对个人隐私保护的思考——以“徐玉玉案”为例

对个人隐私保护的思考

—以“徐玉玉案”为例

夏天雨

（中国人民公安大学，北京102623）

摘 要：论文结合个人信息电子化的特点，指出了当前个人隐私遭受侵犯的风险，并提出了个人信息的保护措施。以“徐玉玉案”为例，首先分析了非法获取个人信息的技术手段，其次阐述了当前有关法律对犯罪分子的惩治，最后在法律层面和道德层面提出个人信息保护的建议。

关键词：大数据；个人信息保护；入侵技术；法律惩治

中图分类号：D035.39文献标识码：B

Thoughts on the protection of personal privacy

——taking "Xu Yuyu case" as an example

Xia Tia nyu

(Peo ple's Publ ic Se curi ty Univ er si t y of C hi na, B eijing 102623 )

Abstract: Based on the characteristics of electronic information of personal information, this paper points out the risk of personal privacy violation, and puts forward the protection measures of personal information. Taking the "Xu Yuyu case" as an example, it first analyzes the technical means of illegally obtaining personal information, and secondly expounds the current law on the punishment of criminals, and finally puts forward the protection of personal information at the legal level and moral level.

Key words: big data; personal information protection; intrusion technology

1 引言

大数据时代，互联网与社会生产生活深度融合，电子化个人信息也存储在网络云端，人们的衣食住行与网络有着千丝万缕的关系。公民在上网过程中产生了大量包含个人信息的电子数据，如网站购物信息、外卖订餐信息、酒店预订信息、机票改签信息等。电子化个人信息一方面给人们的生产生活带来诸多便利，另一方面也因其保护的脆弱性面临不法分子的盗窃滥用。犯罪分子利用网站服务器漏洞非法窃取个人信息，并进行非法使用，对公民的人身财产安全带来了极大的危害。

当前，我国还没有制定出台一部专门的个人信息保护法，我国对个人信息保护的法律主要体现在《刑法》第253、285、286、287条等[1]。此外，我国《刑法修正案（九）》对“侵犯个人信息罪”进行了修改完善，我国《网络安全法》第76条对“个人信息”的概念进行了拓展[2]。但是，当前法律仍不能满足对个人信息进行有效保护的要求，对侵犯个人信息行为的惩治力度还需提高，国家制定和出台一部专门的个人信息保护法就显得尤为重要。

2 个人信息电子化带来的安全隐患

我国《网络安全法》规定的个人信息是指以

夏天雨：对个人隐私保护的思考

电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。具体而言，个人信息可分为两大类，电子化的个人信息和网络中特有的个人信息[3]。电子化的个人信息包括公民姓名、身份证号、手机号码、住址、学历信息、婚姻状况等。网络中特有的个人信息包括虚拟身份信息、网页浏览记录、聊天通讯记录、网购消费信息、地理位置信息、机票改签信息等。

2.1 网络服务商收集的个人信息被过度利用

网络服务商，简称为I S P ，包括I C P （网络内容提供商）、ASP （应用服务提供商）、IMP （网上媒体提供商）、OSP （在线服务提供商）等。在用户注册登录网站、浏览网页、支付消费、添加收藏活动中，上网用户的个人信息和操作痕迹会存入网站后台数据库中。

网络服务商收集的个人信息存在被过度使用的问题。例如，淘宝、京东等电商企业通过收集用户的消费记录、浏览记录、收货地址，将购物习惯相同的用户进行交叉分析，对用户的身份、职业、地理位置、购买力进行预测，从而向用户精准定向的推送商品广告。电商企业可以合法的收集个人信息，但是利用公民个人信息进行商业推销活动却侵犯了公民的个人隐私。

2.2 商业机构收集的个人信息被内部人员泄露

银行机构在客户办理存取款业务过程中，收集存储了客户的姓名、性别、身份证号、年龄、身份、地址、存取款金额、存取时间、笔数等涉及个人信息的资料；商业保险机构在客户投保过程中，收集了客户的姓名、性别、健康、婚姻、财产、住所、家庭成员、工作经历等隐私信息。有些商业机构内部人员法律意识淡薄，只追求一己私利，便将公民个人信息出售，造成公民个人信息泄露。

2.3 公共管理服务部门面临黑客入侵

图1 Web 应用程序十大安全漏洞

公共管理服务部门在服务公众的过程中往往收集和存储了公民的详细个人信息，如税务部门收集纳税人信息，治安管理部门收集公民身份信息，教育部门收集学生学籍考试信息，医疗部门存储着患者疾病用药等方面隐私数据。

除此之外，人们在求职、买车、买房、办理会员卡、扫描二维码参加活动等过程中也会泄露个人信息。这些个人信息的泄露会给公民带来人身骚扰、推销诈骗等风险。

以徐玉玉案为例，山东省教育招生考试院网站收集和存储着高考考生的详细报名信息，包括

姓名、性别、年龄、身份证号、家庭成员、家庭住址和联系方式。教育网站因为服务器版本内核较低，存在较多安全漏洞，网站维护人员没有及时更新，给黑客非法获取网站后台数据库提供了可乘之机。

3 非法获取个人信息的技术手段

如图1所示，OWASP （开放式Web 应用程序安全项目）公布的十大网站程序安全漏洞分别为注入漏洞、失效的认证和会话管理漏洞、XSS 漏洞、失效的访问控制漏洞、安全配置不当漏洞、敏感信息泄露漏洞、攻击防护不足漏洞、CSR F 漏洞、使用已知漏洞组件、未受有效保护的API 漏洞[4]

。