個人信息保護“系統性失靈”

南方周末記者 滑璇 李潔茹 南方周末實習生 丁捷 張馨予 朱岱臨

不能只歸咎于內鬼和黑客

一個個徐玉玉逝去的年輕生命，讓電信詐騙成為舉國上下關注的焦點。騙子們往往因掌握大量公民個人信息而能輕取被害人的信任，依靠在銀行開設的大量冒名賬戶得以奪走被害人的血汗錢。本專題針對電信詐騙中個人信息和銀行賬戶這一頭一尾兩個環節，展開了調查。

“發生（內鬼）這種情況，很可能是利用了單位的管理漏洞，不能只把責任歸結到泄密人身上?！?/p>

“電子商務企業、政府部門在合法掌握公民信息的同時，也要承擔‘非法使用‘泄露公民個人信息的法律責任?！?/p>

公開的判決書中，被懲處的賣家遠遠少于買家；最重的判了二年六個月，尚未出現“情節特別嚴重”的案例。

《個人信息保護法》的專家建議稿已經躺了11年。如果把個人信息保護的各個環節比喻成一根鏈條，“那么這根鏈條現在呈現出系統性失靈?！?/p>

南方周末記者 滑璇 李潔茹

南方周末實習生 丁捷 張馨予

朱岱臨

宋振寧的家垮了。母親在醫院里一天昏迷十幾次。父親情緒崩潰，一問三不知。

2016年8月18日，山東省臨沭縣的大二學生宋振寧接到詐騙電話，到銀行轉了2000元。5天后的凌晨，宋振寧在自家客廳的沙發上心臟驟停。

不到一周時間，他成為徐玉玉之后的第二個電信詐騙犧牲品。宋的姑姑想不通，騙子怎么會對孩子的信息掌握得如此全面，“身份證信息、學校什么都知道！”

騙子真的什么都知道。南方周末記者暗訪發現，想從網上購買考生信息，遠比想象中簡單。在QQ上，昵稱“卡佛落”的賣家表示，可以提供2016年10萬湖北高考考生的一手資料。另一昵稱為“出售各種客戶資料”的QQ賣家則表示，手握46萬廣東高考考生的詳細信息，包括姓名、性別、地址、電話、文理分科、年齡、身份證、家長姓名、聯系方式及高考錄取情況等。

徐玉玉、宋振寧遭遇的電信詐騙，與個人信息泄露密切相關。在中國裁判文書網公布的案例中，隨機撥打電話騙錢的人很少，真正能夠得手的，手中均握有大量公民個人信息。只有這樣，才能做到精準出擊。學生信息只是種類繁多的信息之一，學生也只是受害群體之一。

內鬼、黑客，是個人信息泄露的源頭。他們拿著偷出來的“商品”，在一個龐大而隱秘的市場內公開叫賣，獲利無數。

內鬼

關鍵還是看個人品德，否則只要你想，總有辦法把數據弄出來。

當被問到如何保證數據準確時，販賣湖北考生信息的“卡佛落”表示，數據來源于某市教育局。南方周末記者隨機撥打了賣家提供的10個號碼，發現資料中的電話與考生情況全部相符。

在個人信息買賣領域，數十萬條批量性信源并不稀罕。2012年10月，東方航空公司客運營銷委員會系統管理員王某，擅自將六百余萬條“東航萬里行”積分卡客戶信息資料下載、存儲，轉交他人出售。2011年，中國移動職員蘇某私自調取、出售山西全省移動手機用戶資料。東窗事發后，僅蘇某電腦中便存有山西省移動手機用戶信息2219萬余條。

究竟什么人可以成為偷信息的“內鬼”？

2011年10月至2012年3月，烏魯木齊市公安局沙依巴克區分局發生一系列公民個人信息泄露事件，涉及戶籍、護照、賓館記錄等多個領域。經調查，事件的始作俑者為勞務派遣人員王某。他在該局指揮室網絡辦擔任協警，握有公安機關的上網專用密鑰。

“對于涉及公民隱私的信息，除在編警察以外的人員全都不能碰，管理起來非常嚴格?！北本┕蚕到y的一名工作人員告訴南方周末記者，在公安機關內部，能接觸到這類信息的崗位必定是專人操作、定崗定責，工作前還會進行政審、保密教育并簽署保密協議。

根據公安部2013年發布的《關于公安機關公民個人信息安全管理規定》，公安機關要定期檢查公民個人信息使用授權，如果發生部門職能調整、民警工作崗位變動或調離，要及時變更或撤銷授權。與此同時，民警訪問存儲公民個人信息的系統時，要進行身份認證、訪問控制、安全審計，并留存操作日志。

“發生這種情況，很可能是利用了單位的管理漏洞，不能只把責任歸結到泄密人身上?！鄙鲜龉踩藛T解釋，由于此類操作實名且留痕，監管起來并不困難。假如信息泄露持續時間較長，說明監管部門沒有及時發現并阻止。

另外，民警如果不能謹慎管理自己的專屬上網密鑰，比如私下交給他人使用、操作后沒有及時收好，也可能造成信息外泄。

除公權力機關外，銀行、通信運營商等也是公民個人信息外流的重災區。一名金融從業人員向南方周末記者透露，有的業內人士從銀行辭職時，會帶走該行所有VIP客戶的個人信息，以便日后營銷之用。

“在金融領域，肯拿著大批客戶資料自用、送人或出售的，基本都是中層人員。高層不屑于做這些。底層又把資料當寶貝捂在手里，不舍得掏給別人?！鄙鲜鋈耸勘硎?，在銀行，基本只有風險政策領域的一小部分人可以大規模接觸公民個人信息。

陳飛（化名）曾是北京某銀行的風險政策分析人員，只要選擇幾個相應條件，便能查詢到該銀行的客戶數據，比如上個月所有信用卡消費超過5000元的個人明細，姓名、證件號、生日、電話等等。數十萬條的信息，幾分鐘之內搞定。

因為崗位特殊，陳飛屬于公民個人信息領域的重點“盯防”對象。在銀行內部，陳飛的電腦不能查詢數據，只能通過遠程桌面操作，以防止他對數據進行下載。此外，銀行會定期檢查他的電腦、查看服務器使用情況。如果電腦里存有客戶資料，或者查詢了與工作無關的數據，這就說明有問題?！白睢儜B的監控是對某臺電腦上的所有操作錄屏，寫郵件、打字等等都要錄下來。但這種方式可行性太低，很少有人用?！标愶w告訴南方周末記者，在信息泄露的問題上關鍵還是看個人品德，否則只要你想，總有辦法把數據弄出來?！半娔X封了U口可以用郵件一點一點慢慢發啊，有些互聯網公司就這么干?！?/p>

陳飛認為，更多的信息泄露可能出自那些與銀行合作的第三方平臺，比如短信告知系統、銀行卡制作方、快遞物流方等等?！皩τ谶@些平臺，銀行肯定有相應控制和要求。但數據畢竟不在你手里，你根本沒有辦法，”陳飛說。

黑客

現在的政府網站普遍沒有防護或防護不到位，很多網站甚至認為只需安裝一個“防火墻”。

一次上當的經歷，讓楊志夷學會了一個新詞，“撞庫”。

8月26日下午，廣東惠州居民楊志夷接到“客服”電話：你是不是買了5500元Q幣？楊第一反應這是詐騙電話，但掛機后一查，建設銀行的卡面余額上居然真的少了5500元。楊馬上回撥請求取消訂單，并告知對方手機驗證碼。不到一分鐘，5000元返回賬戶，停留幾秒鐘又被轉走。他恍然大悟，驗證碼正是騙子用來轉賬的?！翱晌揖褪窍氩幻靼?，我沒把密碼告訴任何人，銀行卡的余額為什么會自動減少？”

一名銀行工作人員告訴南方周末記者，最初消失的5500元只是被人轉移到了理財賬戶，以造成余額減少的假象。在詐騙界，這并不新鮮。

在詐騙產業鏈上游，一群黑客專門入侵網站取得大量用戶數據，專業術語叫做“拖庫”。中游負責“洗庫”，就是通過技術手段將有價值的用戶數據歸納分析，售賣變現。詐騙集團在下游，將買來的信息利用“撞庫”技術登錄受害者的手機銀行、網站等平臺。杭州安恒信息技術有限公司西北區技術總監張百川告訴南方周末記者：“撞庫不需非常專業的黑客出馬，安裝一個軟件或做個程序，挨個去試就可以了?！彼f，許多人上網圖方便，在多個平臺上使用同一個密碼，騙子正是利用了這個漏洞成功登錄了楊志夷的網上銀行?！懊艽a簡單且在幾個平臺上同時使用的賬戶，最容易中招?！?/p>

最具代表性的“撞庫”發生在2014年12月25日。在這個黑色圣誕，黑客通過“撞庫攻擊”得到了超過13萬條12306網站用戶信息。很快，大批信息開始在互聯網上瘋傳。

與撞庫比肩的另外兩種數據獲取方式，分別是攻擊網站和木馬程序。黑客們利用這三種手段，打造出一條不斷升級的高能產業鏈。阿里巴巴資深安全技術專家玄泰認為，這些黑客協作能力強、創新能力強，平臺化趨勢越來越明顯?！坝袑ｉT做釣魚軟件的供應商，有擔保數據買賣的交易平臺，有洗錢的平臺等等?！?/p>

比起“盜賊”的團結、專業，平臺方則顯得“千瘡百孔”。360互聯網安全中心統計顯示，2015年共有1410個漏洞可能造成網站上的個人信息泄露，可能或已造成泄露的個人信息量高達55.3億條。存在泄露信息漏洞的1068個備案網站中，企業網站占比最高，達63%；其次是政府網站，占比20.1%。

據《IT時報》報道，2014年，浙江、安徽、江蘇、山西等19省份社保信息系統被補天漏洞響應平臺曝光存在大量低級漏洞，比如四川、石家莊等地的社保部門使用“123456”“111111”等“弱口令”，導致系統漏洞。2015年，蘇州市社?；鸸芾碇行木W站被曝光利用“拖庫”技術便能查詢所有社保人員信息?！艾F在的政府網站普遍沒有防護或防護不到位?！睆埌俅ㄕf，很多政府部門網站甚至認為只需安裝一個“防火墻”。

除了政府網站，電商、生活服務平臺也是信息泄露的重災區。2013年，如家、七天等連鎖酒店的2000萬條客戶開房信息外流；2014年，攜程網被國內知名漏洞平臺曝光存在可泄露用戶銀行信息的重大安全漏洞。

就連技術“大亨”阿里巴巴也無法幸免。有買家網購不到一分鐘，就接到自稱“商家”的來電，稱錢被凍結了，需辦理退款。在“商家”的指引下，買家的銀行卡賬號、密碼均被套走。

對于淘寶商城泄露客戶信息的質疑，玄泰回應，“用戶數據流向很復雜，除了保障平臺上的數據安全，還得確保商家、運營服務商、軟件供應商、物流公司、電信公司等所有電商生態鏈路上的環節不出現信息泄露?！?/p>

2015年12月，阿里巴巴通過其信息安全防控監控系統“御城河”發現，一臺設備上關聯了大量旺旺賬號，不法分子通過淘寶商品詳情頁面獲取買家購買記錄，以截圖形式發給店員。聯絡時，店員謊稱核對或更改收貨地址，以此套取買家真實的訂單信息。監控信息成功協助警方搗毀這一團伙，共抓捕嫌疑人17人。

此外，木馬潛入個人手機也是信息泄露的主要途徑。據360手機衛士移動安全專家葛健介紹，2016年4月，360手機衛士共截獲盜取個人信息的手機惡意程序樣9.8萬個。其中67.4%會竊取短信信息，34.8%會竊取手機銀行信息。

“我們進入大數據時代，要用數據技術解決這個問題?！鄙虾３刑┬畔⒓夹g有限公司創始人釋元認為，收集信息的平臺應該通過專業的數據運營商將重要的公民信息保護起來。

不過，在中南財經政法大學教授喬新生看來，保護公民的個人信息首先要強化信息收集者和互聯網絡服務提供者的法律責任，“電子商務企業、政府部門在合法掌握公民信息的同時，也要承擔‘非法使用‘泄露公民個人信息的法律責任?！?/p>

批發

“上線的東西出手后就成了孤證，一旦找不到下家，嫌疑人肯定會否認的?！?/p>

在一座巨大的市場里，內鬼和黑客手中的信息很快就能售出、變現。其中，注冊方便、聯絡便捷的QQ占有一席之地。

2012年，四川警方在成都市東湖國際花園的居民房里查獲一處公民個人信息買賣窩點。梁某帶著3名手下，同時使用3臺電腦經營4個QQ號，每個QQ號聯系著數十個販賣信息的專業QQ群。梁某等人從不同上線購買、交換個人信息并向下線出售，生意興??；有時還會一邊接受下線資料預訂，一邊聯系上線幫忙查詢，雙管齊下。

隱蔽的網絡市場之外，有的交易就在光天化日之下。江蘇南通的一起非法獲取公民個人信息案中，幾名嫌疑人先后在汽車內、肯德基店內進行現金買賣，每次交易額數千元。還有人在北京中關村海龍電子市場前的天橋上售賣個人信息，一張存有12萬余條機動車及車主數據的光盤，只賣160元。

這個繁榮的公民個人信息市場里，商品種類繁多、五花八門。上文提到的梁某，經營類別從公民身份證資料、戶口簿的戶籍信息到公民違法在逃記錄、手機通話清單、手機定位，無所不包，明碼標價。比如工商銀行、建設銀行客戶開戶資料及賬戶下余額，每份500元；農業銀行的每份150元；公民身份證資料，每份30元；公民戶口簿的戶籍資料，每份50元；公民賓館入住登記，每人次50元；車輛、駕駛員信息，每份30元；公民個人航班記錄，每人次30元；公民個人違法、在逃記錄，每人次50元；公民信用報告，每人次40元至60元……

由于信息品種齊全，一些“私家偵探”慕名而來。在四川從事民事調查、商務調查的賈某，是梁某的客戶之一。2012年2月，賈受托查詢一人的下落。通過在網上購買個人信息，他很快發現目標人物于2月17日從重慶飛往杭州，之后又坐動車到了上海。航班、動車時間一目了然。

在全國第一起外國人非法獲取公民個人信息案中，被告人英國人彼特·漢弗萊同樣是一名“偵探”。他在上海注冊成立的公司對企業、個人進行“背景調查”，許多知名大公司都曾是他的客戶。調查時，漢弗萊多次購買公民戶籍、出入境、通話記錄等信息累計256條，每條信息價格從800元至2000元不等。

如果不是騙子找上門，大概沒人注意到自己的各種數據早已不脛而走。當你意識到信息泄露時，卻摸不透究竟哪個環節出了問題。南方周末記者在中國裁判文書網上搜索發現，“出售、非法提供公民個人信息罪”的案例遠遠少于“非法獲取公民個人信息罪”。2014年，前者數量17個，后者卻有388個；2015年前者16個，后者216個；2016年前者8個，后者111個。也就是說，信息泄露鏈源頭被公訴、定罪的比例，不足末端販售信息者的1/10。

這種從上游到下游金字塔形的判罪模式，與公安機關的偵查、抓捕模式大體相似。2012年4月，公安部在20個省份同時展開打擊侵害公民個人信息類犯罪的集中行動，挖出“源頭”38個，摧毀數據平臺和“資源大戶”161個，打掉下游從事非法討債、非法調查等業務的公司611個。

北京師范大學刑事法律科學研究院教授盧建平認為，在這種買賣型的犯罪里，買方查得多、供方查得少是一個基本特征?！耙驗橄戮€經常是人贓并獲，證明起來比較容易。上線的東西出手后就成了孤證，一旦找不到下家，嫌疑人肯定會否認的?！?/p>

而在公民個人信息交易中，大多數買賣在網絡上進行，上下家只是QQ好友，并不清楚對方的真實身份。公安機關在打擊這類犯罪時，卻很容易引起警覺，一旦打草驚蛇，整個信息平臺瞬間消失。

懲處

即使是“情節嚴重”的情形，也幾乎沒人被判到三年的最高刑。

因非法獲取公民個人信息罪，上文從事信息“批發”生意的梁某被判有期徒刑一年八個月，并處罰金2萬元。在南方周末記者詳細梳理的幾十個同類案件中，梁已屬被判了“重刑”。

侵犯公民個人信息入罪始于2009年。當時的《刑法修正案（七）》（下稱《修七》），在第253條中增加了出售、非法提供公民個人信息罪，以及非法獲取公民個人信息罪兩個罪名。2015年，《刑法修正案（九）》（下稱《修九》）對此做出調整，兩項罪名歸并為一項，合稱侵犯公民個人信息罪。

從《修七》到《修九》，侵犯公民個人信息犯罪多了“情節特別嚴重”的情形。過去，情節嚴重的，最高判處三年以下有期徒刑；現在，情節特別嚴重的，最高可以判到七年。

此外，《修九》還去掉了對犯罪主體的限制?！啊缎奁摺窌r，犯罪主體只能是國家機關或者金融、電信、交通、教育、醫療等單位的工作人員。到了《修九》，一般人都可能成為犯罪主體?！北睅煷笮炭圃航淌谠蚋嬖V南方周末記者，這是對罪名適用范圍的擴大。

不過，南方周末記者在中國裁判文書網上多方搜索，并未找到侵犯公民個人信息罪中“情節特別嚴重”的案例。袁彬認為，這可能與《修九》頒布時間尚短有關。

即使是“情節嚴重”的情形，也幾乎沒人被判到三年的最高刑。在南方周末記者搜集的判例中，上文提到的英國人彼特·漢弗萊獲刑最重，被判處有期徒刑二年六個月、并處罰金20萬元及驅逐出境。與此同時，許多侵犯了公民個人信息的被告人，僅被判處緩刑。

對于什么是情節嚴重、什么是情節特別嚴重，迄今沒有司法解釋做出明確規定。袁彬認為，情節嚴重與否是一個綜合考量的過程，獲取公民信息數量、行為次數、行為后果等多個方面都要評判。

在上海，信息數量是判定情節是否嚴重最重要的因素，信息用途、信息類型、營利數額、危害后果、獲取手段等，也在考量范疇之內。在一篇專業論文中，上海法院系統的研究人員認為，侵害個人身份等普通信息的應以5000條作為情節嚴重的標準，侵害個人金融信息的為2500條，侵害個人隱私信息的為1000條。

如果以信息數量而論，“情節特別嚴重”要達到十倍于“情節嚴重”的標準。此外，侵害行為帶來的危害性后果，比如造成他人精神嚴重受損及死亡、引起社會恐慌或危害國家安全等，也在考慮之中。

但上海的標準未必適用于其他地方。2016年5月，福建龍巖新羅區檢察院對涉嫌侵犯公民個人信息的石某提起公訴。石某非法獲取公民個人信息78260條，經營數額78萬余元。經過審理，新羅區法院確認了石某獲取信息的數量，但不支持公訴機關認定的經營數額。為此，石某逃過了“情節特別嚴重”的認定，僅被判處有期徒刑二年。

“有些人獲取信息是為了詐騙錢財或惡意誹謗，前者只是后者的手段、工具?！北R建平告訴南方周末記者，在此類案件中，如果詐騙、誹謗的結果沒有出現，就只能給嫌疑人定上侵犯公民個人信息一條罪名。

在廣東省茂名市電白區就有許多這樣的例子。公安機關從嫌疑人處查獲了從QQ上買來的個人信息，以及多部手機、多張電話卡、多張銀行卡等各種詐騙犯罪工具。但因為詐騙沒有成功，所以檢察院只公訴了侵犯公民個人信息一項罪名。

立法

“這種分散立法的方式產生了不確定性，行業主體不知道應該遵守什么樣的規則?！?/p>

從2005年起草完成算起，《個人信息保護法（專家建議稿）》（下稱“專家建議稿”）已在角落里躺了11年。

刑法之外，之所以要制定這樣一部法律，就是為了保護公民個人權利，防止政府機關和那些手握大量數據的企業過度收集、濫用信息。

2003年，中國社科院法學所研究員周漢華等人受原國務院信息化工作辦公室委托，開始起草專家建議稿。彼時，公民個人信息還是一個全新的領域，普羅大眾沒有保護意識，法院也沒有這方面的案子。

“關于個人信息保護的規定，散見于各種規范性文件里，比如刑法、消費者權益保護法、全國人大常委會《關于加強網絡信息保護的決定》等等。這種分散立法的方式產生了不確定性，行業主體不知道應該遵守什么樣的規則?！敝軡h華將立法現狀歸納為有基本概念、基本原則、刑事責任，沒有切實可行的操作規范、管理措施。如果把個人信息保護比喻成一根鏈條，其中含有信息采集、使用、安全保護、用后銷毀等多個環節，“那么這根鏈條現在呈現出系統性失靈”。

另一個問題在于，國內至今沒有獨立的信息保護執法機構。執法過程中，如果讓銀監會管銀行、證監會管證券公司、工信部管移動通信運營商，無異于親爹管兒子?！暗嬲馨褍鹤庸芎玫?，只能是別人的爹?！敝軡h華說。

為解決這些問題，專家建議稿為收集、處理個人信息設置了一整套程序。比如收集信息前，政府機關要向信息資源主管部門登記個人信息的主要內容、使用目的、主要使用者、保存期限等等；作為企業，還要同時說明個人信息保護文件的公開方式與地點、安全保護措施以及安全保護主要負責人的姓名、身份證號碼、住址、簡歷。這些登記要對社會公開，以給予公眾知情權、監督權。

至于建議稿中提到的“政府信息資源管理部門”，也就是那個獨立的信息保護執法機構，學者們曾經的設想是委托起草的國信辦。但2008年的國務院機構改革中，國信辦的職能被拆分、歸并到工信部以及后來的網信辦，周漢華認為現在最好的辦法是重新整合出一個機構，專門管理不同領域的信息，“類似于國外的信息專員辦公室”。

國信辦的取消，似乎是《個人信息保護法》命運的一次轉折。自此，在起草過程中負責議事協調的機構也隨之消失不見。2016年8月29日，南方周末記者分別致電工信部、網信辦詢問個人信息保護法的進展。雙方工作人員均表示，相關工作由對方負責，自己并不了解情況。

沉睡了11年的專家建議稿，至今未能列入立法機關的立法計劃，只能停留在研究階段。周漢華告訴南方周末記者，每年通過的法律、行政法規等大約四五十件，在數量上受到瓶頸制約。但在徐玉玉、宋振寧事件中，個人信息泄露導致的連鎖行為、負面印象已經非常惡劣，個人信息保護法亟待提上立法日程。

兩名大學生的離世，確實讓《個人信息保護法》重回公眾視線。近半個月來，找周漢華采訪的媒體不在少數。而迄今為止，他還沒有接到任何官方消息?！皬默F在的情況看，《個人信息保護法》是列入2014年至2020年國家信息網絡專項立法規劃的。估計在2020年之前，可以進入人大常委會審議?！敝軡h華說。