对个人隐私保护的思考—以“徐玉玉案”为例夏天雨(中国人民公安大学,北京102623)摘 要:论文结合个人信息电子化的特点,指出了当前个人隐私遭受侵犯的风险,并提出了个人信息的保护措施。
以“徐玉玉案”为例,首先分析了非法获取个人信息的技术手段,其次阐述了当前有关法律对犯罪分子的惩治,最后在法律层面和道德层面提出个人信息保护的建议。
关键词:大数据;个人信息保护;入侵技术;法律惩治中图分类号:D035.39文献标识码:BThoughts on the protection of personal privacy——taking "Xu Yuyu case" as an exampleXia Tia nyu(Peo ple's Publ ic Se curi ty Univ er si t y of C hi na, B eijing 102623 )Abstract: Based on the characteristics of electronic information of personal information, this paper points out the risk of personal privacy violation, and puts forward the protection measures of personal information. Taking the "Xu Yuyu case" as an example, it first analyzes the technical means of illegally obtaining personal information, and secondly expounds the current law on the punishment of criminals, and finally puts forward the protection of personal information at the legal level and moral level.Key words: big data; personal information protection; intrusion technology1 引言大数据时代,互联网与社会生产生活深度融合,电子化个人信息也存储在网络云端,人们的衣食住行与网络有着千丝万缕的关系。
公民在上网过程中产生了大量包含个人信息的电子数据,如网站购物信息、外卖订餐信息、酒店预订信息、机票改签信息等。
电子化个人信息一方面给人们的生产生活带来诸多便利,另一方面也因其保护的脆弱性面临不法分子的盗窃滥用。
犯罪分子利用网站服务器漏洞非法窃取个人信息,并进行非法使用,对公民的人身财产安全带来了极大的危害。
当前,我国还没有制定出台一部专门的个人信息保护法,我国对个人信息保护的法律主要体现在《刑法》第253、285、286、287条等[1]。
此外,我国《刑法修正案(九)》对“侵犯个人信息罪”进行了修改完善,我国《网络安全法》第76条对“个人信息”的概念进行了拓展[2]。
但是,当前法律仍不能满足对个人信息进行有效保护的要求,对侵犯个人信息行为的惩治力度还需提高,国家制定和出台一部专门的个人信息保护法就显得尤为重要。
2 个人信息电子化带来的安全隐患我国《网络安全法》规定的个人信息是指以夏天雨:对个人隐私保护的思考电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。
具体而言,个人信息可分为两大类,电子化的个人信息和网络中特有的个人信息[3]。
电子化的个人信息包括公民姓名、身份证号、手机号码、住址、学历信息、婚姻状况等。
网络中特有的个人信息包括虚拟身份信息、网页浏览记录、聊天通讯记录、网购消费信息、地理位置信息、机票改签信息等。
2.1 网络服务商收集的个人信息被过度利用网络服务商,简称为I S P ,包括I C P (网络内容提供商)、ASP (应用服务提供商)、IMP (网上媒体提供商)、OSP (在线服务提供商)等。
在用户注册登录网站、浏览网页、支付消费、添加收藏活动中,上网用户的个人信息和操作痕迹会存入网站后台数据库中。
网络服务商收集的个人信息存在被过度使用的问题。
例如,淘宝、京东等电商企业通过收集用户的消费记录、浏览记录、收货地址,将购物习惯相同的用户进行交叉分析,对用户的身份、职业、地理位置、购买力进行预测,从而向用户精准定向的推送商品广告。
电商企业可以合法的收集个人信息,但是利用公民个人信息进行商业推销活动却侵犯了公民的个人隐私。
2.2 商业机构收集的个人信息被内部人员泄露银行机构在客户办理存取款业务过程中,收集存储了客户的姓名、性别、身份证号、年龄、身份、地址、存取款金额、存取时间、笔数等涉及个人信息的资料;商业保险机构在客户投保过程中,收集了客户的姓名、性别、健康、婚姻、财产、住所、家庭成员、工作经历等隐私信息。
有些商业机构内部人员法律意识淡薄,只追求一己私利,便将公民个人信息出售,造成公民个人信息泄露。
2.3 公共管理服务部门面临黑客入侵图1 Web 应用程序十大安全漏洞公共管理服务部门在服务公众的过程中往往收集和存储了公民的详细个人信息,如税务部门收集纳税人信息,治安管理部门收集公民身份信息,教育部门收集学生学籍考试信息,医疗部门存储着患者疾病用药等方面隐私数据。
除此之外,人们在求职、买车、买房、办理会员卡、扫描二维码参加活动等过程中也会泄露个人信息。
这些个人信息的泄露会给公民带来人身骚扰、推销诈骗等风险。
以徐玉玉案为例,山东省教育招生考试院网站收集和存储着高考考生的详细报名信息,包括姓名、性别、年龄、身份证号、家庭成员、家庭住址和联系方式。
教育网站因为服务器版本内核较低,存在较多安全漏洞,网站维护人员没有及时更新,给黑客非法获取网站后台数据库提供了可乘之机。
3 非法获取个人信息的技术手段如图1所示,OWASP (开放式Web 应用程序安全项目)公布的十大网站程序安全漏洞分别为注入漏洞、失效的认证和会话管理漏洞、XSS 漏洞、失效的访问控制漏洞、安全配置不当漏洞、敏感信息泄露漏洞、攻击防护不足漏洞、CSR F 漏洞、使用已知漏洞组件、未受有效保护的API 漏洞[4]。
2018年第7期网络空间安全Cyberspace Security图2 黑客SQL注入攻击流程以2017年Top1 SQL注入漏洞为例,黑客在Web表单提交过程中,插入一系列非法字符,致使服务器执行伪造SQL语句,最终获得数据库返回信息和网站后台管理员权限,对用户个人信息进行窃取或修改,攻击过程如图2所示。
典型的SQL注入攻击包括强制产生错误(收集数据库版本信息),特殊字符注入(利用特殊字符避开输入过滤技术)和条件语句注入。
综上所述,SQL注入攻击和XSS漏洞攻击、C S R F攻击类似,黑客通过输入特殊的字段,使其输入的数据变成可执行的代码,即恶意代码。
要防范此类攻击就要杜绝用户提交的参数入库并且执行。
此外,负责网站安全的维护人员需要每天审计日志记录、定期进行漏洞监测和安装操作系统补丁,增强服务器个人信息的存储安全。
4 我国法律对非法侵犯个人信息罪的惩治当前我国还没有制定专门的个人信息保护法,我国对个人信息保护的法律主要体现在各个法律、法规以及解释中。
以“徐玉玉案”为例,犯罪嫌疑人杜某利用漏洞扫描工具发现“山东省2016高考网上报名信息系统”存在漏洞,于是他便利用网站漏洞获取了网站后台登录权限,盗取了包括徐玉玉在内的64万余条考生报名信息,并通过支付宝、QQ向陈某出售上述信息10万余条,获利14100余元。
黑客杜某的行为触犯了《刑法》第285条,情节特别严重,构成了侵犯公民个人信息罪。
陈某通过Q Q群向黑客杜某购买上万条山东高考考生信息数据,非法获利超过9900元,依据《关于侵犯公民个人信息刑事案件适用法律若干问题的解释》陈某构成犯罪且情节特别严重。
5 结束语当前,网络个人信息泄露已成为网络空间安全的严重威胁,治理个人信息泄露、保障网络信息安全已成为推进我国信息化发展战略的紧迫任务。
因此,在大数据时代背景下,我们既要充分发挥电子化信息的快捷便利,又要加强行业自律监管,推进法制建设,提升全民道德素质。
大数据和云计算的出现为网络服务提供商大规模地收集公民个人信息提供了可能,因而收集和存储公民个人信息的运营单位要加强行业自律,保护个人信息安全。
数据运营单位要定期进行漏洞监测,及时安装最新补丁,认真审查系统日志,提高网络系统安全水平。
此外,数据运营单位要加强内部人员管理,根据数据库内容给员工设置分级权限,提升员工责任意识和法律意识,设立追责机制,防止内部信息泄露。
网络空间作为现实社会的延伸并不是“法外之地”。
因此,国家立法机构制定出台一部专门的个人信息保护法就显得尤为重要。
我建议法律首先明确个人信息的分类,对侵犯个人信息的犯罪量刑定义更加明确,解决当前个人信息保护法律落地难的问题,建立完整、高效、适用性强的网络安全法律体系。
个人信息保护需要全社会的共同努力,要不断提高公民道德素养,加强网络安全知识宣传教育。
可以在校园、社区开展知识竞赛、宣传画报展览活动,举办专题讲座,同时通过微博、微信新媒体进行全方位宣传,共同营造清朗的网络空间。
参考文献[1] 中华人民共和国刑法[M].北京:中国法制出版社,2015.[2] 中华人民共和国网络安全法[M].北京:中国法制出版社,2017.[3] 俞信吉.网络环境下个人信息概念厘定[O L].中国法院网,https:///article/detail/2010/08/id/424704.shtml,2010-08-25.夏天雨:对个人隐私保护的思考[4] OWASP.OWASP Top 10-2017. Open Web ApplicationSecurity.Project.[OL].,2017.作者简介:夏天雨(1998-),男,汉族,山东临沂人,中国人民公安大学;主要研究方向和关注领域:网络安全法、网络空间安全、自然语言处理。
