个人隐私泄漏调查:房产银行保险医院均为泄密源

　　晚报记者 俞佳 滕芙勤 劳佳迪 报道 制图 邬思蓓

　　800元能买数百楼盘业主信息，0.3元可收购一个新生宝宝信息。你是否知道，自己的个人信息已被商品化，以低廉的价格打包出售，在保险公司、房产中介、月嫂公司之间肆意流转？当下，个人信息的泄露无处不在，房产中介、银行、保险、医院、网站、电信等“泄密”大户，让人们成为信息社会的“透明人”。

　　记者昨天从工业和信息化部官网了解到，我国个人信息保护的首个国家标准已经编制完成，有望在今年上半年正式出台。这一标准明确了个人信息和个人敏感信息等概念，并提出信息处理时应遵循的原则，将为处理个人信息的行为提供规范。

　　■ 个案分析

　　房子刚过户，装修来电话

　　“喂？ ×××小姐吗，你的房子需要装修吗？ ”接到这个突如其来的电话，季小姐颇感困惑。 “电话那头直呼我的全名，也知道我的所在地，拨打的又是我的私人手机。 ”在脑海中反复搜索之后，季小姐明白，自己的个人信息都被泄露了。

　　究竟是哪个环节出现了纰漏，致自己的信息泄露？季小姐有点摸不着头脑。季小姐一贯小心，登记网银时留的是工作手机，在注册网站时用的是虚拟名字，买房时还特别留了一个心眼：专门购买了针对中介的手机号码，打算完成交易就弃用。

　　唯一留了私人手机的就是与卖家正式签订的房屋买卖合同。合同一式四份，卖家和自己各留一份，自然不会出问题。另两份一份留给中介存档，另一份审税时交给房产交易中心。“嫌疑人”只可能是某区房产交易中心和成交的中介。而在过户流程中发生的一个巧合又让她将目标最终锁定在房产交易中心。

　　“缴营业税和契税当天，中介意外将我的一份合同丢失在交易中心的影印室，所以他将自己保留的一份合同从公司取出交给我，推理下来，应该是房产交易中心泄露了我的个人信息。 ”

　　现在让她担忧的是，买卖合同上还有她及家人的工作单位、身份证号码、新居地址等，不知将来还会出现什么后遗症。

　　季小姐告诉记者，相比自己好友陈先生的遭遇，她另购一个手机号的做法还是明智的。陈先生年初在浦东杨高南路7号线沿线入手一套二居室，由于没有特别购置电话号码用于交易，交易完成后的短短几个月内，陈先生已在各种装修公司、房产中介的强力轰炸下不堪其扰，只能将手机号码换掉。

　　宝宝才两天，喜蛋卖上门

　　媒体人张先生有个一岁多的女儿，他告诉记者，自打2010年9月喜得爱女后，满月剃头、百日照、奶粉等各种婴幼儿商品服务的推销电话就几乎没停过。

　　“第一次接到电话是女儿出生两天后，是推销新生宝宝喜蛋的，头一个月真叫‘狂轰滥炸’啊！ ”张先生说，“后来，满月、百日、周岁，每个宝宝成长的重要时间节点，商家都会提前进行电话推销，一个都不会落下，特别准时。一般都会先恭喜一番，甚至介绍些育儿经验，最后才推销产品，十分客气，也不好指责他们骚扰了。 ”

　　在电话推销的疯狂攻势下，张先生也没能捂住钱包。第一个月，他就买了一套宝宝胎毛的纪念品：给宝宝剪完胎毛后，放在特制的中空印章里，再加上一个有宝宝照片和手印的水晶八音盒，一套开价高达800元。宝宝快满3个月时，多家摄影机构都来电话，甚至主动上门服务，张先生又花了1100多元，给女儿拍了一套百日照。

　　张先生告诉记者，有一次在付完定金后，他与商家上门服务的工作人员攀谈，问起怎么能如此及时知道他家宝宝的情况。对方告诉他，公司花钱买了大量新生儿信息，宝宝的出生日期和医院，父母的姓名和电话都有。

　　张先生思前想后，自己只在医院留过相关信息，而且宝宝出生两天就接到电话，除了医院，实在想不出还有其他泄露方。被泄密的不仅仅是他，他说自己很多同事朋友都有过类似遭遇，据说出售新生儿信息在不少医院都是“潜规则”。

　　焦急等房贷，保险来电忙

　　如数月前给小周画一幅素描，应该是这样：身材消瘦的他坐在莘庄北广场一家房产中介门槛上，为了缓解焦虑情绪，猛抽双喜“绿壳子”。接过业务员递来的冰红茶，他狠灌了几口。零星烟灰伴着渗出的液体不断落在他的灰色CROCS鞋上，可面带愁容的他似乎并无半点感觉。

　　当时的他是焦躁的 “等贷一族”，为了及早拿到房屋贷款，需要不断骚扰贷款行个贷经理，他选择使用自己最常用的号码，以防错过任何重要来电。新年伊始，他终于在银行排上队，但新的麻烦也接踵而至。 “我几乎隔三差五会接到保险公司的电话，夸张的是，对方非常熟悉我的近况，说我作为主贷人应该为新房的贷款考虑，推荐我购买人身意外险。 ”如此熟门熟路按需推荐，让小周不得不疑心银行，“应该是银行个贷部门泄露了我的电话和名字。 ”

　　小周并非无端猜疑，银行和保险同为金融机构，似乎也是剪不断理还乱的利益“线团”。从血缘上看，部分股份制银行和保险公司本身就“师出同门”，同属一个大集团或同为一家大股东投资，其他银行与保险公司之间也因为银行代理销售保险产品的渠道利益分配而难撇关联。

　　网站留假名，暴露泄密方

　　网络上流传了这样一个段子。如果姓刘，在银行办理服务填写个人信息时，就写名字是“刘建设”，如果往后接到骚扰电话，问“是刘建设先生吗？ ”你就知道，是银行把你的信息卖了。

　　银行业务需要提供身份证，这样的段子自然也是调侃而已。不过，白领马先生在看过后，却得到启发，在注册部分网站时，他专门给自己编了个好记的假名：朱××。果然，从去年下半年到今年，他接连接到了多家保险公司推销电话，一接通就问“是朱××先生吗？ ”让他实在哭笑不得。

　　马先生告诉记者，虽然这事是当个笑话在朋友间说起，但是，自己读书、求职、工作期间，曾在无数网站注册，不少留的是真实的个人信息，看来不知被人“卖”了多少回。想想这些，不免背后发凉，不敢轻信各种网站了。

　　■ 业内揭秘

　　保险：代理人互相转卖个人信息

　　某外资保险公司业务员小杨告诉记者，保险公司业务员的客户信息一般通过两种渠道获得：第一、有些公司会通过与其他企业合作，获得客户个人信息，“比如你在购买机票时，一般会有一项问你是否购买意外险，当你勾‘是’的同时，你的信息也就自动转给了保险公司；第二，保险代理人自己也会有一些特殊途径获取客户信息，“有些可能是通过信息中介购买，还有些就是通过某种方式破解一些网站，下载企业法人的个人信息，询问公司是否需要购买保险。 ”

　　由于小杨从业一年不到，她坦言，目前她的多数名单都是从其他代理人手中购得的。“有些代理人一下子从中介那儿买几万份，他们打陌生电话也打不过来，就卖给同事，我从他们手里买的话价格从0.1元到0.4元不等，和他们买入的价钱差不多。 ”

　　小杨告诉记者，由于个人信息在保险业务发展时必不可少，所以频繁从同事手中购买个人信息是极为常见的。 “不过3·15之后，风声很紧，现在最新的名单都买不到了。 ”小杨坦言，“不过相信过段时间又能买到了，只要存在利益关系，这些中介就不会倒闭。 ”

　　电信运营商：查家庭地址很容易

　　小王在某知名国有运营商从事营销工作已近两年，在她看来，想要获得用户个人信息再简单不过，“我们这里营销人员都能登录一个信息系统，只要输入客户名字，立刻能查到手机号码、住址。 ”

　　小王告诉记者，不仅是营销人员，甚至连营业厅做报表的工作人员都有机会接触到这一信息系统，“去年企业内部还通报批评，说是营业厅有个员工把客户信息拿去卖给中介，这事情内部员工都知道。 ”然而，小王表示，为了防止员工将客户信息用以牟利，公司要求每位员工都必须签署几大禁令，首当其冲的一条即是“严禁泄露或交易客户信息”，近两年，用户个人信息保护方面的意识也有所提高，“比如前两年你到营业厅查手机密码只要凭身份证就可以了，现在不仅要身份证，还要现场发送的手机随机码。 ”

　　房产中介：客户电话“越撒越广”

　　和保险一样，房产中介也是大量需要个人信息的行业，在这一行业中，有意购房客户电话就成了金贵的资源。

　　某知名连锁房产中介工作人员小陈告诉记者，客户哪怕只在一处留下电话，也可能随着业务员的流动被“越撒越广”。他表示，现在中介行业的流动率也很大，有的业务员做了一段时间后就转行了，走之前做个顺水人情，就把手头的资源转给同事。也有的人是跳去别的中介，自然也就把这些电话带走了，换一家中介的身份继续联系购房者，原来的中介有登记信息留存的，自然也会再联系购房者。

　　银行：泄露多是个人牟利行为

　　“多数还都是银行个贷员或理财师的个人牟利行为，他们掌握着大量客户信息，将这些个人资料转移给保险公司用作市场推广，可以为他们个人带来收益。 ”某国有大行个贷部经理宋先生这样解释道。

　　一个例证将银行的“内鬼”形象勾勒清晰。此前，央视3·15曝光多家银行的工作人员向犯罪分子出售客户信息，造成受害人损失3000多万元。据报道，多家银行的工作人员以每份十元或几十元低廉价格大肆向犯罪分子兜售银行客户的收入、详细住址、手机号、家庭电话号码，甚至职业和生日等个人信息，致使犯罪分子筛选出最有可能的六位银行密码。其中，某行信用卡中心风险管理部贷款审核员与相关银行客户经理都被写入“黑榜”。

　　■ 记者调查

　　哪些渠道容易泄露个人信息

　　电信运营商、网站、银行、房地产中介、医院、求职、买车、买保险、办理会员卡、问卷调查……似乎每一种都成了泄露个人信息的重灾区，防不胜防。记者将个人信息泄露的渠道进行归类整理，发现尽管信息泄露渠道不一，但仍可总结为两种方式：

　　第一、被动套取。走在路上被阿姨妈妈们拦截，随手填写问卷调查；在书店看书，某教育机构销售人员恳求你填写个人信息，期待获得免费的学习资料……由于市民防范意识不强，随手填写的信息便可能成为他人牟利的工具。

　　第二、主动透露。注册论坛或是门户网站会员时，不得不填写姓名、联系方式；医院就医时，也很难使用“马甲”去“忽悠”医生；买车、买房、买保险、办理手机业务时就更不可能留下虚假信息，在这些场合下，出于特定的目的，市民往往抱着信任的态度将个人信息留给商家，却不想可能由于管理不善或恶意泄露，招致一系列的麻烦。

　　800元可买数百楼盘业主信息

　　个人信息通过什么渠道买入卖出？记者昨天在某知名搜索引擎中的搜索“求购上海业主信息”，上百条买方与卖方发布的信息立即映入眼帘，“求上海楼盘的业主资料，各区都要”“上海最新房主业主最全资料提供，非诚勿扰”……在这一问一答之间，记者发现，买方与卖方们往往通过QQ进行“地下交易”。随后，记者以“求购个人信息”为由与多位卖主接上了头。

　　“你是需要业主名单吧？我给你发份清单看看。 ”见有生意上门，一位网名显示为 “企业名录”，QQ签名为“出售企业名录，让你丢掉114”的网络卖家主动给记者发了份沪上楼盘的详细名录，声称“名单所罗列楼盘的业主信息都能提供，并且及时更新至今年3月份。 ”

　　记者打开这份名单发现，包括“世茂滨江花园”、“万科花园小城”、“好世鹿鸣苑”等几百个市、郊楼盘均位列其中，按照登记的时间顺序分门别类地进行详细罗列，卖家声称“每个楼盘的户数不等，有的几百户，有的几千户，一共两千多个楼盘，你自己算算，起码也有几万个名单了。 ”记者整理后发现，清单中的楼盘多有重复，撇除重复的，数量也近千。

　　“你如果不信，明早给你发几个联系人，试试信息到底准不准确，然后你再付款也不迟。 ”见记者犹豫，卖家主动提出发送一份“小样”以测试真伪，并声称800元买几万个名单，一口价、不还价。当记者问及是否有豪车车主、产妇的个人信息时，卖家表示，这些信息应有尽有，并谨慎地回复称：“具体价钱等我们先把这业主名单谈妥了再说。 ”

　　每月万名新生儿信息均可售

　　随后，记者又联系到另一位出售新生儿信息的卖家。 “你是要刚出生的婴儿名单吗？上海一个月出生一万多个婴儿，每个月我这儿都有。 ”一位未显示网名的卖家见记者有意购买，二话没说，立刻向记者发来一张电脑截图。图为一张EXCEL表格的一部分，包括宝宝名字、性别、出生医院、生日、妈妈姓名、爸爸姓名，电话、甚至具体到门牌号码的家庭地址都在该表中一览无余。在出生医院中，“浦东新区光明中医医院”、“第一妇婴保健院”、“松江区中心医院”、“嘉定区妇幼保健院”等全市不同区域的各级医院均位列其中。

　　“这些是去年11月生的宝宝，太久了吧？ ”见记者犹豫，卖家回应道：“这你绝对放心，我这里更新得挺快，不过最近风声比较紧，名录只能更新到2月中旬，至于2月下旬及3月份的名单什么时候能送来就不能保证了。 ”

　　“开价0.6元一个人，你要几月份的？买多了价钱好商量。 ”“能不能再便宜点？这么贵，我要是买1万多条就要五六千元呢。 ”记者佯装有意求购，与卖家砍起价，最终得到的答复是：“最低0.3元，不能再低了。 ”

　　在采访过程中。两位卖家均表现出较为谨慎，每当记者问及信息来源时，或绕开话题或含糊其辞，只声称其有可靠的信息渠道。在付款方式上，卖家均表示只要货款汇到账号，立刻将名单发到记者的邮箱，准确率在95%以上。

　　除了业主、产妇个人信息的二手倒卖外，在一些信息发布网站上，记者甚至看到“工商注册资料、企业法人、电话、手机、地址等信息提供”的帖子，以及“豪车车主姓名、电话、地址提供”，无处不在的泄密渠道令人担忧。

　　■ 监管空白

　　个人应有知情权、决定权

　　“个人信息的所有者应当有充分的知情权和决定权。 ”上海社科院法学研究所研究员江锴表示。

　　“从学理上讲，个人信息并不是纯粹的财产权，也是一种人格权，由所有人自己掌握。其所有权并非财物那样可以转让，所有人才有处置权，可以在授权商家使用后即时撤回或修改。 ”江锴说。

　　他指出，用户授权商家使用信息，是出于所购买的产品或服务有需要，这样的授权是有范围的，一般双方协议中也会有相关条款约定。如果商家在未经用户同意的情况下将个人信息再授权给其他人使用，显然是不合法的。对于例如黑客攻击等无心之失，商家也应当有相关保护和补救机制，有义务将损失降到最低。

　　法律上存在监管空白

　　江锴告诉记者，在个人信息保护方面，国内立法确有不足。 《个人信息保护法》初稿已出台多年，但至今未真正进入正式立法程序。虽然2009年 《刑法》将泄露个人信息入罪，民法通则也有关于个人隐私的条例，但这些条例零散、抽象，在现实中普遍缺乏可操作性。他表示，个人信息保护方面在法律上更是空白，现在的保护更多依靠的是行业自律和企业与个人之间的合同约定。个人如果因个人信息被泄露诉诸法律，按照民法“谁主张谁举证”的原则，很难有胜算，也很难判断损失以适应民法的“填平”原则。

　　近日，工信部直属的中国软件测评中心透露，其联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已通过评审，正报批国家标准。但这个指南并不是强制性标准，没有法律效力，被认为对全面保护个人信息作用不大。

　　不过，今年4月，深圳却公示了属于特区的个人信息安全保护条例，征求意见稿规定，互联网信息服务提供者擅自收集用户身份信息、改变信息用途、泄露或者转让用户信息的；将由市公安部门责令改正，并处以10万元罚款；违规严重者将处停业整顿和吊销经营许可证。

　　境外保护个人信息有法可依

　　目前，世界上已有50多个国家和地区制定了保护个人信息的相关法律。

　　美国2005年通过一批保护个人信息的法律，如《隐私权法》、《信息保护和安全法》、《防止身份盗用法》、《网上隐私保护法》、《消费者隐私保护法》、《反网络欺诈法》和《社会安全号码保护法》。 2011年4月，美国一些重量级的参议员又提出关于在线综合信息保护立法的议案。

　　欧盟则在1995年通过《欧盟个人数据保护指令》，协调各国国内法以确保个人信息在欧盟范围内自由流动。各欧盟国家也分别制定国内的相关法律，如德国于1976年颁布《联邦资料保护法》，法国于1978年通过 《法国自由、档案、信息法》，1984年英国制订《数据保护法》。

　　在亚洲国家内，日本个人信息安全保护意识较强，2005年4月，《个人信息保护法》正式实施，此外，日本企业对于客户信息管理方面非常严格，从公司发出的邮件，公司管理人员和监管部门都严格审阅。