亟需被保護(hù)的個(gè)人信息
——從12306網(wǎng)站用戶數(shù)據(jù)泄露說起

■ 閆利平 王彩平

亟需被保護(hù)的個(gè)人信息
——從12306網(wǎng)站用戶數(shù)據(jù)泄露說起

■ 閆利平 王彩平

2014年12月25日，一名網(wǎng)友在國內(nèi)最大的漏洞報(bào)告平臺烏云官網(wǎng)爆出，大約13萬條12306用戶數(shù)據(jù)，包括用戶賬號、明文密碼、身份證、郵箱等被泄露，并在一些黑客群中進(jìn)行流傳、買賣。猶如一石激起千層浪，該貼在全社會引起軒然大波，人們很快回憶起，就在一年前的12月29日，春運(yùn)火車票剛剛在互聯(lián)網(wǎng)上開售那天下午3點(diǎn)左右，12306網(wǎng)站出現(xiàn)大規(guī)?！按枴笔鹿剩脩糁灰卿涀约旱馁~號，就可以看到大量訂票旅客的姓名、身份證號碼、手機(jī)號碼等信息。于是，如常，各種惡搞與挖苦諷刺蜂擁而至，12306再上風(fēng)口浪尖。

2014年，對于網(wǎng)民的個(gè)人信息保護(hù)而言，無疑又是一個(gè)多事之秋，多個(gè)重磅級的用戶數(shù)據(jù)泄露事件不斷被爆出，從攜程網(wǎng)信息安全門事件，到小米800萬用戶數(shù)據(jù)泄露，從快遞官網(wǎng)遭入侵，1400萬條用戶信息被轉(zhuǎn)賣，到東航系統(tǒng)漏洞或致大量用戶訂單信息泄露，從智聯(lián)招聘86萬用戶簡歷信息泄露，到12306網(wǎng)站個(gè)人信息被泄露，一浪高過一浪的個(gè)人信息泄露事件，令人目瞪口呆！

事實(shí)上，個(gè)人信息被泄露的情況不止在商業(yè)網(wǎng)站愈演愈烈，在政府管理過程中采集的公民信息，甚至個(gè)人敏感信息被泄露的事件也頻頻發(fā)生。比如，130萬考研用戶信息被泄露，職稱英語考試考生信息“裸奔”；再如，浙江省衛(wèi)計(jì)委的12萬名兒童及家長信息、南京車管所某系統(tǒng)46萬名學(xué)員信息等數(shù)據(jù)被泄露；“杭州市2003年至今所有近90萬名新生嬰兒及近180萬名父母敏感信息”，包括姓名、年齡、身份證、家庭住址都被泄露。在這個(gè)地下非法產(chǎn)業(yè)里，大量應(yīng)由國家機(jī)關(guān)掌握的公民個(gè)人信息遭到外泄，僅僅是湖南長沙一名犯罪嫌疑人電腦里的“存貨”就包括1.5億條個(gè)人信息資料。

2013年7月2日至10月28日，河北省對秦皇島市118家單位進(jìn)行了信息安全檢查，重點(diǎn)檢查的單位有黨政機(jī)關(guān)7家、大專院校15家、醫(yī)療單位21家、銀行證券17家、保險(xiǎn)32家、電信企業(yè)4家、事業(yè)單位及大型商場22家。結(jié)果顯示：該市各行各業(yè)都不同程度地存在網(wǎng)絡(luò)信息安全隱患，其中既有技術(shù)措施問題，也有管理問題，最嚴(yán)重的是對網(wǎng)絡(luò)信息安全責(zé)任制的認(rèn)識和落實(shí)不到位，網(wǎng)絡(luò)信息安全機(jī)構(gòu)、管理人員不健全，網(wǎng)絡(luò)信息安全經(jīng)費(fèi)落實(shí)不到位等現(xiàn)象普遍存在。這個(gè)結(jié)論雖然聽起來聳人聽聞，但仔細(xì)斟酌也并不驚訝，重金打造的12306網(wǎng)站都經(jīng)受不住“考驗(yàn)”，遑論其他呢？

2009年以來，一些地區(qū)信息詐騙案件持續(xù)高發(fā)。僅2013年，中國信息詐騙案件發(fā)案 30萬余起，群眾損失100多億元。個(gè)人信息泄露成為信息詐騙的源頭。據(jù)《反信息詐騙白皮書》介紹，越來越多的個(gè)人信息泄露導(dǎo)致信息詐騙正趨向精準(zhǔn)化，許多詐騙分子掌握了受害人的詳細(xì)資料，包括姓名、身份證號、電話、消費(fèi)記錄等，借此精心制造出有場景的“精準(zhǔn)詐騙”，讓很多民眾防不勝防。比如，李若彤的經(jīng)紀(jì)人被盜走100萬；武漢一國企財(cái)務(wù)部部長黃某被騙走3700 萬巨款。另據(jù)騰訊移動安全實(shí)驗(yàn)室數(shù)據(jù)顯示，2014年1月至11月，騰訊手機(jī)管家共收到用戶舉報(bào)詐騙短信6255萬，用戶主動標(biāo)記詐騙電話6287萬，而且每月新增詐騙短信、詐騙電話數(shù)量都在不斷攀升。公安部摸底調(diào)查后發(fā)現(xiàn)，此類犯罪活動極為猖獗，網(wǎng)絡(luò)犯罪覆蓋全國，涉案信息內(nèi)容包括金融、電信、教育、醫(yī)療、國土、工商、公安、民航等多個(gè)部門掌握的公民個(gè)人信息。

那么，對于普通老百姓而言，自己的信息被泄露之后怎么辦呢？從近年來與此相關(guān)的維權(quán)情況來看，成本過高，取證太難，用舉步維艱或欲哭無淚來形容也不為過。絕大多數(shù)公眾因?yàn)楦鞣N原因選擇不了了之?！盎蛘咭?yàn)樘幚韨€(gè)人信息的機(jī)構(gòu)推諉、搪塞而擱置，或者因?yàn)楫?dāng)事人預(yù)料到無法通過投訴、訴訟得到救濟(jì)而中途放棄?！闭?014年10月28日一位微博名為“咩咩不咩”的網(wǎng)友發(fā)文所稱：“我媽媽10月24日通過12580訂了一張東方航空的機(jī)票，事隔三天資料泄露，被不法分子詐騙10萬元，向12580和東方航空求證也得不到任何回應(yīng)。今天媽媽都差點(diǎn)暈死過去，我實(shí)在難過卻又不知道怎么辦，只能抱著這一點(diǎn)希望，求大家?guī)兔U(kuò)散轉(zhuǎn)發(fā)，謝謝了！”

此消彼長的是，由于缺乏約束，在巨大經(jīng)濟(jì)利益的推動下，我國已形成利用個(gè)人信息從事非法獲利的黑色鏈條，專門從事公民個(gè)人信息非法買賣的網(wǎng)站越來越多，而且制定了非常詳盡的收費(fèi)體系，被非法買賣的個(gè)人信息內(nèi)容包羅萬象，令人觸目驚心。

公民個(gè)人信息是一種特殊的社會資源，它承載著個(gè)人的人格利益,記錄了個(gè)人生活的重要部分。個(gè)人信息被濫用，無論是對群眾人身財(cái)產(chǎn)安全，還是對國家信息安全，都會造成巨大危害。隨著社會的發(fā)展和個(gè)人信息承載價(jià)值的演變，個(gè)人信息這一本來只具備工具意義的基本信息逐漸被附加了經(jīng)濟(jì)價(jià)值以及社會效益。因此，個(gè)人信息能夠被妥善保護(hù)，不僅是每個(gè)公民的迫切需求，也應(yīng)該成為立法者和相關(guān)理論研究者重點(diǎn)關(guān)注的問題。

針對日益猖獗的侵害公民個(gè)人信息犯罪活動，公安部曾先后于2012年2月、12月和2013年2月，3次部署全國公安機(jī)關(guān)開展集中打擊行動，共抓獲犯罪嫌疑人4115名，破獲出售、非法提供和非法獲取公民個(gè)人信息案件4382起，查獲被盜取的各類公民個(gè)人信息近50億條，打掉利用非法獲取的公民信息實(shí)施犯罪的團(tuán)伙985個(gè)。但是，為什么在重拳之下，個(gè)人信息泄露之亂像卻愈演愈烈呢？究其原因，主要有以下幾條。

首先，在這個(gè)收集、加工、倒賣個(gè)人信息的“產(chǎn)業(yè)鏈”上，每一個(gè)環(huán)節(jié)都獲利頗豐，巨大利益的驅(qū)使是公民個(gè)人信息被泄露、買賣的主要誘因。

個(gè)人信息不缺少買方市場，各種各樣的商業(yè)主體都需要收集公民個(gè)人信息，正因?yàn)槿绱耍舜罅坑袡C(jī)會接觸、掌握大量公民個(gè)人信息的行業(yè)及其從業(yè)人員鋌而走險(xiǎn)，將其履行職責(zé)和提供服務(wù)過程中獲取的公民個(gè)人信息出售、非法提供給不法商人或犯罪團(tuán)伙，從而牟取暴利。

北京市海淀區(qū)檢察院對2010年該院受理的涉及公民個(gè)人信息泄露的31件案件進(jìn)行分析后得出結(jié)論，機(jī)動車銷售、房產(chǎn)中介、銀行、電信、醫(yī)院等行業(yè)在公民個(gè)人信息管理上存有漏洞，再加上從業(yè)人員法律意識不強(qiáng)，易造成信息泄露，因而成為個(gè)人信息泄露的“重災(zāi)區(qū)”。

2011年2月28日，北京市第二中級人民法院開庭審理一起非法提供、獲取以及出售公民個(gè)人信息案，23名被告集體受審。這23名被告人中，既有專門從事公民個(gè)人信息買賣的無業(yè)人員，也有各類咨詢中心、調(diào)查公司負(fù)責(zé)人，同時(shí)還包括6名分別來自電信、聯(lián)通公司內(nèi)部，或其他公司派駐中國移動10086客服中心的職員。這些人結(jié)成了一條非法提供、獲取、銷售公民個(gè)人信息的完整鏈條。從2009年3月至12月，黃偉帆等7名電信工作人員，利用電信服務(wù)平臺，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息，出售或者非法提供給他人；劉紅波等14人則將非法獲取的公民個(gè)人信息進(jìn)行出售，或非法提供給他人或者相互進(jìn)行倒賣。第一被告劉紅波說，在她倒賣的信息中，一般手機(jī)機(jī)主信息她以每條30元的價(jià)格買入，然后以50元到80元不等的價(jià)格賣出，話單的買入價(jià)約200～400元，但經(jīng)她一倒手就能賣到300～500元。

除了買賣方市場，個(gè)人信息買賣市場還有大量的中間商，通過對個(gè)人信息的倒買倒賣，賺取高額利潤。2014年2月10日，成都警方逮捕了涉嫌非法獲取并倒賣20多萬條公民個(gè)人信息的犯罪嫌疑人周飛和敬某。周飛非法獲取的信息包括250多萬條學(xué)生信息、55萬多條樓盤戶主信息、13萬條車主信息。上海警方2013年底破獲大案，6名涉案嫌疑人非法獲取、出售股民、銀行千萬資產(chǎn)名錄等個(gè)人信息10億余條。這樣的案例不勝枚舉。

其次，相關(guān)的法律法規(guī)體系尚不健全，導(dǎo)致相關(guān)法律的實(shí)施效果大打折扣。目前，與個(gè)人信息保護(hù)相關(guān)的法律法規(guī)主要存在以下問題。

一是比較分散、缺乏系統(tǒng)性。目前，我國針對個(gè)人信息的法律法規(guī)并不少，近40部法律、30余部法規(guī)，以及近200部規(guī)章涉及個(gè)人信息保護(hù)，如民法通則、合同法、居民身份證法、檔案法、民事訴訟法、刑事訴訟法、行政訴訟法、商業(yè)銀行法、互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法等。但這些法律法規(guī)之間彼此銜接不上，缺乏系統(tǒng)性，很難發(fā)揮系統(tǒng)的力量。

二是概念模糊，主體不明。什么是個(gè)人信息？個(gè)人信息和個(gè)人隱私是一致的嗎？哪些個(gè)人信息應(yīng)該被納入保護(hù)的范圍？個(gè)人信息的主體、客體的責(zé)權(quán)利邊界分別是什么？目前在諸多法律中都找不到相應(yīng)的規(guī)范，因此，在執(zhí)法實(shí)踐中很容易導(dǎo)致出現(xiàn)分歧。

三是原則性強(qiáng)，但不具操作性。比如，2009年，刑法修正案(七)確定了“出售、非法提供公民個(gè)人信息罪”、“非法獲取公民個(gè)人信息罪”罪名，首次將公民個(gè)人信息納入刑法保護(hù)范疇，規(guī)定要追究泄露、竊取和售賣公民個(gè)人信息行為的刑事責(zé)任。這被認(rèn)為是個(gè)人信息立法的標(biāo)志性事件之一。但是，這一犯罪主體是“國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員”，事實(shí)上，個(gè)人信息泄露的重災(zāi)區(qū)，諸如互聯(lián)網(wǎng)公司、房地產(chǎn)公司、物業(yè)公司、汽車廠商、賓館酒店、會計(jì)師事務(wù)所等掌握個(gè)人信息的機(jī)構(gòu)和單位應(yīng)該如何入罪，該法案并未說明。同時(shí)，刑法也未明確該罪的具體界定標(biāo)準(zhǔn)，因此，執(zhí)行起來頗有難度。除此而外，“情節(jié)嚴(yán)重”是出售、非法提供、非法獲取公民個(gè)人信息罪的入罪要件，但何為“嚴(yán)重”，并沒有具體的標(biāo)準(zhǔn)加以規(guī)定，只能靠辦案人員自由裁量，尺度很不好把握；“違反國家規(guī)定”是確定行為“非法性”的前提，是出售、非法提供、非法獲取公民個(gè)人信息這三種行為入罪的關(guān)鍵點(diǎn)，但在實(shí)踐中，如何認(rèn)定出售、提供、獲取公民個(gè)人信息行為的“非法性”，并沒有具體的行政法律法規(guī)作為指引，這就給定罪造成了很大困難。類似的問題還有很多。

四是層級偏低、效力不足。以2013年2月開始實(shí)施的我國第一個(gè)個(gè)人信息保護(hù)國家標(biāo)準(zhǔn)——《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》為例，該標(biāo)準(zhǔn)將對個(gè)人信息的處理分為收集、加工、轉(zhuǎn)移和刪除四個(gè)主要環(huán)節(jié)，正式提出了處理個(gè)人信息時(shí)應(yīng)當(dāng)遵循的八項(xiàng)基本原則，即目的明確、最少夠用、公開告知、個(gè)人同意、質(zhì)量保證、安全保障、誠信履行和責(zé)任明確?？上У氖?，這個(gè)指南標(biāo)準(zhǔn)只是一個(gè)指導(dǎo)性技術(shù)文件，不是國家強(qiáng)制性標(biāo)準(zhǔn)，因此對行業(yè)能夠起到的規(guī)范效力十分有限。

再次，政府管理機(jī)制存在諸多深層次的問題，制度建設(shè)也不完善。

一是多頭管理、各自為政。建立一個(gè)獨(dú)立、統(tǒng)一、權(quán)威、有效的監(jiān)管機(jī)構(gòu)是目前世界各國的普遍經(jīng)驗(yàn)，它能夠超出行業(yè)的局限，獨(dú)立公正地執(zhí)法。新加坡已經(jīng)成立了保護(hù)個(gè)人信息的主要機(jī)構(gòu)——個(gè)人信息保護(hù)署。目前，我國承擔(dān)信息安全監(jiān)管工作的相關(guān)部門有工信部、公安部、國家保密局、國家密碼管理局、衛(wèi)計(jì)委、食品藥品監(jiān)督管理局、工商局、商務(wù)部、中國人民銀行、銀監(jiān)會、保監(jiān)會、證監(jiān)會等多個(gè)部門，很容易造成監(jiān)管信息溝通不暢、監(jiān)管無序。同時(shí)，管理者和被管理者并沒有嚴(yán)格地區(qū)分開，管理部門和被管理對象處在同一個(gè)行業(yè)，很難客觀、公正地進(jìn)行執(zhí)法。

二是“不在狀態(tài)”，有管理盲區(qū)。以長期困擾我們的頑疾——垃圾短信為例，涉及包括垃圾短信在內(nèi)的通信行業(yè)的投訴和監(jiān)管體系一直依賴原信息產(chǎn)業(yè)部改制后存留的通信管理局，然而，通信管理局只在省級設(shè)置，這就造成了這方面的業(yè)務(wù)有部門沒人管的局面，通信管理成為了擺設(shè)，是“飄著的浮云”。

三是制度不完善，問責(zé)不到位。以信息安全員崗位設(shè)置為例，從秦皇島市接受測評的118家單位情況匯總分析，90%以上信息安全員是信息中心主任或副主任兼任，信息安全員、網(wǎng)絡(luò)安全員、系統(tǒng)安全員、審計(jì)員等各種崗位的職能模糊，安全體系基本沒有，有的單位連一個(gè)專職的網(wǎng)絡(luò)信息安全人員都沒有，造成該單位網(wǎng)絡(luò)信息安全責(zé)任劃分嚴(yán)重缺失，一旦出現(xiàn)網(wǎng)絡(luò)信息安全事件，將從根本上無法追查，信息安全隱患非常嚴(yán)重。

通過觀察多起個(gè)人信息犯罪的案例發(fā)現(xiàn)，信息泄露者被查處和判罪的居多，但相關(guān)單位和部門被處罰的鮮見，如果不能建立對有關(guān)部門、單位的問責(zé)制，以更加嚴(yán)格、嚴(yán)密的管理制度進(jìn)行約束，很難從源頭上杜絕和防范個(gè)人信息泄露事件的發(fā)生。

在這個(gè)新媒體、大數(shù)據(jù)快速傳播的時(shí)代，我們每個(gè)人都會在互聯(lián)網(wǎng)上顯山露水，我們的個(gè)人信息也都會主動或被動地出現(xiàn)在互聯(lián)網(wǎng)上。因此，保護(hù)好個(gè)人信息，是一個(gè)重大的時(shí)代命題，亟需引起各級政府的高度重視，并身體力行實(shí)踐之。

（作者系河北行政學(xué)院教授、國家行政學(xué)院副教授）