“撞库”视角下的个人信息保护研究
时间:2021-04-08 20:03:48 来源:雅意学习网 本文已影响 人 
摘 要 从2014年开始,网络上个人信息的泄露逐渐扩大化、规模化,“撞库”作为一种使得个人信息规模泄露的重要攻击方式,不仅没有得到良好遏制,反而持续猖獗。如何判定网络信息泄露的责任,如何保证用户能够有保障地开展“网上生活”而不用胆战心惊,我们需要从法律角度进行解读思考。
关键词 “撞库” 个人信息 责任认定
作者简介:左进玮,华中师范大学法学院。
中图分类号:D922.7 文献标识码:A DOI:10.19387/j.cnki.1009-0592.2017.08.310
一、 何为“撞库”
2014年,携程网系统出现技术漏洞导致用户个人信息、银行卡CVV安全码信息泄露,小米论坛用户资料泄露,快递网站遭黑客入侵使1400万条个人信息在网络上被多次转卖,年底智联招聘86万用户简历信息泄露,东方航空大量用户订单信息泄露,12306火车订票网站被“撞库”。
大规模个人信息泄漏事件并没有就此停止,而是愈演愈烈。2015年京东曝出“撞库”抹黑事件,2016年事件仍然高发,大麦网又遭“撞库”攻击,39位用户被骗147万元,甚至腾讯、网易邮箱等大型社交网站、互联网厂商都纷纷被曝遭遇“撞库”。越来越多的用户在网络上的个人信息遭到泄露,由此带来一系列的财产损失等问题,网络安全成为亟待解决的问题。
那么,什么是撞库呢?所谓“撞库”,是一种针对数据库的攻击方式,是黑客通过收集互联网已泄露的用户和密码信息,尝试批量登录其他网站后,得到一系列可以登录的用户账号。简单来说,就是黑客通过攻破安全性较差的网站获取用户的个人信息,通过数据分析后尝试批量登陆用户同账号密码的其他网站。
“撞库”运操作简单、成本较低,其对数据库的攻击只需要经过“脱库”——攻破网站、“洗库”——数据处理分析,然后就可以进行“撞库”。“撞库”之所以能够持续猖獗,究其原因是用户个人的密码安全意识不强,设置密码过于简单、多个网站长期使用同一账号密码登录。
二、个人信息泄露谁之过
从个人信息小规模贩卖到大规模泄露,事件不仅没有得到控制反而愈演愈烈,是什么原因使得黑客能够持续猖獗、个人信息安全得不到保障呢?
2016年票务网站大麦网信息泄露使得39名用户损失147万的事件中,大麦网表示该事件便是由不法分子用“撞库”的方式造成的,并采取对用户进行先行赔付的方式解决该事件。从大麦网对该事件的解决方式来看,“撞库”归责,绝不仅仅是一方。
(一)网站
大麦网采取先行赔付的方式,同时承认存在技术监管方面的漏洞才使得黑客有可乘之机,因此在大麦网信息泄露事件中,网站也应当承担一定的责任。
在个人信息泄露事件中,关于网站应当承担的责任,应当分情况讨论。
第一,如果个人信息是从网站泄露,则应当区分网站信息泄露的主观故意。如果是网站故意对个人信息泄露,则网站承担侵权责任,我国对于信息泄露的用途没有进行区分,国外则区分商业用途和非商业用途,商业用途承担责任更大,除了民事上的侵权责任,由于大面积的用户隐私泄露影响恶劣,还应当承担行政责任;如果是过失泄露,应当根据过错推定责任原则追究责任,由于网站对于用户的个人信息有保管义务,因此应当先推定其有过错,再由网站进行举证其尽到应尽的义务,如果不能举证或者确实由于网站在数据保密层面上技术保护水平存在漏洞导致数据泄露,则应当承担侵权责任。
第二,信息是从与其授权合作的平台泄露。由于网站与第三方存在合作关系,用户信息通过网站提供给第三方,因此如果用户信息是从第三方泄露,则该网站也应当承担连带责任,由网站和第三方平台共同向用户承担侵权责任,网站可以在赔偿后根据与合作方的协议向第三方平台追偿。具体责任认定规则与从网站泄露的情况一致。
第三,信息是黑客从其他网站获取后对该网站“撞库”获取。在该情况下,网站只要尽到应尽的义务、达到一定的技术保护水平则无需承担责任。
(二)用户
尽管我国法律规定了网络服务商在用户信息保管方面的责任,但是消费者信息的泄露决不能只归责网络服务商,许多泄漏事件是消费者的安全意识低、没有对自己的个人信息尽到保管责任造成的。首先,部分用户长期使用同一账号密码登录不同的网站,增大“撞库”风险;其次,随意刷二维码、登录钓鱼网站,贪图便宜使用安全性差的移动终端硬件,这样的高风险行为给不法分子提供可乘之机。
在这种由于消费者自身原因造成的信息泄露事故情况下,如果要求网络服务商承担责任,向其索赔,则是没有道理的。
三、 我国网络个人信息保护的立法现状
大规模信息泄露事件出现后,2012年12月28日全国人大常委会通过了《关于加强网络信息保护的决定》后,网络个人信息保护有了法律依据。
随后,2014年3月施行的新《消费者权益保护法》增加了保护消费者个人信息的规定。
2014年10月9日,最高法院公布了《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,其中首次列举了个人隐私的范围。
2016年11月发布的《中华人民共和国网络安全法》规定了公民个人信息保护的基木法律制度,主要的目的是为了保障公民对于个人信息的收集,使用拥有知情权和决定权,避免个人信息被泄露以及非法倒卖。
此外,国务院各部委还制定了一些关于个人信息保护内容的部门规章,如工业和信息化部的《电信和互联网用户个人信息保护规定》《信息安全技术公共及商用服务信息系统个人信息保护指南》,工商总局的《网络交易管理办法》等。也有许多地区结合地区实际情况出台地方性法律,如《深圳经济特区互联网信息服务安全条例》。
在最新出臺的《民法总则》中,新增对个人信息的保护条文,第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”该法条是我国民法领域首次对个人信息权的正式确立,对于非法获取信息的行为从民事立法上进行了限制。从该法条可以看出:
