夏天雨

摘 要：論文結合個人信息電子化的特點，指出了當前個人隱私遭受侵犯的風險，并提出了個人信息的保護措施。以“徐玉玉案”為例，首先分析了非法獲取個人信息的技術手段，其次闡述了當前有關法律對犯罪分子的懲治，最后在法律層面和道德層面提出個人信息保護的建議。

關鍵詞：大數(shù)據(jù)；個人信息保護；入侵技術；法律懲治

中圖分類號：D035.39 文獻標識碼：B

Abstract： Based on the characteristics of electronic information of personal information， this paper points out the risk of personal privacy violation， and puts forward the protection measures of personal information. Taking the "Xu Yuyu case" as an example， it first analyzes the technical means of illegally obtaining personal information， and secondly expounds the current law on the punishment of criminals， and finally puts forward the protection of personal information at the legal level and moral level.

Key words： big data； personal information protection； intrusion technology

1 引言

大數(shù)據(jù)時代，互聯(lián)網(wǎng)與社會生產(chǎn)生活深度融合，電子化個人信息也存儲在網(wǎng)絡云端，人們的衣食住行與網(wǎng)絡有著千絲萬縷的關系。公民在上網(wǎng)過程中產(chǎn)生了大量包含個人信息的電子數(shù)據(jù)，如網(wǎng)站購物信息、外賣訂餐信息、酒店預訂信息、機票改簽信息等。電子化個人信息一方面給人們的生產(chǎn)生活帶來諸多便利，另一方面也因其保護的脆弱性面臨不法分子的盜竊濫用。犯罪分子利用網(wǎng)站服務器漏洞非法竊取個人信息，并進行非法使用，對公民的人身財產(chǎn)安全帶來了極大的危害。

當前，我國還沒有制定出臺一部專門的個人信息保護法，我國對個人信息保護的法律主要體現(xiàn)在《刑法》第253、285、286、287條等[1]。此外，我國《刑法修正案（九）》對“侵犯個人信息罪”進行了修改完善，我國《網(wǎng)絡安全法》第76條對“個人信息”的概念進行了拓展[2]。但是，當前法律仍不能滿足對個人信息進行有效保護的要求，對侵犯個人信息行為的懲治力度還需提高，國家制定和出臺一部專門的個人信息保護法就顯得尤為重要。

2 個人信息電子化帶來的安全隱患

我國《網(wǎng)絡安全法》規(guī)定的個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息。具體而言，個人信息可分為兩大類，電子化的個人信息和網(wǎng)絡中特有的個人信息[3]。電子化的個人信息包括公民姓名、身份證號、手機號碼、住址、學歷信息、婚姻狀況等。網(wǎng)絡中特有的個人信息包括虛擬身份信息、網(wǎng)頁瀏覽記錄、聊天通訊記錄、網(wǎng)購消費信息、地理位置信息、機票改簽信息等。

2.1 網(wǎng)絡服務商收集的個人信息被過度利用

網(wǎng)絡服務商，簡稱為ISP，包括ICP（網(wǎng)絡內容提供商）、ASP（應用服務提供商）、IMP（網(wǎng)上媒體提供商）、OSP（在線服務提供商）等。在用戶注冊登錄網(wǎng)站、瀏覽網(wǎng)頁、支付消費、添加收藏活動中，上網(wǎng)用戶的個人信息和操作痕跡會存入網(wǎng)站后臺數(shù)據(jù)庫中。

網(wǎng)絡服務商收集的個人信息存在被過度使用的問題。例如，淘寶、京東等電商企業(yè)通過收集用戶的消費記錄、瀏覽記錄、收貨地址，將購物習慣相同的用戶進行交叉分析，對用戶的身份、職業(yè)、地理位置、購買力進行預測，從而向用戶精準定向的推送商品廣告。電商企業(yè)可以合法的收集個人信息，但是利用公民個人信息進行商業(yè)推銷活動卻侵犯了公民的個人隱私。

2.2 商業(yè)機構收集的個人信息被內部人員泄露

銀行機構在客戶辦理存取款業(yè)務過程中，收集存儲了客戶的姓名、性別、身份證號、年齡、身份、地址、存取款金額、存取時間、筆數(shù)等涉及個人信息的資料；商業(yè)保險機構在客戶投保過程中，收集了客戶的姓名、性別、健康、婚姻、財產(chǎn)、住所、家庭成員、工作經(jīng)歷等隱私信息。有些商業(yè)機構內部人員法律意識淡薄，只追求一己私利，便將公民個人信息出售，造成公民個人信息泄露。

2.3 公共管理服務部門面臨黑客入侵

公共管理服務部門在服務公眾的過程中往往收集和存儲了公民的詳細個人信息，如稅務部門收集納稅人信息，治安管理部門收集公民身份信息，教育部門收集學生學籍考試信息，醫(yī)療部門存儲著患者疾病用藥等方面隱私數(shù)據(jù)。

除此之外，人們在求職、買車、買房、辦理會員卡、掃描二維碼參加活動等過程中也會泄露個人信息。這些個人信息的泄露會給公民帶來人身騷擾、推銷詐騙等風險。

以徐玉玉案為例，山東省教育招生考試院網(wǎng)站收集和存儲著高考考生的詳細報名信息，包括姓名、性別、年齡、身份證號、家庭成員、家庭住址和聯(lián)系方式。教育網(wǎng)站因為服務器版本內核較低，存在較多安全漏洞，網(wǎng)站維護人員沒有及時更新，給黑客非法獲取網(wǎng)站后臺數(shù)據(jù)庫提供了可乘之機。

3 非法獲取個人信息的技術手段

如圖1所示，OWASP（開放式Web應用程序安全項目）公布的十大網(wǎng)站程序安全漏洞分別為注入漏洞、失效的認證和會話管理漏洞、XSS漏洞、失效的訪問控制漏洞、安全配置不當漏洞、敏感信息泄露漏洞、攻擊防護不足漏洞、CSRF漏洞、使用已知漏洞組件、未受有效保護的API漏洞[4]。

以2017年Top1 SQL注入漏洞為例，黑客在Web表單提交過程中，插入一系列非法字符，致使服務器執(zhí)行偽造SQL語句，最終獲得數(shù)據(jù)庫返回信息和網(wǎng)站后臺管理員權限，對用戶個人信息進行竊取或修改，攻擊過程如圖2所示。典型的SQL注入攻擊包括強制產(chǎn)生錯誤（收集數(shù)據(jù)庫版本信息），特殊字符注入（利用特殊字符避開輸入過濾技術）和條件語句注入。

綜上所述，SQL注入攻擊和XSS漏洞攻擊、CSRF攻擊類似，黑客通過輸入特殊的字段，使其輸入的數(shù)據(jù)變成可執(zhí)行的代碼，即惡意代碼。要防范此類攻擊就要杜絕用戶提交的參數(shù)入庫并且執(zhí)行。此外，負責網(wǎng)站安全的維護人員需要每天審計日志記錄、定期進行漏洞監(jiān)測和安裝操作系統(tǒng)補丁，增強服務器個人信息的存儲安全。

4 我國法律對非法侵犯個人信息罪的懲治

當前我國還沒有制定專門的個人信息保護法，我國對個人信息保護的法律主要體現(xiàn)在各個法律、法規(guī)以及解釋中。以“徐玉玉案”為例，犯罪嫌疑人杜某利用漏洞掃描工具發(fā)現(xiàn)“山東省2016高考網(wǎng)上報名信息系統(tǒng)”存在漏洞，于是他便利用網(wǎng)站漏洞獲取了網(wǎng)站后臺登錄權限，盜取了包括徐玉玉在內的64萬余條考生報名信息，并通過支付寶、QQ向陳某出售上述信息10萬余條，獲利14100余元。黑客杜某的行為觸犯了《刑法》第285條，情節(jié)特別嚴重，構成了侵犯公民個人信息罪。陳某通過QQ群向黑客杜某購買上萬條山東高考考生信息數(shù)據(jù)，非法獲利超過9900元，依據(jù)《關于侵犯公民個人信息刑事案件適用法律若干問題的解釋》陳某構成犯罪且情節(jié)特別嚴重。

5 結束語

當前，網(wǎng)絡個人信息泄露已成為網(wǎng)絡空間安全的嚴重威脅，治理個人信息泄露、保障網(wǎng)絡信息安全已成為推進我國信息化發(fā)展戰(zhàn)略的緊迫任務。因此，在大數(shù)據(jù)時代背景下，我們既要充分發(fā)揮電子化信息的快捷便利，又要加強行業(yè)自律監(jiān)管，推進法制建設，提升全民道德素質。

大數(shù)據(jù)和云計算的出現(xiàn)為網(wǎng)絡服務提供商大規(guī)模地收集公民個人信息提供了可能，因而收集和存儲公民個人信息的運營單位要加強行業(yè)自律，保護個人信息安全。數(shù)據(jù)運營單位要定期進行漏洞監(jiān)測，及時安裝最新補丁，認真審查系統(tǒng)日志，提高網(wǎng)絡系統(tǒng)安全水平。此外，數(shù)據(jù)運營單位要加強內部人員管理，根據(jù)數(shù)據(jù)庫內容給員工設置分級權限，提升員工責任意識和法律意識，設立追責機制，防止內部信息泄露。

網(wǎng)絡空間作為現(xiàn)實社會的延伸并不是“法外之地”。因此，國家立法機構制定出臺一部專門的個人信息保護法就顯得尤為重要。我建議法律首先明確個人信息的分類，對侵犯個人信息的犯罪量刑定義更加明確，解決當前個人信息保護法律落地難的問題，建立完整、高效、適用性強的網(wǎng)絡安全法律體系。

個人信息保護需要全社會的共同努力，要不斷提高公民道德素養(yǎng)，加強網(wǎng)絡安全知識宣傳教育?？梢栽谛@、社區(qū)開展知識競賽、宣傳畫報展覽活動，舉辦專題講座，同時通過微博、微信新媒體進行全方位宣傳，共同營造清朗的網(wǎng)絡空間。

參考文獻

[1] 中華人民共和國刑法[M].北京：中國法制出版社，2015.

[2] 中華人民共和國網(wǎng)絡安全法[M].北京：中國法制出版社，2017.

[3] 俞信吉.網(wǎng)絡環(huán)境下個人信息概念厘定[OL].中國法院網(wǎng)，https：//www.chinacourt.org/article/detail/2010/08/id/424704.shtml，2010-08-25.

[4] OWASP.OWASP Top 10-2017. Open Web Application Security.Project.[OL].http：//www.owasp.org.cn，2017.