个人信息保护的法治观察

个人信息保护的法治观察

文/吴小军 母 冰 本刊记者/史智军

地产公司销售人员泄密 个人信息被肆意买卖

2010年7月，王某大学毕业后应聘到一家地产公司做销售工作。由于工作的性质，王某经常接触到诸多的客户资料。慢慢地，王某产生了利用客户资料牟利的心思，在该动机的支配下，王某偷偷拷贝了公司的客户资料，其中包括很多小区的业主姓名、联系电话、家庭住址、单元号码等内容，一共69万余条。随后，王某就从该地产公司辞职。2011年4月，王某开始在网上发帖出售客户资料，内容也颇具诱惑力，“售各大小区业主、别墅业主资料，公司企业老总电话……量大优惠，寻长期合作伙伴”，并在上面留下了自己的电话号码。后经常有人与王某联系，想买资料，但一直没有达成合意。2011年5月12日下午，有一名女子给王某打电话说想买其手中的客户资料，后双方商定价钱为1800元，并约定在某处麦当劳里面交易。次日中午，王某与对方按约定在麦当劳餐厅里进行交易，但没想到的是，对方正在看其电脑里的资料时，民警赶到了现场，将王某抓获。2012年3月，北京市海淀区检察院向北京市海淀区法院提起公诉，指控被告人王某犯非法获取公民个人信息罪。法院经审理后认为，被告人王某获取的信息中，均有公民个人的姓名、住址、联系方式等基本情况，该些信息属于刑法保护的公民个人信息的范畴；其为个人牟利，未经该些公民同意，以非法手段获取并公然在互联网上发布出售消息，其侵犯相关公民的合法权益的故意和行为显而易见，且情节严重，符合非法获取公民个人信息罪的犯罪构成，应以非法获取公民个人信息罪论处。2012年9月，海淀区法院依据法律规定，判处王某有期徒刑1年6个月，罚金人民币2000元。

因非法获取公民个人信息而受到法律惩罚者，近些年来已不新鲜，但依然还有不少不法分子，行走在罪恶的边缘，利用各种非法手段收集个人信息并从中牟利。对于每一位拥有特殊信息的你，看到多起类似的案件时，是否曾留意到自己的个人信息从何时开始被泄露，又是如何泄露的？

监管缺失隐私被随意窥探

随着社会生活的变化和电子时代的到来，人们开始在多种场合使用并留存个人信息，从电话、手机、电脑到网络购物等，处处可见个人姓名、身份证号码、职业、学历、婚姻状况、信用卡号码等信息的痕迹。然而，你是否想到，有一天，你不经意间留下的个人资料会被人随意“打包”，并任意出售牟利。

由于个人信息所具有的巨大商业价值，一些不法分子在利益的驱动下，开始通过非法手段获取、买卖公民个人信息，并且形成了黑色产业链。一些所谓的“侦探公司”与电信企业的业务员秘密接触，通过私人关系和商业贿赂等行为，非法获取客户的个人信息，包括通话记录、短信情况、家庭住址等。这些“侦探公司”表面上以“市场调查中心”“商务调查公司”等合法名义进行注册，实则经营国家禁止开展的非法讨债、婚姻调查等业务，而这些业务都需要以获得被调查者的个人信息为前提。于是，为了搞到足够的信息资源，“侦探公司”打通各种渠道，寻找信息，电信企业则成为他们争相获取的信息源。据工信部调研显示，近八成的个人信息泄露源自信息所有者的内部作案。诸如电信企业、医疗行业等许多机构，都保存有客户的姓名、地址、电话等个人信息，但却没有在传、存、使用和销毁等环节建立起保护隐私的完整机制。对于这些机构的某些员工而言，他们可以很轻松地拿到客户的个人信息，用以牟利，而不用付出额外劳动。在信息泄露中，最让公众担忧的是某些软件提供商的主动泄密行为——在用户毫不知情的情况下，利用技术优势窃取用户信息，并将信息与广告商分享并从中获利。

作为掌管公民个人信息的重点资源库，电信、医疗、交通等部门在保护公民个人信息安全方面存在着诸多问题，比如重视程度不够，维护客户合法权益的意识不强，缺乏有效的专门培训与法制教育；保护客户信息的措施不完善，欠缺有效的保密和监管手段，尤其是对客户信息查询修改管理系统的使用情况存在严重安全隐患；规章制度缺乏约束力，相关规章制度中仅有禁止性规范，缺乏明确的、可操作性的责任条款。在监管缺失的前提下，电信公司等部门的工作人员泄露公民个人信息就不足为怪了。据调查，电信、医疗等部门的人员泄露公民个人信息的途径主要有3种：一是通过工作平台查询获得客户办理业务时留存的姓名、身份证号码等个人信息，非法提供或售予他人；二是通过内部授权指令查询获得客户的通话记录等通讯信息，非法提供或售予他人；三是未经机主同意，强制修改客服密码后将新密码提供给他人，使得他人可以借助密码查询客户有关信息。具体表现为:

1．查询通话记录。这是目前泄漏个人信息最常见的手段。各电信公司的电脑网络系统对通话记录保存期限为3个月至6个月不等，因此，可以查询到客户半年以内的通话情况，包括主叫号码、被叫号码、通话时间及每次通话时长。客户的通话记录只有本人可以查询和打印，具体有3种方式：一是持身份证到营业厅，告知接待人员客服密码，由工作人员在操作终端系统中进行查询；二是客户需到电信营业厅的客户自助服务终端上进行操作，按照系统提示输入手机号码和客服密码，就可自行查询和打印详单；三是到各电信公司网站输入手机号码和客服密码进行查询。根据规定，电信企业工作人员非经客户本人同意，不得查询客户的通话记录，但由于电信企业部分工作人员拥有业务权限，其便能够凭用户名及密码进入网络系统，进行非法查询。实践中，通话记录泄漏后常被用于调查隐私等非法活动，在获取客户通话对象的号码后，还有可能进一步查出对方的姓名、住址，从而进行违法犯罪活动。如有的案件中，犯罪分子通过电信员工的非法泄露获取前妻或前女友的通话记录，根据通话次数、时间等信息锁定“情敌”的电话号码，然后再通过非法手段获得机主的住址等信息，从而实施故意伤害、故意杀人等行为，造成严重的社会危害后果。

2．短信查询。最初，短信查询的内容非常完整，除本机号码外，还包括发信对象号码、来信号码及短信的文字内容。目前，有些电信公司为了保护客户隐私及减少系统存储量，网络系统已经不再存储客户短信的文字内容。因此，无法查询到文字内容，但可以继续查询发信对象号码、来信号码及通信时间。短信查询的要求与通话记录的查询是一样的，两者都属于手机详细通话单的内容（两者的内容显示在一个操作平面上），只能由客户本人进行，他人不得非法查询。这种情况下，侦探公司只能通过电信企业内部人员非法获取。

3．修改客服密码。原始客服密码是专属于每个手机号的初始化密码，用于识别各个号码，保护客户的通信安全。有的客服密码是在手机号码开通后，系统通过短信自动发送，还有的客服密码被标记在手机卡上。客服密码被用于查询手机通话记录、查询短信记录和变更套餐等。客户变更客服密码有多种方式，可以携带身份证件到营业厅前台办理。此外，还可以通过登录网站、发送手机短信以及拨打客户服务中心的方式进行，不过这种变更是在知晓原始密码的前提下进行。但对于电信企业而言，其不需要知晓客户的原始客服密码，只需按下“变更”操作键后，再输入新的客服密码即可非法变更。不法分子获得变更后的客服密码就可以随意查询机主的通话详单。

4．查询机主信息。即知道机主的某部分信息，通过电信企业工作人员查询机主其他关联信息，包括姓名、性别、身份证号、住址及联系方式等。客户在安装固定电话、宽带以及办理付费手机业务（实名制手机用户）时需要向电信企业提供身份材料，并由电信企业保存。这些信息被输入电脑系统进行储存、管理。一些侦探公司将已获得的部分客户信息告知电信内部人员，由电信内部人员通过工作平台查询获得机主的其他信息。

5．手机定位查找机主位置。手机定位是电信业务中非常特殊的一种业务，这种业务的办理有严格的要求。如中国移动北京分公司有一项“单位通”手机定位业务，需持单位营业执照、介绍信才能办理。在这种业务中，单位可以对员工的位置实现手机定位，从而查询到机主所处的大致方位，但这种业务只面向单位，并且是单位对个人的单向定位。还如“GPRS”手机定位业务，需要机主双方都开通这种业务，并且同意对方对自己实施定位才可以。在电信系统内部，能够有权限进行手机定位的工作人员较少，只有一些负责配合司法机关进行大要案工作的人员才能进行此项操作。于是，个别人员利用负责特别通讯的技术支持这一特殊职权，通过分析信令，利用交换机进行定位，私自帮助他人查找机主的位置。

保护个人信息多国借助法律

个人信息的安全与否，从某种程度上也关系着社会大众对其生活环境的安全度评价。故此，许多国家都对个人信息保护给予了足够的重视，并通过法律的手段进行了规范。

美国从2010年起开始尝试推行《网络空间可信身份国家战略(草案)》，希望建立一个“允许用户在线交易时创建可信身份”的系统，保护个人信息安全，其本质就是建立一种“身份属性供应商”渠道，犹如电子商务领域的第三方交易平台，当用户在网站进行登记、注册时，不需要直接向网站提供个人身份信息，而是由第三方提供身份证明，这样就减少了网络公司对用户信息的收集和保管，降低了用户信息泄露的风险。

同样，法国曾颁布法令，强调个人信息优先的权利，禁止在未经许可的情况下采集和利用私人资料，其中包括个人姓名、身份、电话、住址等相关信息。随着社会进入信息化时代，2006年，法国将原有相关法令进行修改、细化，并成立了全国信息管理委员会，对使用私人信息的社会团体或个人进行严密的监管。如果利用行业之便掌握了他人信息，在未经本人同意的情况下，将隐私信息泄露出去，按照法国刑法可判处一年监禁和15000欧元罚款；因透露隐私信息对他人声誉或其他方面造成严重损害，可最高判处5年监禁和30万欧元的罚款。

2012年10月15日，新加坡国会通过个人信息保护法案，法案规定，机构或个人在收集、使用或披露个人资料时必须征得同意，必须为个人提供可以接触或修改其信息的渠道，如果不是个人主动自愿同意，而是通过其他手段获得或泄露信息，或用附加条款征求同意，该同意被视为无效，另外，个人同意后，还有权撤回。新加坡政府还将成立个人信息保护署，作为新加坡保护个人信息的主要机构。人们可以在政府建立的名单上注册，机构或个人将被禁止向名单上人员发送垃圾信息。这些信息包括以营销为目的的电话、传真、文字短信和多媒体信息等，也包括通过微信等方式发送的信息，但不包括通过手机应用程序发送的信息。个人信息保护署可以对违反法案的行为施以不超过100万新元的处罚；向名单中的号码发一条垃圾短信，可能面临最高1万新元罚款。

完善我国立法让法律与监管良性互动

在建立并完善个人信息保护方面，我国近年也做了不少努力。2009年2月28日第十一届全国人大常委会第七次会议通过《中华人民共和国刑法修正案(七)》，增加了个人信息犯罪的规定，其内容为：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取、收买或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚”。2012年12月28日，第十一届全国人大常委会第三十次会议通过了《关于加强网络信息保护的决定》。从立法的最高层面来加强对网络信息的保护，标志着我国将公民个人信息保护提到了重要位置，这无疑是我国法制建设的巨大进步，也是社会管理走向成熟的重要标志。

然而，从具体实践出发，可以发现我国个人信息保护的法律之路尚待进一步开拓。首先，散见在众多法律文件中的有关个人信息保护的条款大都为原则性规定、无法作为直接定案的依据，可操作性差，除此之外，其内容也缺乏统一性和衔接性。其次，对于个人信息保护过程中涉及到的一些具体问题，缺乏明确性。比如掌握公民个人信息的行业除了刑法修正案所例举之外，还有物流、酒店等诸多部门，对其缺乏相应的监管同样会造成公民个人信息的泄露，而实践中对于哪些部门有权利掌管个人信息，掌管者应如何保护这些信息，哪些部门对个人信息掌管者进行监管，泄露个人信息的具体表现形式有哪些等等问题，都缺乏法律层面的明细。再次，对信息泄露者惩罚机制较弱，缺乏威慑力。在中国软件开发联盟600多万条用户名和密码泄露案件中，公安机关经过调查发现，安全管理制度和技术保护措施落实不到位是造成用户信息泄露的主要原因，但对网站的处罚只是提出行政警告。如此一来，必然从侧面加重相关企业对个人信息的进一步漠视。故此，在个人信息保护的道路上，法律应当以更为准确和详细的规范面目出现，并保持与部门监管、行业自律的良性互动，唯此，方能为公民的个人信息保护提供更有利的“防火墙”。

如何更进一步切实保护公民个人信息，打击相关违法犯罪行为呢？记者认为需从以下几个方面作出更大的努力。法律方面，应当尽快制定专门的个人信息保护法，依法对个人信息进行严密的监控和保护。提高不法分子的违法成本，加大不法行为的惩处力度，才能确保公民的个人信息安全。在个人信息保护法中应当明确个人信息的概念，将一些应当得到保护而长期得不到保护的个人信息纳入到法律的保护范围中来。此外，在信息时代，个人信息安全的侵犯者和被害人的地位是不对等的，被害人知道自己的个人信息被泄露后，很难知道在何处泄露，因为取证困难，难以找到具体的侵权方；同时，在侵害后果形成后，被害人又很难消除对自己造成的负面影响。因此在个人信息保护法中应当明确个人信息管理者的法定责任和义务，确保个人信息管理者尽到应尽的管理和保护义务。

监管方面，我国应当建立专门的信息保护监督机构，要求公民个人信息的持有、保存和处理者向相关机构注册，对信息保管和处理过程进行监督，对于能够接触个人信息的人员严格登记制度，并对泄露个人信息的机构，依法进行行政处理，使公民个人信息安全在国家法律法规的制约和部门监管下，从根本上得到保障和支持。

行业自律方面，加大培训力度，明确保护用户信息安全是企业的责任与义务。企业亦应当加大人力、财力和技术投入，建立信息技术保护手段、网络安全技术手段来全面保护用户的个人隐私信息，保护整个互联网产业健康发展。据悉，我国首部保护网上个人信息的行业规范《信息安全技术公共及商用服务信息系统个人信息保护指南》已经编制完成即将发布，该“指南”对个人信息的处理包括收集、加工、转移和删除4个主要环节，其中还提出了个人信息保护的原则。这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等8项。作为个人信息的持有和使用者，唯有从内心真正树立起保护个人信息的意识，方能更自觉地维护公民个人的利益，从而也才能让企业的发展更为持久。

责任编辑／胡浩立