来源：21世纪经济报道
聚焦

在大数据和云计算的时代，互联网正在重构整个制造业和服务业的运行体系，买方和卖方的对接越来越依赖于大数据，而不是实体的店面、中介。数据库的作用越来越重要，但安全却难有保障。本专题中的调查，试图呈现互联网数据泄露中环环相扣的链条，而对案例的分析则试图呈现公民个人维权之难，这有赖于互联网法治建设的推进。

网络“黑色产业链”调查：
环环相扣的数据泄露

导读：在这条“黑色产业链”上，有人负责窃取数据，有人专门从事分销，寻找目标买家或帮买家寻找黑客。

天微微亮，大鸟（化名）结束了一晚上的任务，他用凉水洗了一把脸，起身，去公司上班。


在白天，他是某互联网公司的程序员。晚上，他是互联网论坛上活跃的“白帽子”。

“白帽子”是业内的俗称，即正面黑客，他们通过识别计算机系统或网络系统中的安全漏洞，发出漏洞警告，从而提醒企业或其他单位在被黑客侵入前修补漏洞。

由于白天工作时间不允许，大鸟只能用晚上的时间做“白帽子”的工作。这让他很疲惫，如果进入到了活动状态，大鸟可能会有很长一段时间都在高度紧张的精神状态中度过。

除了在论坛中得到被同行赞许的快感，很多时候，他们面对的是一群对漏洞不屑的人。因为每次被曝出漏洞之后，许多企业的第一反应是“辟谣”，而不是直面问题。

在大数据和云计算的时代，互联网正在重构整个制造业和服务业的运行体系，买方和卖方的对接越来越依赖于大数据，而不是实体的店面、中介。数据库的作用越来越重要，但安全却难有保障。

或许因为企业对漏洞不屑的态度，一些技术人员会警告企业——既然你不屑，我就干一单给你看。一些技术人员拿着漏洞去要挟企业，换取报酬，涉及利益巨大，一些人甚至很短时间就完成原始资本积累。白帽子是以其行为来判断，但也有可能在某些时间里，变成真正的黑客。

在国内，目前逐渐形成了一些漏洞举报的平台，如乌云网、360都建立了举报漏洞的机制，方法各不相同。国家互联网应急中心也建立了漏洞共享平台，每周发布信息安全漏洞周报。

一些企业的态度也变得开明起来，如1月14日，特斯拉的官方订购平台被白帽子发现漏洞，原价30万元的预订金，白帽子可以在后台将之修改为一元钱。特拉斯得知后迅速修复了该漏洞，并承认该笔订单有效，同时还从总部邮寄了官方纪念品送给白帽子。

21世纪经济报道记者通过半个月的调查，接近了多位白帽子，他们中的部分不愿意透露真实姓名；同时，21世纪经济报道记者也试图从被业内称之为“社会学工程库”的论坛，寻找活跃在数据买卖链条上的人。此外，通过分析已有的案例和司法判决，也可以探寻这个庞大黑色产业在互联网时代日益形成的安全隐患。



入侵

“你不要社我啊。”这是一句从事网络安全程序员们的“行话”。“社”是指社会学工程库，他们把获取海量的个人信息称为社会学工程分析。

在社工论坛上，你可以找到各式各样的卖家和买家。他们明目张胆地买卖各种个人信息资料，如开房资料、考研学生资料、公积金信息等，一般都是几十上百万条信息打包出售，他们将这些打包出售的数据库俗称为“裤子”。

而“社”一个人，则意味着在网络上挖掘与这个人有关的各种资料，通过不同网站的海量数据，破解密码、下载资料……

一般而言，第一步需要入侵某个网站的后台系统。这个过程并不复杂，对一个电脑迷而言，一个刚入行的中学生就可能有能力侵入一个普通网站。

大鸟对我们讲述了他的故事。第一次学习黑客技术是大一的暑假，他花了一个月的时间在寝室自学。不久后，就已经可以进入学校网站的后台了。

从这一刻开始，数据就有了被泄露的危险。大鸟不会将数据下载下来用于己用，仅用来检测网站是否存在漏洞，但他告诉21世纪经济报道记者，黑客入侵网站与白帽子检测网站，在技术路径上几乎是相同的。

大鸟不崇拜仪式感，他不喜欢称之为战斗，但这确实是一场战斗，虽然战利品只是为了满足一种孩童式的好奇、对技术偏执的渴望，但把它称之为一场发生在“入侵者”与技术“看守者”之间的战斗或许并不为过。

在大鸟的印象中，记忆最深的一次入侵行动是他在正式做一名职业白帽子之前。那是一次比较复杂的行动。大鸟发现了一家国外网站，对其原代码十分感兴趣，为了看到代码，他决定“入侵”这家网站。

大鸟先找拥有域名的这个人，查他的信息，发现此人是外国人。因为不是中国人，所以不能掌握太多他的信息。接下来寻找这个域名下的子域名。

经过分析，发现一些子域名放在几台普通VPS（Virtual Private Server 虚拟专用服务器）上，打开几个页面是空的。扫了几个端口也没发现端倪，他知道从这几台VPS上很难找到问题，于是他决定找一下它的VPS提供商。

如果拿到VPS提供商的权限，就可以获取它所有VPS的权限，自然也就获取了该域名所指向的VPS权限。随后他发现这个VPS服务商的运维配置有一些问题，一步一步渗透下去，最终找到了该VPS提供商所有用户控制面板的账号密码，最后找到了对应人的账户密码。

拿到用户密码后，大鸟登陆了对方的控制面板。VPS是以控制面板进行操作的，进入控制面板就可以操控他服务器上的文件，但是没有文件打包编辑功能。最后，大鸟上传一个了网页后门，便获得了它的代码。

经过十分复杂的程序，大鸟获取了这台服务器的权限，顺利看到了代码。

或许从技术上，这并不算很难，但对于大鸟来说，这次“入侵”的复杂性远远高于技术，经过一个多月的“战斗”，看到代码后，他选择让自己大睡一场，进入冬眠。

窃取数据

对于白帽子而言，发现了网站的漏洞，他的工作就接近了尾声了。可对于黑色产业链（简称“黑产”）上的人来说，任务才刚刚开始，他们的目的是拿到数据，进而转化成金钱。

业内人士透露，黑客的惯用手法有很多种，但路径上存在相似性：获得外网服务器权限、进入内网、判断核心业务范围、获取核心业务服务器权限，找到数据库密码、看到核心数据、下载核心数据、拿到最高权限、抹掉所有痕迹。

这是一个相对理想的操作链条，但并不意味所有的黑客都能完成上述步骤，比如“拿到最高权限”并不容易，因此有些黑客下载了所有核心数据，但痕迹仍被记录。

对于目标的寻找，一位接近黑产的人士称，有时是黑客主动寻找“含金量高”的网站，侵入网站，窃取数据。这主要涉及的是一些与金钱交易有关的公共服务行业，如信用卡或网络支付、火车票购票网站、航空公司购票系统、网络购物网站等等。

还有一些则是接受定向委托，一般委托方来自商业竞争对手，需要获得竞争对手的客户数据，于是雇佣黑客。

在进入内网时，有时候黑客会直接查看对方的员工信息是否存在泄露，或根据常用密码top 100来进行测试，如果顺利登陆员工账号，就可以直接进入内网。

但对于需要核心数据的黑客而言，进入内网只是第一步，接下来，黑客需要对数据进行分析，判断核心数据所在位置，这就需要黑客对该网站的业务十分熟悉，甚至熟悉程度要高于网站运维人员，这样才能判断核心数据的子域名在哪一个IP段，进而找到核心数据。

当然，时机的选择十分重要，这一切都要在一个合适的时间里进行：一个网站流量大，看守者不容易发现的时间。比如，一般的社交网站，上午十点和下午三点比较活跃。在这样的时间里“拖库”相对不易被察觉。

“拖库”同样是行话，意思是将目标数据下载下来。但在许多时候，他们并非需要经过复杂的入侵程序获得数据。因为许多人在不同的网站注册信息时，会使用相同或相似的密码。因此，这就存在利用“撞库”的方式获得更多的数据的可能。

2014年底发生的12306网站用户信息泄露的事件，起初就被指是“撞库”行为，即用户的用户名和密码在其他网站泄露了，黑客利用其他网站获得的用户数据包，自动登录另一个网站，匹配出部分用户信息，形成数据库。

不过，即使是通过“撞库”发生的信息泄露，相关网站也难脱其责，因为只有存在安全漏洞，网站才可能被“撞库”。

目前，12306网站用户信息泄露事件发生的原因仍不明，官方仍未公布调查进展，网络也曾一度流传出泄露不是“撞库”行为产生用户信息泄露的例证。

黑色产业链

在数据被窃取之后，黑客不一定可以将这些数据销售出去。职业“中介”应运而生。黑产链条上，有人负责窃取数据，有人专门从事分销，寻找目标买家或帮买家寻找黑客。

21世纪经济报道记者试图寻找这样的人，于是在一些社工库论坛注册，发帖“雇佣黑客”，并且寻找一些专门从事数据交易的QQ群。在QQ群搜索功能中，只要输入“数据买卖”、“数据交易”等关键字就会看到有大量的活跃群，它们的名字直白简单，一般以“数据交易群”、“淘宝数据交易”等字样为主。

21世纪经济报道记者伪装成买家进入了其中一个交易群，并与一位声称可以提供“进线数据（打进某个电话的数据）”的人进行对接。该人士称，自己可以拿到每个行业里任意一家企业的进线数据。通过进入机房，实时监控拨打该公司号码的电话，并将其截取下来，进行销售。

但陌生人的网络交易，确保交易安全是个难题，数据提供方可能提供假数据，而数据购买方也不希望自己的购买行为被记录下来。对于这些疑问，该人士称，自己可以提供前一天的进线数据，并保证数据是一手信息。交易的过程，需要买家先少量购买，付钱后再工作，如果买家对第一批数据满意，再进行下一步更多数据的交易。

至于交易价格，该人士说，每个行业的价格不同，21世纪经济报道记者问到餐饮行业的某家巨头企业，他称这些数据价格1条10元，而这个价格称得上是“不便宜”。

数据交易达成的半年内，买家和数据提供商为唯一拥有者，数据商保证不会泄露给第三方。半年后，数据商就可以将数据打包销售，但此时数据已经大大贬值，一条的价格大概是几毛钱。

这时候，就产生了“二手数据”，二手数据一般会倒卖好几次，基本已经算是“公开”信息，这样的数据在一些社工网站上随处可见。21世纪经济报道记者潜水几个社工论坛多天，发现每天都会有几条数据供应帖发出，论坛用户只需要支付几个金币（一金币一元钱）的价钱就可以购买到大量数据，有的数据（如个别企业内部通讯录）甚至可以免费下载。

另外，在交易群里，经常出现一些交易请求，有的在寻找数据商，有的在出售数据。而在QQ群记录中，21世纪经济报道记者看到其中一条信息，涉及各公司大佬的手机号、邮箱等关键信息，该数据持有者将关键数字抹去，留下QQ号，吸引买家。

不过，拥有这类功能的QQ群有很多，21世纪经济报道记者申请进入数十个群，只有一个通过了请求。上述知情人士表示，这种情况并不意外。

黑产链条上的中介人士面貌仍模糊不清。一些接近这些人士的白帽子称，这些人的圈子很小，有些是“老乡带老乡”的方式发展。而网络犯罪呈现的一些特征也印证了这个特征。2014年12月6日，公安部网络安全保卫局法制工作处处长李菁菁在一次论坛上介绍，目前我国网络犯罪案件地域化明显，比如广西南宁QQ好友诈骗、福建安溪网络购物诈骗、海南儋州网络中奖诈骗等。

通过中国裁判文书网的公开检索也可以发现，这些地区相关案件判决书数量明显高于周边地区。

《刑法》第285条规定了非法入侵计算机信息系统罪，通过已判决的司法案件也可以窥视黑产业的状况。2014年1月1日至今，中国裁判文书网公布了15份非法入侵计算机信息系统罪判决书，其中除少数目的为买卖国家机关证件和事业单位印章外，大多是为非法获取、买卖公民个人信息。

如，2013年3月，1986年出生的陈某和1981年出生的崔某在两家网络游戏公司的系统中植入木马，下载了几十万条游戏账号及密码，并以1.4万元价格卖出，此后这批账号和密码又在网络“黑市”中被辗转交易。他们分别被判处有期徒刑4年和2年，并各处3000元和2000元的罚金。

不过，黑市上所出售的个人信息并非都是来自非法侵入计算机系统，有些是来自内部人的监守自盗，这些案例也并不少见。

需求方

黑产的形成，在于存在强大的市场需求，参与购买数据的最终需求者多种多样。如，一些商业机构是强大的需求方，他们为了获取潜在的客户资料、了解竞争对手的核心数据，从而从黑市购买数据。还有一些创业公司，是为了充实客户量，制造“虚假的繁荣”，以吸引风险投资。

一位业内人士对21世纪经济报道记者分析了几起案例，如2014年底，130万考研考生信息泄露。他分析称，许多考研培训机构需要这些数据，进而进行精准的市场推广。

与此同理，此前还发生过新生儿信息泄露事件。他称，许多母婴保健机构、培训机构、奶粉经销商、玩具经销商等各种盈利性组织对此类信息都有需求。

快递服务业同样是被黑产盯上的“重灾区”。有白帽子对21世纪经济报道记者表示，快递单号十分容易获得，只要对网址进行修改，就可以看到单号的具体信息。而在一些交易网站上，快递单号被明码标价，几毛钱就能买到一个单号信息。

这样的案例不胜枚举，交通、医疗、教育、金融服务、酒店业、快递业等公共服务行业机构都掌握了大量的用户信息，使之成为其上下游产业及类似机构觊觎的目标。

近年来，还有创业公司购买数据，迅速做大客户群，从而吸引外来投资。该人士举例，曾遇到过一位朋友的创业公司，通过购买数据，让自己的用户数据库看起来庞大一些。这种情况并不少见。

企业为何“休眠”？

在数据泄露的过程中，数据保管者有着不可推卸的责任。

乌云网合伙人邬迪告诉21世纪经济报道记者，几乎每一个网站都可能存在漏洞。漏洞是造成泄露的一大因素，乌云网建立的初衷之一就是为了减少因漏洞造成的泄露，在泄露之前对漏洞曝光，并通知厂商及时修补。

邬迪表示，国内企业的安全意识并不强，一开始，很多企业在被通知漏洞后会选择置之不理，这是造成之后信息被泄露的原因之一。

21世纪经济报道记者梳理了以往发生的信息泄露事件，一些漏洞引起的问题反复出现。

如此前被乌云网频频爆出漏洞的12306网站，并非首次出现用户信息泄露事件，漏洞却迟迟未修复。

再比如， 2014年3月22日，乌云漏洞平台发布消息称，携程系统存在技术漏洞，可导致用户个人信息、银行卡信息等泄露。漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码以及银行卡6位Bin(用于支付的6位数字)。而在此之前，携程信息安全漏洞事件就已经多次发生，其中2014年1月，在被媒体指出储存信用卡敏感信息存在泄露风险时，携程网回应称采用的信用卡支付方式符合国际惯例。

业内人士分析，企业数据安全意识不强、惩处机制的不明是导致企业在漏洞发生后没有及时修补的原因之一。

另外，数据库的设计缺陷也是数据可能泄露的原因。一位数据库的设计人员告诉21世纪经济报道记者，一些公司寻找第三方设计数据库，确实存在泄露的风险。双方在合作之前，一般会签署保密协议，但由于设计者可以看到客户的核心数据，因此数据是否泄露，不仅要看保密协议，还要看设计者的人品。

一位创业公司的负责人告诉21世纪经济报道记者，公司的数据库自己设计，其考量的因素就是担心核心用户数据泄露。

政府网站同样是高危行业，一位白帽子告诉21世纪经济报道记者，他们一般只去测试省级政府网站的漏洞，更低层级的政府网站漏洞甚至可能找不到负责人。有些网站的技术水平，在他们看来根本达不到采购中所需耗费的价格。

相对乐观的是，随着大数据和移动互联网在各行各业的深入运用，很多厂商的信息安全意识都在提高，表现之一是在接收到漏洞举报后大多会及时修补。而发现和举报漏洞的白帽子人才市场一旦形成，从事黑产的人就会越来越少。

“让黑产上的人变成白帽子，这是未来的方向。”一位白帽子对21世纪经济报道记者说。


艰难的维权：
五起“个人信息泄露”案件分析

导读：“是否可以考虑在此类案件中，将举证责任倒置？被告需要证明原告的个人信息不是其泄露的，如果证明不了，那么就需要承担责任。”中国政法大学传播法研究中心研究员朱巍表示。

2013年10月，“2000万开房信息”在网上泄露后，只有一个人“较了真”。


上海人王金龙下载了网上流传的文件包，结果发现，自己的姓名、身份证号码、手机号和开房时间等信息均在其中。

2013年底，王金龙在上海市浦东新区法院起诉了汉庭星空（上海）酒店管理有限公司（下称汉庭酒店），他认为这些泄露的信息，源自2012年底他入住了广州和深圳的两家汉庭酒店。

王金龙向法院提起了8项主张，包括要求汉庭酒店在自己和合作伙伴的服务器上删除开房信息，在各大搜索引擎中删除“2000万开房信息”的链接，赔偿经济损失15万元等。

2014年9月，法院作出判决，王金龙败诉。“原告只知道网上有铺天盖地的自己的信息，但不知道是谁明确泄露了这些信息。”曾介入此案的律师、上海市律协信息网络专业委员会主任商建刚告诉记者。

举证难，是信息泄露维权者的普遍难题，“侵权诉讼需要原告证明因果关系，这个比较有难度。”中国政法大学传播法研究中心研究员朱巍告诉记者。

除此之外，高额的维权成本与不成比例的精神损害赔偿，也造成维权者动力不足，甚至被专家认为“民事诉讼并非一条有效的维权途径”。



泄露者的唯一性

王金龙输在了哪？

21世纪经济报道记者得到的判决书显示，2012年12月3日，王金龙入住广州汉庭酒店的住宿登记单上，写明的到店时间是2012-12-03 12：16。12月5日，王金龙又入住了一家深圳市汉庭酒店，其住宿登记单上的到店时间为2012-12-05 14:22。

法院审理认为，网上流传的“2000万开房信息”中的信息与酒店管理系统和个人会员管理系统对比可以发现，两者所涉及的王金龙的姓名、身份证号、性别、生日信息一致，但住址、手机号，尤其是开房（入住）时间不一致。

网上泄露信息中的开房时间为2012年12月6日02时18分45秒，这与上述汉庭酒店留存的王金龙到店时间不符。

王金龙认为这些信息属于汉庭酒店控制，存在更改的可能，但被法院认为这个“猜测性抗辩”没有证据支持。

浦东新区法院因此认为，王金龙被泄露的信息，其扩散渠道不具有单一性和唯一性，难以仅凭部分信息的一致判断网上流传的信息就是汉庭酒店留存的信息。

“本案中，原告提交了初步的证据，即他是通过汉庭酒店的官方订房系统入住，并且没有其他渠道泄露自己的信息，但因为与酒店提供的入住时间不完全一致而没有实现诉请。”商建刚告诉21世纪经济报道记者。

在个人信息保护诉讼中，败诉的不只王金龙。2014年2月3日，天津市民刘敏（化名）在“天猫”上购买了一张2月28日由天津至西安的天津航空公司机票。

但在2月27日，刘敏收到了一条航班取消的短信，拨打短信中的咨询电话后，刘敏觉得对方向其索要账号存在蹊跷，此后经过核实，航班并未取消。

此后，刘敏将天津航空和淘宝公司起诉到了天津市东丽区法院，认为只有两名被告知道其隐私信息，并险些造成自己被诈骗。要求对方赔礼道歉并赔偿2.9元。

21世纪经济报道记者得到的判决书显示，一审法院并未支持刘敏的请求。理由是刘敏没能提供证据证明两名被告泄露了其个人信息，且两名被告并不是掌握刘敏个人信息的唯一介体。

天津航空提交了一份中国民用航空局第214号令，指出其是通过中国民航信息网络股份有限公司提供的计算机订座系统提供订票服务。

一审法院还认为，发送航班取消短信的人可能涉嫌诈骗犯罪，在公安机关立案侦破以前，法院不能确定是两名被告泄露了刘敏的个人信息。

2014年9月，深圳市民孟超（化名）在与深圳市公安局的行政诉讼中终审败诉。

事情的缘由是2012年3月，孟超曾向深圳市110报警，称自己接到了冒充燃气公司推销燃气警报器的诈骗电话，并发现了对方的地址。110报警服务台接到报警后，将警情指派给西乡派出所。

二审判决书显示，派出所民警到现场后未发现异常情况，后将处警信息反馈给了110报警平台。

但半个月后， 20多个人把孟超堵在公司，“恐吓威逼原告”，后来，孟超与对方签署了一份协议，并转账给对方6000元，“赔偿因其报警给对方造成的损失”。

二审判决书显示，深圳市中级法院认为，孟超没有举证证明深圳市公安局存在泄漏其信息的行为，而深圳市公安局提交的《110接处警情况登记表》、《出警经过》等证据材料相互印证，可证明深圳市公安局110报警服务台受理姜涛报警及处置等均符合其工作规则。

“我国的民事诉讼法中没有引入隐私权保护案件中的举证责任倒置制度，所以仍然沿用‘谁主张谁举证’的制度，而且法院也没有明确规定原告证据的证明力要达到什么水平。”上海市律协信息网络专业委员会主任商建刚告诉记者。

“是否可以考虑在此类案件中，将举证责任倒置？被告需要证明原告的个人信息不是其泄露的，如果证明不了，那么就需要承担责任。”中国政法大学传播法研究中心研究员朱巍告诉记者。

维权成本与收益

“在个人信息保护方面，通过民事诉讼维权效果有限。”中国社科院法学所副研究员吕艳滨告诉记者。

2009年，其曾参与主持一项4城市调研。结果发现，在因个人信息泄露而导致被犯罪分子侵害的被调查者中，仅有4%左右的人进行过投诉或提起过诉讼。

这些人中，也仅有8.1%的人获得了救济或者达到了目的，其他或者因为处理个人信息的机构推诿、搪塞而不了了之，或者因为预料到无法通过投诉或诉讼获得救济而中途放弃。

四川省乐山市的一名小学职员李枚加2013年起诉了中国电信乐山分公司。起因是他购买了一张电信手机卡后，收到了电信发送的28条商业广告短信，李枚加认为这些“垃圾短信”侵害了他的隐私权、财产权、健康权。

2014年6月，案件在乐山市中院终审。侵犯隐私权的请求得到了法院的支持，即法院认为电信公司侵害了李枚加的个人生活宁静权、个人活动的自由权、私有领域不受侵犯权。

案件的“奇葩”之处在于，李枚加除了要求电信公司消除影响、赔礼道歉、停止侵害之外，还要求其赔偿1分钱。

这1分钱被“掰成两半”：0.5分是侵犯财产权赔偿，0.5分是精神损害赔偿。由于其财产权被侵犯的主张没有得到一审法院支持，李枚加上诉后只要求了0.5分的精神损害赔偿。然而，两审法院均只判决电信公司停止向其发送商业广告短信。

蒋娟（化名）也面临赔偿难题。2006年，她曾在北京市肛肠医院治疗，但在2012年，她发现网上有人出售含有她部分病历信息的光盘。在破案并删除了相关信息后，蒋娟开始与医院协商赔偿事宜。

蒋娟要求医院赔偿她10万元精神损失，以弥补其“哺乳期突然断奶、失眠、记忆力下降、脾气暴躁”，但医院方面认为自己只应承担一部分责任，提出赔偿1万元。

诉诸法庭后，2014年9月，终审法院判决北京市肛肠医院赔偿蒋娟1.2万元，并由蒋娟负担800元二审诉讼费。

“这类诉讼中，很多人认为打赢了官司也不一定能赔钱。”商建刚告诉21世纪经济报道记者。

“原告是个人，被告则是企业，甚至是一些大企业，双方的诉讼能力不对等，甚至原告都请不起律师，导致大部分诉讼都是一些公益诉讼。”商建刚说。

“泄露一条信息，很难估量究竟给被泄漏者带来什么影响，造成赔偿标准的不确定。”吕艳滨说。

吕艳滨认为，加强个人信息保护，“还是应该加强执法，行政机关有能力调取一些证据。一些企业如果泄露了个人信息，哪怕构不成犯罪，也应该进行高额处罚”。


亚太网络法律研究中心主任刘德良：
个人信息保护立法，
应明确“人格权”和“财产权”属性

导读：我们要遏制“非法买卖个人信息”行为，就应该加大侵权行为的成本，基本的做法就是追究侵权者的财产责任。

早在2003年，国务院有关部门就委托社科院法学所承担《个人信息保护法》比较研究课题，并草拟一份专家建议稿。如今，国内包括个人信息保护内容的法律、法规等规范性文件纷纷出台，但《个人信息保护法》仍停留在专家建议阶段。


近年来，对非法提供、获取、买卖个人信息的打击力度不断加大，但个人信息保护形势仍然严峻，如何在立法上构建一套有效机制，从而更好进行执法、司法，21世纪经济报道记者专访了亚太网络法律研究中心主任、北京师范大学法学院教授刘德良。

《21世纪》：在现有的法律法规体系中，有哪些涉及了个人信息保护的内容？

刘德良：从民法规定来看，个人信息就是指能够直接或间接识别出特定自然人身份的信息，比如姓名、肖像等，这在《民法通则》里有相应的规定。《侵权责任法》提到了隐私，最高法院2014年10月9日发布的司法解释中也以列举方式明确了隐私的范围。还有《身份证法》作为一部专门法，也提出居民身份证中的信息受法律保护。2012年12月，全国人大常委会颁布了《关于加强网络信息保护的决定》，当然这部法律缺乏具体的实操性。2009年《刑法修正案(七)》新增了出售、非法提供个人信息罪，加大了对个人信息的刑法保护。还有一些行政法规和规章里也有相关的个人信息保护的规定。

《21世纪》：传统的民法理论认为，个人信息应该是人格权的一部分，但在信息社会中，个人信息的经济价值被放大，个人信息究竟属于人格权还是财产权，你如何理解这样的争议？

刘德良：承认个人信息的财产属性，可以解释现实中的很多问题。比如买卖个人信息，显然就是把个人信息当作了财产。而传统的人格权现在面临几个问题，首先，人格权受到侵害之后不能申请财产赔偿，反过来，财产权受侵害后也不能要求精神赔偿。当然《侵权责任法》中后来有规定，如果侵害人格权而获利，受害人可以要求财产损害赔偿，但这个规定仍然模糊了人格权与财产权的理论认定。

其次，传统理论无法解决自然人死亡之后，其个人信息的利用问题。因为人格权不能转让或者继承。如果这个人的肖像有商业价值，那么他去世后，关于其个人信息的买卖和使用就无法得到保护。

《21世纪》：是不是正因为个人信息人格权和财产权的属性区分不明确，所以导致在非法买卖个人信息的刑事案件中，很难提起附带民事赔偿的要求？

刘德良：对的，非法买卖个人信息罪在《刑法》中也是在侵害人身自由权的部分，所以法律认为此罪并不侵害公民财产权。而我们要遏制这种非法买卖行为，就应该加大侵权行为的成本，基本的做法就是追究侵权者的财产责任。

《21世纪》：这个人格权和财产权属性纷争的存在，是不是导致单独的《个人信息保护法》无法出台的原因之一呢？

刘德良：可以这样认为。我认为个人信息的保护应该分为两类：一类是与人格利益有直接关系的，比如肖像、姓名、隐私等；一类是与人格利益没有关系的，这些信息可以被正常利用，只要不被滥用或非法买卖，不会对我们的人格权造成损害。信息时代，任何个人信息都有潜在的商业价值，那么其商业价值就应该独立于人格权，二者分开。

我国关于隐私的认定是模糊的。实际上，隐私在不同学科内有不同的含义，法律上的隐私是通过隐私权保护的，隐私权必须有明确的边界。

《21世纪》：如果明确了哪些信息需要严格保密，哪些信息只需防止滥用，对加大个人信息保护有什么帮助呢？

刘德良：因为要保护个人信息，首先要明确想达到什么效果。现在一提个人信息保护，就是防止泄露，其实这个观念是错的。我刚才讲到的第二类个人信息是可以被别人知道并进行正常的利用，但我们现在并没有去做这样的区分。在互联网时代，很多信息不可能也没有必要保密，只需要把重点放在遏制滥用就可以了。

比如身份证的作用是匹配使用者本人和身份证上的有效信息，防止假冒身份，危害公共安全。但现在的法律是把身份证当作隐私，从而忽略了比对认证的环节。所以很多人去银行、保险公司办业务，只需要提供身份证复印件就行了，反而盗用身份证的现象比较常见。对电话号码等个人信息的滥用，主要体现在发送垃圾信息等方面。我觉得，可以借鉴英美法的相关规定，认定发送垃圾短信侵犯了个人的信息自主权，以及信息存储空间的权力，即同时侵害了人格权和财产权。这样受害人既可以申请人格权的精神赔偿，也可以申请财产侵害赔偿。

《21世纪》：十八届四中全会提出要制定《网络安全法》，这个法是否也应该包括个人信息保护的相关内容？

刘德良：我个人感觉，网络安全法和个人信息保护是有区别的，如果存在交集，可能体现在如何规范个人信息的跨境流动。比如像美国那样，云计算的服务器要设在本国境内，从而在国家安全意义上，防止本国国民的个人信息被国外非法利用。