錄其他網(wǎng)站后，得到一系列可以登錄的用戶賬號。簡單來說，就是黑客通過攻破安全性較差的網(wǎng)站獲取用戶的個人信息，通過數(shù)據(jù)分析后嘗試批量登陸用戶同賬號密碼的其他網(wǎng)站。

“撞庫”運操作簡單、成本較低，其對數(shù)據(jù)庫的攻擊只需要經(jīng)過“脫庫”——攻破網(wǎng)站、“洗庫”——數(shù)據(jù)處理分析，然后就可以進行“撞庫”?！白矌臁敝阅軌虺掷m(xù)猖獗，究其原因是用戶個人的密碼安全意識不強，設置密碼過于簡單、多個網(wǎng)站長期使用同一賬號密碼登錄。

二、個人信息泄露誰之過

從個人信息小規(guī)模販賣到大規(guī)模泄露，事件不僅沒有得到控制反而愈演愈烈，是什么原因使得黑客能夠持續(xù)猖獗、個人信息安全得不到保障呢？

2016年票務網(wǎng)站大麥網(wǎng)信息泄露使得39名用戶損失147萬的事件中，大麥網(wǎng)表示該事件便是由不法分子用“撞庫”的方式造成的，并采取對用戶進行先行賠付的方式解決該事件。從大麥網(wǎng)對該事件的解決方式來看，“撞庫”歸責，絕不僅僅是一方。

（一）網(wǎng)站

大麥網(wǎng)采取先行賠付的方式，同時承認存在技術監(jiān)管方面的漏洞才使得黑客有可乘之機，因此在大麥網(wǎng)信息泄露事件中，網(wǎng)站也應當承擔一定的責任。

在個人信息泄露事件中，關于網(wǎng)站應當承擔的責任，應當分情況討論。

第一，如果個人信息是從網(wǎng)站泄露，則應當區(qū)分網(wǎng)站信息泄露的主觀故意。如果是網(wǎng)站故意對個人信息泄露，則網(wǎng)站承擔侵權責任，我國對于信息泄露的用途沒有進行區(qū)分，國外則區(qū)分商業(yè)用途和非商業(yè)用途，商業(yè)用途承擔責任更大，除了民事上的侵權責任，由于大面積的用戶隱私泄露影響惡劣，還應當承擔行政責任；如果是過失泄露，應當根據(jù)過錯推定責任原則追究責任，由于網(wǎng)站對于用戶的個人信息有保管義務，因此應當先推定其有過錯，再由網(wǎng)站進行舉證其盡到應盡的義務，如果不能舉證或者確實由于網(wǎng)站在數(shù)據(jù)保密層面上技術保護水平存在漏洞導致數(shù)據(jù)泄露，則應當承擔侵權責任。

第二，信息是從與其授權合作的平臺泄露。由于網(wǎng)站與第三方存在合作關系，用戶信息通過網(wǎng)站提供給第三方，因此如果用戶信息是從第三方泄露，則該網(wǎng)站也應當承擔連帶責任，由網(wǎng)站和第三方平臺共同向用戶承擔侵權責任，網(wǎng)站可以在賠償后根據(jù)與合作方的協(xié)議向第三方平臺追償。具體責任認定規(guī)則與從網(wǎng)站泄露的情況一致。

第三，信息是黑客從其他網(wǎng)站獲取后對該網(wǎng)站“撞庫”獲取。在該情況下，網(wǎng)站只要盡到應盡的義務、達到一定的技術保護水平則無需承擔責任。

（二）用戶

盡管我國法律規(guī)定了網(wǎng)絡服務商在用戶信息保管方面的責任，但是消費者信息的泄露決不能只歸責網(wǎng)絡服務商，許多泄漏事件是消費者的安全意識低、沒有對自己的個人信息盡到保管責任造成的。首先，部分用戶長期使用同一賬號密碼登錄不同的網(wǎng)站，增大“撞庫”風險；其次，隨意刷二維碼、登錄釣魚網(wǎng)站，貪圖便宜使用安全性差的移動終端硬件，這樣的高風險行為給不法分子提供可乘之機。

在這種由于消費者自身原因造成的信息泄露事故情況下，如果要求網(wǎng)絡服務商承擔責任，向其索賠，則是沒有道理的。

三、 我國網(wǎng)絡個人信息保護的立法現(xiàn)狀

大規(guī)模信息泄露事件出現(xiàn)后，2012年12月28日全國人大常委會通過了《關于加強網(wǎng)絡信息保護的決定》后，網(wǎng)絡個人信息保護有了法律依據(jù)。

隨后，2014年3月施行的新《消費者權益保護法》增加了保護消費者個人信息的規(guī)定。

2014年10月9日，最高法院公布了《關于審理利用信息網(wǎng)絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》，其中首次列舉了個人隱私的范圍。

2016年11月發(fā)布的《中華人民共和國網(wǎng)絡安全法》規(guī)定了公民個人信息保護的基木法律制度，主要的目的是為了保障公民對于個人信息的收集，使用擁有知情權和決定權，避免個人信息被泄露以及非法倒賣。

此外，國務院各部委還制定了一些關于個人信息保護內(nèi)容的部門規(guī)章，如工業(yè)和信息化部的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》，工商總局的《網(wǎng)絡交易管理辦法》等。也有許多地區(qū)結合地區(qū)實際情況出臺地方性法律，如《深圳經(jīng)濟特區(qū)互聯(lián)網(wǎng)信息服務安全條例》。

在最新出臺的《民法總則》中，新增對個人信息的保護條文，第111條規(guī)定：“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！痹摲l是我國民法領域首次對個人信息權的正式確立，對于非法獲取信息的行為從民事立法上進行了限制。從該法條可以看出：

首先，個人信息受法律保護。

其次，任何組織和個人需要獲取他人個人信息的應當依照個人信息保護相關法律取得。

再次，依法獲取信息的個人和組織有義務保證信息的安全。

最后，法條對于非法處理信息的行為以列舉方式作出限制。

盡管我國對于個人信息保護的法律法規(guī)如雨后春筍規(guī)模逐漸擴大，但是卻沒有一個完整的法律保護體系。通過分析能夠看出，我國法律對于個人信息保護的規(guī)定主要為概括式籠統(tǒng)的保護性條文，法律對于個人信息的保護主要停留在“是什么”，即個人信息保護的范圍、哪些個人信息是受到法律保護不得非法侵犯的，但是對于“怎么辦”，即對于不同主體的不同行為應當怎樣的處罰則散落于行政和刑事法律中，“誰擔責”，即侵犯個人信息的具體主體的責任義務劃分更是少之又少，比如網(wǎng)絡服務商應盡的注意義務程度、網(wǎng)站具體承擔責任的大小、個人在信息泄露事故中應當承擔的風險與責任。此外，由于不同層級的法律法規(guī)對其都有不同程度的規(guī)定，有時會造成混亂和立法上的浪費。法律應當對個人信息形成系統(tǒng)性的保護，對于個人信息從獲取到泄露整個環(huán)節(jié)較為全面規(guī)定，才能讓此類事件從商業(yè)道德上升到法律層面。

四、如何完善網(wǎng)絡個人信息的法律保護

（一）形成網(wǎng)絡信息的系統(tǒng)法律保護機制

對網(wǎng)絡個人信息進行保護，首先要形成系統(tǒng)的法律保護體系，使得對信息泄漏事故中擔責主體進行懲治的時候有法可依，解決在適用法律時出現(xiàn)混亂或模糊的情況。尤其是在上面敘述中提到的“誰擔責”和“怎么辦”問題，建議盡快形成一部系統(tǒng)的《個人信息保護法》，根據(jù)不同個人信息及其泄露途徑的類型進行不同的法律規(guī)制，同時在刑事、民事、行政方面制定相應的懲治方式，做到責任明確、懲治方式清晰。

（二）提高違法犯罪成本

“撞庫”操作簡單、成本低、成功率高，而在實踐中涉案金額大、認定金額低，因此成為網(wǎng)絡詐騙的首選。因此，要從根本上杜絕網(wǎng)絡信息泄露，就要從立法上規(guī)范對于犯罪數(shù)額的認定標準，同時加大懲治力度，除了在數(shù)額方面體現(xiàn)，還可以進行關閉網(wǎng)站、吊銷執(zhí)照甚至進行人身方面的限制，從犯罪成本上加大威懾力。

（三）管理機構權威標準化

伴隨著越來越多的信息安全事故，可以從立法上設立信息管理的專門機構進行個人核心信息的集中保管，其他各個機構對于這些核心信息的使用需要該機構經(jīng)手備案，在我國網(wǎng)絡實名制度下，取消商業(yè)網(wǎng)站對于個人核心信息保管的權利，轉由該技術更好、安全系數(shù)更高的機構進行管理。

參考文獻：

[1]齊愛民編. 拯救信息社會中的人格：個人信息保護法總論. 北京大學出版社. 2009.

[2]余建斌.網(wǎng)絡黑色產(chǎn)業(yè)的不法手段越來越多元化和復雜化：小心，“撞庫”正竊取你賬號. 人民日報. 2016-11-25（20）.

[3]姚建芳. 電商屢屢信息泄漏誰之過 電商中心發(fā)布防詐騙指南. 計算機與網(wǎng)絡. 2016（14）.

[4]司運晴. 以網(wǎng)絡信息泄露頻發(fā)為例淺析信息安全的法律保護. 法制與社會. 2017（5）.

[5]吳燕雨. 12306用戶信息泄露調(diào)查：疑似撞庫，漏洞為什么沒有及時被補救？. 21世紀經(jīng)濟報道. 2014-12-26（002）.