信息泄露课件

浙江警官职业学院刑事司法系监管中试132区队第一组2013.09.27信息安全管理实务监管中试132区队

学习单元

信息泄露

小组成员：沈慧华

陈莉

王雯涛

李宏伟

蒋立勋监管中试132区队第一组【案例】2012年央视315晚会曝光招商银行、工商银行等银行网上银行失窃案，银行内部员工被曝泄露出售客户信息。招商银行信用卡中心风险管理部贷款审核员胡斌，向朱凯华出售个人信息300多份。中国工商银行客户经理曹晓军，通过中介向朱凯华高达2318多份。向朱凯华出售信息还有农业银行、中国工商银行等员工。个人征信报告，银行卡信息，本属该被严格保密的个人信息，在这些银行工作人员手中，却被一份十元或几十元低廉价格大似兜售，这样的隐患值得关注。

根据斯诺登向英国《卫报》和美国《华盛顿邮报》披露的信息，多家知名国际IT公司先后加入了棱镜项目，分别是微软（2007年）、雅虎（2008年）、Google（2009年）、Facebook（2009年）、Paltalk（2009年）、YouTube（2010年）、Skype（2011年）、美国在线（2011年）以及苹果公司（2012年）。此外，Dropbox也被指控“即将加入”。根据被披露的“棱镜”项目细节，美国情报部门从上述互联网服务提供商的服务器直接进行信息收集。【法律依据】一、非法获取公民个人信息罪的概念和犯罪构成《中华人民共和国刑法修正案（七）》第二百五十三条规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”从该条的规定，非法获取公民个人信息罪是指窃取或者以其他方法非法获取公民个人信息，情节严重的行为。【法律依据】非法获取公民个人信息罪的犯罪构成。该罪侵犯的客体是公民个人身份信息的安全和公民身份管理秩序；该罪客观方面表现为行为人以窃取或者以其他方法非法获取公民个人信息，情节严重的行为；该罪犯罪主体为一般主体，单位可以构成本罪；主观方面表现为故意。所谓故意，即明知公开、泄露他人信息会侵犯他人的权益和危害社会，却仍然去实施这种行为的心理状态。

【法律依据】

二、公民个人信息的涵义和特征由于我国尚无公民个人信息保护法，对公民个人信息没有明确的规定，修正案也没有对公民个人信息作出界定。一般来说，公民个人信息是指能够识别公民个人身份的信息，主要包括姓名、年龄、性别、身份证号码、职业、职务、学历、民族状况、婚姻状况等相关信息。但笔者认为，作为侵犯公民个人信息犯罪对象的个人信息不同于普通意义上的个人信息。侵犯公民个人信息犯罪的对象必须是一旦泄露即可能导致公民权利受到严重侵害的信息。因此，在这种意义上的个人信息应是本人不希望为一般人所知晓，具有法律保护价值的能反映公民个人生理及身份特征、社会生活经历及家庭、财务状况及社会生活过程中取得、采用的个人识别代码。它具有以下几个特征，一是主观上不希望他人知晓，二是具有法律保护价值的，三是一旦泄露即可能导致公民权利受到严重侵害的。【法律依据】

三、非法获取公民个人信息罪中公民个人信息范围的界定

从《刑法修正案（七）》的规定看出，非法获取公民个人信息罪的规定有一个修饰语句，“上述信息”，那么它应当是指国家机关或者金融、电信、交通、教育、医疗等单位的工作人员在履行职责或者提供服务过程中获得的公民个人信息。但在实践中除了上述几类行业所掌握的个人信息外，还有很多包含公民姓名、电话号码、家庭住址等与公民个人存在关联并可以识别特定个人的信息，同样对公民的人身安全、财产安全和个人隐私构成严重威胁，如从房地产销售渠道流出的购房信息、从保险公司流出的客户信息等等，这些公民个人信息被窃取或者被非法获取，情节严重的也应该构成非法获取公民个人信息罪，因此，笔者认为，只要是窃取或者以其他方法非法获取公民个人信息，情节严重的均构成非法获取公民个人信息罪，而不局限于国家机关或者金融、电信、交通、教育、医疗等部门和行业掌握的个人信息。【法律依据】

四、非法获取公民个人信息罪中“非法获取”行为的认定。

非法获取公民个人信息罪首先是“非法”，非法是指违反法律法规禁止性规定。本罪的行为方式表现为窃取或者以其他方法非法获取公民信息，“窃取”和“其他方法”。“窃取”指秘密盗取。“其他方法”指“窃取”之外的非法获取手段。“其他方法”具体有哪些表现刑法没有规定，实践中表现形式多样。但不论何种形式，在性质上都应当与窃取具有相当的社会危害性，而且应具有一定的主动性，除窃取（包括偷拍、秘密录音、秘密跟踪调查等）之外，通过骗取、利诱、胁迫、抢夺、抢劫、恐吓、非法侵入他人计算机系统等法律明文禁止的手段而获取的，均可视为“非法获取”。【法律依据】

五、非法获取公民个人信息罪中情节严重的认定。

依修正案，窃取或者以其他方法非法获取公民个人信息，情节严重的，方可追究刑事责任。但何为“情节严重”，尚无明确的规定可循。在司法实践中，一般掌握的“情节严重”标准，应从非法获取信息的目的、犯罪手段、信息的用途、犯罪后果、获取数量及获取次数等方面进行判断。具体而言对于非法获取公民个人信息罪来说，具有以下情节的，可以判断为“情节严重”，一是利用的获取信息用于违法犯罪活动的；二是给公民造成较大经济损失或恶劣影响。三是严重干扰被害人的正常生活或严重影响被害人名誉（包括致使受害者精神失常或自杀），四是非法获取公民个人信息手段恶劣的，五是利用所获信息从中获利，数额较大，六获取信息数量较大，或是获取信息次数较多的。【原因分析】

一、行业监管不力，部分工作人员谋私利在信息高度发达的现代社会，一个人不可能与世隔绝，人们频繁地与外界交往，造成某些个人信息时刻处于被泄露的状态。汽车销售商、房产中介、医院等行业及其从业人员往往有机会接触到大量的公民个人信息，这些行业虽均有系统内部出台的关于个人信息的保护意见和规定，但由于部分从业人员法律意识不强，且内部执行不到位等情况，部分工作人员谋取私利，造成这些行业成为个人信息泄露的“重灾区”。生活在分工细致、彼此关联性极强的现代社会，不知道要留多少次身份证号码、手机号码和家庭住址等个人信息，设想如果当人们将信息留给商家或公共服务部门时，某些工作人员为了蝇头小利，出卖了顾客的信息，带来的也许是一系列的连锁反应，那么后果将是无法预计的。【原因分析】

二、缺少强有力的法律保护根据罪刑法定的原则，只有非法泄露和贩卖信息的，才有判刑入罪之虞，最近几年已经有类似案例。但对于疏于管理而导致员工泄露信息的，还没有有效的法律制约。比如对责任人的处罚，以及对受害人的赔偿等等，这也成为这种信息泄露现象屡禁不止且愈演愈烈的原因之一。在一个诚信状况不理想、责任感普遍缺失的社会，仅仅依靠人们道德自律，恐怕远远不够，再加上缺少强有力的法律手段来保护，人们即使发现了自己的信息被泄露，也会因为担心维权的结果不尽人意而最终放弃维护自己的合法权益。【原因分析】

三、个人的信息保护意识不强律师协会曾作过调查，发现在个人信息曾被泄露或滥用的被调查者中，仅有4%左右的人进行过投诉或提起过诉讼。为什么老百姓遇到信息泄露时不愿意述诸法律？其中因素很多：1、无法确定哪些机构泄露了客户的信息。比如购车者的信息是驾校还是汽车销售商还是交管部门，这是一个比较难以确定的问题，造成不知道以谁为对象提起诉讼。2、中国人的潜意识里不愿意轻易述诸法律。原因在于中国历史文化的影响、诉讼的成本相对过高、诉讼程序繁琐。3、中国人目前普遍自我保护意识不够。虽然近几年随着社会文明程度的提高，中国人的自我保护意识得到很大的提高，但是还远远未达到国外发达国家公民的自我保护法律意识。【设想和建议】

一、健全完善法律法规，严厉打击不法行为在这一点，我们可以借鉴国外一些好的做法。在国外，对于侵犯个人信息保护相关法律的个人和单位，都会受到严厉的制裁，违法的任何单位和个人其法律责任是极为惊人的。而我国当前对于个人信息的保护机制还很不完善，而且按照目前的法律规定，侵犯个人隐私权而受到的处罚也几乎没有威慑力。这样一来，由于受害者诉讼成本过高，也缺少法律援助，所以就算赢了官司，也很难得到适当赔偿，这等于纵容了泄露个人信息的侵权行为。最近国家也在制定个人信息保护国家标准，但是据新闻介绍该标准只是技术性指导标准，还不是法律，到底对商家、个人有多大制约性还不得而知。期待较为健全、有实际操作性的个人信息保护法规尽快出台。【设想和建议】

二、与企业信用挂钩，加强企业内部控制制度在目前法律法规没有健全之前，政府应该将个人信息保护与企业或个人的信用挂钩，就像现在的银行对客户的资信等级考核：如果信用卡没及时还钱、恶意透支、房贷不及时归还、公司贷款到期不还等等，银行都会给你记上一笔，会对你在银行的资信等级造成影响。对于出现客户信息泄露的企业或泄露客户信息的个人，政府应该建立一种专门信用等级并予以挂钩，这样才能起到一定的辅助作用。这个专门信用等级的建立是依据道德诚信为基础的，这个信用等级会对企业、个人很多方面有制约，比如几次泄露客户信息造成信用等级降到一定等级的企业营业执照无法通过年审或获得贷款、某些信用等级低的个人无法在银行办理信用卡、贷款或影响就业等等。对于企业而言，信用等级的挂钩将会促使企业加强对自身管理制度的完善及对员工的管理，对泄露客户信息的个人而言也将带来极大的威慑。【设想和建议】

三、提高个人信息保护等级由政府部门成立专门存储私人信息的机构，由此机构统一存储公民个人信息，包括姓名、身份证号码、户籍、婚姻状况、教育情况、职业、等可以识别该个人的信息。当个人去办理某些需要提供验证个人身份的业务时，比如办理银行卡，只需携带由该机构出具的证明或者是验证码，由银行直接申请调用该个人的身份信息，无需个人再重复填写，减少个人信息的出现频率，也免除商家或公共服务部门要承担保存大量客户信息的工作。另外政府部门应该建立公民指纹识别系统，用来代替简单的字符密码，这样不仅可以减少由于密码泄露给个人带来的损失，同时也可以解决现代社会中一人往往有多个密码造成的记忆混淆问题。【设想和建议】

四、互联网高速发展严重影响个人信息保护中国目前已经成为全球互联网第一大国，以计算机为基础的互联网正在深刻影响这个社会的每一个角落，虽然网络给人们带来的极大的便利，但是由于网络的发达造成个人信息保护面临更危险的境界。某些个人信息一旦被个别人披露到网上，很快就会传递到天涯海角，成为众所周知的“秘密”。网上购物注册的实名信息如何保护？黑客攻击网站获取信息怎么控制？现在社会亟待针对互联网的个人信息保护的法律法规的建立健全，这是一个很大的问题。【设想和建议】

五、信息保护的立法不能阻碍信息的流通个人信息的立法保护一方面要保护个人的信息安全性，另外一方面又不能阻碍正常的信息流动。如果对个人信息的保护走入极端，势必使得每一个人都成为信息孤岛，全社会信息阻塞。作为立法一定要协调好两者关系目前全世界个人信息保护基本两种模式：欧盟模式和美国模式，前者严格而后者自由一些。作为政府部门在制定个人信息保护时应该充分考虑中国的国情，借鉴国外的成熟经验，制定符合中国国情的个人信息保护法规。

六、加强行业监督