摘要：近年来，随着互联网的迅速普及，个人信息保护的形势也日益严峻。现实生活中，个人信息被随意收集、违法获取、过度使用甚至非法买卖，人民群众生活安宁受到侵扰、人民群众财产安全和生命健康受到严重挑战。近期网络上频发的“开盒”行为便是对网络用户隐私权及个人信息的严重挑战。笔者将从网络热点事件切入，分析“开盒”这一行为的概念，影响及其背后的法律分析，并以此为背景寻求网络用户隐私权的保护路径。

　　关键词：个人信息,数据安全,隐私权

　　一、“开盒”行为的概念及内涵

　　早在三年前，某博被曝发生数据泄露。某安科技CTO魏某国发言称不少某博用户手机号已遭到泄露。记者调查发现，部分网络平台中，有着提供姓名查询身份证，或提供APP账号查询对应手机号码的业务，且已经形成了产业链，而根据平台、卖家的不同，这类“人肉搜索”的价格也不尽相同。其中浏览数据量最大的是“已知全部泄露数据库”，卖家声称该数据库内含28．93亿条邮箱信息，4．26亿条身份证信息，8．27亿条手机信息，售价2万元人民币。［1］2023年6月，多位明星因谴责虐待动物这一行为被虐猫组织“开盒”（指在网络上公开曝光他人隐私的行为）引发网友关注。微博网友某婆揭露，部分虐猫群体在境外社交软件Telegram（电报）平台上创建的群组，持续发布虐猫相关信息，并组织违法收集并披露个人信息。网传的聊天截图表示有多位明星被“开盒”，疑似被泄露的信息包括但不限于电话号码，身份证号及社保信息等。［2］“开盒”并非仅仅针对明星而为，网民吴某巧也因曝光涉嫌违法的聊天群遭到网络群体攻击，其手机号、家庭信息和真实姓名开始被曝光在某博，随之而来的还有恐吓信等线下骚扰。［3］

　　“开盒”是一类行业黑话，即利用黑客软件，盗取并曝光信息主体个人及家人的所有信息，包括但不限于身份证号、社保卡号、银行卡账号、个人证件照片等信息。“开盒”是“人肉搜索”的衍生行为，两者相伴相生。上海高校心理咨询协会会员周文秀博士表示，最初“人肉”“开盒”一词多被运用于公众事件，“出于好奇或者出于正义，网友开始列出已经掌握的相关人物的个人信息，号召更多的人加入，‘人肉’出更多有效信息和资料。”［3］“人肉搜索”是指网民凭借互联网媒介搜集关于特定人或事的信息，而“开盒”则是基于人肉搜索行为对特定人的隐私进行公开曝光的行为。

　　二、“开盒”行为涉及的法律问题

　　（一）非网络专项法律法规层面

　　据《中华人民共和国民法典》（以下简称《民法典》）相关规定，“开盒”这一行为涉及侵害民事主体的人格权即个人信息。隐私权属于民事主体的人格权，是作为人应当依法享有的重要权利之一。《民法典》第一千零三十二条对隐私作出如下定义：隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。第一千零三十四条将个人信息定义为，通过电子或其他方式记录的能够单独或者与其他信息结合，识别特定自然人的各种信息。这类信息除常见的自然人的姓名、住址、电话号码、身份证件号码外，还包括声音、面容等生物识别信息、健康信息、出行信息等。第一千零三十三条规定，任何组织或个人都不得非法处理他人的私密信息。而“开盒”这一行为涉及非法收集和披露特定人的详细信息，严重侵害了民事主体的个人信息和隐私权，受害人有权要求行为人停止侵害、赔偿损失等。

　　“开盒”这一行为涉及数据的收集、整合与分析这三个重要环节，对于没有相应专业知识储备的普通人难以做到。因此当人们基于特定目的去特殊渠道购买信息时，个人信息的买卖灰色产业链便由此产生。目前国内已存有买卖个人信息的灰色产业链，其中最为知名的便为“某工库”。“某工库”是长期存在于黑市中的数据平台，其信息来源广泛，不仅包括各类信息泄露事件中积累的个人信息，也有从“爬虫”网络找到的其他信息。由于这些个人信息往往已经流转多次，因此难以追寻其源头进行封堵。“开盒”背后隐藏的非法收集、处理、传播和出售个人信息等行为涉及以下相关法律规定：《中华人民共和国治安管理处罚法》（以下简称《治安管理处罚法》）第四十二条规定：“偷窥、偷拍、窃听、散布他人隐私的，处5日以下拘留或500元以下罚款；情节较重的，处5日以上10日以下拘留，可以并处500元以下罚款。”《中华人民共和国刑法》（以下简称《刑法》）第二百五十三条之一规定了侵犯公民个人信息罪，该条第一款规定违反国家有关规定，向他人出售或提供公民个人信息，情节严重的，最高可能被处三年有期徒刑。窃取或以其他方法非法获取公民个人信息的，依第二百五十三条之一第一款规定处罚。

　　（二）网络专项法律法规层面

　　在网络专项法律层面，“开盒”这一行为涉及《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）、《中华人民共和国数据安全法》（以下简称《数据安全法》）等多部法律。中国互联网络信息中心（CNNIC）发布的第51次《中国互联网络发展状况统计报告》（以下简称《报告》）显示，截至2022年12月，我国网民规模为10．67亿，互联网普及率达75．6%。《报告》调查显示，遭遇个人信息泄露的网民比例最高，为19．6%；遭遇账号或密码被盗的网民比例为5．6%。［4］《网络安全法》第四章便针对网络信息安全作出相应规定，第四十条便表明，网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。第四十四条规定，任何个人和组织不得窃取或以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。但只要符合第四十二条规定的匿名化标准，部分个人信息还是可以进行交易的。①第四十二条的匿名化标准指通过技术手段将个人信息进行单向不可逆的数据脱敏。个人信息经过匿名化处理后，不能再从该信息中识别特定个人。

　　《个人信息保护法》第四条规范了个人信息之定义，即“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。该法将个人信息分为敏感与非敏感信息两类，并设“敏感个人信息的处理规则”专节进行详细规定。第二十八条对敏感个人信息定义为“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息”。《个人信息保护法》于第二章第二节对处理敏感个人信息作出严格的限制性规定，即在履行“告知—知情—同意”原则基础上，个人信息处理者在具有特定目的和充分必要性并采取严格保护措施的情形下，才能对敏感个人信息进行相应处理。

　　《数据安全法》第三条将数据定义为“以电子或者其他方式对信息的记录”。数据安全的目标是确保其有效保护与合法利用，因此该法第七条规定“国家保护个人、组织与数据有关的权益”，第二十一条则根据数据的风险程度规定各地区相关部门应建立数据分类分级保护制度。《浙江省公共数据条例》第三十条第一款第三项规定，涉及个人信息、商业秘密或者保密商务信息的公共数据禁止开放，并规定了匿名化处理的个人信息、商业秘密或者保密商务信息指向的特定自然人、法人或者非法人组织依法授权统一开放的数据，可列入受限开放或者无条件开放的公共数据。

　　三、“开盒”行为下网络用户隐私权保护

　　由上文可知，我国目前对个人信息保护的立法已相对完善。在法律层面，有《网络安全法》《个人信息保护法》《数据安全法》和《民法典》中有关隐私权及个人信息等的专项规定。《治安管理处罚法》和《刑法》也根据侵害个人信息行为的严重程度作出相应回应。此外，在规章、规范性文件及一些技术标准的层面也对个人信息保护有较为详细的规范和规定。但由于信息源头泄露方式、交易方式与获取方式都在不断变化，法律发挥的作用较为局限。虽然线下黑色产业从业人员大部分都在国内，但“开盒”及个人信息非法买卖这类行为多在境外线上平台进行。“开盒”行为的违法成本低，打击成本却非常高。

　　（一）网络运营商及数据中介加强安全防护

　　据《网络安全法》第二十四条相关规定可知，网络运营商与用户签订协议或确认为用户提供线上服务时，应当要求用户提供真实身份信息。因此，在用户拒绝提供其个人真实身份信息情形下，网络运营者也不得为其提供相应的服务。“某工库”等买卖个人信息的黑产从业者则是通过用户的APP账号反查其身份，即先取得用户账号与注册手机号的对应关系，再通过手机号与身份证的对应关系确定用户身份。某信、某博等社交APP都会要求用户开启通讯录权限。黑客通过获取联系人信息，再将姓名与账号库等信息关联，从而丰富账号库的信息资源。而账号与手机号的对应关系是通过APP开放的API（应用程序接口）获得。API作为用于进行个人信息查询的重要接口，需要加强安全保护。在2020年3月，工信部即针对某博因用户查询接口被恶意调用导致APP数据泄露问题，进行相关的问询约谈，要求其按照《网络安全法》等法律法规要求采取有效措施，消除数据安全隐患。网络运营商在使用个人信息时，应在确保个人信息不被非法窃取和非授权滥用的基础上，严格按照隐私政策声明的收集目的，控制个人信息的适用范围，规范用户画像及基于用户画像的个性化推荐行为，允许用户进行自主选择。此外，需要对个人信息进行委托处理、共享、转让和公开披露的，应当按照隐私政策生命安全周期的方式进行处理。

　　《数据安全法》明确了数据处理者、关键信息基础设施运营者、个人等业内各方参与者明确层级，并落实数据安全保护义务。网络运营商对数据的处理涵盖了其整个生命安全周期，用户个人信息一旦以电子数据的形式提交给运营商，用户对个人信息的使用、流转、删除等将难以追溯。因此，在收集个人信息时，网络运营商应明确告知用户收集其个人信息的目的，并征得用户同意，获得对该类个人信息的授权；在收集个人敏感信息时，要征得用户的明确同意；在收集用户的生物特征信息时，应单独告知用户收集该类信息的目的、方式、范围和存储时间等规则，并征得用户的明示同意。对于重要数据，处理者应当按照规定对其数据处理活动定期全方位开展风险评估，为数据处理全周期安全保驾护航。《数据安全法》第三十三条明确规定，数据交易中介服务机构应进行数据来源及交易双方身份核查，并留存核查与交易记录，提高数据交易的有序性和安全性。

　　（二）网络用户加强隐私保护

　　网络用户在注册平台账户时，为保护个人信息安全，应尽量选择规模较大、声誉良好的网络平台进行注册。而面对一些规模较小、无法确定其安全性的平台，可使用一次性邮箱或临时手机号码等服务进行注册，并且适当虚构填写资料，

　　从而防范潜在的泄露风险；此外，通过加强密码和双重身份验证提高账户安全性；还可以避免一些小程序在运行时，将用户信息提供给营销机构，从而开展广告、推广等活动。用户可通过手动关闭小程序权限以减少个人信息泄露；以“某工库”为例的黑产数据库长期积累各大网络平台的用户数据，因此网络用户可以针对性地更改自己的账户信息，并适当虚构资料内容从而预防信息泄露。网络用户也要及时销毁线下有关个人信息的物品，如含有姓名、住址及电话号码的快递包装。

　　（三）网络专项整治常态化

　　2021年工信部启动了互联网行业专项整治行动。该行动除聚焦常见的扰乱市场秩序和违反资源资质管理规定等问题外，还加强了对用户权益被侵害、数据安全遭受威胁等乱象的整治。

　　用户权益饱受侵害一直是互联网的“老大难”问题，比如用户在点击应用软件时，该软件会自动启动广告弹窗并跳转相应链接，此外还有应用软件强制提供个性化服务等问题。在数据安全遭受威胁方面，工信部重点整治互联网运营商在数据收集—传输—存储—对外提供这一数据生命安全周期中，运营商未依规定采取必要管理和技术措施等问题，例如在进行数据传输时未对敏感信息进行相应加密，在向第三方提供用户数据前未征得其授权等情形。

　　“人肉搜索”和“开盒”问题存在已久，且随着互联网的普及，互联网黑灰产业的滋生与蔓延，个人信息保护所面对的形势也日益严峻。我国虽已完善了个人信息保护的相关立法，但由于“开盒”等行为违法成本极低，维权与打击成本较高，受害者往往出现维权的困境。国家机构专项整治和专项执法行动虽频繁开展，但其力度和范围仍有待加强。截至目前，中央网信办等四部委于2019年采取互联网网站安全专项整治工作，整顿非法获取、出售或提供个人信息等行为的网站；2021年工信部启动了互联网行业专项整治行动，整治侵害用户权益、威胁数据安全等行为的网络平台。但面对地下庞大的个人信息买卖产业而言，相关机构的整顿力度和范围亟待加强。工信部可参照公安部的网络谣言专项整治行动，将个人信息安全纳入互联网专项整治行动。

　　参考文献

　　［1］李薇佳．250元查到你户口！揭开App用户数据泄露背后的黑产［EB/OL］．（2020-03-30）［2022-03-16］.https：//m．bjnews．com．cn/detail/158555679615346.html.

　　［2］观察者网．多位女明星遭虐猫团体“开盒”？网友曝光［EB/OL］．（2023-06-01）［2023-07-20］．https：//mp．weixin．qq．com/s/d_Ps8M8n0otScoQaajb2aQ.

　　［3］沈译笃．“人肉”“开盒”为何嚣张?［EB/OL］．（2023-06-16）［2023-07-16］．http：//zjnews．china．com．cn/yuanchuan/2023-06-16/381054．html.

　　［4］中国互联网络信息中心．CNNIC发布第51次《中国互联网络发展状况统计报告》［R/OL］．（2023-03-02）［2023-06-18］．https：//cnnic．