论文部分内容阅读
2012年7月27日,汝州市人民检察院以伪造居民身份证罪对被告人李某某,以非法获取公民个人信息罪对被告人许某某,以出售公民个人信息罪对被告人杨某某提起公诉。这是该院办理的首例非法获取公民个人信息案件。这起案件的三名被告人虽然咎由自取,但案件中暴露出的电信部门管理上的漏洞,却不得不引起我们的重视。如何加强防范,堵塞漏洞,杜绝类似案件的再度发生,是摆在我们面前至关重要的问题。
一、该起案件的基本案情
2011年至2012年4月份,被告人李某某在互联网上认识网名为“山东天网”的人,李某某根据“山东天网”提供的手机号码,与在汝州移动公司广成西路自建营业厅工作的被告人杨某某联系,查询该手机号码机主姓名和身份信息,而后让洛阳办假证的人根据该机主身份信息办理或自己制作假身份证,再让被告人许某某持假身份证到机主开户地的移动营业厅以补卡名义将所需要的手机卡补办出来,并用移动公司发出的随机码上网查询机主通话记录、话单等信息,后再将该通话信息卖给“山东天网”等买主,每张手机卡牟利700至1000元。2012年2月至2012年4月份,被告人李乐乐自制假身份证11张。2011年4、5月份至2012年4月份,被告人杨某某先后将在电信工作中获取的公民个人信息30余条提供给李某某。2011年8月至2012年4月份,被告人许某某帮助李某某在河南郑州、山东济南等地用假身份证补办他人手机卡十四张,致使郑州机主张某等人手机通信故障,影响其正常生活。
本案中,李某某为谋取非法利益,在非法获取公民个人信息的过程中,实施了购买伪造身份证和自己伪造身份证的行为,其手段行为同时涉嫌伪造居民身份证罪,两罪之间是牵连犯关系,根据牵连犯择一重罪处罚原则,按照两罪中处罚较重的定罪,因此李某某的行为构成伪造居民身份证罪。
二、本起案件暴露出电信部门管理上的漏洞
二十一世纪是互联网时代,现代通讯技术极为发达,人们在享受信息技术带来便利的同时,也面临着通讯信息被窃取、个人隐私被泄露等风险。透析本起案件,不难看出三名被告人之所以能够成功实施犯罪,与电信部门管理上存在的漏洞有很大关系,主要表现在两个方面:
一是电信部门最基层的员工无需履行任何手续,就能获得客户信息。本案中,被告人杨某某只是汝州移动公司的一名普通员工,其仅利用自己在汝州移动公司工作的便利,无需经主管、经理同意,就能查询到所提供手机号码的机主姓名和身份信息,完成了本起犯罪的第一步。杨某某的行为暴露了非法窃取公民个人信息犯罪的一种常见模式,就是电信部门工作人员利用工作便利,违反国家规定,将提供服务过程中获得的公民个人信息,出售或者非法提供给他人。本案中,虽然“山东天网”购买个人信息的用途尚不明确,但据调查了解,这类案件频发的一个重要原因就在于一些犯罪分子以“市场调查中心”、“信息咨询公司”的名义从事调查个人隐私、代人追讨债务等违法犯罪活动,而这些业务需要以获得被调查者的个人信息为前提,于是他们就联系电信部门工作人员,通过支付好处费、提成、贿赂等手段,让电信部门工作人员查询、修改个人信息,然后提供给不法分子。由于电信部门对客户个人信息的保护程序性手段过于简单,以至于电信部门最基层的员工轻易就能获得客户信息并进行盗卖,使客户信息处于极大的不安全之中。
二是持伪造的身份证件就能轻易补办卡品。本案中,李某某获取手机号码的机主姓名和身份信息后,先根据机主身份信息委托他人或自己制作假身份证,然后让被告人许某某持假身份证到机主开户地的移动营业厅,以补卡名义将所需要的手机卡补办出来,进一步获得机主通话记录等信息,之后将通话信息售出,完成犯罪第二步。许某某持伪造的身份证,在全国各地次次补卡次次成功,电信部门在补办卡品时是否对许民伟的所持的假身份证件进行了审核,如果进行了审核,那么他们究竟是怎样审核的?为何一张张假身份证就能蒙混过关?众所周知,第二代居民身份证早在几年前就已经启用,如今在车站、码头、机场、宾馆等场所均已安装并使用了身份证真伪识别系统,伪造的身份证在这些场所很容易被识别出来,而在对客户负有重要保密责任的电信部门,持伪造的身份证件轻易就能补办出一张手机卡品,这不能不说是电信部门管理上的一大漏洞。
三、产生上述漏洞的原因及对策
电信运营企业在管理上出现上述漏洞的主要原因表现为以下几个方面:
一是电信运营企业对客户信息保护重视不够。多数电信运营企业虽将客户信息列为商业秘密,但仅是从维护本单位经济利益的角度加以管理和保护,维护客户合法权益的意识还存在不足。
二是电信运营企业对员工缺乏法制教育,制度约束不力。电信运营企业对内部员工业务培训较多,但对员工法制教育较少,没有使员工充分意识到泄露客户信息的行为是违法犯罪行为。电信运营企业内部虽然规定了对客户信息保密的规定,甚至有的电信运营企业与员工签订相关协议,严禁员工对外泄露客户个人信息,但相关规章制度中仅有禁止性规范,缺乏责任条款,约束力凸显不足。例如,近年来,中国移动曾先后从管理、技术等多方面采取措施保护个人信息,并在全国组织开展客户信息安全法规和管理要求的学习活动,提升安全意识,提高专业能力,全员行动保护客户信息安全。但各级移动运营商具体贯彻落实情况如何,从这起案件中便可见一斑。
三是对客户信息的保密缺乏制度上的保障措施。首先,没有建立客户信息查询权的审批制度,致使最低层级的员工也可以获取海量的机主信息、通话记录。其次,没有建立客户信息查询报备制度,电信企业任何一个工作人员均可查询客户信息,但查询的客户名称、时间、用途、信息量的大小等内容,均没有建立相关的档案进行存档备查,致使发案后很难寻找信息泄露源头。再次,没有建立客户信息查询事后监管制度。电信企业工作人员查询后可能给客户造成的后果,以及造成后果应当由谁進行监管,缺乏一套完善的机制进行管理。
四是电信运营企业与客户缺乏沟通交流。客户在进行登记时,通常会留下本人的通信方式,电信运营企业的工作人员在查询公民个人信息或者为客户补办卡品时,如果能够及时和客户取得联系,将查询或办理情况及时告知被查询的客户,那么客户完全可避免损失。
五是电信运营企业对合作伙伴缺乏约束。电信企业为发展运营,往往采取加盟、联营、合作等模式扩大企业经营,在上述运作过程中,电信企业的合作伙伴及其工作人员在工作过程中会接触到大量的公民个人信息,若对合作伙伴疏于制约、防范,这些合作伙伴也可能会泄露公民个人信息。
针对电信企业管理上存在的漏洞,笔者建议应从以下几个方面进行完善:
一是加快公民个人信息保护立法。我国现有法律对侵害公民个人信息的行为并非没有规制,但总体来看,这些法律规章过于原则、缺乏可操作性,比较零散、缺乏系统性,同时还存在保护范围狭窄、缺乏统一主管机构等不足。因此,设立专门的、完善的保护公民个人信息法律,明确公民个人信息使用过程中的相关权利、义务,对泄露公民个人信息的各种行为设定相应的法律责任是我们目前急需解决的问题。
据了解,目前世界上已经有50多个国家和地区制定了个人信息保护相关法律法规,我国近年来也启动了个人信息保护的相关工作:《个人信息保护法》草案已呈交国务院;工信部中国软件测评中心联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。
二是应加强对电信行业的监管。电信行业主管部门应制定严格统一的行业保密规定,强化对电信企业从业人员的保密规定,定期对电信运营企业的信息保密工作进行监督检查。
三是电信企业应加强内部管理,强化公民个人信息保护。首先要提高电信从业人员的准入门槛,招收素质高、责任心强的人员加入到电信工作队伍中来。同时对故意、过失泄露公民个人信息或不严格执行电信行业保密规定的工作人员,应坚决清除出电信队伍。其次要加强对内部工作人员的保密意识和法律意识教育,定期对他们进行培训,杜绝和减少泄露公民个人信息事件的发生。再次电信行业要建立完善的公民个人信息保护机制,对公民个人信息查询权的审批、查询备案、事中事后监督等方面做出完善的规定,并制定惩戒措施,保证各项制度的严格贯彻落实。第四完善电信企业管理的硬件及软件建设。在电信大厅内应设立身份证件识别系统,对使用伪造、变造的身份证件办卡、补卡的行为应及时发现并坚决制止。开发软件,对泄露公民个人信息的行为进行适时监控。第五要加强与客户信息交流,对补卡、信息查询等涉及客户重要利益的行为,电信企业要及时与客户联系,主动进行核实。
一、该起案件的基本案情
2011年至2012年4月份,被告人李某某在互联网上认识网名为“山东天网”的人,李某某根据“山东天网”提供的手机号码,与在汝州移动公司广成西路自建营业厅工作的被告人杨某某联系,查询该手机号码机主姓名和身份信息,而后让洛阳办假证的人根据该机主身份信息办理或自己制作假身份证,再让被告人许某某持假身份证到机主开户地的移动营业厅以补卡名义将所需要的手机卡补办出来,并用移动公司发出的随机码上网查询机主通话记录、话单等信息,后再将该通话信息卖给“山东天网”等买主,每张手机卡牟利700至1000元。2012年2月至2012年4月份,被告人李乐乐自制假身份证11张。2011年4、5月份至2012年4月份,被告人杨某某先后将在电信工作中获取的公民个人信息30余条提供给李某某。2011年8月至2012年4月份,被告人许某某帮助李某某在河南郑州、山东济南等地用假身份证补办他人手机卡十四张,致使郑州机主张某等人手机通信故障,影响其正常生活。
本案中,李某某为谋取非法利益,在非法获取公民个人信息的过程中,实施了购买伪造身份证和自己伪造身份证的行为,其手段行为同时涉嫌伪造居民身份证罪,两罪之间是牵连犯关系,根据牵连犯择一重罪处罚原则,按照两罪中处罚较重的定罪,因此李某某的行为构成伪造居民身份证罪。
二、本起案件暴露出电信部门管理上的漏洞
二十一世纪是互联网时代,现代通讯技术极为发达,人们在享受信息技术带来便利的同时,也面临着通讯信息被窃取、个人隐私被泄露等风险。透析本起案件,不难看出三名被告人之所以能够成功实施犯罪,与电信部门管理上存在的漏洞有很大关系,主要表现在两个方面:
一是电信部门最基层的员工无需履行任何手续,就能获得客户信息。本案中,被告人杨某某只是汝州移动公司的一名普通员工,其仅利用自己在汝州移动公司工作的便利,无需经主管、经理同意,就能查询到所提供手机号码的机主姓名和身份信息,完成了本起犯罪的第一步。杨某某的行为暴露了非法窃取公民个人信息犯罪的一种常见模式,就是电信部门工作人员利用工作便利,违反国家规定,将提供服务过程中获得的公民个人信息,出售或者非法提供给他人。本案中,虽然“山东天网”购买个人信息的用途尚不明确,但据调查了解,这类案件频发的一个重要原因就在于一些犯罪分子以“市场调查中心”、“信息咨询公司”的名义从事调查个人隐私、代人追讨债务等违法犯罪活动,而这些业务需要以获得被调查者的个人信息为前提,于是他们就联系电信部门工作人员,通过支付好处费、提成、贿赂等手段,让电信部门工作人员查询、修改个人信息,然后提供给不法分子。由于电信部门对客户个人信息的保护程序性手段过于简单,以至于电信部门最基层的员工轻易就能获得客户信息并进行盗卖,使客户信息处于极大的不安全之中。
二是持伪造的身份证件就能轻易补办卡品。本案中,李某某获取手机号码的机主姓名和身份信息后,先根据机主身份信息委托他人或自己制作假身份证,然后让被告人许某某持假身份证到机主开户地的移动营业厅,以补卡名义将所需要的手机卡补办出来,进一步获得机主通话记录等信息,之后将通话信息售出,完成犯罪第二步。许某某持伪造的身份证,在全国各地次次补卡次次成功,电信部门在补办卡品时是否对许民伟的所持的假身份证件进行了审核,如果进行了审核,那么他们究竟是怎样审核的?为何一张张假身份证就能蒙混过关?众所周知,第二代居民身份证早在几年前就已经启用,如今在车站、码头、机场、宾馆等场所均已安装并使用了身份证真伪识别系统,伪造的身份证在这些场所很容易被识别出来,而在对客户负有重要保密责任的电信部门,持伪造的身份证件轻易就能补办出一张手机卡品,这不能不说是电信部门管理上的一大漏洞。
三、产生上述漏洞的原因及对策
电信运营企业在管理上出现上述漏洞的主要原因表现为以下几个方面:
一是电信运营企业对客户信息保护重视不够。多数电信运营企业虽将客户信息列为商业秘密,但仅是从维护本单位经济利益的角度加以管理和保护,维护客户合法权益的意识还存在不足。
二是电信运营企业对员工缺乏法制教育,制度约束不力。电信运营企业对内部员工业务培训较多,但对员工法制教育较少,没有使员工充分意识到泄露客户信息的行为是违法犯罪行为。电信运营企业内部虽然规定了对客户信息保密的规定,甚至有的电信运营企业与员工签订相关协议,严禁员工对外泄露客户个人信息,但相关规章制度中仅有禁止性规范,缺乏责任条款,约束力凸显不足。例如,近年来,中国移动曾先后从管理、技术等多方面采取措施保护个人信息,并在全国组织开展客户信息安全法规和管理要求的学习活动,提升安全意识,提高专业能力,全员行动保护客户信息安全。但各级移动运营商具体贯彻落实情况如何,从这起案件中便可见一斑。
三是对客户信息的保密缺乏制度上的保障措施。首先,没有建立客户信息查询权的审批制度,致使最低层级的员工也可以获取海量的机主信息、通话记录。其次,没有建立客户信息查询报备制度,电信企业任何一个工作人员均可查询客户信息,但查询的客户名称、时间、用途、信息量的大小等内容,均没有建立相关的档案进行存档备查,致使发案后很难寻找信息泄露源头。再次,没有建立客户信息查询事后监管制度。电信企业工作人员查询后可能给客户造成的后果,以及造成后果应当由谁進行监管,缺乏一套完善的机制进行管理。
四是电信运营企业与客户缺乏沟通交流。客户在进行登记时,通常会留下本人的通信方式,电信运营企业的工作人员在查询公民个人信息或者为客户补办卡品时,如果能够及时和客户取得联系,将查询或办理情况及时告知被查询的客户,那么客户完全可避免损失。
五是电信运营企业对合作伙伴缺乏约束。电信企业为发展运营,往往采取加盟、联营、合作等模式扩大企业经营,在上述运作过程中,电信企业的合作伙伴及其工作人员在工作过程中会接触到大量的公民个人信息,若对合作伙伴疏于制约、防范,这些合作伙伴也可能会泄露公民个人信息。
针对电信企业管理上存在的漏洞,笔者建议应从以下几个方面进行完善:
一是加快公民个人信息保护立法。我国现有法律对侵害公民个人信息的行为并非没有规制,但总体来看,这些法律规章过于原则、缺乏可操作性,比较零散、缺乏系统性,同时还存在保护范围狭窄、缺乏统一主管机构等不足。因此,设立专门的、完善的保护公民个人信息法律,明确公民个人信息使用过程中的相关权利、义务,对泄露公民个人信息的各种行为设定相应的法律责任是我们目前急需解决的问题。
据了解,目前世界上已经有50多个国家和地区制定了个人信息保护相关法律法规,我国近年来也启动了个人信息保护的相关工作:《个人信息保护法》草案已呈交国务院;工信部中国软件测评中心联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。
二是应加强对电信行业的监管。电信行业主管部门应制定严格统一的行业保密规定,强化对电信企业从业人员的保密规定,定期对电信运营企业的信息保密工作进行监督检查。
三是电信企业应加强内部管理,强化公民个人信息保护。首先要提高电信从业人员的准入门槛,招收素质高、责任心强的人员加入到电信工作队伍中来。同时对故意、过失泄露公民个人信息或不严格执行电信行业保密规定的工作人员,应坚决清除出电信队伍。其次要加强对内部工作人员的保密意识和法律意识教育,定期对他们进行培训,杜绝和减少泄露公民个人信息事件的发生。再次电信行业要建立完善的公民个人信息保护机制,对公民个人信息查询权的审批、查询备案、事中事后监督等方面做出完善的规定,并制定惩戒措施,保证各项制度的严格贯彻落实。第四完善电信企业管理的硬件及软件建设。在电信大厅内应设立身份证件识别系统,对使用伪造、变造的身份证件办卡、补卡的行为应及时发现并坚决制止。开发软件,对泄露公民个人信息的行为进行适时监控。第五要加强与客户信息交流,对补卡、信息查询等涉及客户重要利益的行为,电信企业要及时与客户联系,主动进行核实。