詹朝霞：对泄露用户信息的行为应予打击

摘要：日前，中国电子商务研究中心特约研究员、广州金鹏律师事务所詹朝霞律师在接受《中国质量报》记者就12306网信息泄露事件采访时表示，违法成本低，法律监管缺失是泄密事件再三出现的根源。从法律层面来看，各类服务提供商，基于提供服务所采集的用户信息数据，具有严格保密的法律义务，类似的规定散见于《网络交易管理办法》、《关于加强网络信息保护的决定》等相关法律法规规章中，虽然规定不少，但相关规定中却没有设置任何对应的处罚措施，违法成本极低。在日益繁杂多变的网络交易中，服务商们忙于应付各种生意，对于用户信息保密仅仅是基于商业道德或品牌荣誉的角度，其实施力度可想而知。可以毫不夸张地说，法律监管的缺失是类似事件一而再再而三爆发的根本。专家认为，行政主管部门，比如工商局、银监会、证监会、通管局等相关部门应该形成联动机制，对泄露用户信息的行为甚至是出卖用户信息的行为进行狠狠打击，还消费者以安全，还消费者以放心。以下为该报道全文：《拿什么保护个人信息？》日前，一则关于中国铁路购票网站12306的漏洞报告引发了社会对用户隐私信息安全的广泛关注。专家表示，信息安全无小事，要保护个人信息安全，我国相关法律亟待完善，消费者个人也需要增强信息保护意识。用户信息被泄露据了解，这则关于12306的漏洞报告，危害登记显示为高，漏洞类型则是用户资料大量泄漏，这意味着，这个漏洞将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露。瑞星公司针对12306网站约用户隐私被泄露事件进行调查后发现，12306网站主域名下共有6个分站存在严重的Strust2框架的远程执行漏洞。经警方查处，犯罪嫌疑人蒋某某、施某某被抓获。两人交代是通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息，尝试登录其他网站进行撞库，非法获取用户的其他信息，并牟取非法利益。其实，用户信息泄露早已不是一个新鲜话题。2013年3月27日，有网友在微博上曝出，使用谷歌搜索输入site：shenghuo.alipay.com转账付款即可看到各种转账信息，包括转账付款姓名、账户信息、付款金额、付款账户、付款说明等，数量超过2000条。很多网友担心自己的信息和资金安全，表示再也不通过支付宝转账了。对此，支付宝在其官方微博在回应中称，支付宝生活助手转账付款结果页面一般用于支付双方展示支付结果，不含真实姓名、密码等重要信息，支付宝对这一页面链接加具了安全保护，正常情况下任何搜索引擎都无法抓取。目前已将用户付款结果页面做部分信息隐藏，进一步帮助用户保护个人隐私信息。一般和正常情况的表述方式也表现了支付宝的态度。携程用户信息泄密门也曾引发广泛热议。2014年3月22日，国内网络安全问题反馈平台乌云漏洞平台发布消息称，携程系统存技术漏洞，可导致用户个人信息、银行卡信息等泄露；漏洞泄露信息包括用户姓名、身份证号、银行卡类别、银行卡卡号、银行卡CVV码(卡号、有效期和服务约束代码生成的3位或4位数字)等，上述信息可能被黑客读取。2014年3月23日，携程发布声明称，就携程存漏洞一事，目前确认共93人账户存安全风险，并已通知相关用户更换信用卡。法律监管缺失是根源中国电子商务研究中心特约研究员、广州金鹏律师事务所合伙人律师詹朝霞认为，违法成本低，法律监管缺失是泄密事件再三出现的根源。从法律层面来看，各类服务提供商，基于提供服务所采集的用户信息数据，具有严格保密的法律义务，类似的规定散见于《网络交易管理办法》、《关于加强网络信息保护的决定》等相关法律法规规章中，虽然规定不少，但相关规定中却没有设置任何对应的处罚措施，违法成本极低。在日益繁杂多变的网络交易中，服务商们忙于应付各种生意，对于用户信息保密仅仅是基于商业道德或品牌荣誉的角度，其实施力度可想而知。可以毫不夸张地说，法律监管的缺失是类似事件一而再再而三爆发的根本。专家认为，行政主管部门，比如工商局、银监会、证监会、通管局等相关部门应该形成联动机制，对泄露用户信息的行为甚至是出卖用户信息的行为进行狠狠打击，还消费者以安全，还消费者以放心。浙江泽大律师事务所律师付勇勇认为，因商家过失导致消费者经济损失的理应赔偿。他表示，根据《消费者权益保护法》的规定，经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。另外，《网络交易管理办法》也有相同的规定。如果由于经营者的过失，导致消费者经济损失的，理应承担相应的赔偿责任。北京志霖律师事务所律师赵占领表示，网站泄露用户数据的保障法律仍是空白。他认为，目前关于泄露用户数据的安全保障法律仍是空白的，此前工信部直属的中国软件测评中心透露，《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审，正报批国家标准。但是，有业内人士担心，上述文件不是强制性标准，甚至也不是推荐性标准，其执行效力如何，仍待观察。多种途径可致信息泄露网站用户信息泄露有多种可能性途径。现在许多网站、论坛都需要用户注册账号后才能正常使用。因此，每个网民拥有多个账号是很平常的事情。在注册时，网站一般都需要填写一些个人信息，如常见的账号、密码、邮箱等，像一些电子商务、婚恋、交友网站等还需要实名认证，要求填写的信息更加详细。业内人士指出，网站上的用户数据泄露主要有以下几种方式：黑客利用网站存在的安全漏洞入侵网站，盗取用户数据库；网站内部工作人员倒卖用户信息；通过撞库攻击，窃取用户数据；利用钓鱼攻击窃取用户信息；通过木马、病毒窃取用户隐私信息。如何防止个人信息被泄露呢？对此，中国电子商务研究中心助理分析师沈云云给出了建议：法律条文需细化，相关部门应适时介入。我国关于网络信息安全方面的法律条文不够明确，适用范围尚且不够精准，相关条文必须得到进一步细化、规范，以此更加公平公正地惩治网络信息安全事故的造成者，保护公民切身利益。此类信息泄露事件不适用不告不处理的的原则，相反，执法部门应主动积极介入案件调查，并对实施者进行追责处理。信息安全无小事，用户必须增强信息保护意识。警惕要求重新输入账号信息，否则将停掉信用卡账号之类的邮件，不要回复或者点击邮件的链接，以免落入圈套。同时，避免开启来路不明的电子邮件及文件，安装杀毒软件并及时升级病毒知识库和操作系统补丁，将敏感信息输入隐私保护，打开个人防火墙。使用网络银行时，选择使用网络凭证及约定账户方式进行转账交易，不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。不要在多个网站使用相同的注册账户名以及登录密码，防止网络黑客有意盗取，造成多个网站个人信息的连环失窃。

分享到