文 | 法治周末记者 于伟力

近日，有媒体报道称在某交流平台上，有人公开叫卖百万网易邮箱账号仅需50元。卖家自称通过爬虫软件爬取邮箱，向这些邮箱发送营销信息，并展示据说包含有万个邮箱账号的文件。对此，有律师直指，这涉嫌违法抓取用户数据和个人信息买卖。

随着现代信息技术的发展，人类跨入“互联网+大数据”时代的步伐加快，个人信息泄露、被盗卖的案例比比皆是。美国安全分析机构“风险基础安全”(Risk Based Security)的一份报告显示，去年公开披露的数据泄露事件高达6500多起，有12起数据泄露事件涉及人数超过1亿人，这些泄露事件占去年所有记录的74%，这对人们的个人隐私有着很大影响。

然而，法治周末记者发现，面对这种情况，用户想要追责，实践中也多是心有余而力不足。 

个人维权举证难法院很难支持 

北京市炜衡律师事务所上海分所高级合伙人邹晓晨在接受法治周末记者采访时提到，用户遭遇个人信息泄露后，可以到公安机关报案，也可以向法院提起民事诉讼维权。

法治周末记者查阅中国裁判文书网发现，近年来，遭遇个人信息泄露后，用户追责起诉的案例也不少。

2013年10月，国内安全漏洞监测平台“乌云网”披露：浙江慧达驿站公司因安全漏洞问题，使与其有合作关系的大批酒店的开房记录在网上泄露。网传“2000万开房数据”的文件中，包含2000万条在酒店开房的个人信息，容量高达1.7G。

王金龙是上海86万个人信息被泄露的受害者之一，他称出差广州时曾入住汉庭酒店，不久后，便频繁收到各种“精准的”营销电话。由于饱受垃圾短信和推销电话骚扰，他被迫改姓，于是2013年11月他提起诉讼，请求法院判令汉庭星空(上海)酒店管理有限公司(以下简称汉庭酒店)、浙江慧达驿站公司立即采取补救措施消除危险，确保其信息安全，立即消除影响(包括但不限于删除网上涉及酒店入住信息的数据，防止隐私信息的进一步公开扩散)，慧达驿站删除其个人电子信息，并立即停止收集、保存或者使用其入住信息。除要求两被告以书面形式道歉外，王金龙还索赔精神损害抚慰金等损失20万元。最终法院认为由于被告不存在侵犯原告隐私权的事实，且被告基于相关法律法规或行业规定保存原告入住酒店的信息，并无不妥，故原告向被告提出的诉讼请求无事实依据，法院不予支持。这起备受关注的“2000万开房信息泄露事件”首例诉讼就此终结。

由于信息泄露而被诈骗的案例也不少见。2015年4月24日，季海红在“苏宁易购”上下单购买手机，随后，她接到声称为“苏宁客服”的电话，对方准确说出了其姓名在内的订单详细信息，表示由于失误，把她列为了苏宁批发商，会每月通过银联中心自动从她的银联卡扣除500元，扣满12个月为止。季海红表示不愿意成为批发商，要求取消该会员资格。“苏宁客服”称立即给银行发传真，银行会很快联系更改自动扣款业务。接着季海红接到声称为“招商银行客服”的电话，对方以帮助她取消批发商设置为由，骗取她通过银行ATM机转账及无卡存款、通过支付宝转账共计34785元。她发觉受骗后，立即报警。

此案中，季海红认为自己之所以上当受骗、遭受财产损失，关键的在于诈骗分子获取了她在“苏宁易购”购物的详细订单信息。而该信息仅存储于“苏宁易购”的服务器上，其应当依法妥善保管作为用户隐私的详细订单信息，而“苏宁易购”未对用户个人详细订单信息尽到最基本的安全保障义务。2016年3月，她向法院提起诉讼。

法院因季海红提供的证据不足以证明原告被骗和被告网络平台可能存在漏洞，也无确凿证据证明被告有侵害原告隐私权的行为，判决被告不承担侵权责任，没有支持她的诉讼请求。

此类的案件不计其数，但值得注意的是，从目前公布的法院判决中，这类案件中个人用户往往以败诉告终。对此，有业内人士分析，单凭用户个人举证来证明平台存在过失性泄露信息，是很难做到证据充分，所以法院在判决中，很难认定被告责任。 

监管部门应联动，减少执法盲点 

国家网络安全基地培训中心常务副主任李刚告诉记者，用户个人信息遭泄露后，服务商企业应有告知义务。根据我国网络安全法第42条，网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户，并向有关主管部门报告。

网经社-电子商务研究中心特约研究员尹航也表示，服务商企业若未及时向主管部门、用户履行通知义务的，可能要承担整改、警告、罚款等行政责任。情节严重的可能被责令暂停业务、停业整顿或关闭网站、吊销许可证等，甚至可能会被追究刑事责任。

对此，李刚建议相关部门加大监管力度。他向法治周末记者介绍，网络安全法中规定了监管部门的职责，国家网信部门负责统筹协调网络安全工作和相关监督管理工作，电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。

基于目前个人信息保护的分散性立法，尹航呼吁，工信、工商、公安等部门都享有对公民个人信息安全的监管权，应发挥联动作用，紧密配合，减少存在的执法盲点。 

个人信息保护的新挑战 

事实上，近年来我国网络安全行业，在立法上正逐步完善。尹航介绍，目前我国有超过40部法律、30余部法规涉及个人信息保护。此外，相关部门也出台了部分不具有法律强制力，但对行业有指导意义的个人信息保护国家标准和行业标准。十三届全国人大常委会的立法规划中，也已将独立体系化的个人信息保护法，列入了条件较成熟任期内，拟提请审议的法律草案类别。

“现有的一系列法律法规已确认了个人信息的法律地位和保护原则，划定了个人信息保护的特定主体、义务和责任，形成了一定的民事责任、行政责任、刑事责任的法律保障体系。”尹航说。

同时，我国对于网络安全行业的重视程度也在逐步提升。李刚在接受法治周末记者采访时感慨，我国网络安全行业的发展，有近30年的积累，整体技术水平提升很快。“不过，在网络安全发展中也遇到了难题。”他坦言，由于网信空间技术应用发展的过快、技术产品的不足和新漏洞(威胁)等问题，给用户个人信息保护方面，带来了新的挑战。

因此，在受访专家看来，网络安全行业稳步发展的同时，用户自身也应当提高辨别能力和警惕意识。尹航建议，公民应注意仔细阅读服务商企业的隐私权政策，谨慎授权提供身份信息;注意个人账号信息安全，避免所有账户使用相同的账户密码;注意重要证件的保管，如提交复印、扫描件时注明“仅用于××用途”，拒绝点击不明来源的文字链接、二维码等。