个人信息保护“系统性失灵”

南方周末记者 滑璇 李洁茹 南方周末实习生 丁捷 张馨予 朱岱临

不能只归咎于内鬼和黑客

一个个徐玉玉逝去的年轻生命，让电信诈骗成为举国上下关注的焦点。骗子们往往因掌握大量公民个人信息而能轻取被害人的信任，依靠在银行开设的大量冒名账户得以夺走被害人的血汗钱。本专题针对电信诈骗中个人信息和银行账户这一头一尾两个环节，展开了调查。

“发生（内鬼）这种情况，很可能是利用了单位的管理漏洞，不能只把责任归结到泄密人身上。”

“电子商务企业、政府部门在合法掌握公民信息的同时，也要承担‘非法使用‘泄露公民个人信息的法律责任。”

公开的判决书中，被惩处的卖家远远少于买家；最重的判了二年六个月，尚未出现“情节特别严重”的案例。

《个人信息保护法》的专家建议稿已经躺了11年。如果把个人信息保护的各个环节比喻成一根链条，“那么这根链条现在呈现出系统性失灵。”

南方周末记者 滑璇 李洁茹

南方周末实习生 丁捷 张馨予

朱岱临

宋振宁的家垮了。母亲在医院里一天昏迷十几次。父亲情绪崩溃，一问三不知。

2016年8月18日，山东省临沭县的大二学生宋振宁接到诈骗电话，到银行转了2000元。5天后的凌晨，宋振宁在自家客厅的沙发上心脏骤停。

不到一周时间，他成为徐玉玉之后的第二个电信诈骗牺牲品。宋的姑姑想不通，骗子怎么会对孩子的信息掌握得如此全面，“身份证信息、学校什么都知道！”

骗子真的什么都知道。南方周末记者暗访发现，想从网上购买考生信息，远比想象中简单。在QQ上，昵称“卡佛落”的卖家表示，可以提供2016年10万湖北高考考生的一手资料。另一昵称为“出售各种客户资料”的QQ卖家则表示，手握46万广东高考考生的详细信息，包括姓名、性别、地址、电话、文理分科、年龄、身份证、家长姓名、联系方式及高考录取情况等。

徐玉玉、宋振宁遭遇的电信诈骗，与个人信息泄露密切相关。在中国裁判文书网公布的案例中，随机拨打电话骗钱的人很少，真正能够得手的，手中均握有大量公民个人信息。只有这样，才能做到精准出击。学生信息只是种类繁多的信息之一，学生也只是受害群体之一。

内鬼、黑客，是个人信息泄露的源头。他们拿着偷出来的“商品”，在一个庞大而隐秘的市场内公开叫卖，获利无数。

内鬼

关键还是看个人品德，否则只要你想，总有办法把数据弄出来。

当被问到如何保证数据准确时，贩卖湖北考生信息的“卡佛落”表示，数据来源于某市教育局。南方周末记者随机拨打了卖家提供的10个号码，发现资料中的电话与考生情况全部相符。

在个人信息买卖领域，数十万条批量性信源并不稀罕。2012年10月，东方航空公司客运营销委员会系统管理员王某，擅自将六百余万条“东航万里行”积分卡客户信息资料下载、存储，转交他人出售。2011年，中国移动职员苏某私自调取、出售山西全省移动手机用户资料。东窗事发后，仅苏某电脑中便存有山西省移动手机用户信息2219万余条。

究竟什么人可以成为偷信息的“内鬼”？

2011年10月至2012年3月，乌鲁木齐市公安局沙依巴克区分局发生一系列公民个人信息泄露事件，涉及户籍、护照、宾馆记录等多个领域。经调查，事件的始作俑者为劳务派遣人员王某。他在该局指挥室网络办担任协警，握有公安机关的上网专用密钥。

“对于涉及公民隐私的信息，除在编警察以外的人员全都不能碰，管理起来非常严格。”北京公安系统的一名工作人员告诉南方周末记者，在公安机关内部，能接触到这类信息的岗位必定是专人操作、定岗定责，工作前还会进行政审、保密教育并签署保密协议。

根据公安部2013年发布的《关于公安机关公民个人信息安全管理规定》，公安机关要定期检查公民个人信息使用授权，如果发生部门职能调整、民警工作岗位变动或调离，要及时变更或撤销授权。与此同时，民警访问存储公民个人信息的系统时，要进行身份认证、访问控制、安全审计，并留存操作日志。

“发生这种情况，很可能是利用了单位的管理漏洞，不能只把责任归结到泄密人身上。”上述公安人员解释，由于此类操作实名且留痕，监管起来并不困难。假如信息泄露持续时间较长，说明监管部门没有及时发现并阻止。

另外，民警如果不能谨慎管理自己的专属上网密钥，比如私下交给他人使用、操作后没有及时收好，也可能造成信息外泄。

除公权力机关外，银行、通信运营商等也是公民个人信息外流的重灾区。一名金融从业人员向南方周末记者透露，有的业内人士从银行辞职时，会带走该行所有VIP客户的个人信息，以便日后营销之用。

“在金融领域，肯拿着大批客户资料自用、送人或出售的，基本都是中层人员。高层不屑于做这些。底层又把资料当宝贝捂在手里，不舍得掏给别人。”上述人士表示，在银行，基本只有风险政策领域的一小部分人可以大规模接触公民个人信息。

陈飞（化名）曾是北京某银行的风险政策分析人员，只要选择几个相应条件，便能查询到该银行的客户数据，比如上个月所有信用卡消费超过5000元的个人明细，姓名、证件号、生日、电话等等。数十万条的信息，几分钟之内搞定。

因为岗位特殊，陈飞属于公民个人信息领域的重点“盯防”对象。在银行内部，陈飞的电脑不能查询数据，只能通过远程桌面操作，以防止他对数据进行下载。此外，银行会定期检查他的电脑、查看服务器使用情况。如果电脑里存有客户资料，或者查询了与工作无关的数据，这就说明有问题。“最‘变态的监控是对某台电脑上的所有操作录屏，写邮件、打字等等都要录下来。但这种方式可行性太低，很少有人用。”陈飞告诉南方周末记者，在信息泄露的问题上关键还是看个人品德，否则只要你想，总有办法把数据弄出来。“电脑封了U口可以用邮件一点一点慢慢发啊，有些互联网公司就这么干。”

陈飞认为，更多的信息泄露可能出自那些与银行合作的第三方平台，比如短信告知系统、银行卡制作方、快递物流方等等。“对于这些平台，银行肯定有相应控制和要求。但数据毕竟不在你手里，你根本没有办法，”陈飞说。

黑客

现在的政府网站普遍没有防护或防护不到位，很多网站甚至认为只需安装一个“防火墙”。

一次上当的经历，让杨志夷学会了一个新词，“撞库”。

8月26日下午，广东惠州居民杨志夷接到“客服”电话：你是不是买了5500元Q币？杨第一反应这是诈骗电话，但挂机后一查，建设银行的卡面余额上居然真的少了5500元。杨马上回拨请求取消订单，并告知对方手机验证码。不到一分钟，5000元返回账户，停留几秒钟又被转走。他恍然大悟，验证码正是骗子用来转账的。“可我就是想不明白，我没把密码告诉任何人，银行卡的余额为什么会自动减少？”

一名银行工作人员告诉南方周末记者，最初消失的5500元只是被人转移到了理财账户，以造成余额减少的假象。在诈骗界，这并不新鲜。

在诈骗产业链上游，一群黑客专门入侵网站取得大量用户数据，专业术语叫做“拖库”。中游负责“洗库”，就是通过技术手段将有价值的用户数据归纳分析，售卖变现。诈骗集团在下游，将买来的信息利用“撞库”技术登录受害者的手机银行、网站等平台。杭州安恒信息技术有限公司西北区技术总监张百川告诉南方周末记者：“撞库不需非常专业的黑客出马，安装一个软件或做个程序，挨个去试就可以了。”他说，许多人上网图方便，在多个平台上使用同一个密码，骗子正是利用了这个漏洞成功登录了杨志夷的网上银行。“密码简单且在几个平台上同时使用的账户，最容易中招。”

最具代表性的“撞库”发生在2014年12月25日。在这个黑色圣诞，黑客通过“撞库攻击”得到了超过13万条12306网站用户信息。很快，大批信息开始在互联网上疯传。

与撞库比肩的另外两种数据获取方式，分别是攻击网站和木马程序。黑客们利用这三种手段，打造出一条不断升级的高能产业链。阿里巴巴资深安全技术专家玄泰认为，这些黑客协作能力强、创新能力强，平台化趋势越来越明显。“有专门做钓鱼软件的供应商，有担保数据买卖的交易平台，有洗钱的平台等等。”

比起“盗贼”的团结、专业，平台方则显得“千疮百孔”。360互联网安全中心统计显示，2015年共有1410个漏洞可能造成网站上的个人信息泄露，可能或已造成泄露的个人信息量高达55.3亿条。存在泄露信息漏洞的1068个备案网站中，企业网站占比最高，达63%；其次是政府网站，占比20.1%。

据《IT时报》报道，2014年，浙江、安徽、江苏、山西等19省份社保信息系统被补天漏洞响应平台曝光存在大量低级漏洞，比如四川、石家庄等地的社保部门使用“123456”“111111”等“弱口令”，导致系统漏洞。2015年，苏州市社保基金管理中心网站被曝光利用“拖库”技术便能查询所有社保人员信息。“现在的政府网站普遍没有防护或防护不到位。”张百川说，很多政府部门网站甚至认为只需安装一个“防火墙”。

除了政府网站，电商、生活服务平台也是信息泄露的重灾区。2013年，如家、七天等连锁酒店的2000万条客户开房信息外流；2014年，携程网被国内知名漏洞平台曝光存在可泄露用户银行信息的重大安全漏洞。

就连技术“大亨”阿里巴巴也无法幸免。有买家网购不到一分钟，就接到自称“商家”的来电，称钱被冻结了，需办理退款。在“商家”的指引下，买家的银行卡账号、密码均被套走。

对于淘宝商城泄露客户信息的质疑，玄泰回应，“用户数据流向很复杂，除了保障平台上的数据安全，还得确保商家、运营服务商、软件供应商、物流公司、电信公司等所有电商生态链路上的环节不出现信息泄露。”

2015年12月，阿里巴巴通过其信息安全防控监控系统“御城河”发现，一台设备上关联了大量旺旺账号，不法分子通过淘宝商品详情页面获取买家购买记录，以截图形式发给店员。联络时，店员谎称核对或更改收货地址，以此套取买家真实的订单信息。监控信息成功协助警方捣毁这一团伙，共抓捕嫌疑人17人。

此外，木马潜入个人手机也是信息泄露的主要途径。据360手机卫士移动安全专家葛健介绍，2016年4月，360手机卫士共截获盗取个人信息的手机恶意程序样9.8万个。其中67.4%会窃取短信信息，34.8%会窃取手机银行信息。

“我们进入大数据时代，要用数据技术解决这个问题。”上海承泰信息技术有限公司创始人释元认为，收集信息的平台应该通过专业的数据运营商将重要的公民信息保护起来。

不过，在中南财经政法大学教授乔新生看来，保护公民的个人信息首先要强化信息收集者和互联网络服务提供者的法律责任，“电子商务企业、政府部门在合法掌握公民信息的同时，也要承担‘非法使用‘泄露公民个人信息的法律责任。”

批发

“上线的东西出手后就成了孤证，一旦找不到下家，嫌疑人肯定会否认的。”

在一座巨大的市场里，内鬼和黑客手中的信息很快就能售出、变现。其中，注册方便、联络便捷的QQ占有一席之地。

2012年，四川警方在成都市东湖国际花园的居民房里查获一处公民个人信息买卖窝点。梁某带着3名手下，同时使用3台电脑经营4个QQ号，每个QQ号联系着数十个贩卖信息的专业QQ群。梁某等人从不同上线购买、交换个人信息并向下线出售，生意兴隆；有时还会一边接受下线资料预订，一边联系上线帮忙查询，双管齐下。

隐蔽的网络市场之外，有的交易就在光天化日之下。江苏南通的一起非法获取公民个人信息案中，几名嫌疑人先后在汽车内、肯德基店内进行现金买卖，每次交易额数千元。还有人在北京中关村海龙电子市场前的天桥上售卖个人信息，一张存有12万余条机动车及车主数据的光盘，只卖160元。

这个繁荣的公民个人信息市场里，商品种类繁多、五花八门。上文提到的梁某，经营类别从公民身份证资料、户口簿的户籍信息到公民违法在逃记录、手机通话清单、手机定位，无所不包，明码标价。比如工商银行、建设银行客户开户资料及账户下余额，每份500元；农业银行的每份150元；公民身份证资料，每份30元；公民户口簿的户籍资料，每份50元；公民宾馆入住登记，每人次50元；车辆、驾驶员信息，每份30元；公民个人航班记录，每人次30元；公民个人违法、在逃记录，每人次50元；公民信用报告，每人次40元至60元……

由于信息品种齐全，一些“私家侦探”慕名而来。在四川从事民事调查、商务调查的贾某，是梁某的客户之一。2012年2月，贾受托查询一人的下落。通过在网上购买个人信息，他很快发现目标人物于2月17日从重庆飞往杭州，之后又坐动车到了上海。航班、动车时间一目了然。

在全国第一起外国人非法获取公民个人信息案中，被告人英国人彼特·汉弗莱同样是一名“侦探”。他在上海注册成立的公司对企业、个人进行“背景调查”，许多知名大公司都曾是他的客户。调查时，汉弗莱多次购买公民户籍、出入境、通话记录等信息累计256条，每条信息价格从800元至2000元不等。

如果不是骗子找上门，大概没人注意到自己的各种数据早已不胫而走。当你意识到信息泄露时，却摸不透究竟哪个环节出了问题。南方周末记者在中国裁判文书网上搜索发现，“出售、非法提供公民个人信息罪”的案例远远少于“非法获取公民个人信息罪”。2014年，前者数量17个，后者却有388个；2015年前者16个，后者216个；2016年前者8个，后者111个。也就是说，信息泄露链源头被公诉、定罪的比例，不足末端贩售信息者的1/10。

这种从上游到下游金字塔形的判罪模式，与公安机关的侦查、抓捕模式大体相似。2012年4月，公安部在20个省份同时展开打击侵害公民个人信息类犯罪的集中行动，挖出“源头”38个，摧毁数据平台和“资源大户”161个，打掉下游从事非法讨债、非法调查等业务的公司611个。

北京师范大学刑事法律科学研究院教授卢建平认为，在这种买卖型的犯罪里，买方查得多、供方查得少是一个基本特征。“因为下线经常是人赃并获，证明起来比较容易。上线的东西出手后就成了孤证，一旦找不到下家，嫌疑人肯定会否认的。”

而在公民个人信息交易中，大多数买卖在网络上进行，上下家只是QQ好友，并不清楚对方的真实身份。公安机关在打击这类犯罪时，却很容易引起警觉，一旦打草惊蛇，整个信息平台瞬间消失。

惩处

即使是“情节严重”的情形，也几乎没人被判到三年的最高刑。

因非法获取公民个人信息罪，上文从事信息“批发”生意的梁某被判有期徒刑一年八个月，并处罚金2万元。在南方周末记者详细梳理的几十个同类案件中，梁已属被判了“重刑”。

侵犯公民个人信息入罪始于2009年。当时的《刑法修正案（七）》（下称《修七》），在第253条中增加了出售、非法提供公民个人信息罪，以及非法获取公民个人信息罪两个罪名。2015年，《刑法修正案（九）》（下称《修九》）对此做出调整，两项罪名归并为一项，合称侵犯公民个人信息罪。

从《修七》到《修九》，侵犯公民个人信息犯罪多了“情节特别严重”的情形。过去，情节严重的，最高判处三年以下有期徒刑；现在，情节特别严重的，最高可以判到七年。

此外，《修九》还去掉了对犯罪主体的限制。“《修七》时，犯罪主体只能是国家机关或者金融、电信、交通、教育、医疗等单位的工作人员。到了《修九》，一般人都可能成为犯罪主体。”北师大刑科院教授袁彬告诉南方周末记者，这是对罪名适用范围的扩大。

不过，南方周末记者在中国裁判文书网上多方搜索，并未找到侵犯公民个人信息罪中“情节特别严重”的案例。袁彬认为，这可能与《修九》颁布时间尚短有关。

即使是“情节严重”的情形，也几乎没人被判到三年的最高刑。在南方周末记者搜集的判例中，上文提到的英国人彼特·汉弗莱获刑最重，被判处有期徒刑二年六个月、并处罚金20万元及驱逐出境。与此同时，许多侵犯了公民个人信息的被告人，仅被判处缓刑。

对于什么是情节严重、什么是情节特别严重，迄今没有司法解释做出明确规定。袁彬认为，情节严重与否是一个综合考量的过程，获取公民信息数量、行为次数、行为后果等多个方面都要评判。

在上海，信息数量是判定情节是否严重最重要的因素，信息用途、信息类型、营利数额、危害后果、获取手段等，也在考量范畴之内。在一篇专业论文中，上海法院系统的研究人员认为，侵害个人身份等普通信息的应以5000条作为情节严重的标准，侵害个人金融信息的为2500条，侵害个人隐私信息的为1000条。

如果以信息数量而论，“情节特别严重”要达到十倍于“情节严重”的标准。此外，侵害行为带来的危害性后果，比如造成他人精神严重受损及死亡、引起社会恐慌或危害国家安全等，也在考虑之中。

但上海的标准未必适用于其他地方。2016年5月，福建龙岩新罗区检察院对涉嫌侵犯公民个人信息的石某提起公诉。石某非法获取公民个人信息78260条，经营数额78万余元。经过审理，新罗区法院确认了石某获取信息的数量，但不支持公诉机关认定的经营数额。为此，石某逃过了“情节特别严重”的认定，仅被判处有期徒刑二年。

“有些人获取信息是为了诈骗钱财或恶意诽谤，前者只是后者的手段、工具。”卢建平告诉南方周末记者，在此类案件中，如果诈骗、诽谤的结果没有出现，就只能给嫌疑人定上侵犯公民个人信息一条罪名。

在广东省茂名市电白区就有许多这样的例子。公安机关从嫌疑人处查获了从QQ上买来的个人信息，以及多部手机、多张电话卡、多张银行卡等各种诈骗犯罪工具。但因为诈骗没有成功，所以检察院只公诉了侵犯公民个人信息一项罪名。

立法

“这种分散立法的方式产生了不确定性，行业主体不知道应该遵守什么样的规则。”

从2005年起草完成算起，《个人信息保护法（专家建议稿）》（下称“专家建议稿”）已在角落里躺了11年。

刑法之外，之所以要制定这样一部法律，就是为了保护公民个人权利，防止政府机关和那些手握大量数据的企业过度收集、滥用信息。

2003年，中国社科院法学所研究员周汉华等人受原国务院信息化工作办公室委托，开始起草专家建议稿。彼时，公民个人信息还是一个全新的领域，普罗大众没有保护意识，法院也没有这方面的案子。

“关于个人信息保护的规定，散见于各种规范性文件里，比如刑法、消费者权益保护法、全国人大常委会《关于加强网络信息保护的决定》等等。这种分散立法的方式产生了不确定性，行业主体不知道应该遵守什么样的规则。”周汉华将立法现状归纳为有基本概念、基本原则、刑事责任，没有切实可行的操作规范、管理措施。如果把个人信息保护比喻成一根链条，其中含有信息采集、使用、安全保护、用后销毁等多个环节，“那么这根链条现在呈现出系统性失灵”。

另一个问题在于，国内至今没有独立的信息保护执法机构。执法过程中，如果让银监会管银行、证监会管证券公司、工信部管移动通信运营商，无异于亲爹管儿子。“但真正能把儿子管好的，只能是别人的爹。”周汉华说。

为解决这些问题，专家建议稿为收集、处理个人信息设置了一整套程序。比如收集信息前，政府机关要向信息资源主管部门登记个人信息的主要内容、使用目的、主要使用者、保存期限等等；作为企业，还要同时说明个人信息保护文件的公开方式与地点、安全保护措施以及安全保护主要负责人的姓名、身份证号码、住址、简历。这些登记要对社会公开，以给予公众知情权、监督权。

至于建议稿中提到的“政府信息资源管理部门”，也就是那个独立的信息保护执法机构，学者们曾经的设想是委托起草的国信办。但2008年的国务院机构改革中，国信办的职能被拆分、归并到工信部以及后来的网信办，周汉华认为现在最好的办法是重新整合出一个机构，专门管理不同领域的信息，“类似于国外的信息专员办公室”。

国信办的取消，似乎是《个人信息保护法》命运的一次转折。自此，在起草过程中负责议事协调的机构也随之消失不见。2016年8月29日，南方周末记者分别致电工信部、网信办询问个人信息保护法的进展。双方工作人员均表示，相关工作由对方负责，自己并不了解情况。

沉睡了11年的专家建议稿，至今未能列入立法机关的立法计划，只能停留在研究阶段。周汉华告诉南方周末记者，每年通过的法律、行政法规等大约四五十件，在数量上受到瓶颈制约。但在徐玉玉、宋振宁事件中，个人信息泄露导致的连锁行为、负面印象已经非常恶劣，个人信息保护法亟待提上立法日程。

两名大学生的离世，确实让《个人信息保护法》重回公众视线。近半个月来，找周汉华采访的媒体不在少数。而迄今为止，他还没有接到任何官方消息。“从现在的情况看，《个人信息保护法》是列入2014年至2020年国家信息网络专项立法规划的。估计在2020年之前，可以进入人大常委会审议。”周汉华说。