夏天雨

摘 要：論文結(jié)合個(gè)人信息電子化的特點(diǎn)，指出了當(dāng)前個(gè)人隱私遭受侵犯的風(fēng)險(xiǎn)，并提出了個(gè)人信息的保護(hù)措施。以“徐玉玉案”為例，首先分析了非法獲取個(gè)人信息的技術(shù)手段，其次闡述了當(dāng)前有關(guān)法律對(duì)犯罪分子的懲治，最后在法律層面和道德層面提出個(gè)人信息保護(hù)的建議。

關(guān)鍵詞：大數(shù)據(jù)；個(gè)人信息保護(hù)；入侵技術(shù)；法律懲治

中圖分類號(hào)：D035.39 文獻(xiàn)標(biāo)識(shí)碼：B

Abstract： Based on the characteristics of electronic information of personal information， this paper points out the risk of personal privacy violation， and puts forward the protection measures of personal information. Taking the "Xu Yuyu case" as an example， it first analyzes the technical means of illegally obtaining personal information， and secondly expounds the current law on the punishment of criminals， and finally puts forward the protection of personal information at the legal level and moral level.

Key words： big data； personal information protection； intrusion technology

1 引言

大數(shù)據(jù)時(shí)代，互聯(lián)網(wǎng)與社會(huì)生產(chǎn)生活深度融合，電子化個(gè)人信息也存儲(chǔ)在網(wǎng)絡(luò)云端，人們的衣食住行與網(wǎng)絡(luò)有著千絲萬縷的關(guān)系。公民在上網(wǎng)過程中產(chǎn)生了大量包含個(gè)人信息的電子數(shù)據(jù)，如網(wǎng)站購(gòu)物信息、外賣訂餐信息、酒店預(yù)訂信息、機(jī)票改簽信息等。電子化個(gè)人信息一方面給人們的生產(chǎn)生活帶來諸多便利，另一方面也因其保護(hù)的脆弱性面臨不法分子的盜竊濫用。犯罪分子利用網(wǎng)站服務(wù)器漏洞非法竊取個(gè)人信息，并進(jìn)行非法使用，對(duì)公民的人身財(cái)產(chǎn)安全帶來了極大的危害。

當(dāng)前，我國(guó)還沒有制定出臺(tái)一部專門的個(gè)人信息保護(hù)法，我國(guó)對(duì)個(gè)人信息保護(hù)的法律主要體現(xiàn)在《刑法》第253、285、286、287條等[1]。此外，我國(guó)《刑法修正案（九）》對(duì)“侵犯?jìng)€(gè)人信息罪”進(jìn)行了修改完善，我國(guó)《網(wǎng)絡(luò)安全法》第76條對(duì)“個(gè)人信息”的概念進(jìn)行了拓展[2]。但是，當(dāng)前法律仍不能滿足對(duì)個(gè)人信息進(jìn)行有效保護(hù)的要求，對(duì)侵犯?jìng)€(gè)人信息行為的懲治力度還需提高，國(guó)家制定和出臺(tái)一部專門的個(gè)人信息保護(hù)法就顯得尤為重要。

2 個(gè)人信息電子化帶來的安全隱患

我國(guó)《網(wǎng)絡(luò)安全法》規(guī)定的個(gè)人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息。具體而言，個(gè)人信息可分為兩大類，電子化的個(gè)人信息和網(wǎng)絡(luò)中特有的個(gè)人信息[3]。電子化的個(gè)人信息包括公民姓名、身份證號(hào)、手機(jī)號(hào)碼、住址、學(xué)歷信息、婚姻狀況等。網(wǎng)絡(luò)中特有的個(gè)人信息包括虛擬身份信息、網(wǎng)頁瀏覽記錄、聊天通訊記錄、網(wǎng)購(gòu)消費(fèi)信息、地理位置信息、機(jī)票改簽信息等。

2.1 網(wǎng)絡(luò)服務(wù)商收集的個(gè)人信息被過度利用

網(wǎng)絡(luò)服務(wù)商，簡(jiǎn)稱為ISP，包括ICP（網(wǎng)絡(luò)內(nèi)容提供商）、ASP（應(yīng)用服務(wù)提供商）、IMP（網(wǎng)上媒體提供商）、OSP（在線服務(wù)提供商）等。在用戶注冊(cè)登錄網(wǎng)站、瀏覽網(wǎng)頁、支付消費(fèi)、添加收藏活動(dòng)中，上網(wǎng)用戶的個(gè)人信息和操作痕跡會(huì)存入網(wǎng)站后臺(tái)數(shù)據(jù)庫(kù)中。

網(wǎng)絡(luò)服務(wù)商收集的個(gè)人信息存在被過度使用的問題。例如，淘寶、京東等電商企業(yè)通過收集用戶的消費(fèi)記錄、瀏覽記錄、收貨地址，將購(gòu)物習(xí)慣相同的用戶進(jìn)行交叉分析，對(duì)用戶的身份、職業(yè)、地理位置、購(gòu)買力進(jìn)行預(yù)測(cè)，從而向用戶精準(zhǔn)定向的推送商品廣告。電商企業(yè)可以合法的收集個(gè)人信息，但是利用公民個(gè)人信息進(jìn)行商業(yè)推銷活動(dòng)卻侵犯了公民的個(gè)人隱私。

2.2 商業(yè)機(jī)構(gòu)收集的個(gè)人信息被內(nèi)部人員泄露

銀行機(jī)構(gòu)在客戶辦理存取款業(yè)務(wù)過程中，收集存儲(chǔ)了客戶的姓名、性別、身份證號(hào)、年齡、身份、地址、存取款金額、存取時(shí)間、筆數(shù)等涉及個(gè)人信息的資料；商業(yè)保險(xiǎn)機(jī)構(gòu)在客戶投保過程中，收集了客戶的姓名、性別、健康、婚姻、財(cái)產(chǎn)、住所、家庭成員、工作經(jīng)歷等隱私信息。有些商業(yè)機(jī)構(gòu)內(nèi)部人員法律意識(shí)淡薄，只追求一己私利，便將公民個(gè)人信息出售，造成公民個(gè)人信息泄露。

2.3 公共管理服務(wù)部門面臨黑客入侵

公共管理服務(wù)部門在服務(wù)公眾的過程中往往收集和存儲(chǔ)了公民的詳細(xì)個(gè)人信息，如稅務(wù)部門收集納稅人信息，治安管理部門收集公民身份信息，教育部門收集學(xué)生學(xué)籍考試信息，醫(yī)療部門存儲(chǔ)著患者疾病用藥等方面隱私數(shù)據(jù)。

除此之外，人們?cè)谇舐?、買車、買房、辦理會(huì)員卡、掃描二維碼參加活動(dòng)等過程中也會(huì)泄露個(gè)人信息。這些個(gè)人信息的泄露會(huì)給公民帶來人身騷擾、推銷詐騙等風(fēng)險(xiǎn)。

以徐玉玉案為例，山東省教育招生考試院網(wǎng)站收集和存儲(chǔ)著高考考生的詳細(xì)報(bào)名信息，包括姓名、性別、年齡、身份證號(hào)、家庭成員、家庭住址和聯(lián)系方式。教育網(wǎng)站因?yàn)榉?wù)器版本內(nèi)核較低，存在較多安全漏洞，網(wǎng)站維護(hù)人員沒有及時(shí)更新，給黑客非法獲取網(wǎng)站后臺(tái)數(shù)據(jù)庫(kù)提供了可乘之機(jī)。

3 非法獲取個(gè)人信息的技術(shù)手段

如圖1所示，OWASP（開放式Web應(yīng)用程序安全項(xiàng)目）公布的十大網(wǎng)站程序安全漏洞分別為注入漏洞、失效的認(rèn)證和會(huì)話管理漏洞、XSS漏洞、失效的訪問控制漏洞、安全配置不當(dāng)漏洞、敏感信息泄露漏洞、攻擊防護(hù)不足漏洞、CSRF漏洞、使用已知漏洞組件、未受有效保護(hù)的API漏洞[4]。

以2017年Top1 SQL注入漏洞為例，黑客在Web表單提交過程中，插入一系列非法字符，致使服務(wù)器執(zhí)行偽造SQL語句，最終獲得數(shù)據(jù)庫(kù)返回信息和網(wǎng)站后臺(tái)管理員權(quán)限，對(duì)用戶個(gè)人信息進(jìn)行竊取或修改，攻擊過程如圖2所示。典型的SQL注入攻擊包括強(qiáng)制產(chǎn)生錯(cuò)誤（收集數(shù)據(jù)庫(kù)版本信息），特殊字符注入（利用特殊字符避開輸入過濾技術(shù)）和條件語句注入。

綜上所述，SQL注入攻擊和XSS漏洞攻擊、CSRF攻擊類似，黑客通過輸入特殊的字段，使其輸入的數(shù)據(jù)變成可執(zhí)行的代碼，即惡意代碼。要防范此類攻擊就要杜絕用戶提交的參數(shù)入庫(kù)并且執(zhí)行。此外，負(fù)責(zé)網(wǎng)站安全的維護(hù)人員需要每天審計(jì)日志記錄、定期進(jìn)行漏洞監(jiān)測(cè)和安裝操作系統(tǒng)補(bǔ)丁，增強(qiáng)服務(wù)器個(gè)人信息的存儲(chǔ)安全。

4 我國(guó)法律對(duì)非法侵犯?jìng)€(gè)人信息罪的懲治

當(dāng)前我國(guó)還沒有制定專門的個(gè)人信息保護(hù)法，我國(guó)對(duì)個(gè)人信息保護(hù)的法律主要體現(xiàn)在各個(gè)法律、法規(guī)以及解釋中。以“徐玉玉案”為例，犯罪嫌疑人杜某利用漏洞掃描工具發(fā)現(xiàn)“山東省2016高考網(wǎng)上報(bào)名信息系統(tǒng)”存在漏洞，于是他便利用網(wǎng)站漏洞獲取了網(wǎng)站后臺(tái)登錄權(quán)限，盜取了包括徐玉玉在內(nèi)的64萬余條考生報(bào)名信息，并通過支付寶、QQ向陳某出售上述信息10萬余條，獲利14100余元。黑客杜某的行為觸犯了《刑法》第285條，情節(jié)特別嚴(yán)重，構(gòu)成了侵犯公民個(gè)人信息罪。陳某通過QQ群向黑客杜某購(gòu)買上萬條山東高考考生信息數(shù)據(jù)，非法獲利超過9900元，依據(jù)《關(guān)于侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》陳某構(gòu)成犯罪且情節(jié)特別嚴(yán)重。

5 結(jié)束語

當(dāng)前，網(wǎng)絡(luò)個(gè)人信息泄露已成為網(wǎng)絡(luò)空間安全的嚴(yán)重威脅，治理個(gè)人信息泄露、保障網(wǎng)絡(luò)信息安全已成為推進(jìn)我國(guó)信息化發(fā)展戰(zhàn)略的緊迫任務(wù)。因此，在大數(shù)據(jù)時(shí)代背景下，我們既要充分發(fā)揮電子化信息的快捷便利，又要加強(qiáng)行業(yè)自律監(jiān)管，推進(jìn)法制建設(shè)，提升全民道德素質(zhì)。

大數(shù)據(jù)和云計(jì)算的出現(xiàn)為網(wǎng)絡(luò)服務(wù)提供商大規(guī)模地收集公民個(gè)人信息提供了可能，因而收集和存儲(chǔ)公民個(gè)人信息的運(yùn)營(yíng)單位要加強(qiáng)行業(yè)自律，保護(hù)個(gè)人信息安全。數(shù)據(jù)運(yùn)營(yíng)單位要定期進(jìn)行漏洞監(jiān)測(cè)，及時(shí)安裝最新補(bǔ)丁，認(rèn)真審查系統(tǒng)日志，提高網(wǎng)絡(luò)系統(tǒng)安全水平。此外，數(shù)據(jù)運(yùn)營(yíng)單位要加強(qiáng)內(nèi)部人員管理，根據(jù)數(shù)據(jù)庫(kù)內(nèi)容給員工設(shè)置分級(jí)權(quán)限，提升員工責(zé)任意識(shí)和法律意識(shí)，設(shè)立追責(zé)機(jī)制，防止內(nèi)部信息泄露。

網(wǎng)絡(luò)空間作為現(xiàn)實(shí)社會(huì)的延伸并不是“法外之地”。因此，國(guó)家立法機(jī)構(gòu)制定出臺(tái)一部專門的個(gè)人信息保護(hù)法就顯得尤為重要。我建議法律首先明確個(gè)人信息的分類，對(duì)侵犯?jìng)€(gè)人信息的犯罪量刑定義更加明確，解決當(dāng)前個(gè)人信息保護(hù)法律落地難的問題，建立完整、高效、適用性強(qiáng)的網(wǎng)絡(luò)安全法律體系。

個(gè)人信息保護(hù)需要全社會(huì)的共同努力，要不斷提高公民道德素養(yǎng)，加強(qiáng)網(wǎng)絡(luò)安全知識(shí)宣傳教育?？梢栽谛@、社區(qū)開展知識(shí)競(jìng)賽、宣傳畫報(bào)展覽活動(dòng)，舉辦專題講座，同時(shí)通過微博、微信新媒體進(jìn)行全方位宣傳，共同營(yíng)造清朗的網(wǎng)絡(luò)空間。

參考文獻(xiàn)

[1] 中華人民共和國(guó)刑法[M].北京：中國(guó)法制出版社，2015.

[2] 中華人民共和國(guó)網(wǎng)絡(luò)安全法[M].北京：中國(guó)法制出版社，2017.

[3] 俞信吉.網(wǎng)絡(luò)環(huán)境下個(gè)人信息概念厘定[OL].中國(guó)法院網(wǎng)，https：//www.chinacourt.org/article/detail/2010/08/id/424704.shtml，2010-08-25.

[4] OWASP.OWASP Top 10-2017. Open Web Application Security.Project.[OL].http：//www.owasp.org.cn，2017.