上個月,我應邀參加了一檔聚焦網絡安全領域熱門話題的對談節目——《ISC夜談》(互聯網安全大會),與360集團董事長周鴻禕先生、“白帽黑客”古河先生,以及我的老同學兼主持人馬丁,一起聊了聊數字數代的隱私安全、網絡詐騙等話題。
我經常在小區電梯看到植髮廣告,也會懷疑隱私是不是遭到了泄露。相信大家生活中也有很多類似的經歷和困惑,所以今天整理成文字與大家分享。
軟件,真的能泄露我們的隱私嗎?
馬丁:各位好!歡迎來到ISC夜談的現場,我是馬丁。今天談論的話題並不想涉及到特別專業的、大家聽不懂的話題,我們聊的是普通的受眾和網民感興趣的,也能聽懂的話題,所以我們要把這個話題普及化。所以,今天談論的主題主要談及個人隱私。羅老師,紅了以後,隱私有沒有被泄露?
羅翔:跟很多人都一樣,剛剛買了車,馬上就有人給你打電話,要不要上保險?剛剛買了房,就有裝修公司説,要不要裝修。剛在某個平台上買了一個東西,最後各個APP都給你推送,以至於我最近上電梯發現電梯裏面有植髮的廣告,我都有點害怕,我説這是不是精準的推銷。
馬丁:這個涉及到一個很重要的話題,個人隱私,我想了解一下,真的就像羅翔剛才説到的,軟件,真的能把我們的隱私泄露出去嗎?如果不行,那怎麼我們聊了聊裝修,第二天電話就打過來了呢?老周怎麼看?
周鴻禕:第一,我覺得現在缺乏一個嚴格的界定,就是把個人數據和個人隱私做一個很好的區分。比如你的手機號碼,有的時候叫個人數據,但是被人不恰當的利用,你可能就是認為個人隱私被侵犯,這是第一點。
第二,我對保護個人數據持比較悲觀的看法,就是現在所有的互聯網服務,只要你用,你就不得不把你的個人數據交給提供服務的廠商,否則他沒有辦法提供服務。
比如説,你用搜索的時候,自然把你內心想問的問題,比如你最近要減肥,你在搜減肥藥;比如你在聊天軟件裏聊天,我們倆聊天軟件裏的內容,哪怕涉及個人私密的內容,這個聊天的內容通過了通訊廠商的服務器,肯定被保存下來了。
所以,我覺得個人數據現在賦能給廠商已經是一個客觀存在的事實。所以,在這個情況下,我認為再談不允許他們手機收集數據,我認為是不可能的,現在只能退而求其次,就是對廠商要提出要求,比如你如何能夠善待用户的數據,如何能夠更好地處理用户數據,如果處理得好,我認為就保護了用户的隱私,大家皆大歡喜,老百姓的數據託管在你廠商的服務器上,老百姓也能得到各種免費的互聯網服務,自己的數據也沒有被泄露。
我們説的泄露隱私,不能只看他是不是收集了數據,而是看他收集數據的方式和使用你數據的方法。比如有一種情況我也遇見過,不指名字了,就是有的軟件會打開你的攝像頭,或者麥克風,我們在談話的時候他會偷偷錄音,從中找一些關鍵詞,試圖匹配我明天的興趣愛好。我認為你可以錄我的講話,沒問題,但是,你得告我一聲,不能悄悄地打開麥克風。
馬丁:怎麼告訴你一聲?老周,我要聽你們的談話了?你説行,沒法告訴你呀。
周鴻禕:所以,我覺得這就是一個問題。所以,我們主張你在採集用户數據的時候,能不能做到真正的讓用户有知情權和選擇權。羅翔老師應該知道《消費者保護法》是一個大法,裏面規定了很多消費者的權益,一個很重要的我認為是應該把選擇權和知情權交給消費者。
還有從法理上來説,最近《民法典》通過了,這個對中國的法治建設意義非常大。《民法典》把很多東西要設定它的所有權,因為只有界定了所有權才談得上第二步,在很多其他的法理上去進行這種研究。
我有一個觀點,《民法典》上我提的建議,但是可能還沒有被採納。就是因為在使用互聯網服務過程中,我們提供了被互聯網公司收集的這些數據,或者叫個人數據,它的所有權應該明確的定義它應該屬於用户自己所有,只是暫時委託廠商,存在廠商的服務器和數據庫裏,這樣有兩點就可以往前延展。
第一,當我以後決定,比如説,我的數據被你採集了,你知道我買房的記錄,知道我買車的記錄,也知道我的聊天記錄,但是不用你服務的時候,能不能要求你把我的數據刪掉,如果廠商説,這個數據是我收集的,我擁有的,我想幹什麼,消費者的權益就很難得到保護了。
第二,廠商如何保護數據呢?剛才羅老師談到,一旦從採集個人數據變成他感覺隱私被侵犯是一個轉變,是因為有的廠商拿了他的手機號之後,會把他的手機號和買房的情況,把這個數據再轉賣給其他做裝修的,做傢俱的。我認為用户的數據既然所有權屬於用户,他只是臨時的託管在廠商的服務器上,廠商是沒有權利把這個數據轉賣給其他廠商。
馬丁:那現實狀況,我懷疑,我也沒證據。我懷疑就是被轉賣了,不然怎麼會來這些信息呢?
周鴻禕:這個咱們現在沒有證據。但是,從很多消費者描述的情況來看,應該是被轉賣了。各個廠商如果單獨拿到數據,比如有人有你的購買記錄,有的廠商有你的聊天記錄、搜索記錄、出行記錄,這也就罷了,對他們來説都只是掌握片面的信息,最怕他們在一起交換數據,他們一綜合,羅老師每天在哪兒開房。
馬丁:你説的沒錯,他經常“開房”。
周鴻禕:對,他到全國講課。在哪兒吃飯,在哪兒買的鮮花,這就是一個問題。
馬丁:這個信息被泄露,哪一塊涉及到犯罪,現在的《刑法》有沒有明確的規定,怎麼才算泄露個人信息,怎麼情況下才能抓張三?這個有嗎?
羅翔:其實個人隱私這個概念在我國還是比較晚進的改進,換言之,很多老百姓對這個概念並不是特別熟悉,所以有許許多多的個案促進了法律相關的變革。
我印象中中國第一例網絡隱私的泄露案應該是2008年,叫“姜巖案”,寫了一個死亡博客,記錄她老公如何對她的不忠,(最後跳樓自殺)。於是網友發動了對他先生,他先生姓王,發動了人肉搜索,把他一系列信息公之於眾,後來有人到他單位去鬧。所以,後來單位把他開除了,甚至還把他爹媽也查出來了,有人到他爹媽門口去潑油漆。所以,後來這個王先生就把幾家網站給告了,朝陽區判的,後來朝陽區法院認為有些網站就是侵犯權利了,當時還發了一個司法意見書。所以,這個案件是第一次把隱私權跟道德輿論監督兩者的矛盾展現出來了。
至於我們今天説的信息隱私,2005年有一個非常經典的案件,我記得當時用“中國同學錄5460”,很多信息在裏面,後來有一個網站從5460裏竊取了9000多條信息,任何人只要花一塊錢就可以任意查詢這些信息。
而事實上像類似的案件在當年都很難有相應的法律規定進行處理。因為信息隱私和個人的很多隱私,當時的法律保護是一個空白。所以,2010年我們就有一個《侵權責任法》,《侵權責任法》就把個人隱私規定在這個民事法律中,至於《刑法》就是在2009年,也就是我們剛才所説的人肉搜索案之後的第二年,《刑法》就規定了一個罪名,專門規定了一個出售提供公民信息罪以及非法獲取公民個人信息罪。
但是,這個罪名限定的主體必須是特定主體,也就是銀行、保險公司這種特定的單位,而且刑罰比較低,只有三年以下。
2015年這是一個關鍵性的年份,我們《刑法修正案(九)》把剛才那個罪名給改成了“侵犯公民個人信息罪”,就做了一個整合性的罪名,他的主體就從特定主體變成了一般主體,包括我們在座的所有人,如果你有竊取、提供、購買,或者其他方法的非法獲取個人信息的行為,都可能以犯罪論處,最高刑可以判到七年有期徒刑。
2017年又出台了一部法律,叫《網絡安全法》,明確規定了個人信息,個人信息的概念被規定了。隨後,2017年還有一個《民法總則》的出台,把個人信息從隱私權中獨立出來了,因為以前人們認為個人信息跟隱私是完全一樣的,現在把個人信息從隱私中完全獨立出來了。
2017年還有一個規範性文件,最高人民法院和最高人民檢察院把2015年“侵犯公民個人信息罪”定罪量刑標準明確了,出台了一個《司法解釋》。什麼叫個人信息呢?個人信息就是跟自然人有關的,通過電子或者各種數據能夠識別特定自然人的信息,以及活動情況。也就是説,如果你泄露的是他人的可識別性信息,或者活動情況,像身份證號碼、電子郵箱、行蹤軌跡、開房記錄,這就可以構成犯罪,犯罪標準是什麼?像最值錢的這種軌跡信息,或者通話內容,50條以上就可以構成犯罪。至於其他的信息,身體健康信息,開房信息,500條以上就可以構成犯罪,這是2017年的《司法解釋》。
剛才周總所談到的《民法典》,《民法典》就以非常明確的方法定義了什麼叫隱私權,因為隱私權是沒有一個法律定義的,現在把隱私權這個概念給定義了。什麼叫隱私權?關於個人私人生活的安寧,以及這種個人不想讓別人知道的私密活動、私密空間和私密信息,這些都叫隱私權。而且我瞭解到,2020年我們還準備通過一部法律,叫《個人信息保護法》,這部法律正在全國人大常委會進行審議。如果這個法律通過,整體上我國個人隱私和個人信息的法律體系就比較完備了。
但是,你會發現,當我們説法律的時候,我們所處理的一定是諸多價值的一個對立。因為像隱私這個問題本身就是隱私權跟知情權,或者説跟表達自由之間的一個衝突。人的本性都是什麼?人的本性都是希望多知道別人的東西,希望窺探別人,但是不希望自己被窺探。比如,我特別想了解馬丁老師很多東西,但是我自己的很多東西即便包括你知道的,我也不想讓你説出來,這是人的本性。
所以,這就是為什麼我們這個世界很多時候不是善惡的對決,是善和善的對決,都是一些美好的價值,隱私權、知情權都是很美好的價值,你是在這些價值中要尋找一個平衡,因為法律永遠是在諸多對立價值中尋找平衡。
我們就會發現,如果這個隱私權跟個人生活密切相關,又跟公共利益沒關係,那這個隱私權是不是就要高於知情權?但是,如果説隱私權跟公共利益有非常密切的關係。那麼,在這種情況下,是不是知情權就會適當地高於隱私權?
比如説,一個人受過刑事處罰,這個犯罪記錄能不能在網上查詢,因為它跟公共利益是有關係的,尤其包括性犯罪人的犯罪記錄等等。所以,這是一些非常複雜的問題。它涉及各種權利之間的平衡和對立。現在我們的法律體系,我覺得也在慢慢的形成,通過各種個案在推進法律體系走向健全。
馬丁:鼓個小掌。
周鴻禕:確實名不虛傳。我發現我以後可以跟其他羅老師辯論,跟這個羅老師沒法辯論,他站在法律的高度講的深入淺出。
馬丁:行走的刑法典,聽起來説的很隨意,用詞很明確。
周鴻禕:最關鍵他有詳實的資料和非常好的數據,講的非常清楚。所以,恰恰也證明了我的一個觀點跟他比較接近,就是其實隱私在法律上界定的是比較狹義的,現在你説的是侵犯隱私,實際上是侵犯用户數據,個人信息。
個人信息我覺得我們的法律,可能有比較多的案例,我覺得我們法律的制定已經走在時代前面了。比如説,收集個人信息,因為你要採用服務,法律上是支持的。並不能因為説我這個軟件收集了用户信息,我就是侵犯人隱私。但是,我怎麼操縱這些信息,我操縱信息的方式決定了是不是違法,這一點很重要。
馬丁:你們兩個紅衣往這兒一坐,讓大家覺得一個是在安全方面的專家,一個是在刑法方面的專家。接下來我要讓技術方面的專家多説兩句。
我問你幾個問題。是不是現在由於網絡技術的進步,特別是專業技術工具的傻瓜化,竊取別人信息變得更容易了?
古河:總體上講是這樣的,因為現在其實有很多產業鏈,就是説可能它最上游的,甚至會有一些掌握了技術的黑客,他會製作一些這種工具。
馬丁:分享給大家?
古河:分享也好,或者出售給中游、下游的這些人。這樣就説明你真正想去竊取一些隱私,這些人獲得這個技術的成本其實變低了,就是變得更加容易。
馬丁:它不是一個個人行為,是這樣嗎?
古河:對,很大一部分,很多個人隱私泄露可能是大批量的這種,比如説,很多公司業務發展很快,收集了很多數據。但是,在安全上如果説它的投入可能沒有那麼多的情況下,他可能遭受了一些黑客組織。這些組織可能有很好的技術,但他去攻擊某一個特定的個人,他可能就意義不大。當然,在座各位老闆還是有攻擊的價值。
馬丁:老周和羅翔有價值,特別老周是有價值的。
古河:但是批量的攻擊這些,大量的公司上面的數據可能對他們來講收益更加高,所以就會產生有組織性的這樣的一個黑客行為。
周鴻禕:給大家講講那個詞叫“拖庫”。
馬丁:什麼意思?
古河:“拖庫”其實是這樣,就是很多互聯網你去註冊,有用户名、密碼都會存在公司的數據庫裏面。很多黑客組織攻擊一家企業,會去把數據庫給偷回來,我們就叫“拖庫”。這個數據其實非常有用,就是像一些企業安全做的不好,可能都是明文存儲密碼,但是現在大部分會加密,但是加密其實也會有破解的方法,就是我們所謂的去撞庫,去撞密碼,甚至直接用非常巨大的算力把你經過加密的密碼給還原出來,破解出來。
周鴻禕:他還説了一個詞叫“撞庫”,比如很多人寫密碼,比如馬丁老師家裏的密碼是多少?可以分享一下嗎?
馬丁:姓名+生日。
周鴻禕:所以,我們只要查到他和他老婆的生日,大概就能猜出來。還有很多人密碼喜歡用ABCDE12345,或者鍵盤上第一排鍵,這種密碼庫黑客們都有,就用大量的密碼庫經過同樣的加密算法去對,我們稱為叫撞庫。
馬丁:如果自己的密碼不是自己的生日和自己熟知的數字,容易忘。
周鴻禕:這就帶來一個問題。因為我是個安全專家,我也上很多網站。很多網站都有密碼,我試圖給很多網站設上不同的密碼,而且密碼一般要8位以上,低於8位很容易被人撞。如果8位要有數字+符號+大小寫英文混在一起,最後我很多網站再也上不去了。
所以,最後就會出現一個現象,你所有網站都用一個密碼,就意味着為什麼撞庫很可怕,把你在一個論壇上的數據庫拖走了,知道馬丁的密碼,把口令撞出來,拿這個用户名和口令再去其他的電商,去他的網站,基本上70%、60%的密碼是可以拖完庫、撞完庫以後在其他網站可以試出來的,這意味着互聯網不怕神一樣的對手,就怕豬一樣的隊友。上很多網站,就算N個網站做的再好,萬一有一個網站不重視安全,就意味着你在整個互聯網就不安全了。
馬丁:所以,接下來的問題一定要問,這怎麼辦?
周鴻禕:其實我覺得今天黑客攻擊單個人的概率不是特別高,對我們很多普通消費者來説,確實可能黑客也不知道你是誰,當然除非你在網上老嘚瑟自己,炫富,可能是被攻擊的對象。
但是,其中一個很重要的現在的一個問題,網民有覺得用户隱私跟我沒關係,反正黑客跟我無關,這個想法是不對的。因為黑客會攻擊很多網站,特別會攻擊很多公司。原來我們只説互聯網公司收集用户數據,隨着中國整個商業的數字化、工業互聯網、智慧城市,很多普通企業,像酒店業、旅行業、航空業、零售業,包括像出租車公司可能都會存儲你的數據。
但是,他們在安全上如果不夠專業,或者沒有360這樣重量的合作伙伴來幫助,他們在安全方面可能就會很脆弱,可能很容易黑客就把他的數據偷走了,而這個黑客在黑市裏面,就是專門有人負責偷數據,有人負責買了數據之後,再根據數據做處理,他就可以去研究對個人做攻擊了。
這裏有一個著名的案例,山東有一個女生叫徐玉玉,她接到了一個詐騙團伙的詐騙短信,她之所以相信上當是因為詐騙團伙掌握了她的家庭住址、家裏的收入情況,包括父母親的很多信息,包括她剛剛參加完高考,她的很多個人信息。所以,後來她被詐騙了幾千塊錢。
羅翔:所有的學費。
周鴻禕:家裏比較窮,生病了,就氣死了,當時我們很痛心,很惋惜。這個案子剛出來,當時我在支持公安機關對網絡詐騙,因為有欺詐短信,我們幫助公安機關在做調查的過程中,案子還沒出來,我就下了一個斷言,我説這裏面應該還有一個案子,就是個人信息的竊取。後來果不其然,詐騙的案子破了,詐騙團伙供出來,他們是從另外一個數據偷竊的團伙買來的徐玉玉的個人數據,這個數據怎麼來的呢?
後來公安又抓到了偷竊數據的黑客團伙,不好意思,以後我們叫白帽子黑客。這個團伙攻擊了當地的一個網站,這個網站並不涉及錢,只是登記了很多扶貧貧困學生的個人資料。所以,你就會發現,一個看起來人畜無害的網站被人泄露了,這個數據被別有用心的黑客拿去,就能做出一個欺騙大案。
所以,這裏我提醒一下,我們經常免費幫助很多網站找漏洞,有漏洞就意味着可能被“拖庫”,有的地方説自己就是一個登記網站,也不涉及錢,信息被拿走也沒有用。這個觀點是錯誤的,信息被拿走,意味着很多個人信息不是暴露給公眾,是暴露給犯罪團伙,犯罪團伙如果瞭解你的情況設計的攻擊和不瞭解你的情況設計的攻擊成功率能差100倍。
比如馬丁老師你設想,今天不瞭解你的情況,給你發一個短信,你今天怎麼樣,快來交罰款,你可能一笑置之。但是,如果知道你的信息了,比如在一個生育網站知道你最近剛生了二胎,還在懷三胎,有兩個孩子多大,有一個上了幼兒園,瞭解這些信息給你發一個短信説什麼?馬丁老師,我是你孩子的幼兒園老師,你的孩子最近成績不太好,請點擊這個鏈接查看一下他的作業情況。
或者説馬丁老師,我是你太太的保健醫生,聽説她最近懷三胎了,可能要關注保健方面的知識,給你發來一個Word文檔,你要不要打開看?你發現一旦掌握了你的個人信息,再有針對性的,我們叫社會工程學,網絡攻擊裏有一種攻擊方法,就是不需要任何技術,用人性的這種弱點可以騙到你的口令,可以引誘你點擊鏈接安裝一個軟件,這種攻擊率就要高很多。
所以,這裏提醒兩點,很多消費者可能老覺得黑客不打你的主意,但是如果你經常登錄的網站,或者給你提供服務的商業公司泄露了你的個人信息,可能就會有危險。
馬丁:這麼一説,後背直髮涼。
羅翔:這就是為什麼2009年,在個人信息的定義都沒出現的時候,《刑法》就搶先一步先規定了一個罪。
馬丁:説白了,原來的騙人是上門騙你,後來變成電話騙你,再然後變成網上騙你,現在有可能是把你的情況摸的底掉,全方位大數據騙你。
伴侶偷看我手機,算不算侵犯隱私權?!
馬丁:我們轉換一下節奏,快問快答羅翔幾個問題,來到ISC夜談大會,360有很多程序員小哥哥聽説你要來,準備了一個問題,非常嚴肅,問你一下,你給回答一下。
我好不容易有一個女朋友,但是她偷看我手機,算不算侵犯我的隱私權?
羅翔:這個問題會比較複雜。怎麼説呢?首先要設計兩種基本概念,一個是法律和道德,一個是權利和義務的問題。道德是一種自律,而法律是一種他律。換言之,道德上的權利和義務沒有相應的法律後果,只有法律上的權利和義務才有相應的法律後果。單從法律的角度而言,因為男女朋友沒有正式的法律名分,所以肯定是不能夠侵犯別人的隱私權,不能夠用道德上的這種忠誠權去對抗法律上的隱私權。
但問題在於,我剛才説道德是一種自律,因為愛情從來都具有獨佔性,一個戀愛的人肯定希望對方對我專一。如果女朋友偷看你的手機,你要把她告了嗎?如果她只是偷看你的手機,你覺得不合適,是不是分手就可以了。
所以,我們現在要區分法律和道德,這是一個法律問題還是道德問題?也許是一個法律問題,但更多的是一種道德問題。就像法律人經常説權利和義務,是先有權利還是先有義務?
馬丁:雞和蛋。
羅翔:很多人認為是雞和蛋的問題,但其實不是雞和蛋的問題,一定是先有義務才有權利,如果沒有人願意主動去承擔道德義務,一切權利都不可能產生。所以,義務一定是在前面的,在義務的基礎上才承擔了道德。現在咱倆戀愛了,雖然你在法律上沒有權利看我的手機,但是如果我主動的願意承擔一種道德義務,一種對你忠誠的道德義務,這個時候才能慢慢地誕生出權利,甚至是法律權。
所以,像剛才女朋友這個問題是一個很複雜的問題,我覺得更多的是一種道德的問題。當然,這種道德的問題會涉及法律上的隱私權。也許這個回答非常模糊,因為法律本身就是處理對立的各種價值之間的一種平衡,但人最大的問題就喜歡在自己看中的問題上附着不加邊際的價值,所有美好的情感都需要節制,愛情很美好,愛情的獨佔也是愛情的特點,但是這個情感可能也需要節制,很多時候也需要尊重對方的空間。
但是,從另外一個角度而言,當你和對方戀愛的時候,你的有些隱私可能也需要自願的讓渡,你要自覺地承擔一定的道德義務,這大概是我的想法。
⚖
刑法中的“侵犯公民個人信息罪”
侵犯公民個人信息罪,是指違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的行為;竊取或者以其他方法非法獲取公民個人信息的行為。一般處3年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處3年以上7年以下有期徒刑,並處罰金。
2017年6月1日實施的《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《信息解釋》)認為此處的“公民”可以解釋為自然人,包括外國人和無國籍人,但不包括單位和死者。
“公民個人信息”不是單純的隱私信息,而是與特定自然人相關聯的可識別性信息。司法解釋規定,包括身份識別信息和活動情況信息,即以電子或者其他方式記錄的,能夠單獨或者與其他信息結合識別特定自然人身份,或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯繫方式、住址、賬號密碼、財產狀況、行蹤軌跡等。
一個男同學拿着個高倍望遠鏡偷窺對面的女生宿舍,結果發現對面有個女同學也拿着高倍望遠鏡在看他。你正在看風景,看風景的也在看你。這侵犯了對方的隱私權,但這不屬於可識別的信息,不構成侵犯公民個人信息罪。
向特定人提供公民個人信息的行為屬於“提供”,而人肉搜索是通過信息網絡或者其他途徑發佈信息,實際是向不特定多數人提供公民個人信息。基於“舉輕以明重”的法理,人肉搜索更應當認定為“提供”。
對於“購買公民個人信息”是否屬於“以其他方法非法獲取公民個人信息”,以前存在不同認識。有意見認為,法條中所述的“其他方法”應當限於與“竊取”危害性相當的方式(如搶奪),不宜將“購買”包括在內。
但《信息解釋》沒有過分拘泥於邏輯,而採取了經驗主義的做法,認為從實踐來看,當前非法獲取公民個人信息的方式主要表現為非法購買,如排除此種方式,則會大幅限縮侵犯公民個人信息罪的適用範圍,而且不少侵犯公民個人信息犯罪案件,購買往往是後續出售、提供的前端環節,沒有購買就沒有後續的出售、提供。所以,司法解釋認為購買公民個人信息,也可能構成此罪。