个人信息泄露久已有之，调查称86.5%的人曾遭泄露

     2011年12月，以程序员网站CSDN、天涯社区、美团网等数据库遭黑客攻击为代表，网络个人信息泄露事件曾集中爆发，上亿用户的注册信息被公之于众。其中，广东省出入境政务服务网泄露了包括真实姓名、护照号码等信息在内的约400万用户资料。去年年底，中国青年报一项针对近2000人的社会调查显示，86.5%的人确认个人信息曾遭泄露。
      在利益的驱使下，“花钱买信息”也愈演愈烈。在一些保险代理内部论坛上，几万份“打包”出售的客户信息，每份合计不足4毛钱。在一些物业公司，花800元就能买到数百楼盘的业主信息。在一些医院，花3毛钱就能收购一个新生宝宝的信息。有人甚至为此开设了钓鱼网站、通讯公司和商业信函公司，专门通过收集、买卖公众“名址库”牟利。
      更难啃的“骨头”则由黑客出马。据媒体公开披露，黑客实际掌握用户数据库的数量已超过1亿条，中国黑客的黑色产业链规模或高达上百亿元。

个人信息泄露方式可分为三类

     近日，中国社科院发布的《法治蓝皮书》把我国个人信息泄露情况大致归纳为如下三大类：
      一是过度收集个人信息。有关机构超出所办理业务的需要，收集大量非必要或完全无关的个人信息。一些商家在办理积分卡时，要求客户提供身份证号码、工作机构、受教育程度、婚姻状况、子女状况等信息；一些银行要求申办信用卡的客户提供个人党派信息、配偶资料乃至联系人资料等。
      二是擅自披露个人信息。有关机构未获法律授权、未经本人许可或者超出必要限度披露他人个人信息。一些地方对行人、非机动车交通违法人员的姓名、家庭住址、工作单位以及违法行为进行公示；有些银行通过网站、有关媒体披露欠款者的姓名、证件号码、通信地址等信息；有的学校在校园网上公示师生缺勤的原因，或者擅自公布贫困生的详细情况。
      三是擅自提供个人信息。有关机构在未经法律授权或者本人同意的情况下，将所掌握的个人信息提供给其他机构。银行、保险公司、航空公司等机构之间未经客户授权或者超出授权范围共享客户信息，也很常见。

不少公职人员、国企员工牵涉其中

     据一些个人信息买家说，贩卖个人信息的人手上的一些数据零碎，不能满足公司的需求。大一些的数据公司的数据有些不详细，也不能当成搜集客户信息的主要方法。要做大，还得靠自己的人脉。这里的“人脉”就指的是各种机构的“内部人”，其中不乏公职人员。以某广告有限公司为例，其客服人员向记者表示，公司所拥有的本地“客户”个人信息中：5.5万人的老板信息来自工商/税务局，8万车主信息来自车管所，11.6万业主信息来自开发商/物业，16万商店、超市会员信息来自各会员中心，5千地产从业人员信息来自房管局。
       2009年，深圳、佛山等地十余名领导的手机号码和通话清单，就被“内鬼”以不足2000元的价格倒卖。在2011年8月曝出的“北京最大非法获取公民信息案”中，23名被告中，有7人来自电信公司内部。

中介、广告营销者是信息主要买家

     贩卖个人信息的产业链条之所以能够成型，大量的下游“消费者”扮演关键性的角色。产品和服务推销是个人信息购买方对于大量个人信息产生高度兴趣的普遍动因。据一些房屋中介公司透露，他们手中的很多客户名单都是买的，现在买这种客户名单的价格也不贵，上千人的名单也不过50元。
      获取个人信息如此廉价，自然让个人信息购买方趋之若鹜，于是各种各样的企业都在利用个人信息做生意，卖保险、卖收藏品、卖教育课程的、卖房子的、卖基金……个人信息购买方的行业类别如此之多，早已无法细数，几乎每类需要进行广告营销的企业和商家，都有可能成为个人信息的购买者，而且越是本小利大的，越是容易打个人信息的主意。这里面表现最为典型的莫过于骗子。前段时间，广州荔湾芳村等多个区域的消费者就曾经投诉，称有电话营销打着某运营商企业官方促销的名义让他们购买手机，而导致这些用户纷纷上当的关键在于骗子们在来电推销的时候不仅能够轻易叫出他们的名字，还能准确地报出他们的身份证号码。

互联网服务方和中间商在其中赚些小钱

     网站管理员是个人信息买卖的源头之一。交易方式一般就是先把数据库内一小部分的资料提供给买家“验货”，证明个人信息的真实性和价值后，买家会通过网上转账或者其他支付方式购买整个数据库的压缩包。向管理员买数据库的价格一般都很低，因为网站中对管理员开放的个人信息数据库一般信息量有限，多数仅为注册账号和邮箱之类的简单信息，对数据收集方价值不大。出售一个普通网站简单的个人信息数据库，仅能获利数百元，部分较旧的数据库，更甚至是“半卖半送”。另外，据某团购网站经营者透露，不少团购网站的商户搞的“抽奖”和“秒杀”之类的活动，其实是在让用户去登记个人资料来参与，那用户的个人信息可谓是手到拿来。不过，虽然这两类人是个人信息的利益链中最早获利的群体，也只是拿了其中的“蝇头小利”。
      据某咨询机构负责人在采访中透露，个人信息的贩卖已经是处于半公开的状况。很多打着“数据挖掘”、“客户咨询”、“精准推广”等名堂的企业，都是“披着羊皮的狼”。除了“挂羊头卖狗肉”的企业化经营的个人信息中介方之外，还有大量的“个体户”形式的“信息贩子”存在于个人信息泄露的利益链当中。信息贩卖中介方就是个人信息泄漏利益链中的“炒家”，赚的是倒买倒卖个人信息而获得的价差。

电信运营商是利益链的主要受益者

     在目前的各类信息骚扰中，基于电话、短信的信息骚扰无疑是消费者最为反感的，但这又却是实实在在垃圾信息主流渠道，并且重要地位还在不断提高中。据在一家SP（信息服务商）工作多年人士透露， 1万个短信的群发出去，成本才不过300-500元，但是回短信定制的可能有上千个，光包月收入就要好几千，比在电视、电台或者报纸上做广告效果好多了，成本也比较省。虽然近年来SP市场得到严厉整顿，运营商们仍然被不少消费者认为是垃圾信息满天飞的“帮凶”之一。就算运营商大声疾呼其本身“不作恶”，而且制度很严格，但它们仍然是整个垃圾、骚扰、诈骗信息产业链中的获益者。如今SP早已式微，运营商作为各类手机增值服务的代收费渠道，却仍然在各种手机扣费软件、吸金陷阱中扮演着被迫获利的角色，甚至连诈骗电话这些看似和运营商没有直接关系的“生意”，作为网络运营者，运营商们仍然在其中赚到了电话费。

公民个人反信息泄露难取证难操作

     对个人信息泄露，鲜有个人起诉的案例。因为诉讼成本太高，同时，维权手段也不完善。 在2011年底中国青年报所做的社会调查中，有七成受访者在个人信息遭泄后，选择了“忍耐”。只有三成人会以要求相关网站删除自己的信息、查询谁是泄露者或者举报等方式，作“绵薄”的抵抗。而这一比例，在今年4月新华网披露的工信部科学技术情报研究所的调查结果中，降为一成，首要原因是“调查取证困难”。从民事诉讼的角度看，一般人很难知道自己的信息是在什么时间、地点、以什么方式、被谁泄露的，所以，想要起诉他人泄露自己个人信息的成本非常高。据报道，某些受害者并非没有试图查问过骚扰者的“信息源”，但“对方不是含糊其辞，就说是从手机号段里随机抽取的。”完全无法从千头万绪中锁定“黑手”，几次之后，只有放弃。
      上海社科院法学研究所研究员江锴表示，在个人信息保护方面，《个人信息保护法》初稿已出台多年，但至今没有面世。虽然2009年《刑法》将泄露个人信息的行为入罪，《民法通则》中也有关于个人隐私的条款，但这些规定零散、抽象，现实中普遍缺乏可操作性。

工信部已出台《保护指南》，但仍需全方位完善立法

     4月12日，工业和信息化部宣布《信息安全技术：公共及商用服务信息系统个人信息保护指南》（下称《指南》）已编制完成、通过审议，上报至国家标准化管理委员会。该《指南》预计将于今年出台。据其主要起草人说，即将出台的《指南》是一个整体的标准、框架。这样一来，个人用户和相关机构都有了参照标准，行业主管部门也可以通过这些指标梳理和评价行业的发展现状。不过，光有对信息来源的限制显然是远远不够的，个人信息贩卖的中间商、最后使用个人信息的买家仍然得不到有效的依法管理。公民依法维权难以操作的问题仍然会存在。
      另外，即使已有《指南》规范电信等信息行业从业者行为，能否得到执行仍然是个问题。一位运营商前员工表示，由于客户信息存储涉及的链条很长，公司里能够接触泄密信息的人员众多，因此监管很容易落空，这使得运营商渠道成为了个人信息泄露的一个重要源头。而且，虽然目前各大运营商在员工入职时就与之签订了保密协议，并且针对客户信息保密有严格的管理制度，但在没有道德底线的员工面前，保密协议只是一纸空文。