摘 要 從2014年開(kāi)始，網(wǎng)絡(luò)上個(gè)人信息的泄露逐漸擴(kuò)大化、規(guī)?；?，“撞庫(kù)”作為一種使得個(gè)人信息規(guī)模泄露的重要攻擊方式，不僅沒(méi)有得到良好遏制，反而持續(xù)猖獗。如何判定網(wǎng)絡(luò)信息泄露的責(zé)任，如何保證用戶(hù)能夠有保障地開(kāi)展“網(wǎng)上生活”而不用膽戰(zhàn)心驚，我們需要從法律角度進(jìn)行解讀思考。

關(guān)鍵詞 “撞庫(kù)” 個(gè)人信息 責(zé)任認(rèn)定

作者簡(jiǎn)介：左進(jìn)瑋，華中師范大學(xué)法學(xué)院。

中圖分類(lèi)號(hào)：D922.7 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.19387/j.cnki.1009-0592.2017.08.310

一、 何為“撞庫(kù)”

2014年，攜程網(wǎng)系統(tǒng)出現(xiàn)技術(shù)漏洞導(dǎo)致用戶(hù)個(gè)人信息、銀行卡CVV安全碼信息泄露，小米論壇用戶(hù)資料泄露，快遞網(wǎng)站遭黑客入侵使1400萬(wàn)條個(gè)人信息在網(wǎng)絡(luò)上被多次轉(zhuǎn)賣(mài)，年底智聯(lián)招聘86萬(wàn)用戶(hù)簡(jiǎn)歷信息泄露，東方航空大量用戶(hù)訂單信息泄露，12306火車(chē)訂票網(wǎng)站被“撞庫(kù)”。

大規(guī)模個(gè)人信息泄漏事件并沒(méi)有就此停止，而是愈演愈烈。2015年京東曝出“撞庫(kù)”抹黑事件，2016年事件仍然高發(fā)，大麥網(wǎng)又遭“撞庫(kù)”攻擊，39位用戶(hù)被騙147萬(wàn)元，甚至騰訊、網(wǎng)易郵箱等大型社交網(wǎng)站、互聯(lián)網(wǎng)廠商都紛紛被曝遭遇“撞庫(kù)”。越來(lái)越多的用戶(hù)在網(wǎng)絡(luò)上的個(gè)人信息遭到泄露，由此帶來(lái)一系列的財(cái)產(chǎn)損失等問(wèn)題，網(wǎng)絡(luò)安全成為亟待解決的問(wèn)題。

那么，什么是撞庫(kù)呢？所謂“撞庫(kù)”，是一種針對(duì)數(shù)據(jù)庫(kù)的攻擊方式，是黑客通過(guò)收集互聯(lián)網(wǎng)已泄露的用戶(hù)和密碼信息，嘗試批量登錄其他網(wǎng)站后，得到一系列可以登錄的用戶(hù)賬號(hào)。簡(jiǎn)單來(lái)說(shuō)，就是黑客通過(guò)攻破安全性較差的網(wǎng)站獲取用戶(hù)的個(gè)人信息，通過(guò)數(shù)據(jù)分析后嘗試批量登陸用戶(hù)同賬號(hào)密碼的其他網(wǎng)站。

“撞庫(kù)”運(yùn)操作簡(jiǎn)單、成本較低，其對(duì)數(shù)據(jù)庫(kù)的攻擊只需要經(jīng)過(guò)“脫庫(kù)”——攻破網(wǎng)站、“洗庫(kù)”——數(shù)據(jù)處理分析，然后就可以進(jìn)行“撞庫(kù)”?！白矌?kù)”之所以能夠持續(xù)猖獗，究其原因是用戶(hù)個(gè)人的密碼安全意識(shí)不強(qiáng)，設(shè)置密碼過(guò)于簡(jiǎn)單、多個(gè)網(wǎng)站長(zhǎng)期使用同一賬號(hào)密碼登錄。

二、個(gè)人信息泄露誰(shuí)之過(guò)

從個(gè)人信息小規(guī)模販賣(mài)到大規(guī)模泄露，事件不僅沒(méi)有得到控制反而愈演愈烈，是什么原因使得黑客能夠持續(xù)猖獗、個(gè)人信息安全得不到保障呢？

2016年票務(wù)網(wǎng)站大麥網(wǎng)信息泄露使得39名用戶(hù)損失147萬(wàn)的事件中，大麥網(wǎng)表示該事件便是由不法分子用“撞庫(kù)”的方式造成的，并采取對(duì)用戶(hù)進(jìn)行先行賠付的方式解決該事件。從大麥網(wǎng)對(duì)該事件的解決方式來(lái)看，“撞庫(kù)”歸責(zé)，絕不僅僅是一方。

（一）網(wǎng)站

大麥網(wǎng)采取先行賠付的方式，同時(shí)承認(rèn)存在技術(shù)監(jiān)管方面的漏洞才使得黑客有可乘之機(jī)，因此在大麥網(wǎng)信息泄露事件中，網(wǎng)站也應(yīng)當(dāng)承擔(dān)一定的責(zé)任。

在個(gè)人信息泄露事件中，關(guān)于網(wǎng)站應(yīng)當(dāng)承擔(dān)的責(zé)任，應(yīng)當(dāng)分情況討論。

第一，如果個(gè)人信息是從網(wǎng)站泄露，則應(yīng)當(dāng)區(qū)分網(wǎng)站信息泄露的主觀故意。如果是網(wǎng)站故意對(duì)個(gè)人信息泄露，則網(wǎng)站承擔(dān)侵權(quán)責(zé)任，我國(guó)對(duì)于信息泄露的用途沒(méi)有進(jìn)行區(qū)分，國(guó)外則區(qū)分商業(yè)用途和非商業(yè)用途，商業(yè)用途承擔(dān)責(zé)任更大，除了民事上的侵權(quán)責(zé)任，由于大面積的用戶(hù)隱私泄露影響惡劣，還應(yīng)當(dāng)承擔(dān)行政責(zé)任；如果是過(guò)失泄露，應(yīng)當(dāng)根據(jù)過(guò)錯(cuò)推定責(zé)任原則追究責(zé)任，由于網(wǎng)站對(duì)于用戶(hù)的個(gè)人信息有保管義務(wù)，因此應(yīng)當(dāng)先推定其有過(guò)錯(cuò)，再由網(wǎng)站進(jìn)行舉證其盡到應(yīng)盡的義務(wù)，如果不能舉證或者確實(shí)由于網(wǎng)站在數(shù)據(jù)保密層面上技術(shù)保護(hù)水平存在漏洞導(dǎo)致數(shù)據(jù)泄露，則應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。

第二，信息是從與其授權(quán)合作的平臺(tái)泄露。由于網(wǎng)站與第三方存在合作關(guān)系，用戶(hù)信息通過(guò)網(wǎng)站提供給第三方，因此如果用戶(hù)信息是從第三方泄露，則該網(wǎng)站也應(yīng)當(dāng)承擔(dān)連帶責(zé)任，由網(wǎng)站和第三方平臺(tái)共同向用戶(hù)承擔(dān)侵權(quán)責(zé)任，網(wǎng)站可以在賠償后根據(jù)與合作方的協(xié)議向第三方平臺(tái)追償。具體責(zé)任認(rèn)定規(guī)則與從網(wǎng)站泄露的情況一致。

第三，信息是黑客從其他網(wǎng)站獲取后對(duì)該網(wǎng)站“撞庫(kù)”獲取。在該情況下，網(wǎng)站只要盡到應(yīng)盡的義務(wù)、達(dá)到一定的技術(shù)保護(hù)水平則無(wú)需承擔(dān)責(zé)任。

（二）用戶(hù)

盡管我國(guó)法律規(guī)定了網(wǎng)絡(luò)服務(wù)商在用戶(hù)信息保管方面的責(zé)任，但是消費(fèi)者信息的泄露決不能只歸責(zé)網(wǎng)絡(luò)服務(wù)商，許多泄漏事件是消費(fèi)者的安全意識(shí)低、沒(méi)有對(duì)自己的個(gè)人信息盡到保管責(zé)任造成的。首先，部分用戶(hù)長(zhǎng)期使用同一賬號(hào)密碼登錄不同的網(wǎng)站，增大“撞庫(kù)”風(fēng)險(xiǎn)；其次，隨意刷二維碼、登錄釣魚(yú)網(wǎng)站，貪圖便宜使用安全性差的移動(dòng)終端硬件，這樣的高風(fēng)險(xiǎn)行為給不法分子提供可乘之機(jī)。

在這種由于消費(fèi)者自身原因造成的信息泄露事故情況下，如果要求網(wǎng)絡(luò)服務(wù)商承擔(dān)責(zé)任，向其索賠，則是沒(méi)有道理的。

三、 我國(guó)網(wǎng)絡(luò)個(gè)人信息保護(hù)的立法現(xiàn)狀

大規(guī)模信息泄露事件出現(xiàn)后，2012年12月28日全國(guó)人大常委會(huì)通過(guò)了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》后，網(wǎng)絡(luò)個(gè)人信息保護(hù)有了法律依據(jù)。

隨后，2014年3月施行的新《消費(fèi)者權(quán)益保護(hù)法》增加了保護(hù)消費(fèi)者個(gè)人信息的規(guī)定。

2014年10月9日，最高法院公布了《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問(wèn)題的規(guī)定》，其中首次列舉了個(gè)人隱私的范圍。

2016年11月發(fā)布的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》規(guī)定了公民個(gè)人信息保護(hù)的基木法律制度，主要的目的是為了保障公民對(duì)于個(gè)人信息的收集，使用擁有知情權(quán)和決定權(quán)，避免個(gè)人信息被泄露以及非法倒賣(mài)。

此外，國(guó)務(wù)院各部委還制定了一些關(guān)于個(gè)人信息保護(hù)內(nèi)容的部門(mén)規(guī)章，如工業(yè)和信息化部的《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定》《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》，工商總局的《網(wǎng)絡(luò)交易管理辦法》等。也有許多地區(qū)結(jié)合地區(qū)實(shí)際情況出臺(tái)地方性法律，如《深圳經(jīng)濟(jì)特區(qū)互聯(lián)網(wǎng)信息服務(wù)安全條例》。

在最新出臺(tái)的《民法總則》中，新增對(duì)個(gè)人信息的保護(hù)條文，第111條規(guī)定：“自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買(mǎi)賣(mài)、提供或者公開(kāi)他人個(gè)人信息?！痹摲l是我國(guó)民法領(lǐng)域首次對(duì)個(gè)人信息權(quán)的正式確立，對(duì)于非法獲取信息的行為從民事立法上進(jìn)行了限制。從該法條可以看出：

首先，個(gè)人信息受法律保護(hù)。

其次，任何組織和個(gè)人需要獲取他人個(gè)人信息的應(yīng)當(dāng)依照個(gè)人信息保護(hù)相關(guān)法律取得。

再次，依法獲取信息的個(gè)人和組織有義務(wù)保證信息的安全。

最后，法條對(duì)于非法處理信息的行為以列舉方式作出限制。

盡管我國(guó)對(duì)于個(gè)人信息保護(hù)的法律法規(guī)如雨后春筍規(guī)模逐漸擴(kuò)大，但是卻沒(méi)有一個(gè)完整的法律保護(hù)體系。通過(guò)分析能夠看出，我國(guó)法律對(duì)于個(gè)人信息保護(hù)的規(guī)定主要為概括式籠統(tǒng)的保護(hù)性條文，法律對(duì)于個(gè)人信息的保護(hù)主要停留在“是什么”，即個(gè)人信息保護(hù)的范圍、哪些個(gè)人信息是受到法律保護(hù)不得非法侵犯的，但是對(duì)于“怎么辦”，即對(duì)于不同主體的不同行為應(yīng)當(dāng)怎樣的處罰則散落于行政和刑事法律中，“誰(shuí)擔(dān)責(zé)”，即侵犯?jìng)€(gè)人信息的具體主體的責(zé)任義務(wù)劃分更是少之又少，比如網(wǎng)絡(luò)服務(wù)商應(yīng)盡的注意義務(wù)程度、網(wǎng)站具體承擔(dān)責(zé)任的大小、個(gè)人在信息泄露事故中應(yīng)當(dāng)承擔(dān)的風(fēng)險(xiǎn)與責(zé)任。此外，由于不同層級(jí)的法律法規(guī)對(duì)其都有不同程度的規(guī)定，有時(shí)會(huì)造成混亂和立法上的浪費(fèi)。法律應(yīng)當(dāng)對(duì)個(gè)人信息形成系統(tǒng)性的保護(hù)，對(duì)于個(gè)人信息從獲取到泄露整個(gè)環(huán)節(jié)較為全面規(guī)定，才能讓此類(lèi)事件從商業(yè)道德上升到法律層面。

四、如何完善網(wǎng)絡(luò)個(gè)人信息的法律保護(hù)

（一）形成網(wǎng)絡(luò)信息的系統(tǒng)法律保護(hù)機(jī)制

對(duì)網(wǎng)絡(luò)個(gè)人信息進(jìn)行保護(hù)，首先要形成系統(tǒng)的法律保護(hù)體系，使得對(duì)信息泄漏事故中擔(dān)責(zé)主體進(jìn)行懲治的時(shí)候有法可依，解決在適用法律時(shí)出現(xiàn)混亂或模糊的情況。尤其是在上面敘述中提到的“誰(shuí)擔(dān)責(zé)”和“怎么辦”問(wèn)題，建議盡快形成一部系統(tǒng)的《個(gè)人信息保護(hù)法》，根據(jù)不同個(gè)人信息及其泄露途徑的類(lèi)型進(jìn)行不同的法律規(guī)制，同時(shí)在刑事、民事、行政方面制定相應(yīng)的懲治方式，做到責(zé)任明確、懲治方式清晰。

（二）提高違法犯罪成本

“撞庫(kù)”操作簡(jiǎn)單、成本低、成功率高，而在實(shí)踐中涉案金額大、認(rèn)定金額低，因此成為網(wǎng)絡(luò)詐騙的首選。因此，要從根本上杜絕網(wǎng)絡(luò)信息泄露，就要從立法上規(guī)范對(duì)于犯罪數(shù)額的認(rèn)定標(biāo)準(zhǔn)，同時(shí)加大懲治力度，除了在數(shù)額方面體現(xiàn)，還可以進(jìn)行關(guān)閉網(wǎng)站、吊銷(xiāo)執(zhí)照甚至進(jìn)行人身方面的限制，從犯罪成本上加大威懾力。

（三）管理機(jī)構(gòu)權(quán)威標(biāo)準(zhǔn)化

伴隨著越來(lái)越多的信息安全事故，可以從立法上設(shè)立信息管理的專(zhuān)門(mén)機(jī)構(gòu)進(jìn)行個(gè)人核心信息的集中保管，其他各個(gè)機(jī)構(gòu)對(duì)于這些核心信息的使用需要該機(jī)構(gòu)經(jīng)手備案，在我國(guó)網(wǎng)絡(luò)實(shí)名制度下，取消商業(yè)網(wǎng)站對(duì)于個(gè)人核心信息保管的權(quán)利，轉(zhuǎn)由該技術(shù)更好、安全系數(shù)更高的機(jī)構(gòu)進(jìn)行管理。

參考文獻(xiàn)：

[1]齊愛(ài)民編. 拯救信息社會(huì)中的人格：個(gè)人信息保護(hù)法總論. 北京大學(xué)出版社. 2009.

[2]余建斌.網(wǎng)絡(luò)黑色產(chǎn)業(yè)的不法手段越來(lái)越多元化和復(fù)雜化：小心，“撞庫(kù)”正竊取你賬號(hào). 人民日?qǐng)?bào). 2016-11-25（20）.

[3]姚建芳. 電商屢屢信息泄漏誰(shuí)之過(guò) 電商中心發(fā)布防詐騙指南. 計(jì)算機(jī)與網(wǎng)絡(luò). 2016（14）.

[4]司運(yùn)晴. 以網(wǎng)絡(luò)信息泄露頻發(fā)為例淺析信息安全的法律保護(hù). 法制與社會(huì). 2017（5）.

[5]吳燕雨. 12306用戶(hù)信息泄露調(diào)查：疑似撞庫(kù)，漏洞為什么沒(méi)有及時(shí)被補(bǔ)救？. 21世紀(jì)經(jīng)濟(jì)報(bào)道. 2014-12-26（002）.