信息安全何處安放？

■丨劉 銳

信息安全何處安放？

■丨劉 銳

潘義軍/圖

毋庸諱言，當(dāng)前個(gè)人信息泄露已成一大公害。隨著現(xiàn)代信息技術(shù)的迅猛發(fā)展，個(gè)人信息安全所受到的威脅和侵害越來越多。用法律利劍保護(hù)自己，是現(xiàn)代公民的合理選擇。公民個(gè)人信息保護(hù)納入法制化軌道，是法治社會(huì)的必然選擇。只有做到有法可依，才能對(duì)侵犯公民個(gè)人信息的行為予以更有力的懲罰。

7月以來，有多名網(wǎng)友爆料稱，國內(nèi)各地多名艾滋病感染者接到針對(duì)感染者的詐騙電話。詐騙人員自稱是政府部門工作人員，會(huì)給發(fā)放補(bǔ)助。隨后，詐騙人員要求感染者提供身份證號(hào)和銀行卡信息，轉(zhuǎn)而以領(lǐng)取補(bǔ)助需要銀行轉(zhuǎn)賬為由要求感染者去銀行ATM機(jī)操作，隨后，詢問感染者卡內(nèi)余額并遙控感染者操作，讓其選擇英文界面進(jìn)行轉(zhuǎn)賬，進(jìn)而盜轉(zhuǎn)受害者的卡內(nèi)資金。

詐騙人員能夠掌握到感染者的真實(shí)姓名、身份證、聯(lián)系方式、戶籍信息、確診時(shí)間、隨訪的醫(yī)院或區(qū)縣疾控等信息，無疑可以證明這些艾滋病感染者的個(gè)人信息已遭到泄露。《中國網(wǎng)絡(luò)空間安全發(fā)展報(bào)告(2015)》指出，國內(nèi)外個(gè)人信息泄露事件頻發(fā)，非法采集、竊取、販賣和利用網(wǎng)絡(luò)個(gè)人信息的黑色產(chǎn)業(yè)鏈不斷成熟壯大，呈現(xiàn)產(chǎn)業(yè)化、集團(tuán)化、跨境化、智能化的趨勢(shì)，我國個(gè)人信息保護(hù)面臨失控態(tài)勢(shì)。

隨著個(gè)人信息泄漏而來的是網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪持續(xù)高發(fā)、屢打不絕，呈現(xiàn)網(wǎng)絡(luò)信息泄露源頭多樣、數(shù)額巨大、形成利益鏈條及黑色產(chǎn)業(yè)等特點(diǎn)，滋生電信詐騙、網(wǎng)絡(luò)詐騙、敲詐勒索等下游犯罪，社會(huì)危害嚴(yán)重，群眾反映強(qiáng)烈，已經(jīng)成為社會(huì)各界廣泛關(guān)注的重大社會(huì)現(xiàn)實(shí)問題。

個(gè)人信息泄漏“泛濫成災(zāi)”

據(jù)公安部披露，當(dāng)前網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪活動(dòng)的一大特點(diǎn)，是非法獲取的公民個(gè)人信息種類多樣、涉及人員眾多。非法獲取的公民個(gè)人信息已經(jīng)從簡(jiǎn)單的身份信息、電話號(hào)碼、家庭地址等,擴(kuò)展到手機(jī)通訊錄和手機(jī)短信、網(wǎng)絡(luò)賬號(hào)和密碼、銀行賬號(hào)和密碼、購物記錄、出行記錄等,被侵害的人員涉及各地各行各業(yè)，個(gè)人信息泄漏已經(jīng)“泛濫成災(zāi)”。

當(dāng)前網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪活動(dòng)，已經(jīng)形成了“源頭——中間商——非法使用人員”的交易模式。各層級(jí)人員身份既相對(duì)獨(dú)立又相互交叉,形成非法獲取、販賣、使用的利益鏈條以及以牟取不法利益為目的、市場(chǎng)化運(yùn)作、專業(yè)分工實(shí)施、交易金額巨大的黑色產(chǎn)業(yè)。從公安部發(fā)布的一些網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪典型案例中可以看出，多個(gè)案例涉及團(tuán)伙作案，且作案方式與目標(biāo)人群越來越“精細(xì)化”。

被抓獲的一些犯罪嫌疑人交代，隨著市場(chǎng)競(jìng)爭(zhēng)越來越激烈，“精細(xì)化”對(duì)于公司企業(yè)尤其是一些不法企業(yè)來說非常重要，而掌握大量公民個(gè)人信息后，就相當(dāng)于有了“導(dǎo)航儀”，想推銷什么樣的商品就找什么樣的消費(fèi)者，事半功倍。

河北某特大公民個(gè)人信息泄漏案中涉及33名犯罪嫌疑人。據(jù)在深圳被抓獲的一名中間商、犯罪嫌疑人周某介紹，他最初在一家保險(xiǎn)公司上班，由于老完不成業(yè)務(wù)量，就花1400元在網(wǎng)上買了幾萬條與保險(xiǎn)業(yè)相關(guān)的個(gè)人信息，結(jié)果工作業(yè)績直線上升。后來跳槽到一家證券公司后，覺得自己以前掌握的個(gè)人信息沒用了，就想賣掉。

“應(yīng)聲蟲”現(xiàn)象也被稱為“yesman”現(xiàn)象[8]，所謂“應(yīng)聲蟲”主要是指針對(duì)上級(jí)的應(yīng)聲。在委托代理模型中，代理人或具有代理人資格的那部分中間階層，為了得到上一級(jí)的認(rèn)可，不顧實(shí)際情況作決策，對(duì)委托人不負(fù)責(zé)任。“地方政府往往會(huì)隱蔽行為，在政策的制定、決策的執(zhí)行、方案的選取等方面不是真正從當(dāng)?shù)氐膶?shí)際出發(fā)，而是看上級(jí)政府眼色行事，滿足上級(jí)主觀偏好，表現(xiàn)出一種討好取巧的代理人機(jī)會(huì)主義傾向。”[9]

“我先在網(wǎng)上搜索一些關(guān)鍵詞，加入特定的QQ聊天群，發(fā)現(xiàn)里面可熱鬧了，買賣個(gè)人信息跟趕集似的，你出個(gè)價(jià)，我出個(gè)價(jià)，你有老板信息，我有官員信息。過去花1400元買來的信息，賣了十多次后，凈賺八萬多元。” 周某說。

嘗到甜頭后，周某把販賣個(gè)人信息當(dāng)成了“職業(yè)”。他有45個(gè)聊天號(hào)，加入了204個(gè)聊天群，建立信息文檔2286個(gè)，擁有個(gè)人信息325萬條。他把個(gè)人信息細(xì)分成“白領(lǐng)名錄、股民信息、車主名錄、電視購物名錄、高端名錄、老板手機(jī)號(hào)碼”等，甚至還有“手機(jī)高端用戶、高爾夫會(huì)員名單、銀行高管名錄、CEO培訓(xùn)班名錄、北京各高檔俱樂部會(huì)員資料、學(xué)生家長、學(xué)校名錄”項(xiàng)目……

周某掌握的他人個(gè)人信息中，分有車主、電視購物、酒店會(huì)員、全球通客戶資料等類別，內(nèi)容包含個(gè)人姓名、住址、電話等。信息買賣全部通過網(wǎng)絡(luò)完成，雙方不會(huì)有任何接觸。

通過中間商再往上挖，就可以找到泄露個(gè)人信息的多處源頭。其中一名源頭犯罪嫌疑人王某是山東某電信公司的網(wǎng)絡(luò)維護(hù)人員，一位朋友希望他提供部分撥打某“400”專屬號(hào)碼電視購物人群的呼叫記錄，他就把一些個(gè)人電話號(hào)碼賣掉，一條信息四毛錢。

在警方查獲的個(gè)人信息泄露源頭中，有電信公司人員，也有快遞公司、銀行、醫(yī)院、學(xué)校、工商局等部門工作人員，都是方便獲得個(gè)人信息的部門。辦案民警說，這些源頭犯罪嫌疑人利用自身崗位的特殊性，無須成本就能獲得個(gè)人信息然后售賣，是無本取利。下家購得這些信息后，既可以供自己營銷，還能再多次賣給另外的下家，一本萬利。

重拳，守護(hù)安全

據(jù)公安部網(wǎng)站消息,為嚴(yán)厲打擊網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪活動(dòng),有效遏制此類違法犯罪活動(dòng)發(fā)展蔓延勢(shì)頭,公安部自今年4月起部署全國公安機(jī)關(guān)開展為期半年的打擊整治網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪專項(xiàng)行動(dòng)，對(duì)侵害公民個(gè)人信息安全犯罪施以重拳。截至今年7月,全國公安機(jī)關(guān)累計(jì)查破刑事案件750余起,抓獲犯罪嫌疑人1900余名,繳獲信息230余億條,清理違法有害信息35.2萬余條,關(guān)停網(wǎng)站、欄目610余個(gè),專項(xiàng)行動(dòng)取得明顯成效。

按照公安部統(tǒng)一部署,各地公安機(jī)關(guān)精心組織、迅速行動(dòng),抽調(diào)精干警力,成立工作專班,多措并舉、多管齊下,深入開展打擊網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪、整治網(wǎng)絡(luò)秩序等專項(xiàng)工作。廣東公安機(jī)關(guān)開展了打擊整治網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪“安網(wǎng)1號(hào)”系列專案收網(wǎng)行動(dòng),抓獲犯罪嫌疑人379名,打掉犯罪團(tuán)伙78個(gè),偵破案件130起,帶破詐騙、盜竊、敲詐勒索等案件832起。山東公安機(jī)關(guān)集中力量、重點(diǎn)攻堅(jiān),破獲網(wǎng)絡(luò)侵犯公民個(gè)人信息案件126起,抓獲違法犯罪嫌疑人339名,打掉泄露公民個(gè)人信息的源頭30個(gè),摧毀網(wǎng)上販賣公民個(gè)人信息的網(wǎng)站、論壇18個(gè)。北京公安機(jī)關(guān)針對(duì)屬地網(wǎng)站多、數(shù)據(jù)量大等特點(diǎn),堅(jiān)持打擊與整治并舉,在查破案件的同時(shí),清理違法有害信息2萬余條,刪除、關(guān)停發(fā)布侵犯公民個(gè)人信息的違法有害信息賬號(hào)1000余個(gè)。

公安部網(wǎng)絡(luò)安全保衛(wèi)局有關(guān)負(fù)責(zé)人表示,下一步,公安機(jī)關(guān)將繼續(xù)保持嚴(yán)打高壓態(tài)勢(shì),不間斷地開展打擊行動(dòng),通過及時(shí)查處、有效打擊、清理整治,全力推進(jìn)專項(xiàng)行動(dòng)向縱深發(fā)展,最大限度遏制網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪活動(dòng)。同時(shí),公安機(jī)關(guān)也提醒廣大群眾,要切實(shí)增強(qiáng)個(gè)人信息安全保護(hù)意識(shí),防止個(gè)人信息被不法分子侵害造成損失。

“大數(shù)據(jù)”下“大風(fēng)險(xiǎn)”

“當(dāng)大數(shù)據(jù)進(jìn)行交易的時(shí)候，目前據(jù)不完全統(tǒng)計(jì)80%是個(gè)人信息。這個(gè)冰山還沒有浮出來，但是危害已經(jīng)產(chǎn)生，所以在大數(shù)據(jù)交易的過程中最重要兩個(gè)環(huán)節(jié)一是清洗和脫敏，脫敏又叫匿名化，但全球都尚未形成脫敏的具體標(biāo)準(zhǔn)。”在北京強(qiáng)國知識(shí)產(chǎn)權(quán)研究院與北京理工大學(xué)聯(lián)合主辦的2016強(qiáng)國知識(shí)產(chǎn)權(quán)論壇“互聯(lián)網(wǎng)安全與治理模式創(chuàng)新”分論壇上，重慶大學(xué)法學(xué)院博士生導(dǎo)師齊愛民教授披露說。

全國律師協(xié)會(huì)信息網(wǎng)絡(luò)與高新技術(shù)委員會(huì)副主任陳際紅認(rèn)為，由脫敏標(biāo)準(zhǔn)不統(tǒng)一造成的信息泄露問題，在大數(shù)據(jù)的跨境傳輸中很可能會(huì)被放大。對(duì)于已存儲(chǔ)的個(gè)人信息，即使交易方履行了保密義務(wù)，在大數(shù)據(jù)交易時(shí)也可能存在信息泄露的風(fēng)險(xiǎn)。

“很多交易方會(huì)說為了保護(hù)個(gè)人信息將采取漂白數(shù)據(jù)的脫敏技術(shù)，而目前的數(shù)據(jù)脫敏卻存在很大問題，由于沒有統(tǒng)一的脫敏標(biāo)準(zhǔn)，對(duì)脫敏的技術(shù)程序也沒有統(tǒng)一要求，有的數(shù)據(jù)交易中采用的是可恢復(fù)性脫敏，比如數(shù)據(jù)加密，有的則采用不可恢復(fù)性脫敏。而采取可恢復(fù)性脫敏的情況下就會(huì)存在可逆化，敏感信息的可逆將導(dǎo)致個(gè)人信息的泄露。”陳際紅說。

時(shí)下，手機(jī)已經(jīng)成為我們離不開的工具。今年初，獵網(wǎng)平臺(tái)發(fā)布的《2015年網(wǎng)絡(luò)詐騙趨勢(shì)研究報(bào)告》顯示，社交工具是網(wǎng)絡(luò)詐騙信息傳播的最主要途徑，占59.3%。

360公司法律研究院副總監(jiān)趙軍說，設(shè)備7×24小時(shí)的聯(lián)網(wǎng)會(huì)帶來個(gè)人隱私數(shù)據(jù)的泄露。“你的行程、你的吃飯的信息、你買東西的信息可能都在手機(jī)上面體現(xiàn)，如果這些信息一旦泄露，個(gè)人基本是完全透明的人，隱私數(shù)據(jù)的泄露會(huì)帶來非常大的威脅。無線設(shè)備增多，網(wǎng)絡(luò)接入點(diǎn)多，攻擊面擴(kuò)大。”趙軍介紹說。

北京師范大學(xué)管理學(xué)院副教授黃國彬分析說，目前關(guān)于個(gè)人數(shù)據(jù)引發(fā)的風(fēng)險(xiǎn)來源包括企業(yè)、個(gè)人和政府。很多企業(yè)現(xiàn)在通過APP來收集個(gè)人的行為數(shù)據(jù)的存儲(chǔ)信息，很多APP服務(wù)提供商的服務(wù)協(xié)議對(duì)個(gè)人信息和數(shù)據(jù)的處理做一些對(duì)企業(yè)更有利、對(duì)用戶并不是完全有利的格式合同的規(guī)定。如果用戶沒有進(jìn)行很好的權(quán)限管理，很多APP可以看到通信錄、短信內(nèi)容、攝像頭，導(dǎo)致更多方面的個(gè)人數(shù)據(jù)被隨時(shí)收集。此外，目前在在移動(dòng)網(wǎng)絡(luò)、云存儲(chǔ)或者云服務(wù)環(huán)境下個(gè)人數(shù)據(jù)的保護(hù)方面，我國存在立法滯后和緩慢的情況。

據(jù)360互聯(lián)網(wǎng)安全中心相關(guān)負(fù)責(zé)人介紹，目前，因使用WiFi而引起的WiFi釣魚、掛馬盜取賬號(hào)、竊取隱私甚至盜用用戶銀行卡存款的行為時(shí)有發(fā)生。黑客實(shí)際掌握用戶數(shù)據(jù)庫的數(shù)量已超過1億條，中國黑客的黑色產(chǎn)業(yè)鏈規(guī)模或高達(dá)上百億元。

在趙軍看來，在目前高危的網(wǎng)絡(luò)安全事件頻發(fā)的情況下，網(wǎng)絡(luò)安全命運(yùn)共同體已經(jīng)形成，解決網(wǎng)絡(luò)安全不僅僅靠一兩家公司的問題，也不僅僅是靠政府的問題，而應(yīng)該群防共治。尤其是給相關(guān)主體更多的法律保障。

法律“利劍”何時(shí)出鞘？

用法律利劍保護(hù)自己，是現(xiàn)代公民的合理選擇。可是現(xiàn)在這把“利劍”還未磨好。

在立法方面，我國目前尚未制定出臺(tái)個(gè)人信息保護(hù)法，因而如何界定個(gè)人信息，是一個(gè)重要問題。雖然《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》《全國人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》等法律文件對(duì)個(gè)人信息保護(hù)做出相關(guān)規(guī)定，但都存在系統(tǒng)性不足、可操作性不強(qiáng)等問題，難以滿足實(shí)際需求。《個(gè)人信息保護(hù)法》更是“只聽樓梯響，不見人下來”。早在2003年，國務(wù)院信息辦就委托中國社科院法學(xué)所承擔(dān)相關(guān)課題及草擬一份專家建議稿，課題組于2005年提交《個(gè)人信息保護(hù)法》專家意見稿。時(shí)至今日，這部法律仍處于草案提交階段。

另據(jù)統(tǒng)計(jì)，涉及個(gè)人信息保護(hù)方面的法律有將近40部，法規(guī)有30部，另外還有一些部門規(guī)章和一些地方法規(guī)。但是，這些散落各處的法律條文和規(guī)章，內(nèi)容缺乏統(tǒng)一性，相互之間也缺乏銜接，不利于法律的適用。就法律的效力而言，大多數(shù)是一些位階比較低的行政法規(guī)、地方性法規(guī)、部門規(guī)章等，缺乏權(quán)威性，這些都難以成為信息保護(hù)的法律“利劍”。

法律的不完善，讓一些犯罪行為難以認(rèn)定，給了不法分子鉆空子的機(jī)會(huì)。同時(shí)，由于沒有法律對(duì)個(gè)人信息的監(jiān)管部門進(jìn)行明確，使我國個(gè)人信息保護(hù)處于多部門監(jiān)管狀態(tài)，“九龍治水”的局面普遍存在，看似很多部門都在管，結(jié)果哪個(gè)部門都沒有管好。雖然法律層面的問題是導(dǎo)致監(jiān)管不力的重要原因，但并不是說監(jiān)管部門只能束手無策。為避免多頭監(jiān)管產(chǎn)生的決策分散、監(jiān)管無序等問題，一方面，要通過法律明確個(gè)人信息保護(hù)的主管部門，將每個(gè)層級(jí)的責(zé)任落實(shí)到位。另一方面，要加強(qiáng)各相關(guān)部門的溝通協(xié)作，形成高效的監(jiān)管體系。

在具體做法上，對(duì)于個(gè)人信息保護(hù)，監(jiān)管部門完全可以按照“誰使用，誰負(fù)責(zé)”的原則，對(duì)采集個(gè)人信息的政府機(jī)構(gòu)、企事業(yè)單位和個(gè)人等進(jìn)行約束，無論是因?yàn)橹饔^違反相關(guān)規(guī)定的行為，還是因安全防護(hù)措施不到位等客觀原因?qū)е滦畔⑿孤兜模紤?yīng)該進(jìn)行嚴(yán)厲處罰。對(duì)此，還可以引入第三方安全評(píng)估與監(jiān)測(cè)機(jī)制，對(duì)個(gè)人信息存儲(chǔ)環(huán)境、流通渠道加強(qiáng)監(jiān)控和管理。

現(xiàn)在對(duì)個(gè)人信息的保護(hù)層級(jí)不夠，部門規(guī)章僅僅限定在部門業(yè)務(wù)范圍之內(nèi)，無法管理職責(zé)范圍之外的東西，可網(wǎng)絡(luò)上的業(yè)務(wù)往往是超越目前部門的劃分。在保護(hù)個(gè)人信息時(shí)，不同的部門、不同的行業(yè)之間如何協(xié)調(diào)對(duì)接，如何分配各自的權(quán)利義務(wù)，法律應(yīng)該有明確的規(guī)定。

名正則言順，綱舉則目張。涉及個(gè)人信息保護(hù)的問題有很多，尤其是互聯(lián)網(wǎng)技術(shù)的快速發(fā)展使得個(gè)人信息更復(fù)雜、更豐富，非常需要加速國家層級(jí)的立法進(jìn)程。依法對(duì)個(gè)人信息進(jìn)行嚴(yán)密的監(jiān)控和保護(hù)，提高不法分子的違法成本，加大不法行為的懲處力度，確保公民的個(gè)人信息安全，急切地需要呼喚“頂層設(shè)計(jì)”。

好在，個(gè)人信息保護(hù)立法越來越受到各界的重視。今年的全國兩會(huì)上，全國人大代表、南京郵電大學(xué)校長楊震再次提出議案，建議國家盡早啟動(dòng)個(gè)人信息保護(hù)法立法。楊震表示，信息社會(huì)需要建立在對(duì)個(gè)人信息保護(hù)的基礎(chǔ)上，只有個(gè)人數(shù)據(jù)在法律保護(hù)下安全迅速地收集和流通，才能有利于促進(jìn)我國社會(huì)的信息化進(jìn)程，才能推動(dòng)我國信息產(chǎn)業(yè)與世界接軌，這是信息時(shí)代發(fā)展的必然要求。

總之，將公民個(gè)人信息保護(hù)納入法制化軌道，是法治社會(huì)的必然選擇。有法律兜底才能做到有法可依，才能對(duì)侵犯公民個(gè)人信息的行為予以更有力的懲罰，并對(duì)各方不法行為實(shí)現(xiàn)源頭治理。法律的尊嚴(yán)，除了它的規(guī)范指引和教育作用外，最重要的是對(duì)違法犯罪者的嚴(yán)厲懲罰，這既是維護(hù)社會(huì)公平正義的底線，也是法律得以遵守、秩序得以維護(hù)的基本保證。