“您所乘坐的航班出現(xiàn)故障不能起飛,收到信息及時(shí)聯(lián)系專線4008162378辦理變更或退票……”福州市民梁先生在同程網(wǎng)上預(yù)訂了兩張南寧飛往福州的機(jī)票,可就在登機(jī)前兩天,他卻收到了機(jī)票“退改簽”的短信,上面清清楚楚顯示著他的真實(shí)姓名、證件號(hào)碼、航班信息。
“到底是誰泄露了我的航班信息?”差點(diǎn)信以為真的梁先生在確認(rèn)發(fā)來短信的號(hào)碼并非航空公司的客服熱線后,才明白這是一條詐騙短信,沒有上當(dāng)。但對(duì)于自己的信息如何讓對(duì)方知曉,他卻一直想不通。
隨著互聯(lián)網(wǎng)技術(shù)的突飛猛進(jìn),網(wǎng)上購物、移動(dòng)支付、大數(shù)據(jù)等給人們生活帶來極大便利的同時(shí),也給個(gè)人信息安全帶來了前所未有的風(fēng)險(xiǎn),侵犯公民個(gè)人信息犯罪持續(xù)增多。面對(duì)個(gè)人信息泄露引發(fā)的信息買賣、無端騷擾和電信詐騙,公民尚需小心防范,公安機(jī)關(guān)對(duì)個(gè)案的打擊,也對(duì)此類犯罪起到一定的遏制作用。但如果因信息安全監(jiān)管本身存在漏洞,那將會(huì)直接導(dǎo)致公民安全受威脅、財(cái)產(chǎn)受損害,使我國(guó)公民個(gè)人信息安全體系面臨更嚴(yán)峻的考驗(yàn)。
航班被陌生人取消
乘客信息安全存漏洞
“民航旅客訂座系統(tǒng)”(Eterm系統(tǒng)),是中國(guó)民航信息網(wǎng)絡(luò)股份有限公司(以下簡(jiǎn)稱“中航信”)開發(fā)的訂票系統(tǒng)。由于該系統(tǒng)操作界面是黑色背景、綠色和黃色字體,因此又被業(yè)內(nèi)人士稱為“黑屏系統(tǒng)”。
作為目前國(guó)內(nèi)各大航空公司的訂票系統(tǒng),“黑屏系統(tǒng)”面向航空公司、機(jī)場(chǎng)、機(jī)票銷售代理等機(jī)構(gòu),主要提供航空客運(yùn)業(yè)務(wù)、航空旅游電子分銷等服務(wù)。
今年2月,林女士通過一家航空公司官方APP軟件預(yù)訂了一張從北京飛往英國(guó)倫敦的機(jī)票。4月19日,她突然接到APP發(fā)來的信息,稱她訂的機(jī)票已經(jīng)成功退票。林女士堅(jiān)稱自己從來沒有申請(qǐng)過退票,但經(jīng)該航空公司客服確認(rèn)后,這一行為正是林女士自己通過APP軟件操作所致。林女士再次打開APP確認(rèn),發(fā)現(xiàn)“常用乘機(jī)人”中竟然有幾個(gè)陌生人的資料。這些人的姓名、聯(lián)系方式、身份證號(hào)碼、開戶銀行和卡號(hào)全都一目了然,另外還有十幾條不屬于林女士的航行記錄也都赫然在列。而林女士的機(jī)票,就是其中一個(gè)關(guān)聯(lián)人取消的。
這個(gè)關(guān)聯(lián)人發(fā)現(xiàn)自己收到了從北京飛往英國(guó)的航班提示,但自己并沒有購票過,便選擇了取消。本應(yīng)安全隱密的訂票信息竟毫無保留地呈現(xiàn)在陌生人面前,而對(duì)方只需要?jiǎng)觿?dòng)手指,就可以任意對(duì)這些信息進(jìn)行修改、取消等操作。
據(jù)某機(jī)票代理商負(fù)責(zé)人介紹,有權(quán)限查看并有可能泄露乘客航班信息的源頭,主要有機(jī)票代理商、航空公司工作人員、中航信工作人員以及黑客這4大類人群。他們通過不同渠道和權(quán)限,在Eterm系統(tǒng)上只需輸入乘客身份證號(hào),就能查到包括乘客相應(yīng)航班的座位、艙位、電話號(hào)碼等詳細(xì)資料,完全不需要乘客本人的驗(yàn)證。
因此,盡管信息泄露渠道繁多,但源頭都指向了Eterm系統(tǒng)。雖然登錄該系統(tǒng)需要特定的賬號(hào)密碼,但信息“倒?fàn)敗眰儠?huì)通過淘寶、QQ等網(wǎng)絡(luò)平臺(tái)向機(jī)票代理商、航空公司工作人員購買賬號(hào)密碼,或者直接通過“黑客”手段,通過軟件將一個(gè)賬號(hào)分出數(shù)個(gè)小號(hào),便可順利訪問中航信的數(shù)據(jù)庫。
事后,雖然航空公司APP工作人員回應(yīng)稱,機(jī)票被別人取消是軟件系統(tǒng)漏洞才鬧出了“大烏龍”,然而公民個(gè)人信息的泄露卻并不只是一個(gè)偶然事件。
信息泄露防不勝防
安全監(jiān)管需兼顧平衡
2013年底,一家為全國(guó)4500多家酒店提供網(wǎng)絡(luò)服務(wù)的公司因系統(tǒng)存在安全漏洞,致使全國(guó)高達(dá)2000萬條賓館住宿記錄泄露。2015年初至2016年6月,丁某在不法網(wǎng)站上非法下載獲取這些賓館住宿記錄等公民個(gè)人信息,并上傳至自己開辦的“嗅密碼”網(wǎng)站。
該網(wǎng)站除了能夠查詢住宿記錄外,還提供用戶QQ、部分論壇賬號(hào)及密碼找回功能。其中住宿記錄共有將近二千萬條,用戶經(jīng)注冊(cè)成為會(huì)員后,可以在網(wǎng)頁“開房查詢”欄目項(xiàng)下,以輸入關(guān)鍵字姓名或身份證號(hào)的方式查詢網(wǎng)站數(shù)據(jù)庫中賓館住宿記錄(顯示姓名、身份證號(hào)、手機(jī)號(hào)碼、地址、住宿時(shí)間等信息)。自2015年5月份左右,丁某開始對(duì)該網(wǎng)站采取注冊(cè)會(huì)員方式收取費(fèi)用。一年時(shí)間里,“嗅密碼”網(wǎng)站共有查詢記錄49698條,收取會(huì)員費(fèi)191440.92元。此案經(jīng)審理后,丁某以侵犯公民個(gè)人信息罪被判處有期徒刑三年,并處罰金人民幣二萬元。
公安部網(wǎng)絡(luò)技術(shù)研發(fā)中心主任許劍卓分析說,侵犯公民個(gè)人信息的犯罪已經(jīng)成為其他各類犯罪的上游犯罪,不管是敲詐勒索、電信詐騙等等各類犯罪,多數(shù)以非法獲取個(gè)人信息為前提。
最高人民法院研究室主任顏茂昆認(rèn)為,大數(shù)據(jù)時(shí)代,包括個(gè)人信息在內(nèi)的數(shù)據(jù)只有通過流動(dòng)、共享甚至交易才能充分發(fā)揮其社會(huì)價(jià)值、經(jīng)濟(jì)價(jià)值,而這些數(shù)據(jù)在流動(dòng)和交易過程中,又極易產(chǎn)生個(gè)人信息擴(kuò)散、失控的危險(xiǎn)。因此,處理大數(shù)據(jù)發(fā)展的現(xiàn)實(shí)需要與保護(hù)公民個(gè)人信息之間的關(guān)系應(yīng)有兩個(gè)關(guān)鍵詞:一是兼顧,二是平衡。
顏茂昆認(rèn)為,所謂兼顧,就是在發(fā)展大數(shù)據(jù)的同時(shí),必須依法保護(hù)公民個(gè)人的信息安全。只有包括個(gè)人信息在內(nèi)的數(shù)據(jù)在法律的保護(hù)下安全迅速地收集和流通,才能夠真正地推動(dòng)我國(guó)信息產(chǎn)業(yè)的可持續(xù)發(fā)展。
所謂平衡,就是在兩者之間尋求一個(gè)結(jié)合點(diǎn)和平衡點(diǎn),在法律層面為個(gè)人信息交易和流動(dòng)保留了一定的空間。顏茂昆舉例說,網(wǎng)絡(luò)安全法規(guī)定,網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息,未經(jīng)被收集者同意,不得向他人提供個(gè)人信息,但是經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的除外。“這個(gè)規(guī)定是要嚴(yán)格保護(hù)公民個(gè)人信息,對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提出要求,但是同時(shí)也為數(shù)據(jù)提供留下了一些空間!鳖伱フf。
“誰收集誰負(fù)責(zé)”
法律責(zé)任界定日漸清晰
當(dāng)前,不少網(wǎng)絡(luò)運(yùn)營(yíng)者因?yàn)槁男新氊?zé)或者提供服務(wù)的需要,掌握著海量公民個(gè)人信息,這些信息一旦泄露將造成惡劣社會(huì)影響和嚴(yán)重危害后果。
《法制日?qǐng)?bào)》記者注意到,公民個(gè)人信息泄露,往往存在于信息收集源頭到信息倒賣之間的多個(gè)環(huán)節(jié)中。在機(jī)票信息泄露事件中,由于從Eterm系統(tǒng)源頭到乘客,中間經(jīng)歷了中航信、航空公司、第三方航空APP、機(jī)票代理商、在線訂票網(wǎng)站等多個(gè)環(huán)節(jié),每個(gè)環(huán)節(jié)都存在信息泄露的可能性,這也導(dǎo)致了個(gè)人信息泄露的受害者難以維權(quán)追責(zé)。
針對(duì)取證難、追責(zé)難的困局,網(wǎng)絡(luò)安全法明確了網(wǎng)絡(luò)信息安全的責(zé)任主體,確立了“誰收集,誰負(fù)責(zé)”的基本原則。其中,第40條明確規(guī)定:“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)其收集的用戶信息嚴(yán)格保密,并建立健全用戶信息保護(hù)制度。”
5月9日,最高人民法院召開新聞發(fā)布會(huì),發(fā)布了《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》(以下簡(jiǎn)稱《解釋》)!督忉尅饭13條,進(jìn)一步明確侵犯公民信息罪的定罪量刑標(biāo)準(zhǔn)和有關(guān)法律適用問題,其中便對(duì)如何處理拒不履行公民個(gè)人信息安全管理義務(wù)行為進(jìn)行了明確。
顏茂昆介紹說,拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪主體是網(wǎng)絡(luò)服務(wù)提供者!督忉尅芬(guī)定,網(wǎng)絡(luò)服務(wù)提供者拒不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù),經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正,致使用戶的公民個(gè)人信息泄露,造成嚴(yán)重后果的,應(yīng)當(dāng)依照拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪,追究其刑事責(zé)任。
此外,與侵犯公民個(gè)人信息罪相關(guān)聯(lián)的另一個(gè)犯罪是非法利用信息網(wǎng)絡(luò)罪。顏茂昆說,實(shí)踐中,一些行為人通過建立網(wǎng)站、通訊群組等供他人進(jìn)行公民個(gè)人信息交換、流轉(zhuǎn)、銷售,以非法牟利。
根據(jù)刑法規(guī)定,設(shè)立用于實(shí)施違法犯罪活動(dòng)的網(wǎng)站、通訊群組,情節(jié)嚴(yán)重的,構(gòu)成非法利用信息網(wǎng)絡(luò)罪。最高法經(jīng)研究認(rèn)為,供他人實(shí)施非法獲取、出售或者提供公民個(gè)人信息違法犯罪活動(dòng)的網(wǎng)站、通訊群組實(shí)際上屬于“用于實(shí)施違法犯罪活動(dòng)的網(wǎng)站、通訊群組”。
因此,《解釋》規(guī)定,設(shè)立用于實(shí)施非法獲取、出售或者提供公民個(gè)人信息違法犯罪活動(dòng)的網(wǎng)站、通訊群組,情節(jié)嚴(yán)重的,應(yīng)當(dāng)以非法利用信息網(wǎng)絡(luò)罪定罪處罰;同時(shí)構(gòu)成侵犯公民個(gè)人信息罪的,依照侵犯公民個(gè)人信息罪定罪處罰。
許劍卓說,隨著《解釋》即將從6月1日起實(shí)施,公安機(jī)關(guān)將針對(duì)公民個(gè)人信息保護(hù)從重點(diǎn)打擊侵犯公民個(gè)人信息源頭,落實(shí)網(wǎng)絡(luò)服務(wù)商的網(wǎng)絡(luò)安全防護(hù)責(zé)任,打擊購買、收售、交易、幫助建立平臺(tái)和通訊群組整個(gè)利益鏈條三方面開展工作。
為切實(shí)加大對(duì)行業(yè)“內(nèi)鬼”參與公民個(gè)人信息泄露案件的懲治力度,《解釋》明確了在認(rèn)定“情節(jié)嚴(yán)重”時(shí),對(duì)行業(yè)“內(nèi)鬼”泄露信息的數(shù)量、數(shù)額標(biāo)準(zhǔn)都要減半計(jì)算,降低了入罪門檻。“這為我們更好地打擊這類犯罪提供了法律基礎(chǔ)。所以下一步我們要追查源頭,深挖行業(yè)‘內(nèi)鬼’!痹S劍卓說。
與此同時(shí),“一些手機(jī)APP會(huì)收集和它的業(yè)務(wù)無關(guān)的信息,比如公民行蹤軌跡、通話記錄,這種情況相當(dāng)普遍。這些服務(wù)商沒有依法落實(shí)有關(guān)安全防護(hù)措施,導(dǎo)致公民個(gè)人信息的泄露!痹S劍卓稱,“下一步,我們將結(jié)合網(wǎng)絡(luò)安全法的實(shí)施,進(jìn)一步強(qiáng)化安全監(jiān)管,要求這些服務(wù)商落實(shí)相關(guān)的監(jiān)管義務(wù)。對(duì)于未按法律要求、未落實(shí)相關(guān)義務(wù)而導(dǎo)致公民個(gè)人信息泄露的,我們將根據(jù)這次司法解釋和網(wǎng)絡(luò)安全法的規(guī)定予以嚴(yán)厲打擊!