记者:程子姣 李大伟
信息泄露,一个无可争议的全民话题。
“中国人对隐私问题没那么敏感”的定论也早已成为过去式。新京报贝壳财经独家报道的圆通快递五名“内鬼”泄露个人信息事件再次点燃大众对于信息泄露的愤慨。
据邯郸警方消息,相关嫌疑人以每日500元的费用租用某物流公司内部员工系统账号,后登录系统账号进入公司物流系统,导出快递信息,把窃取的快递信息进行整理通过微信、QQ等方式卖到全国及东南亚等电信诈骗高发区。贝壳财经记者从知情人士处证实,上述公司为圆通。
上述案件中,相关嫌疑人将收集到的信息打包卖出,每条信息单价约为1元。此次被泄露的信息中包括发件人地址、姓名、电话以及收件人电话、姓名、地址,被泄露的信息数量实际超过40万条,涉案金额为120余万元。
律师指出,根据网络安全法、消费者权益保护法等法律法规,个人信息的判断标准就是身份识别性,即只要能够直接或者间接识别特定个人的真实身份的信息都属于个人信息。快递单上所显示的发件人信息、收件人信息都属于个人信息的范畴。
“此次案件,再次敲响了信息安全风险的警钟。“圆通在后续回应中表示,相关嫌疑人于9月落网,坚决配合打击非法售卖和使用快递用户信息的行为。
谁应为被泄露的40万条快递信息负责?信息买卖为何屡禁不止?如何保护公民的个人隐私信息?如何杜绝这类泄露事件的发生?针对上述问题,新京报贝壳财经记者专访了中国互联网协会研究中心秘书长、联合国网络安全与网络犯罪问题高级顾问吴沈括,北京云嘉律师事务所律师、中国政法大学知识产权研究中心特约研究员赵占领,贯铄企业CEO、快递行业专家赵小敏、北京盈科(上海)律师事务所高级合伙人陈晓薇、北京市京师(上海)律师事务所合伙人徐延轩。专家称,快递信息泄露的源头还是在公司,快递公司应承担责任,不能靠外部举报,监管部门应该加强执法力度,“该出牌时就要出牌 ”。
信息泄露多源自内外勾结,快递公司不能靠外部举报
事实上,梳理近5年快递相关信息泄露事件,基本包含,内部员工和外部人员勾结、内部员工向外售卖、快递员泄密、商家勾结快递员交易等情况。
赵小敏称,快递信息泄露的源头还是在公司,快递公司应承担责任,不能靠外部举报,同时,企业规定还应该严于法律。
国家邮政局近期印发《快递企业总部重大经营管理事项风险评估和报告制度(试行)》的通知,称快递企业总部应当对使用其商标、字号或者快递运单的快递企业在服务质量、安全保障、业务流程等方面实行统一管理,对可能造成国家邮政业Ⅱ级以上突发事件等危及邮政业安全稳定和寄递渠道安全畅通的情形和采取安全防范措施的情况,应当按照规定及时向国家邮政局报告。
上述通知意味着,加盟制快递总部需要对使用其商标、字号或者快递运单的快递企业在服务质量、安全保障、业务流程等方面实行统一管理,涉及重大经营管理事件,不能再有“甩锅”“加盟网点问题与总部无关”的思维。
赵小敏表示,快递企业保护用户的信息应该和保障服务质量一样,属于快递企业全天候的工作范畴。
“内鬼”涉嫌构成侵犯公民个人信息罪,快递公司需要负什么责?
赵占领表示,不法分子通过非法途径获取他人个人信息,并进行倒卖的行为,以及圆通员工将内部账号有偿租用给不法分子的做法,都涉嫌构成侵犯公民个人信息罪,根据刑法规定,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
针对圆通公司在信息泄露事件中需要承担的责任问题,吴沈括表示,需要根据具体情况分析,首先,如果这个外部人员是在圆通不知情的情况下和圆通的员工直接进行个人交易,那么这个时候就要看圆通公司内部对于员工和数据访问权限是怎么规定的,如果圆通没有合规机制或者有机制没有落实,对于数据访问权限没有管理或者有管理但没落实,则要承担信息网络安全管理义务,最起码应当承担数据(信息)泄露的网络安全行政法律责任。
第二种情况是直接向圆通购买用户数据,那就涉及到刑事责任,但目前所显示的情况应该不符合,其实是个别员工直接把自己的权限给卖了。那么就是圆通数据访问限制、数据审计没有到位,所以信息网络安全管理义务的履行是有瑕疵的,要承担相应的行政法律责任。
徐延轩则表示,通过有偿租赁账号导致数据泄露,个人认为圆通平台更多的是违反《网络安全法》关于公民个人信息的安全保护制度,应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。圆通以及员工可能受到相应的行政处罚。而有偿租赁的如果发生在私下或者租赁给与业务无关的其他个人,才有可能触犯刑法规定的侵犯公民个人信息罪。
陈晓薇表示,不管是购买还是出售简历数据,均可能构成侵犯公民个人信息罪,相关法律按照重要信息、次重要信息、普通信息,分别设置了50条以上、500条以上、5000条以上的入罪标准。
“另外值得注意是,国家近期颁布的《个人信息保护(草案)》明确规定了,个人信息处理者的责任。对个人信息的处理者,采取谁处理谁负责的原则。个人信息处理者有义务保障信息的安全。如果违反该规定,对单位最高可处五千万以下罚款或者上一年度营业额百分之五以下罚款。对直接责任人最高可处十万的罚款。”徐延轩说。
上述案件中,相关嫌疑人把窃取的快递信息进行整理通过微信、QQ等方式卖到全国及东南亚等电信诈骗高发区。对此,吴沈括表示,该情况涉嫌跨国的电信网络诈骗,这里面的处罚依据,目前主要是根据两高一部有关电信网络诈骗的司法解释。
他还表示,在具体案件处理过程当中,比较常见的是以诈骗罪以及侵犯公民个人信息罪来予以处罚,在这个过程当中,对于平台而言,有信息网络安全保护义务,特别是对于违法信息传播的及时发现阻断和处置义务。赵占领也称,至于将个人信息卖到境外,还是只在境内出售,都不影响对该行为的定性。
专家:信息泄露问题难杜绝,监管层面“该出牌时就要出牌”
近年,快递公司泄露信息问题频现,赵小敏表示,从产品设计、公司经营、相关规定等方面着手想要杜绝信息泄露的发生是不太可能的。目前,电信、文旅、房地产领域等都存在信息泄露的问题,一时半会儿很难杜绝。
监管层面,赵小敏认为,目前涉及到信息泄露等问题的公司包含很多上市公司,交易所应该针对上市公司信息泄露等出台更严格的措施;邮政管理部门方面,也应该加强执法力度,“该出牌时就要出牌 ”。
此次案件中,用户被泄露的信息包含姓名、电话、住址等,部分用户非常关心上述信息的泄露的严重性和后果,对此,吴沈括表示,这几个维度的信息都是属于个人信息,因为能够识别自然人的身份与他的身份具有相关性。他表示,地址信息、姓名、电话等信息被泄露应当说是比较严重的,在现实中能够产生的后果包括可能遭受网络推销营销的滋扰、非法广告的滋扰以及电信网络诈骗等,严重的可能造成线下的人身、财产伤害,所以对个人信息的保护具有非常重要的现实意义。
针对如何保护信息不被泄露,赵小敏表示,企业防火墙要加固,例如设置识别码,非本人不能登录,他指出,许多企业在“防火墙”技术上没有问题,技术每年也有很大的投入,关键是运营管理存在问题和企业本身不重视的问题。赵占领直言,普通用户难以防范,因为寄送快递本身就需要提供相关个人信息。
赵小敏建议,公众可以在不违反国家邮寄规定的情况下尽可能提供给快递公司足够少的信息,还可以选择不往家庭寄送,改往单位寄送或放快递柜、代收点,他直言“这也是没有办法的办法”。
大数据时代,不少公司均“拥有”海量的公民个人信息。陈晓薇表示,对于公司来说一方面要加强对公民数据的加密保护、集中权限管理,另一方面完善保密方面的规章制度和培训,提高员工的综合素质。