2.6万余条婴幼儿信息遭窃：被黑的网站为何能掌握这些信息？

▲ （视觉中国 / 图）

经查，2022年10月至2023年2月间，李某以黑客技术入侵某新生儿信息网站，窃取新生儿信息26663条，而吕某与刘某则充当李某的下线，将非法窃取的信息向全国儿童摄影机构销售。截至案发，三人通过售卖新生儿信息共获利30余万元。同年8月，泄露新生儿信息的李某等三人因侵犯公民个人信息罪分别被法院判处有期徒刑三年四个月至三年不等，各并处罚金21万元至8万元不等。

李某等三人被判有罪，依据的是《中华人民共和国刑法》第253条，“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”本案的法院判决存在“三年四个月至三年不等”的情况，可见案情中的“信息五千条以上”与“非法所得五千元以上”属于“情节严重”与“情节特别严重”的情况。

然而本案仍然有其特殊性：其一，本案的受害者主体是婴幼儿，属于未成年人；其二，本案中涉事三人的作案方式并非是“非法收集消费者个人信息”，而是“黑进网站窃取个人信息”。就这两个特点而言，本案仍有值得进一步辨析的必要性。

首先，婴幼儿的个人信息泄露，后果恐怕比成年人还要来得严重。众所周知，婴幼儿的个人信息极易被人利用。本案中用于推销还不算是太严重的后果，但如果是用来伪造假身份证，或是拿来拐卖儿童，以及其他需要冒用身份的黑产呢？近年来“盗窃或是伪造出生医学证明”的案件屡发就是明证，难免让人更加担忧婴幼儿个人信息泄露带来的种种风险。

其次，婴幼儿毕竟无法独立从事民事行为，其个人信息的泄露方式要更为单一，本案也就留下了更多的疑问。本案案情显示，泄露信息的源头是一家“新生儿信息网站”，事后法院及时向负责网站开发的浙江某技术公司发函通报，建议该公司及时修复技术漏洞、消除安全隐患，以各种方式保障新生儿信息安全，该公司也“对系统漏洞进行了筛查并修复”，并以各种手段“切实保障新生儿信息安全”。

然而值得追问的是，这家公司的名称与性质是什么？他们是如何拿到新生儿信息的，是家长上传还是其他途径？其间有没有得到家长授权，或是经过了家长的知情同意？除本案之外，这家网站还有没有泄露更多的新生儿个人信息？类似这样的“新生儿信息网站”还有多少，他们的商业模式是什么？

在现实中，除亲生父母之外，掌握婴幼儿个人信息的有且只有医院、卫健委和上户口的公安机关。如果不是亲生父母主动泄露的话，这三类机构就是最大的嫌疑者。2017年，四川警方就曾侦破一起新生婴儿信息倒卖案：某社区卫生服务中心工作人员徐某利用职务之便，非法下载新生婴儿数据50余万条，贩卖数万条。因此，“监守自盗”，才是婴幼儿个人信息最大的泄露之源。

《中华人民共和国刑法》第253条规定，“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。”在本案中，既然谷女士本人不是信息泄露源，那么这家“新生儿信息网站”与背后可能的“信息提供者”就颇为可疑，值得进一步的刑事追查。

这条法律的第3款也规定，“窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。”那么，那些购买了新生儿信息的儿童摄影网站，又是否符合这条“买卖同罪”的规定？这是受害人有权追诉的，公权力也应追责黑色产业链上每一个可能的违法犯罪者，震慑潜在的不法之徒。

最后，保护婴幼儿个人信息免遭泄露，也是加强未成年人保护的一大要义。

《中华人民共和国未成年人保护法》第72条规定，“信息处理者通过网络处理未成年人个人信息的，应当遵循合法、正当和必要的原则。”第127条则规定，信息处理者违反本法第72条规定的，相关部门可依职责分工责令改正，给予警告，没收违法所得。这些立法显示，保护未成年人个人信息也是全社会的职责。

总之，此次婴幼儿个人信息泄露案显示，保护公民个人信息尤当注意保护作为未成年人的婴幼儿。这就需要从源头上堵住可能的破口，加大对整条黑灰产业链的打击力度，同时要求全社会都来履行相应职责，为建设儿童友好社会贡献力量，让未来的主人翁健康开阔地成长。