個人資訊洩露法律責任界定日漸清晰：誰收集誰負責

“您所乘坐的航班出現故障不能起飛，收到資訊及時聯系專線4008162378辦理變更或退票……”福州市民梁先生在同程網上預訂了兩張南甯飛往福州的機票，可就在登機前兩天，他卻收到了機票“退改簽”的短信，上面清清楚楚顯示着他的真實姓名、證件号碼、航班資訊。

“到底是誰洩露了我的航班資訊？”差點信以為真的梁先生在确認發來短信的号碼并非航空公司的客服熱線後，才明白這是一條詐騙短信，沒有上當。但對于自己的資訊如何讓對方知曉，他卻一直想不通。

随着網際網路技術的突飛猛進，網上購物、移動支付、大資料等給人們生活帶來極大便利的同時，也給個人資訊安全帶來了前所未有的風險，侵犯公民個人資訊犯罪持續增多。面對個人資訊洩露引發的資訊買賣、無端騷擾和電信詐騙，公民尚需小心防範，公安機關對個案的打擊，也對此類犯罪起到一定的遏制作用。但如果因資訊安全監管本身存在漏洞，那将會直接導緻公民安全受威脅、财産受損害，使我國公民個人資訊安全體系面臨更嚴峻的考驗。

航班被陌生人取消

乘客資訊安全存漏洞

“民航旅客訂座系統”（eterm系統），是中國民航資訊網絡股份有限公司（以下簡稱“中航信”）開發的訂票系統。由于該系統操作界面是黑色背景、綠色和黃色字型，是以又被業内人士稱為“黑屏系統”。

作為目前國内各大航空公司的訂票系統，“黑屏系統”面向航空公司、機場、機票銷售代理等機構，主要提供航空客運業務、航空旅遊電子分銷等服務。

今年2月，林女士通過一家航空公司官方app軟體預訂了一張從北京飛往英國倫敦的機票。4月19日，她突然接到app發來的資訊，稱她訂的機票已經成功退票。林女士堅稱自己從來沒有申請過退票，但經該航空公司客服确認後，這一行為正是林女士自己通過app軟體操作所緻。林女士再次打開app确認，發現“常用乘機人”中竟然有幾個陌生人的資料。這些人的姓名、聯系方式、身份證号碼、開戶銀行和卡号全都一目了然，另外還有十幾條不屬于林女士的航行記錄也都赫然在列。而林女士的機票，就是其中一個關聯人取消的。

這個關聯人發現自己收到了從北京飛往英國的航班提示，但自己并沒有購票過，便選擇了取消。本應安全隐密的訂票資訊竟毫無保留地呈現在陌生人面前，而對方隻需要動動手指，就可以任意對這些資訊進行修改、取消等操作。

據某機票代理商負責人介紹，有權限檢視并有可能洩露乘客航班資訊的源頭，主要有機票代理商、航空公司從業人員、中航信從業人員以及黑客這4大類人群。他們通過不同管道和權限，在eterm系統上隻需輸入乘客身份證号，就能查到包括乘客相應航班的座位、艙位、電話号碼等詳細資料，完全不需要乘客本人的驗證。

是以，盡管資訊洩露管道繁多，但源頭都指向了eterm系統。雖然登入該系統需要特定的賬号密碼，但資訊“倒爺”們會通過淘寶、qq等網絡平台向機票代理商、航空公司從業人員購買賬号密碼，或者直接通過“黑客”手段，通過軟體将一個賬号分出數個小号，便可順利通路中航信的資料庫。

事後，雖然航空公司app從業人員回應稱，機票被别人取消是軟體系統漏洞才鬧出了“大烏龍”，然而公民個人資訊的洩露卻并不隻是一個偶然事件。

資訊洩露防不勝防

安全監管需兼顧平衡

2013年底，一家為全國4500多家酒店提供網絡服務的公司因系統存在安全漏洞，緻使全國高達2000萬條飯店住宿記錄洩露。2015年初至2016年6月，丁某在不法網站上非法下載下傳擷取這些飯店住宿記錄等公民個人資訊，并上傳至自己開辦的“嗅密碼”網站。

該網站除了能夠查詢住宿記錄外，還提供使用者qq、部分論壇賬号及密碼找回功能。其中住宿記錄共有将近二千萬條，使用者經注冊成為會員後，可以在網頁“開房查詢”欄目項下，以輸入關鍵字姓名或身份證号的方式查詢網站資料庫中飯店住宿記錄（顯示姓名、身份證号、手機号碼、位址、住宿時間等資訊）。自2015年5月份左右，丁某開始對該網站采取注冊會員方式收取費用。一年時間裡，“嗅密碼”網站共有查詢記錄49698條，收取會員費191440.92元。此案經審理後，丁某以侵犯公民個人資訊罪被判處有期徒刑三年，并處罰金人民币二萬元。

公安部網絡技術研發中心主任許劍卓分析說，侵犯公民個人資訊的犯罪已經成為其他各類犯罪的上遊犯罪，不管是敲詐勒索、電信詐騙等等各類犯罪，多數以非法擷取個人資訊為前提。

最高人民法院研究室主任顔茂昆認為，大資料時代，包括個人資訊在内的資料隻有通過流動、共享甚至交易才能充分發揮其社會價值、經濟價值，而這些資料在流動和交易過程中，又極易産生個人資訊擴散、失控的危險。是以，處理大資料發展的現實需要與保護公民個人資訊之間的關系應有兩個關鍵詞：一是兼顧，二是平衡。

顔茂昆認為，所謂兼顧，就是在發展大資料的同時，必須依法保護公民個人的資訊安全。隻有包括個人資訊在内的資料在法律的保護下安全迅速地收集和流通，才能夠真正地推動我國資訊産業的可持續發展。

所謂平衡，就是在兩者之間尋求一個結合點和平衡點，在法律層面為個人資訊交易和流動保留了一定的空間。顔茂昆舉例說，網絡安全法規定，網絡營運者不得洩露、篡改、毀損其收集的個人資訊，未經被收集者同意，不得向他人提供個人資訊，但是經過處理無法識别特定個人且不能複原的除外。“這個規定是要嚴格保護公民個人資訊，對網絡營運者提出要求，但是同時也為資料提供留下了一些空間。”顔茂昆說。

“誰收集誰負責”

法律責任界定日漸清晰

目前，不少網絡營運者因為履行職責或者提供服務的需要，掌握着海量公民個人資訊，這些資訊一旦洩露将造成惡劣社會影響和嚴重危害後果。

《法制日報》記者注意到，公民個人資訊洩露，往往存在于資訊收集源頭到資訊倒賣之間的多個環節中。在機票資訊洩露事件中，由于從eterm系統源頭到乘客，中間經曆了中航信、航空公司、第三方航空app、機票代理商、線上訂票網站等多個環節，每個環節都存在資訊洩露的可能性，這也導緻了個人資訊洩露的受害者難以維權追責。

針對驗證難、追責難的困局，網絡安全法明确了網絡資訊安全的責任主體，确立了“誰收集，誰負責”的基本原則。其中，第40條明确規定：“網絡營運者應當對其收集的使用者資訊嚴格保密，并建立健全使用者資訊保護制度。”

5月9日，最高人民法院召開新聞釋出會，釋出了《最高人民法院、最高人民檢察院關于辦理侵犯公民個人資訊刑事案件适用法律若幹問題的解釋》（以下簡稱《解釋》）。《解釋》共13條，進一步明确侵犯公民資訊罪的定罪量刑标準和有關法律适用問題，其中便對如何處理拒不履行公民個人資訊安全管理義務行為進行了明确。

顔茂昆介紹說，拒不履行資訊網絡安全管理義務罪主體是網絡服務提供者。《解釋》規定，網絡服務提供者拒不履行法律、行政法規規定的資訊網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，緻使使用者的公民個人資訊洩露，造成嚴重後果的，應當依照拒不履行資訊網絡安全管理義務罪，追究其刑事責任。

此外，與侵犯公民個人資訊罪相關聯的另一個犯罪是非法利用資訊網絡罪。顔茂昆說，實踐中，一些行為人通過建立網站、通訊群組等供他人進行公民個人資訊交換、流轉、銷售，以非法牟利。

根據刑法規定，設立用于實施違法犯罪活動的網站、通訊群組，情節嚴重的，構成非法利用資訊網絡罪。最高法經研究認為，供他人實施非法擷取、出售或者提供公民個人資訊違法犯罪活動的網站、通訊群組實際上屬于“用于實施違法犯罪活動的網站、通訊群組”。

是以，《解釋》規定，設立用于實施非法擷取、出售或者提供公民個人資訊違法犯罪活動的網站、通訊群組，情節嚴重的，應當以非法利用資訊網絡罪定罪處罰；同時構成侵犯公民個人資訊罪的，依照侵犯公民個人資訊罪定罪處罰。

許劍卓說，随着《解釋》即将從6月1日起實施，公安機關将針對公民個人資訊保護從重點打擊侵犯公民個人資訊源頭，落實網絡服務商的網絡安全防護責任，打擊購買、收售、交易、幫助建立平台和通訊群組整個利益鍊條三方面開展工作。

為切實加大對行業“内鬼”參與公民個人資訊洩露案件的懲治力度，《解釋》明确了在認定“情節嚴重”時，對行業“内鬼”洩露資訊的數量、數額标準都要減半計算，降低了入罪門檻。“這為我們更好地打擊這類犯罪提供了法律基礎。是以下一步我們要追查源頭，深挖行業‘内鬼’。”許劍卓說。

與此同時，“一些手機app會收集和它的業務無關的資訊，比如公民行蹤軌迹、通話記錄，這種情況相當普遍。這些服務商沒有依法落實有關安全防護措施，導緻公民個人資訊的洩露。”許劍卓稱，“下一步，我們将結合網絡安全法的實施，進一步強化安全監管，要求這些服務商落實相關的監管義務。對于未按法律要求、未落實相關義務而導緻公民個人資訊洩露的，我們将根據這次司法解釋和網絡安全法的規定予以嚴厲打擊。”

本文轉自d1net（轉載）