在互联网技术蓬勃发展的时代，海量的个人信息理应成为我们更好生产生活的“推进器”，而不应成为违法分子快速生财的“新门路”。保护个人信息不受侵犯，需要政府加强监管，严惩违法违规分子;也需要企业补齐短板，规范个人信息收集、储存、使用等过程;更需要不断提高全民的法律素养，强化用“法律武器”维权的能力。相信随着法治建设的不断进步，个人信息防护的堤坝一定会越筑越牢，大数据等新科技也将更好地造福社会。

　　——题记

　　日前，江苏省江阴市市场监管局在执法过程中发现，江阴一培训机构非法收集14万余条中小学生个人信息，涉及“学校、学生姓名、性别、年级、班级、学生家庭地址、家长姓名及电话……”

　　伴随互联网技术手段的进步，个人信息的泄露、交易和滥用，已经给人民群众生产生活带来极大困扰。《2019年中国网民信息安全状况研究报告》显示，77.7%的被调查网民都遭遇过信息安全事件，并且不同程度地遭受了一定损失，总额大约为194亿元，平均每人受损失约553元。

　　通过立法加强个人信息保护已成为保护公民隐私和生命财产安全、规范网络健康有序发展的必然要求。5月28日，十三届全国人大三次会议表决通过了《中华人民共和国民法典》，专设第六章对隐私权和个人信息保护进行规定，被视为是一大进步。6月20日，调整后的全国人大常委会2020年度立法工作计划明确，个人信息保护法纳入工作计划，成为社会关切。

　　多位专家表示，“虽然我国已经有多部法律、法规、规章涉及个人信息保护。比如刑法、民法总则、消费者权益保护法、网络安全法、电子商务法等，都作出了相关的规定。但是从总体上看，呈现分散立法状态，所以需要根据形势的发展，制定有针对性的专门法律来加以规范，形成合力。”

　　信息成为“生意”

　　疯狂逐利是重要推手

　　据不完全统计，目前中国网络黑产从业者已经超过40万人，依托其进行网络诈骗产业的从业人数至少有160万人，“年产值”在1000亿元以上

　　天津市一社区大力开展防电信诈骗宣传系列活动，工作人员向居民介绍48种常见电信网络诈骗手法，倡导大家做反诈骗行动派

　　“您好，XX同学家长，我们有适合您的孩子这个年龄段的英语学习课程……”“您好，我们现在有一个优惠的奥数网课，您考虑吗?”在江阴一培训机构非法收集14万余条中小学生个人信息被曝光后，市民李女士猜测，自己及孩子的信息应该就是上述某家教育培训机构“掌控范围之内”，因为李女士此前就收到多个小学课外培训的推销电话和短信。

　　据江阴市市场监管局执法人员介绍，这家教育培训机构主要面向小学初中学生提供非学历文化教育培训，当事人通过不明渠道获得涉及全市97所各类学校学生即家长的详细信息，数据全面规整，覆盖整班整级。

　　从信息的覆盖范围来看，14万余条信息显然超出了一家教育培训机构业务覆盖范围之外。为何要如此精准地收集这么多个人信息呢?“个人信息收集是为了更好地推销商业性教育培训服务业务。他们收集完这些信息后，就开始‘广散网’。在未取得学生家长同意的情况下，以拨打电话的方式推销商业性教育培训服务业务，在部分学生家长明确答复不需要表示拒绝后，后续仍多次拨打电话推销商业性教育培训服务业务，拨打后，以代号的方式在电脑打印资料上记录了拨打学生家长电话推销教育培训业务的结果以及拨打的次数。”江阴市市场监管局执法人员说。

　　根据《消费者权益保护法》第二十九条、《江苏省消保条例》第十六条和十八条规定，《江苏省消保条例》第六十二条的规定，江阴市市场监管局对某教育培训机构当事人处以罚款30万元。此外，因涉案公民个人信息数量巨大，江阴市市场监管局依法将此案件线索移交当地公安局。

　　记者注意到，因涉及个人信息泄露，网友对此事件的关注度颇高。一些网友认为，“教育机构收集学生信息，既为自己招生服务，又可将这些信息卖给其他机构，这或许是这个行业‘潜规则’!”

　　作为一家教育机构，合理地登记自己业务范围内学生及家长的信息，原本是为了畅通学校与家长的沟通，更好地促进学生学习。但是这样的“初衷”已经因为商业机构的资本逐利属性而变了“味”——成为他们的“生意”。

　　业内人士认为，随着互联网的飞速发展，消费者个人信息逐渐成为一种重要资源，由此产生行业中的恶性竞争，“得信息者得客户”成为不少商家不良竞争手段。所有收集个人信息的部门和机构，从情理和法理上都负有保护公民个人信息的职责。包括中小学生在内的公民，在向有关部门和机构提供个人信息的时候，都不会同意自己的个人信息可以作为商业资源提供给其他部门和机构，如果公民的个人信息从这里被泄露出去，收集个人信息的部门和机构难辞其咎。

　　从信息收集到信息售卖再到信息利用，每一个交易环节环环相扣，而由此产生的“灰色产业链”让人难以估量。在近日广东省珠海市公安局高新分局网安大队破获的案件中，有一个数字足以体现。

　　“经审讯，犯罪嫌疑人郑某通过倒卖、交换公民个人信息，违法置换、出售公民个人房产、车辆等个人信息，已违法获利近27万元。陈某借助中山、江门某房产公司的任职便利，违法获取公民个人信息，并向郑某、姚某出售，仅进行查车查房违法行为获利近1万元。姚某通过违法查询车牌信息出售车主公民个人信息近3000次，获利3000余元。”这是珠海市公安局高新分局网安大队的侦查记录。

　　“倒卖、交换公民个人信息，一犯人获利近27万元”，不禁让人毛骨悚然。这种害怕的背后，一方面是对个人信息的“失控”，不知道信息已经被转手了多少次;另一方面是对个人信息产业链的“未知”，在巨大的利润面前，又有多少人会因此铤而走险。据不完全统计，目前中国网络黑产从业者已经超过40万人，依托其进行网络诈骗产业的从业人数至少有160万人，“年产值”在1000亿元以上。

　　暨南大学法学院教授、广东省法学会网络与电子商务法学研究会会长刘颖表示，大多不法分子都是利用受害人趋利避害和轻信麻痹的心理，诱使受害人上当。对于个人来说，最需要的是提高自己保护个人信息安全的防范意识，在日常生活中处理涉及个人信息的问题时多留个心。比如，要谨防网络安全陷阱，如钓鱼网站、木马病毒、网络社交圈套等，不要随意参加注册信息即可获得赠品等网络活动，全面保护个人信息安全等，远离网络诈骗。

　　“内鬼”+“黑客”

　　个人信息保护“内忧外患”

　　非法获取公民个人信息主要有两个来源，分别是各行各业内幕人员泄露信息和黑客入侵网站非法获取。从非法收集、提供窃取、交易、交换等各个环节，侵犯公民个人信息的犯罪已经形成了完整的利益链

　　2019年9月14日，网络安全博览会在天津梅江会展中心举办，100余家网络安全和互联网企业参展，共设置网络安全核心技术展区、智能生活网络安全展区、互动体验专区等6大展区。图为参展人员在进行科普讲座

　　珠海市公安局高新分局网安大队之所以能成功侦破特大侵犯公民个人信息的案件，源于一名绰号为‘蚂蚁’的男子浮出水面。5月8日，高新网安联合巡警所在广东省中山市某金融中心抓获犯罪嫌疑人郑某(男，32岁，贵州人)，当场查获2台作案手机，其云盘存储公民个人信息数据近120G。

　　高新分局网安大队抓获郑某后，继续对电子数据和人员关系进行梳理和调查，利用智慧新警务的大数据分析能力，终于顺藤摸瓜找到了个人信息非法倒卖的源头——陈某借助中山、江门某房产公司的任职便利，违法获取公民个人信息，并向郑某等多人出售，仅进行查车查房违法行为获利近1万元。

　　无独有偶。近日，在浙江省诸暨市公安局破获的一起非法出售个人信息的案件中，被告人也是行业“内鬼”。

　　5月下旬的一天，经营着一家财务公司的老陈行色匆匆地走进了浙江省诸暨市公安局，向网安大队举报一个让他寝食难安的骚扰电话。

　　老陈说，他的财务公司开业不久，主要对外承接其他公司的财务管理业务，打开业起，一个“133100”开头的手机号码就没完没了给他打电话，向他售卖企业法人信息，严重影响了他的正常生活。

　　网安大队民警汤鑫华经过与老陈的深入交谈，发现这个“133100”电话的背后，可能隐藏着一群贩卖公民个人信息的不法分子。

　　根据老陈提供的线索，民警最终找到了本案幕后的真正“黑手”。令人唏嘘的是，犯罪嫌疑人泮某竟是税务机关工作人员。据汤鑫华介绍，由于股票投资失利，为了填补七八十万元的亏空，擅长电脑的泮某动起了歪脑筋，他设计了爬虫软件，自动爬取单位系统内的企业法人信息后传输至自己设计的网页上售卖。由于信息多、更新快，他的“生意”很不错，并迅速发展了好几条售卖个人信息的渠道，这些买者有90后的“倒卖者”，也有无业游民。

　　除了房地产公司职员、税务机关工作人员，记者在中国裁判文书网搜索发现近年来审判的违规出售个人信息的案件中，被告人不乏银行、通信、物流等领域人员，这些人在金钱的诱惑下，利用职务、工作便利违法向他人出售或提供公民个人信息。

　　究竟什么人可以成为偷信息的“内鬼”?“在金融领域，肯拿着大批客户资料自用、送人或出售的，基本都是中层人员。高层不屑于做这些，底层又把资料当宝贝捂在手里，不舍得掏给别人。”一名金融从业人员表示，在银行，基本只有风险政策领域的一小部分人可以大规模接触公民个人信息。

　　数据显示，2016年以来，公安部部署全国公安机关，开展打击整治网络侵犯公民个人信息犯罪专项行动、打击整治黑客攻击破坏犯罪和网络侵犯公民个人信息犯罪专项行动、“净网2018”“净网2019”“净网2020”专项行动。侦破侵犯公民个人信息案件1.7万余起，抓获各行业内部人员3000余名。

　　公安部网络技术研发中心主任许剑卓曾公开表示，从打击情况看，目前危害最大的，主要是银行、教育、工商、电信、快递、证券、电商等行业的内部人员把数据泄露出来，成为侵犯公民个人信息的主体。

　　淮安市公安局清江浦分局情报技术中心副主任沙俊长期从事个人信息犯罪案件的侦查工作，他表示：“这些行业数据很鲜活，信息往往包含公民的姓名、手机号、家庭地址，甚至买卖快递的时间，这种信息对于后期诈骗也好，或者推销商务产品也好，都可以更准确地对人群进行定位、分类。”

　　据了解，非法获取公民个人信息主要有两个来源：一类各行各业的内幕人员泄露信息，另一类就是黑客入侵网站非法获取。

　　2018年11月，湖北武汉公安机关接到报案，某汽车金融服务平台服务器被黑客入侵，包括身份证、手机号、家庭住址、贷款情况在内的30余万条客户信息被盗取，被人以1比特币(时值3.5万元人民币)的价格在“暗网”上出售。武汉市公安局网安部门经过深入侦查，于2019年1月22日在四川成都抓获犯罪嫌疑人吴某。

　　经审查，吴某交代其曾在成都市某软件技术专修学院学习，毕业后从事互联网技术工作。2018年，吴某利用暴力破解手段非法获取涉案网站后台管理权限，盗取大量公民个人信息在“暗网”叫卖。

　　这起案例是今年4月公安部公布的十起侵犯公民个人信息违法犯罪典型案件之一。从案例可以看出，吴某就是案例中所指的“黑客”。近年来，由于防护不到位，众多平台被黑客等攻破，大面积信息泄露事件频频发生。而这种泄露，给个人的生命和财产安全，带来极大隐患。2016年，刚参加完高考的山东考生徐玉玉，正是因为山东教育部门系统被黑客攻破，导致个人信息泄露，遭遇精准的电信诈骗，不幸去世。这一案件在社会公众和政府部门中引起广泛关注。

　　阿里巴巴资深安全技术专家玄泰认为，这些黑客往往通过木马程序和攻占网站两种手段盗取数据，协作能力强、创新能力强，平台化趋势越来越明显。“有专门做钓鱼软件的供应商，有担保数据买卖的交易平台，有洗钱的平台等等。”

　　记者注意到，近年来因个人信息泄露而衍生出了一系列“套路贷”“电信诈骗”等案件呈现频发趋势。截至发稿日，记者以“侵犯公民个人信息罪”“诈骗罪”为关键词，在中国裁判文书网搜索出相关裁判文书204份。多份判决文书显示，被窃取的公民个人信息经过加工、转卖，被大量用于虚假销售、电信诈骗等违法犯罪活动。其中，与银行相关个人信息违法犯罪案件高达82%。

　　经过整理和分析近年来侵犯公民个人信息的犯罪案件，许剑卓总结该类案件主要有以下三个犯罪特点，第一，从危害角度讲，侵犯公民个人信息的犯罪已经成为其他各类犯罪的上游犯罪;第二，行业内部人员已经成为实施侵犯公民个人信息犯罪的重要主体;第三，侵犯公民个人信息的犯罪已经形成了完整的利益链，从非法收集、提供窃取、交易、交换等各个环节，由于这些人员之间分工合作，利益共享，所以使这类犯罪进一步扩散蔓延。

　　平台暴露管理漏洞

　　全流程信息保护机制亟待建立

　　公司在监管方面的疏漏是造成数据泄露以及后果扩散的最主要原因，诸多中小公司为了削减预算等，可能会对数据保护问题投放非常少的精力

　　无论是“内鬼”，还是“黑客”，都在一定程度上反映出行业监管的缺失。

　　近日，市民申女士在携程网络平台替同事购买机票，当天，申女士手机就收到署名某航空的手机短信，告知申女士航班取消，要求申女士联系客服办理改签或者退票，但需要先转账再办理退款手续。

　　“因为诈骗分子能准确说出我的身份证号码、航班等具体信息，我就以为是航空公司人员，结果在骗子的诱导下，一步步操作，先后被转走了12万余元。当一直未收到退款时，我才知道自己被诈骗了，于是报案。”申女士说。

　　因刑事追赃无望，申女士便将携程网络平台起诉到人民法院，要求携程网络平台承担全部赔偿责任，理由是携程网络平台未尽到相应的用户信息安全保障义务。

　　值得欣慰的是，法院最终判决基于过错程度及公平正义，由携程网络平台承担部分责任。理由是虽然申女士无法证明其个人信息是被携程网络平台泄漏，但从民事诉讼法高度盖然性的证明标准来分析看，因携程网络平台未尽到安全保障义务而泄漏申女士个人信息的可能性较大，故可以认定携程网络平台存在过错并承担相应的责任。

　　“公司在监管方面的疏漏一般是造成数据泄露以及后果扩散的最主要的原因，诸多中小公司为了削减预算等，可能会对数据保护问题投放非常少的精力。”北京师范大学副教授、联合国网络安全与网络犯罪问题高级顾问吴沈括教授说，在个人信息监管方面，公司作为数据收集者、数据存储者，应当设立数据保存的安全规范以及安全措施，“更为重要的是在数据泄露事故发生后的紧急应对措施也应当予以完善”。

　　在平台企业、实体公司、机关单位等现有的管理体制中，除了要不断完善对个人信息收集后的保护机制，还需要明确个人信息收集的边界。因为，相对于信息收集后泄露的风险，网站、app等平台过度索权对个人信息保护存在的潜在威胁，更为让人“烦恼”。

　　中国消费者协会2018年发布的《APP个人信息泄露情况调查报告》显示，有85.2%的被访者个人信息曾经被泄露。据调查，手机APP在自身功能不必要的情况下获取用户隐私权限的情况比较严重，67.2%的受访者称曾遇到这种情况。

　　北京市民孟女士向记者反映，“一些手机APP存在明显过度索权行为，如聊天APP必须要开放位置信息，或者读取用户通讯录等。在给用户提供便利的同时，APP也在大肆索取一些‘并不必要’的用户信息。”

　　据国家互联网应急中心监测分析发现，在目前下载量较大的千余款移动APP中，每款应用平均申请25项权限，平均收集20项个人信息和设备信息。通常与主业无关的通话权限，就有30%以上的APP申请。

　　东南大学网络空间安全学院副教授宋宇波表示，APP收集个人信息，主要原因是商业利益。他们的商业模式，就是通过采集用户信息销售给第三方公司。大多数APP都会要求获取访问用户应用程序列表的权限，他们就可以在用户不知情的情况下，分析用户对应用程序的使用习惯，来推测用户的爱好。

　　“个人信息被泄露后实在令人烦恼，比如纷扰不息但很精准的推销电话，有时候一天都能接到近10个，这些‘无名’的电话接起来烦躁，不接又担心错过重要工作电话，着实让人无奈。”孟女士“吐槽”说。

　　值得注意的是，为保障个人信息安全，2019年1月~12月，中央网信办等四部门在全国范围组织开展APP违法违规收集使用个人信息专项治理。全年共检测App多达460万个，下架处置了违法违规App3.1万个，集中核查了相关App线索3000余条，抓获814人。

　　中国并购公会信用管理专业委员会常务副主任刘新海告诉记者：“从政府角度来说，做好个人信息保护的立法和监管，需要有一个专门的部门统一协调，同时要对个人信息保护进行细化，因为不同行业、领域差异比较大，并积极开展个人信息保护的教育和宣传。从企业角度来说，需要尊重消费者的个人隐私，开展个人信息保护的合规工作，这样才能取得消费者和社会的信任，不能为了商业利益而罔顾消费者权益。值得欣慰的是，目前市场上也开始出现专门提供个人信息保护服务的创新型科技企业，这是不错的科技向善的趋势。

　　泄露源头难以界定

　　个人信息维权遭遇困境

　　现实中确实很难界定“平台存在漏洞导致信息泄露”的责任，若消费者向法院投诉平台，平台只要举证证明其尽到了安全责任保护义务，就很难对平台进行追责

　　对于侵犯个人信息的案件，有一小部分人选择维权“死磕”。

　　2019年7月，工业和信息化部发布了2019年第一季度电信服务质量通告，对100家互联网企业106项互联网服务进行抽查，发现18家互联网企业存在未公示用户个人信息收集使用规则、未告知查询更正信息的渠道、未提供账号注销服务等问题。其中，贝贝网所属公司杭州贝购科技有限公司因未经用户同意收集个人信息被通报。这是贝贝网因泄漏用户信息，第二次被公众广泛关注。

　　“我是做跨境电商的，如果这个诈骗电话打给我就不会被骗了!”2019年3月，在面对警察的讯问时，深圳的范先生气愤地说道。

　　范先生是母婴领域电商平台贝贝网信息泄露的维权者之一。据他介绍，2018年12月10日中午，范先生的妻子接到自称是贝贝网商家的电话，称她购买的婴儿内衣存在甲醛超标的问题，要对范太太进行退款。“起初我太太并没有相信他们就是贝贝网的卖家，但是对方准确无误地说出了我们买的东西、什么时候买的、花了多少钱，收货地址、姓名、电话全都对的上，就打消了我太太的顾虑。说得这么详细准确，谁会相信这是假的呢。”

　　范先生表示，“点击对方发来的链接之后，支付宝里的钱转眼就被盗了，我们俩的支付宝是绑定在一块的，我太太的支付宝里面没有钱，接着我的支付宝也被破解了，短信显示我的支付宝被自动扣款，一毛钱没剩下来。”

　　不仅如此，对方通过亲密支付功能成功把范先生账户剩下的925.59元全部购买Q币等虚拟货币。发现上当后，范先生联系了贝贝网官网客服，对方建议范文到当地公安部门报案，贝贝网将全力协助。

　　范先生也多次联系贝贝网相关负责人，但未得到对方的正面回应。“两边都在踢皮球，找不到真正泄露信息的源头，这样根本就解决不了问题”。范先生说。

　　因贝贝网购物信息泄露导致用户受到诈骗的人不只范先生一个。有用户通过社交平台透露，其在接到贝贝网所谓的“客服”电话后，受骗金额达到14.4万元，向贝贝网索赔无果。

　　据范先生了解，在贝贝网购物后被骗的人有数十人，涉及总金额或已达上百万元。这些受骗者在百度贴吧、微博、博客以及天涯论坛等平台控诉贝贝网，试图从多个渠道维护自己的合法权益。

　　范先生以及其他维权者的窘境在于信息泄露的源头难以查明和取证。《中国电子商务报告2019》显示，网购消费者个人信息泄露成为网络安全领域的重要隐患。由于平台掌握了买家和买家与交易有关的详细信息，一旦平台可以搜索或者无意间泄露信息，信息主体都会受到伤害。

　　对此，北京盈科(杭州)律师事务所方超强律师认为，现实中确实很难界定“平台存在漏洞导致信息泄露”的问题，若消费者向法院投诉平台，平台只要举证证明其尽到了安全责任保护义务，就很难对平台进行追责。

　　方超强解释称，电商平台在获取用户个人信息的同时，就有保护个人信息的义务。但信息泄露存在不同的情况，如果电商平台提供了符合其规模的保护措施却还是被黑客入侵了系统，这种情况属于不可抗力，电商平台不用承担责任;但如果最终发现因平台存在漏洞而导致用户信息泄露，那么平台就要负责。

　　在山东潍坊，刘女士同样因为信息泄露源头不明而导致维权艰难。

　　自2019年10月刘女士在潍坊高新区上城浞府购买了一套商品房后，就频繁接到装修公司电话，装修公司不仅能准确说出她所购买的小区，甚至连面积、户型都准确无误。“刚买了房子，还没交房，装修电话就接连不断，肯定有人泄露了我的个人信息!”刘女士坚定地说。

　　为了进一步查明信息泄露的源头，刘女士询问了多家装修公司的工作人员，但工作人员都表示，客户信息主要是来自于自第三方合作平台的推送，除此之外还通过家博会、抄录小区附近车辆的挪车电话等方式获取信息，并无违法行为。

　　就刘女士的遭遇，潍坊市市场监管局表示，近年来消费者个人信息泄露愈演愈烈，已严重影响到消费者的正常生活，根据2020年1月1日起实施的《市场监管部门投诉举报暂行办法》规定，投诉举报由县级主管部门进行属地管理，消费者可向县级主管部门进行投诉举报，维护自身的合法权益。

　　从事房产行业多年的高先生表示，在行业内购房信息泄露，已成为明目张胆的“明”规则，准业主信息已然成为了装修公司、家具经销商眼中必争的精准“信息源”，然而，往往因为信息泄露源头不明，导致个人维权时艰难，“有些买家利用完后会再转手卖出，流向同行业或者金融行业，这是一条完整的灰色信息产业链条。”

　　山东豪德律师事务所王增金律师表示，《消费者权益保护法》从法律层面确定了消费者个人信息受保护，个人信息属于个人隐私，商家未经客户同意私自泄露或出卖，不仅违反了《消费者权益保护法》、《侵权责任法》，同时违反了《民法总则》的相关规定，向他人出售或者提供公民个人信息者需要承担相应的民事责任。

　　现实中，诸如刘女士的境遇可能已经成为大部分人正常生活中的一部分。这一部分人可能因为个人信息保护意识的不强，又或者因为繁琐的维权程序而选择“沉默”。根据《2019年中国网民信息安全状况研究报告》显示，网民严重缺乏对信息安全事件的维权意识。调查报告显示，77.7%的被调查网民都遭遇过信息安全事件，尽管他们遭受了损失，但是47.50%的被调查网民未曾对其做过相应的维权处理。