常莽

数据化时代，大家一方面欣喜其给生活带来的便利和智能，另外一方面也在担心个人信息的泄露。尤其是这两年随着各种大数据应用的普及，人们的担心甚至已经逐步超过欣喜，平台、机构信息泄露的事件，经常出现在我们眼前。例如，不久前圆通速递公司回应称，其内部员工与不法分子勾结，致40万条公民个人信息被泄露。尽管事件中的犯罪嫌疑人已经归案，但这起事件又给我们的个人信息保护敲响了警钟。

2020年11月17日，圆通速递在官方微博发文称：公司注意到，近日有媒体报道经公司报案、公安机关破获的非法获取并使用快递运单信息的案件。

圆通速递称，2020年7月底，公司总部实时运行的风控系统监测到圆通速递河北省区下属网点有2个账号存在运单信息的异常查询，判断为明显的异常操作，于第一时间关闭风险账号，同时立即成立由质控、安保、信息中心、网管以及河北省区组成的调查组，对此事件开展取证调查，随后向当地公安部门报案。

河北省邯郸市公安局反诈中心以及邯郸市永年区公安局，证实此案确是由圆通速递发现并报案的。

圆通快递公司在对此事件的回应中表示：通过公司调查发现，疑似有加盟网点个别员工与外部不法分子勾结，利用员工账号和第三方非法工具窃取运单信息，导致信息外泄。

据河北邯郸市永年区公安局反诈中心中队长王求东讲，犯罪的手段就是嫌疑人租用圆通公司的公号，然后登录去里边筛选收件人或寄件人的信息，整理出来以后再贩卖给实施电信诈骗的犯罪分子，他们涉嫌的罪名就是侵犯公民个人信息，他们是这个环节的犯罪。

经过警方一个多月的侦查，最终查获了圆通公司共5名员工，以每天500元的价格外租自己的员工账号，造成了40多万条个人信息泄露。

王求东表示，这5个账号总共流出的信息量，有效信息量是45 000条，有的外租时间长，有的外租时间短，最长是7天的，最短的就1天，我们统计的是45 000条，这45 000条里边的某个人就有可能成为电信诈骗受害者之一。

被泄露的45 000条信息中，包含了发件人地址、姓名、电话以及收件人电话、姓名地址共6个部分。而根据盗取个人信息的犯罪团伙供述，这些信息将被以每条一元的价格，打包卖到全国及东南亚等电信诈骗高发区。

圆通速递客服通过微博发布道歉声明。圆通速递表示，网上销售订单信息的主要原因，在于个别网络销售商家，需要虚假的交易信息，来提高网店的信用等级，而网上倒卖信息的发生，也显示出公司内部管理还需要加强。圆通速递也表示，此次案件再次敲响了信息安全风险的警钟，并对此案件暴露的问题深表歉意。

信息泄露是平台监管太过宽容吗

媒体报道圆通公司有5名员工涉及，记者从警方获得的信息是，这5名员工中有2名发现账户异常登录后及时修改了密码，没有直接造成损失，所以没有采取刑事措施，目前采取刑事措施的是3名圆通速递的员工。另外，这次信息的泄露，是圆通速递在日常监测中发现并且主动报案的，但这依然不能推卸该有的监管责任。

中国社科院法学研究所副所长周汉华表示，现有的相关法律法规，包括刑法修正之后，有一条“拒不履行信息网络安全管理义务罪”，其中有一项具体行为是“致使用户信息泄露，造成严重后果的”，所以相关执法部门其实应该跟进。包括在2013年之后，是否责令圆通进行整改，它采取了哪些整改措施？那5个账号被出卖之后，就能有40万的信息泄露，内部管理上其实已经存在非常严重的问题。所以，行政执法部门，包括刑事执法部门都应该跟进，“拒不履行信息网络安全管理义务罪”，这个武器是要用的，否则这样的事情就会层出不穷。

按照侵犯公民个人信息罪的司法解释，非法获取、出售或者提供公民不同类型个人信息50条、500条、5000条都可以构成刑事责任，所以本次事件中泄露的40万用户的4.5万余条有效信息是很多的。

周汉华表示，在网络时代，往往个人信息都是海量的。公安部2019年破获的一起案件里涉及到的个人信息达50亿条；在美国的Equifax征信公司，一次泄露了1.35亿条美国公民的个人征信信息；雅虎邮箱有一次泄露5亿条公民个人信息，另外一次是30亿条。所以在这个时代，其实每个人的个人信息都面临非常大的风险。快递信息的信息含量比较大，它包含了发件人地址、姓名、电话以及收件人、电话、姓名、地址，还会包括身份证信息、用户偏好等，这些对于大数据分析非常有价值，快递单信息一直是违法犯罪分子盯得比较紧的地方。

据周汉华讲，国际上现在对于个人信息保护面临一个问题，到底是打“苍蝇”还是打“老虎”？“苍蝇”往往是中下游的，像今天这个案子里这5个员工就属于是“苍蝇”。但平台、大公司就是“老虎”。如果要真正要解决个人信息滥用的问题，不打“老虎”是没有用的，所以国际上都是打“老虎”。“苍蝇”当然也要打，但是打“苍蝇”更多是通过治安管理处罚，通过治安管理的法律，包括追究刑事责任等。侵犯公民个人信息罪当中的50条、500条和5 000条的标准，对于自然人来说是构成刑事责任了，但对于“大老虎”来说，这个是不够的。

如果说密码、手机号、地址等被泄露、被获取，自己还有可修改的空间的话，那么对于个人生物信息的获取，这可是更大程度上的一种个人信息获取，这两年，人脸识别、声音识别，被运用的越来越多，该怎么保障安全？

人脸识别第一案

随着刷脸时代的到来，当人们享受着刷脸带来的移动支付、酒店入住、车站机场安检和智能安防等领域便捷同时，也有一些人在清醒地从另一个角度思考刷脸的安全性。

郭兵，浙江理工大学特聘副教授，多年来致力于研究个人信息保护的法律问题。同时，他还有另外一个身份———“国内人脸识别第一案”主诉人。2019年，他因杭州野生动物世界年卡由指纹识别“强制”升级为“刷脸”入园，将杭州野生动物世界诉至法院。

郭兵表示，作为一个关注个人信息保护的学者，我认为像动物园这样一个商业组织，如果在没有征得游客或者消費者知情、同意的情况下，擅自使用人脸识别技术，肯定是涉嫌违法的，除了在征得消费者的同意之外，我认为还应当告知消费者使用的目的和风险，让消费者真正知情。

目前，该案还在审理中。事实上，郭兵所在的杭州市对人脸识别的风险和法律属性也在进行探索。2020年10月28日，《杭州市物业管理条例（修订草案）》被提请至杭州市第十三届人大常委会第三十次会议审议，已进入二审阶段。

在修订草案中新增且明确了物业服务人不得强制业主通过指紋、人脸识别等生物信息方式使用共用设施设备。而这一条款的由来，同样也是源于郭兵。

郭兵表示，自己是真的希望后面立法能够精细化一些，能够更多地防范到刷脸风险，因为我们现在个人信息泄露，有点类似我们现在网络空间的污染，对于个人信息的保护是一定不能像以前我们治理环境污染那样，先污染后治理的策略，生物识别信息一旦广泛泄露，它跟环境治理完全不一样，真的是很难把后果。

如果这份修订草案审议通过，《杭州市物业管理条例》将成为国内首部对小区人脸识别纳入物业管理的法定条例。

杭州市司法局副局长曹佃杭表示，立法应该有一定的前瞻性，不能等问题爆发了我们再去规范立法，这样做的话管理成本非常大，而且难度会成倍的增长，我们的条例并没有否定物业公司，不能采用刷脸系统，也就是说允许刷脸系统进行关联、管理，但是必须要争得业主的同意。也就是说如果经过业主的同意的话仍然可以采集他的人脸、生物信息，但是如果业主不愿意的话，那么不能强行去采集业主的生物信息，应该允许用卡或者其他的方式，进入小区。

从首个诉讼到首次进入地方规范，意味着以指纹、人脸、声纹和虹膜等为代表的个人生物识别信息的应用和保护已经越来越迫切。

除了人脸识别，手机因为开放权限导致疑似被监听，也已经成为公众的另一个困扰。

手机用户刘倩：我跟同事聊宝宝的事情，给宝宝办理证件的一些问题，我的购物软件和浏览器会给我推宝宝证件套这类商品，但是我甚至没有上网搜过宝宝证件这些，我感觉挺恐怖的。

手机用户苑庆攀：我跟朋友说椰枣，然后过了一天我就在某App刷到了关于椰枣的推荐的视频，我就觉得很惊讶。

周汉华表示，在国外也出现过类似被监听事件，也算是丑闻。这对个人的隐私，甚至对个人的人身和财产安全都带来很大挑战。有一些App必须要用麦克风，因为有通话功能，但很多App其实没有通话功能，比如一些阅读的App，它也来调取你的麦克风，这个情况下就需要法律介入，必须要有合理的业务上需要才能调取，否则不应该调取麦克风，但是，这必须得有监管机构来进行判断。很多App都觉得自己需要调用很多个人信息，不然无法提供服务，实际上很多时候是没有道理的。比如一个阅读软件，只提供文字方面的服务，那根本不需要麦克风，即使真的需要麦克风，也不是永远都需要，可能只是需要时才能调用，不需要时就应该尊重用户的选择，不能让它永远给你开着。

个人信息保护法律如何起作用

2020年上半年，人脸识别技术应用安全调研课题组发布的一份线上问卷，共有2万多人参加，这组数据至少可以反应出公众对于人脸识别应用的一个基本态度方向。

周汉华表示，其实现在国际上已经对人脸识别问题讨论得非常多了，很多主体现在已经意识到人脸识别所带来的后果。像美国旧金山，明确规定禁止人脸识别；在其他领域，微软做出了对人脸识别的一些准则性要求，明确在什么情况下来进行人脸识别等。由于现在已经进入4G、5G时代，它是一个视频的时代，这时人脸的使用面越来越广，带来的风险就会前所未有的高。因为人脸是没法换的，如果是密码还可以换，甚至地址也可以换、车也可以换，但是人脸换不了。所以这个损害一旦造成，是无法挽回的。这就需要在立法中，在执法中把这个作为重中之重来加以保护。

一方面是技术和市场的发展，有市场需求，也有高科技发展需求，另外一方面，是人们对于自身信息安全方面更深层次的担心。不是说这二者一定对立，只能选其一，而是当有了技术的发展之后，技术该怎么适度运用，要有明确的红线界限，技术运用的前提一定是安全。技术需要发展，但前提是安全，尤其是涉及到个人隐私、个人信息，我们希望法律和监管，能够在未来真正起到作用，保护我们每一个人的隐私。