前一天办好了银行卡，第二天就接到了各种贷款电话；前一天刚提的车，第二天就接到了保险公司的车险电话；刚办理股票开户，就接到了各种理财短信。这样的遭遇相信很多人在日常生活中都遇到过，而究其原因，正是个人信息泄露。

在网络上，以非法获取公民个人信息为上游，以买卖公民个人信息为中游，以利用公民个人信息实施网络诈骗等为下游，侵犯公民个人信息已经形成了一条完整的黑灰产业犯罪链条。

App日常“扒信息”已成习惯

7月中旬，40款App被中央网信办、工业和信息化部、公安部、市场监管总局四部门“点名”。《关于督促40款存在收集使用个人信息问题的App运营者尽快整改的通知》指出，这40款App在个人信息收集使用方面存在问题，且未公开有效联系方式。

南方日报记者在表单上看到，被点名的40款App中，有大量网民熟悉的App，包括安居客、同花顺、墨迹天气、智行火车票等。

就在40款App被点名的不久之前，已有30款App因违反《网络安全法》，被该App专项治理工作组点名要求整改。

而在2018年6月，因为特殊的结构设计，一款手机则将App收集个人信息的过程形象地展现了出来。

这款名为NEX的手机，其前置摄像头为伸缩式，只有当用户在进行自拍等操作时，前置摄像头才会弹出。

然而用户在实际使用过程中却发现，在打开某些App时，原本隐藏的摄像头也会自动弹出，然后再自动缩回。这一过程被形象地描述为：“你躺在床上，忘我地玩着手机，摄像头突然偷偷伸出来，默默地看了你一眼，然后又默默地缩了回去。”

拥有大量个人信息网站成黑客“宝库”

2018年8月，华住集团的1.3亿个人信息数据在暗网上公开兜售。

2018年11月30日，万豪国际集团旗下喜达屋集团发生客户预订数据库信息泄露事件，高达5亿的个人信息被披露出去。

持有大量隐私信息的重要信息系统和重点网站，其不断加深的信息化程度与薄弱的网络安全防护之间，矛盾突出。

2019年上半年，广东省公安机关在对全省9093个重要信息系统和重点网站进行排查时，发现并整改了高风险隐患漏洞2721处，同时清理下架安全问题突出的互联网数据中心服务器1272台，关停虚拟主机245个，行政处罚网络平台运营企业3998家。

这些掌握了庞大公民敏感信息的重点单位中，“重应用、轻安全”的情况普遍存在，在网络安全防护上不作为、懒作为的情况较为突出，致使这些拥有大量公民敏感信息的系统网络安全漏洞频出，被黑客非法入侵后获取信息并大肆倒卖，实际上成为了黑灰产业链的重要信息源。

从公安机关破获和法院判决的案例看，车辆、征信报告、银行账户、房产、教育、医疗等信息成为“抢手货”，相关部门“内鬼”作案也成为了个人信息泄露的主要方式。

在广东警方2018年开展的“净网安网3号”行动中，某电信运营商话费结算系统承建公司员工郭某，利用其系统维护管理权限结合黑客技术，大量调取证券公司客服电话的呼叫记录（即股民电话号码信息）后向下游团伙贩卖。

个人信息倒卖使危害成倍提升

南方日报记者在调查中发现，公安机关近期破获的多起侵犯公民个人信息案件中，嫌疑人通常都有交流和贩卖个人信息的犯罪情节。

深圳的“猎头搜”网站，搭建起了一个个人信息交流贩卖的网络平台。在平台上，个人信息如同货物一样被摆上货架，明码标价，供人挑选。

该网站通过邀请码的方式注册用户，通过积分的方式管理用户上传下载的数据。用户可以将自己掌握的个人信息资料上传到网站供其他用户下载，以便获取积分。

而用户获得积分后，又可使用积分去下载他人上传的相关数据。据办案民警介绍，“猎头搜”网站注册用户多达6万余名，掌握内部通讯录、个人简历等文档多达40多万份。

而公安机关最终共抓获犯罪嫌疑人130余人，查获公民个人信息2亿多条。该案也是目前为止，全国破获的最大的打击非法提供内部通讯录和个人简历侵犯公民个人信息案。

这些个人信息数据在被多次买卖的过程中，会与其他渠道泄露出的数据不断比对，互相完善。如上文提到的“净网安网3号”行动中，流出的金融类公民信息数据在被多次买卖的过程中，还逐渐增加了个人身份信息、人员轨迹信息、手机定位信息等数据，使得危害成倍提升。

个人信息泄露“助力”精准诈骗

因为拥有更为详细和精准的个人信息，犯罪分子实施电信诈骗的模式也已经从最早的“大水漫灌”升级到“更加精准、有效率的2.0版本”。

2018年9月，家住广州增城区新塘镇的赖女士接到一个陌生的电话，电话那头的男子自称是某物流公司的员工，有一个赖女士寄出的包裹被上海出入境管理局查获，里面有12本寄往加拿大渥太华的护照。赖女士称自己没寄过这个包裹，对方却说她的身份信息外泄被犯罪分子盗用了，让她向上海某地警方报案，否则会被限制出入境。

听到这里，赖女士有些慌了，此刻她正在加拿大看望自己的女儿，便要求对方提供公安局的电话。对方直接将电话转到了一个自称是上海某地公安局的“赵警官”那里。

电话里，“赵警官”准确的说出了赖女士的个人信息，告诉她她的身份证信息被犯罪分子盗用。为了证明与嫌疑人间没有资金往来，要求赖女士配合进行资产调查。

之后的几天，赖女士按照“赵警官”的要求，添加了其QQ好友，卖掉了手上260多万元的股票存入银行账户中，购买了一部手提电脑，并卸载了电脑里预装的安全防护软件。

随后，对方发来一个网址，要求赖女士插入U盾，在网页中输入银行卡账号和密码，最后又在QQ通话过程中问出了银行发来的验证码，就这样赖女士卡中的钱全部转给了对方。

几天后，对方再次联系了赖女士，说赖女士不老实，其资产还远不止这些，甚至发来赖女士的一些个人信息和银行资料，反复逼迫赖女士转钱。

由于担心自己触犯法律，赖女士陆续向亲戚借来200万元人民币和10万加币，之后对方如法炮制将赖女士借来的钱全部转走。

几次三番后，“赵警官”还不肯罢休，赖女士无奈再次向亲戚借钱。亲戚问清缘由后立即告诉赖女士这是电信诈骗，赖女士这才意识到自己早已经落入了骗子圈套。

这是一起典型的“精准诈骗”，诈骗分子利用赖女士被泄露的个人信息，然后有针对性地实施诈骗，令人防不胜防。

个人信息保护亟待专门立法

近年来由于个人信息泄露导致诈骗案件频现，对个人信息从法律层面进行保护成为社会关注的焦点。

据统计，目前我国有近40部法律、30余部法规涉及个人信息保护，包括民法总则、刑法、消费者权益保护法、网络安全法以及新近通过的电子商务法。但是，专门的个人信息保护法仍未出台。

资料显示，我国早在2003年起就由国务院委托有关专家开始起草《个人信息保护法》，但目前，个人信息的单行法仍然处于缺失状态。

华南理工大学法学院教授滕宏庆认为：“在个人信息保护方面，目前还没有单行法，多为分散式立法，没有系统法律。而在《中华人民共和国刑法修正案（九）》中虽然设立了侵犯公民个人信息罪，但是仍属于‘沉睡条款’，直到2016年的徐玉玉案轰动全国后，各地才陆续出现了首例侵犯公民个人信息罪判决。一方面说明了这一罪名的制定主要属于震慑作用，在归罪过程中很难界定；另一方面，这个罪名中使用的一些概念、术语、条件都还比较模糊，例如何为情节严重，个人的哪些信息可以被公开，哪些不可以，相关法律并没有给出认定标准。”

【记者】汪棹桴 姚翀

【摄影】张梓望 实习生 黄晓敏

【校对】符如瑜