会员账号屡遭泄露个人信息安全保护亟待强化-中国商报

会员账号屡遭泄露个人信息安全保护亟待强化-中国商报 王琮玮 自己掌握着账号、密码的优酷视频网站VIP会员账号内莫名多出数十条观看记录，经过一番查询后，市民白女士怀疑自己的视频网站会员账号被盗。优酷视频的工作人员对此回应称，优酷内部绝对不会泄露用户信息，目前正在主动联系发布会员账号的网站，强令其删除，并追究责任。此番账号泄露事件，波及了数家知名视频网站。 笔者通过百度搜索到多家网站公布的“最新爱奇艺会员VIP账号免费分享”“最新优酷会员VIP账号免费分享第二百七十二期”等内容，每份内容公布的会员信息有十余个至数十个不等。笔者尝试按照其中提供的账号、密码登录对应视频网站时发现，大部分已无法正常使用，有个别仍可登录。 此番账号泄露事件，再次引发公众对个人信息安全保护的热议。 个人信息频频遭泄露 目前我国已有超过6亿网民，电子商务、电子政务、大数据的汇集，使这些网络服务提供者出于商业、行政等目的，需要用户提供自己的部分个人信息才能够使用该平台，通过平台渠道实现诸如购物、预约挂号、办理行政事务等目的。这些个人信息经过积累形成了巨大的信息池，存储在各种平台之上。 而这些平台的提供者出于平台运行、经营、发展的需要，不可避免地需要使用个人信息，而几乎无一例外的，用户在平台上提交的个人信息，将被永久保留在平台之上，甚至可能被提供平台信息的提供者用于非用户需要之目的。因为目前尚没有法律明确规定，网络服务提供者在收集到用户个人信息并使用完成之后，需要对该个人信息进行遗忘处理。所以，随着平台在线时间越久，个人信息的存储量也就越多，发生泄露的概率也就越大。 360互联网安全中心于2016年12月22日在京发布的《2015年中国网站安全报告》，公布了2015年国内外十大网站安全事件，其中，我国社保系统已成为个人信息泄露重灾区。2015年4月，全球最大的漏洞响应平台补天平台爆出重庆、上海、山西、贵州、河南等省市卫生和社保系统出现大量高危漏洞，数千万用户的社保信息可能因此被泄露。相关数据显示，围绕社保系统、户籍查询系统、疾控中心、医院等大量爆出高危漏洞的省市已经超过30个，仅社保类信息安全漏洞统计就达到5279.4万条，涉及人员数量达数千万，其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。 而我们熟悉的京东、淘宝等电商平台、爱奇艺、优酷等视频网站、微信、QQ等即时通信平台都发生过个人信息泄露的事件。中国互联网协会《中国网民权益保护调查报告2016》显示，在近一年的时间，国内6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。这些庞大的数字，以及频发的网络安全事件，使个人信息的泄露已经从个案随着网络的普及和发展成为了多发性案件。 综合信息安全及法律领域的信息，个人信息泄露主要有以下几种原因:一是获取信息的平台内部管理不善，导致信息泄露;二是平台本身安全技术不完善，存在可被攻击的漏洞;三、法律法规不健全，导致不法分子有机可乘，却得不到制裁;三是监管部门职能缺失;四是网民自我保护意识欠缺。 而导致这几种原因的根源还在于个人信息具有巨大的商业价值，无论是“内鬼”出卖，还是“外鬼”攻击获取，都是为了将个人信息用于商业利益，有的是直接将个人信息按照条数出售，被个别非法商家利用获取直接利益，有的是通过对个人信息的收集，使自己平台的流量、数据量提升，从而获取间接的利益。 尚缺专门立法 十一届全国人民代表大会常务委员会第三十次会议于2012年12月28日通过的《关于加强网络信息保护的决定》，从保护能够识别的个人信息、网络服务提供者获取、使用个人信息、加强对个人信息的保护以及主管机关的责任等方面做出了明确的规定。 决定第一条明确:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。” 但事实上，目前我国尚无关于个人信息保护的专门性法律，只是散见在一些法律法规的条款之中。比如，侵权责任法第三十六条特别规定了网络用户、网络服务提供者的法律责任, 该条规定网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。 网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任。 网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。 工信部颁发并自2013年9月1日起施行的《电信和互联网用户个人信息保护规定》(部令第24号)是目前我国最全面的关于个人信息保护的法律规定。该规定从个人信息的定义、义务主体、个人信息收集的程序、使用目的、投诉机制的建立、安全保护措施、监督检查、法律责任等方面均做了较为详细的规定。 即将于2017年6月1日起施行的网络安全法第七十六条第(五)款对于个人信息做了较为明确的定义——是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 而网络安全法专门用了一章的篇幅，分别从用户信息保护制度的建立、网络运营者收集、使用个人信息的程序、目的、保护措施、投诉和纠纷解决机制的建立等方面做了较为明确的规定。 网络安全法的施行对于现行以及新的网络运营者在个人信息的收集、使用等方面将会产生重大影响。因此，网络运营或者网络服务提供者应当及时关注立法动态，及时修正和自身平台的安全、 操作规范，避免在法律施行以后出现违法行为受到法律的制裁。 关于侵犯个人信息刑事保护方面，我国也有相关法律法规加以规范。《全国人民代表大会常务委员会关于维护互联网安全的决定》第四条规定，为了保护个人、法人和其他组织的人身、财产等合法权利，对有非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密行为，构成犯罪的，依照刑法有关规定追究刑事责任。 刑法第二百五十三条第三款、第四款、第五款规定，国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处3年以下有期徒刑或者拘役，并处或者单处罚金;窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚;单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各款的规定处罚。 虽然个人信息保护的立法已逐渐完善，安全保护的技术水平逐渐提升，个人和社会的保护意识也越来越强，但不可否认的是，目前侵犯个人信息的民事、刑事案件也呈逐年增多的态势。 2016年12月17日，公安部公布了侵犯公民个人信息犯罪十大典型案例，其中包括:北京顾某等人非法获取计算机信息系统数据案、江苏淮安 “K8社工库”侵犯公民个人信息案、四川广元侵犯公民个人信息案、山东淄博侵犯公民个人信息案等。 上述案例显示，违法行为导致的个人信息泄露数量少则几百万条，多则数亿条，这些案件的犯罪分子通过撞库、漏洞攻击等技术手段，非法获取公民个人信息。而这些信息一旦被非法获取或非法利用，则会给人们的生活带来重要影响。比如，垃圾短信、电话推销、电信诈骗、垃圾邮件、骚扰电话等让我们不胜其烦的同时，也让我们对自己的人身和财产安全感到担忧。 如何防范个人信息泄露 在法律层面，个人信息保护面临两大问。首先，我国目前尚无个人信息安全保护的专门性立法，使得个人信息安全保护缺乏法律支持。 其次，关于调查取证方面。由于互联网的虚拟性，在发生个人信息泄露时，调查取证存在技术上的障碍，使得很多违法行为无法查处。我国三大诉讼法把电子数据作为证据的一类形式加以规定，但由于网络的特性，网络违法犯罪呈科技化、隐蔽化的特点，获取电子证据从文件检索、数据恢复发展到获取QQ、微信等即时聊天记录,从单纯提取手机通讯记录发展到提取手机智能软件中数据，从单机硬盘检验发展到网络在线证据的固定提取。尤其是移动终端的普及，使手机成为储存电子数据的主要介质，手机上存储的大量信息存储在存储卡内，而存储卡内的信息一旦被删除，在技术上是很难恢复的。目前关于网络安全事件调查取证的的起草工作正在研讨阶段，该标准的出台对于网络违法犯罪的调查取证将起到一定的指导作用。 最后，关于损失鉴定方面。鉴于网络的虚拟性特征，对于非法获取或非法利用个人信息的行为所造成违法后果的价值评估也成为执法的一个难点。比如，个人的QQ账号被盗，这个账号的价值如何确定将直接影响该行为是否构成违反民事、行政或刑事法律规定，从而是否需要依法查处的问题。但QQ账号的价值却很难通过技术手段加以确认。 从技术层面看，“世界上不存在没有漏洞的系统”。应用软件或操作系统软件在上的缺陷或错误，常被不法者利用，通过网络植入木马、病毒等方式来攻击或控制整个电脑，窃取电脑中存储的信息和资料，甚至破坏系统。 在意识层面，包括政府监管部门、网络运营者、个人三方面都存在安全意识不足的问题。政府监管部门由于安全技术上的不足、职能的缺失;企业出于利益的驱动，效益最大化成本最小化的目的;个人对个人信息安全自我保护意识的淡薄，都是导致个人信息泄露的原因。 要想防范个人信息泄露，网络运营者应加强安全技术管理。信息安全管理应当遵循技管并重的原则，一方面加强对人员的安全意识教育及安全制度的建设与管理，一方面培训专业技术人员，提高技术水平，防范和减少漏洞的发生。 监管部门应增加专业技术人员或与外部的专业技术单位合作，提高执法水平，加强监管力度，通过对企业的教育和违法行为的查处，对违 法行为产生威慑力。 加强个人信息安全宣传教育。负有信息安全管理职能的部门应当采取讲座、论坛、案例教学等方法，让网民认识到个人信息的重要性，了解个人信息泄露的法律后果、目前已有的违法犯罪手段等，使自我保护意识警钟长鸣。 网民个人也要多了解个人信息安全事件及保护方法，避免多个账户一个密码，尽量不使用公共WIFI，定期清理电脑上网信息，接到诸如返税、违法信息、家人朋友出意外等电话时不要慌张，及时与家人及有关单位取得联系核实信息后再做决定。不通过电话的方式透露自己的身份证、金融卡信息，更不要通过任何方式向陌生人转账汇款等。 (作者系北京市京师律师事务所律师)