法治廣東

近日，廣東省公安廳召開新聞發布會，僅今年上半年，全省共偵破網絡犯罪案件521起，刑事拘留3780人，繳獲被洩露、竊取、買賣的公民個人信息15億餘條，三項數據同比分別上升23.51%、18.04%、78.56%，這些數據讓「個人信息洩露」問題，再度成為了群眾關心的話題。

南方日報記者調查發現，以非法獲取公民個人信息為上遊，以買賣公民個人信息為中遊，以利用公民個人信息實施網絡詐騙等為下遊，已經形成了一條完整的網絡侵犯公民個人信息黑灰產業犯罪鏈條，嚴重危害社會穩定和人民群眾生命財產安全。

APP「扒信息」已成日常習慣

「下載計算器，卻被要求聯網權限;下載美食軟體，卻被要求通訊錄權限;下載購物平臺，卻被要求日曆權限，幾乎所有軟體都想要你的位置……」

「我跟朋友隨意聊了幾句關於離婚的話題，這個視頻社交平臺就給我推薦了離婚律師諮詢服務的廣告。」在爆料中，有消費者向南方日報記者反映。

從這種情況來看，該社交平臺似乎很「了解」消費者，而這並非偶然。在7月中旬，40款APP被中央網信辦、工業和信息化部、公安部、市場監管總局四部門「點名」。《關於督促40款存在收集使用個人信息問題的APP運營者儘快整改的通知》指出，這40款APP在個人信息收集使用方面存在問題，且未公開有效聯繫方式。

南方日報記者在表單上看到，被點名的40款APP中，有大量為網民所熟悉的APP，包括安居客、同花順、墨跡天氣、智行火車票等。

就在40款APP被點名的不久之前，已有30款APP因違反網絡安全法，被該APP專項治理工作組點名要求整改。而在2018年6月，因為特殊的結構設計，一款手機則將APP收集個人信息的過程形象地展現了出來。這款名為NEX的手機，其前置攝像頭為伸縮式，只有當用戶在進行自拍等操作時，前置攝像頭才會彈出。然而用戶在實際使用過程中卻發現，在打開某些APP時，原本隱藏的攝像頭也會自動彈出，然後再自動縮回。這一過程被形象地描述為：「你躺在床上，忘我地玩著手機，攝像頭突然偷偷伸出來，默默地看了你一眼，然後又默默地縮了回去。」

對於此，有APP開發人員向記者表示，一旦你不留神同意了授權，不少APP就會明目張胆地收集你的信息。「下載計算器，卻被要求聯網權限;下載美食軟體，卻被要求通訊錄權限;下載購物平臺，卻被要求日曆權限，幾乎所有軟體都想要你的位置……」這應該是很多人安裝使用APP時都有的體驗。

這些權限，就代表著你的個人信息是否敞開，包括日曆、相機、通訊錄、定位、麥克風、傳感器、簡訊、內存等。只要具備了這些「接觸」權限的許可，APP就能收集你的信息。

擁有大量個人信息的網站成黑客「寶庫」

在網絡安全防護上不作為、懶作為的情況較為突出，致使這些擁有大量公民敏感信息的系統網絡安全漏洞頻出，被黑客非法入侵後獲取信息並大肆倒賣，實際上成為了黑灰產業鏈的重要信息源。

2018年3月，臉書上超過5000萬條的用戶信息數據被一家名為「劍橋分析」的公司洩露出去;

2018年8月，華住集團的1.3億條個人信息數據在暗網上被公開兜售;

2018年11月30日，萬豪國際集團旗下喜達屋集團發生客戶預訂資料庫信息洩露事件。多達5億條的個人信息被洩露出去。

……

對於持有大量隱私信息的重要信息系統和重點網站而言，其不斷加深的信息化程度與薄弱的網絡安全防護之間，矛盾突出。2019年上半年，廣東省公安機關在對全省9093個重要信息系統和重點網站進行排查時，發現並整改了高風險隱患漏洞2721處，同時清理下架安全問題突出的網際網路數據中心伺服器1272臺，關停虛擬主機245個，行政處罰網絡平臺運營企業3998家。

這些掌握了大量公民敏感信息的重點單位中，「重應用、輕安全」的情況普遍存在，在網絡安全防護上不作為、懶作為的情況較為突出，致使這些擁有大量公民敏感信息的系統網絡安全漏洞頻出，被黑客非法入侵後獲取信息並大肆倒賣，實際上成為了黑灰產業鏈的重要信息源。

從公安機關破獲和法院判決的案例看，車輛、徵信報告、銀行帳戶、房產、教育、醫療等信息成為「搶手貨」，相關部門「內鬼」作案也成為了個人信息洩露的主要方式。

在廣州市警方近期破獲的一起案件中，保險公司的保險員羅某，為了提高自己的工作業績，今年1月至2月期間，多次找到與其有業務關係的某銀行客戶經理，在該客戶經理辦公室用手抄的方式盜取200餘條公民個人信息(包括客戶姓名、性別、年齡、手機號碼、存款及理財等信息)。

在廣東警方2018年開展的「淨網安網3號」行動中，某電信運營商話費結算系統承建公司員工郭某，利用其系統維護管理權限結合黑客技術，大量調取證券公司客服電話的呼叫記錄(即股民電話號碼信息)後向下遊團夥販賣。

個人信息「商品化」交流販賣「流程化」

個人信息數據在被多次買賣的過程中，會與其他渠道洩露出的數據不斷比對，互相完善。比如金融類公民信息數據，就在被多次買賣的過程中，逐漸增加了個人身份信息、人員軌跡信息、手機定位信息等數據，使得危害成倍提升。

南方日報記者在調查中發現，公安機關近期破獲的多起侵犯公民個人信息的案件中，嫌疑人通常都有交流和販賣個人信息的犯罪情節。

廣州市的林傑(化名)有著多年的投資諮詢和金融從業經歷。2017年10月，他在一個信貸行業微信群裡看到有人叫賣公民信息資源。經過私下交流，對方稱可以將這些信息賣給他。林傑覺得倒賣這些信息可以獲取中間差價，於是向對方購買了一批公民個人信息，隨後又倒賣出去。此後，林傑一發不可收拾，通過多個網絡社交平臺大肆尋找賣家和買家倒賣公民個人信息。

林傑落網時，民警在其電腦和手機裡發現用於出售的公民個人信息的文件夾1000多個，個人信息1000多萬條。

而深圳的「獵頭搜」網站，則搭建起了個人信息交流販賣的網絡平臺。在平臺上，個人信息如同商品一樣被擺上貨架，明碼標價，供人挑選。該網站通過邀請碼的方式註冊用戶，通過積分的方式管理用戶上傳下載的數據。用戶可以將自己掌握的個人信息資料上傳到網站供其他用戶下載，以便獲取積分。而用戶獲得積分後，又可使用積分去下載他人上傳的相關數據。據辦案民警介紹，「獵頭搜」網站註冊用戶達6萬餘名，掌握內部通訊錄、個人簡歷等文檔達40多萬份。

在查清團夥組織架構和鎖定相關犯罪證據後，專案組開展集中收網行動。在公安部的協調指揮下，北京、上海、廣東等20個省市同步開展收網行動，共抓獲犯罪嫌疑人130餘人，查獲公民個人信息2億多條，一舉摧毀上述犯罪團夥。

該案也是目前為止，全國破獲的最大的非法提供內部通訊錄和個人簡歷侵犯公民個人信息案。

這些個人信息數據在被多次買賣的過程中，會與其他渠道洩露出的數據不斷比對，互相完善。如上文提到的「淨網安網3號」行動中，流出的金融類公民信息數據在被多次買賣的過程中，還逐漸增加了個人身份信息、人員軌跡信息、手機定位信息等數據，使得危害成倍提升。

個人信息保護亟待專門立法

在個人信息保護方面，目前還沒有單行法，多為分散式立法，沒有系統法律。而《中華人民共和國刑法修正案(九)》雖然設立了侵犯公民個人信息罪，但其仍屬於「沉睡條款」。

近年來由於個人信息洩露導致詐騙案件頻現，如何對個人信息從法律層面進行保護成為社會關注的焦點。

據統計，目前我國有近40部法律、30餘部法規涉及個人信息保護，包括民法總則、刑法、消費者權益保護法、網絡安全法以及新近通過的電子商務法。但是，專門的個人信息保護法仍未出臺。

資料顯示，我國早在2003年就由國務院委託有關專家開始起草個人信息保護法，但目前，保護個人信息的單行法仍然處於缺失狀態。

華南理工大學法學院教授滕宏慶認為，「在個人信息保護方面，目前還沒有單行法，多為分散式立法，沒有系統法律。而《中華人民共和國刑法修正案(九)》雖然設立了侵犯公民個人信息罪，但其仍屬於『沉睡條款』，直到2016年的『徐玉玉案』轟動全國後，各地才陸續出現了首例侵犯公民個人信息罪的判決。一方面說明了這一罪名的制定主要起到震懾作用，在歸罪過程中很難界定;另一方面，這個罪名中使用的一些概念、術語、條件都還比較模糊，例如何為情節嚴重，個人的哪些信息可以被公開，哪些不可以，相關法律並沒有給出認定標準。」

廣東省委黨校教授、法治廣東研究中心主任宋儒亮認為，「分散立法難以實現頂層設計，而統一的立法可以在憲法、刑法、行政法、民法之間建立好銜接機制，建立統一的頂層設計。也將更有利於統籌監管和協作監管，對個人信息的保護而言無疑具有突破性意義。」

■案例

個人信息洩露 「助力」精準詐騙

因為擁有了更為詳細和精準的個人信息，犯罪分子實施電信詐騙的模式，也已經從最早的「大水漫灌」升級到「更加精準、有效率的2.0版本」。

2018年9月，家住廣州增城區新塘鎮的賴女士接到一個陌生的電話，電話那頭的男子自稱是某物流公司的員工，有一個賴女士寄出的包裹被上海出入境管理局查獲，裡面有12本寄往加拿大渥太華的護照。賴女士稱自己沒寄過這個包裹，對方卻說她的身份信息外洩被犯罪分子盜用了，讓她向上海某地警方報案，否則會被限制出入境。

聽到這裡，賴女士有些慌了，此刻她正在加拿大看望自己的女兒，便要求對方提供公安局的電話。對方直接將電話轉到了一個自稱是上海某地公安局的「趙警官」那裡。電話裡，「趙警官」準確地說出了賴女士的個人信息，並告知她的身份證信息被犯罪分子盜用。為了證明與嫌疑人之間沒有資金往來，「趙警官」要求賴女士配合進行資產調查。

之後的幾天，賴女士按照「趙警官」的要求，添加了其QQ好友，賣掉了手上260多萬元的股票存入銀行帳戶中，購買了一部手提電腦，並卸載了電腦裡預裝的安全防護軟體。

隨後，對方發來一個網址，要求賴女士插入U盾，在網頁中輸入銀行卡帳號和密碼，最後又在QQ通話過程中問出了銀行發來的驗證碼，就這樣賴女士把卡中的錢全部轉給了對方。

幾天後，對方再次聯繫了賴女士，說賴女士不老實，其資產還遠不止這些，甚至發來賴女士的一些個人信息和銀行資料，反覆逼迫賴女士轉錢。

由於擔心自己觸犯法律，賴女士陸續向親戚借來200萬元人民幣和10萬加幣，之後對方如法炮製，將賴女士借來的錢全部轉走。幾次三番後，「趙警官」還不肯罷休，賴女士無奈再次向親戚借錢。親戚問清緣由後立即告訴賴女士這是電信詐騙，賴女士這才意識到自己早已經落入了騙子的圈套。

這是一起典型的「精準詐騙」，詐騙分子利用賴女士被洩露的個人信息，有針對性地實施詐騙，令人防不勝防。因為擁有更為詳細和精準的個人信息，犯罪分子實施電信詐騙的模式也已經從最早的「大水漫灌」升級到「更加精準、有效率的2.0版本」。（汪棹桴 姚翀）