1、“CSDN(微博)泄密门”引发的思考李洁日前,曾轰动互联网的“CSDN 网站用户信息泄露案”历时40 多天的侦查终于告破。CSDN 泄密门事件以及后续的当当被劫事件,使我国网络个人信息保护缺失问题再次浮上水面,引起人们广泛的关注。据中国互联网络信息中心最新统计数据显示,截至2011年12 月底,中国网民规模达到 5.13亿,互联网普及率达到38.3%,手机网民规模达到3.56亿。完善网络法律制度,究竟应从哪些角度入手,法学界众说纷纭。笔者结合几乎让互联网裸奔的“CSDN(微博)泄密门”事件的过程,从强化网络运营商的责任的角度提出些许浅薄之见。案情回顾及分析简要回顾一下大范围密码泄漏事件的过程可
2、以发现,从入侵者发起攻击,到获得经济效益,大致可以分为3个步骤:(1) 拖库:把目标系统的用户数据库导入或者下载到本地; (2)洗库:对数据库进行层层利用,获取经济利益;(3)撞库:以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名及密码),尝试登录其他目标网站。以下是一个“拖库洗库撞库” 的示意流程图:因此, 我国个人信息泄露情况原因大致归纳为如下两大类: 一是擅自披露或擅自提供个人信息。有关机构未获法律授权、未经本人许可或者超出必要限度披露他人个人信息,或在未经法律授权或者本人同意的情况下, 将所掌握的个人信息提供给其他机构。银行、保险公司、航空公司等机构之间未经客户授权或者超出
3、授权范围共享客户信息,也很常见。二是通过技术手段窃取个人信息,通过该种方式获取个人信息的,要求用户进行防范客观上无法实现,只能从强化运营商责任的角度入手进行技术防范。我国网络信息保护法律制度的立法沿革及不足1994年,我国颁布了第一部计算机安全法规中华人民共和国计算机信息系统安全保护条例 。随后又颁布了中国人民共和国计算机信息网络国际联网管理暂行规定 、 计算机信息网络国际联网安全保护管理办法 。2000年12月28日,全国人大通过了 关于维护互联网安全的决定 。2002年先后出台了计算机信息系统国际联网保密管理规定 、 互联网信息内容服务管理办法等一系列部门规章。我国刑法修正案(七) 中明确
4、规定了出售公民个人信息、非法提供公民个人信息以及非法获取公民个人信息3项罪名,但刑法作为惩罚性最为严重的法律规范,只有在发生一定严重后果后才可启用,百姓不可能在日常生活中依据其来捍卫自己的信息保密权。就保护网站用户个人信息安全而言,刑法修正案(七) 、侵权责任法乃至居民身份证法等相关内容均有涉及,但相关规定条款过于分散,可操作性差,对于如“个人信息”、 “违反规定” 等关键概念界定不清,在执法过程中,财大气粗的运营商往往有较强的影响力,易形成现实的执法困境。即便发生信息泄露,用户个人在追究运营商民事责任的时候,也存在举证难等问题,诉讼成本高、收益低,当事人很难依法维权。 早在2003年,国务院
5、信息化工作办公室就委托中国社科院法学研究所个人数据保护法研究课题组承担“个人数据保护法 ”比较研究课题及草拟一份专家建议稿。经过近两年的工作,最终形成了近8 万字的“中华人民共和国个人信息保护法(专家建议稿)及立法研究报告”,但时至今日却仍未正式进入国家立法程序。2012年3月9日,吴邦国委员长在十一届全国人大五次会议第三次全体会议向大会报告工作时,首提“完善网络法律制度 ”,个人信息安全有望得到立法保护。外国保护个人信息的立法经验总结在美国, 美国宪法修正案第四修正案强调对公民隐私权的保护。用户存储与计算机硬件上的数码个人信息和通过网络传播的信息如电子邮件等相应地都受到保护。除美国国会197
6、4年通过的隐私权法 ,1986年颁布的电子通讯隐私法 ,2000 年通过的儿童网络隐私保护法外,美国各州还制定了一些保护本州公民隐私的细化法律。在德国,早在1970年德国黑森州就颁布了德国首部地方性数据保护法 ,从而在全球开辟了一个新的立法领域。1984年的英国议会通过了数据保护法 ,并于1998年对该法进行修订。此后,英国陆续通过了调查权法 、 通信管理条例和通信数据保护指导原则等一系列旨在保护公民个人信息的法律。此外,英国贸工部和计算机协会还制定了专门的信息安全认证计划,得到了全球主要软件商的承认。2005年4月生效的个人信息保护法是日本保护个人信息安全的根本法律。根据这一法律,日本国家行
7、政机关、独立行政法人和地方公共团体还制定了多项法律和条例,为个人信息保护中遇到的各种具体问题提供法律依据。完善网络信息保护法律制度的建议以强化网络运营商的责任为视角如何从民事、行政、刑事三方面入手完善我国立法和相应规章制度,建立标准化体系?笔者建议在现有法律规定之外,从强化网络运营商的责任入手进一步完善我国立法和相应规章制度,以保障用户的民事权益,同时完善相应的行政、刑事法律制度。笔者提出如下几点具体建议:(一)承担民事过错责任前提网络运营商的责任落实。美国联邦贸易委员会(FTC)联邦贸易委员会针对社交游戏网站 RockYou 发起的诉讼,虽然 RockYou 网络系遭到黑客入侵导致用户资料外
8、泄,但该公司最终支付了罚款,同时做出其它一些让步。而“账号被盗门”事件中,当当网客服最初给出的解决方法是建议客户自行报警,自己承担损失。与之类似,数日前京东商城多名消费者账户被盗,该网站客服同样以“ 自己报警处理” 的方案搪塞投诉者。我国民事诉讼实行的是“谁主张,谁举证” ,如果确定具体侵权人,用户当然可以依据民法通则 、侵权责任法等相关法律法规主张侵权人承担侵权责任,而找不出具体明确的侵权人时,建议从完善网络运营商的责任入手维护用户的合法权益。具体包括:1做好事先预防工作。英语里有个“due care”,这个词很好,应该对网络运营商讲清楚,什么是你的职责,你必须尽职尽责。国家应通过立法强制信
9、息系统所有者或管理者必须加强信息安全建设,通过国家相关机构对其信息系统进行评级、评估、建设,达到一定的安全等级后方能进行运营。网络运营商要接受审查,且在发生事故后应负有举证责任,提供日志证明自己是尽责的,否则需承担民事损害赔偿责任。同时,分别针对政府机关、金融机构、公司、运营商等社会各主体细化全面的信息安全防护法律法规,明确其责任义务,作出从设备到人、从硬件到软件的详细细则规定。2安全警示义务和强制报案制度。一旦发生网络安全事件,网络运营商应尽快向用户发出警示,提醒用户及时更改高安全级别密码,阻止事态的快速蔓延。同时,网络运营商必须在一定时间内向有关机构报告,如果事件重大而不履行报告义务,则应
10、承担相应法律责任。3完善相关法规,明确网络运营商在保护互联网个人信息方面的责任。具体包括:针对存储公众信息的任何信息系统,必须加强信息安全建设,保障用户信息的保密性、完整性、不可否认性;强制信息系统所有者或发布者采取必要的安全手段进行防护;强制用户信息如用户名、密码必须加密存储,且加密算法要达到一定的强度;互联网运营商数据中心应对利用自身资源在互联网发布的信息系统的内容实行审查,如发现该信息系统会存储公众信息,则应强制其完善该信息系统的安全;完善信息安全事故应急响应机制和事后追责机制等。如网络运营商未履行上述义务,则应承担损害赔偿责任。(二)完善落实网络信息安全等级保护管理以及行政处罚制度。2
11、012年3月21日,CSDN 方面发布声明,称 CSDN 再次承诺吸取相关教训,落实国家关于网络信息安全等级保护管理的有关规定,加大网络安全的监管与防范力度,并与业界加强合作,提升整个互联网产业的安全意识及技术水平。这说明网络信息安全等级保护管理存在漏洞。目前针对信息安全等级保护,只有公安部下发过关于信息安全等级保护备案实施细则、检查工作规范等系列文件,但将“信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益”以及“信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全”的信息列为
12、安全保护等级的第一级和第二级,国家信息安全监管部门至多是对该级信息系统信息安全等级保护工作进行指导,而不负责监督、检查,没有每年进行自查和等级测评的强制要求,即在范围和层级存在一定的局限性,在运营、使用单位不作为的情况下,难以行使有效的监管。因此,应当进一步完善落实网络信息安全等级保护管理制度以及相应的行政处罚制度。(三)尽快出台刑法司法解释。 刑法修正案(七) 确定了“ 出售、非法提供公民个人信息罪”、 “非法获取公民个人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴,规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。但刑法未明确该罪的具体界定标准,譬如犯罪主体,除“国家机关或者金融、
13、电信、交通、教育、医疗等单位”外,还存在着互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位。 刑法修正案中还规定, “窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。 ”,而对情节严重未进行界定。2012年3月,江苏警方抓获了一名通过网络收集公民信息并出售牟利的“80 后”大学生甄某。但未被检察机关正式批捕,原因就是证据、犯罪主体等认定等方面遇到障碍。结 语上文主要从法律的角度探讨了我国网络信息得不到有效保护的原因是相关法律法规不健全、条款过于分散、可操作性差、有关概念界定不清等,在此基础上提出了法律完善的建议。然而,从根源上来讲,现在网络个人信息得不到有效保护的原因是个人利益与公共利益之间存在冲突,我们过多的追求了对公共利益的维护。所以,在现有立法环境下,我们在对法律体系进行完善时,也不应过于强调对个人利益的保障,而应在两者之间寻求化解矛盾的最佳方式,即努力探索平衡法的价值的方法。这也是最终构建一个保障网络安全的完善的法律体系的难点之处,也是需要我们在以后的工作中应及时解决的问题。 (作者系山东德衡律师事务所合伙人、争议解决二部主任)
