当前位置:首页 >  热点专题 > 让个人信息不再“裸奔”

让个人信息不再“裸奔”
时间:2018-08-13

  

 

“这是最好的时代,也是最坏的时代。”近年来,随着社会经济的发展,信息资源已成为重要的生产要素和社会财富,个人信息的价值也日益凸显。当信息可以兑付为财富时,以掘取信息为主的类型犯罪也如影随形。人们在经济生活中提供个人信息登记和信息共享,竟然成了个人信息泄露的源头。

个人信息安全成为全社会高度关注的话题,也成为业界着力探讨的问题。

7月12日,2018中国互联网大会个人信息保护论坛在中国互联网大会期间举办,论坛发布了全国首部个人信息保护行动计划。

近日,上海市人民检察院召开新闻发布会,通报了上海各级检察机关依据修改后刑法的规定,继续保持对侵犯公民个人信息犯罪的高压态势,实现案件受理数量显著增长的情况,建议加强保护国民个人信息的法治宣传,建立专业化办案机制,完善多部门联动、衔接的工作机制。

本刊编辑部

 

 

谁来保护个人信息

 

文/本刊记者 张程

 

在今天这样一个没有隐私可言的时代,个人信息的保护面临着严峻的考验。一方面是个人信息的大量暴露。随着各种信息采集设备、物联网设备的大规模应用,个人信息被大量收集;另一方面这些大量收集个人信息的平台又往往缺乏切实有效的保护机制,防止个人信息被泄露和滥用。

 

尴尬的现实

今年6月12日,国内手机生产厂商VIVO发布了新的旗舰手机NEX,这次手机行业的新品发布,不料却意外的掀开了互联网企业涉嫌偷取用户信息的遮羞布。

VIVO研发团队在设计NEX手机时,为了实现真正的全面屏,将手机的前置摄像头设计在了手机的侧上方——一个类似手机的SIM卡槽一样的伸缩装置。这个摄像头在用户需要使用前置摄像头时会自动伸出,在用完会后则会自动缩回手机内。

但是不少NEX手机的用户在使用手机的时候发现,这个内置的前置摄像头竟然会在用户没有调用的时候自己伸出来,然后又自己缩回去。在经过一番摸索后,用户发现,当手机使用特定APP程序时摄像头就会触发这种操作。例如使用“QQ浏览器”打开某些网页时,在没有调用摄像头的情况下,NEX的摄像头会做出伸出和缩回的动作。显然这是有些APP程序在获取了手机的相机权限之后,在用户不知情的情况下使用了这一权限。以往由于手机设计的原因,手机前置摄像头的开启和关闭普通人根本无法察觉,所以根本不会发现APP程序有主动行使权限的行为,但是现在NEX手机的用户却目睹了这一尴尬的事实。

想象一下,当你躺在床上,正兴致勃勃的玩着手机的时候,手机的前置摄像头自己主动伸了出来,在看了一眼周围的环境之后,然后又自己默默的缩了回去。这种场景恐怕多少有些诡异。尽管QQ官方在回应中称这是由于技术原因造成的,“手机QQ浏览器并不会采集用户任何隐私”,但是这一事件还是难免会让人们心中产生疑虑。

长期以来,以个人数据授权去换取APP使用权限在用户和互联网企业之间似乎已经达成某种默契。甚至连百度CEO李彦宏都曾公开说,“(中国人)很多时候是愿意以一定的个人数据授权使用,去换取更加便捷的服务的”。但是当人们这样做的时候,更多的是因为善意的相信企业要求获取这些权限是为了更好的为自己提供服务,这也是企业在要求获得这些权限时的说辞。但是其实在人们内心深处,或多或少都对这此抱有疑虑,“这样做真的安全吗”?

以往人们或许还心存侥幸,但一次次的数据泄露和企业对用户数据滥用的事件,已经给人们敲响了警钟,一切并没有想象中那么安全。即使企业不主动泄露数据,不滥用数据,但是事实也已经显示,大多数企业都缺乏有效的手段和机制保证用户数据的安全。从目前已经发生的个人信息泄露案件来看,一部分是来自于黑客的攻击和盗取,更大部分则是来自于企业“内鬼”的泄露和盗用。

大数据技术的应用是近几年才兴起的新鲜事物,许多企业还都缺乏这方面的管理经验。特别是在数据的存储和保护上,许多企业都缺乏有效和完善的机制来防止用户信息的泄露。尤其是在那些初创型企业、中小型企业中,更是缺乏这种机制,因此经常发生数据从内部泄露的事件。

这就是我们今天面临的现状,一方面各种设备、平台、应用都在如饥似渴的收集着用户的个人信息;另一方面这些平台自身又缺乏切实有效的保护机制,保证这些被收集的个人信息不会遭到泄露和滥用。

 

企业的“数据收集癖”

不幸的是,尽管许多企业并没有能力建立完善的数据管理和保护机制,但是企业对于大数据的饥渴程度,却因为商业运作的需要而异常的高。不论是大公司还是小公司,不论是从事什么领域的公司,都在争相攫取各种信息数据。这种对于大数据的恐慌性争夺,也是造成今天个人信息安全面临危机的重要原因之一。

阿里巴巴创始人马云曾将大数据比喻成“新经济的石油”,是未来最重要的资源。通过对大数据的挖掘,可以进行更为精准的商业决策,甚至可以重塑整个商业链路,大大提高商业运行的质量和效率。

“画像”是大数据技术为人所熟知的一个应用领域,即企业通过数据去为屏幕另一端的用户打上标签,在了解用户需求的前提下,进行更科学和带有前瞻性的决策。然而这一技术在现实中的应用却并没有科技所描绘的绚丽图景那般美好。

在某次大数据技术研讨会上,一位记者曾问一位大数据技术专家,“为什么国内的互联网公司给用户推荐的广告还是一些用户并不真正感兴趣的东西,是不是我们的技术还不行”。技术专家答道:“国内的广告技术和国外已经没有差距,只不过企业投放广告是看谁给的钱多,而不是看用户喜不喜欢”。

专家的回答十分直白,虽然企业通过大数据画像可以精准的知道你的喜好,但是当有商家有足够的意愿,付出足够的金钱,将他的广告推送给你时,这些互联网企业会欣然接受这个交易。甚至当你需要A商品时,他们可以精准给你推送A的替代品,A的高仿品,甚至A的伪劣品。问题不在于你喜不喜欢、需不需要,而在于这条商业链路的另一端——金主的需求是什么。

2016年初发生的“魏则西事件”中,21岁的西安电子科技大学学生魏则西在患滑膜肉瘤后,在百度上搜索相关信息,试图寻求可靠的治疗手段。鉴于百度的推荐,最后魏则西选择了武警北京第二医院的生物免疫疗法,并在随后前往该医院治疗。但事后才了解到,该技术在美国已被淘汰。魏则西最终因为耽误治疗时间而病逝。

在这个事件中,魏则西轻信百度的搜索排行,以为排在前面的就是治疗自己的病最好的医院,殊不知,这些排在前面的医院只是以最高的价格购买了百度的搜索关键词。至于真实的医疗水平如何,平台并不考虑。

医疗类广告是百度重要的营业收入来源,在百度的营业收入中,医院在搜索引擎上的推广费用就占到营业额的70%—80%,有医院一年收入只有1.2亿元,其中1亿元就投给了搜索引擎。

如果大数据真的是新经济的石油,那么它驱动的也是企业的高效发展,然而企业的高效发展并不总是意味着用户福祉的提升。当用户利益和营业利润产生矛盾的时候企业会怎么选?

在经济学领域中有这样一个概念——“劣币驱逐良币”,指的是当一个国家同时流通两种实际价值不同而法定比价不变的货币时,实际价值高的货币或银子必然要被熔化、收藏或输出而退出流通领域,而实际价值低的货币反而充斥市场。简而言之就是好的东西被不好的东西替代。

很不幸,当今的商业世界似乎已经形成了这样一种“劣币驱逐良币”的商业逻辑,这虽然听起来有一点危言耸听,但是背后的道理十分简单。那些在法律和道德的底线上来回试探,在用户心理承受底线上步步进逼的公司,在不受规则束缚的游戏环境中,获得了比安分守己的企业更大的腾挪空间,从而获得了一种不公平的竞争优势。因此,他们比“良币”更有活力,更加具有“创新”精神。

在“用户、流量为王”的时代,这些企业使用各种捆绑、伪装的手段,尽可能多的将自己的软件、应用装到用户的电脑中去,而不管用户是否真的需要。这些被称为“流氓软件”的应用曾经在PC机时代疯狂肆虐,用户除了徒叹奈何,对它们束手无策。这些“流氓软件”中不乏已经成长为今日互联网巨头的企业。

在如今互联网进入“精耕细作”的大数据时代,用户量已经不是衡量公司价值的最重要指标,拥有多少用户数据已经成了衡量公司价值的重要指标之一。在一个市场化竞争、“法无禁止即可为”的环境中,不管大公司还是小公司,都纷纷开始向用户要数据、要权限,有些完全已经超出了其提供服务所需的范围。但是对于大数据的焦虑还是促使他们不断抓取用户的数据,即使他们自身并没有数据存储和保护的能力,即使他们自身并没有数据挖掘和分析能力,却依然难以停下对数据收集的脚步。

企业对个人信息的盲目收集是造成个人信息泄露的重要原因。在不能挖掘数据价值的情况下,收集大量的数据反而会成为企业的负担,增加企业在数据存储和保护上的成本支出。一旦这些支出不能跟上数据增长的速度,数据的安全就存在危险。实际上仅有少数公司真正具有处理大数据的能力,那些无力处理大数据的公司最后只能寻找其他方式变现,很可能就造成信息的泄露。

 

亟须建立完善的信息保护机制

个人信息的泄露很容易被不法分子用在实施犯罪上。在诈骗领域就衍生出了一个新的名词——精准诈骗。即诈骗者在获取用户的个人信息之后,专门设计相应的诈骗方案,进行有针对性的诈骗。例如:在徐玉玉被电信诈骗致死案中,就是因为犯罪嫌疑人杜某非法侵入山东省考试招生信息网站,窃取了64万余条高考考生信息并转售牟利。这些考生信息被不法分子利用,对徐玉玉进行了精准的诈骗,并轻易得手。

信息泄露的渠道也五花八门,而且已经形成了一条黑色的产业链。通过QQ群、微信群等进行公开售卖。一条个人用户近三个月在网上某电商平台的购物信息,包含网络ID、用户名、真实姓名、所购物品、订单金额、物流单号、联系电话、家庭住址在内的信息,在网上只要几分钱就可以买到。车主信息、股民信息、患者信息等也是网络上常见的信息贩卖品类。这些信息的泄露源头有些是黑客在网站上装了爬虫获取来的,更多的则是由于部分企业内控不严,被“内鬼”盗出用于牟利。

个人信息泄露的危害不言而喻,而个人信息的保护却缺乏专门的立法。尽管在2017年6月1日开始施行的《中华人民共和国网络安全法》中对个人信息收集做出了规范性的规定,其中第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。但是多数互联网企业依然在收集超出其提供服务所需的用户信息。

近年来,伴随着数据技术的发展,侵犯公民个人信息犯罪也呈现出高发态势,检察机关为此也开展了专项的打击行动,并收获了一定的成效。但是要想控制和减少此类犯罪的发生,除了严惩之外,还需要在全社会建立起一套完善的信息保护机制,帮助企业做好内部管控,预防此类案件发生。同时企业也要切实履行相关职责,不要过度收集用户信息,以避免个人信息大量暴露。

 

 

通过办案满足人民群众对安全感的需要

上海检察持续保持对侵犯公民个人信息犯罪的高压态势

文/奚山青

 

 

侵犯公民个人信息犯罪的立法沿革及基本数据

随着信息化建设的推进,信息资源成为重要的生产要素和社会财富。在各类信息中,个人信息的价值日益凸显,成为数字经济最重要的元素之一。与此同时,个人信息泄露问题严重,个人信息安全成为全社会高度关注的问题。为保护公民个人信息,2009年2月28日起施行的《刑法修正案(七)》增设了刑法第二百五十三条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。《刑法修正案(七)》施行以来,上海市各级检察机关正确适用法律,准确认定事实,坚决依法惩处侵犯公民个人信息犯罪。

但近年来,该类犯罪仍处于高发态势,不仅严重危害公民个人信息安全,而且与电信网络诈骗等犯罪存在密切关联,甚至与绑架、敲诈勒索等犯罪活动相结合,社会危害日益突出。为切实加大对公民个人信息的刑法保护力度,2015年11月1日起施行的《刑法修正案(九)》对刑法第二百五十三条之一作出修改完善:

一是扩大犯罪主体的范围,规定任何单位和个人违反国家有关规定,获取、出售或者提供公民个人信息,情节严重的,都构成犯罪;

二是明确规定,将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的,从重处罚;

三是提升法定刑配置水平,增加规定“情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。

修改后,“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。

《刑法修正案(九)》施行以来,上海市各级检察机关依据修改后刑法的规定,继续保持对侵犯公民个人信息犯罪的高压态势,实现案件受理数量显著增长。2016年受理79件170人,2017年受理153件250人,2018年1月至6月受理124件174人。

为明确侵犯公民个人信息罪的定罪量刑标准,确保法律准确、统一适用,依法严厉惩治、有效防范侵犯公民个人信息犯罪,最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,自2017年6月1日起施行。《解释》的公布,对于强化公民个人信息的刑事保护、维护个人信息安全和其他合法权益发挥了重要作用。

 

大数据背景下侵犯公民个人信息犯罪的特征及应对

在大数据和云计算时代,包括个人信息在内的数据,只有充分地流动、共享,才能实现集聚与规模效应,最大程度地发挥价值。但是,在数据流动、共享过程中如何保护公民个人信息的安全,避免个人信息扩散失控,也是必须面对的问题。

一、侵犯公民个人信息犯罪具有的基本特征

大数据背景下侵犯公民个人信息犯罪具有鲜明特征:

1.侵害方式隐蔽化和多样化

在信息社会,公民在网络中的每一个动作都会留下“轨迹”,每进行一次搜索或使用一次导航服务都会形成一定的数据并自动被系统记录下来。与此同时,网络上的破译手法具有隐秘性,而且信息具有可复制性,丢失后被害人往往对窃取行为不知情。

以公民个人信用卡信息为例,持卡人信息被泄露至少存在以下三种途径:(1)由于银行管理问题而导致内部人员将信息转卖;(2)因持卡人安全意识不强等原因导致信息被盗;(3)第三方机构在持卡人网上支付过程中,非法存储银行卡信息导致信息泄露。在手机支付逐步占据市场主导的情况下,第三种方式呈上升趋势。

2.涉案信息电子化和海量化

犯罪分子在利用网络实施侵犯公民个人信息的行为过程中,产生大量以电子数据形式存在的证据,主要包括:(1)在网页、博客、微博、贴吧等网络平台发布的信息;(2)手机短信、电子邮件、即时通信等网络应用服务的通信信息;(3)用户注册信息、身份认证信息、电子交易信息、电子交易记录、通信记录、登录日志等信息;(4)文档、图片、音频、视频、数字证书等电子文件。由于电子数据具有远程传送、易破坏性等特点,导致涉案信息源头难以查证。而且,涉案信息多为批量数据或海量数据,往往数以千万计甚至达上百亿条。

3.侵害后果严重化和扩大化

随着公民个人信息与互联网平台紧密联系,一旦电脑、手机被木马病毒攻击或存在安全漏洞,就会导致公民个人基本信息以及设备、账户、社会关系、网络行为等多种信息泄露,尤其是手机支付宝、网上投资理财等账户信息的泄露,极有可能直接导致公民重大财产损失。另外,买卖信息是电信诈骗等下游犯罪的重要环节。例如:在徐玉玉被电信诈骗致死案中,杜某非法侵入山东省考试招生信息网站窃取64万余条高考考生信息并转售牟利,其非法获取、买卖信息行为就是该案发生的根源之一。

互联网上的个人信息随时面临被“黑客”攻击而泄露的风险,而网站管理人员可能不会将情况通报给用户,致使用户无法及时采取措施防止侵害扩大。例如:2017年10月4日,雅虎宣布曾因遭受黑客袭击而导致30亿用户个人信息泄露,包括用户姓名、电子邮件地址、电话号码、出生日期和密码等。

4.买卖信息产业化和趋利化

上下游犯罪密切勾连形成黑色产业链。信息被视为“数字时代的石油”,公民个人信息的经济价值日益显现。产业链顶端是行业“内鬼”或网络“黑客”,通过登录或侵入政府、企业的内部系统非法窃取各类个人信息。网上“信息二道贩子”创建诸如“车主信息”“患者信息”“网购物流信息”“股民信息”等QQ交流群,将公民个人信息当作商品在网上兜售,这是目前公民个人信息倒卖的主要渠道。

除了以买卖信息为业的“黄牛”,非法购买信息还包括两类情况:一类是保险、房地产等行业出于业务推广的需要而购买公民个人信息;另一类是用于电信诈骗、敲诈勒索等下游犯罪。司法实践中,公民个人信息被用于出售牟利的案件约占一半以上,其次是被用于从事其他违法犯罪活动或业务推广活动。由此可见,行为人的主要犯罪目的还是为了牟取经济利益。

二、加强法律意识,促进形成公民个人信息保护体系

1.加强保护公民个人信息的法治宣传。一方面,需要加大对公民保护自身信息的教育宣传。创新宣传途径、拓展宣传思路,充分利用广播、电视、网络、报纸等媒体,通过典型案例警示等形式,向公众宣传保护个人信息的重要性。另一方面,需要向有关单位和企业,特别是管理或获得大量公民个人信息的单位(如银行、医院、学校、电子商务运营商)进行宣传,使其增强保护信息的责任感和法律意识。

2.建立专业化办案机制。侵犯公民个人信息案件具有信息化高、技术性强的特点,可结合司法体制改革和办案责任制落实,设立办理侵犯公民个人信息案件的检察官办公室,加强对检察官信息科技知识、办案应诉技巧等方面的培训,使其能够适应新时代办案需要。

3.完善多部门联动、衔接的工作机制。公民个人信息保护涉及工业信息部门、公安部门、银监部门、工商部门、税务部门、电子商务运营商等各种主体,各部门需要明确责任分工,健全工作衔接协作机制,通过建立信息共享平台、定期召开联席会议等多种途径,加强工作联动,促进形成公众自觉、行业自律、政府监管、司法监督的公民个人信息保护体系。

 

 

警惕侵犯公民个人信息案件持续高发

文/本刊记者 陈侃

 

所谓公民个人信息,根据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“解释”)中的第一条规定,指的是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

自然地,公民个人信息也是受到保护的隐私。然而近几年,侵犯公民个人信息的案件时常见诸各大媒体,由侵犯公民个人信息所衍生出的各种案件也层出不穷,2016年引起全国关注的徐玉玉案就是一个典型例子。因此,保护公民个人信息,维护公民个人权益也一直是社会各界关注的焦点。6月12日,上海市虹口区人民检察院召开新闻发布会,通报了该院近期办理的一起征信公司出售公民房屋产权信息的案件,同时还对侵犯公民信息类案件的办理情况做了通报。会后,本刊记者采访了上海市虹口区人民检察院检察一部盛琳检察官,对相关案情作了详细的了解。

 

1800余条产权信息被交易

“本案中,犯罪嫌疑人潘某是上海一家企业征信公司的法定代表人兼总经理,主要从事对企业的信用资质、财产状况等进行调查、核实业务。”盛琳检察官告诉记者,潘某所经营的公司只具备了企业征信资质而不具备个人征信资质,“不过从2016年11月开始,为了满足一些小贷公司客户对个人借贷抵押用的房产信息真实性进行核实的额外需求,潘某指使其公司员工蔡某、凌某等人,根据企业客户提供的房屋地址,向他人购买个人房屋产权信息,也就是俗称的‘产调信息’,然后将这类信息出售给上述小贷公司等客户”。

据了解,在此过程中,潘某伙同公司员工蔡某和凌某以每条人民币35元的价格向他人购买能够识别公民身份及房屋地址、财产状况等内容的房屋产权信息,并将上述信息嵌入公司开发的软件内,再以每条人民币45元的价格出售给企业客户。

“公安机关在前期工作中发现了该征信公司存在买卖公民产调信息的情况,并依法立案侦查。”经核实,上述产调信息均能明确识别房屋产权人、产权情况等财产状况内容,共计1814条,该类信息的泄露可能对产权人等造成安全隐患。

根据查明的事实和证据,虹口区检察院认为,该征信公司及其负责人潘某、员工蔡某以及凌某分别作为公司管理的主要负责人、直接负责人,违反国家有关规定,购买公民的敏感信息并予以出售,属于共同犯罪,情节特别严重,应当依照《中华人民共和国刑法》的规定,以侵犯公民个人信息罪追究刑事责任。

盛琳检察官表示,尽管潘某等人到案后辩称他们只是在履行自己的职务,并没有触犯相关法律,但是客观上,其行为已经构成了侵犯公民个人信息犯罪,根据我国刑法第253条之一款规定,“违反国家有关规定,向他人出售或者提供公民个人信息的,情节严重的处三年以下有期徒刑或者拘役,并处或单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”

需要说明的是,潘某等人的犯罪行为属于情节特别严重。根据“解释”规定,当非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的,属于情节严重;当非法获取、出售或提供的信息达到该款规定标准10倍以上的,属于情节特别严重。本案中,经检察机关审查认定,潘某等人非法获取公民个人信息数量达到1800余条,远远超过了10倍以上。“不仅如此,涉案的产调信息属于高度敏感的财产信息。”所以,根据法律规定,潘某将会被判处三年以上七年以下有期徒刑,蔡某和凌某则将面临两年到三年的有期徒刑。

 

不枉不纵,严惩每一起犯罪案件

据介绍,办案人员从涉事公司电脑中查处了2260张产调信息图片内容,但最后为何认定潘某等人买卖公民个人信息达1814条呢?

对此,盛琳检察官表示,对于涉案信息的认定首先要排除不属于公民个人信息的公司产权信息。根据规定,公民个人信息细致能够识别特定自然人身份或反映特定自然人活动情况的相关信息,公司显然不属于自然人范畴,所以应当予以排除。其次,还要排除一条信息对应多张图片的情况,即重复的产调信息。最后,排除同一公民不同时间调取的同一地址信息,向不同单位或者个人分别出售、提供统一公民个人信息的,公民个人信息的条数累计计算。但本案中,由于无法确认不同时间调取的同一公民同一地址的产调信息是否出售给不同单位,因此仅认定其购买信息条数既符合有利于犯罪嫌疑人原则,也统一了认定标准。

不过,有需要排除的信息就有需要保留的信息。“对同名不同地址的产调信息则不予排除。公民个人信息有是指能够识别特定自然人身份等信息,同名不同地址的产调信息虽然可能指向同一人,但根据不同地址分别均能指向特定自然人,应认定为不同的产调信息,且同名个人存在重名的可能性,因此不应予以排除。所以最终认定的涉案产调信息为1814条”。

同时,本案还属于一起单位犯罪。所谓单位犯罪,是指公司为了本单位谋取非法利益或者以单位名义为本单位全体成员或多数成员谋取非法利益,由单位的决策机构按照单位的决策程序决定,由直接责任人员具体实施。本案中,潘某作为法定代表人,要求公司下属购买公民个人信息后以公司的名义对外出售公民个人信息,所得利益全部归公司所有,其行为符合单位犯罪的构成要件。根据《中华人民共和国刑法》规定,将对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照规定处罚。

作为公司直接负责人的潘某难逃刑事追责自然不在话下,然而对于受到老板指使的蔡某和凌某的行为为何也构成犯罪,盛琳检察官从法律条款中找到了答案。“蔡某在明知公司违反法律规定购买个人产调信息后,仍予以审核报销;凌某则明知是个人产调信息,仍予以购买他用,两人均为单位犯罪的直接责任人员,应以侵犯公民个人信息罪起诉”。

 

警惕!侵犯公民个人信息案件持续高发

由点及面,那么目前侵犯公民个人信息案件的趋势又如何呢?记者从上海市虹口区人民检察院了解到,该院自2016起年至今共计受理审查逮捕的侵犯公民个人信息案件数量为20余件50余人,涉及被泄露的个人信息则多达惊人的数百万条。盛琳检察官告诉记者,近年来随着司法机关的专项打击行动破获了不少侵犯公民个人信息案件,其数量及人数增长显著。据统计,2017年侵犯公民个人信息的案件数量与2016年相比增加了一倍,而且继续呈增长态势。“过去由于司法解释有些规定不是很明确,因此也造成了打击的幅度和范围的不够明确。新的司法解释颁布之后,对过去界限模糊、无法有效打击的犯罪行为,如今可以通过最新的司法解释来进行精准打击。”

除此之外,犯罪主体主要是销售人员及行业“内鬼”。从目前移送检察机关处理的侵犯公民个人信息案件来看,犯罪主体集中在金融行业、房地产行业的销售人员,这部分人或是拥有个人信息的资源,或是对个人信息有需求,通过购买、交换信息、出售等方式牟利。同时,也有不少行业“内鬼”,将在履职、提供服务过程中掌握的个人信息出售牟利,银行、教育、电信、快递、证券、电商等行业是个人信息泄露的高风险行业。

同时,涉案信息从普通型向高度敏感型发展。从案件涉及的公民个人信息种类来看,由原先的由姓名、手机号、地址、身份号等组成的普通信息,发展到涉及房产权属信息、行踪轨迹信息、航班、出入境信息等高度敏感信息,这些信息极易与电信网络诈骗或其他犯罪关联,甚至与绑架、敲诈勒索等犯罪活动相结合。

 

检察官说法:怎样保护个人信息

作为检察机关来说,除了配合公安机关办理案件以外,还会在预防犯罪发生方面做一些工作。比如召开一些新闻发布会,集中对类似案件进行通报,以法制宣传的形式起到警示和预防的作用。“另一方面,我们也会深入社区进行普法宣传,而且重点也不仅仅局限于侵犯公民个人信息案件本身,也会着重宣传由此类案件衍生出的比如电信诈骗等案件,让公民个人提高相应的警惕性。”

与此同时,盛琳检察官还提醒,作为公民个人来说,还需要从自身做起,提高风险防范意识和防御能力。

 

 

 

典型案例

 

 

30万余条新生婴儿信息被窃取

2014年初至2016年7月期间,上海市疾病预防控制中心工作人员韩某利用其工作便利,进入他人账户窃取上海市疾病预防控制中心每月更新的全市新生婴儿信息(每月1万余条),并出售给黄浦区疾病预防控制中心工作人员张某某,再由张某某转卖给范某某。直至案发,韩某、张某某、范某某非法获取新生婴儿信息共计30万余条。

2015年初至2016年7月期间,范某某通过李某向王某某、黄某出售新生婴儿信息共计25万余条。2015年6、7月,吴某某从王某某经营管理的公司内秘密窃取7万余条新生婴儿信息。2015年5月至2016年7月,龚某某通过微信、QQ等向吴某某出售新生婴儿信息8000余条,另分别向孙某某、夏某某二人出售新生儿信息共计7000余条。

上海市浦东新区人民检察院于2016年11月22日以侵犯公民个人信息罪对韩某等8人提起公诉。2017年2月8日,浦东新区法院以侵犯公民个人信息罪分别判处韩某等8人有期徒刑七个月至两年三个月不等,并处罚金二千元至五千元不等。

本案涉及国家工作人员与销售商勾结买卖新生婴儿信息,数量达几十万条,给个人家庭生活造成困扰,案件引发社会关注。检察机关认真办理该案,取得了较好的法律效果和社会效果。一是有力监督,有效追诉。浦东新区检察院在办理案件过程中,派员提前介入,会同公安机关从获取公民个人信息的数量、方式、来源、动机及后果等方面进行全面考量。在发现孙某某、夏某某等人的行为已涉嫌侵犯公民个人信息罪后,向公安机关发出直接移送审查起诉建议书。二是制发检察建议,延伸办案效果。浦东新区检察院向上海市疾病预防控制中心发出检察建议,要求其从系统账号密码专人专用、使用留痕,签订岗位保密协议,建立事后备查制度等方面进行整改完善。上海市疾病预防控制中心收函后立即采取相应措施进行整改,并将相关整改落实情况由专人至区检察院进行通报,以防止类似事件再次发生。

 

 

公民开房记录等个人信息

2000余万条藏在他的电脑中

2016年4月至11月期间,被告人李某通过在互联网上建立网络论坛吸引黑客发布漏洞数据、搜索引擎搜索以及从他人处拷贝等方式非法获取公民个人信息。2016年11月,李某将上述非法获取的公民个人信息中的2万余条数据,上传至QQ群内供他人下载并牟利。案发后,公安机关从李某的笔记本电脑中查获某酒店公民开房记录等公民个人信息2000余万条。李某到案后如实供述了本案事实。

上海市青浦区人民检察院提起公诉后,青浦区法院于2017年7月19日认定李某违反国家有关规定,向他人提供公民个人信息或非法获取公民个人信息,情节特别严重,以侵犯公民个人信息罪判处其有期徒刑四年,并处罚金五万元。

本案系《解释》施行(2017年6月1日)后上海市办理的首例侵犯公民个人信息案件。《解释》出台前,对于侵犯公民个人信息罪“情节特别严重”的标准尚不明确,青浦区检察院于2017年4月28日提起公诉,认定李某行为属于“情节严重”。《解释》出台后,规定“非法获取、出售或者提供住宿信息等其他可能影响人身、财产安全的公民个人信息五千条以上”属于“情节特别严重”。为准确适用法律,青浦区检察院及时变更起诉,青浦区法院最终认定李某行为构成“情节特别严重”。虽然获利数额只有26.4元,但判处其有期徒刑四年。

 

 

张某、姚某利用恶意程序侵犯公民个人信息案

2015年6月,被告人张某在登录浏览“魅力惠”购物网站时发现,通过修改该网站网购订单号可以查看到包含用户姓名、手机号、住址等内容的订单信息。为谋取利益,张某委托他人针对上述网站漏洞编制批量扒取数据的恶意程序,进入该网站后台管理系统,从中非法获取客户订单信息12503条,通过QQ等联络方法将上述客户信息分数次卖给被告人姚某,获利人民币5359元。姚某购得上述订单信息后,又在网络上分别加价倒卖从中牟利。

上海市黄浦区人民检察院提起公诉后,黄浦区人民法院于2016年3月29日以侵犯公民个人信息罪判处张某有期徒刑一年九个月,罚金五万元,判处姚某有期徒刑一年六个月,罚金二万元。

本案通过网络实施侵犯公民个人信息犯罪,在远程、非接触的状态下跨省区、多地域完成,作案手段技术含量高,涉案人员关系松散,特别是犯罪活动涉及的电子证据源中电脑、QQ、移动存储介质、手机、银行卡等证据的数据提取、固定、转化和验证等给案件取证工作带来一定困难,增加了检察机关在案件审查起诉中的工作难度。检察机关从多个方面加强案件指导和审查,确保案件质量和监督效果。一是注重引导案件侦查,确保取证工作扎实到位。针对犯罪嫌疑人主要犯罪手法系利用恶意程序批量扒取网站用户信息的手段,检察机关对所涉现场勘验检查、远程勘验记录、电子证据检查、作案工具扣押等环节的取证要点与规范要求予以明确,确保证据收集工作的合法性和有效性。二是严格案件证据审查,确保核心证据固定。检察机关对电子数据仔细比对后发现,有关姚某非法获取公民数据信息情况的鉴定意见存在重大瑕疵,难以作为定案依据,需重新鉴定。检察机关在该案补充侦查过程中多次与鉴定人员联系沟通,重新梳理证据情况,明确相关鉴定要求,及时修正证据瑕疵问题。三是加强捕诉联动交流,确保案件质量过硬。检察机关公诉部门与侦查监督部门围绕案件定性、证据认定、涉案情节等疑难问题进行充分沟通,形成统一意见。庭审中,公诉人运用充分证据指控犯罪,张某、姚某均供认指控事实,庭审效果良好。

 

 

 

各具特色的海外立法模式

文/和静钧

 

我国《刑法修正案(九)》第二百五十三条是迄今为止针对侵犯个人信息行为规定最全面的一款法条,定名为“侵犯公民个人信息罪”。依照2017年6月1日起适用的“两高”司法解释,侵犯公民个人信息罪并非孤立的罪名,在司法实践中,可以关联其他相关罪名,如非法利用信息网络罪(第287条)、拒不履行信息网络安全管理义务罪(第286条),对侵犯个人信息行为形成威慑。

尽管如此,现阶段我国个人信息的刑事保护,依然处于初期建设阶段,离法典化、系统化保护还很远。他山之石,可以攻玉,有必要认真借鉴海外经验以及相关立法。

 

刑事保护逻辑起点

个人信息权兼具人格权和财产权双重属性,但并非是简单并列的,人格权肯定处于第一性,财产权是第二性。

我国《刑法》第二百五十三条“侵犯公民个人信息罪”保护的是公民人格权还是公民财产权?“两高”司法解释对入罪量刑制定了标准,个人信息均以条计量,如敏感信息五十条、活动信息五百条、其他个人信息五千条成为入罪门槛。这意味着个人信息与所属个人无关,只与条数有关,每条被赋予相同的财产等价换算功能。所以可以看出来,我国的“侵犯公民个人信息罪”的逻辑起点偏向于财产权。

把财产权作为罪名逻辑起点,与我国并没有侵犯隐私权罪的现实相符,能与我国有系统的财产罪的上位罪名相衔接,形成一个逻辑连贯。

从欧美对个人信息刑事保护来看,欧美工业化文明进程早于中国,在个人主义为核心的基督教伦理的推动下,很早就有了相对完善的隐私权保护制度。美国把个人信息保护放在隐私权保护的框架里,其逻辑起点始于隐私权,并与各类制定法对接。对于个人信息非法交易等行为,则通过盗窃罪、不正当竞争罪等罪名另行处理。德国把个人信息从隐私权里剥离,并从更基本的私权起步,强调私权的自我处置权,非经本人同意,任何人都无权处置、采集其个人信息。德国比美国立法起点更前置,并自成一体,堪称大陆法系中的立法典范。

可见,个人信息刑事保护的逻辑起点是什么,决定着个人信息保护制度的设计方向。相对而言,始于私权的逻辑起点的保护体系,显得更有力度和法理统一性,而始于隐私权的保护体系,则需要随着新领域问题的出现而进行立法更新,但体系与脉络依然清晰。始于财产权的逻辑起点的保护体系,在打击犯罪之时虽有执法和司法效率之优势,但往往忽略了关键的一些因素,使侵犯个人信息者往往躲过了更令其生畏的巨额罚款和精神赔偿。

 

保护模式对比

于1978年生效的德国《联邦个人信息(资料)保护法》历经几次修改,现已成为欧盟区域内的范本。这部法律的特点就是采用“公私二元制”的立法模式,特别防范政府滥权,设立了政府层面的信息委员会,执行有效的信息保护和监督。诚如前文所述,德国立法的逻辑起点前置到私权的自我控制权,使得从法律逻辑体系上更显无懈可击。在刑事责任方面,《联邦个人信息(资料)保护法》既保留了有期徒刑,也保留了财产刑。

美国的分散立法模式适应了其海洋法系的特色,以隐私权法作为基石,通过判例推进法律,在具体的问题上总会找到相应的制定法。在刑事法律规定上,《隐私权法》规定侵犯个人信息为“轻罪”,只有财产刑。但美国刑事诉讼与司法审判中,往往会在侵犯个人信息行为中牵涉出很多其他严重罪名,数罪并罚,往往最后就能形成令人恐惧的刑期和罚金刑。如在《身份盗窃与身份诈骗法》中,侵犯个人信息行为上升为“重罪”,不是单处财产刑就能了事。

加拿大的立法思路中兼采了欧美两大特色,同时出台以隐私权为逻辑起点的《隐私法》和以私权含财产权为起点的《个人信息保护和电子文书法》,立法模式则是通过推出示范文本,供加拿大各省参照立法。阿尔伯塔省的立法中,在“刑罚”一章中,列出各类相关的侵犯、非法持有或售卖个人信息的罪名,规定了相应的罚金刑。最有特色的规定是,凡是在刑事法庭定罪量刑的,受害人可以凭此在民事法庭上发出凌厉民事索赔诉讼。基于个人信息犯罪大多起因于谋不义之财,最后以支付罚金和巨额赔偿金收场,这样的制度设计,比单纯关押一两年又放出来故伎重演,社会效果要好得多了。

加拿大立法模式也给了人们进一步的思考,在强化对个人信息的保护之时,是一味以拉长刑期即重刑化为导向,还是以加重犯罪财产成本为导向,的确需要立法者认真思量。

现在我们来看一看亚洲模式。一个是刑法与法典化相结合的澳门模式,澳门刑法中有若干与个人信息犯罪相关的罪名规定,在《个人信息保护法》法典化的立法中也有若干侵犯个人信息的罪名,两者并不重复或交叉。这使得澳门对个人信息的刑事保护可以面面俱到,不留死角。

韩国立法稍微滞后,2011年才通过了《个人信息保护法》。这一保护法是基本法,而非法典化的立法,还配套了大量的单行法,如金融、电信等领域的单行法。日本的《个人信息保护法》则是个综合性法律。

可见,海外立法模式并非是整齐划一的,而是各有特色。这意味着我们在推进个人信息保护法的立法工作时,可以大胆保留自己的特色与特征。然而,不论采取什么样的模式,有一点要引起重视,就是必须在立法思路上做到清晰,法律逻辑上做到连贯,涉及领域上要尽量做到包罗万象。

 

公权与私权的平衡

狭义的刑事保护,仅针对个人或单位作为刑事责任主体。广义的刑事保护,就是公法保护,则涉及政府作为加害人时如何纠正。这里就存在公权与私权的博弈与平衡问题。

譬如说,非法持有数万条个人信息,或出售个人信息等,依从刑事诉讼程序会对持有人和出售人追索刑事责任,其中会有证明环节,是罪非罪的申辩和裁决环节,但追根溯源,这些巨量个人信息的源头在何处,往往可以追踪到政府部门或具有公权性质的金融、电信征信部门囤积的大量个人信息,其中包含敏感信息。只有政府或具有公权行使授权的部门才有机会监控和收集到自然人的个人健康信息、活动信息、身份与血缘信息、财产信息,甚至是私生活信息。在大数据时代,个人信息在政府面前几乎处于“裸奔”状态。

《中国青年报》曾报道过一则中国女青年入境美国受阻的新闻。情况大致是这样:2016年2月中旬,一名中国留美学生向学校请了半个月假回国过年,当她重返美国时,在洛杉矶机场被美国海关盘问。该留学生被要求上交手机供美国海关检查,官员在她和朋友的微信聊天中发现,她曾表示:“我不喜欢这个学校,不是真的想上学,只是临时挂一下身份。”美国海关因此认定她隐瞒了来美国的真实目的,拒绝她入境。

美国甚至有个提案,要求今后所有入境美国的外国人,必须向官方如实告知Facebook等社交网站个人账号及密码,要如实向官方披露其推特账号及微博、微信朋友圈等。

澳大利亚政府通过《强制保留通讯数据法案》,强制澳大利亚的通信运营商Telstra和Optus保存用户的通信数据,例如电话记录、IP地址、短信的详细信息、数据的地址等,保存期限是2年。可以想象,一旦法案启动,巨量的个人通信信息就会被囤积起来,只要管理不慎,或被黑客入侵,这些敏感信息就有可能流入社会,从对公权对个人隐私的踏入,变成了公众对个人隐私的围观。

政府往往借助一些堂而皇之的理由,轻易就踏入到个人隐私与个人信息领域,这些行为若不加以监管和监督,后果将不可想象。所以,通过对各国(地区)立法逻辑起点的分析与对比,及各国(地区)相关刑事司法实践的比较解读,我们可以看出,切实保护好个人信息,还是需要依托于一个基本人格权利,这一权利具有人格排他性,与个人尊严有关。若只是作为物化的财产权,侵犯者会以化整为零等方式规避法律,也不会意识到其行为的可恶性,更不会把他人的尊严当回事。以财产权为逻辑起点的刑事责任体系,法定的刑期再长,就是一个“厉而不严”的体系。文明社会发展的方向是尊严的升极而不是相反。