8月10日,公安部召开新闻发布会。据介绍,3年来公安部部署全国公安机关开展“净网”专项行动,严打侵犯公民个人信息违法犯罪活动,锚定行业内部泄露源头,重拳打击行业“内鬼”,共抓获电信运营商、医院、保险公司、房地产、物业服务、快递公司等行业“内鬼”2300余名。
个人信息保护是近年来社会关注的热点话题,此次通报证实了以往公众的猜测,把“黑客”“内鬼”等问题摆上了台面。个人信息泄露主要有三种模式:利用技术非法获取个人信息;“内鬼”利用行业内部信息系统搜集个人信息;骗取公民持有的个人信息。
多数个人信息的泄露是在当事人完全不知情的情况下发生的。就拿公安机关同步公布的典型案例“广东佛山某汽车服务有限公司侵犯公民个人信息案”来说,其案情是:某汽车服务有限公司为拓展汽车维修中介业务,勾结保险公司、拖车公司以及路政部门工作人员,非法获取其工作过程中掌握的交通事故车主信息。对于这种情况,显然要完善个人信息保护就只能依赖有关部门的内部管理和公安机关的查处打击。
从法律责任上看,刑法第253条之一规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。根据两高关于该罪情节严重的司法解释,非法获取、出售或者提供公民一般个人信息5000条以上的;违法所得5000元以上的等情形均属于情节严重,需要追究刑事责任。这个标准并不高,对于很多行业内鬼,可能一次交易就符合了入罪标准。
应该引起关注的是,公安机关着重点名了“运营商、快递、汽车4S店、房地产等企事业单位”,这些单位有个共同特征,就是都能够以正当理由对个人信息进行收集。因此,在此次通报之后,各主管部门应该和公安机关形成监管合力,把信息保护程序纳入到监管范围,将其作为企业合规经营的重要评价标准。
要看到,在整个信息泄露的链条中,最大的麻烦在于下游犯罪。根据公安部的通报,非法获取的公民个人信息,会流转到信息买卖中间商手中,通过低买高卖赚取差价。而购买公民个人信息的最终目的,一方面为网络水军、网络洗钱等犯罪活动提供银行卡、虚拟身份等物料支撑;另一方面为电信网络诈骗、敲诈勒索等提供精准个人信息。这不仅会使公民无意间卷入犯罪活动,还会让不特定公众暴露在诈骗的风险之下。
从治理的角度上,公安机关要主动发挥作用,打掉潜藏在隐秘角落的违法犯罪分子。另外,个人信息收集也要遵循适度、必须的原则。以当前在各个领域盛行的人脸识别来说,就存在着很大的生物信息泄露风险。进小区、进校园、进单位、进公园等诸多场景均需要人脸信息,但保护手段与管理安排则严重滞后于这种技术实践。一些人以为使用生物信息就能够实现最高级别的安全,但这种操作其实隐含着最大程度的风险。更别提,很多人脸场景的适用只是因为这样能够使客户感受到一种高级的服务体验。这不符合个人信息保护法的规定,即只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
此次通报之后,希望一些重点单位对个人信息保护能够更上心,也期待个人信息保护法的相关规定可以落实到现实生活中。