互联网、银行、电信局、交管局、医院、保险公司、房产中介、邮政局、物流公司,甚至电视购物公司、汽车4S店等,掌握了大量个人信息。这些隐私被反复出卖,而其主人却毫无控制权。
2010年10月26日,北京远郊刑场。枪响之后,安毅伏法。
2005年,28岁的北京人安毅和北京姑娘张京完婚,到了秋天,他便背叛了自己的婚姻,与四川姑娘王小雨有了婚外情。王小雨谎称怀孕,造成安毅和张京两人于2008年1月23日协议离婚。
安毅很快便后悔了,踏上了复婚之路。但他的种种努力都随着一个人的出现而付诸东流,他就是王新宇(化名)。在和安毅正式离婚的三个月后,张京便带着王新宇见了自己的母亲。
安毅一直努力,张京都反应冷淡。他怀疑张京是否有了新的男朋友,他开始自己去查证。张京正在使用的手机卡是两人结婚前安毅买的,安毅知道服务密码。他很轻松地就在通讯公司的网站上调取了张京的手机卡最近三个月的通话清单。
在长长的通话清单里,安毅发现一个手机号码频频出现。在周末,一个固定电话号码又会频频出现。他想继续查查这些号码背后的信息,却发现自己无能为力。安毅找到私家侦探公司北京神州浩天商务调查有限公司,提出要调查前妻张京是否有了新的男朋友,以及这个新男友的详细资料,包括家庭住址、工作单位和相貌特征等等。随后双方签订了委托合同。
调查公司业务员李磊在接到任务后,将安毅查询得知的两个电话号码交给了另外一名曾经供职于中国移动通信公司的同事林涛。林涛又找到中国移动通信集团北京有限公司客户服务中心亦庄区域中心中级座席维护张宁。按照林涛的要求,与张京频繁联系的手机号的客户密码很快就被张宁更改了,凭着这个更改后的密码,林涛通过通讯公司的客服网站和10086自动语音系统调取了该机的机主信息和通话记录清单。
随后李磊收到了来自林涛的三份有价值的信息:其一,手机的机主姓名是王新宇;其二,该号码三个月内的通话清单;其三,那部座机所在的准确地址。
随后李磊便开始了对王新宇的跟踪。从李磊跟踪的情况安毅确定,王新宇就是张京的男朋友。
安毅动了杀机。他认为王新宇是他复婚道路上的最大绊脚石,而王小雨则是他和妻子离婚的最直接原因,二人是导致他婚姻破裂而且不能破镜重圆的凶手。
2008年9月11日,他通过中介公司租了一套一居室。9月20日早上9点多,安毅将王小雨骗到该处,质问王小雨上次是否真的怀孕了,王小雨回答怀孕是假的,只为逼他们离婚。安毅怒火中烧,便将王小雨勒死,并将尸体装入了编织袋内。
次日早上7点,安毅带了两把刀和一个快递封皮赶往王新宇位于丰台区的住处,谎称是快递人员前来送货,在王新宇打开房门的瞬间抢进了房间,持刀将王新宇杀害。
2009年7月16日,北京市第二中级人民法院作出一审判决,以故意杀人罪判处安毅死刑。安毅不服,提出上诉,后二审维持原判,安毅被执行死刑。
安毅的案子,只是一个极端个案。事实上,个人信息的暴露与出卖已经成为一个严重的社会问题。“从知道的那里买,再卖到想知道的那里去。”这背后隐藏着信息源、中间商和客户三大群体,构成了一条完整的行业链条,并分化出“精细型与粗放型”两种经营模式。
2010年,北京市各级法院审理了十余件买卖公民个人信息案件,20多家商务调查公司因涉嫌倒卖公民个人信息等犯罪行为被查,50多名从业人员被警方刑事拘留。面对此类案件高发的现实,北京市海淀区检察院专门成立了承办个人信息泄露案件的四人小组。据其中一名检察官说,“公安机关在去年‘疯狂’移送这些案件,尤其是在下半年。”该院在2010年共受理非法获取公民个人信息案件31件41人,而这两项数字在2009年度均为0。
北京市朝阳区检察院检察官付晓梅承办过多起此类案件。她发现,通讯信息泄露已经成为个人信息泄露的重灾区。在众多泄露手机号码信息的通讯公司“内鬼”中,除了公司中层外,还有中级座席维护、商务客户代表和10086客服中心职员等不同级别的员工,他们供职的通讯公司包括移动、联通、网通、电信,还有和这些通讯业大公司有商业合作关系的小公司。
朝阳区法院曾做过一项调研,分析了通讯公司泄露信息的5种方式。一是查询通话记录。通讯公司部分工作人员拥有业务权限,能够凭用户名及密码进入网络系统,进行非法查询。二是短信查询。三是修改客服密码。通讯公司非法变更客服密码属强制性变更,不需要知晓原始客服密码,只需按下“变更”操作键后,再输入新的客服密码就可非法变更。不法分子获得变更后的客服密码就可以随意查询机主的通话详单。四是查询机主信息。知道机主的某部分信息后,通过通讯公司工作人员查询机主其他关联信息,具体包括姓名、性别、身份证号、住址及联系方式等。五是手机定位查找机主位置。不少涉案人员还是会利用自己手中的特权,通过分析信令,利用交换机进行定位,向他人提供机主的准确位置。
在业内,作为最终买方的客户和最初卖方的信息源直接进行交易的可能性几乎为零,所以中间商成为行业链条中最为关键的人物,他们甚至是整个行业的操控者,并据此划分出两种不同模式。
北京市海淀区检察院提供的调研报告显示,该院2010年度承办的这类案件中,涉及私家侦探公司经营者的只有4件5人,仅占12.9%。私家侦探公司涉案比例之所以比较低,在很大程度上要归结于他们的“精确型经营模式”。私家侦探公司的客户群体对信息的需求具有针对性,往往要通过多种手段来调查获取特定人物的个人信息,不仅耗费的时间长,而且需动用一些高科技手段。另一种则相反,被办案检察官称为“粗放型经营模式”,是隐私买卖中主流的经营模式。中间商除了能向私家侦探提供部分精确的特定信息外,还可以向特定客户提供海量无针对性的个人信息,这些信息数量往往以万条为单位,但是信息的内容和价值有限,其价格又十分低廉,每条信息的价格都在1角钱左右,有些甚至连1分都不到。
“这些中间商大多都和通讯公司的‘内鬼’相识,有些甚至曾经在通讯公司工作过,所以他们能以很低的价钱拿到信息。”付晓梅说。中间商如果将这些信息转卖给相识的侦探公司,价格一般会翻一倍,如果在网络上有不相识的人求购,价码往往会翻几倍。“粗放型经营模式”的信息倒卖的盈利空间也很大,例如,记者了解到,北京市房山区一个信息倒卖者从2009年3月开始经营至当年12月28日案发,曾雇佣3人做帮手,从“大户”处大批量买卖,获利接近10万元。
打击非法获取公民个人信息行为,在法律和实践层面存在诸多问题。
首先,“公民个人信息”的界定存在争议。《刑法修正案(七)》中所称的“公民个人信息”,特指“国家机关或者金融、电信、交通、教育、医疗等单位在履行职责或者提供服务过程中获得的公民个人信息”。其他同样包含公民姓名、电话号码、家庭住址等与公民个人存在关联并可以识别特定个人的信息,同样对公民的人身安全、财产安全和个人隐私构成严重威胁,却不被法律规定所涵括。同时,来源于法律规定的上述行业的信息,是否都应当划入公民个人信息的范围?这也存在争议。
其次,“情节严重”界定不明确。法律明确规定“情节严重”是非法获取公民个人信息罪的入罪条件,但何为“情节严重”,尚无依据可循。
第三,获取信息的来源和时间难以甄别、确认。大多非法获取公民个人信息案件中的信息都是几经转手或者直接购买于网络,犯罪嫌疑人也不知道信息最初的来源。对于一些综合类信息及经过修改的信息,办案人员很难从信息内容上判断信息的来源,给定罪带来困难。同时,由于《刑法修正案(七)》自2009年2月28日实行,而刑法溯及力采用从旧兼从轻的原则,因此,2009年2月28日以前实施的非法获取公民个人信息行为不应作为犯罪处理。然而,在实践中,非法获取公民个人信息的时间点难以确定的情况很常见。例如很多案件属于网络交易形式,交易双方互不相识,很难找到上家核实交易时间,因此犯罪时间的确定只能依靠行为人的供述,造成行为人对犯罪时间的供述能够左右案件处理结果的窘境。
第四,获取信息的数量和真实有效性难以调查取证。犯罪嫌疑人往往以电子设备存储公民个人信息,涉案的信息数量往往十分巨大,少则几万多则数百万条,有的甚至多达1亿多条。办案机关对如此大量的信息进行筛查,存在信息重复、信息真实有效性无法验证的难点。从司法鉴定的角度讲,目前尚没有一种鉴定方法能够有效剔除重复信息;对于信息内容的真实有效性进行一一核实也不现实。
北京市海淀区检察院公诉一处有关人士建议,对于司法实践层面上存在的信息获取时间、信息来源、信息数量以及真实性等问题,其根源在于取证的困难,司法机关应加强和相关部门的配合,以保证证据的调取与核实。一是加强与银行、医院等信息来源单位的配合,以核实在案信息的真实性。二是加强与司法鉴定机构的配合,研究能够认定信息数量的技术手段。三是加强与网络公司等交易媒介的配合,有利于查处信息出售者,进而确定信息来源和深挖犯罪,也能够督促网络制定并采取审核措施,起到预防犯罪的效果。
在法律适用层面,我国关于个人信息保护的法律法规不少,但是这些规定比较零散、缺乏系统性,保护范围也很狭窄,又缺乏统一主管机构,可操作性不强。一位因个人信息被泄露而饱受困扰的消费者这样描述我国的个人信息保护现状:“不是没办法,而是没‘法’办。”
一部具有统领意义的个人信息保护法令人期待,但是该法历经八年仍未出台。对此,《个人信息保护法》起草小组领衔人、中国社会科学院法学研究所研究员周汉华透露,“以前还有国务院信息办来督促这个事,现在国信办取消了,有关方面对于个人信息保护的立法也不太重视。”
有专家认为,最重要的不是对个人信息保护立法的激情呼吁,而是需要切实突破立法中的藩篱,包括信息种类和范围的界定难题,以及如何增强立法的可操作性和公民信息权的可救济性。
北京邮电大学网络法律研究中心主任刘德良说,立法保护涉及一个个人信息分类的问题,不同的信息应该有不同程度、不同方式的法律保护。按照法律理论和逻辑,如果要预防和减少以营利为目的的侵权行为,应该通过加大侵权行为的成本,即要求和加大其侵权责任——财产责任;这种财产责任只能适用于侵害财产权或财产利益的情形;而侵犯人格权一般是不能要求侵权者承担此法律责任的。
刘德良认为,那些私密性的信息,既具有人格利益,又具有财产利益,因此,对于那些以营利为目的而非法收集、加工、买卖和利用与人格尊严有直接关系个人信息的行为,受害人不仅可以要求加害人承担人格侵权的法律责任,还可以同时要求其承担相应的财产责任。
“从世界各国的经验来看,并不是说有了法律就能解决所有的问题,有些关于个人信息保护的争议至今还没有结果,例如个人信息保护过度和信息自由与新闻自由的矛盾、公共监控设备安装的矛盾、国家安全的矛盾等。另外,在落实个人信息保护立法的同时,还应该有相关的‘新闻法’、‘记者法’等等保证公众知情权的配套法律出台。”刘德良说。
在法律并不完备的情况下,北京市京都律师事务所律师杨大民给出了一个简单易行的方法,即如果公民个人知道自己的信息被贩卖了,并且能够很明确地找到贩卖其个人信息的对象,可从两个方面着手:一是向泄露了自己个人信息的公司相应的监管部门或者单位进行举报投诉;同时可向公安机关报案,买卖个人信息已经涉嫌犯罪,应该由司法机关处理。不过他同时也表示,这只是一种权宜之计,要真正从根本上解决问题,还是要把落点放在立法层面。