个人信息盗窃的技术路径与法律规制问题研究

何培育，蒋启蒙

(重庆理工大学知识产权学院，重庆 400054)

当前，“大数据”正裹挟着社会公众的疑惑与期待以排山倒海之势扑面而来，普通民众猛然发现自己生活的方方面面已经被悄然纳入到“大数据”的范畴之内，个人行为的蛛丝马迹在“大数据”放大镜的观照下显得无比清晰明了［1］。在享受大数据带来的便利的同时，其尾随而来的阴影不应被忽视。为了从个人信息中攫取不法收益，不法分子纷纷利用五花八门的信息盗窃技术对个人信息进行收集、窃取，对个人信息安全造成严重破坏并引发一系列的社会问题。

一、个人信息盗窃的技术路径分析

按照个人信息盗窃技术运用的特点不同，可以把个人信息盗窃技术分为黑客攻击技术与社会工程攻击技术。

(一)黑客攻击技术

1.针对智能手机的个人信息盗窃技术

随着智能手机的普及，个人信息泄露与盗窃的事件早已屡见不鲜。以手机恶意代码、恶意扣费、恶意捆绑插件等为代表的手机个人信息盗窃技术盛行于智能手机终端领域，更有通过WIFI钓鱼等新颖的个人信息盗窃技术来窃取手机中的个人信息。

(1)恶意扣费:恶意扣费产生的原因大多数情况下是因为手机中存在恶意代码或者恶意扣费软件，它们会对手机中的话费、流量进行恶意消耗。恶意扣费主要分为两种模式:①强制性地连接互联网造成手机用户在不知不觉中消耗大量的流量;②直接恶意扣费，造成手机用户话费的损失。

(2)恶意捆绑:不法分子将一些手机木马程序、恶意软件捆绑在正常软件之中，放入手机应用商店供用户下载，或者直接捆绑在手机的预装的软件之中。用户使用正常软件时，木马程序或者恶意软件同时会在后台自动运行并实施扣费或盗窃手机短信、照片、通讯录等用户个人隐私信息的行为。

(3)路由器入侵与WIFI钓鱼:针对一些喜欢蹭网的手机用户，黑客常在公共场所利用简单的终端设备架设免费的WIFI引诱用户连接，在手机用户上网的过程中对其行为进行记录，并从记录中获取包括账号密码在内的个人信息。而对于路由器的安全问题，很多用户都没有引起足够的重视，常常不设置密码或者设置简单密码，同时路由器本身可能存在漏洞，只要通过简单的操作便会获得该路由器关联设备里的信息，该方法是黑客盗取个人信息的重要途径。

2.针对计算机与互联网资源的个人信息盗窃技术

针对计算机与互联网资源是个人信息盗窃的主要途径，常见的黑客技术主要有木马病毒技术、远程控制后门技术以及服务器入侵技术等。

(1)木马病毒技术

木马病毒技术是一种针对某一特定数据信息进行专门获取的恶意程序。当目标主机被植入盗号木马后会在后台自动运行，监听键盘记录或者对屏幕进行截取，从而获取账号密码，然后把这些信息发送至攻击者指定的邮箱之中。利用木马窃取方法所获取的资源一般是某一类特定的个人敏感信息，一旦窃取者获取了这类敏感信息，就可能直接对受害者的真实财产、虚拟财产造成严重的损失。

(2)远程控制后门技术

远程控制后门技术是黑客常用的攻击技术手段。远程控制后门程序一般分为控制端与服务端。该技术首先向目标主机植入并安装服务端，再通过控制端对目标主机进行控制，可以进行屏幕监控、视频监控、键盘记录、文件管理、系统信息查看、进程管理等一系列的非法活动，甚至还可以控制目标主机进行DDOS、CC攻击网站等操作。通过远程控制与后门技术可以实现一对一或者一对多的控制目的，进而形成僵尸网络，被控制的主机将任由控制方摆布，同时所有的个人信息与用户操作行为都会暴露在控制方的视野下。

(3)服务器入侵技术

服务器入侵技术是针对网站的服务器或公司的内部网络系统进行攻击从而获取其中资源的黑客技术。一般情况下不法分子利用网站服务器的漏洞、弱口令等进行“黑站”或者直接对服务器中包含敏感信息的数据库进行攻击，再植入后门程序获得服务器控制权。一旦网站的服务器被黑客入侵，数据库中保存的无数个人信息会被泄露，公司的商业秘密乃至核心机密都会被盗取。近年来也发生过多起服务器入侵导致的个人信息泄露事件，如2013年5月，雅虎日本网站管理系统遭到入侵，2200万用户ID 疑遭泄露［2］;2014年，中国携程网曝出由于系统漏洞受到攻击造成用户姓名、身份证号、银行卡卡号、银行卡CVV码等遭到大量泄露［3］。

(二)社会工程攻击技术

在数据盗窃领域，社会工程行为是指通过欺骗、欺诈、威胁、恐吓甚至实施物理上的盗窃等手段非法获取他人信息的方法与手段［4］。多数情况下，运用社会工程攻击技术的攻击者与受害者不会有面对面的接触，因此对于黑客技术来说社会工程更偏向是一种带有欺骗性质的技术。它利用受害者的心理弱点或者本能反应，如通过好奇心、贪婪心而采取的欺骗、伤害等手段，获取个人信息并从中谋利。目前，网络上最常见的社会工程攻击方式表现为不法分子虚构一种场景或者伪装身份，对目标进行劝说并诱使其主动泄露个人信息。网络钓鱼、电子邮件伪造攻击、诱骗点击恶意挂马网页等方法均属于典型的伪装欺骗社会工程攻击技术。

二、个人信息盗窃法律规制的问题剖析

在大数据时代的背景下个人信息盗窃行为越发猖獗，而我国现行立法在防范个人信息盗窃行为方面的滞后性也越发凸显。

第一，现行立法尚未明确界定个人信息的内涵。全国人大常委会《关于加强网络信息保护的决定》(2012)中规定，国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。国家工信部颁布的《信息安全技术公共及商用服务信息系统个人信息保护指南》(2013)以及《电信和互联网用户个人信息保护规定》(2013)中有关于个人信息的概念界定，①《信息安全技术公共及商用服务信息系统个人信息保护指南》(2013)中规定:个人信息是指可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。《电信和互联网用户个人信息保护规定》(2013)第四条规定:本规定所称用户个人信息，是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。但是现行的更高位阶的法律对个人信息概念的界定则付之阙如，造成司法实践中的诸多不便。

第二，个人信息保护法律基本原则的缺失。基本原则对于个人信息保护有着至关重要的作用，它能够构建大数据复杂环境下的个人信息保护框架，明确勾勒出个人信息使用的合法与违法的边界线。许多国家的法律都明确规定了基本原则，如英国《资料法》;许多国际组织立法时甚至仅仅规定“基本原则”，并将法律基本原则作为保护个人信息的主要依据，这从一方面也体现出了法律基本原则对于个人信息保护的重要性［5］。

第三，未明确信息主体和信息管理者的权利义务。个人信息法律关系的内核是法律关系的主体与内容。从主体上来看，分为权利主体与义务主体。权利主体主要是指信息主体，而义务主体是指收集、处理和利用个人信息的处理者［6］。现行法律尚未对权利主体的具体权利内容以及义务主体的义务边界进行明确划分，由此导致个人信息收集与个人信息使用行为合法性的判断往往存在一定争议。

第四，个人信息盗窃法律责任制度不健全。依照现行法律，个人信息盗窃行为人主要承担民事责任与刑事责任。民事责任方面，当个人信息受到侵害时，依照传统的举证责任分配方式，信息权人需要对信息实际控制人的过错承担证明责任，然而数据盗窃通常是通过一定的技术手段实现的，具有隐蔽性，不易被察觉，因而信息权人常常因为举证不能而面临败诉的境地。刑事责任方面，我国现行《刑法》第二百五十三条做出了有关泄露个人信息犯罪的规定，但该规定存在犯罪主体类别过窄、犯罪行为方式范围狭隘以及未明确“情节严重”具体程度等问题，在司法实践中很难有效适用［7］。

三、个人信息盗窃行为法律规制的立法完善

通过分析我国现行个人信息保护立法状况，笔者认为针对个人信息盗窃行为法律规制的立法完善应当从多方面展开。

(一)完善现行立法的相关内容

在民法立法层面，首先应当明确个人信息的概念。笔者建议我国个人信息保护立法采取识别型定义和混合型定义相结合的立法模式，即任何识别或可得以识别自然人(信息主体)的任何信息，包括但不限于个人的姓名、性别、年龄、血型 、健康状况、身高、人种、地址、头衔、职业、学位、生日、特征等信息。其次，应当明确个人信息权的性质，将个人信息权明确列入人格权保护范围，廓清信息权人的权利内容与义务主体的义务边界。借鉴现有国外立法和国际公约的有关规定，个人信息权应当包含信息收集知情权、信息收集选择权、信息控制权与信息安全妨害排除请求权等内容［8］。另外，对个人信息保护义务主体首先要进行资格限制，要对国家机关与非国家机关个人信息收集权限加以分别规范;其次，要对义务主体的信息收集行为进行目的限制，只有在目的合法的情况下才允许收集个人信息;再次，明确义务主体的安全保障义务，义务主体应当采取一系列的技术措施与制度规范防止信息泄露。

在刑事立法层面，一是要扩大犯罪主体的范围。建议将一般的具有刑事责任能力的自然人纳入其中，打破主体仅为国家机关或者金融、电信、交通、教育、医疗等单位工作人员的局限性。二是对“情节严重”的标准做出明确的细则规定，从不同方面来对情节是否严重进行衡量。三是区别对待主观过错不同的犯罪，加重对于主观恶意明显、累犯的处罚力度。

(二)制定个人信息保护的专门法——《个人信息保护法》

制定专门的《个人信息保护法》将有利于明确信息主体的法定权利以及侵犯个人信息安全行为的不利法律后果，有助于构建全面的个人信息保护法律体系。具体而言，《个人信息保护法》应重点明确以下内容:

1.明确个人信息保护的范围。应构建以人格权为基础的符合我国法制体系的个人信息权利，从法律层面具体划分出个人信息的类型并明确规定对其使用方式、使用程度的限制。

2.确立个人信息保护法的基本原则。个人信息保护法的基本原则内容丰富，但笔者认为主要体现为以下三项:(1)目的明确原则:具体包含特定目的、明确目的与目的正当三方面的内容;(2)知情同意原则:公民的个人信息在被收集和使用时应享有知情权和选择权;(3)保障信息安全原则:信息收集、管理主体对掌握的公民个人信息要予以保护，以有效的技术手段或制度手段防范个人信息泄露或落入不法分子手中。

3.完善个人信息保护的救济手段。明确规定各种个人信息侵权行为应承担的法律责任和信息主体权利受到侵害时的救济途径。当个人信息盗窃行为发生时，信息主体有权要求加害人停止侵害、赔礼道歉、消除影响，对造成的财产与精神损害予以赔偿。另外，对于恶意实施个人信息盗窃的，笔者建议增加惩罚性赔偿的规定，加大对个人信息盗窃行为的威慑效力。

(三)加强个人信息安全的行政监督执法

目前我国对于个人信息安全行政监管不力是一个非常突出的问题。从监管主体来看，应当明确工业和信息化部作为全国个人信息保护的行政监管与执行机构，其他相关部门要对工业和信息化部的监管职能予以积极配合。从监管规范上来看，应当不断完善政府机关、企事业单位收集、使用个人信息的标准体系，使行政监管有据可查，建议将《信息安全技术公共及商用服务信息系统个人信息保护指南》结合不同行业领域的情况加以完善并作为强制性的指导规范。从监管效力上看，应当赋予监管主体一定的行政处罚权，当发现相关政府部门、企事业单位在收集、分析、使用个人信息的过程中存在违法行为的，有权对其实施行政处罚，行政处罚的认定结果应当与社会征信系统相连接，加大对侵犯个人信息违法行为的遏制力度。

［1］黄欣荣.大数据时代的思维变革［J］.重庆理工大学学报:社会科学，2014(5):13.

［2］羽箭.雅虎日本2200万用户ID疑遭泄漏［EB/OL］.［2013-05-18］.http://finance.sina.com.cn/world/20130518/025915506433.shtml

［3］王凯蕾，华晔迪.携程泄漏客户信息引担忧［EB/OL］.［2014-03-25］.http://news.163.com/14/0325/07/9O5RBMMM00014AED.html

［4］［美］Christopher Hadnagy.社会工程:安全体系中的人性漏洞［M］.陆道宏，杜鹃，译.北京:人民邮电出版社，2013:13.

［5］何培育.电子商务环境下个人信息安全危机与法律保护对策解析［J］.河北法学，2014(8):34-40.

［6］齐爱民.私法视野下的信息［M］.重庆:重庆大学出版社，2012:149.

［7］刁胜先.个人信息网络侵权问题研究［M］.上海:上海三联出版社，2013:168.

［8］何培育.网络交易消费者的个人信息保护［J］.中国流通经济，2014(6):104-105.