亟需被保護的個人信息
——從12306網站用戶數據泄露說起

■ 閆利平 王彩平

亟需被保護的個人信息
——從12306網站用戶數據泄露說起

■ 閆利平 王彩平

2014年12月25日，一名網友在國內最大的漏洞報告平臺烏云官網爆出，大約13萬條12306用戶數據，包括用戶賬號、明文密碼、身份證、郵箱等被泄露，并在一些黑客群中進行流傳、買賣。猶如一石激起千層浪，該貼在全社會引起軒然大波，人們很快回憶起，就在一年前的12月29日，春運火車票剛剛在互聯網上開售那天下午3點左右，12306網站出現大規模“串號”事故，用戶只要登錄自己的賬號，就可以看到大量訂票旅客的姓名、身份證號碼、手機號碼等信息。于是，如常，各種惡搞與挖苦諷刺蜂擁而至，12306再上風口浪尖。

2014年，對于網民的個人信息保護而言，無疑又是一個多事之秋，多個重磅級的用戶數據泄露事件不斷被爆出，從攜程網信息安全門事件，到小米800萬用戶數據泄露，從快遞官網遭入侵，1400萬條用戶信息被轉賣，到東航系統漏洞或致大量用戶訂單信息泄露，從智聯招聘86萬用戶簡歷信息泄露，到12306網站個人信息被泄露，一浪高過一浪的個人信息泄露事件，令人目瞪口呆！

事實上，個人信息被泄露的情況不止在商業網站愈演愈烈，在政府管理過程中采集的公民信息，甚至個人敏感信息被泄露的事件也頻頻發生。比如，130萬考研用戶信息被泄露，職稱英語考試考生信息“裸奔”；再如，浙江省衛計委的12萬名兒童及家長信息、南京車管所某系統46萬名學員信息等數據被泄露；“杭州市2003年至今所有近90萬名新生嬰兒及近180萬名父母敏感信息”，包括姓名、年齡、身份證、家庭住址都被泄露。在這個地下非法產業里，大量應由國家機關掌握的公民個人信息遭到外泄，僅僅是湖南長沙一名犯罪嫌疑人電腦里的“存貨”就包括1.5億條個人信息資料。

2013年7月2日至10月28日，河北省對秦皇島市118家單位進行了信息安全檢查，重點檢查的單位有黨政機關7家、大專院校15家、醫療單位21家、銀行證券17家、保險32家、電信企業4家、事業單位及大型商場22家。結果顯示：該市各行各業都不同程度地存在網絡信息安全隱患，其中既有技術措施問題，也有管理問題，最嚴重的是對網絡信息安全責任制的認識和落實不到位，網絡信息安全機構、管理人員不健全，網絡信息安全經費落實不到位等現象普遍存在。這個結論雖然聽起來聳人聽聞，但仔細斟酌也并不驚訝，重金打造的12306網站都經受不住“考驗”，遑論其他呢？

2009年以來，一些地區信息詐騙案件持續高發。僅2013年，中國信息詐騙案件發案 30萬余起，群眾損失100多億元。個人信息泄露成為信息詐騙的源頭。據《反信息詐騙白皮書》介紹，越來越多的個人信息泄露導致信息詐騙正趨向精準化，許多詐騙分子掌握了受害人的詳細資料，包括姓名、身份證號、電話、消費記錄等，借此精心制造出有場景的“精準詐騙”，讓很多民眾防不勝防。比如，李若彤的經紀人被盜走100萬；武漢一國企財務部部長黃某被騙走3700 萬巨款。另據騰訊移動安全實驗室數據顯示，2014年1月至11月，騰訊手機管家共收到用戶舉報詐騙短信6255萬，用戶主動標記詐騙電話6287萬，而且每月新增詐騙短信、詐騙電話數量都在不斷攀升。公安部摸底調查后發現，此類犯罪活動極為猖獗，網絡犯罪覆蓋全國，涉案信息內容包括金融、電信、教育、醫療、國土、工商、公安、民航等多個部門掌握的公民個人信息。

那么，對于普通老百姓而言，自己的信息被泄露之后怎么辦呢？從近年來與此相關的維權情況來看，成本過高，取證太難，用舉步維艱或欲哭無淚來形容也不為過。絕大多數公眾因為各種原因選擇不了了之。“或者因為處理個人信息的機構推諉、搪塞而擱置，或者因為當事人預料到無法通過投訴、訴訟得到救濟而中途放棄。”正如2014年10月28日一位微博名為“咩咩不咩”的網友發文所稱：“我媽媽10月24日通過12580訂了一張東方航空的機票，事隔三天資料泄露，被不法分子詐騙10萬元，向12580和東方航空求證也得不到任何回應。今天媽媽都差點暈死過去，我實在難過卻又不知道怎么辦，只能抱著這一點希望，求大家幫忙擴散轉發，謝謝了！”

此消彼長的是，由于缺乏約束，在巨大經濟利益的推動下，我國已形成利用個人信息從事非法獲利的黑色鏈條，專門從事公民個人信息非法買賣的網站越來越多，而且制定了非常詳盡的收費體系，被非法買賣的個人信息內容包羅萬象，令人觸目驚心。

公民個人信息是一種特殊的社會資源，它承載著個人的人格利益,記錄了個人生活的重要部分。個人信息被濫用，無論是對群眾人身財產安全，還是對國家信息安全，都會造成巨大危害。隨著社會的發展和個人信息承載價值的演變，個人信息這一本來只具備工具意義的基本信息逐漸被附加了經濟價值以及社會效益。因此，個人信息能夠被妥善保護，不僅是每個公民的迫切需求，也應該成為立法者和相關理論研究者重點關注的問題。

針對日益猖獗的侵害公民個人信息犯罪活動，公安部曾先后于2012年2月、12月和2013年2月，3次部署全國公安機關開展集中打擊行動，共抓獲犯罪嫌疑人4115名，破獲出售、非法提供和非法獲取公民個人信息案件4382起，查獲被盜取的各類公民個人信息近50億條，打掉利用非法獲取的公民信息實施犯罪的團伙985個。但是，為什么在重拳之下，個人信息泄露之亂像卻愈演愈烈呢？究其原因，主要有以下幾條。

首先，在這個收集、加工、倒賣個人信息的“產業鏈”上，每一個環節都獲利頗豐，巨大利益的驅使是公民個人信息被泄露、買賣的主要誘因。

個人信息不缺少買方市場，各種各樣的商業主體都需要收集公民個人信息，正因為如此，吸引了大量有機會接觸、掌握大量公民個人信息的行業及其從業人員鋌而走險，將其履行職責和提供服務過程中獲取的公民個人信息出售、非法提供給不法商人或犯罪團伙，從而牟取暴利。

北京市海淀區檢察院對2010年該院受理的涉及公民個人信息泄露的31件案件進行分析后得出結論，機動車銷售、房產中介、銀行、電信、醫院等行業在公民個人信息管理上存有漏洞，再加上從業人員法律意識不強，易造成信息泄露，因而成為個人信息泄露的“重災區”。

2011年2月28日，北京市第二中級人民法院開庭審理一起非法提供、獲取以及出售公民個人信息案，23名被告集體受審。這23名被告人中，既有專門從事公民個人信息買賣的無業人員，也有各類咨詢中心、調查公司負責人，同時還包括6名分別來自電信、聯通公司內部，或其他公司派駐中國移動10086客服中心的職員。這些人結成了一條非法提供、獲取、銷售公民個人信息的完整鏈條。從2009年3月至12月，黃偉帆等7名電信工作人員，利用電信服務平臺，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人；劉紅波等14人則將非法獲取的公民個人信息進行出售，或非法提供給他人或者相互進行倒賣。第一被告劉紅波說，在她倒賣的信息中，一般手機機主信息她以每條30元的價格買入，然后以50元到80元不等的價格賣出，話單的買入價約200～400元，但經她一倒手就能賣到300～500元。

除了買賣方市場，個人信息買賣市場還有大量的中間商，通過對個人信息的倒買倒賣，賺取高額利潤。2014年2月10日，成都警方逮捕了涉嫌非法獲取并倒賣20多萬條公民個人信息的犯罪嫌疑人周飛和敬某。周飛非法獲取的信息包括250多萬條學生信息、55萬多條樓盤戶主信息、13萬條車主信息。上海警方2013年底破獲大案，6名涉案嫌疑人非法獲取、出售股民、銀行千萬資產名錄等個人信息10億余條。這樣的案例不勝枚舉。

其次，相關的法律法規體系尚不健全，導致相關法律的實施效果大打折扣。目前，與個人信息保護相關的法律法規主要存在以下問題。

一是比較分散、缺乏系統性。目前，我國針對個人信息的法律法規并不少，近40部法律、30余部法規，以及近200部規章涉及個人信息保護，如民法通則、合同法、居民身份證法、檔案法、民事訴訟法、刑事訴訟法、行政訴訟法、商業銀行法、互聯網電子郵件服務管理辦法等。但這些法律法規之間彼此銜接不上，缺乏系統性，很難發揮系統的力量。

二是概念模糊，主體不明。什么是個人信息？個人信息和個人隱私是一致的嗎？哪些個人信息應該被納入保護的范圍？個人信息的主體、客體的責權利邊界分別是什么？目前在諸多法律中都找不到相應的規范，因此，在執法實踐中很容易導致出現分歧。

三是原則性強，但不具操作性。比如，2009年，刑法修正案(七)確定了“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”罪名，首次將公民個人信息納入刑法保護范疇，規定要追究泄露、竊取和售賣公民個人信息行為的刑事責任。這被認為是個人信息立法的標志性事件之一。但是，這一犯罪主體是“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”，事實上，個人信息泄露的重災區，諸如互聯網公司、房地產公司、物業公司、汽車廠商、賓館酒店、會計師事務所等掌握個人信息的機構和單位應該如何入罪，該法案并未說明。同時，刑法也未明確該罪的具體界定標準，因此，執行起來頗有難度。除此而外，“情節嚴重”是出售、非法提供、非法獲取公民個人信息罪的入罪要件，但何為“嚴重”，并沒有具體的標準加以規定，只能靠辦案人員自由裁量，尺度很不好把握；“違反國家規定”是確定行為“非法性”的前提，是出售、非法提供、非法獲取公民個人信息這三種行為入罪的關鍵點，但在實踐中，如何認定出售、提供、獲取公民個人信息行為的“非法性”，并沒有具體的行政法律法規作為指引，這就給定罪造成了很大困難。類似的問題還有很多。

四是層級偏低、效力不足。以2013年2月開始實施的我國第一個個人信息保護國家標準——《信息安全技術公共及商用服務信息系統個人信息保護指南》為例，該標準將對個人信息的處理分為收集、加工、轉移和刪除四個主要環節，正式提出了處理個人信息時應當遵循的八項基本原則，即目的明確、最少夠用、公開告知、個人同意、質量保證、安全保障、誠信履行和責任明確。可惜的是，這個指南標準只是一個指導性技術文件，不是國家強制性標準，因此對行業能夠起到的規范效力十分有限。

再次，政府管理機制存在諸多深層次的問題，制度建設也不完善。

一是多頭管理、各自為政。建立一個獨立、統一、權威、有效的監管機構是目前世界各國的普遍經驗，它能夠超出行業的局限，獨立公正地執法。新加坡已經成立了保護個人信息的主要機構——個人信息保護署。目前，我國承擔信息安全監管工作的相關部門有工信部、公安部、國家保密局、國家密碼管理局、衛計委、食品藥品監督管理局、工商局、商務部、中國人民銀行、銀監會、保監會、證監會等多個部門，很容易造成監管信息溝通不暢、監管無序。同時，管理者和被管理者并沒有嚴格地區分開，管理部門和被管理對象處在同一個行業，很難客觀、公正地進行執法。

二是“不在狀態”，有管理盲區。以長期困擾我們的頑疾——垃圾短信為例，涉及包括垃圾短信在內的通信行業的投訴和監管體系一直依賴原信息產業部改制后存留的通信管理局，然而，通信管理局只在省級設置，這就造成了這方面的業務有部門沒人管的局面，通信管理成為了擺設，是“飄著的浮云”。

三是制度不完善，問責不到位。以信息安全員崗位設置為例，從秦皇島市接受測評的118家單位情況匯總分析，90%以上信息安全員是信息中心主任或副主任兼任，信息安全員、網絡安全員、系統安全員、審計員等各種崗位的職能模糊，安全體系基本沒有，有的單位連一個專職的網絡信息安全人員都沒有，造成該單位網絡信息安全責任劃分嚴重缺失，一旦出現網絡信息安全事件，將從根本上無法追查，信息安全隱患非常嚴重。

通過觀察多起個人信息犯罪的案例發現，信息泄露者被查處和判罪的居多，但相關單位和部門被處罰的鮮見，如果不能建立對有關部門、單位的問責制，以更加嚴格、嚴密的管理制度進行約束，很難從源頭上杜絕和防范個人信息泄露事件的發生。

在這個新媒體、大數據快速傳播的時代，我們每個人都會在互聯網上顯山露水，我們的個人信息也都會主動或被動地出現在互聯網上。因此，保護好個人信息，是一個重大的時代命題，亟需引起各級政府的高度重視，并身體力行實踐之。

（作者系河北行政學院教授、國家行政學院副教授）