大量身份信息泄露,源于管理漏洞
“常住人口基本信息”泄露事件众多
三里屯不雅视频女主角的个人信息被泄露前不久的北京三里屯某试衣间不雅视频流传事件,想必国人还印象深刻,个中反映的其他问题且不谈,很多网友诧异的一点是,为什么不雅视频当事人这么快就确定了身份?确实,随着信息化程度的不断升高,网友“人肉搜索”的能力变得越来越强。但这次“人肉”的关键一环,还是在确定了部分当事人关键信息后,有人把当事人身份证号、出生日期、户籍所在地都“扒”了出来。方式就是查询并截屏了当事人的“常住人口基本信息”,并公布到网上。
这样的截图并不容易造假,因此很可能确实泄露了视频当事人的真实信息。那么这个“常住人口基本信息”是从何而来呢?很多人也许对类似的截图都有印象。的确如此,就在不久前“艺人李易峰杨洋身份证信息遭泄露”事件中,两位艺人的身份信息也是被题为“常住人口基本信息”的截屏泄露。这起事件的经过有明确的官方说法,江苏如皋市某女民警的女儿,在母亲办公场所私自查询了公安网的身份信息并拍照上传,造成了泄露。换言之,这类“常住人口基本信息”的截屏,很可能是来自公安系统的。
艺人李易峰的身份信息被泄露这类“常住人口基本信息”截屏外泄的情况的确是相当常见。这几天颇引人注意的“山东爱国青年被群殴”事件,当事人候某某的“常住人口基本信息”就被传到了网上。而前段时间在游戏圈非常知名的“刘某某举报索尼PS4事件”,当事人刘某某的“常住人口基本信息”同样也被公布到网上并广为流传,很多人还对刘某某进行了人身威胁。
举报索尼游戏机的刘某某个人信息被泄露身份证或户籍信息的泄露也不是近年才有的事。2006年,某网站“热帖吧”发现了一个名为“内地明星身份证照片大全”的帖子,上面有徐静蕾、袁泉、章子怡等24位明星的身份证照片,他们的照片一律为黑白大头照片,看得出确实是证件照片。2009年 ,这起事件升级为“近百位内地艺人身份证照片曝光”。
也有很多人在网上反映,只要在警察局“认识人”,很容易获取此类信息。
“常住人口基本信息”泄露的危害有多大,不难想象。一旦被犯罪分子盯上,人身、财产安全可能都会受到威胁。而即便没有被盯上,身份信息被泄露并广泛流传在网上,也足以让当事人感到恐惧不安。
这种泄露很大程度源于警务信息化背景下的管理漏洞
如前所述,这类“常住人口基本信息”泄露的一个重要源头是警方。有警察在网络社区承认,确实有些警务人员喜欢八卦及分享,而且职业道德素养偏低,部分公安干警对待一些涉及公民隐私信息的态度不负责任。
但更大的问题还在管理漏洞。湖北某县公安局网站上有篇分享自公安内网的文章,题目赫然叫作《谁都能够用的公安信息管理系统》,里面称“公安网上面有许多系统任何民警(使用PKI、或者使用本人的用户名和密码、或者不用账号、或者使用公共账号)都能够访问和查询。如,省市两级警务信息综合应用平台、公安综合查询信息系统(包括了全国八大资源库)、全国PKI/PMI认证授权访问系统(实现了信息关联)、全国人口信息管理系统……”
“常住人口基本信息”的截屏也许就来自这个“全国人口信息管理系统”,据介绍,这个系统中有关于人员较为完整的全项信息,同时这个系统还负责向综查系统、省厅及公安部提供常住人口简项数据,因此这个系统可查询到较全面的常住人口信息。
这篇文章还称,“许多民警已经知道这些系统的基本用途,简单查询、精确定位查询比较多,组合查询、自由查询少,实战应用技能还有欠缺,对系统资源的深度应用、拓展应用还不够。”但文章全篇完全没有提任何跟个人信息和隐私可能泄露的问题。
“任何民警都能够访问和查询”还不足以反映“谁都能够用”的程度。按照相关规定,“只有人民警察才享有使用公安信息网络的资格”, 但实践中, 合同制民警、 协警、 辅警、 公安院校实习人员,甚至外包技术公司人员都往往可以查到各种重要信息。
这充分说明了管理上的漏洞,仅仅为了使用方便,却没有考虑隐私泄露的风险——让过多的人有权限查看相关信息,个人信息泄露的风险自然就大。这也与相关法规不健全有关,目前仅有《公安信息化标准》、《公安部关于进一步规范和加强公安机关执法信息化建设的指导意见》、 《公安内网使用管理规定》 等公安系统内信息化工作标准和相关指导性文件, 内容不够详细, 法律效力较低, 可操作性较差。导致很多警察对泄露公民个人信息不以为意。
惩处不力加大了人们对管理漏洞的担忧
目前,对于使用公安系统泄露个人隐私的处罚,主要根据《公安机关人民警察使用公安信息网违规行为行政处分暂行规定》,也即内部处罚,主要是警告或者记过。“艺人李易峰杨洋隐私被泄露”事件,涉事女警被给予行政记过处分,中队负责人被给与行政警告处分。这还是在备受关注之后的受到的处理,而此前提到的三里屯事件信息泄露、侯某某信息泄露、刘某某信息泄露,均未看到相关调查或处分。
至于说信息泄露受害者向公安机关提出行政诉讼,则闻所未闻。
艺人信息泄露,当事警察仅受到记过处分回应人们对身份户籍信息泄露的担忧,要多方面着手
首先要完善法律,并尽快完成《个人信息保护法》的立法工作
在发达国家,对于个人信息的保护是非常重视的,首先体现在立法方面,都有相当完善的法律体系。而在世界上很多国家和地区重视个人信息保护的大背景下,我国对个人信息保护状况不容乐观。目前,中国大陆仅出台一部个人信息保护的专门性法律——《全国人大关于加强网络信息保护的决定》(2012年12月28日颁布),该决定仅对公民个人身份和涉及公民个人隐私的电子信息进行保护,主要针对网络服务提供商。其它的涉及个人隐私信息保护的规定虽然也有不少,散见在《民法通则》、《侵权责任法》、《居民身份证法》、《治安管理处罚法》、《政府信息公开条例》、《刑法》之中,但都比较粗疏,难以有效执行。
从域外经验来看,一部专门的个人信息保护法律是很有必要的。日本的个人信息保护法律体系,最重要的就是于2005年4月1日实施的《个人信息保护法》。这项法律的基本原则是“个人信息,应在尊重个人人格的理念下慎重处理,正确对待”,取得了良好的效果。因此,我国建立一部完整的《个人信息保护法》也势在必行,不过这个法律虽然提了很多年,目前还不清楚什么时候才能有望通过。
其次要有处理民众担忧的专门机构
这方面要学习的是香港地区。针对公民对个人隐私泄露的担忧,香港多年前就成立了一个叫做“个人资料私隐专员公署”的独立法定机构,负责监察香港法例第486章个人资料(私隐)条例的施行。采取推广、监察及督导措施,促使各界人士遵守个人资料(私隐)条例,以确保个人资料私隐得到保障。2014年这个机构接获并处理了1700多宗投诉,完成了数百场隐私教育活动,上10万人接受了关于个人隐私资料方面的教育。
对于内地来说,这种做法是极有参考意义的。现在最大的问题就是人们在个人信息泄露后,根本就不知所措,不知道如何维权,有一个专门机构提供指引必不可少。
最重要的是,要提升个人信息保护的全民意识
窥私欲、八卦心理,很大程度上是好奇心引发的本能,但在不受制约的情况下,会造成很多危害,尤其是在信息技术日新月异的情况下。在这种情况下,要保护每一个人的个人信息不受侵害,需要整个社会提升意识,这不是一朝一夕之功。但一些域外经验给我们提供了很好的榜样。
例如,2012 年初,欧盟出台了一项有关个人信息保护的改革方案。和欧盟 1995 年颁布的数据保护指令相比,这个改革方案赋予民众一项新的关乎个人信息的权利,即民众有权要求相关机构删除有关他们的个人数据,同时阻止那些个人数据的进一步传播。这项权利被称作“被遗忘的权利”或“删除的权利”。这个权利的诞生,与欧洲人强烈的隐私保护倾向有很大的关系。
再比如日本,也是一个个人信息保护得很好,堪称“加密了”的国家。以教育领域来说,凡涉及学生入学成绩、考试成绩、奖学金资料、处分记录、学生家庭联系方式等的资料,发送时均采取加密方式。不仅电子信函如此,各种会议资料涉及许多人名,也要利用纸张粉碎机频繁销毁会议资料。有些教师需要销毁的东西太多,他们干脆自己买台机器放在研究室内,随手销毁废弃资料。另外,图书馆工作人员不泄露借阅者借阅书目,医生不透露患者的身体状况,餐厅服务员不能透露顾客喜爱的菜谱,都成为社会共识。在这种情况下,日本很多知名文艺界人士,不想披露真名的,可以让粉丝几十年都无法知道其真实身份。
而相比之下,我国很多人还抱着“法不责众”的心理,为满足窥私欲,去查看、传播各种隐私信息,让个人信息泄露的恶劣状况更加难以治理。
日本知名少女歌唱组合ClariS,出道以来任何个人身份信息均保密,开演唱会也见不到真容,信息从未泄露
