個人資訊洩露 大病難治

随着大資料時代的來臨，尤其是實名制的逐漸推開，個人資訊洩露的隐患在我國已日趨凸顯。有資料顯示，全國手機使用者全年平均可能被盜取聯系人資訊14.4億條，短信71.8億條

前不久，票務網站大麥網因賬号資訊被竊取，間接導緻全國多地使用者受騙的風波還未過，近日，又有全國31個省市自治區近400位艾滋病感染者前後接到詐騙電話，艾滋病感染者的個人資訊疑似被大面積洩露。

随着大資料時代的來臨，尤其是實名制的逐漸推開，個人資訊洩露的隐患在我國已日趨凸顯。

根據中國網際網路協會釋出的《中國網民權益保護調查報告(2015)》稱，63.4%的網民通話記錄、網上購物記錄等網上活動資訊遭洩露；78.2%的網民個人身份資訊曾被洩露，包括姓名、家庭住址、身份證号及工作機關等。

今年4月，公安部曾部署全國公安機關開展為期半年的打擊整治網絡侵犯公民個人資訊犯罪專項行動。

截至目前，全國公安機關累計查破刑事案件750餘起，抓獲犯罪嫌疑人1900餘名，繳獲資訊230餘億條，清理違法有害資訊35.2萬餘條，關停網站、欄目610餘個。

“技術手段的日益翻新讓資訊洩露變得防不勝防，然而，監管和立法卻沒有與時俱進，違法行為也并未受到應有的嚴懲。”對此現象，《光明日報》日前刊發評論稱，“補齊短闆，出台個人資訊保護法乃當務之急。”

網站安全漏洞成罪魁禍首

就在幾天前，360烽火實驗室聯合360手機衛士釋出《手機惡意程式盜取個人資訊形勢分析報告》(以下簡稱《報告》)。

據《報告》顯示，全國使用者全年平均可能被盜取聯系人資訊14.4億條，短信71.8億條。竊取個人資訊類惡意程式最愛僞裝成的常用軟體依次是視訊播放器、通訊錄、校園應用、免費wifi、浏覽器、電池管理、社交軟體、銀行用戶端、交通違章查詢、搶紅包助手等。

那麼，個人資訊竊取類惡意程式究竟會盜走全國使用者多少條個人資訊？

360手機衛士團隊發現，在個人資訊竊取量中，以短信資訊規模最大，平均每年有高達71.8億條短信内容成為了不法分子的賺錢機器；緊随其後的則是通話記錄竊取規模，達51.5億條；而聯系人資訊與照片資訊洩露也分别達到4.4億條和252萬張。

大資料時代為人們帶來便利的同時，同樣增加了資訊洩露的風險。而由個人身份洩露而導緻的銀行卡資訊被盜取、買賣等違法犯罪行為也已形成黑色産業鍊。許多網際網路企業由于存在安全防範漏洞，淪為不法分子盜取使用者資訊的主要管道，給金融安全帶來重大危害和隐患。

中國網際網路協會12321網絡不良與垃圾資訊舉報受理中心曾在近日釋出《中國網民權益保護調查報告(2015)》。

資料顯示，僅2015年，網民因個人資訊洩露、垃圾資訊、詐騙資訊等現象導緻的總體損失約805億元，人均約124元。

“新型網絡騙術層出不窮的一個重要原因是網絡詐騙産業鍊的形成。這一黑色産業鍊不僅人數衆多，且分工明确，涵蓋了從開發制作、批發零售、詐騙實施到分贓銷贓等不同環節。”近日，上海市資訊安全行業協會會長談劍峰曾對媒體表示，現在許多銀行卡洩露主要是因為線上的技術問題，黑客有多種方式可以通過網站竊取使用者資料。“但在安全防護上，國内許多網站做的并不到位，大量使用者資料正是被網際網路公司洩露出去的。”

網站安全漏洞俨然已成使用者資訊洩露的罪魁禍首。

僅2015年一年，在360網站安全監測平台掃描的231.2萬個網站中，存在安全漏洞的網站便已達到101.5萬個，占掃描網站總數的43.9%；存在高危安全漏洞的網站有30.8萬個，占掃描網站總數的13%。

雲粵成個人資訊洩露重災區

2016年4月，360網際網路安全中心共監測到全國146.2萬名使用者感染了個人資訊竊取類惡意程式，其中雲南省感染使用者最多，占比為15.5%，其次為廣東省，占比13.2%。

而就在同月，曾有駐上海的一家快遞公司報案稱，其下屬位于廣州市的幾處快遞網點，自3月起被人使用公司内部賬号查詢客戶資訊，擷取公民個人資訊達25000餘條。

上海公安機關接報後立即成立專案組立案偵查。經查，系犯罪嫌疑人吳某通過私下購買該快遞公司的内部系統員工賬号，下載下傳大量公民個人資訊出售牟利。

“(此類犯罪)一方面是内外勾結，許多資訊源頭都是來自掌握公民資訊的機關和部門，個别機關内部人員為了利益非法出售公民個人資訊，犯罪分子再利用網際網路進行買賣。”據辦案民警介紹，“而第二個特點是隐蔽性非常強且規模非常龐大，已經形成了覆寫全國的犯罪網絡。”

為此，今年6月12日至17日，廣東省公安廳開展了“安網1号”打擊整治網絡侵犯公民個人資訊犯罪系列專案行動，并派出工作組赴海南、廣西、湖南、福建、雲南等11個省開展抓捕。由此帶破詐騙、盜竊等其他類型案件832起，共抓獲侵犯公民個人資訊犯罪嫌疑人379名，打掉幫派78個，破案130宗，扣押伺服器、電腦、手機等714台(部)，收繳超1.1億條被洩漏、竊取、倒賣的公民個人資訊。

其中，被竊取或倒賣的公民個人資訊内容包含姓名、性别、聯系電話、電子郵箱、家庭住址、家庭成員、職業、收入等涉及個人隐私的各個方面，受害對象有股民、保險業客戶、快遞客戶、病人、新生兒、企業主、房産業主、電話使用者、求職者等各行各業各類人員。

而面對日趨嚴峻的犯罪形勢，公安部網絡安全保衛局有關負責人也在日前對媒體表示，下一步，公安機關将繼續保持嚴打高壓态勢，不間斷地開展打擊行動，通過及時查處、有效打擊、清理整治，全力推進專項行動向縱深發展，最大限度遏制網絡侵犯公民個人資訊犯罪活動。

堵住資訊洩露漏洞需完善法律

“堵住資訊洩露漏洞，完善法律是根本。”北京師範大學法學院教授劉德良直言，個人資訊濫用成本不高甚至是零成本，是造成目前打擊效果不明顯，個人資訊洩露案件屢禁不止的主要原因。“我國加強對個人資訊濫用行為的立法規制非常必要。”

2012年，美國在曾發生影響較大的個人資訊洩露案件。其後，因為網絡浏覽器的隐私問題，美國聯邦貿易委員會隐私保護署(ftc)對谷歌公司開出2250萬美元的罰單。

2014年，新加坡個人資料保護委員會(pdpc)也曾對中國某手機廠商展開調查，原因在于該企業未經使用者同意，向伺服器傳輸了個人資訊。

而反觀國内，盡管近年來個人資訊安全領域案件頻發，“但至今缺少具有示範意義的大案要案。”劉德良稱。

據法治周末記者不完全統計，目前國内實施的刑法《消費者權益保護法》、全國人大常委會《關于加強網絡資訊保護的決定》、工信部《電信和網際網路使用者個人資訊保護規定》等法律法規，均有涉及網際網路個人資訊和隐私保護的内容。

而諸如律師法、廣告法等将近40部相關法律，也有與個人資訊保護有關的條令、規定。

“但這些法條内容缺乏統一性，互相之間也缺乏銜接，不利于法律的适用。”劉德良解釋道。

直至去年11月1日，刑法修正案(九)正式實施，并加大了對侵犯公民資訊行為的打擊力度。

刑法修正案(九)規定：公民個人資訊受法律保護，未經本人許可，不得随意洩露和買賣；竊取或者以其他方式非法擷取公民個人資訊，給他人造成損害的，依法應當承擔賠償責任，情節嚴重的構成侵犯公民個人資訊罪。

“但本應早就出台的《個人資訊保護法》至今仍‘隻聽樓梯響，不見人下來’。”劉德良指出，相關部門必須盡快着手完善法律體系，諸如制定個人資訊保護法等等，對公民個人資訊采集、使用和保密等問題作出詳細規定，讓懲戒更加具有操作性，從法律上鏟除個人資訊洩露“溫床”。

法治周末記者查詢資料發現，早在2003年，國務院資訊辦就曾委托中國社科院法學所承擔相關課題及草拟一份專家建議稿，課題組于2005年送出《個人資訊保護法》專家意見稿。

但時至今日，這部法律仍處于草案送出階段。

對此，全國資訊安全标準化技術委員會秘書長高林日前表示，目前有關資料采集方面的國家标準已在報批過程中。該标準将為企業行為标明一個底線，但不具有強制性。标準出台後，可能會有一些政策來推動使用和落實。此外，大資料安全管理能力方面的标準制定工作也将馬上啟動。

====================================分割線================================

本文轉自d1net（轉載）