華文網

侵犯公民個人資訊犯罪:拿什麼拯救你,我的資訊

不管是否心甘情願,我們日常生活中產生的資訊從未像今天這樣有價值。資訊化時代,從網購的柴米油鹽,到學生時代的檔案,到日常違章記錄、航班車票、銀行流水,都無一例外地產生數位痕跡。

和印刷時代不同的是,這些痕跡並不會隨著時間的流逝而輕易隱去。

《經濟學人》五月刊把這些資訊稱之為“數位時代的石油”,但“石油”歸誰所有、如何監管,日益成為全球挑戰。對於普通人而言,“石油”中最為敏感特殊的一類,公民個人資訊,甚至成了生活中詐騙、騷擾的起源。目前,公民個人資訊保護在我國還未統一立法,與之關聯緊密的是《刑法》第二百五十三條之一【侵犯公民個人資訊罪】。

以及,即將在2017年6月1日施行的《網路安全法》,對收集、使用個人資訊進行了體系性規定;即將在2017年10月1日生效的《民法總則》第一百一十一條,規定自然人的個人資訊受法律保護。

一、“內鬼”作案:涉及面廣、信息量巨大

5月9日,公安部網路技術研發中心主任許劍卓表示,行業內部人員已經成為侵犯公民個人資訊犯罪的重要主體。並且,此類犯罪已經形成完整的利益鏈。

內部人員洩密是上游操作,下游則“各顯神通”,或進行精准詐騙、行跡追蹤,或投放廣告以求業績增長。以駕駛員身份資訊為例,在(2013)溫蒼刑初字第893號 刑事判決書中,“內鬼”被告人利用協警的職務便利,洩露了4000多條駕駛員資訊,並篡改駕駛員聯繫方式,以供下游買家套取違章免積分處罰權益。

澎湃新聞 ( thepaper.cn ) 搜索了判決書中庭審過程的內容,提取出80多起“內鬼”案件。與公安部提供的信息相符,

此類犯罪涉及銀行、教育、電信、快遞、證券、電商、醫療等行業,涉及面廣,每起案件的資訊洩露數量從數十條到幾千萬條不等,危害較大。

不同行業的“內鬼”作案也有一定規律:

1.公安系統。公安系統內部的洩密高發處為基層派出所和交警大隊,

偶有消防支隊、特警大隊涉案。公民戶籍資訊、駕駛證資訊、住宿記錄成為主要作案目標。

違法者中,超過半數為輔警、協警等“臨時工作人員”。但值得注意的是,根據庭審記錄,“臨時工”往往會通過“正式工”的數位憑證來獲得資訊,從一定程度上表明,公安系統內部的資訊管控、流程規範都有不小的提升空間。

2.金融行業。從可提取的資訊來看,不同程度“中招”的金融機構包括交通銀行、建設銀行、招商銀行、中國農業銀行、郵政儲蓄銀行、工商銀行和成都農商銀行,

也有泰康人壽、易貸公司等。儲戶資訊、存單記錄、投保資訊為犯罪主要目標。

尤為引人矚目的為(2014)浦刑初字第1923號 刑事判決書,展示了對公民資訊進行立法保護的必要性。2008年,建設銀行廣東省分行的資訊技術管理部職員借工作之便,共獲得800余萬條客戶資訊。彼時,刑法尚未對公民個人資訊立法保護, 其行為不構成犯罪。2009年3月後,侵犯公民個人資訊相關罪名經由《刑法修正案(七)》被加入《刑法》,該“內鬼”離職後的出售資訊行為構成犯罪,最終被判有期徒刑一年、緩刑一年、罰金15000元。

3.快遞、電商行業。隨著越來越多的購物行為通過網路完成,一張面單上有著我們的太多資訊。在業務量大的公司,“內鬼”洩露的信息量能達到幾十萬條。作案者的職位包括統計員、資料庫工程師,也有助理總經理、網店管家,總體而言,或偏技術崗位,或有管理職能。

二、犯罪門檻低,違法者有年輕化趨勢

從這一千兩百多份判決書的被告人中,可以提取出年齡資訊的有1100多位元,占被告人總數的一半左右,有一定的參考價值。以今年計算,則提取樣本中,80%以上的違法者年齡在35周歲及以下,25周歲及以下的占到19%,最年輕的為1998年出生。

除去“內鬼”作案,通過QQ、論壇等方式獲取公民資訊,再轉手倒賣是許多案件中的“經典”案情。這種方式操作門檻相當低,偵察難度卻很高。已經洩露的公民資訊經過無數次轉手,幾乎不可能消失在犯罪網路中。

從地區分佈來看,自保護公民個人資訊被寫入刑法後,越來越多的地方法院開始審理相關案件,沿海省市是此類犯罪多發的地區。近年來,福建逐漸超過上海成為審結案件最多的省份。

三、侵犯公民個人資訊犯罪的判罰是怎樣的?

經過一定的文本篩選和去重,澎湃新聞 ( thepaper.cn ) 從判決書中提取到了法官對2055位被告所犯侵犯公民個人資訊罪的判決,其中只處罰金的情況占5%,被判拘役或有期徒刑、但可以緩刑的人員占39%。未獲緩刑的有1153人,其中處拘役(六個月及以下)的占22%,兩年及以下有期徒刑的占77%。

總的來說,2055人次的判決中,僅有18人被判處兩年以上有期徒刑、且未獲緩刑。約80%的犯罪者被罰金額小於或等於兩萬元。

高於兩萬元的處罰中,被罰五萬元以下的有104人,五萬以上10萬元以下的54人,10-20萬的14人。數額最高的被判100萬罰金,是一起單位犯罪刑事案件,(2012)閘刑初字第997號,於2012年12月由上海市閘北區人民法院審結。涉案單位“羅維鄧白氏行銷服務有限公司”,花費了250萬從十多家公司手裡購買9000多萬條公民個人資訊,包括手機號碼、電子郵箱、家庭住址、銀行帳戶、消費記錄、嬰幼兒情況等,用於其行銷推廣等服務。

看到這樣的結果,有人可能會覺得犯罪者的違法成本過低,判罰起不到威懾作用,陷入個人資訊價值被人大及其常務委員會低估的陰雲之中。雖然公民資訊保護早在2009年被加入刑法,但其最高刑期定在三年。直到2015年11月1日,《刑法修正案(九)》施行,構成此罪、且情節特別嚴重的量刑標準才被提高到“三年以上七年以下有期徒刑”。

而最高法、最高檢於5月9日進一步發佈司法解釋,明確了針對此罪的定罪量刑標準。最新的司法解釋將於6月1日起施行,增加了對“情節特別嚴重”的認定標準,主要涉及如下兩個方面:

一是數量數額標準。根據資訊類型不同,非法獲取、出售或者提供公民個人資訊“五百條以上”“五千條以上”“五萬條以上”,或者違法所得五萬元以上的,即屬“情節特別嚴重”。

二是嚴重後果。《解釋》將“造成被害人死亡、重傷、精神失常或者被綁架等嚴重後果”“造成重大經濟損失或者惡劣社會影響”規定為“情節特別嚴重”。

四、亞太地區針對個人資訊保護的立法情況

近年來,針對公民個人資訊保護單獨立法的呼聲不斷。去年的徐玉玉案件引起社會廣泛關注,背後涉及的個人資訊安全問題在兩會上被反復提及。《檢查日報》在兩會期間採訪了中國人民大學教授張新寶和北京師範大學刑事法律科學研究院教授盧建平,兩位學者都提到了我國目前碎片化的立法規定缺乏頂層設計,強調了單獨立法的必要性。

世界範圍內已有多個國家或地區制定了個人資訊保護法,這是全球面對資訊化進程的立法趨勢,在亞太地區也有諸多先例。金杜法律事務所在《國內外資料保護方法比較》一文中分析了亞太地區的資料保護狀況,歸類如下:

1. 早已實施資料保護(如中國臺灣)和未實施(越南);

2. 怠於執行(1996年到2010年,中國香港實際沒有執行相關法律,但自從發生為行銷目的濫用資料的重大案件之後,現已開始更加積極地執行)和奉為圭臬(韓國的資料保護法律某種程度上比歐盟的“黃金標準”指令性更強);

3. 相比有統一法律的澳大利亞,一些地區的規定不成體系(目前中國大陸地區屬於這一種);

4. 可與歐盟媲美(比如紐西蘭)。

注:

① 在 OpenLaw 網站設置的搜索條件為“關鍵字:公民個人資訊,關鍵字搜索範圍:判決結果”,資料獲取時間2017年5月11日。

② 公民個人資訊立法保護過程:首先經由《刑法修正案(七)》(“出售、非法提供公民個人資訊罪”、“非法獲取公民個人資訊罪”)於2009年被加入《刑法》,並在2015年11月1日起施行的《刑法修正案(九)》中被統一為“侵犯公民個人資訊罪”。據最高法數據,《刑(七)》施行後,從2009年2月至2015年10月,全國法院共審結出售、非法提供公民個人資訊、非法獲取公民個人資訊刑事案件969起,生效判決人數1415人。2015年11月至2016年12月,全國法院新收侵犯公民個人資訊刑事案件495件,審結464件,生效判決人數697人。

③ 檢察日報,《在個人資訊合法保護與合理利用之間尋求平衡》:http://www.spp.gov.cn/llyj/201703/t20170329_186658.shtml;

金杜法律事務所,《國內外資料保護方法比較》:http://www.kwm.com/zh/knowledge/insights/data-protection-at-home-and-abroad-20161122

其行為不構成犯罪。2009年3月後,侵犯公民個人資訊相關罪名經由《刑法修正案(七)》被加入《刑法》,該“內鬼”離職後的出售資訊行為構成犯罪,最終被判有期徒刑一年、緩刑一年、罰金15000元。

3.快遞、電商行業。隨著越來越多的購物行為通過網路完成,一張面單上有著我們的太多資訊。在業務量大的公司,“內鬼”洩露的信息量能達到幾十萬條。作案者的職位包括統計員、資料庫工程師,也有助理總經理、網店管家,總體而言,或偏技術崗位,或有管理職能。

二、犯罪門檻低,違法者有年輕化趨勢

從這一千兩百多份判決書的被告人中,可以提取出年齡資訊的有1100多位元,占被告人總數的一半左右,有一定的參考價值。以今年計算,則提取樣本中,80%以上的違法者年齡在35周歲及以下,25周歲及以下的占到19%,最年輕的為1998年出生。

除去“內鬼”作案,通過QQ、論壇等方式獲取公民資訊,再轉手倒賣是許多案件中的“經典”案情。這種方式操作門檻相當低,偵察難度卻很高。已經洩露的公民資訊經過無數次轉手,幾乎不可能消失在犯罪網路中。

從地區分佈來看,自保護公民個人資訊被寫入刑法後,越來越多的地方法院開始審理相關案件,沿海省市是此類犯罪多發的地區。近年來,福建逐漸超過上海成為審結案件最多的省份。

三、侵犯公民個人資訊犯罪的判罰是怎樣的?

經過一定的文本篩選和去重,澎湃新聞 ( thepaper.cn ) 從判決書中提取到了法官對2055位被告所犯侵犯公民個人資訊罪的判決,其中只處罰金的情況占5%,被判拘役或有期徒刑、但可以緩刑的人員占39%。未獲緩刑的有1153人,其中處拘役(六個月及以下)的占22%,兩年及以下有期徒刑的占77%。

總的來說,2055人次的判決中,僅有18人被判處兩年以上有期徒刑、且未獲緩刑。約80%的犯罪者被罰金額小於或等於兩萬元。

高於兩萬元的處罰中,被罰五萬元以下的有104人,五萬以上10萬元以下的54人,10-20萬的14人。數額最高的被判100萬罰金,是一起單位犯罪刑事案件,(2012)閘刑初字第997號,於2012年12月由上海市閘北區人民法院審結。涉案單位“羅維鄧白氏行銷服務有限公司”,花費了250萬從十多家公司手裡購買9000多萬條公民個人資訊,包括手機號碼、電子郵箱、家庭住址、銀行帳戶、消費記錄、嬰幼兒情況等,用於其行銷推廣等服務。

看到這樣的結果,有人可能會覺得犯罪者的違法成本過低,判罰起不到威懾作用,陷入個人資訊價值被人大及其常務委員會低估的陰雲之中。雖然公民資訊保護早在2009年被加入刑法,但其最高刑期定在三年。直到2015年11月1日,《刑法修正案(九)》施行,構成此罪、且情節特別嚴重的量刑標準才被提高到“三年以上七年以下有期徒刑”。

而最高法、最高檢於5月9日進一步發佈司法解釋,明確了針對此罪的定罪量刑標準。最新的司法解釋將於6月1日起施行,增加了對“情節特別嚴重”的認定標準,主要涉及如下兩個方面:

一是數量數額標準。根據資訊類型不同,非法獲取、出售或者提供公民個人資訊“五百條以上”“五千條以上”“五萬條以上”,或者違法所得五萬元以上的,即屬“情節特別嚴重”。

二是嚴重後果。《解釋》將“造成被害人死亡、重傷、精神失常或者被綁架等嚴重後果”“造成重大經濟損失或者惡劣社會影響”規定為“情節特別嚴重”。

四、亞太地區針對個人資訊保護的立法情況

近年來,針對公民個人資訊保護單獨立法的呼聲不斷。去年的徐玉玉案件引起社會廣泛關注,背後涉及的個人資訊安全問題在兩會上被反復提及。《檢查日報》在兩會期間採訪了中國人民大學教授張新寶和北京師範大學刑事法律科學研究院教授盧建平,兩位學者都提到了我國目前碎片化的立法規定缺乏頂層設計,強調了單獨立法的必要性。

世界範圍內已有多個國家或地區制定了個人資訊保護法,這是全球面對資訊化進程的立法趨勢,在亞太地區也有諸多先例。金杜法律事務所在《國內外資料保護方法比較》一文中分析了亞太地區的資料保護狀況,歸類如下:

1. 早已實施資料保護(如中國臺灣)和未實施(越南);

2. 怠於執行(1996年到2010年,中國香港實際沒有執行相關法律,但自從發生為行銷目的濫用資料的重大案件之後,現已開始更加積極地執行)和奉為圭臬(韓國的資料保護法律某種程度上比歐盟的“黃金標準”指令性更強);

3. 相比有統一法律的澳大利亞,一些地區的規定不成體系(目前中國大陸地區屬於這一種);

4. 可與歐盟媲美(比如紐西蘭)。

注:

① 在 OpenLaw 網站設置的搜索條件為“關鍵字:公民個人資訊,關鍵字搜索範圍:判決結果”,資料獲取時間2017年5月11日。

② 公民個人資訊立法保護過程:首先經由《刑法修正案(七)》(“出售、非法提供公民個人資訊罪”、“非法獲取公民個人資訊罪”)於2009年被加入《刑法》,並在2015年11月1日起施行的《刑法修正案(九)》中被統一為“侵犯公民個人資訊罪”。據最高法數據,《刑(七)》施行後,從2009年2月至2015年10月,全國法院共審結出售、非法提供公民個人資訊、非法獲取公民個人資訊刑事案件969起,生效判決人數1415人。2015年11月至2016年12月,全國法院新收侵犯公民個人資訊刑事案件495件,審結464件,生效判決人數697人。

③ 檢察日報,《在個人資訊合法保護與合理利用之間尋求平衡》:http://www.spp.gov.cn/llyj/201703/t20170329_186658.shtml;

金杜法律事務所,《國內外資料保護方法比較》:http://www.kwm.com/zh/knowledge/insights/data-protection-at-home-and-abroad-20161122