个人信息保护“系统性失灵” 不能只归咎于内鬼和黑客

2016年8月消息，沈阳警方破获一起侵犯公民个人信息案件。嫌疑人李某通过朋友购得5000条个人信息，在QQ群与他人多次互换信息，再以10元1000条的价格兜售，非法牟利6000元人民币。（视觉中国/图）

编者按：一个个徐玉玉逝去的年轻生命，让电信诈骗成为举国上下关注的焦点。骗子们往往因掌握大量公民个人信息而能轻取被害人的信任，依靠在银行开设的大量冒名账户得以夺走被害人的血汗钱。本专题针对电信诈骗中个人信息和银行账户这一头一尾两个环节，展开了调查。

“发生（内鬼）这种情况，很可能是利用了单位的管理漏洞，不能只把责任归结到泄密人身上。”

“电子商务企业、政府部门在合法掌握公民信息的同时，也要承担‘非法使用’‘泄露’公民个人信息的法律责任。”

公开的判决书中，被惩处的卖家远远少于买家；最重的判了二年六个月，尚未出现“情节特别严重”的案例。

《个人信息保护法》的专家建议稿已经躺了11年。如果把个人信息保护的各个环节比喻成一根链条，“那么这根链条现在呈现出系统性失灵。”

宋振宁的家垮了。母亲在医院里一天昏迷十几次。父亲情绪崩溃，一问三不知。

2016年8月18日，山东省临沭县的大二学生宋振宁接到诈骗电话，到银行转了2000元。5天后的凌晨，宋振宁在自家客厅的沙发上心脏骤停。

不到一周时间，他成为徐玉玉之后的第二个电信诈骗牺牲品。宋的姑姑想不通，骗子怎么会对孩子的信息掌握得如此全面，“身份证信息、学校什么都知道！”

骗子真的什么都知道。南方周末记者暗访发现，想从网上购买考生信息，远比想象中简单。在QQ上，昵称“卡佛落”的卖家表示，可以提供2016年10万湖北高考考生的一手资料。另一昵称为“出售各种客户资料”的QQ卖家则表示，手握46万广东高考考生的详细信息，包括姓名、性别、地址、电话、文理分科、年龄、身份证、家长姓名、联系方式及高考录取情况等。

徐玉玉、宋振宁遭遇的电信诈骗，与个人信息泄露密切相关。在中国裁判文书网公布的案例中，随机拨打电话骗钱的人很少，真正能够得手的，手中均握有大量公民个人信息。只有这样，才能做到精准出击。学生信息只是种类繁多的信息之一，学生也只是受害群体之一。

内鬼、黑客，是个人信息泄露的源头。他们拿着偷出来的“商品”，在一个庞大而隐秘的市场内公开叫卖，获利无数。

内鬼

关键还是看个人品德，否则只要你想，总有办法把数据弄出来。

当被问到如何保证数据准确时，贩卖湖北考生信息的“卡佛落”表示，数据来源于某市教育局。南方周末记者随机拨打了卖家提供的10个号码，发现资料中的电话与考生情况全部相符。

在个人信息买卖领域，数十万条批量性信源并不稀罕。2012年10月，东方航空公司客运营销委员会系统管理员王某，擅自将六百余万条“东航万里行”积分卡客户信息资料下载、存储，转交他人出售。2011年，中国移动职员苏某私自调取、出售山西全省移动手机用户资料。东窗事发后，仅苏某电脑中便存有山西省移动手机用户信息2219万余条。

究竟什么人可以成为偷信息的“内鬼”？

2011年10月至2012年3月，乌鲁木齐市公安局沙依巴克区分局发生一系列公民个人信息泄露事件，涉及户籍、护照、宾馆记录等多个领域。经调查，事件的始作俑者为劳务派遣人员王某。他在该局指挥室网络办担任协警，握有公安机关的上网专用密钥。

“对于涉及公民隐私的信息，除在编警察以外的人员全都不能碰，管理起来非常严格。”北京公安系统的一名工作人员告诉南方周末记者，在公安机关内部，能接触到这类信息的岗位必定是专人操作、定岗定责，工作前还会进行政审、保密教育并签署保密协议。

根据公安部2013年发布的《关于公安机关公民个人信息安全管理规定》，公安机关要定期检查公民个人信息使用授权，如果发生部门职能调整、民警工作岗位变动或调离，要及时变更或撤销授权。与此同时，民警访问存储公民个人信息的系统时，要进行身份认证、访问控制、安全审计，并留存操作日志。

“发生这种情况，很可能是利用了单位的管理漏洞，不能只把责任归结到泄密人身上。”上述公安人员解释，由于此类操作实名且留痕，监管起来并不困难。假如信息泄露持续时间较长，说明监管部门没有及时发现并阻止。

另外，民警如果不能谨慎管理自己的专