個人信息洩露久已有之，調查稱86.5%的人曾遭洩露

     2011年12月，以程序員網站CSDN、天涯社區、美團網等數據庫遭黑客攻擊為代表，網絡個人信息洩露事件曾集中爆發，上億用戶的註冊信息被公之於眾。其中，廣東省出入境政務服務網洩露了包括真實姓名、護照號碼等信息在內的約400萬用戶資料。去年年底，中國青年報一項針對近2000人的社會調查顯示，86.5%的人確認個人信息曾遭洩露。
      在利益的驅使下，“花錢買信息”也愈演愈烈。在一些保險代理內部論壇上，幾萬份“打包”出售的客戶信息，每份合計不足4毛錢。在一些物業公司，花800元就能買到數百樓盤的業主信息。在一些醫院，花3毛錢就能收購一個新生寶寶的信息。有人甚至為此開設了釣魚網站、通訊公司和商業信函公司，專門通過收集、買賣公眾“名址庫”牟利。
      更難啃的“骨頭”則由黑客出馬。據媒體公開披露，黑客實際掌握用戶數據庫的數量已超過1億條，中國黑客的黑色産業鏈規模或高達上百億元。

個人信息洩露方式可分為三類

     近日，中國社科院發佈的《法治藍皮書》把我國個人信息洩露情況大致歸納為如下三大類：
      一是過度收集個人信息。有關機構超出所辦理業務的需要，收集大量非必要或完全無關的個人信息。一些商家在辦理積分卡時，要求客戶提供身份證號碼、工作機構、受教育程度、婚姻狀況、子女狀況等信息；一些銀行要求申辦信用卡的客戶提供個人黨派信息、配偶資料乃至聯絡人資料等。
      二是擅自披露個人信息。有關機構未獲法律授權、未經本人許可或者超出必要限度披露他人個人信息。一些地方對行人、非機動車交通違法人員的姓名、家庭住址、工作單位以及違法行為進行公示；有些銀行通過網站、有關媒體披露欠款者的姓名、證件號碼、通信地址等信息；有的學校在校園網上公示師生缺勤的原因，或者擅自公佈貧困生的詳細情況。
      三是擅自提供個人信息。有關機構在未經法律授權或者本人同意的情況下，將所掌握的個人信息提供給其他機構。銀行、保險公司、航空公司等機構之間未經客戶授權或者超出授權範圍共享客戶信息，也很常見。

不少公職人員、國企員工牽涉其中

     據一些個人信息買家説，販賣個人信息的人手上的一些數據零碎，不能滿足公司的需求。大一些的數據公司的數據有些不詳細，也不能當成蒐集客戶信息的主要方法。要做大，還得靠自己的人脈。這裡的“人脈”就指的是各種機構的“內部人”，其中不乏公職人員。以某廣告有限公司為例，其客服人員向記者表示，公司所擁有的本地“客戶”個人信息中：5.5萬人的老闆信息來自工商/稅務局，8萬車主信息來自車管所，11.6萬業主信息來自開發商/物業，16萬商店、超市會員信息來自各會員中心，5千地産從業人員信息來自房管局。
       2009年，深圳、佛山等地十余名領導的手機號碼和通話清單，就被“內鬼”以不足2000元的價格倒賣。在2011年8月曝出的“北京最大非法獲取公民信息案”中，23名被告中，有7人來自電信公司內部。

仲介、廣告營銷者是信息主要買家

     販賣個人信息的産業鏈條之所以能夠成型，大量的下游“消費者”扮演關鍵性的角色。産品和服務推銷是個人信息購買方對於大量個人信息産生高度興趣的普遍動因。據一些房屋仲介公司透露，他們手中的很多客戶名單都是買的，現在買這種客戶名單的價格也不貴，上千人的名單也不過50元。
      獲取個人信息如此廉價，自然讓個人信息購買方趨之若鶩，於是各種各樣的企業都在利用個人信息做生意，賣保險、賣收藏品、賣教育課程的、賣房子的、賣基金……個人信息購買方的行業類別如此之多，早已無法細數，幾乎每類需要進行廣告營銷的企業和商家，都有可能成為個人信息的購買者，而且越是本小利大的，越是容易打個人信息的主意。這裡面表現最為典型的莫過於騙子。前段時間，廣州荔灣芳村等多個區域的消費者就曾經投訴，稱有電話營銷打著某運營商企業官方促銷的名義讓他們購買手機，而導致這些用戶紛紛上當的關鍵在於騙子們在來電推銷的時候不僅能夠輕易叫出他們的名字，還能準確地報出他們的身份證號碼。

互聯網服務方和中間商在其中賺些小錢

     網站管理員是個人信息買賣的源頭之一。交易方式一般就是先把數據庫內一小部分的資料提供給買家“驗貨”，證明個人信息的真實性和價值後，買家會通過網上轉賬或者其他支付方式購買整個數據庫的壓縮包。向管理員買數據庫的價格一般都很低，因為網站中對管理員開放的個人信息數據庫一般信息量有限，多數僅為註冊賬號和郵箱之類的簡單信息，對數據收集方價值不大。出售一個普通網站簡單的個人信息數據庫，僅能獲利數百元，部分較舊的數據庫，更甚至是“半賣半送”。另外，據某團購網站經營者透露，不少團購網站的商戶搞的“抽獎”和“秒殺”之類的活動，其實是在讓用戶去登記個人資料來參與，那用戶的個人信息可謂是手到拿來。不過，雖然這兩類人是個人信息的利益鏈中最早獲利的群體，也只是拿了其中的“蠅頭小利”。
      據某諮詢機構負責人在採訪中透露，個人信息的販賣已經是處於半公開的狀況。很多打著“數據挖掘”、“客戶諮詢”、“精準推廣”等名堂的企業，都是“披著羊皮的狼”。除了“挂羊頭賣狗肉”的企業化經營的個人信息仲介方之外，還有大量的“個體戶”形式的“信息販子”存在於個人信息洩露的利益鏈當中。信息販賣仲介方就是個人信息泄漏利益鏈中的“炒家”，賺的是倒買倒賣個人信息而獲得的價差。

電信運營商是利益鏈的主要受益者

     在目前的各類信息騷擾中，基於電話、短信的信息騷擾無疑是消費者最為反感的，但這又卻是實實在在垃圾信息主流渠道，並且重要地位還在不斷提高中。據在一家SP（信息服務商）工作多年人士透露， 1萬個短信的群發出去，成本才不過300-500元，但是回短信定制的可能有上千個，光包月收入就要好幾千，比在電視、電臺或者報紙上做廣告效果好多了，成本也比較省。雖然近年來SP市場得到嚴厲整頓，運營商們仍然被不少消費者認為是垃圾信息滿天飛的“幫兇”之一。就算運營商大聲疾呼其本身“不作惡”，而且制度很嚴格，但它們仍然是整個垃圾、騷擾、詐騙信息産業鏈中的獲益者。如今SP早已式微，運營商作為各類手機增值服務的代收費渠道，卻仍然在各種手機扣費軟體、吸金陷阱中扮演著被迫獲利的角色，甚至連詐騙電話這些看似和運營商沒有直接關係的“生意”，作為網絡運營者，運營商們仍然在其中賺到了電話費。

公民個人反信息洩露難取證難操作

     對個人信息洩露，鮮有個人起訴的案例。因為訴訟成本太高，同時，維權手段也不完善。 在2011年底中國青年報所做的社會調查中，有七成受訪者在個人信息遭泄後，選擇了“忍耐”。只有三成人會以要求相關網站刪除自己的信息、查詢誰是洩露者或者舉報等方式，作“綿薄”的抵抗。而這一比例，在今年4月新華網披露的工信部科學技術情報研究所的調查結果中，降為一成，首要原因是“調查取證困難”。從民事訴訟的角度看，一般人很難知道自己的信息是在什麼時間、地點、以什麼方式、被誰洩露的，所以，想要起訴他人洩露自己個人信息的成本非常高。據報道，某些受害者並非沒有試圖查問過騷擾者的“信息源”，但“對方不是含糊其辭，就説是從手機號段裏隨機抽取的。”完全無法從千頭萬緒中鎖定“黑手”，幾次之後，只有放棄。
      上海社科院法學研究所研究員江鍇表示，在個人信息保護方面，《個人信息保護法》初稿已出臺多年，但至今沒有面世。雖然2009年《刑法》將洩露個人信息的行為入罪，《民法通則》中也有關於個人隱私的條款，但這些規定零散、抽象，現實中普遍缺乏可操作性。

工信部已出臺《保護指南》，但仍需全方位完善立法

     4月12日，工業和信息化部宣佈《信息安全技術：公共及商用服務信息系統個人信息保護指南》（下稱《指南》）已編制完成、通過審議，上報至國家標準化管理委員會。該《指南》預計將於今年出臺。據其主要起草人説，即將出臺的《指南》是一個整體的標準、框架。這樣一來，個人用戶和相關機構都有了參照標準，行業主管部門也可以通過這些指標梳理和評價行業的發展現狀。不過，光有對信息來源的限制顯然是遠遠不夠的，個人信息販賣的中間商、最後使用個人信息的買家仍然得不到有效的依法管理。公民依法維權難以操作的問題仍然會存在。
      另外，即使已有《指南》規範電信等信息行業從業者行為，能否得到執行仍然是個問題。一位運營商前員工表示，由於客戶信息存儲涉及的鏈條很長，公司裏能夠接觸泄密信息的人員眾多，因此監管很容易落空，這使得運營商渠道成為了個人信息洩露的一個重要源頭。而且，雖然目前各大運營商在員工入職時就與之簽訂了保密協議，並且針對客戶信息保密有嚴格的管理制度，但在沒有道德底線的員工面前，保密協議只是一紙空文。