银行、学校、医院、黑客，谁出卖了你的隐私

每个人都在产生数据，无时无刻。大数据技术不断发展的时代，也给个人隐私保护提出了更大挑战。

如果把数据的产生、泄露、倒卖、诈骗看作是一条黑色产业链，那么在“精准”诈骗的产业链上游，是谁最早打开了潘多拉之盒，成为“出卖”公民个人信息的罪恶之源?

第一财经1℃记者在中国裁判文书网以“侵犯公民个人信息罪等关键词进行检索，并逐条分析检索结果。这些判例中，绝大多数不法分子是通过互联网渠道购买并倒卖公民的个人信息。其中至少有27个案例涉及到泄露公民个人信息的“源头”。

这些“泄露者”的身份包括了黑客、银行员工、医务工作者、公司“内鬼”、学校老师、警务工作者，甚至还有不法分子应聘到某家淘宝店，成为“卧底”窃取买家信息。

山东、广东等地连续发生3起学生遭电信网络诈骗案件，导致受害人猝死或自杀。目前，3起案件全部告破，28名犯罪嫌疑人落网。其中，最受社会关注的山东徐玉玉案案发后，公安机关经全力工作，查明了电信网络诈骗团伙情况和信息泄露源头。经查，犯罪嫌疑人杜某利用技术手段攻击了“山东省2016高考网上报名信息系统”并在网站植入木马病毒，获取了网站后台登录权限，盗取了包括徐玉玉在内的大量考生报名信息。

“大数据正在改变这个时代，裹挟而来的必然也是泥沙俱下，在享受大数据带来的便利的同时，简单的提防已经不足以应付‘道高一尺魔高一丈’的行骗伎俩，《个人信息保护法》的出台或许才是对逝去生命的最大尊重。”重庆大学国家网络空间安全与大数据法治战略研究院院长齐爱民接受1℃记者采访时表示。

公共管理数据流失谁之责

公共管理部门是个人数据收集的主要场所。然而，从判例中可以看出，公共管理部门也是信息泄露高发领域之一。在27个案例中，就有7个案例是派出所工作人员所为，但是多为协警或者辅警。

郴州市中级法院今年3月二审宣判的一起案例显示，李某在2013年底开始在宜章县公安局城南派出所当辅警，期间主要协助民警录入案件，当时除了辅警的收入外并没有其他收入。

大约在2014年10月份左右，李某通过手机QQ上网聊天认识一个网友，他帮对方查询一条户籍信息，他用其他民警的数字证书进入公安内网的《全国人口信息查询系统》查询公民个人信息，然后通过手机拍照后发给对方。

李某自述，对方一般给40元，有时候多点，每次查完后的当晚七、八点钟，对方会通过支付宝将钱汇到他的工商银行账号内。从2014年10月到2015年1月期间，他一共卖了2368条户籍信息，获利97781元。

最终法院认定：李某非法获取公民个人信息2000余条，并出售给他人获赃近十万元。因侵犯公民个人信息罪，李某被判处有期徒刑一年一个月，并处罚金人民币1.5万元。

派出所工作人员利用其他民警的证书查询公民个人信息并“出售”的情况并不是孤例。

郑某某“作案”时的身份是河南省永城市公安局文化路派出所工作人员。

河南省永城市检察院指控，在2015年5月至9月，郑某某使用其他民警的数字证书在公安内部网络上非法查询公民个人身份信息、车辆信息、护照信息、旅馆业旅客入住信息等信息，并将上述500余条信息出售给他人，非法获利人民币28800元。

河南省永城市法院一审认定郑某某犯侵犯公民个人信息罪，判处有期徒刑一年，缓刑一年。

除了派出所之外，1℃记者在案例中还看到，税务局工作人员、市场监督管理局注册窗口工作人员等来自政府部门的信息泄露案例。

潜伏在学校、医院和公司的“内鬼”

除了政府之外，医院、学校，还有一些存有大量个人信息的平台，比如网购网站，因管理或者技术等原因，也为一些不法人员盗取个人信息提供了可能。

四川省大邑县法院2015年发布的一份判决书显示：2014年1月初，中国银行武侯支行曾某、曾小某来到位于大邑县晋原镇的四川文轩职业学院，找到了时任该校成人高考办副主任的代某某，表示想向该校学生推销银行卡。

二人向代某某介绍了批量办理银行卡的程序，并要求代某某提供该校学生信息。

2014年1月10日，这位代老师未经学校许可、未经学生本人同意，通过QQ邮箱将该校3万余名学生个人信息发给曾某。

很快，中国银行武侯支行利用从代某某处获得的信息向四川省分行申请批量制卡。2月20日，曾小某以产品推广宣传费的名义给了代某某人民币5万元。

其后，曾小某、曾某将违规制作的35000余张中国银行企业园区金卡送到代某某处，要求代某某提供学生办卡申请表、身份证复印件等。

4月21日，四川文轩职业学院部分学生发现自己的个人信息被泄露并被中国银行办理了银行卡后，向公安机关报案。

法院一审认定，代某某犯非法出售公民个人信息罪，判处有期徒刑一年六个月。

在27个案例中，来自公司的个人信息“泄露者”最多，有17例。甚至在部分案例中，有犯罪分子就是为了盗取个人信息而“卧底”到某家公司上班。

浙江义乌法院今年4月发布的判决显示：2015年10月，一个名为“逍遥”的QQ网友与韦某联系，愿意以每条1块钱的价格购买淘宝买家信息，并告知可通过种植木马病毒至电脑或直接到淘宝店铺的公司上班，通过后台将数据导出，从而窃取淘宝买家信息。到当年12月左右，“逍遥”告诉韦某，淘宝买家信息已涨价，最高可卖至6元/条。

受利益诱惑，韦某找到雷某，商议后决定雷某应聘进入淘宝店铺窃取淘宝买家信息，韦某则负责出售淘宝买家信息。

同年12月15日，雷某应聘到了轩妙玩具厂做淘宝客服，窃取了650条买家信息数据，以人民币3元/条的价格卖给“逍遥”。韦某通过出售买家信息数据获利3582元，作为“卧底”的雷某获得1950元。

法院一审判定：两人均以犯侵犯公民个人信息罪，判处有期徒刑七个月。

实际上，除了上述方面以外，不法分子要获得公民的个人信息的途径还有很多。

一位曾经多次参与打击电信诈骗的公安干警在接受1℃记者采访时举例称：比如假装我是销售，不断向你推销物品，记录你的电话、名字;甚至在4S店，当你去购车填报身份信息时，他用手机一拍，就把你的信息也拍进去了。

另外，犯罪分子以黑客手段攻击数据库获取公民个人信息的情况，同样并不鲜见。这也为一些收集了大量个人信息的企业或平台的信息保护工作拉响警钟。

反电信诈骗跨部门联动机制尤为关键

从技术层面上看，要在源头环节堵住信息泄露并非易事。

通信领域专家、飞象网CEO项立刚接受1℃记者采访时举例称：电信运营商就在自己的管理系统中，加入了信息追溯功能，能够记录信息录入、查询、下载过的痕迹。但是这种技术改造需要巨大的成本投入。即便如此，这一功能也只能解决大规模的系统性问题，不可能彻底杜绝信息泄露的发生。

在打击、治理电信诈骗的各个环节中，公安、银行和通信商是核心环节。

尤其是在互联网的生态之下，公共管理机构、行业、企业和个人紧密共生，信息保护涉及各类主体，任何一个组织不可能“单枪匹马”地与电信诈骗犯罪作战。

以上海为例，上海市公安局牵头组建上海市反电信网络诈骗中心平台，公安机关有关警种、商业银行、通信运营商、金融清算机构和第三方支付机构联合入驻，实行防范、打击、治理一体化运作的实战机制，对犯罪行为开展主动拦截和精确打击。

自今年3月底该中心平台试运行以来，已冻结涉案资金折合人民币7900余万元，成功劝阻潜在被害人3.5万余人次，全市电信网络诈骗案件案值同比下降20.6%。

8月31日在上海考察时，中央政法委书记孟建柱强调：“要进一步加强公安机关各警种之间以及公安机关与银行、通信等部门的协作配合，建立全国反电信网络诈骗工作平台，完善打击电信网络诈骗犯罪即时查询、紧急止付、快速冻结工作机制，跨界联动、合成作战，以快制快、精准打击，最大限度避免和挽回受害群众的财产损失。”

电信诈骗是典型的非接触性诈骗。作案地不断轮换，取款地亦不固定，增加案件侦破的成本和难度。

项立刚认为，不论对于政府还是企业而言，治理电信诈骗，关键就在把治理的成本降下来，效果提上来。如何降低成本，建立全国反电信网络诈骗工作平台是关键。这一平台应该由公安部门牵头，各部门、各省市共同参与，以期达到效果最大化、成本最小化。

根据公安部公布的数据来看，从2011年至2015年，全国电信诈骗案件数量从10万件飙升至约60万件。

严峻的电信网络诈骗形势下，相关专项打击行动也在加强。

2015年11月，由公安部、工信部、中宣部、中国人民银行、银监会等23个部门组织开展的打击治理电信网络新型违法犯罪专项行动展开，并将延长至今年底。

其中，河北省丰宁县、福建省龙岩市新罗区、江西省余干县、湖南省双峰县、广东省茂名市电白区、广西壮族自治区宾阳县和海南省儋州市被列为第一批重点整治地区。

这一批重点整治地区被要求限期改变面貌，确保年内涉及本地电信诈骗案件同比下降90%以上，坚决拔掉一批地域性职业电信诈骗犯罪的“钉子”。

律师：个人信息保护的主管机关尚不明确

记者查询到的涉及侵犯公民个人信息罪案例来看，刑罚基本都在3年以下。

对此，段和段律师事务所合伙人刘春泉接受1℃记者访时表示，因为《刑法修正案九》去年11月才正式开始实施，并修改了个人信息罪名，修改后最高刑期由原来的一档三年以下，改为两档。

在过去，犯非法获取公民个人信息罪的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

刑法修正案(九)不仅将“非法获取公民信息罪”改为“侵犯公民个人信息罪”，还同时提高了刑罚：

违反国家有关规定，向他人出售或者提供公民个人信息。情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

同时明确，违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

在刘春泉看来，由于《消费者权益保护法》、即将出台的《网络安全法》等多部法律都涉及到个人信息保护，但究竟哪个部门是主管的执法机关，目前尚不明确。可以预计的是，下一个十年中，个人信息保护将是中国互联网监管的法律新抓手，同时，也希望已经发生的悲剧能促进个人信息保护执法的更有力行动。

对于出台一部专门的《个人信息保护法》，学术界早有呼吁。

齐爱民表示，数据“裸奔”、公众没有安全感的根本症结在于没有出台一部专门的、系统的、全面的《个人信息保护法》。

国际上已经有60来个国家颁布了《个人信息保护法》，有成功立法例可资借鉴;同时，国内已经有一些列关于个人信息保护的法律法规。

齐爱民说，尽管国内已有多部法律涉及到了个人信息保护方面，但是相对零散的规定，不能发挥集合效应，也不能引起社会高度的重视。《个人信息保护法》是直接规范个人信息的处理的法律，既确认了信息主体的人格权，又确认了信息管理者的权利。从而定分止争，平衡复杂多变的社会利益关系。