在中关村工作的张先生车险5月底到期,就在之前的一个多月里,他每天都能接到七八个推销电话车险的电话。让张先生不解的是,这些来自不同保险公司的推销员竟然都能清楚地报出他的车牌号、上牌日期和车价。
相比之下,刘女士的经历更为不堪。前些天,已经工作两年的她无意间在一家求职网站上发现了自己两年前投出的简历。她的生日、身高体重、家庭地址、教育经历、特长爱好等诸多的个人信息一目了然。
“看到网页的那一刻,我感觉自己像是被扒光了衣服,暴露在大庭广众之下,没有任何隐私可言。”刘女士说。
毫无疑问,他们是当今社会不计其数个人信息遭泄露的受害者之一。
人民网此前开展了一次有关个人信息泄露的调查,结果显示,90%的网友曾遭遇个人信息被泄露;有94%的网友认为,当前个人信息泄露问题非常严重。
是谁让我们变成了没有隐私的“透明人”?
一本万利的“生意经”
北京市房山区人民法院日前公开审理了一起利用网络倒卖公民个人信息案件,被告人陈玉萍在短短近一年的时间里通过网络买卖个人信息,获利4万余元。
现年27岁的陈玉萍2006年辞职后,在家开网店直到2009年。2009年4月,陈玉萍因买卖货物申请加入了一个电视购物交流Q Q群。当陈玉萍与群中好友聊天时,第一次了解到个人信息买卖交易的事情。
Q Q群里的人甚至很热心地教她如何买卖个人信息,并告诉她这个活可以轻易赚很多钱。那时陈玉萍刚刚怀孕1个月,她第一次从Q Q群里花费200元买入了1000条个人信息,到手后又毫不费力地将1000条信息以300元的价格卖给了论坛里的下一个买家。
陈玉萍交代,她在轻易赚取第一个一百元后,感到自己终于找到了一个轻松赚钱的好方法,只需要坐在家里轻点鼠标,现金就会自动入账,这令她欣喜不已。就这样陈玉萍每天除了吃饭睡觉,身怀六甲的她仍然将大量时间用在浏览各大论坛和社交网站上。
陈玉萍的每次买卖交易都是由她先出资将大量的个人信息从网民手中买入,然后向论坛或者社交群发布买卖信息,当网民主动和她联系购买时,她会将少量个人信息发给对方进行测试,当得到对方信任并且成功通过网上银行收到货款后,她便将所有数据加价卖给对方。
陈玉萍说:“我就是赚取差价,一般情况下我2毛钱一条买来的信息,有人出价2毛5分钱我就会卖,如果是最新的数据就会赚得更多一些。”
在房山法院审理的另一起非法获取公民个人信息案件中,被告人侯英武在2008年专门成立一家公司,从事倒卖公民个人信息的交易。到2010年1月,侯英武先后联系从事买卖个人信息的网民达到200余个,全部通过Q Q买卖交易,信息量之庞大已经难以考证。
与陈玉萍不同,侯英武是自己做老板,雇佣了付莹、刘晶、王玉霞等三人进行个人信息买卖。
据刘晶交代:“我们3人给侯英武打工,月基本工资是800元,再按照卖出信息的10%提成。日常工作大多是在各大论坛和社交群发布出售数据的广告,当与购买信息的网友谈好价格后便向侯英武汇报情况,再由侯英武与对方联系数据和资金的交易事宜。”
付莹交代说:“这一年半的时间里,从我手中买卖的个人信息已经无法计算数量,我只知道侯英武赚了不少钱,刚干没多久他就买了一辆马自达6轿车。”
当被问到为什么要出售个人信息时,王玉霞说:“因为挣钱容易,干的活也不累,所以侯英武让我卖就卖了,我也知道这么做会干扰别人的生活,侵犯别人的隐私。但很多购买数据的网友都说用来推销产品,其实谁也不知道他们要数据做什么用。我也没想那么多,当时想着能赚钱就行。”
受过高等教育的陈玉萍同样表示:“我大学毕业后没有找到心仪的工作,一直经营网店,也没想到走上了这条路,就是赚钱太容易,难以抗拒。”
北京市房山区法院院长蔡慧永告诉《经济参考报》记者,每一条被不法分子泄露出的 个 人 信 息 , 经 过 众 多 网 友 的 “ 推 波 助澜”,就形成了庞大的网络交易市场。在巨大利益的驱使下,目前这些无良网民的队伍日益壮大,也成为导致越来越多公民个人信息被泄露、买卖的重大诱因。
悄然形成的“产业链”
在北京、上海等大城市,一个收集、加工、倒卖个人信息的“产业链”正悄然形成。
2011年2月28日,北京市第二中级人民法院开庭审理一起非法提供、获取以及出售公民个人信息案,23名被告集体受审。
这23名被告人中,既有专门从事公民个人信息买卖的无业人员,也有各类咨询中心、调查公司负责人,同时还包括6名分别来自电信、联通公司内部,或其他公司派驻中国移动10086客服中心的职员。这些人结成了一条非法提供、获取、销售公民个人信息的完整链条。
据检方指控,从2009年3月至2009年12月,黄伟帆等7名电信单位工作人员,利用电信单位服务平台,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人;刘红波等14人则将非法获取的公民个人信息进行出售,或非法提供给他人或者相互进行倒卖。
30岁的第一被告刘红波说,在她倒卖的信息中,一般手机机主信息她以每条30元的价格买入,然后以50元到80元不等的价格卖出,话单的买入价约200-400元,但经她一倒手就能卖到300-500元。
刘红波的生意几乎全在网上进行,网名叫“骑驴裸奔”的她活跃于十多个公民个人信息交易Q Q群里,一边向他人购买机主信息、通话清单、车辆档案、户籍等信息,一边积极寻找买家,转卖牟利,为此,她还专门自建了两个群,用于推销。
这个由电信单位工作人员、调查公司经理、律所负责人等23人组成的团伙,分工明确,分布于买卖的各个环节,可以称得上是公民个人信息交易“产业链”的一个“标本”。
曾经承办过多起倒卖个人信息犯罪案件的海淀检察院检察官林洁介绍,在这个“产业链”上,每一个“链条”都“拴”着利益。
电信、银行等行业的工作人员大量掌握公民个人信息,个别人利用职务之便将信息出卖获利;无正当职业的普通网民或者商务调查公司获取信息,转手出售牟利;保险、房产中介、招生培训等行业的从业人员获取信息开展电话销售或其他不法行为……在利益的驱动下,这个黑色的“产业链”渐成规模。
更为令人担忧的是,因出售、非法提供、非法获取个人信息衍生出来的其他犯罪也在不断触动着公众的神经。
2008年9月21日,北京导游安毅为报复前妻新结识的男友,将其杀害在家中。事后警方发现,安毅与被害人并不相识,是他雇用的“私家侦探”从电信公司“内鬼”那里得到被害人的住址信息,“私家侦探”再将信息出售给安毅,一幕惨剧由此发生。
北京市朝阳区检察院的一份调研报告显示,该院自2009年以来,先后办理因调查公民个人信息引发的犯罪案件11件52人,主要表现为以侦探公司、讨债公司为组织载体进行非法经营活动。其中,犯罪嫌疑人李涛等4人,成立北京中侦泽尔商务有限公司,非法使用跟踪、窃照、定位设备从事私人侦探业务,短短3个多月的时间,获利就达20余万元。
泄露个人信息的“黑手”
如此多的个人信息被出售、倒卖,“源头”究竟在哪里?谁又是泄露公民个人信息的“黑手”?
一些商家或个人通过问卷调查、网络注册、会员登记等方式收集用户信息;消费者在就医、求职、买车、买房、买保险,或办理各种会员卡、优惠卡或银行卡时填写的个人信息被出售;网络登录申请邮箱、注册进入聊天室或游戏厅时填写的个人信息被非法搜索或链接;名片代印机构储存的大量个人信息被泄露;物业泄露业主信息;废旧电脑磁盘恢复数据……
北京市海淀区检察院对2010年该院受理的涉及公民个人信息泄露的31件案件进行分析后得出结论,机动车销售、房产中介、银行、电信、医院等行业及其从业人员往往有机会接触、掌握大量公民个人信息,这些行业在公民个人信息管理上存有漏洞,再加上从业人员法律意识不强,易造成信息泄露,因而成为个人信息泄露的“重灾区”。
中国青年报社会调查中心此前对2422名公众展开的一项调查也印证了这一点。调查显示,在公众心目中,泄露个人信息最多的前三位分别是电信机构(76%)、招聘网站和猎头公司(47%)以及各类中介机构(41.9%)。接 下 来 的 排 序 依 次 是 : 市 场 调 查 公 司(31 .9%)、金融部门(30 .8%)、房地产公司(28 .3%)、教育部门(23 .6%)、医疗机构(23.2%)以及交通部门(12.6%)。
2010年6月8日,来自中国移动、中国联通、中国网通的5名员工在北京市朝阳区法院受审。他们因为利用手中职权,为调查公司提供机主信息、通话清单,被指控犯有非法提供公民个人信息罪和非法出售公民个人信息罪。这5个人是刑法修正案(七)出台以后,国内被查获的首批电信“内鬼”。
这5人中,吴晓晨的案情最具代表性。28岁的吴晓晨在案发前是中国网通北京市三区分公司广安门外分局商务客户代表,通过网络认识“东方亨特”商务调查中心老板张荣浩后,张荣浩每月向吴晓晨支付2000元工资,让他从内部查询网通座机的机主信息和电话清单。后来,吴晓晨直接给张荣浩做起了兼职的调查员,每单“业务”公司收5000元,然后他和公司四六分。
检察官林洁告诉《经济参考报》记者,许多公司在员工入职时就与之签订了保密协议,协议中一般都会要求对客户的个人信息严格保密。“但事实上,在没有道德底线的员工面前,保密协议只是一纸空文。”
专家:个人信息保护司法困境待解
2009年2月28日,十一届全国人大常务委员会第七次会议通过了刑法修正案(七),明确规定了出售公民个人信息、非法提供公民个人信息以及非法获取公民个人信息三个罪名。
刑法修正案(七)施行以来,司法机关逐步加大了对涉及公民个人信息犯罪的查处力度。据北京市海淀区检察院公诉一处林洁介绍,该院公诉部门2010年共受理该类案件31件41人,而这两个数字在2009年均为0,案件量呈现激增趋势。
但是,作为新型罪名,出售、非法提供和非法获取公民个人信息案件在法律和实践层面上仍存在着诸多问题,给司法实践带来困惑,这在一定程度上影响了对此类犯罪的打击力度。
“个人信息”的边界多大?
根据刑法修正案(七)第七条规定,公民个人信息是指国家机关或金融、电信、交通、教育、医疗等单位的工作人员,在履行职责或者提供服务过程中所获得的公民个人信息。
“该法条仅规定了公民个人信息的来源,却未对公民个人信息应当具有哪些要素作出规定。”林洁说。
据林洁介绍,有些信息属于显而易见的公民个人信息,即此类信息只能通过特定机关获取,如户籍底卡,通话记录、新生儿信息等。但在更多情况下,公民个人信息的来源并不确定,或者来源并不能被法律列举的几类行业所涵括但明显包含个人隐私信息,如车主信息。车主信息明显属于应当保护的公民信息,但它的来源可能是汽车4S店,而对4S店能否被交通业所涵括的认识不尽一致,导致实践中对此类案件的处理意见分歧很大。
来源于法律规定的上述行业的信息是否都可划入公民个人信息也存在疑问。例如,企业信息包括企业名称、地址、邮编、法定代表人的姓名及联系方式,这类信息有可能是从工商部门获取,虽含有法定代表人的信息,但并非针对公民个人隐私,此类信息能否认定为“公民个人信息”也是存有争议的。
中国社科院法学所研究员周汉华表示,刑法或司法解释并不能够确定“公民个人信息”的边界,这应该是上游法应该解决的问题,具体来讲,那就是个人信息保护法。
怎样算“违反国家规定”?
从刑法修正案(七)第七条的表述来看,出售、非法提供、非法获取公民个人信息这三种行为入罪的关键点,都在于“违反国家规定”,这是确定行为“非法性”的前提。
周汉华认为,单凭一句笼统抽象的“违反国家规定”,而没有具体的行政法律法规作为指引,在实践中,给如何认定出售、提供、获取公民个人信息行为的“非法性”造成了很大的困难。
据了解,目前我国实际上存在着民法通则、合同法、居民身份证法、档案法、民事诉讼法、刑事诉讼法、行政诉讼法、商业银行法、互联网电子邮件服务管理办法等一系列涉及个人信息保护的法律法规。但总体来看,这些法律法规中的相关规定,不仅过于原则、缺乏可操作性,而且比较零散、缺乏系统性,同时还存在保护范围狭窄,缺乏统一主管机构等不足。
中国社科院法学所研究员刘仁文认为,如果没有专门的个人信息保护法作基础,如何认定违法将会是一个难题。如果把问题都依赖于刑法,很容易造成刑法执法工作的超负荷运转。
“情节严重”尺度何在?
“情节严重”是出售、非法提供、非法获取公民个人信息罪的入罪要件,这让很多办案人员直挠头。
“没有任何法律对刑法修正案(七)第七条所称的‘情节’进行界定,何为‘严重’,也没有具体的标准加以规定,只能靠办案人员自由裁量,尺度很不好把握。”林洁说。
尽管如此,司法机关又不能因噎废食。“我们也是边干边总结,在实践中,获取目的、信息数量以及危害后果都可以作为认定‘情节’的要素。”林洁告诉记者。
问题也随之而来。
首先,实践中最通常的认定标准是信息的条数,但达到多少条才能够认定为情节严重?法律没有明确规定。
其次,从获取目的来看,有些案件的犯罪嫌疑人仅为个人使用,并未侵犯他人权益,如为了调查研究机动车消费市场而购买信息,此种情况能否入罪?
再次,是否要求非法获取行为造成严重后果,此种后果应当达到何种程度?实践中缺少指导标准。
破解之道———“两条腿走路”
“我的建议是,在个人信息保护法没有出台之前,用‘两条腿走路’的方法来解决司法中遇到的问题。”周汉华说。
周汉华对“两条腿走路”的解释是,一方面,司法机关在个案处理上,可以总结一些规律性做法,比如说对“情节严重”的认定标准。另一方面,最高人民法院、最高人民检察院、公安部可以在大量典型案例的基础上,共同研究出台相关的司法解释,就刑法修正案(七)第七条中的“模糊地带”进行释法。
林洁所持观点也基本相似,不过她给出了更为具体的建议。
第一,完善相关法律,明确定罪标准。立法机关应尽快酝酿出台配套规定,以进一步明确出售、非法提供、非法获取公民个人信息罪的定罪标准及法律适用。对于公民个人信息 的 界 限 以 及 “ 情 节 严 重 ” 的 认定 , 应 当 提 出 具 有 可 操 作 性 的 标准。与此同时,司法机关在汇总各地相关案例、总结经验的基础上,可针对本罪制定司法解释,以进行普遍性指导。同时也可以对典型案例加以编纂,以供办案人员参考。另外,上级司法机关也应加强对疑难案件的个案指导。
第二,加强内外沟通,统一执法标准。目前对于出售、非法提供、非法获取公民个人信息罪的理解存在诸多分歧,实践中公检法三家掌握的证据标准也并不统一,在相关法律规定尚未出台的情况下,公检法三部门应就证据标准等问题加强沟通,确定统一的标准。
第三,密切多方配合,破解取证难题。司法机关要加强和相关部门的配合,以保证证据的调取和核实。一是加强与银行、医院等信息来源单位的配合,以核实在案信息的真实性。二是加强与司法鉴定机构的配合,研究能够认定信息数量的技术手段。三是加强与网络公司等交易媒介的配合,一方面有利于查处上家,以确定信息来源和深挖犯罪。另一方面,通过相互沟通,也能够督促网络公司制定并采取信息审核措施,预防涉及公民个人信息犯罪的发生。
不过,在周汉华看来,保护公民个人信息安全,最好的办法还是尽快出台个人信息保护法,纵观世界各国,单独立法保护公民个人信息,已是大势所趋。但在个人信息保护法出台之前,司法机关应发挥能动司法的作用,加强对典型案例的总结,尽快出台相关的司法解释。
“这其实也是一个‘两条腿走路’的过程。”周汉华说。
相关链接
个人信息保护法酝酿六年难出台
目前,世界上已经有70多个国家和组织制定了个人信息保护相关法律法规。在互联网高度发达的当下,各国对个人信息保护进行单独立法,已经是大势所趋。
作 为 判 例 法 国 家 , 美 国 于2005年通过了一批保护个人信息的法律,如《隐私权法》《信息保护和安全法》《防止身份盗用法》《网上隐私保护法》《消费者隐私保护法》《反网络欺诈法》和《社会安全号码保护法》。2011年4月,美国一些重量级的参议员又提出了关于在线综合信息保护立法的议案。
其他国家如德国制定了《联邦数据保护法》;加拿大制定了《隐私保护法》和《个人信息保护及电子文档法案》;英国制定了《数据保护法》;日本制定了《个人信息保护法》。另外,欧盟先后制定了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》《关于个人数据自动化处理之个人保护公约》和《关于保护自动化处理过程中个人数据的条例》。
早在2003年初,国务院信息办委托中国社科院法学所研究员周汉华担任课题组负责人,研究草拟一份个人数据保护法的专家建议稿。历时两年,《中华人民共和国个人信息保护法》(专家意见稿)终于在2005年提交给国务院法制办等相关部门。
然而,六年过去了,这部饱含着公众期待的法律仍迟迟“不肯露面”。