个人信息泄露法律责任界定日渐清晰：谁收集谁负责

“您所乘坐的航班出现故障不能起飞，收到信息及时联系专线4008162378办理变更或退票……”福州市民梁先生在同程网上预订了两张南宁飞往福州的机票，可就在登机前两天，他却收到了机票“退改签”的短信，上面清清楚楚显示着他的真实姓名、证件号码、航班信息。

“到底是谁泄露了我的航班信息？”差点信以为真的梁先生在确认发来短信的号码并非航空公司的客服热线后，才明白这是一条诈骗短信，没有上当。但对于自己的信息如何让对方知晓，他却一直想不通。

随着互联网技术的突飞猛进，网上购物、移动支付、大数据等给人们生活带来极大便利的同时，也给个人信息安全带来了前所未有的风险，侵犯公民个人信息犯罪持续增多。面对个人信息泄露引发的信息买卖、无端骚扰和电信诈骗，公民尚需小心防范，公安机关对个案的打击，也对此类犯罪起到一定的遏制作用。但如果因信息安全监管本身存在漏洞，那将会直接导致公民安全受威胁、财产受损害，使我国公民个人信息安全体系面临更严峻的考验。

航班被陌生人取消

乘客信息安全存漏洞

“民航旅客订座系统”(Eterm系统)，是中国民航信息网络股份有限公司(以下简称“中航信”)开发的订票系统。由于该系统操作界面是黑色背景、绿色和黄色字体，因此又被业内人士称为“黑屏系统”。

作为目前国内各大航空公司的订票系统，“黑屏系统”面向航空公司、机场、机票销售代理等机构，主要提供航空客运业务、航空旅游电子分销等服务。

今年2月，林女士通过一家航空公司官方APP软件预订了一张从北京飞往英国伦敦的机票。4月19日，她突然接到APP发来的信息，称她订的机票已经成功退票。林女士坚称自己从来没有申请过退票，但经该航空公司客服确认后，这一行为正是林女士自己通过APP软件操作所致。林女士再次打开APP确认，发现“常用乘机人”中竟然有几个陌生人的资料。这些人的姓名、联系方式、身份证号码、开户银行和卡号全都一目了然，另外还有十几条不属于林女士的航行记录也都赫然在列。而林女士的机票，就是其中一个关联人取消的。

这个关联人发现自己收到了从北京飞往英国的航班提示，但自己并没有购票过，便选择了取消。本应安全隐密的订票信息竟毫无保留地呈现在陌生人面前，而对方只需要动动手指，就可以任意对这些信息进行修改、取消等操作。

据某机票代理商负责人介绍，有权限查看并有可能泄露乘客航班信息的源头，主要有机票代理商、航空公司工作人员、中航信工作人员以及黑客这4大类人群。他们通过不同渠道和权限，在Eterm系统上只需输入乘客身份证号，就能查到包括乘客相应航班的座位、舱位、电话号码等详细资料，完全不需要乘客本人的验证。

因此，尽管信息泄露渠道繁多，但源头都指向了Eterm系统。虽然登录该系统需要特定的账号密码，但信息“倒爷”们会通过淘宝、QQ等网络平台向机票代理商、航空公司工作人员购买账号密码，或者直接通过“黑客”手段，通过软件将一个账号分出数个小号，便可顺利访问中航信的数据库。

事后，虽然航空公司APP工作人员回应称，机票被别人取消是软件系统漏洞才闹出了“大乌龙”，然而公民个人信息的泄露却并不只是一个偶然事件。

信息泄露防不胜防

安全监管需兼顾平衡

2013年底，一家为全国4500多家酒店提供网络服务的公司因系统存在安全漏洞，致使全国高达2000万条宾馆住宿记录泄露。2015年初至2016年6月，丁某在不法网站上非法下载获取这些宾馆住宿记录等公民个人信息，并上传至自己开办的“嗅密码”网站。

该网站除了能够查询住宿记录外，还提供用户QQ、部分论坛账号及密码找回功能。其中住宿记录共有将近二千万条，用户经注册成为会员后，可以在网页“开房查询”栏目项下，以输入关键字姓名或身份证号的方式查询网站数据库中宾馆住宿记录(显示姓名、身份证号、手机号码、地址、住宿时间等信息)。自2015年5月份左右，丁某开始对该网站采取注册会员方式收取费用。一年时间里，“嗅密码”网站共有查询记录49698条，收取会员费191440.92元。此案经审理后，丁某以侵犯公民个人信息罪被判处有期徒刑三年，并处罚金人民币二万元。

公安部网络技术研发中心主任许剑卓分析说，侵犯公民个人信息的犯罪已经成为其他各类犯罪的上游犯罪，不管是敲诈勒索、电信诈骗等等各类犯罪，多数以非法获取个人信息为前提。

最高人民法院研究室主任颜茂昆认为，大数据时代，包括个人信息在内的数据只有通过流动、共享甚至交易才能充分发挥其社会价值、经济价值，而这些数据在流动和交易过程中，又极易产生个人信息扩散、失控的危险。因此，处理大数据发展的现实需要与保护公民个人信息之间的关系应有两个关键词：一是兼顾，二是平衡。

颜茂昆认为，所谓兼顾，就是在发展大数据的同时，必须依法保护公民个人的信息安全。只有包括个人信息在内的数据在法律的保护下安全迅速地收集和流通，才能够真正地推动我国信息产业的可持续发展。

所谓平衡，就是在两者之间寻求一个结合点和平衡点，在法律层面为个人信息交易和流动保留了一定的空间。颜茂昆举例说，网络安全法规定，网络运营者不得泄露、篡改、毁损其收集的个人信息，未经被收集者同意，不得向他人提供个人信息，但是经过处理无法识别特定个人且不能复原的除外。“这个规定是要严格保护公民个人信息，对网络运营者提出要求，但是同时也为数据提供留下了一些空间。”颜茂昆说。