每個人都在產生數據,無時無刻。大數據技術不斷發展的時代,也給個人隱私保護提出了更大挑戰。
如果把數據的產生、泄露、倒賣、詐騙看作是一條黑色產業鏈,那麽在“精準”詐騙的產業鏈上遊,是誰最早打開了潘多拉之盒,成為“出賣”公民個人信息的罪惡之源?
第一財經1℃記者在中國裁判文書網以“侵犯公民個人信息罪等關鍵詞進行檢索,並逐條分析檢索結果。這些判例中,絕大多數不法分子是通過互聯網渠道購買並倒賣公民的個人信息。其中至少有27個案例涉及到泄露公民個人信息的“源頭”。
這些“泄露者”的身份包括了黑客、銀行員工、醫務工作者、公司“內鬼”、學校老師、警務工作者,甚至還有不法分子應聘到某家淘寶店,成為“臥底”竊取買家信息。
山東、廣東等地連續發生3起學生遭電信網絡詐騙案件,導致受害人猝死或自殺。目前,3起案件全部告破,28名犯罪嫌疑人落網。其中,最受社會關註的山東徐玉玉案案發後,公安機關經全力工作,查明了電信網絡詐騙團夥情況和信息泄露源頭。經查,犯罪嫌疑人杜某利用技術手段攻擊了“山東省2016高考網上報名信息系統”並在網站植入木馬病毒,獲取了網站後臺登錄權限,盜取了包括徐玉玉在內的大量考生報名信息。
“大數據正在改變這個時代,裹挾而來的必然也是泥沙俱下,在享受大數據帶來的便利的同時,簡單的提防已經不足以應付‘道高一尺魔高一丈’的行騙伎倆,《個人信息保護法》的出臺或許才是對逝去生命的最大尊重。”重慶大學國家網絡空間安全與大數據法治戰略研究院院長齊愛民接受1℃記者采訪時表示。
公共管理數據流失誰之責
公共管理部門是個人數據收集的主要場所。然而,從判例中可以看出,公共管理部門也是信息泄露高發領域之一。在27個案例中,就有7個案例是派出所工作人員所為,但是多為協警或者輔警。
郴州市中級法院今年3月二審宣判的一起案例顯示,李某在2013年底開始在宜章縣公安局城南派出所當輔警,期間主要協助民警錄入案件,當時除了輔警的收入外並沒有其他收入。
大約在2014年10月份左右,李某通過手機QQ上網聊天認識一個網友,他幫對方查詢一條戶籍信息,他用其他民警的數字證書進入公安內網的《全國人口信息查詢系統》查詢公民個人信息,然後通過手機拍照後發給對方。
李某自述,對方一般給40元,有時候多點,每次查完後的當晚七、八點鐘,對方會通過支付寶將錢匯到他的工商銀行賬號內。從2014年10月到2015年1月期間,他一共賣了2368條戶籍信息,獲利97781元。
最終法院認定:李某非法獲取公民個人信息2000余條,並出售給他人獲贓近十萬元。因侵犯公民個人信息罪,李某被判處有期徒刑一年一個月,並處罰金人民幣1.5萬元。
派出所工作人員利用其他民警的證書查詢公民個人信息並“出售”的情況並不是孤例。
鄭某某“作案”時的身份是河南省永城市公安局文化路派出所工作人員。
河南省永城市檢察院指控,在2015年5月至9月,鄭某某使用其他民警的數字證書在公安內部網絡上非法查詢公民個人身份信息、車輛信息、護照信息、旅館業旅客入住信息等信息,並將上述500余條信息出售給他人,非法獲利人民幣28800元。
河南省永城市法院一審認定鄭某某犯侵犯公民個人信息罪,判處有期徒刑一年,緩刑一年。
除了派出所之外,1℃記者在案例中還看到,稅務局工作人員、市場監督管理局註冊窗口工作人員等來自政府部門的信息泄露案例。
潛伏在學校、醫院和公司的“內鬼”
除了政府之外,醫院、學校,還有一些存有大量個人信息的平臺,比如網購網站,因管理或者技術等原因,也為一些不法人員盜取個人信息提供了可能。
四川省大邑縣法院2015年發布的一份判決書顯示:2014年1月初,中國銀行武侯支行曾某、曾小某來到位於大邑縣晉原鎮的四川文軒職業學院,找到了時任該校成人高考辦副主任的代某某,表示想向該校學生推銷銀行卡。
二人向代某某介紹了批量辦理銀行卡的程序,並要求代某某提供該校學生信息。
2014年1月10日,這位代老師未經學校許可、未經學生本人同意,通過QQ郵箱將該校3萬余名學生個人信息發給曾某。
很快,中國銀行武侯支行利用從代某某處獲得的信息向四川省分行申請批量制卡。2月20日,曾小某以產品推廣宣傳費的名義給了代某某人民幣5萬元。
其後,曾小某、曾某將違規制作的35000余張中國銀行企業園區金卡送到代某某處,要求代某某提供學生辦卡申請表、身份證複印件等。
4月21日,四川文軒職業學院部分學生發現自己的個人信息被泄露並被中國銀行辦理了銀行卡後,向公安機關報案。
法院一審認定,代某某犯非法出售公民個人信息罪,判處有期徒刑一年六個月。
在27個案例中,來自公司的個人信息“泄露者”最多,有17例。甚至在部分案例中,有犯罪分子就是為了盜取個人信息而“臥底”到某家公司上班。
浙江義烏法院今年4月發布的判決顯示:2015年10月,一個名為“逍遙”的QQ網友與韋某聯系,願意以每條1塊錢的價格購買淘寶買家信息,並告知可通過種植木馬病毒至電腦或直接到淘寶店鋪的公司上班,通過後臺將數據導出,從而竊取淘寶買家信息。到當年12月左右,“逍遙”告訴韋某,淘寶買家信息已漲價,最高可賣至6元/條。
受利益誘惑,韋某找到雷某,商議後決定雷某應聘進入淘寶店鋪竊取淘寶買家信息,韋某則負責出售淘寶買家信息。
同年12月15日,雷某應聘到了軒妙玩具廠做淘寶客服,竊取了650條買家信息數據,以人民幣3元/條的價格賣給“逍遙”。韋某通過出售買家信息數據獲利3582元,作為“臥底”的雷某獲得1950元。
法院一審判定:兩人均以犯侵犯公民個人信息罪,判處有期徒刑七個月。
實際上,除了上述方面以外,不法分子要獲得公民的個人信息的途徑還有很多。
一位曾經多次參與打擊電信詐騙的公安幹警在接受1℃記者采訪時舉例稱:比如假裝我是銷售,不斷向你推銷物品,記錄你的電話、名字;甚至在4S店,當你去購車填報身份信息時,他用手機一拍,就把你的信息也拍進去了。
另外,犯罪分子以黑客手段攻擊數據庫獲取公民個人信息的情況,同樣並不鮮見。這也為一些收集了大量個人信息的企業或平臺的信息保護工作拉響警鐘。
反電信詐騙跨部門聯動機制尤為關鍵
從技術層面上看,要在源頭環節堵住信息泄露並非易事。
通信領域專家、飛象網CEO項立剛接受1℃記者采訪時舉例稱:電信運營商就在自己的管理系統中,加入了信息追溯功能,能夠記錄信息錄入、查詢、下載過的痕跡。但是這種技術改造需要巨大的成本投入。即便如此,這一功能也只能解決大規模的系統性問題,不可能徹底杜絕信息泄露的發生。
在打擊、治理電信詐騙的各個環節中,公安、銀行和通信商是核心環節。
尤其是在互聯網的生態之下,公共管理機構、行業、企業和個人緊密共生,信息保護涉及各類主體,任何一個組織不可能“單槍匹馬”地與電信詐騙犯罪作戰。
以上海為例,上海市公安局牽頭組建上海市反電信網絡詐騙中心平臺,公安機關有關警種、商業銀行、通信運營商、金融清算機構和第三方支付機構聯合入駐,實行防範、打擊、治理一體化運作的實戰機制,對犯罪行為開展主動攔截和精確打擊。
自今年3月底該中心平臺試運行以來,已凍結涉案資金折合人民幣7900余萬元,成功勸阻潛在被害人3.5萬余人次,全市電信網絡詐騙案件案值同比下降20.6%。
8月31日在上海考察時,中央政法委書記孟建柱強調:“要進一步加強公安機關各警種之間以及公安機關與銀行、通信等部門的協作配合,建立全國反電信網絡詐騙工作平臺,完善打擊電信網絡詐騙犯罪即時查詢、緊急止付、快速凍結工作機制,跨界聯動、合成作戰,以快制快、精準打擊,最大限度避免和挽回受害群眾的財產損失。”
電信詐騙是典型的非接觸性詐騙。作案地不斷輪換,取款地亦不固定,增加案件偵破的成本和難度。
項立剛認為,不論對於政府還是企業而言,治理電信詐騙,關鍵就在把治理的成本降下來,效果提上來。如何降低成本,建立全國反電信網絡詐騙工作平臺是關鍵。這一平臺應該由公安部門牽頭,各部門、各省市共同參與,以期達到效果最大化、成本最小化。
根據公安部公布的數據來看,從2011年至2015年,全國電信詐騙案件數量從10萬件飆升至約60萬件。
嚴峻的電信網絡詐騙形勢下,相關專項打擊行動也在加強。
2015年11月,由公安部、工信部、中宣部、中國人民銀行、銀監會等23個部門組織開展的打擊治理電信網絡新型違法犯罪專項行動展開,並將延長至今年底。
其中,河北省豐寧縣、福建省龍巖市新羅區、江西省余幹縣、湖南省雙峰縣、廣東省茂名市電白區、廣西壯族自治區賓陽縣和海南省儋州市被列為第一批重點整治地區。
這一批重點整治地區被要求限期改變面貌,確保年內涉及本地電信詐騙案件同比下降90%以上,堅決拔掉一批地域性職業電信詐騙犯罪的“釘子”。
律師:個人信息保護的主管機關尚不明確
記者查詢到的涉及侵犯公民個人信息罪案例來看,刑罰基本都在3年以下。
對此,段和段律師事務所合夥人劉春泉接受1℃記者訪時表示,因為《刑法修正案九》去年11月才正式開始實施,並修改了個人信息罪名,修改後最高刑期由原來的一檔三年以下,改為兩檔。
在過去,犯非法獲取公民個人信息罪的,處三年以下有期徒刑或者拘役,並處或者單處罰金。
刑法修正案(九)不僅將“非法獲取公民信息罪”改為“侵犯公民個人信息罪”,還同時提高了刑罰:
違反國家有關規定,向他人出售或者提供公民個人信息。情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
同時明確,違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,依照前款的規定從重處罰。
在劉春泉看來,由於《消費者權益保護法》、即將出臺的《網絡安全法》等多部法律都涉及到個人信息保護,但究竟哪個部門是主管的執法機關,目前尚不明確。可以預計的是,下一個十年中,個人信息保護將是中國互聯網監管的法律新抓手,同時,也希望已經發生的悲劇能促進個人信息保護執法的更有力行動。
對於出臺一部專門的《個人信息保護法》,學術界早有呼籲。
齊愛民表示,數據“裸奔”、公眾沒有安全感的根本癥結在於沒有出臺一部專門的、系統的、全面的《個人信息保護法》。
國際上已經有60來個國家頒布了《個人信息保護法》,有成功立法例可資借鑒;同時,國內已經有一些列關於個人信息保護的法律法規。
齊愛民說,盡管國內已有多部法律涉及到了個人信息保護方面,但是相對零散的規定,不能發揮集合效應,也不能引起社會高度的重視。《個人信息保護法》是直接規範個人信息的處理的法律,既確認了信息主體的人格權,又確認了信息管理者的權利。從而定分止爭,平衡複雜多變的社會利益關系。