【媒体报道】南方法治报:谁来为“裸奔”的个人信息穿上铠甲?
南方法治报2016年9月23日讯
前一天办好了银行卡,第二天就接到了各种贷款电话;前一天刚提的车,第二天就接到了保险公司的车险电话;刚办理股票开户,就接到了各种理财短信。这样的遭遇相信很多人在日常生活中都遇到过,而究其原因,正是个人信息泄露。
如果说只是几个骚扰短信、骚扰电话,大部分人忍一忍就过去了,可如果泄露的个人信息被不法分子利用,就会发展为电信诈骗,甚至是“夺命电话”。
个人信息泄露严重 有学生被骗学费离世
据中国互联网协会发布的《中国网民权益保护调查报告2016》显示,2015年下半年到今年上半年一年间,我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失高达915亿元。报告显示,54%的网民认为个人信息泄露情况严重;84%的网民曾亲身感受到由于个人信息泄露带来的不良影响;72%的网民认为个人身份信息泄露情况最为严重,包括网民姓名、手机号、电子邮件、学历、住址、身份证号等信息。
据媒体报道,8月19日下午,收到大学录取通知书的山东临沂女孩徐玉玉接到了一通陌生电话,对方声称有一笔2600元的助学金要发给她。而就在一天前,徐玉玉刚接到教育部门发放助学金的通知,由于前一天接到的教育部门电话是真的,所以当时她并没有怀疑这个电话的真伪,按照对方要求,徐玉玉将准备交学费的9900元打入了骗子提供的账号,发现被骗后徐玉玉郁结于心致心脏骤停,后经抢救无效离世。
报道还称,徐玉玉的不少同学表示也曾接到过类似诈骗电话。显而易见,徐玉玉被诈骗的关键因素,就是不法分子精准掌握了她刚被大学录取,且即将收到助学金的信息。
2
拥有大量个人信息 重点网站成黑客“宝库”
据广东省网警总队负责信息网络安全等级保护的工作人员介绍,我国现有信息网络安全等级保护按照主要程度分为5个级别,其中高考系统与银行、证券、电网等行业同属一个级别,受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害,用户单位需每半年对系统进行一次安全评测,确保系统安全。
然而即使是这样的安保等级也没能阻止徐玉玉案的发生。在徐玉玉案中,徐玉玉的个人信息正是被犯罪嫌疑人通过黑客技术手段获取,嫌疑人杜某利用技术手法入侵了“山东省2016高考网上报名信息系统”,植入木马病毒,盗取了系统数据,以每条0.5元的价格将包含徐玉玉在内的1800条高中毕业生资料贩卖给了陈某,最终由陈某实施了电信诈骗。
而在2014年、2015年教育部、公安部发布的《教育行业信息系统安全等级保护定级工作指南》、《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》两份通知中,对教育行业建议的最高安全保护等级与银行等行业相差一级,二者之间相差了29条相关指标,例行检查也由半年一次降为一年一次。此前就有媒体报道四川某高校学生成功破译本校教务网管理员账号密码,并以一科300元的价格帮助他人修改成绩,最终获利1.3万元。
持有大量隐私信息的医院、学校等单位,其信息化进程不断加速与网络安全防护薄弱之间的矛盾比较突出。据360互联网安全中心发布的《2015年中国网站安全报告》显示,在“补天平台”(安全漏洞通报平台)通报的泄露信息漏洞中,在行业对比方面,医疗卫生、电信运营商、金融理财和教育培训名列前茅,涉及信息超过5.7亿条;泄露信息漏洞的修复率方面,医疗卫生和教育培训类网站的泄露信息漏洞修复率为零。
除了医疗卫生和教育培训类网站外,2014年12月,中国铁道部的官方订票网站12306就曾被曝出超过13万条的用户数据在互联网上被传播和售卖,这其中包括注册公民的用户账号、明文密码、真实姓名、邮箱、身份证号等。
上述掌握庞大公民敏感信息的重点单位中,“重应用、轻安全”的情况普遍存在,在网络安全防护上不作为、懒作为的情况较为突出,致使这些拥有大量公民敏感信息的系统网络安全漏洞频出,被黑客非法入侵后获取信息并大肆倒卖,实际上成为了黑客产业链的重要信息源。
3
电信诈骗发展需求大 信息贩卖形成产业链
2009年3月2日,中国社科院发布《法治蓝皮书》,将我国个人信息滥用情况大致归纳为如下类别:第一种是过度收集个人信息,有关机构超出所办理业务的需要,收集大量非必要或完全无关的个人信息;第二种是擅自披露个人信息,有关机构未获法律授权、未经本人许可或者超出必要限度地披露他人个人信息;第三种是擅自提供个人信息,有关机构在未经法律授权或者本人同意的情况下,将所掌握的个人信息提供给其他机构。
而随着电信诈骗产业的发展,个人信息贩卖已经成为了这个链条上不可或缺的一环。今年6月,广东省公安厅发动旨在打击个人信息买卖的“安网一号”行动,在茂名警方侦破的苏某侵犯公民个人信息案件中,犯罪嫌疑人苏某多次向电白籍电信诈骗团伙以每条0.4元至1元不等的价格出售公民个人信息,累计高达数百万条。这些精准的个人信息流入到这些职业电信诈骗团伙手中,后果可想而知。
而除了用于电信诈骗之外,大量的个人信息还流向了那些需要推销广告信息、出售假冒发票和垃圾信息发布源头的人,如房屋中介、装修公司、保险公司、母婴用品企业、广告公司、教育培训机构等日渐兴盛的产品推销和服务企业,也由此诞生了大量的信息掮客。
广州警方破获的“6·12”专案中,打掉了一个在广州从事买卖公民个人信息的作案团伙,共捣毁窝点21个,抓获涉案嫌疑人133名。据警方介绍,该团伙通过网上下载和QQ购买的形式非法获取大量公民信息,再将购买的信息通过互联网与客户交易,交易的大量信息涉及企业信息、个人身份、电话、房屋、银行卡、游戏等资料,将其出售给征信公司、贷款公司、咨询公司及其他下线买家,相关下线买家通过获取的信息,进行非法追债、获取个人征信报告办理贷款业务、调查个人情况,实施诈骗、盗窃、敲诈勒索等不法行为。
这就是为什么市民在前一天办好了银行卡,第二天就接到了贷款电话。
4
无专门个人信息保护法 现有罪名认定标准模糊
近年来由于个人信息泄露导致诈骗案件频现,对个人信息从法律层面进行保护成为社会关注的焦点。
据资料显示,我国早在2003年起就由国务院委托有关专家开始起草《个人信息保护法》,2005年专家建议稿已经完成,并提交国务院审议。但11年的时间过去了,相关法律仍然处于缺失状态。
我国宪法、民法通则中都有条款涉及保护个人信息,2012年12月,全国人大常委会颁布《关于加强网络信息保护的决定》,将公民个人电子信息保护纳入法律层面;2013年7月,工信部制定出台《电信和互联网用户个人信息保护规定》;2015年开始施行的《中华人民共和国刑法修正案(九)》中也专门新设了侵犯公民个人信息罪,“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。另外,对违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的从重处罚。
这些法律法规的制定对于公民个人信息保护起到了一定的积极作用。但是,在越来越猖獗的不法分子面前,这些个人信息保护的相关法律法规的执行力度显然还不够。
据华南理工大学法学院教授滕宏庆介绍,“在个人信息保护方面,目前还没有单行法,多为分散式立法,没有系统法律。而在《中华人民共和国刑法修正案(九)》中虽然设立了侵犯公民个人信息罪,但是仍属于‘沉睡条款’,直到徐玉玉案轰动全国后,各地才陆续出现了首例侵犯公民个人信息罪判决。一方面说明了这一罪名的制定主要属于震慑作用,在归罪过程中很难界定;另一方面,这个罪名中使用的一些概念、术语、条件都还比较模糊,例如何为情节严重,个人的哪些信息可以被公开,哪些不可以,相关法律并没有给出认定标准。”
据上海法院在中国法院网公布的《侵犯公民个人信息罪定罪标准研究》显示,在法院审理的侵害公民个人信息类案件中,所涉及信息类型几乎囊括了个人生活的各个方面。可是在没有对公民个人信息下一个准确定义前,法官们只能凭借自身的经验和社会的一般评价进行判断。
而在情节严重的标准判定上,也存在较大差异,例如在信息数量这一情节中,认定的标准就存在较大的不同,既有以万为单位认定侵害公民个人信息数量巨大,情节严重的,也有以几十条个人信息认定构成犯罪的。
他山之石
港澳:制定专门法律保护个人资料
作为上个世纪的亚洲四小龙之一,香港在很早以前就遇到过个人信息贩卖猖獗的情况。此前据媒体报道,2006年至2010年期间,香港八达通公司将其197万名客户资料提供给特定商户,获得收益达4400万港元;之后媒体又曝出香港6家银行在5年时间里将总计60多万名客户的资料透露给第三方。
为遏制商业机构滥用客户数据的情况,香港从2013年起开始实施新的《个人资料(私隐)(修订)条例》,其中规定任何商业机构如果没有事先通知客户并得到客户同意,使用或将客户数据转交第三方,将面临最高被处以100万港元罚款和5年监禁的惩罚。
然而通常涉事公司接到隐私被泄露的客户投诉,往往以涉及商业秘密为由拒绝回应。这时,监察和督导个人资料隐私获得保障的重担就落在了香港私隐专员公署肩上。
公署负责监管香港所有管理个人资料的机构,包括所有政府部门,且不受任何政府部门的指示和管辖。近年来,香港警队、特区入境处、医院管理局等机构都曾因个人资料处理失当接受过公署的质询。
同样,澳门也在2005年制定了《个人资料保护法》,并于2007年成立了个人资料保护办公室。
欧美:泄露公民隐私有可能被罚到破产
而在经济更为发达的欧美等国,关于公民个人信息保护很早之前就有相关法律出台。美国早在1974年即颁布了《隐私权法》。1986年,美国国会又通过了《联邦电子通讯隐私权法案》。英国1984年制定的《数据保护法》规定,不允许以欺骗手段从数据主体那里取得信息,搜集取得个人信息必须征得有关个人的同意。个人信息受到法律的严格保护,若有企业和机构泄露了公民隐私,有可能被罚得倾家荡产。如2011年迪士尼在美国因获取了几千条儿童个人信息被处罚300万美元;2013年Face⁃book两次因“收集、曝光信息”共被罚款2950万美元。
而在我国,少有企业单位因为信息泄露而吃到罚单,甚至在公开的判决书中,被惩处的卖家也远远少于买家。
个人信息保护,仍在路上。