個(gè)人信息保護(hù)“系統(tǒng)性失靈”

南方周末記者 滑璇 李潔茹 南方周末實(shí)習(xí)生 丁捷 張馨予 朱岱臨

不能只歸咎于內(nèi)鬼和黑客

一個(gè)個(gè)徐玉玉逝去的年輕生命，讓電信詐騙成為舉國(guó)上下關(guān)注的焦點(diǎn)。騙子們往往因掌握大量公民個(gè)人信息而能輕取被害人的信任，依靠在銀行開(kāi)設(shè)的大量冒名賬戶得以?shī)Z走被害人的血汗錢(qián)。本專(zhuān)題針對(duì)電信詐騙中個(gè)人信息和銀行賬戶這一頭一尾兩個(gè)環(huán)節(jié)，展開(kāi)了調(diào)查。

“發(fā)生（內(nèi)鬼）這種情況，很可能是利用了單位的管理漏洞，不能只把責(zé)任歸結(jié)到泄密人身上。”

“電子商務(wù)企業(yè)、政府部門(mén)在合法掌握公民信息的同時(shí)，也要承擔(dān)‘非法使用‘泄露公民個(gè)人信息的法律責(zé)任?！?/p>

公開(kāi)的判決書(shū)中，被懲處的賣(mài)家遠(yuǎn)遠(yuǎn)少于買(mǎi)家；最重的判了二年六個(gè)月，尚未出現(xiàn)“情節(jié)特別嚴(yán)重”的案例。

《個(gè)人信息保護(hù)法》的專(zhuān)家建議稿已經(jīng)躺了11年。如果把個(gè)人信息保護(hù)的各個(gè)環(huán)節(jié)比喻成一根鏈條，“那么這根鏈條現(xiàn)在呈現(xiàn)出系統(tǒng)性失靈?！?/p>

南方周末記者 滑璇 李潔茹

南方周末實(shí)習(xí)生 丁捷 張馨予

朱岱臨

宋振寧的家垮了。母親在醫(yī)院里一天昏迷十幾次。父親情緒崩潰，一問(wèn)三不知。

2016年8月18日，山東省臨沭縣的大二學(xué)生宋振寧接到詐騙電話，到銀行轉(zhuǎn)了2000元。5天后的凌晨，宋振寧在自家客廳的沙發(fā)上心臟驟停。

不到一周時(shí)間，他成為徐玉玉之后的第二個(gè)電信詐騙犧牲品。宋的姑姑想不通，騙子怎么會(huì)對(duì)孩子的信息掌握得如此全面，“身份證信息、學(xué)校什么都知道！”

騙子真的什么都知道。南方周末記者暗訪發(fā)現(xiàn)，想從網(wǎng)上購(gòu)買(mǎi)考生信息，遠(yuǎn)比想象中簡(jiǎn)單。在QQ上，昵稱(chēng)“卡佛落”的賣(mài)家表示，可以提供2016年10萬(wàn)湖北高考考生的一手資料。另一昵稱(chēng)為“出售各種客戶資料”的QQ賣(mài)家則表示，手握46萬(wàn)廣東高考考生的詳細(xì)信息，包括姓名、性別、地址、電話、文理分科、年齡、身份證、家長(zhǎng)姓名、聯(lián)系方式及高考錄取情況等。

徐玉玉、宋振寧遭遇的電信詐騙，與個(gè)人信息泄露密切相關(guān)。在中國(guó)裁判文書(shū)網(wǎng)公布的案例中，隨機(jī)撥打電話騙錢(qián)的人很少，真正能夠得手的，手中均握有大量公民個(gè)人信息。只有這樣，才能做到精準(zhǔn)出擊。學(xué)生信息只是種類(lèi)繁多的信息之一，學(xué)生也只是受害群體之一。

內(nèi)鬼、黑客，是個(gè)人信息泄露的源頭。他們拿著偷出來(lái)的“商品”，在一個(gè)龐大而隱秘的市場(chǎng)內(nèi)公開(kāi)叫賣(mài)，獲利無(wú)數(shù)。

內(nèi)鬼

關(guān)鍵還是看個(gè)人品德，否則只要你想，總有辦法把數(shù)據(jù)弄出來(lái)。

當(dāng)被問(wèn)到如何保證數(shù)據(jù)準(zhǔn)確時(shí)，販賣(mài)湖北考生信息的“卡佛落”表示，數(shù)據(jù)來(lái)源于某市教育局。南方周末記者隨機(jī)撥打了賣(mài)家提供的10個(gè)號(hào)碼，發(fā)現(xiàn)資料中的電話與考生情況全部相符。

在個(gè)人信息買(mǎi)賣(mài)領(lǐng)域，數(shù)十萬(wàn)條批量性信源并不稀罕。2012年10月，東方航空公司客運(yùn)營(yíng)銷(xiāo)委員會(huì)系統(tǒng)管理員王某，擅自將六百余萬(wàn)條“東航萬(wàn)里行”積分卡客戶信息資料下載、存儲(chǔ)，轉(zhuǎn)交他人出售。2011年，中國(guó)移動(dòng)職員蘇某私自調(diào)取、出售山西全省移動(dòng)手機(jī)用戶資料。東窗事發(fā)后，僅蘇某電腦中便存有山西省移動(dòng)手機(jī)用戶信息2219萬(wàn)余條。

究竟什么人可以成為偷信息的“內(nèi)鬼”？

2011年10月至2012年3月，烏魯木齊市公安局沙依巴克區(qū)分局發(fā)生一系列公民個(gè)人信息泄露事件，涉及戶籍、護(hù)照、賓館記錄等多個(gè)領(lǐng)域。經(jīng)調(diào)查，事件的始作俑者為勞務(wù)派遣人員王某。他在該局指揮室網(wǎng)絡(luò)辦擔(dān)任協(xié)警，握有公安機(jī)關(guān)的上網(wǎng)專(zhuān)用密鑰。

“對(duì)于涉及公民隱私的信息，除在編警察以外的人員全都不能碰，管理起來(lái)非常嚴(yán)格?！北本┕蚕到y(tǒng)的一名工作人員告訴南方周末記者，在公安機(jī)關(guān)內(nèi)部，能接觸到這類(lèi)信息的崗位必定是專(zhuān)人操作、定崗定責(zé)，工作前還會(huì)進(jìn)行政審、保密教育并簽署保密協(xié)議。

根據(jù)公安部2013年發(fā)布的《關(guān)于公安機(jī)關(guān)公民個(gè)人信息安全管理規(guī)定》，公安機(jī)關(guān)要定期檢查公民個(gè)人信息使用授權(quán)，如果發(fā)生部門(mén)職能調(diào)整、民警工作崗位變動(dòng)或調(diào)離，要及時(shí)變更或撤銷(xiāo)授權(quán)。與此同時(shí)，民警訪問(wèn)存儲(chǔ)公民個(gè)人信息的系統(tǒng)時(shí)，要進(jìn)行身份認(rèn)證、訪問(wèn)控制、安全審計(jì)，并留存操作日志。

“發(fā)生這種情況，很可能是利用了單位的管理漏洞，不能只把責(zé)任歸結(jié)到泄密人身上?！鄙鲜龉踩藛T解釋?zhuān)捎诖祟?lèi)操作實(shí)名且留痕，監(jiān)管起來(lái)并不困難。假如信息泄露持續(xù)時(shí)間較長(zhǎng)，說(shuō)明監(jiān)管部門(mén)沒(méi)有及時(shí)發(fā)現(xiàn)并阻止。

另外，民警如果不能謹(jǐn)慎管理自己的專(zhuān)屬上網(wǎng)密鑰，比如私下交給他人使用、操作后沒(méi)有及時(shí)收好，也可能造成信息外泄。

除公權(quán)力機(jī)關(guān)外，銀行、通信運(yùn)營(yíng)商等也是公民個(gè)人信息外流的重災(zāi)區(qū)。一名金融從業(yè)人員向南方周末記者透露，有的業(yè)內(nèi)人士從銀行辭職時(shí)，會(huì)帶走該行所有VIP客戶的個(gè)人信息，以便日后營(yíng)銷(xiāo)之用。

“在金融領(lǐng)域，肯拿著大批客戶資料自用、送人或出售的，基本都是中層人員。高層不屑于做這些。底層又把資料當(dāng)寶貝捂在手里，不舍得掏給別人。”上述人士表示，在銀行，基本只有風(fēng)險(xiǎn)政策領(lǐng)域的一小部分人可以大規(guī)模接觸公民個(gè)人信息。

陳飛（化名）曾是北京某銀行的風(fēng)險(xiǎn)政策分析人員，只要選擇幾個(gè)相應(yīng)條件，便能查詢到該銀行的客戶數(shù)據(jù)，比如上個(gè)月所有信用卡消費(fèi)超過(guò)5000元的個(gè)人明細(xì)，姓名、證件號(hào)、生日、電話等等。數(shù)十萬(wàn)條的信息，幾分鐘之內(nèi)搞定。

因?yàn)閸徫惶厥猓愶w屬于公民個(gè)人信息領(lǐng)域的重點(diǎn)“盯防”對(duì)象。在銀行內(nèi)部，陳飛的電腦不能查詢數(shù)據(jù)，只能通過(guò)遠(yuǎn)程桌面操作，以防止他對(duì)數(shù)據(jù)進(jìn)行下載。此外，銀行會(huì)定期檢查他的電腦、查看服務(wù)器使用情況。如果電腦里存有客戶資料，或者查詢了與工作無(wú)關(guān)的數(shù)據(jù)，這就說(shuō)明有問(wèn)題?！白睢儜B(tài)的監(jiān)控是對(duì)某臺(tái)電腦上的所有操作錄屏，寫(xiě)郵件、打字等等都要錄下來(lái)。但這種方式可行性太低，很少有人用。”陳飛告訴南方周末記者，在信息泄露的問(wèn)題上關(guān)鍵還是看個(gè)人品德，否則只要你想，總有辦法把數(shù)據(jù)弄出來(lái)?！半娔X封了U口可以用郵件一點(diǎn)一點(diǎn)慢慢發(fā)啊，有些互聯(lián)網(wǎng)公司就這么干。”

陳飛認(rèn)為，更多的信息泄露可能出自那些與銀行合作的第三方平臺(tái)，比如短信告知系統(tǒng)、銀行卡制作方、快遞物流方等等?！皩?duì)于這些平臺(tái)，銀行肯定有相應(yīng)控制和要求。但數(shù)據(jù)畢竟不在你手里，你根本沒(méi)有辦法，”陳飛說(shuō)。

黑客

現(xiàn)在的政府網(wǎng)站普遍沒(méi)有防護(hù)或防護(hù)不到位，很多網(wǎng)站甚至認(rèn)為只需安裝一個(gè)“防火墻”。

一次上當(dāng)?shù)慕?jīng)歷，讓楊志夷學(xué)會(huì)了一個(gè)新詞，“撞庫(kù)”。

8月26日下午，廣東惠州居民楊志夷接到“客服”電話：你是不是買(mǎi)了5500元Q幣？楊第一反應(yīng)這是詐騙電話，但掛機(jī)后一查，建設(shè)銀行的卡面余額上居然真的少了5500元。楊馬上回?fù)苷?qǐng)求取消訂單，并告知對(duì)方手機(jī)驗(yàn)證碼。不到一分鐘，5000元返回賬戶，停留幾秒鐘又被轉(zhuǎn)走。他恍然大悟，驗(yàn)證碼正是騙子用來(lái)轉(zhuǎn)賬的?！翱晌揖褪窍氩幻靼?，我沒(méi)把密碼告訴任何人，銀行卡的余額為什么會(huì)自動(dòng)減少？”

一名銀行工作人員告訴南方周末記者，最初消失的5500元只是被人轉(zhuǎn)移到了理財(cái)賬戶，以造成余額減少的假象。在詐騙界，這并不新鮮。

在詐騙產(chǎn)業(yè)鏈上游，一群黑客專(zhuān)門(mén)入侵網(wǎng)站取得大量用戶數(shù)據(jù)，專(zhuān)業(yè)術(shù)語(yǔ)叫做“拖庫(kù)”。中游負(fù)責(zé)“洗庫(kù)”，就是通過(guò)技術(shù)手段將有價(jià)值的用戶數(shù)據(jù)歸納分析，售賣(mài)變現(xiàn)。詐騙集團(tuán)在下游，將買(mǎi)來(lái)的信息利用“撞庫(kù)”技術(shù)登錄受害者的手機(jī)銀行、網(wǎng)站等平臺(tái)。杭州安恒信息技術(shù)有限公司西北區(qū)技術(shù)總監(jiān)張百川告訴南方周末記者：“撞庫(kù)不需非常專(zhuān)業(yè)的黑客出馬，安裝一個(gè)軟件或做個(gè)程序，挨個(gè)去試就可以了?！彼f(shuō)，許多人上網(wǎng)圖方便，在多個(gè)平臺(tái)上使用同一個(gè)密碼，騙子正是利用了這個(gè)漏洞成功登錄了楊志夷的網(wǎng)上銀行?！懊艽a簡(jiǎn)單且在幾個(gè)平臺(tái)上同時(shí)使用的賬戶，最容易中招?！?/p>

最具代表性的“撞庫(kù)”發(fā)生在2014年12月25日。在這個(gè)黑色圣誕，黑客通過(guò)“撞庫(kù)攻擊”得到了超過(guò)13萬(wàn)條12306網(wǎng)站用戶信息。很快，大批信息開(kāi)始在互聯(lián)網(wǎng)上瘋傳。

與撞庫(kù)比肩的另外兩種數(shù)據(jù)獲取方式，分別是攻擊網(wǎng)站和木馬程序。黑客們利用這三種手段，打造出一條不斷升級(jí)的高能產(chǎn)業(yè)鏈。阿里巴巴資深安全技術(shù)專(zhuān)家玄泰認(rèn)為，這些黑客協(xié)作能力強(qiáng)、創(chuàng)新能力強(qiáng)，平臺(tái)化趨勢(shì)越來(lái)越明顯?！坝袑?zhuān)門(mén)做釣魚(yú)軟件的供應(yīng)商，有擔(dān)保數(shù)據(jù)買(mǎi)賣(mài)的交易平臺(tái)，有洗錢(qián)的平臺(tái)等等?！?/p>

比起“盜賊”的團(tuán)結(jié)、專(zhuān)業(yè)，平臺(tái)方則顯得“千瘡百孔”。360互聯(lián)網(wǎng)安全中心統(tǒng)計(jì)顯示，2015年共有1410個(gè)漏洞可能造成網(wǎng)站上的個(gè)人信息泄露，可能或已造成泄露的個(gè)人信息量高達(dá)55.3億條。存在泄露信息漏洞的1068個(gè)備案網(wǎng)站中，企業(yè)網(wǎng)站占比最高，達(dá)63%；其次是政府網(wǎng)站，占比20.1%。

據(jù)《IT時(shí)報(bào)》報(bào)道，2014年，浙江、安徽、江蘇、山西等19省份社保信息系統(tǒng)被補(bǔ)天漏洞響應(yīng)平臺(tái)曝光存在大量低級(jí)漏洞，比如四川、石家莊等地的社保部門(mén)使用“123456”“111111”等“弱口令”，導(dǎo)致系統(tǒng)漏洞。2015年，蘇州市社?；鸸芾碇行木W(wǎng)站被曝光利用“拖庫(kù)”技術(shù)便能查詢所有社保人員信息?！艾F(xiàn)在的政府網(wǎng)站普遍沒(méi)有防護(hù)或防護(hù)不到位?！睆埌俅ㄕf(shuō)，很多政府部門(mén)網(wǎng)站甚至認(rèn)為只需安裝一個(gè)“防火墻”。

除了政府網(wǎng)站，電商、生活服務(wù)平臺(tái)也是信息泄露的重災(zāi)區(qū)。2013年，如家、七天等連鎖酒店的2000萬(wàn)條客戶開(kāi)房信息外流；2014年，攜程網(wǎng)被國(guó)內(nèi)知名漏洞平臺(tái)曝光存在可泄露用戶銀行信息的重大安全漏洞。

就連技術(shù)“大亨”阿里巴巴也無(wú)法幸免。有買(mǎi)家網(wǎng)購(gòu)不到一分鐘，就接到自稱(chēng)“商家”的來(lái)電，稱(chēng)錢(qián)被凍結(jié)了，需辦理退款。在“商家”的指引下，買(mǎi)家的銀行卡賬號(hào)、密碼均被套走。

對(duì)于淘寶商城泄露客戶信息的質(zhì)疑，玄泰回應(yīng)，“用戶數(shù)據(jù)流向很復(fù)雜，除了保障平臺(tái)上的數(shù)據(jù)安全，還得確保商家、運(yùn)營(yíng)服務(wù)商、軟件供應(yīng)商、物流公司、電信公司等所有電商生態(tài)鏈路上的環(huán)節(jié)不出現(xiàn)信息泄露?！?/p>

2015年12月，阿里巴巴通過(guò)其信息安全防控監(jiān)控系統(tǒng)“御城河”發(fā)現(xiàn)，一臺(tái)設(shè)備上關(guān)聯(lián)了大量旺旺賬號(hào)，不法分子通過(guò)淘寶商品詳情頁(yè)面獲取買(mǎi)家購(gòu)買(mǎi)記錄，以截圖形式發(fā)給店員。聯(lián)絡(luò)時(shí)，店員謊稱(chēng)核對(duì)或更改收貨地址，以此套取買(mǎi)家真實(shí)的訂單信息。監(jiān)控信息成功協(xié)助警方搗毀這一團(tuán)伙，共抓捕嫌疑人17人。

此外，木馬潛入個(gè)人手機(jī)也是信息泄露的主要途徑。據(jù)360手機(jī)衛(wèi)士移動(dòng)安全專(zhuān)家葛健介紹，2016年4月，360手機(jī)衛(wèi)士共截獲盜取個(gè)人信息的手機(jī)惡意程序樣9.8萬(wàn)個(gè)。其中67.4%會(huì)竊取短信信息，34.8%會(huì)竊取手機(jī)銀行信息。

“我們進(jìn)入大數(shù)據(jù)時(shí)代，要用數(shù)據(jù)技術(shù)解決這個(gè)問(wèn)題?！鄙虾３刑┬畔⒓夹g(shù)有限公司創(chuàng)始人釋元認(rèn)為，收集信息的平臺(tái)應(yīng)該通過(guò)專(zhuān)業(yè)的數(shù)據(jù)運(yùn)營(yíng)商將重要的公民信息保護(hù)起來(lái)。

不過(guò)，在中南財(cái)經(jīng)政法大學(xué)教授喬新生看來(lái)，保護(hù)公民的個(gè)人信息首先要強(qiáng)化信息收集者和互聯(lián)網(wǎng)絡(luò)服務(wù)提供者的法律責(zé)任，“電子商務(wù)企業(yè)、政府部門(mén)在合法掌握公民信息的同時(shí)，也要承擔(dān)‘非法使用‘泄露公民個(gè)人信息的法律責(zé)任。”

批發(fā)

“上線的東西出手后就成了孤證，一旦找不到下家，嫌疑人肯定會(huì)否認(rèn)的。”

在一座巨大的市場(chǎng)里，內(nèi)鬼和黑客手中的信息很快就能售出、變現(xiàn)。其中，注冊(cè)方便、聯(lián)絡(luò)便捷的QQ占有一席之地。

2012年，四川警方在成都市東湖國(guó)際花園的居民房里查獲一處公民個(gè)人信息買(mǎi)賣(mài)窩點(diǎn)。梁某帶著3名手下，同時(shí)使用3臺(tái)電腦經(jīng)營(yíng)4個(gè)QQ號(hào)，每個(gè)QQ號(hào)聯(lián)系著數(shù)十個(gè)販賣(mài)信息的專(zhuān)業(yè)QQ群。梁某等人從不同上線購(gòu)買(mǎi)、交換個(gè)人信息并向下線出售，生意興隆；有時(shí)還會(huì)一邊接受下線資料預(yù)訂，一邊聯(lián)系上線幫忙查詢，雙管齊下。

隱蔽的網(wǎng)絡(luò)市場(chǎng)之外，有的交易就在光天化日之下。江蘇南通的一起非法獲取公民個(gè)人信息案中，幾名嫌疑人先后在汽車(chē)內(nèi)、肯德基店內(nèi)進(jìn)行現(xiàn)金買(mǎi)賣(mài)，每次交易額數(shù)千元。還有人在北京中關(guān)村海龍電子市場(chǎng)前的天橋上售賣(mài)個(gè)人信息，一張存有12萬(wàn)余條機(jī)動(dòng)車(chē)及車(chē)主數(shù)據(jù)的光盤(pán)，只賣(mài)160元。

這個(gè)繁榮的公民個(gè)人信息市場(chǎng)里，商品種類(lèi)繁多、五花八門(mén)。上文提到的梁某，經(jīng)營(yíng)類(lèi)別從公民身份證資料、戶口簿的戶籍信息到公民違法在逃記錄、手機(jī)通話清單、手機(jī)定位，無(wú)所不包，明碼標(biāo)價(jià)。比如工商銀行、建設(shè)銀行客戶開(kāi)戶資料及賬戶下余額，每份500元；農(nóng)業(yè)銀行的每份150元；公民身份證資料，每份30元；公民戶口簿的戶籍資料，每份50元；公民賓館入住登記，每人次50元；車(chē)輛、駕駛員信息，每份30元；公民個(gè)人航班記錄，每人次30元；公民個(gè)人違法、在逃記錄，每人次50元；公民信用報(bào)告，每人次40元至60元……

由于信息品種齊全，一些“私家偵探”慕名而來(lái)。在四川從事民事調(diào)查、商務(wù)調(diào)查的賈某，是梁某的客戶之一。2012年2月，賈受托查詢一人的下落。通過(guò)在網(wǎng)上購(gòu)買(mǎi)個(gè)人信息，他很快發(fā)現(xiàn)目標(biāo)人物于2月17日從重慶飛往杭州，之后又坐動(dòng)車(chē)到了上海。航班、動(dòng)車(chē)時(shí)間一目了然。

在全國(guó)第一起外國(guó)人非法獲取公民個(gè)人信息案中，被告人英國(guó)人彼特·漢弗萊同樣是一名“偵探”。他在上海注冊(cè)成立的公司對(duì)企業(yè)、個(gè)人進(jìn)行“背景調(diào)查”，許多知名大公司都曾是他的客戶。調(diào)查時(shí)，漢弗萊多次購(gòu)買(mǎi)公民戶籍、出入境、通話記錄等信息累計(jì)256條，每條信息價(jià)格從800元至2000元不等。

如果不是騙子找上門(mén)，大概沒(méi)人注意到自己的各種數(shù)據(jù)早已不脛而走。當(dāng)你意識(shí)到信息泄露時(shí)，卻摸不透究竟哪個(gè)環(huán)節(jié)出了問(wèn)題。南方周末記者在中國(guó)裁判文書(shū)網(wǎng)上搜索發(fā)現(xiàn)，“出售、非法提供公民個(gè)人信息罪”的案例遠(yuǎn)遠(yuǎn)少于“非法獲取公民個(gè)人信息罪”。2014年，前者數(shù)量17個(gè)，后者卻有388個(gè)；2015年前者16個(gè)，后者216個(gè)；2016年前者8個(gè)，后者111個(gè)。也就是說(shuō)，信息泄露鏈源頭被公訴、定罪的比例，不足末端販?zhǔn)坌畔⒄叩?/10。

這種從上游到下游金字塔形的判罪模式，與公安機(jī)關(guān)的偵查、抓捕模式大體相似。2012年4月，公安部在20個(gè)省份同時(shí)展開(kāi)打擊侵害公民個(gè)人信息類(lèi)犯罪的集中行動(dòng)，挖出“源頭”38個(gè)，摧毀數(shù)據(jù)平臺(tái)和“資源大戶”161個(gè)，打掉下游從事非法討債、非法調(diào)查等業(yè)務(wù)的公司611個(gè)。

北京師范大學(xué)刑事法律科學(xué)研究院教授盧建平認(rèn)為，在這種買(mǎi)賣(mài)型的犯罪里，買(mǎi)方查得多、供方查得少是一個(gè)基本特征?！耙?yàn)橄戮€經(jīng)常是人贓并獲，證明起來(lái)比較容易。上線的東西出手后就成了孤證，一旦找不到下家，嫌疑人肯定會(huì)否認(rèn)的?！?/p>

而在公民個(gè)人信息交易中，大多數(shù)買(mǎi)賣(mài)在網(wǎng)絡(luò)上進(jìn)行，上下家只是QQ好友，并不清楚對(duì)方的真實(shí)身份。公安機(jī)關(guān)在打擊這類(lèi)犯罪時(shí)，卻很容易引起警覺(jué)，一旦打草驚蛇，整個(gè)信息平臺(tái)瞬間消失。

懲處

即使是“情節(jié)嚴(yán)重”的情形，也幾乎沒(méi)人被判到三年的最高刑。

因非法獲取公民個(gè)人信息罪，上文從事信息“批發(fā)”生意的梁某被判有期徒刑一年八個(gè)月，并處罰金2萬(wàn)元。在南方周末記者詳細(xì)梳理的幾十個(gè)同類(lèi)案件中，梁已屬被判了“重刑”。

侵犯公民個(gè)人信息入罪始于2009年。當(dāng)時(shí)的《刑法修正案（七）》（下稱(chēng)《修七》），在第253條中增加了出售、非法提供公民個(gè)人信息罪，以及非法獲取公民個(gè)人信息罪兩個(gè)罪名。2015年，《刑法修正案（九）》（下稱(chēng)《修九》）對(duì)此做出調(diào)整，兩項(xiàng)罪名歸并為一項(xiàng)，合稱(chēng)侵犯公民個(gè)人信息罪。

從《修七》到《修九》，侵犯公民個(gè)人信息犯罪多了“情節(jié)特別嚴(yán)重”的情形。過(guò)去，情節(jié)嚴(yán)重的，最高判處三年以下有期徒刑；現(xiàn)在，情節(jié)特別嚴(yán)重的，最高可以判到七年。

此外，《修九》還去掉了對(duì)犯罪主體的限制?！啊缎奁摺窌r(shí)，犯罪主體只能是國(guó)家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員。到了《修九》，一般人都可能成為犯罪主體?！北睅煷笮炭圃航淌谠蚋嬖V南方周末記者，這是對(duì)罪名適用范圍的擴(kuò)大。

不過(guò)，南方周末記者在中國(guó)裁判文書(shū)網(wǎng)上多方搜索，并未找到侵犯公民個(gè)人信息罪中“情節(jié)特別嚴(yán)重”的案例。袁彬認(rèn)為，這可能與《修九》頒布時(shí)間尚短有關(guān)。

即使是“情節(jié)嚴(yán)重”的情形，也幾乎沒(méi)人被判到三年的最高刑。在南方周末記者搜集的判例中，上文提到的英國(guó)人彼特·漢弗萊獲刑最重，被判處有期徒刑二年六個(gè)月、并處罰金20萬(wàn)元及驅(qū)逐出境。與此同時(shí)，許多侵犯了公民個(gè)人信息的被告人，僅被判處緩刑。

對(duì)于什么是情節(jié)嚴(yán)重、什么是情節(jié)特別嚴(yán)重，迄今沒(méi)有司法解釋做出明確規(guī)定。袁彬認(rèn)為，情節(jié)嚴(yán)重與否是一個(gè)綜合考量的過(guò)程，獲取公民信息數(shù)量、行為次數(shù)、行為后果等多個(gè)方面都要評(píng)判。

在上海，信息數(shù)量是判定情節(jié)是否嚴(yán)重最重要的因素，信息用途、信息類(lèi)型、營(yíng)利數(shù)額、危害后果、獲取手段等，也在考量范疇之內(nèi)。在一篇專(zhuān)業(yè)論文中，上海法院系統(tǒng)的研究人員認(rèn)為，侵害個(gè)人身份等普通信息的應(yīng)以5000條作為情節(jié)嚴(yán)重的標(biāo)準(zhǔn)，侵害個(gè)人金融信息的為2500條，侵害個(gè)人隱私信息的為1000條。

如果以信息數(shù)量而論，“情節(jié)特別嚴(yán)重”要達(dá)到十倍于“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)。此外，侵害行為帶來(lái)的危害性后果，比如造成他人精神嚴(yán)重受損及死亡、引起社會(huì)恐慌或危害國(guó)家安全等，也在考慮之中。

但上海的標(biāo)準(zhǔn)未必適用于其他地方。2016年5月，福建龍巖新羅區(qū)檢察院對(duì)涉嫌侵犯公民個(gè)人信息的石某提起公訴。石某非法獲取公民個(gè)人信息78260條，經(jīng)營(yíng)數(shù)額78萬(wàn)余元。經(jīng)過(guò)審理，新羅區(qū)法院確認(rèn)了石某獲取信息的數(shù)量，但不支持公訴機(jī)關(guān)認(rèn)定的經(jīng)營(yíng)數(shù)額。為此，石某逃過(guò)了“情節(jié)特別嚴(yán)重”的認(rèn)定，僅被判處有期徒刑二年。

“有些人獲取信息是為了詐騙錢(qián)財(cái)或惡意誹謗，前者只是后者的手段、工具。”盧建平告訴南方周末記者，在此類(lèi)案件中，如果詐騙、誹謗的結(jié)果沒(méi)有出現(xiàn)，就只能給嫌疑人定上侵犯公民個(gè)人信息一條罪名。

在廣東省茂名市電白區(qū)就有許多這樣的例子。公安機(jī)關(guān)從嫌疑人處查獲了從QQ上買(mǎi)來(lái)的個(gè)人信息，以及多部手機(jī)、多張電話卡、多張銀行卡等各種詐騙犯罪工具。但因?yàn)樵p騙沒(méi)有成功，所以檢察院只公訴了侵犯公民個(gè)人信息一項(xiàng)罪名。

立法

“這種分散立法的方式產(chǎn)生了不確定性，行業(yè)主體不知道應(yīng)該遵守什么樣的規(guī)則?！?/p>

從2005年起草完成算起，《個(gè)人信息保護(hù)法（專(zhuān)家建議稿）》（下稱(chēng)“專(zhuān)家建議稿”）已在角落里躺了11年。

刑法之外，之所以要制定這樣一部法律，就是為了保護(hù)公民個(gè)人權(quán)利，防止政府機(jī)關(guān)和那些手握大量數(shù)據(jù)的企業(yè)過(guò)度收集、濫用信息。

2003年，中國(guó)社科院法學(xué)所研究員周漢華等人受原國(guó)務(wù)院信息化工作辦公室委托，開(kāi)始起草專(zhuān)家建議稿。彼時(shí)，公民個(gè)人信息還是一個(gè)全新的領(lǐng)域，普羅大眾沒(méi)有保護(hù)意識(shí)，法院也沒(méi)有這方面的案子。

“關(guān)于個(gè)人信息保護(hù)的規(guī)定，散見(jiàn)于各種規(guī)范性文件里，比如刑法、消費(fèi)者權(quán)益保護(hù)法、全國(guó)人大常委會(huì)《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》等等。這種分散立法的方式產(chǎn)生了不確定性，行業(yè)主體不知道應(yīng)該遵守什么樣的規(guī)則。”周漢華將立法現(xiàn)狀歸納為有基本概念、基本原則、刑事責(zé)任，沒(méi)有切實(shí)可行的操作規(guī)范、管理措施。如果把個(gè)人信息保護(hù)比喻成一根鏈條，其中含有信息采集、使用、安全保護(hù)、用后銷(xiāo)毀等多個(gè)環(huán)節(jié)，“那么這根鏈條現(xiàn)在呈現(xiàn)出系統(tǒng)性失靈”。

另一個(gè)問(wèn)題在于，國(guó)內(nèi)至今沒(méi)有獨(dú)立的信息保護(hù)執(zhí)法機(jī)構(gòu)。執(zhí)法過(guò)程中，如果讓銀監(jiān)會(huì)管銀行、證監(jiān)會(huì)管證券公司、工信部管移動(dòng)通信運(yùn)營(yíng)商，無(wú)異于親爹管兒子?！暗嬲馨褍鹤庸芎玫?，只能是別人的爹?！敝軡h華說(shuō)。

為解決這些問(wèn)題，專(zhuān)家建議稿為收集、處理個(gè)人信息設(shè)置了一整套程序。比如收集信息前，政府機(jī)關(guān)要向信息資源主管部門(mén)登記個(gè)人信息的主要內(nèi)容、使用目的、主要使用者、保存期限等等；作為企業(yè)，還要同時(shí)說(shuō)明個(gè)人信息保護(hù)文件的公開(kāi)方式與地點(diǎn)、安全保護(hù)措施以及安全保護(hù)主要負(fù)責(zé)人的姓名、身份證號(hào)碼、住址、簡(jiǎn)歷。這些登記要對(duì)社會(huì)公開(kāi)，以給予公眾知情權(quán)、監(jiān)督權(quán)。

至于建議稿中提到的“政府信息資源管理部門(mén)”，也就是那個(gè)獨(dú)立的信息保護(hù)執(zhí)法機(jī)構(gòu)，學(xué)者們?cè)?jīng)的設(shè)想是委托起草的國(guó)信辦。但2008年的國(guó)務(wù)院機(jī)構(gòu)改革中，國(guó)信辦的職能被拆分、歸并到工信部以及后來(lái)的網(wǎng)信辦，周漢華認(rèn)為現(xiàn)在最好的辦法是重新整合出一個(gè)機(jī)構(gòu)，專(zhuān)門(mén)管理不同領(lǐng)域的信息，“類(lèi)似于國(guó)外的信息專(zhuān)員辦公室”。

國(guó)信辦的取消，似乎是《個(gè)人信息保護(hù)法》命運(yùn)的一次轉(zhuǎn)折。自此，在起草過(guò)程中負(fù)責(zé)議事協(xié)調(diào)的機(jī)構(gòu)也隨之消失不見(jiàn)。2016年8月29日，南方周末記者分別致電工信部、網(wǎng)信辦詢問(wèn)個(gè)人信息保護(hù)法的進(jìn)展。雙方工作人員均表示，相關(guān)工作由對(duì)方負(fù)責(zé)，自己并不了解情況。

沉睡了11年的專(zhuān)家建議稿，至今未能列入立法機(jī)關(guān)的立法計(jì)劃，只能停留在研究階段。周漢華告訴南方周末記者，每年通過(guò)的法律、行政法規(guī)等大約四五十件，在數(shù)量上受到瓶頸制約。但在徐玉玉、宋振寧事件中，個(gè)人信息泄露導(dǎo)致的連鎖行為、負(fù)面印象已經(jīng)非常惡劣，個(gè)人信息保護(hù)法亟待提上立法日程。

兩名大學(xué)生的離世，確實(shí)讓《個(gè)人信息保護(hù)法》重回公眾視線。近半個(gè)月來(lái)，找周漢華采訪的媒體不在少數(shù)。而迄今為止，他還沒(méi)有接到任何官方消息。“從現(xiàn)在的情況看，《個(gè)人信息保護(hù)法》是列入2014年至2020年國(guó)家信息網(wǎng)絡(luò)專(zhuān)項(xiàng)立法規(guī)劃的。估計(jì)在2020年之前，可以進(jìn)入人大常委會(huì)審議?！敝軡h華說(shuō)。