“您好,请问是××同学的家长吗?我们是专注小学英语培训的机构……”这样的电话,徐女士每天能接到好几个,从孩子出生到现在上五年级,推销电话无孔不入,而且精准匹配孩子年龄和当下各种需求。在挂掉电话之后,孩子详细信息、个人电话被大量未知机构和个体掌握的不安,仍挥之不去。类似经历又何止徐女士一人,每天不计其数的家长、孩子被所谓的教育服务机构“瞄准”“规划”着。这些机构都有哪些?他们又是如何精准获取海量个人信息的?
日前,由山东省济南市长清区检察院提起刑事附带民事公益诉讼的裴某、陈某、伊某、张某4人侵犯公民个人信息案,法院公开审理后作出判决。
为了“义气”送出公民个人信息
2024年3月,济南市公安局长清分局民警在工作中发现李某将1.1万条学生信息以2000元的价格出售给济南市某幼儿教育咨询服务中心经营者,涉嫌侵犯公民个人信息罪,遂进行立案侦查。没承想,竟由此牵出一条买卖公民个人信息犯罪链条。
经公安机关侦查,犯罪链条的首环竟在当地一家卫生院里,该卫生院掌握着大量新生儿、各年龄段接受疫苗接种儿童的个人信息及其家长信息,工作人员裴某违反工作规定,利用工作便利私自协助某早教公司人员陈某复制、导出系统内的公民个人信息。2024年5月,公安机关来到裴某的单位,将其带走进行审讯。裴某万万没想到,当年的“义气”之举,竟给今天的自己带来牢狱之灾。
据裴某供述,2020年6月,她被安排到当地卫生院下设的防疫站从事儿童查体工作。陈某经常到防疫站做儿童早教课推广,一来二去,二人就成了朋友。
有一天,陈某对裴某称其手头的招生任务完成不了,请求她帮忙,裴某没多想便答应了。“我们关系不错,我觉得给他这些信息也没有什么不妥,就把信息提供给他了。”面对公安机关的讯问,裴某交代说。
一天,裴某在单位单独值班时,她通过微信通知陈某到防疫站。裴某将儿童查体登记表交给陈某供其拍照。过了一段时间,陈某表示,招生任务还是没有完成,希望获得更多更全面的信息。于是裴某同意向陈某提供妇幼保健系统内的信息。她偷偷使用单位同事的账号登录了该系统,让陈某自行拷贝信息。陈某将系统中的个人信息用U盘拷贝下来并带走。
38万余条信息被层层倒卖
公安机关调查认定,2020年6月至2021年5月,陈某先后多次从裴某的工作电脑中拷贝儿童信息及家长信息共计38万余条。“因为我对信息安全问题疏忽大意,让陈某拷贝了大量个人信息,造成个人信息的泄露。这是我的责任,我已经充分认识到错误了。”在审讯室,裴某流下了悔恨的泪水。
2021年夏,陈某从早教公司离职以后,同事张某通过微信联系他,表示为了完成工作任务,想要购买其手中的儿童信息及家长信息。二人商议后,张某以4000元的价格购买了陈某手中的个人信息。
2023年4月,伊某在济南市某青少年特长培训学校从事招生工作,其以7500元的价格从张某处购买儿童信息及家长信息。张某在买卖个人信息后,因担心事情败露,便将存有个人信息的U盘进行了格式化处理。但世上没有不透风的墙,其犯罪行为最终还是浮出水面。
2024年1月,伊某将手头的个人信息倒卖给了从事教培行业的李某,非法获利4400元。李某从事教培行业多年,在从业过程中,多次与他人互相买卖、交换学生信息,情况较为复杂,已作另案处理。
依法追责绝不姑息
2024年8月,公安机关将该案移送长清区检察院审查起诉。长清区检察院刑事检察部门在审查期间,认为裴某等4人侵犯公民个人信息的行为损害社会公共利益,遂将该案移交公益诉讼检察部门同步开展审查。
经审查,长清区检察院认定裴某、陈某、伊某、张某4人非法提供、获取、买卖公民个人信息,造成公民个人信息泄露,其主观上存在过错,客观上实施了侵害公民个人信息权益的行为,构成侵犯公民个人信息罪。与此同时,4人的行为也让信息被泄露的公民遭受诸多公司频繁推销之烦扰,侵犯了公民的个人隐私,打扰了公民的正常生活;大量个人信息被泄露,存在被不法分子利用的可能,严重威胁公民的人身、财产安全。该院认为4人除承担刑事责任外,还应当依法承担相应民事侵权责任。
今年1月,长清区检察院向区法院提起刑事附带民事公益诉讼。日前,长清区法院对该案作出判决:以侵犯公民个人信息罪判处被告人裴某、陈某、伊某、张某有期徒刑三年,缓刑三年,各并处罚金1万元;陈某、伊某、张某退缴的违法所得予以没收,上缴国库;判处陈某、伊某、张某共支付个人信息损害赔偿金1.39万元,上缴国库,责令4人在济南市主流媒体向社会公开赔礼道歉。
法条链接·个人信息保护法
第五条处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
第十条任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
第二十八条敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
第七十条个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
编后评
从源头压实个人信息安全管理责任
38万余条儿童、家长信息泄露,一个不容忽视的原因就是信息密集型单位监管责任的虚置。个人信息保护法明确,“不满十四周岁未成年人的个人信息”等敏感个人信息处理者对个人信息负有更高安全保障义务,此类单位若不能筑牢内部监管防线,法律赋予的安全保障义务便成了空谈。
压实责任,需从“人”与“制度”两端发力。对单位而言,必须建立更严密的责任体系,将信息安全纳入绩效考核硬指标,对信息系统操作人员实行“岗前审查+定期培训+违规重罚”全流程管理,杜绝因“人情”“疏忽”导致的信息外泄。对监管部门来说,应强化“穿透式”检查,对医疗、教育等重点领域开展信息保护专项审查,对发现的权限管理混乱、操作留痕缺失等问题,既要追究直接责任人责任,更要依法处分直接负责的主管人员。
唯有让信息密集型单位真正把责任扛在肩上,才能从源头掐断信息贩卖的链条,让公民信息安全更有保障。
作者:匡雪 张湛 刘道亮
