本文专访公安部网络安全保卫局有关负责人,就非法买卖公民个人信息的行为产生原因与应对措施进行深入讨论。
问:公民个人信息泄漏和日益猖獗的电信诈骗案件之间是怎样的关系?
答:可以说,对长期存在的电信诈骗案件而言,互联网时代的公民个人信息泄漏起到了推波助澜的作用。越来越多的个人信息泄漏,为诈骗分子实施精准诈骗,提供了更好、更精准的条件,骗取百姓更多的钱财,一定程度上扩大了老百姓被诈骗的损失。
问:目前公民个人信息泄漏主要可以分为哪几类情况?
答:从源头角度,一般可以分为两种:一是黑客通过入侵计算机信息系统非法获取;二是员工利用职务之便,将自己掌握的信息进行非法贩卖。
从客观行为角度,可以分为四种:一是从源头非法获取个人信息;二是通过居间买卖个人信息进行牟利;三是利用个人信息实施违法犯罪行为;四是进行个人信息非法互换交易。
问:有哪些信息被贩卖?
答:经工作发现,目前网上贩卖个人信息来源主要分为6大类 网购类、银行类、医疗类、通讯类、考试信息类和邮递类。
网购类主要出售网上购物网站的客户个人信息,包括淘宝、京东、苏宁易购等;银行类信息主要为商业银行客户信息、个人征信信息;医疗类信息主要为医疗保障数据;通讯类的个人信息则包括邮箱数据、手机数据等;考试类信息主要来自建筑师、药师、会计等职称考试的考生信息;快递类信息主要来源于顺丰、EMS等快递企业,网购的兴盛促使快递行业掌握了大量公民的个人信息。
值得注意的是,目前网上非法买卖的公民个人信息种类繁多,涵盖金融、通信、交通、医疗、教育、商业等各方面,甚至已经被碰撞整合成为 地下大数据 。这个 地下大数据 几乎可以构建出一个人的大部分隐私和财产信息,使得犯罪分子可以非常有针对性地对一些特定用户进行诈骗。
解局:源头防控和法律适用须进一步完善
问:从此案抓获的7名 内鬼 来看,反映出了相关单位在保护公民个人安全方面存在哪些问题?
答:一是相关企事业单位,甚至包括个人的网店、复印店等,手里掌握了许多公民个人信息,自身的信息保护意识却很薄弱,没有采取应有的保护措施。
二是内控责任制度不完善,比如有公民信息的信息系统只记录用户查询时间,并不记录查询时使用的IP地址,所以其所谓内控制度并不可控;有的单位建立了审计制度,但是并不切实到位,账户出现异常无法及时发现,或者是发现了却没有及时报告。
三是信息存储平台的日常防护能力不足,没有足够的技术防护手段,有的则是明明系统有漏洞却不采取有效措施进行修复,存在明显安全隐患。
四是此类案件中,往往只追究了 内鬼 的法律责任,对相关单位领导的责任,包括直接责任、间接责任很少追究,未起到应有的震慑作用。
问:非法买卖公民个人信息的行为为何屡禁不止?
答:一是客观上,我国的经济活动、社会交往日趋活跃,社会上单位、个人对公民个人信息的合法需求、不合法的需求长期存在。这样的社会发展背景和土壤决定了非法获取公民个人信息的 地下需求 必然存在。
二是源头上,一些掌握个人信息数据的单位自身管理不到位,内控制度不完善,技术防范水平不足。
三是法律适用层面,虽然刑法修正案(九)专门对相关罪名条款进行了完善,但具体司法解释的出台尚需时间,比如对法条中 情节严重 的标准等仍待进一步明确,导致对犯罪人员的打击处理缺乏更有力的法律支撑,没有形成应有的震慑。