◎文/本刊记者 何玲

11月26日，杭州市公安局召开通报会，截至目前，全市侦破侵犯公民个人信息案件80余起，抓获犯罪嫌疑人200余人，打掉犯罪团伙35个，缴获各类公民个人信息1300万余条；铲除了一系列侵犯公民个人犯罪产业链条，特别是针对房产、中介、物业等行业侵犯公民个人信息乱象进行了严厉打击。

11月28日，中国消费者协会在京发布《100款App个人信息收集与隐私政策测评报告》。报告显示，100款App中，超过九成App列出的权限存在涉嫌“越界”，也就是存在过度收集用户个人信息的问题。

11月30日，万豪国际酒店集团今日宣布，旗下喜达屋酒店的一个顾客预订数据库被黑客入侵，可能有约5亿顾客的信息泄露。这些可能被泄露的信息包括顾客的姓名、通信地址、电话号码、电子邮箱、护照号码、喜达屋VIP客户信息、出生日期、性别和其他一些个人信息。

……

11月末，关于“信息泄露”的几条消息牵动着大家的“神经”。如今，人们对网络越依赖，个人信息就变得越“透明”。随之而来的个人信息泄露事件，不断挑战着社会底线和法律权威。对于互联网来说，如何防止信息泄露似乎成为了一个老生常谈而又常谈常新的话题。目前信息泄露究竟有多严重？谁又是买卖信息的幕后“黑手”？政府和企业该如何防范信息泄露？

“黑灰产业链”已达近千亿元规模

“喂，请问贷款业务您有需要吗？”“关于保险，您考虑投资吗？”“您近期有购房的打算吗？”……事实上，这就是个人信息被泄露典型场景。在平时的日常生活中，大家可能会发现，你刚买房，就有装修的给你打电话，刚出事故保险公司就打电话找你，除此之外还有各种各样的推销、诈骗电话，干扰了我们的日常工作和生活。

网络信息技术的高速发展，使个人信息的整理、收集和传输变得越来越容易。比如，网上购物、聊天、发邮件、打印复印材料等行为会不经意“输出”自己的姓名、身份证号、电话、住址等个人信息，这些个人信息一旦被泄露，可能就会被非法人员利用并造成严重损失。

不久前，中消协发布的《APP个人信息泄露情况调查报告》显示，个人信息泄露的两条最主要途径，一是经营者未经本人同意暗自收集个人信息，二是经营者或不法分子故意泄露、出售或者非法向他人提供个人信息，这两者均超过调查总样本的60%。

“网络具有即时性与虚拟性，加上个人信息被广泛采集却未受到良好保护，公民个人信息一旦泄露，普遍存在举证难、损失认定难的情况。”中国法学会消费者权益保护法研究会副秘书长陈音江说。

据了解，今年2月，公安部部署全国公安机关开展为期一年的打击整治网络违法犯罪“净网2018”专项行动。专项行动开展6个月以来，公安机关着力打击上游犯罪，加大力度对提供信息支撑、技术支撑和工具支撑的侵犯公民个人信息犯罪、黑客攻击破坏犯罪和非法销售“黑卡”犯罪进行严厉打击，抓获犯罪嫌疑人8000余名，其中涉电信服务商、互联网企业、银行等行业内部人员300余名，黑客1200余名，缴获“黑卡”270余万张。

公民的个人信息，作为商品在黑产中流转，信息泄露已然成为了一条“有利可图”的黑色产业链。据媒体报道，2017年我国网络安全产业规模为450多亿元，而黑灰产却已达近千亿元规模。

“黑鬼”与“黑客”成信息泄露主要渠道

今年8月底，华住旗下多家连锁酒店开房信息的数据被人在暗网出售，标价8个比特币，或520门罗币，约等于人民币37万元。

利益驱动而引起的信息泄露、非法买卖公民个人信息等网络灰色产业的发展，带来越来越严峻的安全问题。 记者了解到，当前网络侵犯公民个人信息犯罪活动，形成 “源头——中间商——非法使用人员”的交易模式 。 各层级人员身份既相对独立又相互交叉，形成非法获取、贩卖、使用的利益链条以及以牟取不法利益为目的、市场化运作、专业分工实施、交易金额巨大的黑色产业。

“这条产业链结构完整、分工细化，个人信息被明码标价，流通变现环节主要包含三个方面。”据中国人民大学法学院博士后刘笑岑介绍，上游环节负责“源头供货”，非法获取或向他人提供个人信息，主要来自于黑客攻击和“内鬼”外泄；中游环节负责对从上游处获取的个人信息进行处理与再加工，通过买卖、交换等形式形成规模化市场；下游环节负责“应用变现”，将所获个人信息应用于电信诈骗、恶意营销等不法渠道以牟取高额利润。

究竟谁是买卖个人信息的幕后“黑手”呢？长期从事侦查电信诈骗案件的警察吴世勇说，非法获取、买卖公民个人信息黑色产业链之所以形成主要有两方面原因：一方面，大数据营销方兴未艾，各类广告公司、大数据运营商、保险公司、中介公司等机构对于公民个人信息存在庞大需求；另一方面，侵犯公民个人信息犯罪为电信网络诈骗、金融诈骗、敲诈勒索等提供了作案便利，这是此类违法犯罪活动屡禁不绝的重要原因。

记者从多地反诈骗中心了解到，目前电信网络诈骗案件 90% 以上是违法分子靠掌握公民详细信息进行的 精准诈骗，从已破获案件看 ，“内鬼”监守自盗和黑客攻击是公民个人信息泄露的主要渠道。

筑牢“防火墙”惩戒买卖市场须双向着力

今年5月，最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，规定利用非法购买、收受的公民个人信息获利5万元以上等情形的；非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上等情形的，应当认定为“情节严重”，面临承担刑事责任的法律后果。

近年来，有关个人信息保护法律条文多次出现在各种法律法规之中。据统计，目前有近40部法律、30余部法规涉及个人信息保护，包括民法总则、刑法、消费者权益保护法、网络安全法以及新近通过的电子商务法。中国人民大学法学院教授杨立新认为，现有的法律法规已经足以保护个人信息，重点是加强司法上的民法保护，在惩戒手段、赔偿问题上落实落细，加强对侵害个人信息权行为的打击力度，承担赔偿责任。

黑产的交易离不开买卖双方，同样加强对侵害个人信息权行为的打击力度，也须在买方市场和卖方市场同步着力。业内人士表示，个人信息获取、存储和利用的环节众多，许多信息的传播又具有隐蔽性和复杂性，做到切实保障公民个人信息安全，需要公民、信息采集机构、技术人员和有关部门协同共治。就企业管理层面而言，要推动数据防窃密、防篡改、防泄露等安全技术的研发和部署，有效降低不法分子窃密风险。厦门市公安局刑侦支队民警陈鸿建议，应在大量掌握公民个人重要信息的部门建立数字证书制度，工作人员必须使用专属于个人的数字证书才能登录、查看、下载单位信息系统数据，实现全程留痕，一旦发生信息泄露，可以倒查责任人员。

就监管部门而言，要进一步加大对电信诈骗、网络诈骗等违法犯罪活动的打击力度，持续形成高压态势，保护消费者的合法权益。“对于信息保护，目前公安、工信、网信、司法等多家部门都在管，需拧成监管合力。”据刘笑岑表示。