摘要：

    索尼惊现“泄密门”，近1000万用户的信用卡信息危在旦夕，如果这一事件发生在中国，会有怎样的后果？对国内的游戏运营商们、中国的银行业以及第三方支付行业又有何种启示，请看本文的分解。

关键词：

    索尼 泄密 反思

正文：

    近日，娱乐业巨头索尼曝出“泄密门”，索尼公司下的PSN平台受到黑客攻击，泄露上亿用户资料及近1000万用户的信用卡信息，并且早在4月底已有黑客开始兜售打包的用户信用卡信息。

    先做下背景介绍，PSN是PlayStation Network的简称，是由索尼公司提供针对Playstation用户的免费网络，通常意义上的PSN指PlayStation Store，即PlayStation网络商店，用户需要采用电子支付手段来购买游戏、视频、音乐等付费内容的下载。目前已知的被盗用户信息包括：姓名、居住地址、邮编、国籍、电话号码、电子邮箱地址、密码、生日以及非常重要的信用卡号码、CVV2码和失效日期。其中被盗的信用卡信息，已经可以让他人独立完成信用卡的网上支付，单就这一点而言，用户的财产安全已经遭到了非常现实的威胁。

    然而，目前中国的立法显然并没有及时跟进这一互联网支付的趋势，笔者特意对相关的规定进行了检索：

    1、侵权责任法

    第三十六条 网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。

    网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任。

    网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。

    然而，该条更适用于互联网知识产权侵权类的案件，对于同为受害者的持有用户信息的互联网公司，是否要为用户信息被黑客窃取向用户承担责任，似乎并不明确。

    2、互联网信息服务管理办法

    该行政法规目前算是互联网领域的基本法，但除第六条第二项要求提供互联网信息服务的企业必须“有健全的网络与信息安全保障措施，包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度；”外，其余内容对于企业具体如何保障用户信息及泄密的责任仍然笔墨不多。

    3、非金融机构支付服务管理办法

    该办法属于由央行出台的部门规章，做为专门针对第三方支付的特别规定，其着眼点仍然在于行政管理而非对于用户的服务，对于用户信息的保护一项，只字未提。

    从上述法规和规章的大致梳理可以看出，在中国的互联网用户信息安全领域，的确鲜有明确的规定，对于持有用户信息的相关企业，到底如何才算履行了用户信息的保护责任，而未全面、适当履行该种责任又应当对用户承担何种责任，法律的边界在这一点上，是模糊不清的。

    但是否持有用户信息的网游公司、银行以及第三方支付公司可以高枕无忧了呢？非也，笔者以为，至少从侵权法的基本构成要件而言，持有用户信息的企业仍然可能构成侵权：

    假设，此事索尼“泄密门”事件发生在中国，那么如符合以下情况的话，将可能承担侵权责任：   

    1、主观过错

    黑客入侵，其侵权的主体是黑客，而非索尼公司，但如果索尼公司未及时将该情况告知用户或故意隐瞒该情况，则其主观上具有放任损害结果发生或扩大的过错，属于间接故意;

    2、侵权行为

    据现有的公开信息所知，发生黑客入侵一始，索尼公司并未及时发出明确的用户警示，而之后发布的警示又含混不清，直至，5月6日，索尼公司才终于公开承认了黑客入侵及用户信用卡信息被盗的情况，索尼公司未及时告知用户有关泄密的情况和警示，导致用户无法及时避免或挽回财产损失，该行为至少侵犯了用户的知情权和财产权

    3、损害结果

    由于索尼公司的隐瞒和拖延，导致用户无法在第一时间采取相应的措施，避免和减少损害的发生，导致了财产受损。

    4、因果关系

    用户发生及扩大的财产损失和索尼公司的知情不报及知情迟报之间存在因果关系。

    但即便如此，中国用户想要通过诉讼发动对类似索尼“泄密门”一类案件的实际最终结果可能并不乐观，相似的网银用户起诉银行的案例已经证明了这一点。

    最后，笔者想说的是，做为立法机关和相关部门应当对互联网用户信息引起足够的关注，尽快将相关的立法提上议事日程，以杜绝早些年东芝笔记本一类的案件再次重演，同时，对于持有用户信息的网游公司、银行及第三方支付公司而言，索尼“泄密门”事件对于整个互联网用户信息安全敲响了警钟，娱乐巨头尚且如此，中国的企业更应当对自身的安全措施进行不断的检查和反思，同时中国的互联网用户信息保障立法一定会最终出现，如何面对这一安全挑战，将是摆在所有互联网企业及开展互联网业务企业面前的一道课题。

    套用《蜘蛛侠》中的那句话：持有的用户信息越多，责任也越大！