垃圾短信、骚扰电话,网络时代,个人信息安全问题日益严峻。全国“两会”期间,这一问题得到了高度重视。
3月8日,十二届全国人大一次会议在人民大会堂举行第二次全体会议,全国人大常委会委员长吴邦国在作全国人大常委会工作报告时指出,要“以法律形式保护公民个人及法人电子信息安全,确立网络身份管理制度,明确网络服务提供者的义务和责任,并赋予政府主管部门必要的监管手段”。
当前互联网个人信息安全包含哪些风险?如何“以法律形式保护公民个人及法人电子信息安全”?对此,记者采访了业内人士及专家。
个人信息安全泄露呈连锁反应
记者了解到,随着网络技术的发达,一些个人信息泄露的源头都在互联网,而且容易出现连锁反应。
去年年底,北京市海淀区人民检察院依法批准逮捕了陈某、唐某、肖某和张某4名犯罪嫌疑人,这4人涉嫌盗窃大型购物网站京东商城大量用户的账户信息。经查,陈某与肖某为初中文化程度,唐某与张某仅为小学文化程度。
据了解,2012年2月,嫌疑人陈某从其叔叔陈某某、老乡周某处获取了一个存有800多个京东商城客户账号及密码的文档,一套查看上述账户内资金情况的软件。其后,陈某开始在他位于广东省东莞市常平镇某小区的住处内,使用自己的台式电脑,利用上述软件对京东商城客户的账户进行扫描。盗刷账户内的资金,在网站上下订单购买平板电脑、黄金饰品、手机、彩票等商品。
陈某以上述手段盗窃京东商城1620余名客户账户内的资金,在京东商城网站上购买价值约10000余元的物品。
2012年3月初,嫌疑人陈某将这一存有京东商城客户用户名及密码的文档,通过QQ拷贝给嫌疑人唐某,唐某于是采取同样的方式,在其位于广东省东莞市的家中,盗刷京东商城用户账户内的资金,购买商品。唐某共盗窃了京东商城40余名客户账户内的资金,购买价值约7351元的物品。
据海淀区检察院的检察官介绍,2011年年底,嫌疑人肖某、张某就已经受雇于周某并在湖南省衡阳市的网吧,盗刷京东商城客户账户内资金,在京东商城网站上下单购买商品。
2012年3月16日,在相关部门配合下,北京市公安局海淀分局民警将4人抓获。记者了解到,上述事件与此前发生的一起互联网个人信息泄露事件存在紧密联系。
2011年12月21日,以国内最大的开发者社区CSDN.NET为主的多家互联网用户注册信息库被黑客盗取,涉及的用户资料在5000万以上,资料泄露的账号可能涉及网易邮箱、QQ邮箱、人人网、京东商城在内的多家网站,该事件被称为CSDN泄密事件。同期,天涯社区论坛4000万用户数据泄露。上述案件嫌疑人获取的京东商城客户数据,就源自于CSDN泄密事件泄露的数据库及天涯社区论坛泄露的数据库。
“由于违法成本低、收益大,互联网个人信息安全问题形势严峻。”北京师范大学法学院教授,亚太网络法律研究中心主任研究员刘德良说。
互联网个人信息安全存在漏洞
根据中国互联网络信息中心发布的《2012年中国网民信息安全状况研究报告》透露,有84.8%的网民遇到过信息安全事件,总人数为4.56亿,平均每人遇到2.4类信息安全事件。
“招聘网站可能出卖用户的履历、社区网站可能泄露用户注册信息以及聊天记录等,还有房产买卖网站也有可能向其他房地产公司或者二手房中介公司泄露个人信息,因为这些个人信息都意味着潜在的客户。”一家大型门户网站的工作人员对记者说。
据互联网业内人士介绍,房产网站转卖用户个人信息现象比较普遍,导致许多人手机中经常会收到一些推销房产的短信,频次高的时候一天甚至十几条。
“网站泄露个人信息的原因包括这样几种情况,一种是黑客攻击网站盗取用户个人信息,还有一种是网站在用户信息数据安全方面意识淡薄,没有保护好个人信息。另外,不排除个别网站有意识地利用用户信息去获得不正当的利益。最后一种情况是因为用户个人保密意识不强,比如设置的密码过于简单,导致信息遭泄露。”上述大型门户网站的工作人员对记者说。
对于盗窃个人信息的动机,上述网站工作人员认为,就是“经济利益驱使。毫不夸张地说,每一条个人信息的背后都有着潜在的商业价值。就拿那些登录房地产网站的用户来说,这些人肯定是有着购房的愿望的,现在一套房子动辄数百万元,无论对于二手房中介还是开发商来说这样的信息可能带来的利益一目了然”。
“现在在网络上,已形成了制造木马、传播木马、盗窃账户信息、第三方平台销赃洗钱这一网上黑色产业链。”刘德良说,“黑色产业链上的各个环节,分工明确、衔接紧密。从教授如何制作恶意程序或代码,恶意程序或代码的编写、制作及传播,到对特定目标的攻击、对用户信息的窃取;从对攻击目标的勒索、敲诈,到利用第三方进行洗钱、销赃,整个产业链的结构非常完整,而且产业链的各个环节都有利可图”。
一家大型杀毒软件生产企业的专业技术人员告诉记者,近年来,隐私信息逐渐成为不法分子的生财之道,并在网上大量买卖。一套隐私信息可以反复售卖,所以这种生意一本万利,诱惑性极大。
个人信息安全立法应何去何从
在吴邦国委员长明确提出了“以法律形式保护公民个人及法人电子信息安全”的观点之后,业内专家也表达了自己的看法。
“在信息时代的今天,一切个人信息都有潜在的商业价值,个人信息的商业价值应该是属于个人(独立于人格权之外)的独立财产权益;在法律上应该区分两类不同性质的个人信息,并分别采取不同的保护方法:一类是包括裸照以及与性行为、性生活、恋爱经历、不为人知的重大疾病和生理缺陷等,即我国早期立法上所称的‘阴私’,该类信息一经披露就会对主体的尊严、社会评价造成很严重的伤害。另一类是诸如家庭住址、工作单位、通信号码等可以披露或被人知悉,但不可以滥用的个人信息。”刘德良说,对于第一类,由于其兼有人格利益和财产利益的双重属性,因此,立法不仅要禁止非法买卖和滥用行为,更要禁止非法刺探、披露和传播等“泄露”行为,不仅要给予其人格权的保护,还要给予其财产权(益)的保护。对于第二类,由于其本身与人格利益没有直接的关系,其赖以产生的主要功能就在于维护正常的社会交往活动,因此,“我们可以知道并正常合理地使用它,但是不可以滥用”。
“相应地,立法规制的重点不是禁止所谓的‘泄露’行为,而是防止后续的滥用行为以及非法买卖行为。”刘德良说。
考虑到个人信息的非法利用和买卖问题在本质上首先侵害的是私人权益而非公共利益或国家利益,考虑到国家(公法)资源的有限性,刘德良建议,在观念上应该重视私人维权而非公权力的作用,主要通过民事立法而非主要动用刑法、行政法等公法手段来解决,公法手段只适用于极少数特别严重的侵权或违法行为。具体来说:
在民事立法上,应该承认个人对其个人信息商业价值的财产权益的支配权;由此,在侵权责任法上将基于商业目的非法“买卖”个人信息的行为视为一种财产侵权行为,通过立法技术为受害人提供财产损害赔偿的法律责任方式,从而降低其维权的成本,提高其维权的积极性。
再有,物权法未来修改时应该承认手机内存、邮箱空间、服务器空间等信息存储空间与现实空间权具有相同的法律地位,即确立信息存储空间是一种独立的财产权益——物权。在此基础上,像发送垃圾短信和垃圾邮件乃至电话推销行为,不仅可以被认为是侵犯人格权的行为,同时还应该被视为是一种财产侵权行为。
还有,应该修改和完善身份证法的有关规定,注重对身份证使用环节的核查、比对过程,令银行、保险机构等主体在使用身份证过程中承担严格的核查比对义务,如果未尽到核查、比对义务而导致盗用身份证,从而给身份证所有人造成损失或损害的,应该承担相应的赔偿责任。