何培育，蔣啟蒙

(重慶理工大學知識產(chǎn)權學院，重慶 400054)

當前，“大數(shù)據(jù)”正裹挾著社會公眾的疑惑與期待以排山倒海之勢撲面而來，普通民眾猛然發(fā)現(xiàn)自己生活的方方面面已經(jīng)被悄然納入到“大數(shù)據(jù)”的范疇之內，個人行為的蛛絲馬跡在“大數(shù)據(jù)”放大鏡的觀照下顯得無比清晰明了［1］。在享受大數(shù)據(jù)帶來的便利的同時，其尾隨而來的陰影不應被忽視。為了從個人信息中攫取不法收益，不法分子紛紛利用五花八門的信息盜竊技術對個人信息進行收集、竊取，對個人信息安全造成嚴重破壞并引發(fā)一系列的社會問題。

一、個人信息盜竊的技術路徑分析

按照個人信息盜竊技術運用的特點不同，可以把個人信息盜竊技術分為黑客攻擊技術與社會工程攻擊技術。

(一)黑客攻擊技術

1.針對智能手機的個人信息盜竊技術

隨著智能手機的普及，個人信息泄露與盜竊的事件早已屢見不鮮。以手機惡意代碼、惡意扣費、惡意捆綁插件等為代表的手機個人信息盜竊技術盛行于智能手機終端領域，更有通過WIFI釣魚等新穎的個人信息盜竊技術來竊取手機中的個人信息。

(1)惡意扣費:惡意扣費產(chǎn)生的原因大多數(shù)情況下是因為手機中存在惡意代碼或者惡意扣費軟件，它們會對手機中的話費、流量進行惡意消耗。惡意扣費主要分為兩種模式:①強制性地連接互聯(lián)網(wǎng)造成手機用戶在不知不覺中消耗大量的流量;②直接惡意扣費，造成手機用戶話費的損失。

(2)惡意捆綁:不法分子將一些手機木馬程序、惡意軟件捆綁在正常軟件之中，放入手機應用商店供用戶下載，或者直接捆綁在手機的預裝的軟件之中。用戶使用正常軟件時，木馬程序或者惡意軟件同時會在后臺自動運行并實施扣費或盜竊手機短信、照片、通訊錄等用戶個人隱私信息的行為。

(3)路由器入侵與WIFI釣魚:針對一些喜歡蹭網(wǎng)的手機用戶，黑客常在公共場所利用簡單的終端設備架設免費的WIFI引誘用戶連接，在手機用戶上網(wǎng)的過程中對其行為進行記錄，并從記錄中獲取包括賬號密碼在內的個人信息。而對于路由器的安全問題，很多用戶都沒有引起足夠的重視，常常不設置密碼或者設置簡單密碼，同時路由器本身可能存在漏洞，只要通過簡單的操作便會獲得該路由器關聯(lián)設備里的信息，該方法是黑客盜取個人信息的重要途徑。

2.針對計算機與互聯(lián)網(wǎng)資源的個人信息盜竊技術

針對計算機與互聯(lián)網(wǎng)資源是個人信息盜竊的主要途徑，常見的黑客技術主要有木馬病毒技術、遠程控制后門技術以及服務器入侵技術等。

(1)木馬病毒技術

木馬病毒技術是一種針對某一特定數(shù)據(jù)信息進行專門獲取的惡意程序。當目標主機被植入盜號木馬后會在后臺自動運行，監(jiān)聽鍵盤記錄或者對屏幕進行截取，從而獲取賬號密碼，然后把這些信息發(fā)送至攻擊者指定的郵箱之中。利用木馬竊取方法所獲取的資源一般是某一類特定的個人敏感信息，一旦竊取者獲取了這類敏感信息，就可能直接對受害者的真實財產(chǎn)、虛擬財產(chǎn)造成嚴重的損失。

(2)遠程控制后門技術

遠程控制后門技術是黑客常用的攻擊技術手段。遠程控制后門程序一般分為控制端與服務端。該技術首先向目標主機植入并安裝服務端，再通過控制端對目標主機進行控制，可以進行屏幕監(jiān)控、視頻監(jiān)控、鍵盤記錄、文件管理、系統(tǒng)信息查看、進程管理等一系列的非法活動，甚至還可以控制目標主機進行DDOS、CC攻擊網(wǎng)站等操作。通過遠程控制與后門技術可以實現(xiàn)一對一或者一對多的控制目的，進而形成僵尸網(wǎng)絡，被控制的主機將任由控制方擺布，同時所有的個人信息與用戶操作行為都會暴露在控制方的視野下。

(3)服務器入侵技術

服務器入侵技術是針對網(wǎng)站的服務器或公司的內部網(wǎng)絡系統(tǒng)進行攻擊從而獲取其中資源的黑客技術。一般情況下不法分子利用網(wǎng)站服務器的漏洞、弱口令等進行“黑站”或者直接對服務器中包含敏感信息的數(shù)據(jù)庫進行攻擊，再植入后門程序獲得服務器控制權。一旦網(wǎng)站的服務器被黑客入侵，數(shù)據(jù)庫中保存的無數(shù)個人信息會被泄露，公司的商業(yè)秘密乃至核心機密都會被盜取。近年來也發(fā)生過多起服務器入侵導致的個人信息泄露事件，如2013年5月，雅虎日本網(wǎng)站管理系統(tǒng)遭到入侵，2200萬用戶ID 疑遭泄露［2］;2014年，中國攜程網(wǎng)曝出由于系統(tǒng)漏洞受到攻擊造成用戶姓名、身份證號、銀行卡卡號、銀行卡CVV碼等遭到大量泄露［3］。

(二)社會工程攻擊技術

在數(shù)據(jù)盜竊領域，社會工程行為是指通過欺騙、欺詐、威脅、恐嚇甚至實施物理上的盜竊等手段非法獲取他人信息的方法與手段［4］。多數(shù)情況下，運用社會工程攻擊技術的攻擊者與受害者不會有面對面的接觸，因此對于黑客技術來說社會工程更偏向是一種帶有欺騙性質的技術。它利用受害者的心理弱點或者本能反應，如通過好奇心、貪婪心而采取的欺騙、傷害等手段，獲取個人信息并從中謀利。目前，網(wǎng)絡上最常見的社會工程攻擊方式表現(xiàn)為不法分子虛構一種場景或者偽裝身份，對目標進行勸說并誘使其主動泄露個人信息。網(wǎng)絡釣魚、電子郵件偽造攻擊、誘騙點擊惡意掛馬網(wǎng)頁等方法均屬于典型的偽裝欺騙社會工程攻擊技術。

二、個人信息盜竊法律規(guī)制的問題剖析

在大數(shù)據(jù)時代的背景下個人信息盜竊行為越發(fā)猖獗，而我國現(xiàn)行立法在防范個人信息盜竊行為方面的滯后性也越發(fā)凸顯。

第一，現(xiàn)行立法尚未明確界定個人信息的內涵。全國人大常委會《關于加強網(wǎng)絡信息保護的決定》(2012)中規(guī)定，國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。國家工信部頒布的《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》(2013)以及《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》(2013)中有關于個人信息的概念界定，①《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》(2013)中規(guī)定:個人信息是指可為信息系統(tǒng)所處理、與特定自然人相關、能夠單獨或通過與其他信息結合識別該特定自然人的計算機數(shù)據(jù)?！峨娦藕突ヂ?lián)網(wǎng)用戶個人信息保護規(guī)定》(2013)第四條規(guī)定:本規(guī)定所稱用戶個人信息，是指電信業(yè)務經(jīng)營者和互聯(lián)網(wǎng)信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息。但是現(xiàn)行的更高位階的法律對個人信息概念的界定則付之闕如，造成司法實踐中的諸多不便。

第二，個人信息保護法律基本原則的缺失?；驹瓌t對于個人信息保護有著至關重要的作用，它能夠構建大數(shù)據(jù)復雜環(huán)境下的個人信息保護框架，明確勾勒出個人信息使用的合法與違法的邊界線。許多國家的法律都明確規(guī)定了基本原則，如英國《資料法》;許多國際組織立法時甚至僅僅規(guī)定“基本原則”，并將法律基本原則作為保護個人信息的主要依據(jù)，這從一方面也體現(xiàn)出了法律基本原則對于個人信息保護的重要性［5］。

第三，未明確信息主體和信息管理者的權利義務。個人信息法律關系的內核是法律關系的主體與內容。從主體上來看，分為權利主體與義務主體。權利主體主要是指信息主體，而義務主體是指收集、處理和利用個人信息的處理者［6］。現(xiàn)行法律尚未對權利主體的具體權利內容以及義務主體的義務邊界進行明確劃分，由此導致個人信息收集與個人信息使用行為合法性的判斷往往存在一定爭議。

第四，個人信息盜竊法律責任制度不健全。依照現(xiàn)行法律，個人信息盜竊行為人主要承擔民事責任與刑事責任。民事責任方面，當個人信息受到侵害時，依照傳統(tǒng)的舉證責任分配方式，信息權人需要對信息實際控制人的過錯承擔證明責任，然而數(shù)據(jù)盜竊通常是通過一定的技術手段實現(xiàn)的，具有隱蔽性，不易被察覺，因而信息權人常常因為舉證不能而面臨敗訴的境地。刑事責任方面，我國現(xiàn)行《刑法》第二百五十三條做出了有關泄露個人信息犯罪的規(guī)定，但該規(guī)定存在犯罪主體類別過窄、犯罪行為方式范圍狹隘以及未明確“情節(jié)嚴重”具體程度等問題，在司法實踐中很難有效適用［7］。

三、個人信息盜竊行為法律規(guī)制的立法完善

通過分析我國現(xiàn)行個人信息保護立法狀況，筆者認為針對個人信息盜竊行為法律規(guī)制的立法完善應當從多方面展開。

(一)完善現(xiàn)行立法的相關內容

在民法立法層面，首先應當明確個人信息的概念。筆者建議我國個人信息保護立法采取識別型定義和混合型定義相結合的立法模式，即任何識別或可得以識別自然人(信息主體)的任何信息，包括但不限于個人的姓名、性別、年齡、血型 、健康狀況、身高、人種、地址、頭銜、職業(yè)、學位、生日、特征等信息。其次，應當明確個人信息權的性質，將個人信息權明確列入人格權保護范圍，廓清信息權人的權利內容與義務主體的義務邊界。借鑒現(xiàn)有國外立法和國際公約的有關規(guī)定，個人信息權應當包含信息收集知情權、信息收集選擇權、信息控制權與信息安全妨害排除請求權等內容［8］。另外，對個人信息保護義務主體首先要進行資格限制，要對國家機關與非國家機關個人信息收集權限加以分別規(guī)范;其次，要對義務主體的信息收集行為進行目的限制，只有在目的合法的情況下才允許收集個人信息;再次，明確義務主體的安全保障義務，義務主體應當采取一系列的技術措施與制度規(guī)范防止信息泄露。

在刑事立法層面，一是要擴大犯罪主體的范圍。建議將一般的具有刑事責任能力的自然人納入其中，打破主體僅為國家機關或者金融、電信、交通、教育、醫(yī)療等單位工作人員的局限性。二是對“情節(jié)嚴重”的標準做出明確的細則規(guī)定，從不同方面來對情節(jié)是否嚴重進行衡量。三是區(qū)別對待主觀過錯不同的犯罪，加重對于主觀惡意明顯、累犯的處罰力度。

(二)制定個人信息保護的專門法——《個人信息保護法》

制定專門的《個人信息保護法》將有利于明確信息主體的法定權利以及侵犯個人信息安全行為的不利法律后果，有助于構建全面的個人信息保護法律體系。具體而言，《個人信息保護法》應重點明確以下內容:

1.明確個人信息保護的范圍。應構建以人格權為基礎的符合我國法制體系的個人信息權利，從法律層面具體劃分出個人信息的類型并明確規(guī)定對其使用方式、使用程度的限制。

2.確立個人信息保護法的基本原則。個人信息保護法的基本原則內容豐富，但筆者認為主要體現(xiàn)為以下三項:(1)目的明確原則:具體包含特定目的、明確目的與目的正當三方面的內容;(2)知情同意原則:公民的個人信息在被收集和使用時應享有知情權和選擇權;(3)保障信息安全原則:信息收集、管理主體對掌握的公民個人信息要予以保護，以有效的技術手段或制度手段防范個人信息泄露或落入不法分子手中。

3.完善個人信息保護的救濟手段。明確規(guī)定各種個人信息侵權行為應承擔的法律責任和信息主體權利受到侵害時的救濟途徑。當個人信息盜竊行為發(fā)生時，信息主體有權要求加害人停止侵害、賠禮道歉、消除影響，對造成的財產(chǎn)與精神損害予以賠償。另外，對于惡意實施個人信息盜竊的，筆者建議增加懲罰性賠償?shù)囊?guī)定，加大對個人信息盜竊行為的威懾效力。

(三)加強個人信息安全的行政監(jiān)督執(zhí)法

目前我國對于個人信息安全行政監(jiān)管不力是一個非常突出的問題。從監(jiān)管主體來看，應當明確工業(yè)和信息化部作為全國個人信息保護的行政監(jiān)管與執(zhí)行機構，其他相關部門要對工業(yè)和信息化部的監(jiān)管職能予以積極配合。從監(jiān)管規(guī)范上來看，應當不斷完善政府機關、企事業(yè)單位收集、使用個人信息的標準體系，使行政監(jiān)管有據(jù)可查，建議將《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》結合不同行業(yè)領域的情況加以完善并作為強制性的指導規(guī)范。從監(jiān)管效力上看，應當賦予監(jiān)管主體一定的行政處罰權，當發(fā)現(xiàn)相關政府部門、企事業(yè)單位在收集、分析、使用個人信息的過程中存在違法行為的，有權對其實施行政處罰，行政處罰的認定結果應當與社會征信系統(tǒng)相連接，加大對侵犯個人信息違法行為的遏制力度。

［1］黃欣榮.大數(shù)據(jù)時代的思維變革［J］.重慶理工大學學報:社會科學，2014(5):13.

［2］羽箭.雅虎日本2200萬用戶ID疑遭泄漏［EB/OL］.［2013-05-18］.http://finance.sina.com.cn/world/20130518/025915506433.shtml

［3］王凱蕾，華曄迪.攜程泄漏客戶信息引擔憂［EB/OL］.［2014-03-25］.http://news.163.com/14/0325/07/9O5RBMMM00014AED.html

［4］［美］Christopher Hadnagy.社會工程:安全體系中的人性漏洞［M］.陸道宏，杜鵑，譯.北京:人民郵電出版社，2013:13.

［5］何培育.電子商務環(huán)境下個人信息安全危機與法律保護對策解析［J］.河北法學，2014(8):34-40.

［6］齊愛民.私法視野下的信息［M］.重慶:重慶大學出版社，2012:149.

［7］刁勝先.個人信息網(wǎng)絡侵權問題研究［M］.上海:上海三聯(lián)出版社，2013:168.

［8］何培育.網(wǎng)絡交易消費者的個人信息保護［J］.中國流通經(jīng)濟，2014(6):104-105.