谁把我“卖了”?!
首席记者|杨 江
对2012年公安部针对侵害个人信息安全专项整顿以来各地侦破的典型案件梳理后发现,政府职能部门、中介、银行、保险、医院、电信、快递、网站……它们,果真都是泄密大户。垃圾短信、广告推销、诈骗电话……谈及个人信息泄露,人人深恶痛绝,个人信息安全已经成为全社会关注的焦点,同时也似乎成为一个难以治愈社会肿瘤。
谁把我卖了?!《新民周刊》对2012年公安部针对侵害个人信息安全专项整顿以来各地侦破的典型案件进行了梳理。一些政府职能部门、中介、银行、保险、医院、电信、快递、网站……它们,果真都是泄密大户。
0.3元就可以收购一个新生宝宝的信息,1元钱就可以收购一张快递单号,3900元就可以买到160万名业主、车主的信息……
源头1:公职部门
对国家职能部门的工作人员而言,确保公民个人信息的安全本是他们肩负的一份公共责任,然而,令人失望的是,少数公职人员却将其当成了自己的生财之道。
28岁的河南省周口市商城县公安局交警大队警察童某,2010年11月至2012年4月期间,利用职务便利将通过公安内部网络查询的公民个人人口信息、车辆信息、宾馆入住信息等,以开设淘宝网店、QQ聊天、飞信聊天等方式,出售给他人,非法获利6万余元。办案人员从其QQ邮箱中提取已发出的涉案邮件中包含公民个人信息12441条。童某因此在今年11月被判处拘役6个月,缓刑1年。
无独有偶,今年8月,上海警方从罗维邓白氏公司非法获取公民个人信息案件入手,抓获了48名犯罪嫌疑人,查获泄露的各类公民个人信息近2亿条、企业信息数千万条。更是顺藤摸瓜从为上海市某政府部门服务的外包公司挖出了一名“内鬼”。
担任该公司技术部经理的张某利用开发、维护该部门出生系统数据库的职务便利,每月2次非法登录该数据库,累计下载了约14万条新生儿出生信息,非法获利3万余元。张某交代,其非法获取信息的场所都是在家里利用账号、密码轻易就可以登录数据库,打包下载信息。
另一起最新宣判的案例发生在湖北,现年23岁的广西柳江人梁某今年初注册了QQ号,并建立了搜索买卖考生信息及考试答案的QQ群。不久,梁某花800元从一个网友处购买了2012年全国护士、护师资格考试的考生个人信息,涉及湖北、湖南、河北、广东、内蒙古、四川等31个省市的共51万条考生信息。
梁某最终被判拘役5个月。如果“上家”不在招考部门,梁某如何购得如此精准的信息?
源头2:商业机构
11月8日,曾被2012年央视“3·15晚会”重点曝光的上海罗维邓白氏营销服务有限公司非法获取公民个人信息案在上海市闸北法院开庭。起诉书披露,从2010年3月起,罗维邓白氏以“信息数据采购合同”或“商业资讯咨询顾问合同”的形式,购买了包括手机号码、电子邮箱、家庭住址、银行账户、消费记录、婴幼儿情况等各类涉及公民个人的相关信息,用于该公司为其他公司提供的营销推广等服务。仅在2010年11月至2011年11月间,该公司就以约250万元的价格,购买了总数超过9000万条的各类个人信息。
庭审中首次披露,向“罗维邓白氏”出卖个人信息的,共有10多家企业。涉案人称,按照含金量的高低,每条个人信息的价格并不相同,简单的电子邮箱每条只值几分钱,而如果是包括了“车牌号、车款、姓名、手机”等字段的高档车车主信息,每条的价值可能就在1元以上。
涉案人还称,除了有相对固定的“老客户”定期向“罗维邓白氏”出卖信息之外,与客户单位交换信息,也是该公司收集公民个人信息的方法之一。
在个人信息的需求方,保险公司则是最主要的客户群。
源头3:金融机构
8月8日,央行上海分行对江苏银行上海金桥支行违规查询使用个人信用报告的情况予以通报。根据央行上海分行的调查,金桥支行于今年2月至4月,仅凭借宜信普惠信息咨询(北京)有限公司(以下简称“宜信惠普”)提供的查询授权书,在未与客户发生业务关系的情况下,查询了3.2万余人的个人信用报告,并将部分查询结果提供给从事小贷服务业务的宜信惠普。
在泄密大户中,金融机构的监管漏洞最为让人担忧,因为通过这个渠道流出的个人信息最容易被犯罪分子利用,从而给公民带来严重的财产损失。90后男子朱凯华正是利用招行、工行、农行内部的4名“内鬼”,获得了数千份银行客户个人征信报告,由此盗刷他人信用卡300余万元。
经查,招商银行信用卡中心工作人员胡斌从2010年11月起,在互联网上以“战无敌”、“夜光杯”等网名发布可以提供银行信息查询的广告。朱凯华通过网络和其结识后,提供了一份自己整理的“富人名单”。胡斌根据这份名单,通过银行内部网络系统,违规查询这些“富人”银行账户的相关情况,以每条几十元至100多元不等的价格出售给朱凯华。
中国工商银行武汉分行黄陂支行客户经理曹晓军从2011年2月至6月期间,通过中介向朱凯华出售个人征信报告多达2318份,非法获利23180元。此外,向朱凯华出售个人征信的还有中国农业银行无锡荣龙支行员工董婕和中国工商银行福州分行鼓楼支行客户经理陈荣哲。
朱凯华借此获得了数千条“富人”银行信息。在这些个人征信报告中包含了更为详尽的个人信息,包括客户收入、详细住址、手机号、家庭电话号码,甚至配偶和子女的职业、生日等等。掌握这些信息后,朱凯华及其同伙分别以持卡人生日、电话号码、住址门牌号或者简单的数字组合等来猜取被害人的银行卡密码,猜中概率居然能达到20%。
从2011年2月开始,上海警方接到几十起报警,均是银行卡存款莫名其妙被转走。上海市闸北法院最终以信用卡诈骗罪,判处朱凯华有期徒刑13年6个月。
4名银行员工分别被判处有期徒刑1年3个月至拘役6个月,缓刑6个月不等。
源头4:快递公司
迅猛发展的中国快递业,近日也深陷客户信息大面积泄漏危机。由于淘宝信用评级制度,众多小卖家为“刷钻”萌发新招:用真实的快递单号炮制逼真的虚假交易。包含着公民个人信息的快递“单号”被大面积泄露,甚至衍生出多个专门交易快递单号信息的网站。记者注册登录一家叫“淘单114”的网站,内有海量“单号”销售。快递单号信息的售价从一条0.4元至1元不等。风波并未阻碍这些网站的生意,记者12月2日登陆时发现,新“单号”仍在刷新。
这些“单号”都来自申通、圆通等多家快递公司。有了“单号”就等于知道了收件人的家庭住址、电话以及购买的物品等,一些不法分子就可以利用这些信息来干一些违法的事情。比如将电脑掉包成石头。
这场风波愈演愈烈,相关快递企业都在第一时间矢口否认公司泄露单号,但实际上,这些信息大多就来自这些公司的快递员,以及淘宝店主。
源头5:中间商
11月,上海奉贤警方经缜密侦查,成功破获了一起上海市迄今为止查获涉案公民信息量最大、涉案金额最高的“非法出售公民个人信息”案,抓获犯罪嫌疑人11名,涉案公民信息达10亿条,金额高达200余万元。
奉贤公安分局今年6月在审讯一起非法经营现货黄金案的犯罪嫌疑人时,嫌疑人主动交代其客户资料是通过网上聊天购买的,而且信息非常详细。警方随即展开调查,通过对涉案的QQ号和银行卡进行查证,发现一涉嫌“非法出售公民个人信息”的犯罪团伙,并锁定该犯罪团伙的窝点所在地在贵州省六盘水市盘县。
10月中旬,专案组一举捣毁该团伙,打开嫌疑人使用的作案电脑,全国各楼盘的业主信息、车主信息、快递订单等涉及公民个人的信息多达10亿余条。随机打开上海某高档楼盘的业主信息,房产面积、业主姓名、国籍、联系电话等一应俱全。
经审讯,该犯罪团伙主要通过在网上加好友聊天的方式发展客户,进而出售公民个人信息进行获利。
所有你有机会留下个人信息的渠道,哪怕是在餐厅、美容院填写的一张会员卡、在网站填写的注册资料,最终都可能成为搜集、倒卖你个人信息的源头。
3.
政府应做保护伞
法律界人士称,中国现实社会环境中,要遏制个人信息泄露,政府负有最重要的责任。政府需要重视保护公民个人信息,以强制力规范政府机关和商业机构的行为。
记者|黄 祺
人人深受“被问候”之扰,但又只能无奈接受——这是当前社会个人信息泄露的尴尬现状。
我们常被各种陌生人“问候”:
先生,您位于某某路的房子需要出售吗?
女士,恭喜您成为新妈妈,您最近在养育方面是否遇到问题?我们的某某品牌奶粉,专门针对……
小姐您好,我们了解到您是经常出差的商务人士,最近我们公司推出了一款保险产品,非常适合向您这样的……
更加危险的是以诈骗为目的的“问候”电话,已经给无数受害者带来财产损失,甚至生命安全的威胁。我们不得不担忧这些热情“问候”背后的问题:个人信息通过各种渠道被广泛泄露,每个人都快要变成“透明人”。
尽管今年以来公安部门重拳打击个人信息贩卖现象,也有重大案件成功侦破,但个人信息泄露并没有得到有效遏制,各种受害案件层出不穷。
在发达国家的成熟社会,个人报案、商业诚信、政府管理编织蛛网般保障体系,维护个人信息安全。当下中国社会,如果个人报案、商业诚信尚需培养,那么,政府高压管理,则成为保护个人信息安全的最重要防线。
“房婶”事件启示
“房婶”风波,给个人信息泄露现象添加了一个耐人寻味的注脚。
不久前,一则“广州城建退休领导李芸卿坐拥24套房产”消息在网络热传。由于之前有多名官员因微博曝光而被查实贪腐,网友在转发这条消息时,自然也抱着“大快人心”的心态,事先认定了“房婶”身上的罪状。
但事态并没有按照大多数网友的愿望发展,广州市纪委介入了解后,宣称“李芸卿未曾担任该单位行政职务,非中共党员,1997年退休。网上登载其家庭的24套房产情况基本属实,部分房产与其儿子共同所有”。
很快,李芸卿对自己个人信息遭泄露表达不满:“还没有证明我犯罪之前,就查我的个人资料,向社会公开,这是在犯法。房管部门也有责任。”李芸卿称,她从未委托任何人去查询自己名下房产。
按照相关规定,房产交易中心在两种情况下可允许他人查询个人房产信息,一是受房产所有者委托他人查询,一是通过司法途径,持有法院开具的案件受理通知书、法院传票等凭证的人可以查询。因此,李芸卿认为自己的个人信息被非法泄露。
尽管“房婶”是否涉嫌贪腐仍有不同说法,但“房婶”个人信息遭泄露却得到很多人的同情。在美国华人律师张军看来,“房嫂”事件的转折是国人对待个人信息泄露现象的理性判断。张军律师认为,应该鼓励李芸卿通过法律手段维护自己的权益,起诉泄露个人信息的机构。
华东政法大学司法研究中心主任游伟也表达了同样的看法:“我们不能因为目的是正确的,比如以打击腐败为目的,而容忍手段的不正当性。如果是这样,类似的事情就会发生在每个人的身上。”
公民对个人信息保护的重视,与公民意识的加强相伴而生,是一个逐步演进的过程。随着社会的进步,越来越多的人开始认识到,个人的权益包含了对个人信息是否公开的决定权,像“房婶”这般遭遇非法信息泄露的现象,越来越不被公众接受。
保护机制是个系统工程
事实上,“个人信息”本身也是一个相对模糊的概念,现有法律并没有对它有明确的界定,而在社会共识中,个人信息的哪些信息可以公开,公开的范围多大,也随着社会发展而不断变化。“很多年前,如果我们的电话号码被公开,我们就觉得自己的信息被公开了,隐私权有可能受到侵犯。但到今天,我们觉得电话号码被公开是可以被接受的。”张军律师认为,生活在现代信息社会,如果要想做到个人所有信息都不公开,是不现实的。但是,像家庭地址、社会保险号、子女情况等有可能危及安全的个人信息泄露,则不能被容忍。“个人信息全部不公开,带来的麻烦可能更大。所以一定是找一个大家都能够接受的平衡。”
个人信息泄露俨然已经是众人愤恨的目标,但面对这种现象,每个人却深感束手无策。在法制健全国家,个人信息的保护,很大程度上依靠公民的个人维权。“现代社会已经进入报案社会,个人不报案,警察一般不会主动调查,所以需要公民个体维护自己的权益。”
张军律师说。但在中国现实环境中,个人报案却十分罕见,就连“房婶”这样已经深受个人信息泄露之害的人,也未见得会采取法律手段维护权益。
大多数人虽然深受信息泄露的困扰,但并没有因此带来生命财产的损失,因此,即便报案也可能无法得到受理。为了弥补“空隙”, 美国联邦通讯委员会(FCC)接受未造成损失的信息泄露报案。“网络的发展很快,政府监管总有滞后的地方,FCC有一个调查机构,给予不同案件不同的优先,没有损失有现象,也欢迎你报案,他们会对这种犯罪形式进行研究,避免其他人因此而蒙受损失。”张军律师介绍了美国的做法,不过他坦言,要形成这样的保护机制,中国还需要时间,这是一个系统工程。
另一个保护个人信息安全的屏障,是商业诚信。在中国,不少商业机构已经学会在商业合同或者协议上注明“个人信息仅限于某用途”,但它们是否真能兑现承诺,则要打上大大的问号。
除了商业诚信,充分的市场竞争其实可以让商业机构自觉地重视对客户个人信息的保护。张军律师最近就接到了信用卡公司的电话,询问他是否在美国靠近墨西哥的一座小城加油站消费过。信用卡公司通过跟踪张军的消费习惯,怀疑他的信用卡遭遇盗刷,因此致电确认。张军接到电话确认信用卡被盗刷,信用卡公司立即启动保护程序,避免了客户的财产损失。
张军律师说,在美国竞争激烈的信用卡市场上,一家机构推出保护个人信息安全的措施,将为它赢得客户的信任和商业利益。而那些光想赚钱而不保护个人隐私的公司,一定会在竞争中被淘汰。
直接从刑法入手?
违法成本低,是目前中国个人信息泄露猖獗最直接的原因。游伟将个人信息泄露违法行为愈演愈烈的原因总结为:受害人数多、范围广、分散,维权成本高,因为这些原因,受害者受害意识反而降低,使得违法者的违法成本降低。简言之,对于泄露个人信息的源头来说,贩卖个人信息并没有多少风险。
近年来媒体曝光了多起个人信息泄露事件,泄露个人信息的机构涉及银行、房产公司、电信公司、医院等商业机构。在商业领域,贩卖个人信息已然成为半公开的行为。针对快递公司快递员贩卖个人信息情况,某电视台记者暗访了数名快递员,镜头中,快递员与假扮购买信息者的记者讨价还价,毫无避讳。
让人失望的是,泄露我们个人信息的,除了商业机构,还包括了政府公权力机构。
今年9月,广东省民政厅政务服务中心工作人员黄某被控非法获取公民个人信息罪。黄某利用工作上的便利,多次使用单位办公电脑进入该中心系统查询公民的婚姻登记资料,并将其中的21条登记信息,以每条150—300元不等的价格出售给他人。
尽管各种案件浮出水面,但对泄露信息责任人的追责却未见严厉。2009年通过的刑法修正案中新设了“非法获取公民个人信息罪”,但在很多案件中,这条法律被一些法律界人士评价为“形同虚设”——判罚不重,且将很多常见的非法行为排除在外。
关于出台《个人信息保护法》的呼吁从未间断。2003年国务院信息办启动《个人数据保护法》的研究课题,2005年《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》出台,但时至今日,并未有专门法出炉。
西南政法大学副教授和静钧撰文认为,专门立法未能出台,并非是立法部门懈怠使然,就个人信息保护立法而言,这一部一般性法律要无缝对接《民法通则》、《民事诉讼法》及《侵权责任法》等原则规定,就得先对更基本的法律作出相应的修改和补充,这涉及到冗长的立法周期,其中在隐私权保护的力度及诉讼成本上要先作相当大的修改,这也牵涉到宪法性权利的修改,否则就形成“下位法大于上位法”的法理冲突。另一方面,涉及多个产业的跨部门立法活动,在中国目前的立法模式下,随着参与部门越多,协调会更难,立法所耗费的时间会越长。
因此,和静钧认为应该绕开隐私权法理与民事诉讼上的纠结,直接从现有《刑法》上对侵害个人信息罪的规定入手,推动行政处罚末端体系的建立,从而推动个人信息的国家保护力度的提升。
这样的看法代表了法律界的共识:在公民维权和商业诚信有待培育的社会现实环境中,要遏制个人信息泄露,政府必须承担重任,以行政力推动各种机构的行为,堵住信息泄露的源头。
法律乏力之后,政府被给予更多期待。张军律师介绍,从美国的经验看,政府在保护个人信息上的责任有两个,一个是管好自己的下属机构,另一个则是为市场竞争制定好规则,让商业机构遵守保护个人隐私的规定。
个人隐私泄露在美国也是一个让公众和政府感到困扰的问题,甚至发生过恶性案件。张军介绍,历史上曾有一个事件:办理强奸案的警察泄露了被害人的地址,媒体记者找到被害人采访,让这名被害人承受了巨大的压力。
现在,美国政府越来越将保护个人信息作为政府部门重要的责任,在当地法规中,如果一个政府部门向客户承诺不会将个人信息移作他用,这意味着不仅不能给任何其他商业机构,也不能给政府内部的其他机构,除非有法院证明需要提供。如果政府部门泄露了个人信息,轻的构成渎职,严重的可以构成刑事犯罪。
“伊拉克、阿富汗战场上阵亡的美国士兵回国安葬,如果家属不同意,政府就不能公开他的葬礼信息。” 现在,对个人信息的保护已经成为美国社会和政府的共识。
特别是在一些个人信息泄露案件中,受惩处的总是个人,商业机构安然无恙,这样的结果自然给更多的违法行为以鼓励。游伟教授认为,现实环境下,政府对泄露信息的机构进行追责,实行行政处罚,是遏制信息泄露最有效的手段。“对于那些大型商业机构来说,贩卖客户信息并非为了‘卖钱’,更有可能是与购买信息者达成商业协议,‘共享’客户信息,以此获取更多的收益,这样的违法行为,应该予以严厉的打击。”
“政府的重视非常重要,政府的举措对社会具有引领性、导向性。”游伟说。
公”“私”信息不对称
在普通人抱怨自己的信息轻易被当做商品在市场上流通的同时,政府公职人员应受监督的信息却难以公开,这样的现实让很多人大为不满。
近期,由于微博的兴起,多名政府高官被网友揭发拥有巨额财产,最终,“表叔”、“房叔”等各类贪官被查实贪腐问题。但遗憾的是,网友揭发的证据很可能来自非法的渠道,而如果通过合法渠道,普通人则难以获得这些信息。
“政府公职人员与普通人享有的隐私权是不同的,既然你选择成为公职人员,就有责任将一部分个人信息公开,接受公众的监督。”张军律师介绍说,美国最高法院对公务员的隐私权的判例有很多起,特别是高级别的公务员也就是官员,更应该公开部分个人信息。最典型的案例是,“水门事件”以后,司法机关对时任总统的尼克松进行调查,尼克松申请享受一部分隐私权,但被法院否定。
在包括香港、新加坡等以廉政闻名的地区和国家,官员财产已经做到向公众公开,公民随时可以查询官员财产信息并质疑其真实性。呼吁多年后,中国官员财产公开制度并没有变成现实,某些部门实行“内部申报制度”,但这种缺少监督的申报,在大多数人看来形同虚设。
当公职人员和普通人之间的隐私权差别得不到认可,横亘其上的个人信息边界也就无法厘清。与之相伴的则是个人信息保护始终流于个案查办,而无法上升到制度建设。
加载中,请稍候...
