南方周末記者 滑璇 李潔茹 南方周末實(shí)習(xí)生 丁捷 張馨予 朱岱臨

不能只歸咎于內(nèi)鬼和黑客

一個個徐玉玉逝去的年輕生命，讓電信詐騙成為舉國上下關(guān)注的焦點(diǎn)。騙子們往往因掌握大量公民個人信息而能輕取被害人的信任，依靠在銀行開設(shè)的大量冒名賬戶得以奪走被害人的血汗錢。本專題針對電信詐騙中個人信息和銀行賬戶這一頭一尾兩個環(huán)節(jié)，展開了調(diào)查。

“發(fā)生（內(nèi)鬼）這種情況，很可能是利用了單位的管理漏洞，不能只把責(zé)任歸結(jié)到泄密人身上?！?/p>

“電子商務(wù)企業(yè)、政府部門在合法掌握公民信息的同時，也要承擔(dān)‘非法使用‘泄露公民個人信息的法律責(zé)任?！?/p>

公開的判決書中，被懲處的賣家遠(yuǎn)遠(yuǎn)少于買家；最重的判了二年六個月，尚未出現(xiàn)“情節(jié)特別嚴(yán)重”的案例。

《個人信息保護(hù)法》的專家建議稿已經(jīng)躺了11年。如果把個人信息保護(hù)的各個環(huán)節(jié)比喻成一根鏈條，“那么這根鏈條現(xiàn)在呈現(xiàn)出系統(tǒng)性失靈。”

南方周末記者 滑璇 李潔茹

南方周末實(shí)習(xí)生 丁捷 張馨予

朱岱臨

宋振寧的家垮了。母親在醫(yī)院里一天昏迷十幾次。父親情緒崩潰，一問三不知。

2016年8月18日，山東省臨沭縣的大二學(xué)生宋振寧接到詐騙電話，到銀行轉(zhuǎn)了2000元。5天后的凌晨，宋振寧在自家客廳的沙發(fā)上心臟驟停。

不到一周時間，他成為徐玉玉之后的第二個電信詐騙犧牲品。宋的姑姑想不通，騙子怎么會對孩子的信息掌握得如此全面，“身份證信息、學(xué)校什么都知道！”

騙子真的什么都知道。南方周末記者暗訪發(fā)現(xiàn)，想從網(wǎng)上購買考生信息，遠(yuǎn)比想象中簡單。在QQ上，昵稱“卡佛落”的賣家表示，可以提供2016年10萬湖北高考考生的一手資料。另一昵稱為“出售各種客戶資料”的QQ賣家則表示，手握46萬廣東高考考生的詳細(xì)信息，包括姓名、性別、地址、電話、文理分科、年齡、身份證、家長姓名、聯(lián)系方式及高考錄取情況等。

徐玉玉、宋振寧遭遇的電信詐騙，與個人信息泄露密切相關(guān)。在中國裁判文書網(wǎng)公布的案例中，隨機(jī)撥打電話騙錢的人很少，真正能夠得手的，手中均握有大量公民個人信息。只有這樣，才能做到精準(zhǔn)出擊。學(xué)生信息只是種類繁多的信息之一，學(xué)生也只是受害群體之一。

內(nèi)鬼、黑客，是個人信息泄露的源頭。他們拿著偷出來的“商品”，在一個龐大而隱秘的市場內(nèi)公開叫賣，獲利無數(shù)。

內(nèi)鬼

關(guān)鍵還是看個人品德，否則只要你想，總有辦法把數(shù)據(jù)弄出來。

當(dāng)被問到如何保證數(shù)據(jù)準(zhǔn)確時，販賣湖北考生信息的“卡佛落”表示，數(shù)據(jù)來源于某市教育局。南方周末記者隨機(jī)撥打了賣家提供的10個號碼，發(fā)現(xiàn)資料中的電話與考生情況全部相符。

在個人信息買賣領(lǐng)域，數(shù)十萬條批量性信源并不稀罕。2012年10月，東方航空公司客運(yùn)營銷委員會系統(tǒng)管理員王某，擅自將六百余萬條“東航萬里行”積分卡客戶信息資料下載、存儲，轉(zhuǎn)交他人出售。2011年，中國移動職員蘇某私自調(diào)取、出售山西全省移動手機(jī)用戶資料。東窗事發(fā)后，僅蘇某電腦中便存有山西省移動手機(jī)用戶信息2219萬余條。

究竟什么人可以成為偷信息的“內(nèi)鬼”？

2011年10月至2012年3月，烏魯木齊市公安局沙依巴克區(qū)分局發(fā)生一系列公民個人信息泄露事件，涉及戶籍、護(hù)照、賓館記錄等多個領(lǐng)域。經(jīng)調(diào)查，事件的始作俑者為勞務(wù)派遣人員王某。他在該局指揮室網(wǎng)絡(luò)辦擔(dān)任協(xié)警，握有公安機(jī)關(guān)的上網(wǎng)專用密鑰。

“對于涉及公民隱私的信息，除在編警察以外的人員全都不能碰，管理起來非常嚴(yán)格?！北本┕蚕到y(tǒng)的一名工作人員告訴南方周末記者，在公安機(jī)關(guān)內(nèi)部，能接觸到這類信息的崗位必定是專人操作、定崗定責(zé)，工作前還會進(jìn)行政審、保密教育并簽署保密協(xié)議。

根據(jù)公安部2013年發(fā)布的《關(guān)于公安機(jī)關(guān)公民個人信息安全管理規(guī)定》，公安機(jī)關(guān)要定期檢查公民個人信息使用授權(quán)，如果發(fā)生部門職能調(diào)整、民警工作崗位變動或調(diào)離，要及時變更或撤銷授權(quán)。與此同時，民警訪問存儲公民個人信息的系統(tǒng)時，要進(jìn)行身份認(rèn)證、訪問控制、安全審計(jì)，并留存操作日志。

“發(fā)生這種情況，很可能是利用了單位的管理漏洞，不能只把責(zé)任歸結(jié)到泄密人身上。”上述公安人員解釋，由于此類操作實(shí)名且留痕，監(jiān)管起來并不困難。假如信息泄露持續(xù)時間較長，說明監(jiān)管部門沒有及時發(fā)現(xiàn)并阻止。

另外，民警如果不能謹(jǐn)慎管理自己的專屬上網(wǎng)密鑰，比如私下交給他人使用、操作后沒有及時收好，也可能造成信息外泄。

除公權(quán)力機(jī)關(guān)外，銀行、通信運(yùn)營商等也是公民個人信息外流的重災(zāi)區(qū)。一名金融從業(yè)人員向南方周末記者透露，有的業(yè)內(nèi)人士從銀行辭職時，會帶走該行所有VIP客戶的個人信息，以便日后營銷之用。

“在金融領(lǐng)域，肯拿著大批客戶資料自用、送人或出售的，基本都是中層人員。高層不屑于做這些。底層又把資料當(dāng)寶貝捂在手里，不舍得掏給別人?！鄙鲜鋈耸勘硎荆阢y行，基本只有風(fēng)險(xiǎn)政策領(lǐng)域的一小部分人可以大規(guī)模接觸公民個人信息。

陳飛（化名）曾是北京某銀行的風(fēng)險(xiǎn)政策分析人員，只要選擇幾個相應(yīng)條件，便能查詢到該銀行的客戶數(shù)據(jù)，比如上個月所有信用卡消費(fèi)超過5000元的個人明細(xì)，姓名、證件號、生日、電話等等。數(shù)十萬條的信息，幾分鐘之內(nèi)搞定。

因?yàn)閸徫惶厥猓愶w屬于公民個人信息領(lǐng)域的重點(diǎn)“盯防”對象。在銀行內(nèi)部，陳飛的電腦不能查詢數(shù)據(jù)，只能通過遠(yuǎn)程桌面操作，以防止他對數(shù)據(jù)進(jìn)行下載。此外，銀行會定期檢查他的電腦、查看服務(wù)器使用情況。如果電腦里存有客戶資料，或者查詢了與工作無關(guān)的數(shù)據(jù)，這就說明有問題。“最‘變態(tài)的監(jiān)控是對某臺電腦上的所有操作錄屏，寫郵件、打字等等都要錄下來。但這種方式可行性太低，很少有人用。”陳飛告訴南方周末記者，在信息泄露的問題上關(guān)鍵還是看個人品德，否則只要你想，總有辦法把數(shù)據(jù)弄出來?！半娔X封了U口可以用郵件一點(diǎn)一點(diǎn)慢慢發(fā)啊，有些互聯(lián)網(wǎng)公司就這么干。”

陳飛認(rèn)為，更多的信息泄露可能出自那些與銀行合作的第三方平臺，比如短信告知系統(tǒng)、銀行卡制作方、快遞物流方等等?！皩τ谶@些平臺，銀行肯定有相應(yīng)控制和要求。但數(shù)據(jù)畢竟不在你手里，你根本沒有辦法，”陳飛說。

黑客

現(xiàn)在的政府網(wǎng)站普遍沒有防護(hù)或防護(hù)不到位，很多網(wǎng)站甚至認(rèn)為只需安裝一個“防火墻”。

一次上當(dāng)?shù)慕?jīng)歷，讓楊志夷學(xué)會了一個新詞，“撞庫”。

8月26日下午，廣東惠州居民楊志夷接到“客服”電話：你是不是買了5500元Q幣？楊第一反應(yīng)這是詐騙電話，但掛機(jī)后一查，建設(shè)銀行的卡面余額上居然真的少了5500元。楊馬上回?fù)苷埱笕∠唵危⒏嬷獙Ψ绞謾C(jī)驗(yàn)證碼。不到一分鐘，5000元返回賬戶，停留幾秒鐘又被轉(zhuǎn)走。他恍然大悟，驗(yàn)證碼正是騙子用來轉(zhuǎn)賬的?！翱晌揖褪窍氩幻靼祝覜]把密碼告訴任何人，銀行卡的余額為什么會自動減少？”

一名銀行工作人員告訴南方周末記者，最初消失的5500元只是被人轉(zhuǎn)移到了理財(cái)賬戶，以造成余額減少的假象。在詐騙界，這并不新鮮。

在詐騙產(chǎn)業(yè)鏈上游，一群黑客專門入侵網(wǎng)站取得大量用戶數(shù)據(jù)，專業(yè)術(shù)語叫做“拖庫”。中游負(fù)責(zé)“洗庫”，就是通過技術(shù)手段將有價值的用戶數(shù)據(jù)歸納分析，售賣變現(xiàn)。詐騙集團(tuán)在下游，將買來的信息利用“撞庫”技術(shù)登錄受害者的手機(jī)銀行、網(wǎng)站等平臺。杭州安恒信息技術(shù)有限公司西北區(qū)技術(shù)總監(jiān)張百川告訴南方周末記者：“撞庫不需非常專業(yè)的黑客出馬，安裝一個軟件或做個程序，挨個去試就可以了?！彼f，許多人上網(wǎng)圖方便，在多個平臺上使用同一個密碼，騙子正是利用了這個漏洞成功登錄了楊志夷的網(wǎng)上銀行?！懊艽a簡單且在幾個平臺上同時使用的賬戶，最容易中招?！?/p>

最具代表性的“撞庫”發(fā)生在2014年12月25日。在這個黑色圣誕，黑客通過“撞庫攻擊”得到了超過13萬條12306網(wǎng)站用戶信息。很快，大批信息開始在互聯(lián)網(wǎng)上瘋傳。

與撞庫比肩的另外兩種數(shù)據(jù)獲取方式，分別是攻擊網(wǎng)站和木馬程序。黑客們利用這三種手段，打造出一條不斷升級的高能產(chǎn)業(yè)鏈。阿里巴巴資深安全技術(shù)專家玄泰認(rèn)為，這些黑客協(xié)作能力強(qiáng)、創(chuàng)新能力強(qiáng)，平臺化趨勢越來越明顯?！坝袑ｉT做釣魚軟件的供應(yīng)商，有擔(dān)保數(shù)據(jù)買賣的交易平臺，有洗錢的平臺等等?！?/p>

比起“盜賊”的團(tuán)結(jié)、專業(yè)，平臺方則顯得“千瘡百孔”。360互聯(lián)網(wǎng)安全中心統(tǒng)計(jì)顯示，2015年共有1410個漏洞可能造成網(wǎng)站上的個人信息泄露，可能或已造成泄露的個人信息量高達(dá)55.3億條。存在泄露信息漏洞的1068個備案網(wǎng)站中，企業(yè)網(wǎng)站占比最高，達(dá)63%；其次是政府網(wǎng)站，占比20.1%。

據(jù)《IT時報(bào)》報(bào)道，2014年，浙江、安徽、江蘇、山西等19省份社保信息系統(tǒng)被補(bǔ)天漏洞響應(yīng)平臺曝光存在大量低級漏洞，比如四川、石家莊等地的社保部門使用“123456”“111111”等“弱口令”，導(dǎo)致系統(tǒng)漏洞。2015年，蘇州市社保基金管理中心網(wǎng)站被曝光利用“拖庫”技術(shù)便能查詢所有社保人員信息?！艾F(xiàn)在的政府網(wǎng)站普遍沒有防護(hù)或防護(hù)不到位?！睆埌俅ㄕf，很多政府部門網(wǎng)站甚至認(rèn)為只需安裝一個“防火墻”。

除了政府網(wǎng)站，電商、生活服務(wù)平臺也是信息泄露的重災(zāi)區(qū)。2013年，如家、七天等連鎖酒店的2000萬條客戶開房信息外流；2014年，攜程網(wǎng)被國內(nèi)知名漏洞平臺曝光存在可泄露用戶銀行信息的重大安全漏洞。

就連技術(shù)“大亨”阿里巴巴也無法幸免。有買家網(wǎng)購不到一分鐘，就接到自稱“商家”的來電，稱錢被凍結(jié)了，需辦理退款。在“商家”的指引下，買家的銀行卡賬號、密碼均被套走。

對于淘寶商城泄露客戶信息的質(zhì)疑，玄泰回應(yīng)，“用戶數(shù)據(jù)流向很復(fù)雜，除了保障平臺上的數(shù)據(jù)安全，還得確保商家、運(yùn)營服務(wù)商、軟件供應(yīng)商、物流公司、電信公司等所有電商生態(tài)鏈路上的環(huán)節(jié)不出現(xiàn)信息泄露?！?/p>

2015年12月，阿里巴巴通過其信息安全防控監(jiān)控系統(tǒng)“御城河”發(fā)現(xiàn)，一臺設(shè)備上關(guān)聯(lián)了大量旺旺賬號，不法分子通過淘寶商品詳情頁面獲取買家購買記錄，以截圖形式發(fā)給店員。聯(lián)絡(luò)時，店員謊稱核對或更改收貨地址，以此套取買家真實(shí)的訂單信息。監(jiān)控信息成功協(xié)助警方搗毀這一團(tuán)伙，共抓捕嫌疑人17人。

此外，木馬潛入個人手機(jī)也是信息泄露的主要途徑。據(jù)360手機(jī)衛(wèi)士移動安全專家葛健介紹，2016年4月，360手機(jī)衛(wèi)士共截獲盜取個人信息的手機(jī)惡意程序樣9.8萬個。其中67.4%會竊取短信信息，34.8%會竊取手機(jī)銀行信息。

“我們進(jìn)入大數(shù)據(jù)時代，要用數(shù)據(jù)技術(shù)解決這個問題?！鄙虾３刑┬畔⒓夹g(shù)有限公司創(chuàng)始人釋元認(rèn)為，收集信息的平臺應(yīng)該通過專業(yè)的數(shù)據(jù)運(yùn)營商將重要的公民信息保護(hù)起來。

不過，在中南財(cái)經(jīng)政法大學(xué)教授喬新生看來，保護(hù)公民的個人信息首先要強(qiáng)化信息收集者和互聯(lián)網(wǎng)絡(luò)服務(wù)提供者的法律責(zé)任，“電子商務(wù)企業(yè)、政府部門在合法掌握公民信息的同時，也要承擔(dān)‘非法使用‘泄露公民個人信息的法律責(zé)任。”

批發(fā)

“上線的東西出手后就成了孤證，一旦找不到下家，嫌疑人肯定會否認(rèn)的。”

在一座巨大的市場里，內(nèi)鬼和黑客手中的信息很快就能售出、變現(xiàn)。其中，注冊方便、聯(lián)絡(luò)便捷的QQ占有一席之地。

2012年，四川警方在成都市東湖國際花園的居民房里查獲一處公民個人信息買賣窩點(diǎn)。梁某帶著3名手下，同時使用3臺電腦經(jīng)營4個QQ號，每個QQ號聯(lián)系著數(shù)十個販賣信息的專業(yè)QQ群。梁某等人從不同上線購買、交換個人信息并向下線出售，生意興??；有時還會一邊接受下線資料預(yù)訂，一邊聯(lián)系上線幫忙查詢，雙管齊下。

隱蔽的網(wǎng)絡(luò)市場之外，有的交易就在光天化日之下。江蘇南通的一起非法獲取公民個人信息案中，幾名嫌疑人先后在汽車內(nèi)、肯德基店內(nèi)進(jìn)行現(xiàn)金買賣，每次交易額數(shù)千元。還有人在北京中關(guān)村海龍電子市場前的天橋上售賣個人信息，一張存有12萬余條機(jī)動車及車主數(shù)據(jù)的光盤，只賣160元。

這個繁榮的公民個人信息市場里，商品種類繁多、五花八門。上文提到的梁某，經(jīng)營類別從公民身份證資料、戶口簿的戶籍信息到公民違法在逃記錄、手機(jī)通話清單、手機(jī)定位，無所不包，明碼標(biāo)價。比如工商銀行、建設(shè)銀行客戶開戶資料及賬戶下余額，每份500元；農(nóng)業(yè)銀行的每份150元；公民身份證資料，每份30元；公民戶口簿的戶籍資料，每份50元；公民賓館入住登記，每人次50元；車輛、駕駛員信息，每份30元；公民個人航班記錄，每人次30元；公民個人違法、在逃記錄，每人次50元；公民信用報(bào)告，每人次40元至60元……

由于信息品種齊全，一些“私家偵探”慕名而來。在四川從事民事調(diào)查、商務(wù)調(diào)查的賈某，是梁某的客戶之一。2012年2月，賈受托查詢一人的下落。通過在網(wǎng)上購買個人信息，他很快發(fā)現(xiàn)目標(biāo)人物于2月17日從重慶飛往杭州，之后又坐動車到了上海。航班、動車時間一目了然。

在全國第一起外國人非法獲取公民個人信息案中，被告人英國人彼特·漢弗萊同樣是一名“偵探”。他在上海注冊成立的公司對企業(yè)、個人進(jìn)行“背景調(diào)查”，許多知名大公司都曾是他的客戶。調(diào)查時，漢弗萊多次購買公民戶籍、出入境、通話記錄等信息累計(jì)256條，每條信息價格從800元至2000元不等。

如果不是騙子找上門，大概沒人注意到自己的各種數(shù)據(jù)早已不脛而走。當(dāng)你意識到信息泄露時，卻摸不透究竟哪個環(huán)節(jié)出了問題。南方周末記者在中國裁判文書網(wǎng)上搜索發(fā)現(xiàn)，“出售、非法提供公民個人信息罪”的案例遠(yuǎn)遠(yuǎn)少于“非法獲取公民個人信息罪”。2014年，前者數(shù)量17個，后者卻有388個；2015年前者16個，后者216個；2016年前者8個，后者111個。也就是說，信息泄露鏈源頭被公訴、定罪的比例，不足末端販?zhǔn)坌畔⒄叩?/10。

這種從上游到下游金字塔形的判罪模式，與公安機(jī)關(guān)的偵查、抓捕模式大體相似。2012年4月，公安部在20個省份同時展開打擊侵害公民個人信息類犯罪的集中行動，挖出“源頭”38個，摧毀數(shù)據(jù)平臺和“資源大戶”161個，打掉下游從事非法討債、非法調(diào)查等業(yè)務(wù)的公司611個。

北京師范大學(xué)刑事法律科學(xué)研究院教授盧建平認(rèn)為，在這種買賣型的犯罪里，買方查得多、供方查得少是一個基本特征?！耙?yàn)橄戮€經(jīng)常是人贓并獲，證明起來比較容易。上線的東西出手后就成了孤證，一旦找不到下家，嫌疑人肯定會否認(rèn)的?！?/p>

而在公民個人信息交易中，大多數(shù)買賣在網(wǎng)絡(luò)上進(jìn)行，上下家只是QQ好友，并不清楚對方的真實(shí)身份。公安機(jī)關(guān)在打擊這類犯罪時，卻很容易引起警覺，一旦打草驚蛇，整個信息平臺瞬間消失。

懲處

即使是“情節(jié)嚴(yán)重”的情形，也幾乎沒人被判到三年的最高刑。

因非法獲取公民個人信息罪，上文從事信息“批發(fā)”生意的梁某被判有期徒刑一年八個月，并處罰金2萬元。在南方周末記者詳細(xì)梳理的幾十個同類案件中，梁已屬被判了“重刑”。

侵犯公民個人信息入罪始于2009年。當(dāng)時的《刑法修正案（七）》（下稱《修七》），在第253條中增加了出售、非法提供公民個人信息罪，以及非法獲取公民個人信息罪兩個罪名。2015年，《刑法修正案（九）》（下稱《修九》）對此做出調(diào)整，兩項(xiàng)罪名歸并為一項(xiàng)，合稱侵犯公民個人信息罪。

從《修七》到《修九》，侵犯公民個人信息犯罪多了“情節(jié)特別嚴(yán)重”的情形。過去，情節(jié)嚴(yán)重的，最高判處三年以下有期徒刑；現(xiàn)在，情節(jié)特別嚴(yán)重的，最高可以判到七年。

此外，《修九》還去掉了對犯罪主體的限制?！啊缎奁摺窌r，犯罪主體只能是國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員。到了《修九》，一般人都可能成為犯罪主體?！北睅煷笮炭圃航淌谠蚋嬖V南方周末記者，這是對罪名適用范圍的擴(kuò)大。

不過，南方周末記者在中國裁判文書網(wǎng)上多方搜索，并未找到侵犯公民個人信息罪中“情節(jié)特別嚴(yán)重”的案例。袁彬認(rèn)為，這可能與《修九》頒布時間尚短有關(guān)。

即使是“情節(jié)嚴(yán)重”的情形，也幾乎沒人被判到三年的最高刑。在南方周末記者搜集的判例中，上文提到的英國人彼特·漢弗萊獲刑最重，被判處有期徒刑二年六個月、并處罰金20萬元及驅(qū)逐出境。與此同時，許多侵犯了公民個人信息的被告人，僅被判處緩刑。

對于什么是情節(jié)嚴(yán)重、什么是情節(jié)特別嚴(yán)重，迄今沒有司法解釋做出明確規(guī)定。袁彬認(rèn)為，情節(jié)嚴(yán)重與否是一個綜合考量的過程，獲取公民信息數(shù)量、行為次數(shù)、行為后果等多個方面都要評判。

在上海，信息數(shù)量是判定情節(jié)是否嚴(yán)重最重要的因素，信息用途、信息類型、營利數(shù)額、危害后果、獲取手段等，也在考量范疇之內(nèi)。在一篇專業(yè)論文中，上海法院系統(tǒng)的研究人員認(rèn)為，侵害個人身份等普通信息的應(yīng)以5000條作為情節(jié)嚴(yán)重的標(biāo)準(zhǔn)，侵害個人金融信息的為2500條，侵害個人隱私信息的為1000條。

如果以信息數(shù)量而論，“情節(jié)特別嚴(yán)重”要達(dá)到十倍于“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)。此外，侵害行為帶來的危害性后果，比如造成他人精神嚴(yán)重受損及死亡、引起社會恐慌或危害國家安全等，也在考慮之中。

但上海的標(biāo)準(zhǔn)未必適用于其他地方。2016年5月，福建龍巖新羅區(qū)檢察院對涉嫌侵犯公民個人信息的石某提起公訴。石某非法獲取公民個人信息78260條，經(jīng)營數(shù)額78萬余元。經(jīng)過審理，新羅區(qū)法院確認(rèn)了石某獲取信息的數(shù)量，但不支持公訴機(jī)關(guān)認(rèn)定的經(jīng)營數(shù)額。為此，石某逃過了“情節(jié)特別嚴(yán)重”的認(rèn)定，僅被判處有期徒刑二年。

“有些人獲取信息是為了詐騙錢財(cái)或惡意誹謗，前者只是后者的手段、工具?！北R建平告訴南方周末記者，在此類案件中，如果詐騙、誹謗的結(jié)果沒有出現(xiàn)，就只能給嫌疑人定上侵犯公民個人信息一條罪名。

在廣東省茂名市電白區(qū)就有許多這樣的例子。公安機(jī)關(guān)從嫌疑人處查獲了從QQ上買來的個人信息，以及多部手機(jī)、多張電話卡、多張銀行卡等各種詐騙犯罪工具。但因?yàn)樵p騙沒有成功，所以檢察院只公訴了侵犯公民個人信息一項(xiàng)罪名。

立法

“這種分散立法的方式產(chǎn)生了不確定性，行業(yè)主體不知道應(yīng)該遵守什么樣的規(guī)則。”

從2005年起草完成算起，《個人信息保護(hù)法（專家建議稿）》（下稱“專家建議稿”）已在角落里躺了11年。

刑法之外，之所以要制定這樣一部法律，就是為了保護(hù)公民個人權(quán)利，防止政府機(jī)關(guān)和那些手握大量數(shù)據(jù)的企業(yè)過度收集、濫用信息。

2003年，中國社科院法學(xué)所研究員周漢華等人受原國務(wù)院信息化工作辦公室委托，開始起草專家建議稿。彼時，公民個人信息還是一個全新的領(lǐng)域，普羅大眾沒有保護(hù)意識，法院也沒有這方面的案子。

“關(guān)于個人信息保護(hù)的規(guī)定，散見于各種規(guī)范性文件里，比如刑法、消費(fèi)者權(quán)益保護(hù)法、全國人大常委會《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》等等。這種分散立法的方式產(chǎn)生了不確定性，行業(yè)主體不知道應(yīng)該遵守什么樣的規(guī)則?！敝軡h華將立法現(xiàn)狀歸納為有基本概念、基本原則、刑事責(zé)任，沒有切實(shí)可行的操作規(guī)范、管理措施。如果把個人信息保護(hù)比喻成一根鏈條，其中含有信息采集、使用、安全保護(hù)、用后銷毀等多個環(huán)節(jié)，“那么這根鏈條現(xiàn)在呈現(xiàn)出系統(tǒng)性失靈”。

另一個問題在于，國內(nèi)至今沒有獨(dú)立的信息保護(hù)執(zhí)法機(jī)構(gòu)。執(zhí)法過程中，如果讓銀監(jiān)會管銀行、證監(jiān)會管證券公司、工信部管移動通信運(yùn)營商，無異于親爹管兒子。“但真正能把兒子管好的，只能是別人的爹?！敝軡h華說。

為解決這些問題，專家建議稿為收集、處理個人信息設(shè)置了一整套程序。比如收集信息前，政府機(jī)關(guān)要向信息資源主管部門登記個人信息的主要內(nèi)容、使用目的、主要使用者、保存期限等等；作為企業(yè)，還要同時說明個人信息保護(hù)文件的公開方式與地點(diǎn)、安全保護(hù)措施以及安全保護(hù)主要負(fù)責(zé)人的姓名、身份證號碼、住址、簡歷。這些登記要對社會公開，以給予公眾知情權(quán)、監(jiān)督權(quán)。

至于建議稿中提到的“政府信息資源管理部門”，也就是那個獨(dú)立的信息保護(hù)執(zhí)法機(jī)構(gòu)，學(xué)者們曾經(jīng)的設(shè)想是委托起草的國信辦。但2008年的國務(wù)院機(jī)構(gòu)改革中，國信辦的職能被拆分、歸并到工信部以及后來的網(wǎng)信辦，周漢華認(rèn)為現(xiàn)在最好的辦法是重新整合出一個機(jī)構(gòu)，專門管理不同領(lǐng)域的信息，“類似于國外的信息專員辦公室”。

國信辦的取消，似乎是《個人信息保護(hù)法》命運(yùn)的一次轉(zhuǎn)折。自此，在起草過程中負(fù)責(zé)議事協(xié)調(diào)的機(jī)構(gòu)也隨之消失不見。2016年8月29日，南方周末記者分別致電工信部、網(wǎng)信辦詢問個人信息保護(hù)法的進(jìn)展。雙方工作人員均表示，相關(guān)工作由對方負(fù)責(zé)，自己并不了解情況。

沉睡了11年的專家建議稿，至今未能列入立法機(jī)關(guān)的立法計(jì)劃，只能停留在研究階段。周漢華告訴南方周末記者，每年通過的法律、行政法規(guī)等大約四五十件，在數(shù)量上受到瓶頸制約。但在徐玉玉、宋振寧事件中，個人信息泄露導(dǎo)致的連鎖行為、負(fù)面印象已經(jīng)非常惡劣，個人信息保護(hù)法亟待提上立法日程。

兩名大學(xué)生的離世，確實(shí)讓《個人信息保護(hù)法》重回公眾視線。近半個月來，找周漢華采訪的媒體不在少數(shù)。而迄今為止，他還沒有接到任何官方消息?！皬默F(xiàn)在的情況看，《個人信息保護(hù)法》是列入2014年至2020年國家信息網(wǎng)絡(luò)專項(xiàng)立法規(guī)劃的。估計(jì)在2020年之前，可以進(jìn)入人大常委會審議?！敝軡h華說。