信息泄露頻發究竟有沒有辦法

常莽

數據化時代，大家一方面欣喜其給生活帶來的便利和智能，另外一方面也在擔心個人信息的泄露。尤其是這兩年隨著各種大數據應用的普及，人們的擔心甚至已經逐步超過欣喜，平臺、機構信息泄露的事件，經常出現在我們眼前。例如，不久前圓通速遞公司回應稱，其內部員工與不法分子勾結，致40萬條公民個人信息被泄露。盡管事件中的犯罪嫌疑人已經歸案，但這起事件又給我們的個人信息保護敲響了警鐘。

2020年11月17日，圓通速遞在官方微博發文稱：公司注意到，近日有媒體報道經公司報案、公安機關破獲的非法獲取并使用快遞運單信息的案件。

圓通速遞稱，2020年7月底，公司總部實時運行的風控系統監測到圓通速遞河北省區下屬網點有2個賬號存在運單信息的異常查詢，判斷為明顯的異常操作，于第一時間關閉風險賬號，同時立即成立由質控、安保、信息中心、網管以及河北省區組成的調查組，對此事件開展取證調查，隨后向當地公安部門報案。

河北省邯鄲市公安局反詐中心以及邯鄲市永年區公安局，證實此案確是由圓通速遞發現并報案的。

圓通快遞公司在對此事件的回應中表示：通過公司調查發現，疑似有加盟網點個別員工與外部不法分子勾結，利用員工賬號和第三方非法工具竊取運單信息，導致信息外泄。

據河北邯鄲市永年區公安局反詐中心中隊長王求東講，犯罪的手段就是嫌疑人租用圓通公司的公號，然后登錄去里邊篩選收件人或寄件人的信息，整理出來以后再販賣給實施電信詐騙的犯罪分子，他們涉嫌的罪名就是侵犯公民個人信息，他們是這個環節的犯罪。

經過警方一個多月的偵查，最終查獲了圓通公司共5名員工，以每天500元的價格外租自己的員工賬號，造成了40多萬條個人信息泄露。

王求東表示，這5個賬號總共流出的信息量，有效信息量是45 000條，有的外租時間長，有的外租時間短，最長是7天的，最短的就1天，我們統計的是45 000條，這45 000條里邊的某個人就有可能成為電信詐騙受害者之一。

被泄露的45 000條信息中，包含了發件人地址、姓名、電話以及收件人電話、姓名地址共6個部分。而根據盜取個人信息的犯罪團伙供述，這些信息將被以每條一元的價格，打包賣到全國及東南亞等電信詐騙高發區。

圓通速遞客服通過微博發布道歉聲明。圓通速遞表示，網上銷售訂單信息的主要原因，在于個別網絡銷售商家，需要虛假的交易信息，來提高網店的信用等級，而網上倒賣信息的發生，也顯示出公司內部管理還需要加強。圓通速遞也表示，此次案件再次敲響了信息安全風險的警鐘，并對此案件暴露的問題深表歉意。

信息泄露是平臺監管太過寬容嗎

媒體報道圓通公司有5名員工涉及，記者從警方獲得的信息是，這5名員工中有2名發現賬戶異常登錄后及時修改了密碼，沒有直接造成損失，所以沒有采取刑事措施，目前采取刑事措施的是3名圓通速遞的員工。另外，這次信息的泄露，是圓通速遞在日常監測中發現并且主動報案的，但這依然不能推卸該有的監管責任。

中國社科院法學研究所副所長周漢華表示，現有的相關法律法規，包括刑法修正之后，有一條“拒不履行信息網絡安全管理義務罪”，其中有一項具體行為是“致使用戶信息泄露，造成嚴重后果的”，所以相關執法部門其實應該跟進。包括在2013年之后，是否責令圓通進行整改，它采取了哪些整改措施？那5個賬號被出賣之后，就能有40萬的信息泄露，內部管理上其實已經存在非常嚴重的問題。所以，行政執法部門，包括刑事執法部門都應該跟進，“拒不履行信息網絡安全管理義務罪”，這個武器是要用的，否則這樣的事情就會層出不窮。

按照侵犯公民個人信息罪的司法解釋，非法獲取、出售或者提供公民不同類型個人信息50條、500條、5000條都可以構成刑事責任，所以本次事件中泄露的40萬用戶的4.5萬余條有效信息是很多的。

周漢華表示，在網絡時代，往往個人信息都是海量的。公安部2019年破獲的一起案件里涉及到的個人信息達50億條；在美國的Equifax征信公司，一次泄露了1.35億條美國公民的個人征信信息；雅虎郵箱有一次泄露5億條公民個人信息，另外一次是30億條。所以在這個時代，其實每個人的個人信息都面臨非常大的風險?？爝f信息的信息含量比較大，它包含了發件人地址、姓名、電話以及收件人、電話、姓名、地址，還會包括身份證信息、用戶偏好等，這些對于大數據分析非常有價值，快遞單信息一直是違法犯罪分子盯得比較緊的地方。

據周漢華講，國際上現在對于個人信息保護面臨一個問題，到底是打“蒼蠅”還是打“老虎”？“蒼蠅”往往是中下游的，像今天這個案子里這5個員工就屬于是“蒼蠅”。但平臺、大公司就是“老虎”。如果要真正要解決個人信息濫用的問題，不打“老虎”是沒有用的，所以國際上都是打“老虎”。“蒼蠅”當然也要打，但是打“蒼蠅”更多是通過治安管理處罰，通過治安管理的法律，包括追究刑事責任等。侵犯公民個人信息罪當中的50條、500條和5 000條的標準，對于自然人來說是構成刑事責任了，但對于“大老虎”來說，這個是不夠的。

如果說密碼、手機號、地址等被泄露、被獲取，自己還有可修改的空間的話，那么對于個人生物信息的獲取，這可是更大程度上的一種個人信息獲取，這兩年，人臉識別、聲音識別，被運用的越來越多，該怎么保障安全？

人臉識別第一案

隨著刷臉時代的到來，當人們享受著刷臉帶來的移動支付、酒店入住、車站機場安檢和智能安防等領域便捷同時，也有一些人在清醒地從另一個角度思考刷臉的安全性。

郭兵，浙江理工大學特聘副教授，多年來致力于研究個人信息保護的法律問題。同時，他還有另外一個身份———“國內人臉識別第一案”主訴人。2019年，他因杭州野生動物世界年卡由指紋識別“強制”升級為“刷臉”入園，將杭州野生動物世界訴至法院。

郭兵表示，作為一個關注個人信息保護的學者，我認為像動物園這樣一個商業組織，如果在沒有征得游客或者消費者知情、同意的情況下，擅自使用人臉識別技術，肯定是涉嫌違法的，除了在征得消費者的同意之外，我認為還應當告知消費者使用的目的和風險，讓消費者真正知情。

目前，該案還在審理中。事實上，郭兵所在的杭州市對人臉識別的風險和法律屬性也在進行探索。2020年10月28日，《杭州市物業管理條例（修訂草案）》被提請至杭州市第十三屆人大常委會第三十次會議審議，已進入二審階段。

在修訂草案中新增且明確了物業服務人不得強制業主通過指紋、人臉識別等生物信息方式使用共用設施設備。而這一條款的由來，同樣也是源于郭兵。

郭兵表示，自己是真的希望后面立法能夠精細化一些，能夠更多地防范到刷臉風險，因為我們現在個人信息泄露，有點類似我們現在網絡空間的污染，對于個人信息的保護是一定不能像以前我們治理環境污染那樣，先污染后治理的策略，生物識別信息一旦廣泛泄露，它跟環境治理完全不一樣，真的是很難把后果。

如果這份修訂草案審議通過，《杭州市物業管理條例》將成為國內首部對小區人臉識別納入物業管理的法定條例。

杭州市司法局副局長曹佃杭表示，立法應該有一定的前瞻性，不能等問題爆發了我們再去規范立法，這樣做的話管理成本非常大，而且難度會成倍的增長，我們的條例并沒有否定物業公司，不能采用刷臉系統，也就是說允許刷臉系統進行關聯、管理，但是必須要爭得業主的同意。也就是說如果經過業主的同意的話仍然可以采集他的人臉、生物信息，但是如果業主不愿意的話，那么不能強行去采集業主的生物信息，應該允許用卡或者其他的方式，進入小區。

從首個訴訟到首次進入地方規范，意味著以指紋、人臉、聲紋和虹膜等為代表的個人生物識別信息的應用和保護已經越來越迫切。

除了人臉識別，手機因為開放權限導致疑似被監聽，也已經成為公眾的另一個困擾。

手機用戶劉倩：我跟同事聊寶寶的事情，給寶寶辦理證件的一些問題，我的購物軟件和瀏覽器會給我推寶寶證件套這類商品，但是我甚至沒有上網搜過寶寶證件這些，我感覺挺恐怖的。

手機用戶苑慶攀：我跟朋友說椰棗，然后過了一天我就在某App刷到了關于椰棗的推薦的視頻，我就覺得很驚訝。

周漢華表示，在國外也出現過類似被監聽事件，也算是丑聞。這對個人的隱私，甚至對個人的人身和財產安全都帶來很大挑戰。有一些App必須要用麥克風，因為有通話功能，但很多App其實沒有通話功能，比如一些閱讀的App，它也來調取你的麥克風，這個情況下就需要法律介入，必須要有合理的業務上需要才能調取，否則不應該調取麥克風，但是，這必須得有監管機構來進行判斷。很多App都覺得自己需要調用很多個人信息，不然無法提供服務，實際上很多時候是沒有道理的。比如一個閱讀軟件，只提供文字方面的服務，那根本不需要麥克風，即使真的需要麥克風，也不是永遠都需要，可能只是需要時才能調用，不需要時就應該尊重用戶的選擇，不能讓它永遠給你開著。

個人信息保護法律如何起作用

2020年上半年，人臉識別技術應用安全調研課題組發布的一份線上問卷，共有2萬多人參加，這組數據至少可以反應出公眾對于人臉識別應用的一個基本態度方向。

周漢華表示，其實現在國際上已經對人臉識別問題討論得非常多了，很多主體現在已經意識到人臉識別所帶來的后果。像美國舊金山，明確規定禁止人臉識別；在其他領域，微軟做出了對人臉識別的一些準則性要求，明確在什么情況下來進行人臉識別等。由于現在已經進入4G、5G時代，它是一個視頻的時代，這時人臉的使用面越來越廣，帶來的風險就會前所未有的高。因為人臉是沒法換的，如果是密碼還可以換，甚至地址也可以換、車也可以換，但是人臉換不了。所以這個損害一旦造成，是無法挽回的。這就需要在立法中，在執法中把這個作為重中之重來加以保護。

一方面是技術和市場的發展，有市場需求，也有高科技發展需求，另外一方面，是人們對于自身信息安全方面更深層次的擔心。不是說這二者一定對立，只能選其一，而是當有了技術的發展之后，技術該怎么適度運用，要有明確的紅線界限，技術運用的前提一定是安全。技術需要發展，但前提是安全，尤其是涉及到個人隱私、個人信息，我們希望法律和監管，能夠在未來真正起到作用，保護我們每一個人的隱私。