个人信息泄露法律任务界定日渐明白:谁收集谁负责-西

2017-05-30 05:10

  □ 本报记者 王莹

  “你所乘坐的航班浮现故障不能起飞,收到信息及时联系专线4008162378办理变更或退票……”福州市民梁先生在同程网上预订了两张南宁飞往福州的机票,可就在登机前两天,他却收到了机票“退改签”的短信,上面清明确楚显示着他的切实姓名、证件号码、航班信息。

  “到底是谁泄漏了我的航班信息?”差点信以为真的梁先生在确认发来短信的号码并非航空公司的客服热线后,才明白这是一条诈骗短信,不上当。但对自己的信息如何让对方知晓,他却始终想不通。

  跟着互联网技能的突飞猛进,网上购物、移动支付、大数据等给人们生活带来极慷慨便的同时,也给个人信息安全带来了前所未有的危险,侵犯公民个人信息犯罪连续增多。面对个人信息泄露引发的信息交易、无端骚扰和电信欺骗,公民尚需警戒防范,公安机关对个案的打击,也对此类犯罪起到必定的遏制作用。但如果因信息安全监管本身存在漏洞,那将会直接导致公民安全受威胁、财产受损害,使我国公民个人信息安全体系面临更严厉的考验。

  航班被陌生人取消

  乘客信息安全存破绽

  “民航旅客订座系统”(Eterm系统),是中公民航信息网络股份有限公司(以下简称“中航信”)开发的订票系统。由于该系统操作界面是黑色背景、绿色和黄色字体,因此又被业内人士称为“黑屏系统”。

  作为目前国内各大航空公司的订票系统,“黑屏系统”面向航空公司、机场、机票销售代理等机构,主要提供航空客运业务、航空旅行电子分销等服务。

  今年2月,林女士通过一家航空公司官方APP软件预订了一张从北京飞往英国伦敦的机票。4月19日,她突然接到APP发来的信息,称她订的机票已经成功退票。林女士坚称自己素来没有申请过退票,但经该航空公司客服确认后,这一行为正是林女士自己通过APP软件操作所致。林女士再次打开APP确认,发现“常用乘机人”中竟然有多少个陌生人的资料。这些人的姓名、接洽方式、身份证号码、开户银行和卡号全都精深莫测,另外还有十多少条不属于林女士的航行记载也都赫然在列。而林女士的机票,就是其中一个关联人取消的。

  这个关系人发明自己收到了从北京飞往英国的航班提示,但本人并不购票过,便决定了撤消。本应保险隐密的订票信息竟毫无保存地显现在生疏人面前,而对方只有要动着手指,就能够任意对这些信息进行修改、取消等操作。

  据某机票署理商负责人先容,有权限查看并有可能泄露乘客航班信息的源头,重要有机票代办商、航空公司工作人员、中航信工作职员以及黑客这4大类人群。他们通过不同渠道跟权限,在Eterm体系上只要输入乘客身份证号,就能查到包含乘客相应航班的座位、舱位、电话号码等详细材料,完全不须要乘客自己的验证。

  因此,只管信息泄露渠道繁多,但源头都指向了Eterm系统。诚然登录该系统需要特定的账号密码,但信息“倒爷”们会通过淘宝、QQ等网络平台向机票代理商、航空公司工作人员购买账号密码,或者直接通过“黑客”手段,通过软件将一个账号分出数个小号,便可顺利访问中航信的数据库。

  事后,固然航空公司APP工作人员回应称,机票被别人取消是软件系统漏洞才闹出了“大乌龙”,然而公民个人信息的泄露却并不仅是一个偶然事件。

  信息泄露防不胜防

  保险监管需兼顾平衡

  2013年底,一家为全国4500多家酒店提供网络服务的公司因系统存在安全漏洞,以至全国高达2000万条宾馆住宿记录泄露。2015年初至2016年6月,丁某在不法网站上非法下载获取这些宾馆住宿记录等公民个人信息,并上传至自己开办的“嗅密码”网站。

  该网站除了可能查询住宿记录外,还提供用户QQ、部分论坛账号及密码找回功能。其中住宿记录共有将近二千万条,用户经注册成为会员后,可能在网页“开房查问”栏目项下,以输入关键字姓名或身份证号的方法查询网站数据库中宾馆住宿记载(显示姓名、身份证号、手机号码、地址、住宿时光等信息)。自2015年5月份左右,丁某开始对该网站采取注册会员方式收取费用。一年时间里,“嗅密码”网站共有查问记载49698条,收取会员费191440.92元。此案经审理后,丁某以侵犯公民个人信息罪被判处有期徒刑三年,并处罚金人民币二万元。

  公安部网络技巧研发中心主任许剑卓分析说,侵犯公民个人信息的犯罪已经成为其余各类犯罪的上游犯罪,不管是敲诈勒索、电信诈骗等等各类犯罪,多数以非法获取个人信息为前提。

  最高人民法院研讨室主任颜茂昆认为,大数据时代,包括个人信息在内的数据只有通过流动、共享甚至交易才能充分发挥其社会价值、经济价值,而这些数据在流动和交易过程中,又极易产生个人信息扩散、失控的危险。因此,处置大数据发展的事实需要与保护公民个人信息之间的关联应有两个关键词:一是兼顾,二是均衡。

  颜茂昆认为,所谓统筹,就是在发展大数据的同时,必须依法保护公民个人的信息安全。只有包括个人信息在内的数据在法律的掩护下安全迅速地收集和流利,才华够真正地推动我国信息产业的可持续发展。

  所谓平衡,就是在两者之间寻求一个联合点和平衡点,在法律层面为个人信息交易和流动保留了一定的空间。颜茂昆举例说,网络安全法规定,网络经营者不得泄露、修改、毁损其收集的个人信息,未经被收集者同意,不得向他人提供个人信息,然而经过处理无奈识别特定个人且不能还原的除外。“这个规定是要严格保护公民个人信息,对网络运营者提出要求,然而同时也为数据提供留下了一些空间。”颜茂昆说。

  “谁收集谁负责”

  法律义务界定日渐清晰

  当前,不少网络运营者因为实行职责或者提供服务的需要,把持着海量公民个人信息,这些信息一旦泄露将造成恶劣社会影响和重大危害结果。

  《法制日报》记者留心到,国民个人信息泄露,往往存在于信息收集源头到信息倒卖之间的多个环节中。在机票信息泄露事件中,因为从Eterm系统源头到乘客,旁边经历了中航信、航空公司、第三方航空APP、机票代理商、在线订票网站等多个环节,每个环节都存在信息泄露的可能性,这也导致了个人信息泄露的受害者难以维权追责。

  针对取证难、追责难的困局,网络安全法明确了网络信息安全的责任主体,确立了“谁收集,谁负责”的基本准则。其中,第40条明确规定:“网络经营者应该对其收集的用户信息严格保密,并建立健全用户信息维护制度。”

  5月9日,最高国民法院召开新闻宣布会,发布了《最高人民法院、最高公民检察院对办理侵犯公民个人信息刑事案件实用法律若干问题的解释》(以下简称《解释》)。《解释》共13条,进一步明白侵犯公民信息罪的定罪量刑尺度和有关法律适用问题,其中便对如何处理拒不实施公民个人信息平安管理任务举动进行了明确。

  颜茂昆介绍说,拒不履行信息网络安全治理义务罪主体是网络服务提供者。《解释》规定,网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管局部责令采用改正办法而拒不改正,致运用户的公民个人信息泄露,造成严峻后果的,应当按照拒不履行信息网络安全管理义务罪,查究其刑事责任。

  此外,与侵犯公民个人信息罪相干联的另一个犯罪是非法利用信息网络罪。颜茂昆说,实际中,一些行动人通过树立网站、通讯群组等供别人进行公民个人信息交换、流转、销售,以非法牟利。

  根据刑法规定,设破用于实施违法犯法活动的网站、通讯群组,情节严格的,构成非法利用信息网络罪。最高法经研究认为,供别人实行非法获取、出售或者供给国民个人信息遵法犯罪活动的网站、通讯群组实际上属于“用于履行守法犯罪运动的网站、通信群组”。

  因而,《说明》划定,设破用于实施非法获取、发售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当以非法应用信息网络罪定罪处分;同时形成侵占公民个人信息罪的,依照侵略公民个人信息罪定罪处罚。

  许剑卓说,随着《解释》即将从6月1日起实施,公安机关将针对公民个人信息保护从重点打击侵犯公民个人信息源头,落实网络服务商的网络安全防护责任,打击购置、收售、交易、帮助建立平台跟通讯群组全部利益链条三方面发展工作。

  为切实加大对行业“内鬼”加入公民个人信息泄露案件的惩处力度,《阐明》清楚了在认定“情节重大”时,对行业“内鬼”泄露信息的数量、数额标准都要减半打算,降落了入罪门槛。“这为咱们更好地打击这类犯罪供应了法律基础。所以下一步咱们要查究源头,深挖行业‘内鬼’。”许剑卓说。

  与此同时,“一些手机APP会收集和它的业务无关的信息,比喻公民行踪轨迹、通话记录,这种情况相当普遍。这些服务商没有依法落实有关安全防护措施,导致公民个人信息的泄露。”许剑卓称,“下一步,我们将结合网络安全法的实施,进一步强化安全监管,恳求这些服务商落实相关的监管责任。对于未按法律请求、未落实相关义务而导致公民个人信息泄露的,我们将依据这次司法解释和网络安全法的规定予以严格打击。”

编辑: