“黑市”車主信息販賣肆虐 我國個人信息保護法停擺十年

　　你的個人敏感信息，很可能早已變成excel里的一行數據，被以1到5塊錢不等的價格變賣于信息數據交易的黑市上。

　　不少購車者曾有疑惑，為何自己剛下訂單不久，就有電話打進來推銷車險，買車的消息怎么不脛而走的?也曾有少數車主接到過“違章詐騙”電話，對方甚至可以精確地報出你的車牌號、年檢記錄等等。

　　2015年4月28日，互聯網安全漏洞報告平臺烏云網“白帽子”(平臺漏洞發現者)就發現國內各省市的車主信息在互聯網被公然售賣，其中的信息包括車主姓名、手機號、身份證號、家庭住址、車牌號碼、汽車型號等。

　　數據依據詳細程度、時間、地區等被賦予不同的價位：當天更新的車主購車訂單信息每條3塊，一周內的2塊，一個月內的1塊，特定地區的車主信息則要到了4塊一條。

　　“黑市”車主信息販賣肆虐

　　烏云網ID為李旭敏的“白帽子”(互聯網漏洞發現者)告訴《消費者報道》記者，他從2013年開始發現網絡上的車主信息交易有泛濫勢頭。這些交易大多以QQ群為平臺，買賣雙方通過平臺碰面，然后再私下完成交易。

　　這些QQ群大多集結著兩三百個QQ帳號，個別活躍的QQ群人數已經要接近兩千。與其他QQ群不同的是，這些群共同的特征是沒有任何群上的交流。賣方總是各自以小廣告的形式在群上刷屏吸引買方私聊。偶有買方提出購買“數據要求”，再由賣方主動找上門。

　　從不同賣方提供的數據格式看來，車主信息的泄露來自不同的渠道。

　　網名叫“一手數據”的販子聲稱自己有非常詳盡的車主數據。在他提供的樣例數據中，除了車主常見的個人信息外，甚至包含汽車型號、發動機號、年檢時間、上證時間和一些汽車的技術參數。另一個叫“淘二郎”的販子手上的數據為全國各地的混搭，可以查看到同時安裝的GPS型號、保險單號和賠付限額等。

　　李旭敏曾和這些販子打過交道，他告訴記者：“販子拿到的車主信息渠道是多方面的，車企、車載GPS或者一些第三方的打車軟件，都可能導致車主信息泄露。當然也有小部分販子提到自己有‘內線’在獲取數據，但真實情況還需考證。”

　　另一個叫“奔跑啊阿米”的販子更是直言，其信息是由“技術”從車管所平臺上扒下來的，他手上有大多數北方城市的數據。為了驗證其所言，他提供了哈爾濱市5月1日“選號”的車主的手機截圖，除時間外，該圖片還包含著車主姓名、車牌、車型、住址等信息。這些車主的信息依據時間、地區、詳細程度、售前售后的不同劃分，最低一塊起價，最貴的可以一條賣到五塊。

　　個人信息保護法停擺十年

　　中國計算機信息安全設備行業發展分析及投資潛力研究報告顯示，網絡針對消費者個人信息“竊取”和“非法使用”的黑色產業鏈呈現爆發性增長態勢。有2/3的消費者在接受調查時明確表示，過去一年內個人信息曾被泄露或竊取，而1/3的受訪者稱，曾遭受過經濟損失和人身傷害。

　　據悉，中國最早的個人信息的立法程序始于2003年，國務院當年委托有關專家開始起草《個人信息保護法》，2005年專家建議稿已經完成，并提交國務院審議。但自此之后該法律即停擺十年，再無下文。

　　中國互聯網協會信用評價中心法律顧問趙占領認為該法停擺的原因很復雜。“2008年后國家大部制改革，國務院信息化辦公室并入工信部后，沒有相關的部門來接手督促立法。可能與這個原因有關。”

　　在基本的法律缺位之前，中國個人信息保護體系如何?

　　“我國關于個人信息保護的法令散見在200多部法律、法規包括地方性法規中，但語焉不詳，既缺乏全面系統的規定，又缺乏保護機制和執法機制”，中國政法大學傳播法研究中心研究員朱巍接受《消費者報道》記者采訪時提到自己的擔憂。

　　2012年12月28日，全國人大常委會通過《關于加強網絡信息保護的決定》后，較為明確地為網絡個人信息保護提供了法律依據。

　　“但該法律最大的弱點是，它只規定了主動侵權所應承擔的責任，卻沒有規定被動侵權的部分”。朱巍認為，網站主動收集用戶信息，并用于非法用途，肯定要承擔侵權責任。如果網站被黑客攻破，造成用戶信息泄露，則屬于過失泄露，它應當承擔的責任很難界定。依據司法實踐中會采用過錯推定原則確定侵權責任，企業首先要舉證自己盡到了安保責任。

　　信息泄露一旦發生，追責將會很困難。趙占領指出：“民事賠償最困難的是舉證問題，網絡來源渠道那么廣，車主難以證明信息泄露的渠道來自于哪里。受限于網監等執法力量尚屬薄弱，刑事處罰和行政處罰目前的案例也是極其少的。”

　　由此，朱巍認為：掌握有一定規模個人信息的公司都應該設立“首席安全官”的行政或者技術職位，確立責任人制度，可以明確信息泄露后果的責任主體。同時，企業也會投入更多的資金和精力在自己的信息安全防護上。