信息泄露,一個無可爭議的全民話題。
“中國人對隱私問題沒那麼敏感”的定論也早已成為過去式。新京報貝殼財經獨家報道的圓通快遞五名“內鬼”泄露個人信息事件再次點燃大眾對於信息泄露的憤慨。
據邯鄲警方消息,相關嫌疑人以每日500元的費用租用某物流公司內部員工系統賬號,後登錄系統賬號進入公司物流系統,導出快遞信息,把竊取的快遞信息進行整理通過微信、QQ等方式賣到全國及東南亞等電信詐騙高發區。貝殼財經記者從知情人士處證實,上述公司為圓通。
上述案件中,相關嫌疑人將收集到的信息打包賣出,每條信息單價約為1元。此次被泄露的信息中包括髮件人地址、姓名、電話以及收件人電話、姓名、地址,被泄露的信息數量實際超過40萬條,涉案金額為120餘萬元。
律師指出,根據網絡安全法、消費者權益保護法等法律法規,個人信息的判斷標準就是身份識別性,即只要能夠直接或者間接識別特定個人的真實身份的信息都屬於個人信息。快遞單上所顯示的發件人信息、收件人信息都屬於個人信息的範疇。
“此次案件,再次敲響了信息安全風險的警鐘。“圓通在後續回應中表示,相關嫌疑人於9月落網,堅決配合打擊非法售賣和使用快遞用户信息的行為。
誰應為被泄露的40萬條快遞信息負責?信息買賣為何屢禁不止?如何保護公民的個人隱私信息?如何杜絕這類泄露事件的發生?針對上述問題,新京報貝殼財經記者專訪了中國互聯網協會研究中心秘書長、聯合國網絡安全與網絡犯罪問題高級顧問吳沈括,北京雲嘉律師事務所律師、中國政法大學知識產權研究中心特約研究員趙佔領,貫鑠企業CEO、快遞行業專家趙小敏、北京盈科(上海)律師事務所高級合夥人陳曉薇、北京市京師(上海)律師事務所合夥人徐延軒。專家稱,快遞信息泄露的源頭還是在公司,快遞公司應承擔責任,不能靠外部舉報,監管部門應該加強執法力度,“該出牌時就要出牌 ”。
信息泄露多源自內外勾結,快遞公司不能靠外部舉報
事實上,梳理近5年快遞相關信息泄露事件,基本包含,內部員工和外部人員勾結、內部員工向外售賣、快遞員泄密、商家勾結快遞員交易等情況。
趙小敏稱,快遞信息泄露的源頭還是在公司,快遞公司應承擔責任,不能靠外部舉報,同時,企業規定還應該嚴於法律。
國家郵政局近期印發《快遞企業總部重大經營管理事項風險評估和報告制度(試行)》的通知,稱快遞企業總部應當對使用其商標、字號或者快遞運單的快遞企業在服務質量、安全保障、業務流程等方面實行統一管理,對可能造成國家郵政業Ⅱ級以上突發事件等危及郵政業安全穩定和寄遞渠道安全暢通的情形和採取安全防範措施的情況,應當按照規定及時向國家郵政局報告。
上述通知意味着,加盟制快遞總部需要對使用其商標、字號或者快遞運單的快遞企業在服務質量、安全保障、業務流程等方面實行統一管理,涉及重大經營管理事件,不能再有“甩鍋”“加盟網點問題與總部無關”的思維。
趙小敏表示,快遞企業保護用户的信息應該和保障服務質量一樣,屬於快遞企業全天候的工作範疇。
“內鬼”涉嫌構成侵犯公民個人信息罪,快遞公司需要負什麼責?
趙佔領表示,不法分子通過非法途徑獲取他人個人信息,並進行倒賣的行為,以及圓通員工將內部賬號有償租用給不法分子的做法,都涉嫌構成侵犯公民個人信息罪,根據刑法規定,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
針對圓通公司在信息泄露事件中需要承擔的責任問題,吳沈括表示,需要根據具體情況分析,首先,如果這個外部人員是在圓通不知情的情況下和圓通的員工直接進行個人交易,那麼這個時候就要看圓通公司內部對於員工和數據訪問權限是怎麼規定的,如果圓通沒有合規機制或者有機制沒有落實,對於數據訪問權限沒有管理或者有管理但沒落實,則要承擔信息網絡安全管理義務,最起碼應當承擔數據(信息)泄露的網絡安全行政法律責任。
第二種情況是直接向圓通購買用户數據,那就涉及到刑事責任,但目前所顯示的情況應該不符合,其實是個別員工直接把自己的權限給賣了。那麼就是圓通數據訪問限制、數據審計沒有到位,所以信息網絡安全管理義務的履行是有瑕疵的,要承擔相應的行政法律責任。
徐延軒則表示,通過有償租賃賬號導致數據泄露,個人認為圓通平台更多的是違反《網絡安全法》關於公民個人信息的安全保護制度,應當採取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即採取補救措施,按照規定及時告知用户並向有關主管部門報告。圓通以及員工可能受到相應的行政處罰。而有償租賃的如果發生在私下或者租賃給與業務無關的其他個人,才有可能觸犯刑法規定的侵犯公民個人信息罪。
陳曉薇表示,不管是購買還是出售簡歷數據,均可能構成侵犯公民個人信息罪,相關法律按照重要信息、次重要信息、普通信息,分別設置了50條以上、500條以上、5000條以上的入罪標準。
“另外值得注意是,國家近期頒佈的《個人信息保護(草案)》明確規定了,個人信息處理者的責任。對個人信息的處理者,採取誰處理誰負責的原則。個人信息處理者有義務保障信息的安全。如果違反該規定,對單位最高可處五千萬以下罰款或者上一年度營業額百分之五以下罰款。對直接責任人最高可處十萬的罰款。”徐延軒説。
上述案件中,相關嫌疑人把竊取的快遞信息進行整理通過微信、QQ等方式賣到全國及東南亞等電信詐騙高發區。對此,吳沈括表示,該情況涉嫌跨國的電信網絡詐騙,這裏面的處罰依據,目前主要是根據兩高一部有關電信網絡詐騙的司法解釋。
他還表示,在具體案件處理過程當中,比較常見的是以詐騙罪以及侵犯公民個人信息罪來予以處罰,在這個過程當中,對於平台而言,有信息網絡安全保護義務,特別是對於違法信息傳播的及時發現阻斷和處置義務。趙佔領也稱,至於將個人信息賣到境外,還是隻在境內出售,都不影響對該行為的定性。
專家:信息泄露問題難杜絕,監管層面“該出牌時就要出牌”
近年,快遞公司泄露信息問題頻現,趙小敏表示,從產品設計、公司經營、相關規定等方面着手想要杜絕信息泄露的發生是不太可能的。目前,電信、文旅、房地產領域等都存在信息泄露的問題,一時半會兒很難杜絕。
監管層面,趙小敏認為,目前涉及到信息泄露等問題的公司包含很多上市公司,交易所應該針對上市公司信息泄露等出台更嚴格的措施;郵政管理部門方面,也應該加強執法力度,“該出牌時就要出牌 ”。
此次案件中,用户被泄露的信息包含姓名、電話、住址等,部分用户非常關心上述信息的泄露的嚴重性和後果,對此,吳沈括表示,這幾個維度的信息都是屬於個人信息,因為能夠識別自然人的身份與他的身份具有相關性。他表示,地址信息、姓名、電話等信息被泄露應當説是比較嚴重的,在現實中能夠產生的後果包括可能遭受網絡推銷營銷的滋擾、非法廣告的滋擾以及電信網絡詐騙等,嚴重的可能造成線下的人身、財產傷害,所以對個人信息的保護具有非常重要的現實意義。
針對如何保護信息不被泄露,趙小敏表示,企業防火牆要加固,例如設置識別碼,非本人不能登錄,他指出,許多企業在“防火牆”技術上沒有問題,技術每年也有很大的投入,關鍵是運營管理存在問題和企業本身不重視的問題。趙佔領直言,普通用户難以防範,因為寄送快遞本身就需要提供相關個人信息。
趙小敏建議,公眾可以在不違反國家郵寄規定的情況下儘可能提供給快遞公司足夠少的信息,還可以選擇不往家庭寄送,改往單位寄送或放快遞櫃、代收點,他直言“這也是沒有辦法的辦法”。
針對頻發的泄露事件,陳曉薇表示,“公民在日常生活中要具備保護個人信息的意識。比如説,快遞的收貨地址最好選擇公開場合或者代收服務站,不要填寫詳細地址,扔快遞包裝前將重要信息塗抹或者撕掉。在遇到陌生人搞活動、免費贈送小禮品等,提高警惕、禮貌拒絕。因為一旦登記上姓名電話或者掃描二維碼,很可能個人信息就會被他人收集利用。一旦發現個人信息被泄露,及時向相關部門投訴舉報、或向公安部門報案。”
大數據時代,不少公司均“擁有”海量的公民個人信息。陳曉薇表示,對於公司來説一方面要加強對公民數據的加密保護、集中權限管理,另一方面完善保密方面的規章制度和培訓,提高員工的綜合素質。
新京報貝殼財經記者 程子姣 李大偉 編輯 李薇佳 校對 李世輝
來源:新京報