财新《新世纪》 记者 罗洁琪 赵何娟 2011年第37期 出版日期2011年09月19日

一起北京最大的非法出售、提供、获取个人信息案,揭开一个隐秘市场的冰山一角。面对不设防的个人信息体系和失控的电信业,高官和庶民同忧

你可能被跟踪了——无论你身处何方,手机定位系统都能如影随形。Petar Kujundzic/Reuters

 

 

你可能被跟踪了——无论你身处何方,手机定位系统都能如影随形。只要你的手机处于开机状态,然后输入你的手机号码,几秒钟之后,你的行踪就变成电子地图上一个移动的小红点,精确度达到5米-50米。

电脑屏幕前的窥视者,可能是某个“私人侦探”调查公司,或者与你有情感、财产和利益纠葛的人。“1000元定位一个月”,这是行情;通过QQ聊天,就能匿名完成交易。

这不是电线杆上的小广告,而是北京的真实案例。一起导致23人走向被告席的案件,被称为北京最大的非法出售、提供、获取个人信息案。目前,此案正在二审中,终审判决即将做出。

此前的8月5日,北京市第二中级法院对这起非法出售、提供、获取公民个人信息罪的案子作出有罪判决。23名被告中,部分是江湖上的“私家侦探”,1名是中国移动授权单位的职员,5名是中国电信、中国移动、中国联通的客服人员和电信营业厅的服务员。

法院认定,他们利用工作之便,将手机用户的定位信息、电话清单、姓名和家庭地址等个人信息非法出卖给私家侦探,以作调查婚外情和讨债用。

知情人士告诉财新《新世纪》,这起案件由一名“嫉妒的官太太”无意中揭开。一名退休副部长的妻子,因怀疑丈夫有外遇,委托私家侦探调查追踪丈夫,最终导致前副部长的隐私被泄露。

这揭开的不过是一个隐秘市场的冰山一角。近几年来,在全国各地,此类案件早已不新鲜。

2008年,北京市公安局等机构颁发《关于办理侦探公司讨债公司违法犯罪案件工作会议纪要》称,侦探公司和讨债公司从事法律禁止的调查个人隐私、代人追讨债务活动,通常非法使用窃听、窃照、跟踪、定位等专用设备,实施监视、恐吓等违法行为。这两类公司共享资源,正向着产业化、网络化、联盟化的方向蔓延。

针对日益泛滥的犯罪,法律对于个人隐私和利益的保护明显滞后。2009年的刑法修正案(七)明确规定了新罪名,即“非法获取、提供、出售公民个人信息罪”。在此项罪名之下,每年都有零星的私家侦探和电信公司的基层工作人员被定罪入狱。

但是,“光打虾米,不打老虎”,迄今还没有一个电信运营商作为单位犯罪被告走上法庭,为客户隐私被外泄而负责。由于利益毫发无损,电信运营商的神经并没有真正被触动,其内控机制未能有效发挥作用。面对不设防的个人信息体系和失控的电信业,部长和庶民同忧。

 

阳光下的犯罪链

 

“帮你追踪老公、发现‘小三’、为离婚取证、逮住‘老赖’,请联系杨总。”无论是报纸还是网络,均可见类似广告。在腾讯QQ的虚拟空间上,也有类似“全国侦探调查群”的交易平台。私家侦探和电信公司职员的关系人就活跃在上面,寻找客户,开拓信息来源。

谢新冲是这个交易链条上游的卖家。他是北京京驰无限通信技术有限公司运维部经理,其公司获中国移动北京授权,从事手机定位业务。他本人可以出售手机定位软件,也可以根据手机号码进行定位。

据法院认定,从2009年3月至12月,谢新冲先后对90余个手机号码进行定位,获利9万元。所有的交易,都是私家侦探通过各种关系自动找上门来。

尽管中国移动对京驰无限通信技术有限公司有明确要求,如果对某个手机定位,机主必须知情。但在实际操作中,这样的要求仅仅停留在纸面上。

同案犯刘海亮是北京雷霆九州商务调查中心的负责人。当他招揽到生意后,就会找谢新冲购买定位软件。刘海亮只要瞎编机主的姓名和身份证号码,然后把手机号码告诉谢新冲,就可以买到定位软件。激活后的软件,瞬间成为精准的监控中心。所有能上网的计算机,都能成为运行的平台。

刚开始时,谢新冲会让对方提供被定位人的身份证和书面的同意书。交往多了后,这些手续都在默契中被伪造,而中国移动对此环节缺乏有效监管。

刘海亮不仅仅是买家,同时还是“贩子”。程春郊是刘的同行,北京市安信达信息咨询中心负责人。最初,程通过刘海亮从谢新冲处购得定位软件,价格是1200元,一个月可以对一个手机号码做50次定位。事后,谢返回介绍费200元给刘海亮。

熟络之后,程春郊又成为“二道贩子”,为北京龙江君威信息咨询中心的刘红波提供定位信息。刘红波主要利用腾讯QQ,注册了“骑驴裸奔”“别理我烦”等昵称,通过QQ群发布信息,在网上寻找客户和获取个人信息的渠道。法院认定,2009年3月至12月期间,程春郊一共提供了29个手机定位给刘红波。

同时,刘红波又向程春郊出售座机通话水单(业内行话,即清单)、座机名址、车辆档案信息、手机通话水单等。至于交易行情,250元购买三个月的固定电话水单,500元购买两个月的移动手机通话水单。

刘红波提供的信息,来源于中国移动10086客服、中国电信客服部投诉处理中心的职员,以及中国联通营业厅的工作人员。这些职员在上班期间,把办公系统上的手机用户信息,以短信的方式直接发给男朋友或者亲戚等关系人。

在本案中,被追究刑事责任的电信运营商工作人员,均是劳务派遣人员。其劳动关系在劳务派遣公司,和电信公司只是用工关系,无论薪水还是待遇,都处于公司的最底层。

一位曾任职于中国移动公司人力资源部门的人士告诉财新《新世纪》记者,公司大量使用劳务派遣的员工,约占总人数的三分之二。他们的薪水比合同制员工低很多,随时有被退回的风险,所以积怨甚多,流动性很大。

这部分群体及其亲戚朋友,成为众多“私家侦探”盯上的消息源。其中一个被追究刑事责任的派遣劳工,在中国移动担任营业厅职员,从2009年3月至12月,共出售200多条机主信息,每条50元,获利1万余元。他供述,出售客户信息是因为“工资少,想赚外快”,尽管他和中国移动签署了保密承诺书。

另一个是来自中国联通门头沟区营业厅的引导员。他使用营业厅空着的电脑查询信息,然后出售座机、手机的机主名址和通话记录。

这样的交易网络,在中国移动、中国联通和中国电信这三大电信运营商中均存在。

 

定位如影随形

 

近年来,随着LBS(Location Based Service,位置服务)从技术到商用的成熟,商业化的定位服务已从早期的GPS简单车载定位,发展到如影随形的移动定位技术,在大众生活中无孔不入。

移动定位即在无线状态下,基于通信位置的定位服务。手机用户可以通过这项服务,方便且精准地知道自己所处的准确位置;同时,他人也可以对手机用户进行定位并进行实时监测和跟踪,有的甚至可以使被控对象实时显示在监控中心的电子地图上,一目了然。

“精度为5米-50米;在所有呼叫环境中,只需要几秒钟即可启动第一次定位;灵敏度极好,可突破高阻挡环境的阻碍,每隔2秒钟连续定位。”这是流行的GPSONE定位方案,该技术是无线网络辅助GPS和CDMA三角定位的结合。

无论中国移动、中国电信还是中国联通,均将此技术应用于发展位置业务,其定位目标包括车载和人。

以中国移动开发的家庭成员定位业务为例,服务的初衷是方便监护老人和儿童。一般来说,儿童家长或老人子女为定位发起者,老人和儿童为被定位者。被定位人去营业厅或者发短信授权,就可以办理监护人对其进行位置查询的业务。监护人获得授权之后,就可以对被监护人发起定位,以后,无需被定位人另行同意。

中国移动各省的子公司负责委托各类合作伙伴,寻找业务平台,共同运营家庭成员定位业务。合作伙伴负责平台的开发、升级和运维等运营支撑工作。谢新冲所在的北京京驰无限通信公司,就是获得中移动授权的合作伙伴之一,该公司对外提供定位服务,包括企业外勤人员的考勤,智障人员、老人、儿童的监护。向此类位置业务公司购买了定位软件之后,就可以实现跟踪。

谢新冲作为运维部的经理,负责销售定位软件与维护。当他与私家侦探达成交易默契之后,就可以架空中国移动的各项保密规定。谢承认,他为调查公司做定位就是为了挣钱,把应有的手续省略。可见,在“被定位者知情”的关键环节,中国移动的监管完全失效。

事实上,LBS的应用领域已非常广泛,目前较普遍的商业用途包括四大方面:一是上述小孩和老人手机定位跟踪服务;二是用户已普遍颇为熟悉的电子地图;三是公司用于管理员工工作状态、车辆调度等;四是全面应用于公安、安全等特殊领域。

定位服务的巨大市场前景,也为电信运营商所看重。早在2007年,中国移动就在辽宁沈阳成立了位置产品基地;中国电信也力图在这场竞争中瓜分市场。其广告宣称:拥有更高的捕获灵敏度、首次定位快、定位精度高等。

 

失控的隐私

 

业内人士分析说,由于涉及个人隐私,定位服务的很多功能并未在社会上做广泛宣传,但已实际应用到很多领域。由于法律和监管滞后,其合法边界非常模糊。

2011年,中国移动和北京市政府合作了一个重大项目,建立“北京市市民出行动态信息平台”。这个平台是以中国移动北京的1700万手机用户数据为基础,通过位置技术获取手机用户的实时定位信息。这是否会造成个人隐私被侵犯,曾引起巨大争议。

毫无疑问,前述四大方面的定位技术应用领域,需要分类监管。对于其合法界限要从法律上予以厘清,并辅以相应的监管制度和惩处。

例如,人们可能不太熟悉的第四类“特殊领域的定位监控”,因涉及权力机关,更容易被滥用。这样的案例在实际生活中并不鲜见。如2010年,山西夏县教育局长短信举报县长后,半个月内遭遇电话被监听、手机被定位跟踪。此案中,夏县公安局即是在县长指示下,违法滥用了定位监控措施(参见本刊2010年第45期“举报之殃”)。

今年8月下旬审议的《刑事诉讼法》修正案草案中,增加了有关“技术侦查”内容,涉及包括手机定位等秘密侦查措施。学界担忧,这些手段会严重侵害公民的人身自由和隐私等权利,必须加以严格限制。

除了公权力滥用,定位服务市场的核心环节——电信业,也还处于极为混沌的状态。

在北京审判“非法获取、出售公民个人信息罪案件”的同时,陕西西安又破获更大规模的同类案件。西安、咸阳等七个城市共计1394万手机用户的个人信息被非法出售,包括机主姓名、家庭住址、生日等个人隐私。这个数目占陕西全省手机用户的70%左右。警方侦查结果显示,犯罪的源头再次指向电信运营商及其关联方的“内鬼”。犯罪嫌疑人周某是一家科技公司的技术人员,为陕西省一电信运营商研发和维护计费经营系统。他利用工作的便利,进入电信公司的客户数据库,轻而易举地获取信息并卖给“下线”,获利3万多元。

案发后,电信运营商没有对公众作出任何道歉或者承担单位违法的责任。这已经成为中国电信企业对客户隐私泄露事件的惯常态度。

 

谁的责任?

 

在谢新冲等人的案件中,他所任职的京驰公司在一份情况说明书中称,公司未开通SIM卡语音功能,谢新冲私下为他人所做的个人手机定位,非公司经营业务,其行为与公司无关。

京驰公司尚且“无责”,那么授权其从事手机定位业务的中国移动,就更容易撇清责任了。

此案中,电信运营商中被追究刑事责任的,均是具体涉案的基层员工。比如黄伟帆,一位中国移动北京公司的10086客服中心职员,将工作中获得的机主信息以每条50元的价格非法出售。

中国移动向法庭提交了职员的《保密承诺书》等内部文件。据承诺书,员工必须严守保密义务,不得随意透露客户保密信息,更不允许出卖这些信息。

这些客户保密信息,包括但不限于客户的身份信息、位置信息、通话记录、话单信息、短信和彩信内容、客户订购关系等。这些信息分别存储于电信运营商的多个系统,包括BOSS系统、网上营业厅系统、经营分析系统、厂家OMC系统、位置服务定位平台、移动定位系统、综合信息查询平台等35个系统或平台;在这些系统或平台工作的人员,都有相应的权限接触这些信息。

中国移动还有《移动电话查询规定》《客户信息保密规定》等管理制度。《客户服务中心间接合同员工管理办法》中亦有专门的“安全管理办法”。中国移动北京公司客服中心综合部2008年10月出具的一份《关于员工遵守<客户信息保密规定>的点评》称,“员工如有违反将根据情节严重给予处理,更为严重者将负法律责任”。

但相比于唾手可得的利益,这些内部协议和管理规定实施起来并不得力,反倒可以成为公司面临相关案件时的“挡箭牌”。

一位中国移动前员工说,由于客户信息存储涉及的链条很长,接触泄密信息的人员众多,加之层层利益关系,很多时候也就“睁一只眼,闭一只眼”,“相互吃回扣”,监管容易落空。

谢新冲的辩护律师姜少卫也称,电信行业存在严重漏洞。规则缺失和监管不到位,是导致谢新冲犯罪的一个重要因素。如果中国移动对被定位人不仅要求书面确认,更要求被定位人以手机短信确认,那么谢新冲还有机会犯罪吗?

北京邮电大学教授娄耀雄认为,电信业的信息保密,在技术上完全可以实现。最关键的措施是追究电信企业高管责任,让泄密事件与其职业生涯挂钩。

中国社科院法学所研究员周汉华认为,“单位如果放任员工的违法行为,那就是间接故意”。如果电信企业只是白纸黑字地制定一些内部制度,高高挂在墙上,而对员工的监管不到位,对普遍出现的问题不追究,就应该负责任。

刑法修正案(七)对非法获取、提供、出售公民个人信息的犯罪,规定了包括对单位犯罪的制裁——单位犯罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员进行相应处罚。但迄今为止,全国没有一起单位犯罪被追究的案例,也没有电信企业主管人员或相关负责人为此被追究刑责。对不断被曝光的泄露客户信息事件,相关电信企业均保持沉默,鲜有公开道歉或对外公布内部问责情况。

周汉华对财新《新世纪》记者说:“迫切需要加强对电信行业的监管和惩罚。光打虾米,不打老虎,很难解决问题。”他认为,不能让违法的电信大鳄逍遥法外,如果某个地方的公检法机关走出这一步,那将成为革命性的判决。

企业缺乏自律时,政府的外部监管和事后问责,乃至相关立法均缺席。迄今,中国尚未出台《电信法》和《个人信息保护法》。前者难产二十多年,后者的立法在近十多年间徘徊不前。

甚至,中国目前的法律体系中还没有“隐私权”的字眼,实践中对侵犯隐私的保护只能适用有关名誉权的规定。周汉华称,应尽快将相关立法提上议程。

本文由自动聚合程序取自网络,内容和观点不代表数字时代立场

定期获得翻墙信息?请电邮订阅数字时代