（一）个人信息的合法使用的基本原则

《网络安全法》为了加强保护个人信息，明确规定了网络运营者在收集、使用和处理个人信息的过程中应当遵循的四大基本原则，分别是：

（1）合法、正当、必要的原则。一方面网络运营者不得违反法律、行政法规的规定和双方的约定收集和使用个人信息，另一方面在合法收集的过程中不得收集与其提供的网络服务无关的个人信息，并且还需依照法律法规的规定及其与用户的约定，处理其保存的个人信息，防止泄露；

（2）公开透明原则。网络运营者应在网络空间醒目位置公开其收集、使用公民个人信息的规则，标明收集、使用信息的特殊目的、操作方式和涵盖范围，这些内容作为用户使用协议的一部分；

（3）同意原则。网络运营者收集、使用个人信息应经被收集者的同意。如信息主体发现网络运营者违反法律法规的规定或双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有误的，有权通知网络运营者纠正，即信息主体对有关自身信息具有删除权和更正权；

（4）安全保障原则。网络运营者应当采取相应的技术措施，确保其收集的公民个人信息安全，不被泄露、篡改、毁损；未经信息主体同意和法律的特殊规定，网络运营者不得将其向他人提供。

（二）个人信息的泄露

信息泄露是导致个人信息在网络上被广泛传播甚至导致违法犯罪的前提。信息泄露有三大原因：拥有个人信息数据的网络运营者被他人窃取或自己泄露；网络运营者自身的技术漏洞导致，造成用户的隐私信息被大量泄露；信息主体自己由于保管不当，被他人轻易获取等。

个人信息泄露之处根据整个产业的流转而不断变化，涉及消费购物、金融投资、服务咨询等环节。以电商为例，包括各商家、电商平台和物流等环节，这些环节均是个人信息泄露的原因。

1.商家环节，内部倒卖

内部员工倒卖订单数据分为两种情况：一类是内部员工行为，例如一小型商家对员工的录用，不在乎学历和背景，员工流动性大，因此有些许利益就很容易诱发倒卖数据；另一类是专门从事违法倒卖手机个人信息的人员，派人应聘相关个人信息密集的公司以窃取数据。具体泄露方式有：①木马病毒。木马病毒藏匿在商家提供给员工的订单文件或链接当中，一旦文件或链接被触发，木马和病毒会潜伏监控员工电脑操作，获取订单软件系统信息的账号密码。②三方工具后台。专业从事违法收集个人信息的人员针对商家在线销售所需要的系统，包括仓库管理、订单管理和面单打印等系统，开发软件、窃取订单和个人信息，或利用商家这些系统安全能力薄弱、有漏洞，从而窃取订单和个人信息。③弱口令。由于商家员工的流动性，离职后密码没有修改造成订单信息被窃取。④无线与监听问题。较多电商公司所用的小型家用无线路由器因默认密码不予修改或者是自身本身存在漏洞，被黑客采用“DNS中间人”和“网络监听流量”等手段获取网络流量信息，造成不易察觉的信息泄露。

2.用户环节

用户环节较为突出的问题是：账号被盗、木马病毒、钓鱼和无线上网。

（1）账号被盗。目前主要是“撞库”。“‘撞库’是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登录其他网站后，得到一系列可以登录的用户。”^[8]较为常见的防御手段比如设备指纹和IP判定等防扫号。

（2）木马病毒。较为突出的泄露途径为移动手机。其中将近70%的个人信息和订单信息泄露于手机用户。针对该种泄露途径，则需要在手机App上增加一些安全的功能，对其中一些数据做特殊加密，对启动环境进行判断。

（3）钓鱼。其主要形式有伪基站钓鱼、社工类钓鱼、冒充客服电话和兼职招聘收集用户信息等，其目的是为了得到用户账号从而获取信息。(www.daowen.com)

（4）无线。主要是伪热点收集信息。

3.物流环节

物流环节与商户环节较为类似，主要风险点在于：

（1）内部倒卖。表现形式是物流公司内部人员倒卖系统数据、倒卖物流面单。倒卖物流订单的特点是地域化比较集中，通常集中于某些门店，较为容易归类发现。这类门店的特点是代理加盟的物流点、管理松散。

（2）系统漏洞。攻击者利用物流公司内部的系统漏洞，可直接从系统上窃取物流海量商家和用户信息。

4.电商平台

电商平台部分主要集中在电商员工和系统漏洞。其中，电商平台外包员工泄露信息概率较大。

（1）内部员工。电商业务系统中能够接触到用户订单的员工数量较多，通常针对内部员工的管控比较容易，可采用匿名化处理或操作监控实现。另外，电商公司必须要加强警示教育，严防信息泄露风险。

（2）外包员工。电商业务较多向非本公司内部员工外包，包括外包的应用系统开发、基础架构的维护和客服，这类人员是外包公司所能接触订单个人信息中较为集中的一类群体。

（3）电商企业的系统漏洞。包括防扫号、SQL注入、越权、遍历问题及搜索引擎爬取。

（三）个人信息泄露的法律责任界定

《网络交易管理办法》第25条第二款和《电子商务法》第30条明确规定，电子商务平台经营者应当采取必要的技术手段和管理措施保证其平台网络的正常运行、安全和稳定。法律以此规定约束第三方电子商务交易平台，约束平台经营者在发生信息泄露时，需要由自身力量来查清其中原因，采取一定的措施防止信息泄露事件的进一步恶化，并最终追究相关责任主体的法律责任。这既是法律赋予的责任，也是第三方电子商务交易平台利用其信息和技术优势地位保护普通消费者的义务。

信息泄露存在不同的情况，如果电商平台提供了符合其规模的保护措施，但在这种情况之下还是被黑客入侵了系统，这种情况属于不可抗力，第三方电商平台可不用承担责任，但如最终发现因平台存在漏洞而导致信息泄露，则第三方电商平台需要承担相应责任。

若网络黑客盗取信息数据的手段是利用技术获得用户或管理人员的账号密码，从而获取用户信息或其他有价值的信息，则需进一步考量第三方电商平台在数据保密维度上，其所用保护信息的技术水平是否足够高、有无明显的技术漏洞以及是否建立和施行《网络安全法》规定的安全制度。如若一些初学黑客也可以轻易地攻破第三方电商平台的安全保护措施或未建立和施行符合第三方电商平台的特征的网络安全制度的，则可以从法律上界定平台没有给予与其规模相匹配的保护，这样的情况下可以认为平台存在漏洞，需要承担责任。