隨著(zhù)互聯(lián)網(wǎng)技術(shù)的突飛猛進(jìn)，網(wǎng)上購物、移動(dòng)支付、大數據等給人們生活帶來(lái)極大便利的同時(shí)，也給個(gè)人信息安全帶來(lái)了前所未有的風(fēng)險，侵犯公民個(gè)人信息犯罪持續增多。面對個(gè)人信息泄露引發(fā)的信息買(mǎi)賣(mài)、無(wú)端騷擾和電信詐騙，公民尚需小心防范，公安機關(guān)對個(gè)案的打擊，也對此類(lèi)犯罪起到一定的遏制作用。但如果因信息安全監管本身存在漏洞，那將會(huì )直接導致公民安全受威脅、財產(chǎn)受損害，使我國公民個(gè)人信息安全體系面臨更嚴峻的考驗。

航班被陌生人取消

乘客信息安全存漏洞

“民航旅客訂座系統”（Eterm系統），是中國民航信息網(wǎng)絡(luò )股份有限公司（以下簡(jiǎn)稱(chēng)“中航信”）開(kāi)發(fā)的訂票系統。由于該系統操作界面是黑色背景、綠色和黃色字體，因此又被業(yè)內人士稱(chēng)為“黑屏系統”。

作為目前國內各大航空公司的訂票系統，“黑屏系統”面向航空公司、機場(chǎng)、機票銷(xiāo)售代理等機構，主要提供航空客運業(yè)務(wù)、航空旅游電子分銷(xiāo)等服務(wù)。

今年2月，林女士通過(guò)一家航空公司官方APP軟件預訂了一張從北京飛往英國倫敦的機票。4月19日，她突然接到APP發(fā)來(lái)的信息，稱(chēng)她訂的機票已經(jīng)成功退票。林女士堅稱(chēng)自己從來(lái)沒(méi)有申請過(guò)退票，但經(jīng)該航空公司客服確認后，這一行為正是林女士自己通過(guò)APP軟件操作所致。林女士再次打開(kāi)APP確認，發(fā)現“常用乘機人”中竟然有幾個(gè)陌生人的資料。這些人的姓名、聯(lián)系方式、身份證號碼、開(kāi)戶(hù)銀行和卡號全都一目了然，另外還有十幾條不屬于林女士的航行記錄也都赫然在列。而林女士的機票，就是其中一個(gè)關(guān)聯(lián)人取消的。

這個(gè)關(guān)聯(lián)人發(fā)現自己收到了從北京飛往英國的航班提示，但自己并沒(méi)有購票過(guò)，便選擇了取消。本應安全隱密的訂票信息竟毫無(wú)保留地呈現在陌生人面前，而對方只需要動(dòng)動(dòng)手指，就可以任意對這些信息進(jìn)行修改、取消等操作。

據某機票代理商負責人介紹，有權限查看并有可能泄露乘客航班信息的源頭，主要有機票代理商、航空公司工作人員、中航信工作人員以及黑客這4大類(lèi)人群。他們通過(guò)不同渠道和權限，在Eterm系統上只需輸入乘客身份證號，就能查到包括乘客相應航班的座位、艙位、電話(huà)號碼等詳細資料，完全不需要乘客本人的驗證。

因此，盡管信息泄露渠道繁多，但源頭都指向了Eterm系統。雖然登錄該系統需要特定的賬號密碼，但信息“倒爺”們會(huì )通過(guò)淘寶、QQ等網(wǎng)絡(luò )平臺向機票代理商、航空公司工作人員購買(mǎi)賬號密碼，或者直接通過(guò)“黑客”手段，通過(guò)軟件將一個(gè)賬號分出數個(gè)小號，便可順利訪(fǎng)問(wèn)中航信的數據庫。

事后，雖然航空公司APP工作人員回應稱(chēng)，機票被別人取消是軟件系統漏洞才鬧出了“大烏龍”，然而公民個(gè)人信息的泄露卻并不只是一個(gè)偶然事件。

信息泄露防不勝防

安全監管需兼顧平衡

2013年底，一家為全國4500多家酒店提供網(wǎng)絡(luò )服務(wù)的公司因系統存在安全漏洞，致使全國高達2000萬(wàn)條賓館住宿記錄泄露。2015年初至2016年6月，丁某在不法網(wǎng)站上非法下載獲取這些賓館住宿記錄等公民個(gè)人信息，并上傳至自己開(kāi)辦的“嗅密碼”網(wǎng)站。

該網(wǎng)站除了能夠查詢(xún)住宿記錄外，還提供用戶(hù)QQ、部分論壇賬號及密碼找回功能。其中住宿記錄共有將近二千萬(wàn)條，用戶(hù)經(jīng)注冊成為會(huì )員后，可以在網(wǎng)頁(yè)“開(kāi)房查詢(xún)”欄目項下，以輸入關(guān)鍵字姓名或身份證號的方式查詢(xún)網(wǎng)站數據庫中賓館住宿記錄（顯示姓名、身份證號、手機號碼、地址、住宿時(shí)間等信息）。自2015年5月份左右，丁某開(kāi)始對該網(wǎng)站采取注冊會(huì )員方式收取費用。一年時(shí)間里，“嗅密碼”網(wǎng)站共有查詢(xún)記錄49698條，收取會(huì )員費191440.92元。此案經(jīng)審理后，丁某以侵犯公民個(gè)人信息罪被判處有期徒刑三年，并處罰金人民幣二萬(wàn)元。

公安部網(wǎng)絡(luò )技術(shù)研發(fā)中心主任許劍卓分析說(shuō)，侵犯公民個(gè)人信息的犯罪已經(jīng)成為其他各類(lèi)犯罪的上游犯罪，不管是敲詐勒索、電信詐騙等等各類(lèi)犯罪，多數以非法獲取個(gè)人信息為前提。

最高人民法院研究室主任顏茂昆認為，大數據時(shí)代，包括個(gè)人信息在內的數據只有通過(guò)流動(dòng)、共享甚至交易才能充分發(fā)揮其社會(huì )價(jià)值、經(jīng)濟價(jià)值，而這些數據在流動(dòng)和交易過(guò)程中，又極易產(chǎn)生個(gè)人信息擴散、失控的危險。因此，處理大數據發(fā)展的現實(shí)需要與保護公民個(gè)人信息之間的關(guān)系應有兩個(gè)關(guān)鍵詞：一是兼顧，二是平衡。

顏茂昆認為，所謂兼顧，就是在發(fā)展大數據的同時(shí)，必須依法保護公民個(gè)人的信息安全。只有包括個(gè)人信息在內的數據在法律的保護下安全迅速地收集和流通，才能夠真正地推動(dòng)我國信息產(chǎn)業(yè)的可持續發(fā)展。

所謂平衡，就是在兩者之間尋求一個(gè)結合點(diǎn)和平衡點(diǎn)，在法律層面為個(gè)人信息交易和流動(dòng)保留了一定的空間。顏茂昆舉例說(shuō)，網(wǎng)絡(luò )安全法規定，網(wǎng)絡(luò )運營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息，未經(jīng)被收集者同意，不得向他人提供個(gè)人信息，但是經(jīng)過(guò)處理無(wú)法識別特定個(gè)人且不能復原的除外。“這個(gè)規定是要嚴格保護公民個(gè)人信息，對網(wǎng)絡(luò )運營(yíng)者提出要求，但是同時(shí)也為數據提供留下了一些空間。”顏茂昆說(shuō)。

“誰(shuí)收集誰(shuí)負責”

法律責任界定日漸清晰

當前，不少網(wǎng)絡(luò )運營(yíng)者因為履行職責或者提供服務(wù)的需要，掌握著(zhù)海量公民個(gè)人信息，這些信息一旦泄露將造成惡劣社會(huì )影響和嚴重危害后果。

《法制日報》記者注意到，公民個(gè)人信息泄露，往往存在于信息收集源頭到信息倒賣(mài)之間的多個(gè)環(huán)節中。在機票信息泄露事件中，由于從Eterm系統源頭到乘客，中間經(jīng)歷了中航信、航空公司、第三方航空APP、機票代理商、在線(xiàn)訂票網(wǎng)站等多個(gè)環(huán)節，每個(gè)環(huán)節都存在信息泄露的可能性，這也導致了個(gè)人信息泄露的受害者難以維權追責。

針對取證難、追責難的困局，網(wǎng)絡(luò )安全法明確了網(wǎng)絡(luò )信息安全的責任主體，確立了“誰(shuí)收集，誰(shuí)負責”的基本原則。其中，第40條明確規定：“網(wǎng)絡(luò )運營(yíng)者應當對其收集的用戶(hù)信息嚴格保密，并建立健全用戶(hù)信息保護制度。”

5月9日，最高人民法院召開(kāi)新聞發(fā)布會(huì )，發(fā)布了《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》（以下簡(jiǎn)稱(chēng)《解釋》）?！督忉尅饭?3條，進(jìn)一步明確侵犯公民信息罪的定罪量刑標準和有關(guān)法律適用問(wèn)題，其中便對如何處理拒不履行公民個(gè)人信息安全管理義務(wù)行為進(jìn)行了明確。

顏茂昆介紹說(shuō)，拒不履行信息網(wǎng)絡(luò )安全管理義務(wù)罪主體是網(wǎng)絡(luò )服務(wù)提供者?！督忉尅芬幎?，網(wǎng)絡(luò )服務(wù)提供者拒不履行法律、行政法規規定的信息網(wǎng)絡(luò )安全管理義務(wù)，經(jīng)監管部門(mén)責令采取改正措施而拒不改正，致使用戶(hù)的公民個(gè)人信息泄露，造成嚴重后果的，應當依照拒不履行信息網(wǎng)絡(luò )安全管理義務(wù)罪，追究其刑事責任。

此外，與侵犯公民個(gè)人信息罪相關(guān)聯(lián)的另一個(gè)犯罪是非法利用信息網(wǎng)絡(luò )罪。顏茂昆說(shuō)，實(shí)踐中，一些行為人通過(guò)建立網(wǎng)站、通訊群組等供他人進(jìn)行公民個(gè)人信息交換、流轉、銷(xiāo)售，以非法牟利。

根據刑法規定，設立用于實(shí)施違法犯罪活動(dòng)的網(wǎng)站、通訊群組，情節嚴重的，構成非法利用信息網(wǎng)絡(luò )罪。最高法經(jīng)研究認為，供他人實(shí)施非法獲取、出售或者提供公民個(gè)人信息違法犯罪活動(dòng)的網(wǎng)站、通訊群組實(shí)際上屬于“用于實(shí)施違法犯罪活動(dòng)的網(wǎng)站、通訊群組”。

因此，《解釋》規定，設立用于實(shí)施非法獲取、出售或者提供公民個(gè)人信息違法犯罪活動(dòng)的網(wǎng)站、通訊群組，情節嚴重的，應當以非法利用信息網(wǎng)絡(luò )罪定罪處罰；同時(shí)構成侵犯公民個(gè)人信息罪的，依照侵犯公民個(gè)人信息罪定罪處罰。

許劍卓說(shuō)，隨著(zhù)《解釋》即將從6月1日起實(shí)施，公安機關(guān)將針對公民個(gè)人信息保護從重點(diǎn)打擊侵犯公民個(gè)人信息源頭，落實(shí)網(wǎng)絡(luò )服務(wù)商的網(wǎng)絡(luò )安全防護責任，打擊購買(mǎi)、收售、交易、幫助建立平臺和通訊群組整個(gè)利益鏈條三方面開(kāi)展工作。

為切實(shí)加大對行業(yè)“內鬼”參與公民個(gè)人信息泄露案件的懲治力度，《解釋》明確了在認定“情節嚴重”時(shí)，對行業(yè)“內鬼”泄露信息的數量、數額標準都要減半計算，降低了入罪門(mén)檻。“這為我們更好地打擊這類(lèi)犯罪提供了法律基礎。所以下一步我們要追查源頭，深挖行業(yè)‘內鬼’。”許劍卓說(shuō)。

與此同時(shí)，“一些手機APP會(huì )收集和它的業(yè)務(wù)無(wú)關(guān)的信息，比如公民行蹤軌跡、通話(huà)記錄，這種情況相當普遍。這些服務(wù)商沒(méi)有依法落實(shí)有關(guān)安全防護措施，導致公民個(gè)人信息的泄露。”許劍卓稱(chēng)，“下一步，我們將結合網(wǎng)絡(luò )安全法的實(shí)施，進(jìn)一步強化安全監管，要求這些服務(wù)商落實(shí)相關(guān)的監管義務(wù)。對于未按法律要求、未落實(shí)相關(guān)義務(wù)而導致公民個(gè)人信息泄露的，我們將根據這次司法解釋和網(wǎng)絡(luò )安全法的規定予以嚴厲打擊。”