亟需被保护的个人信息
——从12306网站用户数据泄露说起

■ 闫利平 王彩平

亟需被保护的个人信息
——从12306网站用户数据泄露说起

■ 闫利平 王彩平

2014年12月25日，一名网友在国内最大的漏洞报告平台乌云官网爆出，大约13万条12306用户数据，包括用户账号、明文密码、身份证、邮箱等被泄露，并在一些黑客群中进行流传、买卖。犹如一石激起千层浪，该贴在全社会引起轩然大波，人们很快回忆起，就在一年前的12月29日，春运火车票刚刚在互联网上开售那天下午3点左右，12306网站出现大规模“串号”事故，用户只要登录自己的账号，就可以看到大量订票旅客的姓名、身份证号码、手机号码等信息。于是，如常，各种恶搞与挖苦讽刺蜂拥而至，12306再上风口浪尖。

2014年，对于网民的个人信息保护而言，无疑又是一个多事之秋，多个重磅级的用户数据泄露事件不断被爆出，从携程网信息安全门事件，到小米800万用户数据泄露，从快递官网遭入侵，1400万条用户信息被转卖，到东航系统漏洞或致大量用户订单信息泄露，从智联招聘86万用户简历信息泄露，到12306网站个人信息被泄露，一浪高过一浪的个人信息泄露事件，令人目瞪口呆！

事实上，个人信息被泄露的情况不止在商业网站愈演愈烈，在政府管理过程中采集的公民信息，甚至个人敏感信息被泄露的事件也频频发生。比如，130万考研用户信息被泄露，职称英语考试考生信息“裸奔”；再如，浙江省卫计委的12万名儿童及家长信息、南京车管所某系统46万名学员信息等数据被泄露；“杭州市2003年至今所有近90万名新生婴儿及近180万名父母敏感信息”，包括姓名、年龄、身份证、家庭住址都被泄露。在这个地下非法产业里，大量应由国家机关掌握的公民个人信息遭到外泄，仅仅是湖南长沙一名犯罪嫌疑人电脑里的“存货”就包括1.5亿条个人信息资料。

2013年7月2日至10月28日，河北省对秦皇岛市118家单位进行了信息安全检查，重点检查的单位有党政机关7家、大专院校15家、医疗单位21家、银行证券17家、保险32家、电信企业4家、事业单位及大型商场22家。结果显示：该市各行各业都不同程度地存在网络信息安全隐患，其中既有技术措施问题，也有管理问题，最严重的是对网络信息安全责任制的认识和落实不到位，网络信息安全机构、管理人员不健全，网络信息安全经费落实不到位等现象普遍存在。这个结论虽然听起来耸人听闻，但仔细斟酌也并不惊讶，重金打造的12306网站都经受不住“考验”，遑论其他呢？

2009年以来，一些地区信息诈骗案件持续高发。仅2013年，中国信息诈骗案件发案 30万余起，群众损失100多亿元。个人信息泄露成为信息诈骗的源头。据《反信息诈骗白皮书》介绍，越来越多的个人信息泄露导致信息诈骗正趋向精准化，许多诈骗分子掌握了受害人的详细资料，包括姓名、身份证号、电话、消费记录等，借此精心制造出有场景的“精准诈骗”，让很多民众防不胜防。比如，李若彤的经纪人被盗走100万；武汉一国企财务部部长黄某被骗走3700 万巨款。另据腾讯移动安全实验室数据显示，2014年1月至11月，腾讯手机管家共收到用户举报诈骗短信6255万，用户主动标记诈骗电话6287万，而且每月新增诈骗短信、诈骗电话数量都在不断攀升。公安部摸底调查后发现，此类犯罪活动极为猖獗，网络犯罪覆盖全国，涉案信息内容包括金融、电信、教育、医疗、国土、工商、公安、民航等多个部门掌握的公民个人信息。

那么，对于普通老百姓而言，自己的信息被泄露之后怎么办呢？从近年来与此相关的维权情况来看，成本过高，取证太难，用举步维艰或欲哭无泪来形容也不为过。绝大多数公众因为各种原因选择不了了之。“或者因为处理个人信息的机构推诿、搪塞而搁置，或者因为当事人预料到无法通过投诉、诉讼得到救济而中途放弃。”正如2014年10月28日一位微博名为“咩咩不咩”的网友发文所称：“我妈妈10月24日通过12580订了一张东方航空的机票，事隔三天资料泄露，被不法分子诈骗10万元，向12580和东方航空求证也得不到任何回应。今天妈妈都差点晕死过去，我实在难过却又不知道怎么办，只能抱着这一点希望，求大家帮忙扩散转发，谢谢了！”

此消彼长的是，由于缺乏约束，在巨大经济利益的推动下，我国已形成利用个人信息从事非法获利的黑色链条，专门从事公民个人信息非法买卖的网站越来越多，而且制定了非常详尽的收费体系，被非法买卖的个人信息内容包罗万象，令人触目惊心。

公民个人信息是一种特殊的社会资源，它承载着个人的人格利益,记录了个人生活的重要部分。个人信息被滥用，无论是对群众人身财产安全，还是对国家信息安全，都会造成巨大危害。随着社会的发展和个人信息承载价值的演变，个人信息这一本来只具备工具意义的基本信息逐渐被附加了经济价值以及社会效益。因此，个人信息能够被妥善保护，不仅是每个公民的迫切需求，也应该成为立法者和相关理论研究者重点关注的问题。

针对日益猖獗的侵害公民个人信息犯罪活动，公安部曾先后于2012年2月、12月和2013年2月，3次部署全国公安机关开展集中打击行动，共抓获犯罪嫌疑人4115名，破获出售、非法提供和非法获取公民个人信息案件4382起，查获被盗取的各类公民个人信息近50亿条，打掉利用非法获取的公民信息实施犯罪的团伙985个。但是，为什么在重拳之下，个人信息泄露之乱像却愈演愈烈呢？究其原因，主要有以下几条。

首先，在这个收集、加工、倒卖个人信息的“产业链”上，每一个环节都获利颇丰，巨大利益的驱使是公民个人信息被泄露、买卖的主要诱因。

个人信息不缺少买方市场，各种各样的商业主体都需要收集公民个人信息，正因为如此，吸引了大量有机会接触、掌握大量公民个人信息的行业及其从业人员铤而走险，将其履行职责和提供服务过程中获取的公民个人信息出售、非法提供给不法商人或犯罪团伙，从而牟取暴利。

北京市海淀区检察院对2010年该院受理的涉及公民个人信息泄露的31件案件进行分析后得出结论，机动车销售、房产中介、银行、电信、医院等行业在公民个人信息管理上存有漏洞，再加上从业人员法律意识不强，易造成信息泄露，因而成为个人信息泄露的“重灾区”。

2011年2月28日，北京市第二中级人民法院开庭审理一起非法提供、获取以及出售公民个人信息案，23名被告集体受审。这23名被告人中，既有专门从事公民个人信息买卖的无业人员，也有各类咨询中心、调查公司负责人，同时还包括6名分别来自电信、联通公司内部，或其他公司派驻中国移动10086客服中心的职员。这些人结成了一条非法提供、获取、销售公民个人信息的完整链条。从2009年3月至12月，黄伟帆等7名电信工作人员，利用电信服务平台，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人；刘红波等14人则将非法获取的公民个人信息进行出售，或非法提供给他人或者相互进行倒卖。第一被告刘红波说，在她倒卖的信息中，一般手机机主信息她以每条30元的价格买入，然后以50元到80元不等的价格卖出，话单的买入价约200～400元，但经她一倒手就能卖到300～500元。

除了买卖方市场，个人信息买卖市场还有大量的中间商，通过对个人信息的倒买倒卖，赚取高额利润。2014年2月10日，成都警方逮捕了涉嫌非法获取并倒卖20多万条公民个人信息的犯罪嫌疑人周飞和敬某。周飞非法获取的信息包括250多万条学生信息、55万多条楼盘户主信息、13万条车主信息。上海警方2013年底破获大案，6名涉案嫌疑人非法获取、出售股民、银行千万资产名录等个人信息10亿余条。这样的案例不胜枚举。

其次，相关的法律法规体系尚不健全，导致相关法律的实施效果大打折扣。目前，与个人信息保护相关的法律法规主要存在以下问题。

一是比较分散、缺乏系统性。目前，我国针对个人信息的法律法规并不少，近40部法律、30余部法规，以及近200部规章涉及个人信息保护，如民法通则、合同法、居民身份证法、档案法、民事诉讼法、刑事诉讼法、行政诉讼法、商业银行法、互联网电子邮件服务管理办法等。但这些法律法规之间彼此衔接不上，缺乏系统性，很难发挥系统的力量。

二是概念模糊，主体不明。什么是个人信息？个人信息和个人隐私是一致的吗？哪些个人信息应该被纳入保护的范围？个人信息的主体、客体的责权利边界分别是什么？目前在诸多法律中都找不到相应的规范，因此，在执法实践中很容易导致出现分歧。

三是原则性强，但不具操作性。比如，2009年，刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名，首次将公民个人信息纳入刑法保护范畴，规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。这被认为是个人信息立法的标志性事件之一。但是，这一犯罪主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，事实上，个人信息泄露的重灾区，诸如互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位应该如何入罪，该法案并未说明。同时，刑法也未明确该罪的具体界定标准，因此，执行起来颇有难度。除此而外，“情节严重”是出售、非法提供、非法获取公民个人信息罪的入罪要件，但何为“严重”，并没有具体的标准加以规定，只能靠办案人员自由裁量，尺度很不好把握；“违反国家规定”是确定行为“非法性”的前提，是出售、非法提供、非法获取公民个人信息这三种行为入罪的关键点，但在实践中，如何认定出售、提供、获取公民个人信息行为的“非法性”，并没有具体的行政法律法规作为指引，这就给定罪造成了很大困难。类似的问题还有很多。

四是层级偏低、效力不足。以2013年2月开始实施的我国第一个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》为例，该标准将对个人信息的处理分为收集、加工、转移和删除四个主要环节，正式提出了处理个人信息时应当遵循的八项基本原则，即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确。可惜的是，这个指南标准只是一个指导性技术文件，不是国家强制性标准，因此对行业能够起到的规范效力十分有限。

再次，政府管理机制存在诸多深层次的问题，制度建设也不完善。

一是多头管理、各自为政。建立一个独立、统一、权威、有效的监管机构是目前世界各国的普遍经验，它能够超出行业的局限，独立公正地执法。新加坡已经成立了保护个人信息的主要机构——个人信息保护署。目前，我国承担信息安全监管工作的相关部门有工信部、公安部、国家保密局、国家密码管理局、卫计委、食品药品监督管理局、工商局、商务部、中国人民银行、银监会、保监会、证监会等多个部门，很容易造成监管信息沟通不畅、监管无序。同时，管理者和被管理者并没有严格地区分开，管理部门和被管理对象处在同一个行业，很难客观、公正地进行执法。

二是“不在状态”，有管理盲区。以长期困扰我们的顽疾——垃圾短信为例，涉及包括垃圾短信在内的通信行业的投诉和监管体系一直依赖原信息产业部改制后存留的通信管理局，然而，通信管理局只在省级设置，这就造成了这方面的业务有部门没人管的局面，通信管理成为了摆设，是“飘着的浮云”。

三是制度不完善，问责不到位。以信息安全员岗位设置为例，从秦皇岛市接受测评的118家单位情况汇总分析，90%以上信息安全员是信息中心主任或副主任兼任，信息安全员、网络安全员、系统安全员、审计员等各种岗位的职能模糊，安全体系基本没有，有的单位连一个专职的网络信息安全人员都没有，造成该单位网络信息安全责任划分严重缺失，一旦出现网络信息安全事件，将从根本上无法追查，信息安全隐患非常严重。

通过观察多起个人信息犯罪的案例发现，信息泄露者被查处和判罪的居多，但相关单位和部门被处罚的鲜见，如果不能建立对有关部门、单位的问责制，以更加严格、严密的管理制度进行约束，很难从源头上杜绝和防范个人信息泄露事件的发生。

在这个新媒体、大数据快速传播的时代，我们每个人都会在互联网上显山露水，我们的个人信息也都会主动或被动地出现在互联网上。因此，保护好个人信息，是一个重大的时代命题，亟需引起各级政府的高度重视，并身体力行实践之。

（作者系河北行政学院教授、国家行政学院副教授）