昨天上午,南京浦口法院公开开庭审理一起非法买卖信息案,一名90后小伙为了推销业务,先后花了800元和1850元,从他人手中购买了南京中小学生家长以及2013年江苏高考考生家长的信息。小伙被抓后,贩卖信息的“上家”也被警方抓获归案。记者了解到,在总共77万条信息中,有47万条准确有效。然而,对于这些信息从何处泄露,“上家”称也是从别处获得,信息已经被倒卖多手,自己也不清楚“源头”。
案件
90后小伙购买个人信息被抓
1990年出生的何某自大学毕业后,就到南京浦口一家信息技术公司工作,专做短信群发业务。这家公司的运营模式是,获取个人信息来做短信业务,根据客户的需求,发短信给特定人群。
2012年8月,有一做教育培训的客户急需相关信息,可惜何某所在的公司资源匮乏,公司老板周某给了他一个联系方式,是南京一家网络公司负责人的电话,对方姓余,曾和周某是“老同事”。经过一番讨价还价,余经理答应以800元的价格将38万条学生家长的信息卖给他,几乎涵盖了南京所有的中小学。
2013年6月,何某跳槽到南京一家银行做小额贷款业务员,主要的工作就是每天打电话推销。可是,初来乍到的他,手头根本没什么资源,就在这时“救星来了”。
“他(指余经理)主动找我,说手里有江苏省高考学生家长的信息,问我要不要。”何某转念一想,也许有学生上大学需要助学贷款,于是又花了1850元购买了39万余条个人信息。
何某没想到的是,自己一个推销电话还没打,就被警方抓了。
77万条信息中47万条是有效的
那么,何某在购买这些信息的时候是如何“验货”的呢?据他称,每次交易前,业务员会将学生家长的信息以截图的方式发过来,然后自己就选几个打电话“测试”,如果和显示的学生姓名、学校等信息是一致的,就证明是真的。
记者看到,江苏省教育考试院办公室出具的证明上显示,经过比对,何某获取的39万多条2013年江苏省高考考生家长信息,匹配率92.3%,也就意味着36万条信息是有效的。
而根据南京市教育局的比对,何某非法获取的38万条南京中小学生家长信息,匹配率28.9%,这说明其中的11万条是有效信息。检方最终认定,何某非法获取公民个人信息数量为47万条。
建议量刑十个月至一年两个月
在庭审中,何某一再强调,自己购买信息的行为并没有给这些学生造成损失,而且买卖信息,是营销行业的“潜规则”。“如果没有信息,你怎么打电话?”何某还反问在场参与庭审的人,“你们应该也接触到一些保险和贷款方面的信息,也接到陌生人电话,按理他们都该抓。”
浦口检方认为,何某非法获取公民个人信息数量巨大,超过10万条就属于“情节严重”,而且出发点是为了自身获利,因此建议判处有期徒刑十个月至一年两个月;而何某的辩护律师则认为,何某购买信息的行为,有一部分是在领导授意下完成的,主观恶意不大,并且至今没有造成严重后果,因此建议轻判至六个月有期徒刑。法院并未当庭宣判。
这些信息是从哪泄露出来的?
在何某的供述中,余经理的名字被多次提及。作为个人信息的“供货方”,余某坦言,自己获取信息的渠道多种多样,对于企业信息,他们是靠一款专用软件在网上自动搜索生成的;而对于学生家长的个人信息,则多是靠中介、培训班,甚至学校内部的朋友获得的,还有的则是从网上再找“上家”买的,价格不菲。根据余某的供述,36万余条江苏省高考考生家长信息,他就是以1200元的价格通过网络从一个“上家”购得,然后再加价四处兜售。据了解,余某以及何某的前任老板周某,也因涉嫌非法获取公民个人信息罪即将被提起公诉。
家长质疑主要环节在学校
那么,余某的“上家”又是从哪儿获取信息的呢?对此他称,信息到自己手中之前,已经被倒卖了多次,说不清“源头”。承办此案的法官介绍,由于技侦手段等各方面因素的限制,无法得知泄露源头。
对此,记者采访了一些家长,有人认为,可能通讯运营商把家长的信息“卖”给相关机构。有人认为,很多智能手机的一些应用软件被恶意绑定有盗取信息的程序,电话本与信息都有可能在机主不知情的情况下被窃取。
但在更多家长看来,学校可能是信息泄露的主要环节。曾经有一项158名家长参加的调查显示,96人表示,“学生信息被泄露”的主要环节是“学校”,占总数的61%,此外,58人认为,是“相关政府部门”,占总数的37%。
法官
管理漏洞
造成信息泄露
本案中,根据余某的交代,他电脑里的个人信息数据已经超过了100万条,光企业的资料就将近50万,其次是教育、业主和车主的信息。
法官表示,根据以往判决的案例,可以总结出的是,机动车销售、房产中介、银行、电信、医院等行业及其从业人员往往有机会接触、掌握大量公民个人信息,这些行业在公民个人信息管理上存有漏洞,再加上从业人员法律意识不强,易造成信息泄露,因而成为个人信息泄露的“重灾区”。
呼吁制定
个人信息保护法
目前,泄露个人信息、非法买卖个人信息的行为屡禁不止,尽管刑法中有“非法获取公民个人信息罪”加以约束,但其实真正能够运用到刑罚制裁的并不多。
***刑法学教授王钧认为,究其原因,是我国“非法获取公民个人信息罪”的构成要件容易让人“钻空子”。刑法规定的非法获取公民个人信息罪是指,“以窃取或者其他方法非法获取国家机关或者金融、电信、交通、教育、医疗等单位在履行职责或者提供服务过程中获得的公民个人信息,情节严重的行为”。
王钧认为这里面,对“情节严重”并没有细化。“这种表述,每个人的理解会有不同,司法实践中难以认定。”王钧认为,我国也没有法律明确,当非法获取个人信息“情节不严重”时应该怎么处罚。
王钧认为,制定一部《个人信息保护法》刻不容缓,应从立法上明晰个人隐私与公共信息涉及的不同范围界限,明晰公权力进入个人隐私范围的界限,明晰哪些公共信息可以开放或共享等。
江苏代表曾建议
立法保护个人信息
在过去不久的两会上,“个人信息安全保护”成为代表委员们热议的话题之一。全国人大代表、南京邮电大学校长杨震提交了一份关于启动《个人信息保护法》立法项目的建议,他认为,在大数据的时代,个人信息安全保护刻不容缓,建议尽快启动《个人信息保护法》立法。杨震认为,这并非危言耸听。在互联网高速发展的今天,个人信息泄露防不胜防。
新“消法”要求经营者不得泄露消费者信息
新“消法”明确提出,经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或可能发生信息泄露、丢失的情况时,应立即采取补救措施。对于泄露、出卖消费者个人信息的经营者,除承担相应的民事责任外,还要承担行政责任。