个人信息泄露何时了?
中国IDC圈2月18日报道,春节刚过,各地公安司法部门打击了一批非法获取、售卖大量公民个人信息的犯罪行为。
据了解,这些年各地都有倒卖公民个人信息的,个人的姓名、年龄、身份证号、信用卡号、婚姻状况、工作经历、教育、医疗、经济活动等记录,均成为“商品”。不法分子掌握这些信息后,要么直接买卖非法获利,要么利用基础信息获取更多信息,进而从事电信诈骗、非法讨债、绑架勒索等更多犯罪。
2月10日,成都逮捕了涉嫌非法获取并倒卖20多万条公民个人信息的犯罪嫌疑人周飞和敬某。周飞非法获取了250多万条学生信息、55万多条楼盘户主信息、13万条车主信息,情节严重。
上海警方去年年底破获大案,6名涉案嫌疑人非法获取、出售股民、银行千万资产名录等个人信息10亿余条。现在,其中龙某、易某等4人已批准逮捕。
2013年12月底,广东省东莞市赵某非法倒卖公民个人信息10万余条,被判有期徒刑一年三个月。
政协委员关注的一个问题
近年来,泄露和侵害公民个人信息包括隐私的事件频频发生,个人信息成了随意买卖的“商品”,非法买卖公民个人信息违法犯罪活动日益泛滥。
被倒卖的信息内容涉及人民群众工作生活的方方面面。
犯罪嫌疑人借助互联网实时、快捷地交易个人信息数据,已经形成泄露信息、买卖信息和使用信息实施敲诈勒索、电信诈骗、绑架、暴力讨债、非法调查等违法犯罪活动的庞大犯罪网络,社会危害严重,群众反响强烈。
这些问题,也引起了政协委员的高度重视。从2008年全国政协十一届一次会议到2013年全国政协十二届一次会议,政协委员一次又一次提交提案,要求有关部门加强对个人信息的保护。
早在2008年,全国政协委员、致公党天津市委副主委何悦就已经提交了《加快我国网络信息安全立法提案》。她说,提交这个提案的目的是保护个人信息安全,合理正当使用个人信息,保护个人隐私,治理个人信息随处泄露的混乱状况。全国政协提案委员会把它列为重点提案,专门召开了有工业和信息化部、公安部等相关承办部门负责人参加的提案办理协商会。
2009年,在全国政协十一届二次会议上,全国政协委员、湖南省社会主义学院院长胡旭晟提交提案,呼吁尽快制定《个人信息保护法》。他说:“由于目前我们对个人信息隐私没有切实有效的保护,导致我们的日常工作和生活因个人信息的外泄而遭受严重的干扰,甚至造成财产和名誉受损。”
2011年,在全国政协十一届四次会议上,侯欣一、张穹、刘白驹等政协委员在第1894号提案中,引用公开报道的材料说:“2010年元旦前夕,北京某网络安全公司根据用户举报,发现谷歌公司服务器上存在一个巨大的用户隐私信息数据包。这个事件明显暴露了我们在互联网个人信息保护上存在的巨大隐患,凸显立法和相关制度的缺失。”
他们呼吁:“鉴于网络信息安全问题日益突出,通过网络破坏信息系统,传播淫秽、色情、赌博、暴力等信息,窃取信息、名誉侵权等行为屡禁不止,严重扰乱社会秩序,影响国家信息安全,建议加快制定信息安全法。”
2012年,在全国政协十一届五次会议上,郭为委员的第0486号提案,案由为“关于加强个人信息保护立法,为互联网服务保驾护航的提案”。他提出:“公民个人信息包含潜在的商业价值,一旦被恶意获取,社会危害大。建议加快个人信息安全立法促使相关机构及企业对用户的数据信息完整性保护、隐私权保护提出严格的要求。其中,政府部门作为公民个人信息最大的拥有者,应高度重视在个人信息应用方面的管理,一旦发生政府部门泄露个人隐私的事项,一定要严肃处理,以表明政府保护个人隐私的决心。为公民网上活动和互联网产业发展提供良好的法律环境。”
2013年,在全国政协十二届一次会议上,致公党中央提交的第0232号提案指出:“目前,我国个人信息泄露情况较为严重。2012年5月,中国电子信息产业发展研究院、中国软件评测中心联合发布了《公众个人信息保护意识调研报告》,报告显示,超过60%的被访者遇到过个人信息被盗用的情况。在一定程度上导致了电信诈骗、敲诈勒索、绑架和非法讨债等犯罪屡打不绝,甚至有些已经出现了向黑社会性质组织转化的趋势,严重危害了社会秩序。”他们再次呼吁:完善立法,加强公民个人信息保护。
2013年,在全国政协十二届一次会议上,连续三届当选全国政协委员的苏宁董事长张近东也提出要加快制定《互联网个人信息保护法》。
从中,我们可以看到,长期以来,政协委员一直在反映人民诉求,呼吁有关部门高度关注个人信息的保护。他们的认识,正如张近东委员所说的,个人信息是个人权益的组成部分。
但是,政协委员一次又一次提案,一次又一次呼吁,一次又一次建言,问题依然没有得到有效解决。尽管这些年政府有关部门对这些现象一直在抓,一直在打击,但势头并未被遏制。
大家都义愤地说:个人信息泄露,究竟何时才能了?增强个人信息保护意识,加快制定《互联网个人信息保护法》,保护个人信息安全已经刻不容缓。
个人信息泄露缘何如此严重
为什么政协委员一而再、再而三地提出这个问题,还不能很好地解决呢?
“由于此类犯罪成本低、‘市场需求’大等原因,犯罪嫌疑人为追逐不法利益,通过互联网联系,很快组成新的犯罪网络。”针对政协委员的提问,公安部刑侦局局长刘安成分析说,一是有市场,各种各样的商业主体都需要收集公民个人信息;二是有源头,即有“内鬼”,他们将履行职责和提供服务过程中获取的公民个人信息出售、非法提供给不法商人或者犯罪团伙,牟取暴利;三是有中间商,有些人“钻空子”趁机牟利,从源头获取信息,转手卖给市场。
根据政协委员和专家学者的分析,个人信息泄露有两种情况:
一种是互联网泄露。近20年来,我国互联网快速发展,已经在经济、政治和社会文化生活的各个领域广泛应用。不仅互联网用户量名列世界前茅,而且以阿里巴巴、腾讯、百度等为代表的中国互联网企业也已经成为具有国际影响的品牌。互联网产业的快速发展,在拉动内需、促进就业、推动产业结构调整,以及缩小我国服务业与发达国家服务业发展差距方面都发挥了重要作用。与此同时,互联网的出现和快速发展也给国家的信息安全和个人的隐私保护等带来了极大挑战。
侯欣一、张穹、刘白驹等政协委员在2011年就已经指出这些问题。他们说:“首先,网络信息技术便利了对个人的监控和搜索,个人在网络上的一举一动都可以随时被记录下来,这和前互联网时代形成了鲜明的对比。其次,大型电子数据库的出现使得搜集、整理、传输、加工信息变得更加便利,而且几乎可以永久保存,不断再现。这就使得一些商业公司具备了大规模收集个人和企业信息的技术条件,尤其是一些装机量庞大的客户端软件提供商,就掌握了数以亿计的个人在网络上留存的信息,如果不严格加以规范和监管,一旦其所收集的用户信息被泄露或滥用,后果不堪设想。”
另一种是单位和个人泄露。中国社会科学院曾经通过对北京、成都、青岛、西安4个城市的调研,发现我国个人信息被滥用的情况触目惊心。
具体形式大致有四类:
一是过度收集个人信息。有关机构超出所办理业务的需要,收集大量非必要或完全无关的个人信息。比如,一些商家在办理积分卡时,要求客户提供身份证号码、工作机构、受教育程度、婚姻状况、子女状况等信息;一些银行要求申办信用卡的客户提供个人党派信息、配偶资料乃至联系人资料等。
二是擅自披露个人信息。有关机构未获法律授权、未经本人许可或者超出必要限度地披露他人个人信息。比如,一些地方对行人、非机动车交通违法人员的姓名、家庭住址、工作单位以及违法行为进行公示;有些银行通过网站、有关媒体披露欠款者的姓名、证件号码、通信地址等信息;有的学校在校园网上公示师生缺勤的原因,或者擅自公布贫困生的详细情况。
三是擅自提供个人信息。有关机构在未经法律授权或者本人同意的情况下,将所掌握的个人信息提供给其他机构。比如,银行、保险公司、航空公司等机构之间未经客户授权或者超出授权范围共享客户信息。
四是更为恶劣的还有非法买卖个人信息。社会上大量兜售房主信息、股民信息、商务人士信息、车主信息、电信用户信息、患者信息的现象,已经形成了一个新兴的产业。
鉴于刑法对此类犯罪的规定较为笼统,最高人民法院、最高人民检察院、公安部去年联合下发了《关于依法惩处侵害公民个人信息犯罪活动的通知》,明确了此类犯罪的危害、性质,规定了此类犯罪主体以及公民个人信息的涵盖范围,并要求执法和司法机关借鉴成功判例,依法加大打击力度,为各地打击此类犯罪提供了强有力的法律支撑。
2012年12月28日,全国人大常委会发布了《关于加强网络信息保护的决定》。2013年2月1日,《信息安全技术公共及商用服务信息系统个人信息保护指南》也正式实施了。
全国政协委员施杰认为,“目前,我国保护个人信息的规定主要体现在行业规章制度上,或者零散地分布在部分法律法规之中。”“个人信息保护工作虽然已经进入‘有标可依’阶段,但这些文件将政府机关等行使公共管理职责的机构排除在外,且仅限于在信息系统中的个人信息保护,仍然不能解决个人信息保护因缺乏统一的法律规范,而面临概念模糊、主体不明、处罚乏力、人才技术不足等问题,这些问题严重制约了对公民个人信息的保护。”
“不仅文件的等级不高即权威性不够,而且主要管的是互联网上的信息保护问题,还没有采取强有力的举措来管理单位和个人的泄露问题。”对于这几年国家通过的信息管理文件。在全国政协十二届一次会议上,施杰对这个问题做过一个分析:尽管在刑法修正案中已经明确提出国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将履行公务或者提供服务中获得的公民个人信息出售或者提供给他人,或者以窃取、收买等方式非法获取上述信息,情节严重的要追究刑事责任,但实际上许多人并不把这样的规定当回事,对于那些盗卖倒卖个人信息的现象有的地方并没有把它看作是犯罪现象,所以打击力度远远不够。
出路还是在法治
个人信息泄露的势头必须遏制,让随意倒卖个人信息谋财的人有所顾忌,法律法规的威慑力必须加大。这是很多政协委员的看法。
应该讲,加快立法,加强执法,依法保护个人信息安全,这是符合世界潮流的。目前,美国、欧盟、澳大利亚、日韩等国,都已有了较完整的保护个人信息的法系。新加坡国会已经通过了个人信息保护法案,违法发送垃圾信息最高罚款100万新元(约合514万人民币),并成立了个人信息保护署,作为新加坡保护个人信息的主要机构。
施杰建议,全国人大常委会应尽快出台公民个人信息保护法:
1.明确公民个人信息的范围,对党政官员的特定信息做特别的规定。一方面,公民个人信息除了公民的姓名、住址、电话、学历、家庭成员、资产等信息以外,还包括指纹、交通信息、GPS位置定位、医疗健康等内容。另一方面,因为党政官员所具有的职务、责任的特殊性,所以其个人信息保护的范围和标准都应该小于和低于普通公众,对其财产、户籍等信息的查询、使用应做特别的规定。
2.明确责任主体,强化责任追究。公民个人信息保护的责任主体分为承担保密责任的主体和承担查处责任的主体。前者包括掌握公民个人信息的行政职能部门(包含具有类似职能的事业单位)以及与之相关的企业和他们的工作人员。至于承担查处责任的主体,若是行政机关及其工作人员的责任,则追责的主体为本级政府或上级机关,若是事业单位及其工作人员的责任,则追责主体为其主管部门。
各责任主体通过实行保密责任书明确责任,确定经手部门和人员;提高信息记录“门槛”、设置“分级查看”的权限,尽量减少信息采集量以及可能触及个人信息的部门和人员;推行“问责制”,做到责任到人,有法必依,违法必究;建设并大力宣传短信举报等服务平台,免费受理民众举报,完善倒查机制;引入“人民监督员”制度,聘请公民对各责任主体进行监督。以此细化各保密责任主体在记录、保管、使用公民个人信息过程中的责任,强化追责主体对侵害公民个人信息行为的责任追究。
3.制定严厉的处罚措施,增大违法成本。可以借鉴新加坡、香港等“重典治乱”的治理经验。对侵害公民个人信息的企事业单位和个人,处以高额的罚款,并记入征信档案,据此依法对其贷款、投资经营、购房等行为进行限制。企业多次违法的,处以暂扣或者吊销营业执照的处罚;个人多次违法的,可将此作为刑事罪名中“情节严重”的标准;行政或事业单位违法的,依法对单位和直接责任人员进行处罚和处分,构成犯罪的,依法追究刑事责任。
4.共享社会组织、科研机构资源,克服人才技术不足的问题。个人信息保护的责任主体涉及众多行业和部门,为了避免人力、物力等资源的重复使用,克服人才技术不足的难题,各责任主体可以共同委托(或采用购买服务的方式)有资质有实力的社会组织和科研机构进行调查研究、服务平台建设和管理等工作。共享信息技术成果,及时准确掌握动态信息,为决策提供参考,为切实保护公民个人信息提供有力的人才和技术支持。
此外,公民个人信息保护法还应明确其立法宗旨、基本原则、行业自律条款以及定期删除和销毁个人信息的程序规定,从而切实有效地保护公民个人信息。
致公党中央的建议是:在制定《个人信息保护法》时,有必要对个人信息收集主体、收集范围、收集程序、部门或组织告知义务、个人信息的储存与使用、更改程序、共享程序、行业自律机制;对损害赔偿、法律责任(民事、行政、刑事)等方面做出明确规定,整合现有分散、零碎的保护规范,统一规制个人信息收集、保存和利用行为,有效保护公民个人信息,保障公民权益,推动信息社会的持续健康发展。