“您所乘坐的航班出现故障不能起飞,收到信息及时联系专线4008162378办理变更或退票……”福州市民梁先生在同程网上预订了两张南宁飞往福州的机票,可就在登机前两天,他却收到了机票“退改签”的短信,上面清清楚楚显示着他的真实姓名、证件号码、航班信息。
“到底是谁泄露了我的航班信息?”差点信以为真的梁先生在确认发来短信的号码并非航空公司的客服热线后,才明白这是一条诈骗短信,没有上当。但对于自己的信息如何让对方知晓,他却一直想不通。
随着互联网技术的突飞猛进,网上购物、移动支付、大数据等给人们生活带来极大便利的同时,也给个人信息安全带来了前所未有的风险,侵犯公民个人信息犯罪持续增多。面对个人信息泄露引发的信息买卖、无端骚扰和电信诈骗,公民尚需小心防范,公安机关对个案的打击,也对此类犯罪起到一定的遏制作用。但如果因信息安全监管本身存在漏洞,那将会直接导致公民安全受威胁、财产受损害,使我国公民个人信息安全体系面临更严峻的考验。
航班被陌生人取消
乘客信息安全存漏洞
“民航旅客订座系统”(Eterm系统),是中国民航信息网络股份有限公司(以下简称“中航信”)开发的订票系统。由于该系统操作界面是黑色背景、绿色和黄色字体,因此又被业内人士称为“黑屏系统”。
作为目前国内各大航空公司的订票系统,“黑屏系统”面向航空公司、机场、机票销售代理等机构,主要提供航空客运业务、航空旅游电子分销等服务。
今年2月,林女士通过一家航空公司官方APP软件预订了一张从北京飞往英国伦敦的机票。4月19日,她突然接到APP发来的信息,称她订的机票已经成功退票。林女士坚称自己从来没有申请过退票,但经该航空公司客服确认后,这一行为正是林女士自己通过APP软件操作所致。林女士再次打开APP确认,发现“常用乘机人”中竟然有几个陌生人的资料。这些人的姓名、联系方式、身份证号码、开户银行和卡号全都一目了然,另外还有十几条不属于林女士的航行记录也都赫然在列。而林女士的机票,就是其中一个关联人取消的。
这个关联人发现自己收到了从北京飞往英国的航班提示,但自己并没有购票过,便选择了取消。本应安全隐密的订票信息竟毫无保留地呈现在陌生人面前,而对方只需要动动手指,就可以任意对这些信息进行修改、取消等操作。
据某机票代理商负责人介绍,有权限查看并有可能泄露乘客航班信息的源头,主要有机票代理商、航空公司工作人员、中航信工作人员以及黑客这4大类人群。他们通过不同渠道和权限,在Eterm系统上只需输入乘客身份证号,就能查到包括乘客相应航班的座位、舱位、电话号码等详细资料,完全不需要乘客本人的验证。
因此,尽管信息泄露渠道繁多,但源头都指向了Eterm系统。虽然登录该系统需要特定的账号密码,但信息“倒爷”们会通过淘宝、QQ等网络平台向机票代理商、航空公司工作人员购买账号密码,或者直接通过“黑客”手段,通过软件将一个账号分出数个小号,便可顺利访问中航信的数据库。
事后,虽然航空公司APP工作人员回应称,机票被别人取消是软件系统漏洞才闹出了“大乌龙”,然而公民个人信息的泄露却并不只是一个偶然事件。
信息泄露防不胜防
安全监管需兼顾平衡
2013年底,一家为全国4500多家酒店提供网络服务的公司因系统存在安全漏洞,致使全国高达2000万条宾馆住宿记录泄露。2015年初至2016年6月,丁某在不法网站上非法下载获取这些宾馆住宿记录等公民个人信息,并上传至自己开办的“嗅密码”网站。
该网站除了能够查询住宿记录外,还提供用户QQ、部分论坛账号及密码找回功能。其中住宿记录共有将近二千万条,用户经注册成为会员后,可以在网页“开房查询”栏目项下,以输入关键字姓名或身份证号的方式查询网站数据库中宾馆住宿记录(显示姓名、身份证号、手机号码、地址、住宿时间等信息)。自2015年5月份左右,丁某开始对该网站采取注册会员方式收取费用。一年时间里,“嗅密码”网站共有查询记录49698条,收取会员费191440.92元。此案经审理后,丁某以侵犯公民个人信息罪被判处有期徒刑三年,并处罚金人民币二万元。
公安部网络技术研发中心主任许剑卓分析说,侵犯公民个人信息的犯罪已经成为其他各类犯罪的上游犯罪,不管是敲诈勒索、电信诈骗等等各类犯罪,多数以非法获取个人信息为前提。
最高人民法院研究室主任颜茂昆认为,大数据时代,包括个人信息在内的数据只有通过流动、共享甚至交易才能充分发挥其社会价值、经济价值,而这些数据在流动和交易过程中,又极易产生个人信息扩散、失控的危险。因此,处理大数据发展的现实需要与保护公民个人信息之间的关系应有两个关键词:一是兼顾,二是平衡。
颜茂昆认为,所谓兼顾,就是在发展大数据的同时,必须依法保护公民个人的信息安全。只有包括个人信息在内的数据在法律的保护下安全迅速地收集和流通,才能够真正地推动我国信息产业的可持续发展。
所谓平衡,就是在两者之间寻求一个结合点和平衡点,在法律层面为个人信息交易和流动保留了一定的空间。颜茂昆举例说,网络安全法规定,网络运营者不得泄露、篡改、毁损其收集的个人信息,未经被收集者同意,不得向他人提供个人信息,但是经过处理无法识别特定个人且不能复原的除外。“这个规定是要严格保护公民个人信息,对网络运营者提出要求,但是同时也为数据提供留下了一些空间。”颜茂昆说。
“谁收集谁负责”
法律责任界定日渐清晰
当前,不少网络运营者因为履行职责或者提供服务的需要,掌握着海量公民个人信息,这些信息一旦泄露将造成恶劣社会影响和严重危害后果。
《法制日报》记者注意到,公民个人信息泄露,往往存在于信息收集源头到信息倒卖之间的多个环节中。在机票信息泄露事件中,由于从Eterm系统源头到乘客,中间经历了中航信、航空公司、第三方航空APP、机票代理商、在线订票网站等多个环节,每个环节都存在信息泄露的可能性,这也导致了个人信息泄露的受害者难以维权追责。
针对取证难、追责难的困局,网络安全法明确了网络信息安全的责任主体,确立了“谁收集,谁负责”的基本原则。其中,第40条明确规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”
5月9日,最高人民法院召开新闻发布会,发布了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)。《解释》共13条,进一步明确侵犯公民信息罪的定罪量刑标准和有关法律适用问题,其中便对如何处理拒不履行公民个人信息安全管理义务行为进行了明确。
颜茂昆介绍说,拒不履行信息网络安全管理义务罪主体是网络服务提供者。《解释》规定,网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照拒不履行信息网络安全管理义务罪,追究其刑事责任。
此外,与侵犯公民个人信息罪相关联的另一个犯罪是非法利用信息网络罪。颜茂昆说,实践中,一些行为人通过建立网站、通讯群组等供他人进行公民个人信息交换、流转、销售,以非法牟利。
根据刑法规定,设立用于实施违法犯罪活动的网站、通讯群组,情节严重的,构成非法利用信息网络罪。最高法经研究认为,供他人实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组实际上属于“用于实施违法犯罪活动的网站、通讯群组”。
因此,《解释》规定,设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。
许剑卓说,随着《解释》即将从6月1日起实施,公安机关将针对公民个人信息保护从重点打击侵犯公民个人信息源头,落实网络服务商的网络安全防护责任,打击购买、收售、交易、帮助建立平台和通讯群组整个利益链条三方面开展工作。
为切实加大对行业“内鬼”参与公民个人信息泄露案件的惩治力度,《解释》明确了在认定“情节严重”时,对行业“内鬼”泄露信息的数量、数额标准都要减半计算,降低了入罪门槛。“这为我们更好地打击这类犯罪提供了法律基础。所以下一步我们要追查源头,深挖行业‘内鬼’。”许剑卓说。
与此同时,“一些手机APP会收集和它的业务无关的信息,比如公民行踪轨迹、通话记录,这种情况相当普遍。这些服务商没有依法落实有关安全防护措施,导致公民个人信息的泄露。”许剑卓称,“下一步,我们将结合网络安全法的实施,进一步强化安全监管,要求这些服务商落实相关的监管义务。对于未按法律要求、未落实相关义务而导致公民个人信息泄露的,我们将根据这次司法解释和网络安全法的规定予以严厉打击。”