“您所乘坐的航班出現故障不能起飛,收到資訊及時聯繫專線4008162378辦理變更或退票……”福州市民梁先生在同程網上預訂了兩張南寧飛往福州的機票,可就在登機前兩天,他卻收到了機票“退改簽”的短信,上面清清楚楚顯示著他的真實姓名、證件號碼、航班資訊。
“到底是誰洩露了我的航班資訊?”差點信以為真的梁先生在確認發來短信的號碼並非航空公司的客服熱線後,才明白這是一條詐騙短信,沒有上當。但對於自己的資訊如何讓對方知曉,他卻一直想不通。
隨著網際網路技術的突飛猛進,網上購物、移動支付、大數據等給人們生活帶來極大便利的同時,也給個人資訊安全帶來了前所未有的風險,侵犯公民個人資訊犯罪持續增多。面對個人資訊洩露引發的資訊買賣、無端騷擾和電信詐騙,公民尚需小心防範,公安機關對個案的打擊,也對此類犯罪起到一定的遏製作用。但如果因資訊安全監管本身存在漏洞,那將會直接導致公民安全受威脅、財産受損害,使我國公民個人資訊安全體系面臨更嚴峻的考驗。
航班被陌生人取消
乘客資訊安全存漏洞
“民航旅客訂座系統”(Eterm系統),是中國民航資訊網路股份有限公司(以下簡稱“中航信”)開發的訂票系統。由於該系統操作界面是黑色背景、綠色和黃色字體,因此又被業內人士稱為“黑屏系統”。
作為目前國內各大航空公司的訂票系統,“黑屏系統”面向航空公司、機場、機票銷售代理等機構,主要提供航空客運業務、航空旅遊電子分銷等服務。
今年2月,林女士通過一家航空公司官方APP軟體預訂了一張從北京飛往英國倫敦的機票。4月19日,她突然接到APP發來的資訊,稱她訂的機票已經成功退票。林女士堅稱自己從來沒有申請過退票,但經該航空公司客服確認後,這一行為正是林女士自己通過APP軟體操作所致。林女士再次打開APP確認,發現“常用乘機人”中竟然有幾個陌生人的資料。這些人的姓名、聯繫方式、身份證號碼、開戶銀行和卡號全都一目了然,另外還有十幾條不屬於林女士的航行記錄也都赫然在列。而林女士的機票,就是其中一個關聯人取消的。
這個關聯人發現自己收到了從北京飛往英國的航班提示,但自己並沒有購票過,便選擇了取消。本應安全隱密的訂票資訊竟毫無保留地呈現在陌生人面前,而對方只需要動動手指,就可以任意對這些資訊進行修改、取消等操作。
據某機票代理商負責人介紹,有許可權查看並有可能洩露乘客航班資訊的源頭,主要有機票代理商、航空公司工作人員、中航信工作人員以及駭客這4大類人群。他們通過不同渠道和許可權,在Eterm系統上只需輸入乘客身份證號,就能查到包括乘客相應航班的座位、艙位、電話號碼等詳細資料,完全不需要乘客本人的驗證。
因此,儘管資訊洩露渠道繁多,但源頭都指向了Eterm系統。雖然登錄該系統需要特定的賬號密碼,但資訊“倒爺”們會通過淘寶、QQ等網路平臺向機票代理商、航空公司工作人員購買賬號密碼,或者直接通過“駭客”手段,通過軟體將一個賬號分出數個小號,便可順利訪問中航信的數據庫。
事後,雖然航空公司APP工作人員回應稱,機票被別人取消是軟體系統漏洞才鬧出了“大烏龍”,然而公民個人資訊的洩露卻並不只是一個偶然事件。
資訊洩露防不勝防
安全監管需兼顧平衡
2013年底,一家為全國4500多家酒店提供網路服務的公司因系統存在安全漏洞,致使全國高達2000萬條賓館住宿記錄洩露。2015年初至2016年6月,丁某在不法網站上非法下載獲取這些賓館住宿記錄等公民個人資訊,並上傳至自己開辦的“嗅密碼”網站。
該網站除了能夠查詢住宿記錄外,還提供用戶QQ、部分論壇賬號及密碼找回功能。其中住宿記錄共有將近二千萬條,用戶經註冊成為會員後,可以在網頁“開房查詢”欄目項下,以輸入關鍵字姓名或身份證號的方式查詢網站數據庫中賓館住宿記錄(顯示姓名、身份證號、手機號碼、地址、住宿時間等資訊)。自2015年5月份左右,丁某開始對該網站採取註冊會員方式收取費用。一年時間裏,“嗅密碼”網站共有查詢記錄49698條,收取會員費191440.92元。此案經審理後,丁某以侵犯公民個人資訊罪被判處有期徒刑三年,並處罰金人民幣二萬元。
公安部網路技術研發中心主任許劍卓分析説,侵犯公民個人資訊的犯罪已經成為其他各類犯罪的上游犯罪,不管是敲詐勒索、電信詐騙等等各類犯罪,多數以非法獲取個人資訊為前提。
最高人民法院研究室主任顏茂昆認為,大數據時代,包括個人資訊在內的數據只有通過流動、共用甚至交易才能充分發揮其社會價值、經濟價值,而這些數據在流動和交易過程中,又極易産生個人資訊擴散、失控的危險。因此,處理大數據發展的現實需要與保護公民個人資訊之間的關係應有兩個關鍵詞:一是兼顧,二是平衡。
顏茂昆認為,所謂兼顧,就是在發展大數據的同時,必須依法保護公民個人的資訊安全。只有包括個人資訊在內的數據在法律的保護下安全迅速地收集和流通,才能夠真正地推動我國資訊産業的可持續發展。
所謂平衡,就是在兩者之間尋求一個結合點和平衡點,在法律層面為個人資訊交易和流動保留了一定的空間。顏茂昆舉例説,網路安全法規定,網路運營者不得洩露、篡改、毀損其收集的個人資訊,未經被收集者同意,不得向他人提供個人資訊,但是經過處理無法識別特定個人且不能復原的除外。“這個規定是要嚴格保護公民個人資訊,對網路運營者提出要求,但是同時也為數據提供留下了一些空間。”顏茂昆説。
“誰收集誰負責”
法律責任界定日漸清晰
當前,不少網路運營者因為履行職責或者提供服務的需要,掌握著海量公民個人資訊,這些資訊一旦洩露將造成惡劣社會影響和嚴重危害後果。
《法制日報》記者注意到,公民個人資訊洩露,往往存在於資訊收集源頭到資訊倒賣之間的多個環節中。在機票資訊洩露事件中,由於從Eterm系統源頭到乘客,中間經歷了中航信、航空公司、第三方航空APP、機票代理商、線上訂票網站等多個環節,每個環節都存在資訊洩露的可能性,這也導致了個人資訊洩露的受害者難以維權追責。
針對取證難、追責難的困局,網路安全法明確了網路資訊安全的責任主體,確立了“誰收集,誰負責”的基本原則。其中,第40條明確規定:“網路運營者應當對其收集的用戶資訊嚴格保密,並建立健全用戶資訊保護制度。”
5月9日,最高人民法院召開新聞發佈會,發佈了《最高人民法院、最高人民檢察院關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)。《解釋》共13條,進一步明確侵犯公民資訊罪的定罪量刑標準和有關法律適用問題,其中便對如何處理拒不履行公民個人資訊安全管理義務行為進行了明確。
顏茂昆介紹説,拒不履行資訊網路安全管理義務罪主體是網路服務提供者。《解釋》規定,網路服務提供者拒不履行法律、行政法規規定的資訊網路安全管理義務,經監管部門責令採取改正措施而拒不改正,致使用戶的公民個人資訊洩露,造成嚴重後果的,應當依照拒不履行資訊網路安全管理義務罪,追究其刑事責任。
此外,與侵犯公民個人資訊罪相關聯的另一個犯罪是非法利用資訊網路罪。顏茂昆説,實踐中,一些行為人通過建立網站、通訊群組等供他人進行公民個人資訊交換、流轉、銷售,以非法牟利。
根據刑法規定,設立用於實施違法犯罪活動的網站、通訊群組,情節嚴重的,構成非法利用資訊網路罪。最高法經研究認為,供他人實施非法獲取、出售或者提供公民個人資訊違法犯罪活動的網站、通訊群組實際上屬於“用於實施違法犯罪活動的網站、通訊群組”。
因此,《解釋》規定,設立用於實施非法獲取、出售或者提供公民個人資訊違法犯罪活動的網站、通訊群組,情節嚴重的,應當以非法利用資訊網路罪定罪處罰;同時構成侵犯公民個人資訊罪的,依照侵犯公民個人資訊罪定罪處罰。
許劍卓説,隨著《解釋》即將從6月1日起實施,公安機關將針對公民個人資訊保護從重點打擊侵犯公民個人資訊源頭,落實網路服務商的網路安全防護責任,打擊購買、收售、交易、幫助建立平臺和通訊群組整個利益鏈條三方面開展工作。
為切實加大對行業“內鬼”參與公民個人資訊洩露案件的懲治力度,《解釋》明確了在認定“情節嚴重”時,對行業“內鬼”洩露資訊的數量、數額標準都要減半計算,降低了入罪門檻。“這為我們更好地打擊這類犯罪提供了法律基礎。所以下一步我們要追查源頭,深挖行業‘內鬼’。”許劍卓説。
與此同時,“一些手機APP會收集和它的業務無關的資訊,比如公民行蹤軌跡、通話記錄,這種情況相當普遍。這些服務商沒有依法落實有關安全防護措施,導致公民個人資訊的洩露。”許劍卓稱,“下一步,我們將結合網路安全法的實施,進一步強化安全監管,要求這些服務商落實相關的監管義務。對於未按法律要求、未落實相關義務而導致公民個人資訊洩露的,我們將根據這次司法解釋和網路安全法的規定予以嚴厲打擊。”
(責任編輯:張明江)