何培育，蔣啟蒙

(重慶理工大學(xué)知識(shí)產(chǎn)權(quán)學(xué)院，重慶 400054)

當(dāng)前，“大數(shù)據(jù)”正裹挾著社會(huì)公眾的疑惑與期待以排山倒海之勢(shì)撲面而來，普通民眾猛然發(fā)現(xiàn)自己生活的方方面面已經(jīng)被悄然納入到“大數(shù)據(jù)”的范疇之內(nèi)，個(gè)人行為的蛛絲馬跡在“大數(shù)據(jù)”放大鏡的觀照下顯得無比清晰明了［1］。在享受大數(shù)據(jù)帶來的便利的同時(shí)，其尾隨而來的陰影不應(yīng)被忽視。為了從個(gè)人信息中攫取不法收益，不法分子紛紛利用五花八門的信息盜竊技術(shù)對(duì)個(gè)人信息進(jìn)行收集、竊取，對(duì)個(gè)人信息安全造成嚴(yán)重破壞并引發(fā)一系列的社會(huì)問題。

一、個(gè)人信息盜竊的技術(shù)路徑分析

按照個(gè)人信息盜竊技術(shù)運(yùn)用的特點(diǎn)不同，可以把個(gè)人信息盜竊技術(shù)分為黑客攻擊技術(shù)與社會(huì)工程攻擊技術(shù)。

(一)黑客攻擊技術(shù)

1.針對(duì)智能手機(jī)的個(gè)人信息盜竊技術(shù)

隨著智能手機(jī)的普及，個(gè)人信息泄露與盜竊的事件早已屢見不鮮。以手機(jī)惡意代碼、惡意扣費(fèi)、惡意捆綁插件等為代表的手機(jī)個(gè)人信息盜竊技術(shù)盛行于智能手機(jī)終端領(lǐng)域，更有通過WIFI釣魚等新穎的個(gè)人信息盜竊技術(shù)來竊取手機(jī)中的個(gè)人信息。

(1)惡意扣費(fèi):惡意扣費(fèi)產(chǎn)生的原因大多數(shù)情況下是因?yàn)槭謾C(jī)中存在惡意代碼或者惡意扣費(fèi)軟件，它們會(huì)對(duì)手機(jī)中的話費(fèi)、流量進(jìn)行惡意消耗。惡意扣費(fèi)主要分為兩種模式:①強(qiáng)制性地連接互聯(lián)網(wǎng)造成手機(jī)用戶在不知不覺中消耗大量的流量;②直接惡意扣費(fèi)，造成手機(jī)用戶話費(fèi)的損失。

(2)惡意捆綁:不法分子將一些手機(jī)木馬程序、惡意軟件捆綁在正常軟件之中，放入手機(jī)應(yīng)用商店供用戶下載，或者直接捆綁在手機(jī)的預(yù)裝的軟件之中。用戶使用正常軟件時(shí)，木馬程序或者惡意軟件同時(shí)會(huì)在后臺(tái)自動(dòng)運(yùn)行并實(shí)施扣費(fèi)或盜竊手機(jī)短信、照片、通訊錄等用戶個(gè)人隱私信息的行為。

(3)路由器入侵與WIFI釣魚:針對(duì)一些喜歡蹭網(wǎng)的手機(jī)用戶，黑客常在公共場(chǎng)所利用簡(jiǎn)單的終端設(shè)備架設(shè)免費(fèi)的WIFI引誘用戶連接，在手機(jī)用戶上網(wǎng)的過程中對(duì)其行為進(jìn)行記錄，并從記錄中獲取包括賬號(hào)密碼在內(nèi)的個(gè)人信息。而對(duì)于路由器的安全問題，很多用戶都沒有引起足夠的重視，常常不設(shè)置密碼或者設(shè)置簡(jiǎn)單密碼，同時(shí)路由器本身可能存在漏洞，只要通過簡(jiǎn)單的操作便會(huì)獲得該路由器關(guān)聯(lián)設(shè)備里的信息，該方法是黑客盜取個(gè)人信息的重要途徑。

2.針對(duì)計(jì)算機(jī)與互聯(lián)網(wǎng)資源的個(gè)人信息盜竊技術(shù)

針對(duì)計(jì)算機(jī)與互聯(lián)網(wǎng)資源是個(gè)人信息盜竊的主要途徑，常見的黑客技術(shù)主要有木馬病毒技術(shù)、遠(yuǎn)程控制后門技術(shù)以及服務(wù)器入侵技術(shù)等。

(1)木馬病毒技術(shù)

木馬病毒技術(shù)是一種針對(duì)某一特定數(shù)據(jù)信息進(jìn)行專門獲取的惡意程序。當(dāng)目標(biāo)主機(jī)被植入盜號(hào)木馬后會(huì)在后臺(tái)自動(dòng)運(yùn)行，監(jiān)聽鍵盤記錄或者對(duì)屏幕進(jìn)行截取，從而獲取賬號(hào)密碼，然后把這些信息發(fā)送至攻擊者指定的郵箱之中。利用木馬竊取方法所獲取的資源一般是某一類特定的個(gè)人敏感信息，一旦竊取者獲取了這類敏感信息，就可能直接對(duì)受害者的真實(shí)財(cái)產(chǎn)、虛擬財(cái)產(chǎn)造成嚴(yán)重的損失。

(2)遠(yuǎn)程控制后門技術(shù)

遠(yuǎn)程控制后門技術(shù)是黑客常用的攻擊技術(shù)手段。遠(yuǎn)程控制后門程序一般分為控制端與服務(wù)端。該技術(shù)首先向目標(biāo)主機(jī)植入并安裝服務(wù)端，再通過控制端對(duì)目標(biāo)主機(jī)進(jìn)行控制，可以進(jìn)行屏幕監(jiān)控、視頻監(jiān)控、鍵盤記錄、文件管理、系統(tǒng)信息查看、進(jìn)程管理等一系列的非法活動(dòng)，甚至還可以控制目標(biāo)主機(jī)進(jìn)行DDOS、CC攻擊網(wǎng)站等操作。通過遠(yuǎn)程控制與后門技術(shù)可以實(shí)現(xiàn)一對(duì)一或者一對(duì)多的控制目的，進(jìn)而形成僵尸網(wǎng)絡(luò)，被控制的主機(jī)將任由控制方擺布，同時(shí)所有的個(gè)人信息與用戶操作行為都會(huì)暴露在控制方的視野下。

(3)服務(wù)器入侵技術(shù)

服務(wù)器入侵技術(shù)是針對(duì)網(wǎng)站的服務(wù)器或公司的內(nèi)部網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊從而獲取其中資源的黑客技術(shù)。一般情況下不法分子利用網(wǎng)站服務(wù)器的漏洞、弱口令等進(jìn)行“黑站”或者直接對(duì)服務(wù)器中包含敏感信息的數(shù)據(jù)庫進(jìn)行攻擊，再植入后門程序獲得服務(wù)器控制權(quán)。一旦網(wǎng)站的服務(wù)器被黑客入侵，數(shù)據(jù)庫中保存的無數(shù)個(gè)人信息會(huì)被泄露，公司的商業(yè)秘密乃至核心機(jī)密都會(huì)被盜取。近年來也發(fā)生過多起服務(wù)器入侵導(dǎo)致的個(gè)人信息泄露事件，如2013年5月，雅虎日本網(wǎng)站管理系統(tǒng)遭到入侵，2200萬用戶ID 疑遭泄露［2］;2014年，中國攜程網(wǎng)曝出由于系統(tǒng)漏洞受到攻擊造成用戶姓名、身份證號(hào)、銀行卡卡號(hào)、銀行卡CVV碼等遭到大量泄露［3］。

(二)社會(huì)工程攻擊技術(shù)

在數(shù)據(jù)盜竊領(lǐng)域，社會(huì)工程行為是指通過欺騙、欺詐、威脅、恐嚇甚至實(shí)施物理上的盜竊等手段非法獲取他人信息的方法與手段［4］。多數(shù)情況下，運(yùn)用社會(huì)工程攻擊技術(shù)的攻擊者與受害者不會(huì)有面對(duì)面的接觸，因此對(duì)于黑客技術(shù)來說社會(huì)工程更偏向是一種帶有欺騙性質(zhì)的技術(shù)。它利用受害者的心理弱點(diǎn)或者本能反應(yīng)，如通過好奇心、貪婪心而采取的欺騙、傷害等手段，獲取個(gè)人信息并從中謀利。目前，網(wǎng)絡(luò)上最常見的社會(huì)工程攻擊方式表現(xiàn)為不法分子虛構(gòu)一種場(chǎng)景或者偽裝身份，對(duì)目標(biāo)進(jìn)行勸說并誘使其主動(dòng)泄露個(gè)人信息。網(wǎng)絡(luò)釣魚、電子郵件偽造攻擊、誘騙點(diǎn)擊惡意掛馬網(wǎng)頁等方法均屬于典型的偽裝欺騙社會(huì)工程攻擊技術(shù)。

二、個(gè)人信息盜竊法律規(guī)制的問題剖析

在大數(shù)據(jù)時(shí)代的背景下個(gè)人信息盜竊行為越發(fā)猖獗，而我國現(xiàn)行立法在防范個(gè)人信息盜竊行為方面的滯后性也越發(fā)凸顯。

第一，現(xiàn)行立法尚未明確界定個(gè)人信息的內(nèi)涵。全國人大常委會(huì)《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》(2012)中規(guī)定，國家保護(hù)能夠識(shí)別公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息。國家工信部頒布的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》(2013)以及《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》(2013)中有關(guān)于個(gè)人信息的概念界定，①《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》(2013)中規(guī)定:個(gè)人信息是指可為信息系統(tǒng)所處理、與特定自然人相關(guān)、能夠單獨(dú)或通過與其他信息結(jié)合識(shí)別該特定自然人的計(jì)算機(jī)數(shù)據(jù)?！峨娦藕突ヂ?lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》(2013)第四條規(guī)定:本規(guī)定所稱用戶個(gè)人信息，是指電信業(yè)務(wù)經(jīng)營(yíng)者和互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)的過程中收集的用戶姓名、出生日期、身份證件號(hào)碼、住址、電話號(hào)碼、賬號(hào)和密碼等能夠單獨(dú)或者與其他信息結(jié)合識(shí)別用戶的信息以及用戶使用服務(wù)的時(shí)間、地點(diǎn)等信息。但是現(xiàn)行的更高位階的法律對(duì)個(gè)人信息概念的界定則付之闕如，造成司法實(shí)踐中的諸多不便。

第二，個(gè)人信息保護(hù)法律基本原則的缺失?；驹瓌t對(duì)于個(gè)人信息保護(hù)有著至關(guān)重要的作用，它能夠構(gòu)建大數(shù)據(jù)復(fù)雜環(huán)境下的個(gè)人信息保護(hù)框架，明確勾勒出個(gè)人信息使用的合法與違法的邊界線。許多國家的法律都明確規(guī)定了基本原則，如英國《資料法》;許多國際組織立法時(shí)甚至僅僅規(guī)定“基本原則”，并將法律基本原則作為保護(hù)個(gè)人信息的主要依據(jù)，這從一方面也體現(xiàn)出了法律基本原則對(duì)于個(gè)人信息保護(hù)的重要性［5］。

第三，未明確信息主體和信息管理者的權(quán)利義務(wù)。個(gè)人信息法律關(guān)系的內(nèi)核是法律關(guān)系的主體與內(nèi)容。從主體上來看，分為權(quán)利主體與義務(wù)主體。權(quán)利主體主要是指信息主體，而義務(wù)主體是指收集、處理和利用個(gè)人信息的處理者［6］?，F(xiàn)行法律尚未對(duì)權(quán)利主體的具體權(quán)利內(nèi)容以及義務(wù)主體的義務(wù)邊界進(jìn)行明確劃分，由此導(dǎo)致個(gè)人信息收集與個(gè)人信息使用行為合法性的判斷往往存在一定爭(zhēng)議。

第四，個(gè)人信息盜竊法律責(zé)任制度不健全。依照現(xiàn)行法律，個(gè)人信息盜竊行為人主要承擔(dān)民事責(zé)任與刑事責(zé)任。民事責(zé)任方面，當(dāng)個(gè)人信息受到侵害時(shí)，依照傳統(tǒng)的舉證責(zé)任分配方式，信息權(quán)人需要對(duì)信息實(shí)際控制人的過錯(cuò)承擔(dān)證明責(zé)任，然而數(shù)據(jù)盜竊通常是通過一定的技術(shù)手段實(shí)現(xiàn)的，具有隱蔽性，不易被察覺，因而信息權(quán)人常常因?yàn)榕e證不能而面臨敗訴的境地。刑事責(zé)任方面，我國現(xiàn)行《刑法》第二百五十三條做出了有關(guān)泄露個(gè)人信息犯罪的規(guī)定，但該規(guī)定存在犯罪主體類別過窄、犯罪行為方式范圍狹隘以及未明確“情節(jié)嚴(yán)重”具體程度等問題，在司法實(shí)踐中很難有效適用［7］。

三、個(gè)人信息盜竊行為法律規(guī)制的立法完善

通過分析我國現(xiàn)行個(gè)人信息保護(hù)立法狀況，筆者認(rèn)為針對(duì)個(gè)人信息盜竊行為法律規(guī)制的立法完善應(yīng)當(dāng)從多方面展開。

(一)完善現(xiàn)行立法的相關(guān)內(nèi)容

在民法立法層面，首先應(yīng)當(dāng)明確個(gè)人信息的概念。筆者建議我國個(gè)人信息保護(hù)立法采取識(shí)別型定義和混合型定義相結(jié)合的立法模式，即任何識(shí)別或可得以識(shí)別自然人(信息主體)的任何信息，包括但不限于個(gè)人的姓名、性別、年齡、血型 、健康狀況、身高、人種、地址、頭銜、職業(yè)、學(xué)位、生日、特征等信息。其次，應(yīng)當(dāng)明確個(gè)人信息權(quán)的性質(zhì)，將個(gè)人信息權(quán)明確列入人格權(quán)保護(hù)范圍，廓清信息權(quán)人的權(quán)利內(nèi)容與義務(wù)主體的義務(wù)邊界。借鑒現(xiàn)有國外立法和國際公約的有關(guān)規(guī)定，個(gè)人信息權(quán)應(yīng)當(dāng)包含信息收集知情權(quán)、信息收集選擇權(quán)、信息控制權(quán)與信息安全妨害排除請(qǐng)求權(quán)等內(nèi)容［8］。另外，對(duì)個(gè)人信息保護(hù)義務(wù)主體首先要進(jìn)行資格限制，要對(duì)國家機(jī)關(guān)與非國家機(jī)關(guān)個(gè)人信息收集權(quán)限加以分別規(guī)范;其次，要對(duì)義務(wù)主體的信息收集行為進(jìn)行目的限制，只有在目的合法的情況下才允許收集個(gè)人信息;再次，明確義務(wù)主體的安全保障義務(wù)，義務(wù)主體應(yīng)當(dāng)采取一系列的技術(shù)措施與制度規(guī)范防止信息泄露。

在刑事立法層面，一是要擴(kuò)大犯罪主體的范圍。建議將一般的具有刑事責(zé)任能力的自然人納入其中，打破主體僅為國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位工作人員的局限性。二是對(duì)“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)做出明確的細(xì)則規(guī)定，從不同方面來對(duì)情節(jié)是否嚴(yán)重進(jìn)行衡量。三是區(qū)別對(duì)待主觀過錯(cuò)不同的犯罪，加重對(duì)于主觀惡意明顯、累犯的處罰力度。

(二)制定個(gè)人信息保護(hù)的專門法——《個(gè)人信息保護(hù)法》

制定專門的《個(gè)人信息保護(hù)法》將有利于明確信息主體的法定權(quán)利以及侵犯?jìng)€(gè)人信息安全行為的不利法律后果，有助于構(gòu)建全面的個(gè)人信息保護(hù)法律體系。具體而言，《個(gè)人信息保護(hù)法》應(yīng)重點(diǎn)明確以下內(nèi)容:

1.明確個(gè)人信息保護(hù)的范圍。應(yīng)構(gòu)建以人格權(quán)為基礎(chǔ)的符合我國法制體系的個(gè)人信息權(quán)利，從法律層面具體劃分出個(gè)人信息的類型并明確規(guī)定對(duì)其使用方式、使用程度的限制。

2.確立個(gè)人信息保護(hù)法的基本原則。個(gè)人信息保護(hù)法的基本原則內(nèi)容豐富，但筆者認(rèn)為主要體現(xiàn)為以下三項(xiàng):(1)目的明確原則:具體包含特定目的、明確目的與目的正當(dāng)三方面的內(nèi)容;(2)知情同意原則:公民的個(gè)人信息在被收集和使用時(shí)應(yīng)享有知情權(quán)和選擇權(quán);(3)保障信息安全原則:信息收集、管理主體對(duì)掌握的公民個(gè)人信息要予以保護(hù)，以有效的技術(shù)手段或制度手段防范個(gè)人信息泄露或落入不法分子手中。

3.完善個(gè)人信息保護(hù)的救濟(jì)手段。明確規(guī)定各種個(gè)人信息侵權(quán)行為應(yīng)承擔(dān)的法律責(zé)任和信息主體權(quán)利受到侵害時(shí)的救濟(jì)途徑。當(dāng)個(gè)人信息盜竊行為發(fā)生時(shí)，信息主體有權(quán)要求加害人停止侵害、賠禮道歉、消除影響，對(duì)造成的財(cái)產(chǎn)與精神損害予以賠償。另外，對(duì)于惡意實(shí)施個(gè)人信息盜竊的，筆者建議增加懲罰性賠償?shù)囊?guī)定，加大對(duì)個(gè)人信息盜竊行為的威懾效力。

(三)加強(qiáng)個(gè)人信息安全的行政監(jiān)督執(zhí)法

目前我國對(duì)于個(gè)人信息安全行政監(jiān)管不力是一個(gè)非常突出的問題。從監(jiān)管主體來看，應(yīng)當(dāng)明確工業(yè)和信息化部作為全國個(gè)人信息保護(hù)的行政監(jiān)管與執(zhí)行機(jī)構(gòu)，其他相關(guān)部門要對(duì)工業(yè)和信息化部的監(jiān)管職能予以積極配合。從監(jiān)管規(guī)范上來看，應(yīng)當(dāng)不斷完善政府機(jī)關(guān)、企事業(yè)單位收集、使用個(gè)人信息的標(biāo)準(zhǔn)體系，使行政監(jiān)管有據(jù)可查，建議將《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》結(jié)合不同行業(yè)領(lǐng)域的情況加以完善并作為強(qiáng)制性的指導(dǎo)規(guī)范。從監(jiān)管效力上看，應(yīng)當(dāng)賦予監(jiān)管主體一定的行政處罰權(quán)，當(dāng)發(fā)現(xiàn)相關(guān)政府部門、企事業(yè)單位在收集、分析、使用個(gè)人信息的過程中存在違法行為的，有權(quán)對(duì)其實(shí)施行政處罰，行政處罰的認(rèn)定結(jié)果應(yīng)當(dāng)與社會(huì)征信系統(tǒng)相連接，加大對(duì)侵犯?jìng)€(gè)人信息違法行為的遏制力度。

［1］黃欣榮.大數(shù)據(jù)時(shí)代的思維變革［J］.重慶理工大學(xué)學(xué)報(bào):社會(huì)科學(xué)，2014(5):13.

［2］羽箭.雅虎日本2200萬用戶ID疑遭泄漏［EB/OL］.［2013-05-18］.http://finance.sina.com.cn/world/20130518/025915506433.shtml

［3］王凱蕾，華曄迪.攜程泄漏客戶信息引擔(dān)憂［EB/OL］.［2014-03-25］.http://news.163.com/14/0325/07/9O5RBMMM00014AED.html

［4］［美］Christopher Hadnagy.社會(huì)工程:安全體系中的人性漏洞［M］.陸道宏，杜鵑，譯.北京:人民郵電出版社，2013:13.

［5］何培育.電子商務(wù)環(huán)境下個(gè)人信息安全危機(jī)與法律保護(hù)對(duì)策解析［J］.河北法學(xué)，2014(8):34-40.

［6］齊愛民.私法視野下的信息［M］.重慶:重慶大學(xué)出版社，2012:149.

［7］刁勝先.個(gè)人信息網(wǎng)絡(luò)侵權(quán)問題研究［M］.上海:上海三聯(lián)出版社，2013:168.

［8］何培育.網(wǎng)絡(luò)交易消費(fèi)者的個(gè)人信息保護(hù)［J］.中國流通經(jīng)濟(jì)，2014(6):104-105.