信息泄露課件

浙江警官職業(yè)學(xué)院刑事司法系監(jiān)管中試132區(qū)隊(duì)第一組2013.09.27信息安全管理實(shí)務(wù)監(jiān)管中試132區(qū)隊(duì)

學(xué)習(xí)單元

信息泄露

小組成員：沈慧華

陳莉

王雯濤

李宏偉

蔣立勛監(jiān)管中試132區(qū)隊(duì)第一組【案例】2012年央視315晚會(huì)曝光招商銀行、工商銀行等銀行網(wǎng)上銀行失竊案，銀行內(nèi)部員工被曝泄露出售客戶信息。招商銀行信用卡中心風(fēng)險(xiǎn)管理部貸款審核員胡斌，向朱凱華出售個(gè)人信息300多份。中國(guó)工商銀行客戶經(jīng)理曹曉軍，通過(guò)中介向朱凱華高達(dá)2318多份。向朱凱華出售信息還有農(nóng)業(yè)銀行、中國(guó)工商銀行等員工。個(gè)人征信報(bào)告，銀行卡信息，本屬該被嚴(yán)格保密的個(gè)人信息，在這些銀行工作人員手中，卻被一份十元或幾十元低廉價(jià)格大似兜售，這樣的隱患值得關(guān)注。

根據(jù)斯諾登向英國(guó)《衛(wèi)報(bào)》和美國(guó)《華盛頓郵報(bào)》披露的信息，多家知名國(guó)際IT公司先后加入了棱鏡項(xiàng)目，分別是微軟（2007年）、雅虎（2008年）、Google（2009年）、Facebook（2009年）、Paltalk（2009年）、YouTube（2010年）、Skype（2011年）、美國(guó)在線（2011年）以及蘋果公司（2012年）。此外，Dropbox也被指控“即將加入”。根據(jù)被披露的“棱鏡”項(xiàng)目細(xì)節(jié)，美國(guó)情報(bào)部門從上述互聯(lián)網(wǎng)服務(wù)提供商的服務(wù)器直接進(jìn)行信息收集?！痉梢罁?jù)】一、非法獲取公民個(gè)人信息罪的概念和犯罪構(gòu)成《中華人民共和國(guó)刑法修正案（七）》第二百五十三條規(guī)定“國(guó)家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國(guó)家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。竊取或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰。單位犯前兩款罪的，對(duì)單位判處罰金，并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照各該款的規(guī)定處罰。”從該條的規(guī)定，非法獲取公民個(gè)人信息罪是指竊取或者以其他方法非法獲取公民個(gè)人信息，情節(jié)嚴(yán)重的行為。【法律依據(jù)】非法獲取公民個(gè)人信息罪的犯罪構(gòu)成。該罪侵犯的客體是公民個(gè)人身份信息的安全和公民身份管理秩序；該罪客觀方面表現(xiàn)為行為人以竊取或者以其他方法非法獲取公民個(gè)人信息，情節(jié)嚴(yán)重的行為；該罪犯罪主體為一般主體，單位可以構(gòu)成本罪；主觀方面表現(xiàn)為故意。所謂故意，即明知公開、泄露他人信息會(huì)侵犯他人的權(quán)益和危害社會(huì)，卻仍然去實(shí)施這種行為的心理狀態(tài)。

【法律依據(jù)】

二、公民個(gè)人信息的涵義和特征由于我國(guó)尚無(wú)公民個(gè)人信息保護(hù)法，對(duì)公民個(gè)人信息沒(méi)有明確的規(guī)定，修正案也沒(méi)有對(duì)公民個(gè)人信息作出界定。一般來(lái)說(shuō)，公民個(gè)人信息是指能夠識(shí)別公民個(gè)人身份的信息，主要包括姓名、年齡、性別、身份證號(hào)碼、職業(yè)、職務(wù)、學(xué)歷、民族狀況、婚姻狀況等相關(guān)信息。但筆者認(rèn)為，作為侵犯公民個(gè)人信息犯罪對(duì)象的個(gè)人信息不同于普通意義上的個(gè)人信息。侵犯公民個(gè)人信息犯罪的對(duì)象必須是一旦泄露即可能導(dǎo)致公民權(quán)利受到嚴(yán)重侵害的信息。因此，在這種意義上的個(gè)人信息應(yīng)是本人不希望為一般人所知曉，具有法律保護(hù)價(jià)值的能反映公民個(gè)人生理及身份特征、社會(huì)生活經(jīng)歷及家庭、財(cái)務(wù)狀況及社會(huì)生活過(guò)程中取得、采用的個(gè)人識(shí)別代碼。它具有以下幾個(gè)特征，一是主觀上不希望他人知曉，二是具有法律保護(hù)價(jià)值的，三是一旦泄露即可能導(dǎo)致公民權(quán)利受到嚴(yán)重侵害的?！痉梢罁?jù)】

三、非法獲取公民個(gè)人信息罪中公民個(gè)人信息范圍的界定

從《刑法修正案（七）》的規(guī)定看出，非法獲取公民個(gè)人信息罪的規(guī)定有一個(gè)修飾語(yǔ)句，“上述信息”，那么它應(yīng)當(dāng)是指國(guó)家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息。但在實(shí)踐中除了上述幾類行業(yè)所掌握的個(gè)人信息外，還有很多包含公民姓名、電話號(hào)碼、家庭住址等與公民個(gè)人存在關(guān)聯(lián)并可以識(shí)別特定個(gè)人的信息，同樣對(duì)公民的人身安全、財(cái)產(chǎn)安全和個(gè)人隱私構(gòu)成嚴(yán)重威脅，如從房地產(chǎn)銷售渠道流出的購(gòu)房信息、從保險(xiǎn)公司流出的客戶信息等等，這些公民個(gè)人信息被竊取或者被非法獲取，情節(jié)嚴(yán)重的也應(yīng)該構(gòu)成非法獲取公民個(gè)人信息罪，因此，筆者認(rèn)為，只要是竊取或者以其他方法非法獲取公民個(gè)人信息，情節(jié)嚴(yán)重的均構(gòu)成非法獲取公民個(gè)人信息罪，而不局限于國(guó)家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等部門和行業(yè)掌握的個(gè)人信息?！痉梢罁?jù)】

四、非法獲取公民個(gè)人信息罪中“非法獲取”行為的認(rèn)定。

非法獲取公民個(gè)人信息罪首先是“非法”，非法是指違反法律法規(guī)禁止性規(guī)定。本罪的行為方式表現(xiàn)為竊取或者以其他方法非法獲取公民信息，“竊取”和“其他方法”?！案`取”指秘密盜取?！捌渌椒ā敝浮案`取”之外的非法獲取手段?！捌渌椒ā本唧w有哪些表現(xiàn)刑法沒(méi)有規(guī)定，實(shí)踐中表現(xiàn)形式多樣。但不論何種形式，在性質(zhì)上都應(yīng)當(dāng)與竊取具有相當(dāng)?shù)纳鐣?huì)危害性，而且應(yīng)具有一定的主動(dòng)性，除竊?。òㄍ蹬摹⒚孛茕浺簟⒚孛芨櫿{(diào)查等）之外，通過(guò)騙取、利誘、脅迫、搶奪、搶劫、恐嚇、非法侵入他人計(jì)算機(jī)系統(tǒng)等法律明文禁止的手段而獲取的，均可視為“非法獲取”。【法律依據(jù)】

五、非法獲取公民個(gè)人信息罪中情節(jié)嚴(yán)重的認(rèn)定。

依修正案，竊取或者以其他方法非法獲取公民個(gè)人信息，情節(jié)嚴(yán)重的，方可追究刑事責(zé)任。但何為“情節(jié)嚴(yán)重”，尚無(wú)明確的規(guī)定可循。在司法實(shí)踐中，一般掌握的“情節(jié)嚴(yán)重”標(biāo)準(zhǔn)，應(yīng)從非法獲取信息的目的、犯罪手段、信息的用途、犯罪后果、獲取數(shù)量及獲取次數(shù)等方面進(jìn)行判斷。具體而言對(duì)于非法獲取公民個(gè)人信息罪來(lái)說(shuō)，具有以下情節(jié)的，可以判斷為“情節(jié)嚴(yán)重”，一是利用的獲取信息用于違法犯罪活動(dòng)的；二是給公民造成較大經(jīng)濟(jì)損失或惡劣影響。三是嚴(yán)重干擾被害人的正常生活或嚴(yán)重影響被害人名譽(yù)（包括致使受害者精神失?；蜃詺ⅲ?，四是非法獲取公民個(gè)人信息手段惡劣的，五是利用所獲信息從中獲利，數(shù)額較大，六獲取信息數(shù)量較大，或是獲取信息次數(shù)較多的。【原因分析】

一、行業(yè)監(jiān)管不力，部分工作人員謀私利在信息高度發(fā)達(dá)的現(xiàn)代社會(huì)，一個(gè)人不可能與世隔絕，人們頻繁地與外界交往，造成某些個(gè)人信息時(shí)刻處于被泄露的狀態(tài)。汽車銷售商、房產(chǎn)中介、醫(yī)院等行業(yè)及其從業(yè)人員往往有機(jī)會(huì)接觸到大量的公民個(gè)人信息，這些行業(yè)雖均有系統(tǒng)內(nèi)部出臺(tái)的關(guān)于個(gè)人信息的保護(hù)意見和規(guī)定，但由于部分從業(yè)人員法律意識(shí)不強(qiáng)，且內(nèi)部執(zhí)行不到位等情況，部分工作人員謀取私利，造成這些行業(yè)成為個(gè)人信息泄露的“重災(zāi)區(qū)”。生活在分工細(xì)致、彼此關(guān)聯(lián)性極強(qiáng)的現(xiàn)代社會(huì)，不知道要留多少次身份證號(hào)碼、手機(jī)號(hào)碼和家庭住址等個(gè)人信息，設(shè)想如果當(dāng)人們將信息留給商家或公共服務(wù)部門時(shí)，某些工作人員為了蠅頭小利，出賣了顧客的信息，帶來(lái)的也許是一系列的連鎖反應(yīng)，那么后果將是無(wú)法預(yù)計(jì)的?！驹蚍治觥?/p>

二、缺少?gòu)?qiáng)有力的法律保護(hù)根據(jù)罪刑法定的原則，只有非法泄露和販賣信息的，才有判刑入罪之虞，最近幾年已經(jīng)有類似案例。但對(duì)于疏于管理而導(dǎo)致員工泄露信息的，還沒(méi)有有效的法律制約。比如對(duì)責(zé)任人的處罰，以及對(duì)受害人的賠償?shù)鹊?，這也成為這種信息泄露現(xiàn)象屢禁不止且愈演愈烈的原因之一。在一個(gè)誠(chéng)信狀況不理想、責(zé)任感普遍缺失的社會(huì)，僅僅依靠人們道德自律，恐怕遠(yuǎn)遠(yuǎn)不夠，再加上缺少?gòu)?qiáng)有力的法律手段來(lái)保護(hù)，人們即使發(fā)現(xiàn)了自己的信息被泄露，也會(huì)因?yàn)閾?dān)心維權(quán)的結(jié)果不盡人意而最終放棄維護(hù)自己的合法權(quán)益?！驹蚍治觥?/p>

三、個(gè)人的信息保護(hù)意識(shí)不強(qiáng)律師協(xié)會(huì)曾作過(guò)調(diào)查，發(fā)現(xiàn)在個(gè)人信息曾被泄露或?yàn)E用的被調(diào)查者中，僅有4%左右的人進(jìn)行過(guò)投訴或提起過(guò)訴訟。為什么老百姓遇到信息泄露時(shí)不愿意述諸法律？其中因素很多：1、無(wú)法確定哪些機(jī)構(gòu)泄露了客戶的信息。比如購(gòu)車者的信息是駕校還是汽車銷售商還是交管部門，這是一個(gè)比較難以確定的問(wèn)題，造成不知道以誰(shuí)為對(duì)象提起訴訟。2、中國(guó)人的潛意識(shí)里不愿意輕易述諸法律。原因在于中國(guó)歷史文化的影響、訴訟的成本相對(duì)過(guò)高、訴訟程序繁瑣。3、中國(guó)人目前普遍自我保護(hù)意識(shí)不夠。雖然近幾年隨著社會(huì)文明程度的提高，中國(guó)人的自我保護(hù)意識(shí)得到很大的提高，但是還遠(yuǎn)遠(yuǎn)未達(dá)到國(guó)外發(fā)達(dá)國(guó)家公民的自我保護(hù)法律意識(shí)。【設(shè)想和建議】

一、健全完善法律法規(guī)，嚴(yán)厲打擊不法行為在這一點(diǎn)，我們可以借鑒國(guó)外一些好的做法。在國(guó)外，對(duì)于侵犯?jìng)€(gè)人信息保護(hù)相關(guān)法律的個(gè)人和單位，都會(huì)受到嚴(yán)厲的制裁，違法的任何單位和個(gè)人其法律責(zé)任是極為驚人的。而我國(guó)當(dāng)前對(duì)于個(gè)人信息的保護(hù)機(jī)制還很不完善，而且按照目前的法律規(guī)定，侵犯?jìng)€(gè)人隱私權(quán)而受到的處罰也幾乎沒(méi)有威懾力。這樣一來(lái)，由于受害者訴訟成本過(guò)高，也缺少法律援助，所以就算贏了官司，也很難得到適當(dāng)賠償，這等于縱容了泄露個(gè)人信息的侵權(quán)行為。最近國(guó)家也在制定個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn)，但是據(jù)新聞介紹該標(biāo)準(zhǔn)只是技術(shù)性指導(dǎo)標(biāo)準(zhǔn)，還不是法律，到底對(duì)商家、個(gè)人有多大制約性還不得而知。期待較為健全、有實(shí)際操作性的個(gè)人信息保護(hù)法規(guī)盡快出臺(tái)?！驹O(shè)想和建議】

二、與企業(yè)信用掛鉤，加強(qiáng)企業(yè)內(nèi)部控制制度在目前法律法規(guī)沒(méi)有健全之前，政府應(yīng)該將個(gè)人信息保護(hù)與企業(yè)或個(gè)人的信用掛鉤，就像現(xiàn)在的銀行對(duì)客戶的資信等級(jí)考核：如果信用卡沒(méi)及時(shí)還錢、惡意透支、房貸不及時(shí)歸還、公司貸款到期不還等等，銀行都會(huì)給你記上一筆，會(huì)對(duì)你在銀行的資信等級(jí)造成影響。對(duì)于出現(xiàn)客戶信息泄露的企業(yè)或泄露客戶信息的個(gè)人，政府應(yīng)該建立一種專門信用等級(jí)并予以掛鉤，這樣才能起到一定的輔助作用。這個(gè)專門信用等級(jí)的建立是依據(jù)道德誠(chéng)信為基礎(chǔ)的，這個(gè)信用等級(jí)會(huì)對(duì)企業(yè)、個(gè)人很多方面有制約，比如幾次泄露客戶信息造成信用等級(jí)降到一定等級(jí)的企業(yè)營(yíng)業(yè)執(zhí)照無(wú)法通過(guò)年審或獲得貸款、某些信用等級(jí)低的個(gè)人無(wú)法在銀行辦理信用卡、貸款或影響就業(yè)等等。對(duì)于企業(yè)而言，信用等級(jí)的掛鉤將會(huì)促使企業(yè)加強(qiáng)對(duì)自身管理制度的完善及對(duì)員工的管理，對(duì)泄露客戶信息的個(gè)人而言也將帶來(lái)極大的威懾。【設(shè)想和建議】

三、提高個(gè)人信息保護(hù)等級(jí)由政府部門成立專門存儲(chǔ)私人信息的機(jī)構(gòu)，由此機(jī)構(gòu)統(tǒng)一存儲(chǔ)公民個(gè)人信息，包括姓名、身份證號(hào)碼、戶籍、婚姻狀況、教育情況、職業(yè)、等可以識(shí)別該個(gè)人的信息。當(dāng)個(gè)人去辦理某些需要提供驗(yàn)證個(gè)人身份的業(yè)務(wù)時(shí)，比如辦理銀行卡，只需攜帶由該機(jī)構(gòu)出具的證明或者是驗(yàn)證碼，由銀行直接申請(qǐng)調(diào)用該個(gè)人的身份信息，無(wú)需個(gè)人再重復(fù)填寫，減少個(gè)人信息的出現(xiàn)頻率，也免除商家或公共服務(wù)部門要承擔(dān)保存大量客戶信息的工作。另外政府部門應(yīng)該建立公民指紋識(shí)別系統(tǒng)，用來(lái)代替簡(jiǎn)單的字符密碼，這樣不僅可以減少由于密碼泄露給個(gè)人帶來(lái)的損失，同時(shí)也可以解決現(xiàn)代社會(huì)中一人往往有多個(gè)密碼造成的記憶混淆問(wèn)題?！驹O(shè)想和建議】

四、互聯(lián)網(wǎng)高速發(fā)展嚴(yán)重影響個(gè)人信息保護(hù)中國(guó)目前已經(jīng)成為全球互聯(lián)網(wǎng)第一大國(guó)，以計(jì)算機(jī)為基礎(chǔ)的互聯(lián)網(wǎng)正在深刻影響這個(gè)社會(huì)的每一個(gè)角落，雖然網(wǎng)絡(luò)給人們帶來(lái)的極大的便利，但是由于網(wǎng)絡(luò)的發(fā)達(dá)造成個(gè)人信息保護(hù)面臨更危險(xiǎn)的境界。某些個(gè)人信息一旦被個(gè)別人披露到網(wǎng)上，很快就會(huì)傳遞到天涯海角，成為眾所周知的“秘密”。網(wǎng)上購(gòu)物注冊(cè)的實(shí)名信息如何保護(hù)？黑客攻擊網(wǎng)站獲取信息怎么控制？現(xiàn)在社會(huì)亟待針對(duì)互聯(lián)網(wǎng)的個(gè)人信息保護(hù)的法律法規(guī)的建立健全，這是一個(gè)很大的問(wèn)題?！驹O(shè)想和建議】

五、信息保護(hù)的立法不能阻礙信息的流通個(gè)人信息的立法保護(hù)一方面要保護(hù)個(gè)人的信息安全性，另外一方面又不能阻礙正常的信息流動(dòng)。如果對(duì)個(gè)人信息的保護(hù)走入極端，勢(shì)必使得每一個(gè)人都成為信息孤島，全社會(huì)信息阻塞。作為立法一定要協(xié)調(diào)好兩者關(guān)系目前全世界個(gè)人信息保護(hù)基本兩種模式：歐盟模式和美國(guó)模式，前者嚴(yán)格而后者自由一些。作為政府部門在制定個(gè)人信息保護(hù)時(shí)應(yīng)該充分考慮中國(guó)的國(guó)情，借鑒國(guó)外的成熟經(jīng)驗(yàn)，制定符合中國(guó)國(guó)情的個(gè)人信息保護(hù)法規(guī)。

六、加強(qiáng)行業(yè)監(jiān)督