文档介绍:“CSDN(微博)泄密门”引发的思考
李洁
日前,曾轰动互联网的“CSDN网站用户信息泄露案”历时40多天的侦查终于告破。CSDN泄密门事件以及后续的当当被劫事件,使我国网络个人信息保护缺失问题再次浮上水面,引起人们广泛的关注。据中国互联网络信息中心最新统计数据显示,截至2011年12月底,,%,。完善网络法律制度,究竟应从哪些角度入手,法学界众说纷纭。笔者结合几乎让互联网裸奔的“CSDN(微博)泄密门”事件的过程,从强化网络运营商的责任的角度提出些许浅薄之见。
案情回顾及分析
简要回顾一下大范围密码泄漏事件的过程可以发现,从入侵者发起攻击,到获得经济效益,大致可以分为3个步骤:(1)拖库:把目标系统的用户数据库导入或者下载到本地;(2)洗库:对数据库进行层层利用,获取经济利益;(3)撞库:以大量的用户数据为基础,利用用户相同的注册****惯(相同的用户名及密码),尝试登录其他目标网站。以下是一个“拖库—洗库—撞库”的示意流程图:
因此,我国个人信息泄露情况原因大致归纳为如下两大类: 一是擅自披露或擅自提供个人信息。有关机构未获法律授权、未经本人许可或者超出必要限度披露他人个人信息,或在未经法律授权或者本人同意的情况下,将所掌握的个人信息提供给其他机构。银行、保险公司、航空公司等机构之间未经客户授权或者超出授权范围共享客户信息,也很常见。二是通过技术手段窃取个人信息,通过该种方式获取个人信息的,要求用户进行防范客观上无法实现,只能从强化运营商责任的角度入手进行技术防范。
我国网络信息保护法律制度的立法沿革及不足
1994年,我国颁布了第一部计算机安全法规《中华人民共和国计算机信息系统安全保护条例》。随后又颁布了《中国人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》。2000年12月28日,全国人大通过了《关于维护互联网安全的决定》。2002年先后出台了《计算机信息系统国际联网保密管理规定》、《互联网信息内容服务管理办法》等一系列部门规章。我国《刑法修正案(七)》中明确规定了出售公民个人信息、非法提供公民个人信息以及非法获取公民个人信息3项罪名,但《刑法》作为惩罚性最为严重的法律规范,只有在发生一定严重后果后才可启用,百姓不可能在日常生活中依据其来捍卫自己的信息保密权。
就保护网站用户个人信息安全而言,刑法修正案(七)、侵权责任法乃至居民身份证法等相关内容均有涉及,但相关规定条款过于分散,可操作性差,对于如“个人信息”、“违反规定”等关键概念界定不清,在执法过程中,财大气粗的运营商往往有较强的影响力,易形成现实的执法困境。即便发生信息泄露,用户个人在追究运营商民事责任的时候,也存在举证难等问题,诉讼成本高、收益低,当事人很难依法维权。
早在2003年,国务院信息化工作办公室就委托中国社科院法学研究所个人数据保护法研究课题组承担“个人数据保护法”比较研究课题及草拟一份专家建议稿。经过近两年的工作,最终形成了近8万字的“中华人民共和国个人信息保护法(专家建议稿)及立法研究报告”,但时至今日却仍未正式进入国家立法程序。
2012年3月9日,吴邦国委员长在十一届全国人大五次会议第三次全体会议向大会报告工作时,首提