侵犯公民个人信息犯罪新趋势
潘文婕
2017年6月1日,最高人民法院和最高人民检察院共同出台了《關于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“《解释》”)。而在此前的3个月,《民法总则》(征求意见稿)提交全国人大审核通过,其中最引人注目的莫过于民法典增加了对公民个人信息的保护。可见,不论是民法还是刑法,均加大了对侵犯公民个人信息等违法行为的打击力度,并细化了对涉及此类犯罪的量刑标准,使侵犯公民个人信息犯罪案件的定罪更清晰,打击更精准。对于普通民众来说,国家的法律体系将对公民个人信息进行全方位的保护,如果发生涉嫌侵犯公民个人信息的不法行为,其不但要承担民事责任,更要承担相应刑事责任。
网络科技的迅猛发展,让很多信息都全民化、公开化,尤其是公民个人信息。只要你鼠标一点,就可能成为“透明人”。2013年以来,上海市浦东新区人民检察院共办理涉侵犯公民个人信息26件54人,涉及被泄露的个人信息多达数千万条。信息的源头涉及电信、医疗、司法、银行等,涉案人员多来自于此类单位的工作人员,其中不乏国家工作人员。尽管公安机关对此类案件进行了长期重点专项打击,一定程度上遏制了其高发态势,但案件仍屡禁不止,并不断变化,呈现出新动向。
犯罪环节新:形成“源头—中间商—非法使用者”利益链
在浦东新区检察院办理的韩子明等八人侵犯公民个人信息案中,韩子明系某疾病预防控制中心工作人员,2014年初起其利用职务便利,私自将某疾病预防控制中心每月更新的全市新生婴儿信息出售给张小峰,再由张小峰加价层层倒卖给专门从事婴幼儿产品销售的范金萍、李云婕,最终由李云婕贩卖给上海某母婴产品公司,用于推销其公司的婴幼儿产品。直至案发,韩子明等人非法获取新生婴儿信息30万余条,涉案金额高达21万余元。
不难看出,此案是一例较为典型的侵犯公民个人信息案件。韩子明等人非法获取、出售、转卖、利用、牟利的行为自上而下、环环相扣,源头就是掌握公民个人信息的政府部门工作人员,直接下线是第一层级的中间商,二级下线是不同层级的代理商,三级下线是商业用户。
上下线之间没有直接接触,从联系到交易,均是单线,形成了“源头—中间商—非法使用者”的交易模式,并逐渐呈现以非法获取、贩卖、使用的利益链条,继而形成以牟取不法利益为目的的市场化运作、专业化分工、交易金额巨大的地下黑色产业,导致大量新生儿个人信息外泄,给公民个人人身权、财产权造成了潜在的威胁。
犯罪手段新:利用境外“云”平台和授权合法身份肆意作案
侵犯公民个人信息犯罪已经成为其他某些犯罪的上游犯罪,敲诈勒索、电信诈骗等多数是以非法获取个人信息为前提的。我国刑法在2009年增设“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。2015年又作了修正,将上述两个罪名统一为“侵犯公民个人信息罪”。
2016年8月,浦东新区检察院办理的上海首例以出售手机定位查询系统侵犯公民个人信息的案件中,上海某英科技股份有限公司(以下简称“某英公司”)是一家信息安全类企业,系涉密类合作单位,主要负责信息安全行业中的电子取证及网络信息安全的软件开发等项目,所服务的客户群体主要是相关的政府部门。
某英公司董事兼核心技术人员肖成江,授意其公司员工将境外公司合作的GSM网络手机基站定位技术通过开发系统对接平台,为国内客户提供手机基站定位服务。在此过程中,肖成江等人为规避法律,通过关联企业成浩公司与多家无信息安全资质公司签订购销个人信息合同。虽然合同以提供云平台服务为掩饰,但实质是买卖公民手机定位信息。最终,导致公民个人手机定位信息被恶意获取,肖成江等人非法获利70万余元。
该案有一定的特殊性。因为肖成江等人所在某英公司具有一定的特殊业务范围,肖成江等人掌握了收集公民个人定位信息的潜在功能,虽然这一功能尚未得到法律许可,但肖成江为了获取不法利益,利用了特殊的合法身份打起了擦边球,在互联网“云”端搭建了一个非法的服务器,并利用这个服务器恶意获取公民个人的手机定位信息。
要知道,公民个人的手机定位信息属于最隐秘的信息。根据法律规定,非因法律允许任何人不得获取。侦查机关也只有在法律规定的范围内、在得到法律允许的前提下合法获取。因此,肖成江等人在明知对方公司不具备合法资质的情况下,借下游关联企业的名义与此类公司签署合同,非法获取、出售公民手机定位信息,其犯罪手法具有较强的隐蔽性和伪装性。
犯罪主体新:国家工作人员、金融高管、黑客内外勾结
值得注意的是,“内部人”作案成为公民个人信息泄露的重要原因。从打击情况看,目前造成危害最大的主要是银行、教育、工商、电信、快递、证券、电商各个行业的人员,内部人员把数据泄露出来,成为侵犯公民个人信息的主体。
在浦东新区检察院院办理的杨子蔚侵犯公民个人信息案中,杨子蔚利用其担任某银行上海浦东支行业务部经理的职务便利,盗取并出售银行客户征信记录信息10000余条,非法获利人民币37万余元。 又如杨力洪、肖宏成侵犯公民信息案中,杨力洪以牟利为目的,采用黑客软件攻击上海市事业单位考试报名网站,非法获取考生个人信息4万条,并将上述信息贩卖给肖宏成,导致大量报考上海事业单位人员名单外泄。
随着互联网技术的日益发展,泄露个人信息的机构呈多样化态势,承载公民个人信息的政府部门或企事业单位重要信息系统成为泄露公民个人信息的主要渠道。同时,金融机构的高层管理人员非法窃取、倒卖公民个人信息,导致侵犯公民个人信息的产业链已向一些金融部门管理层延伸。
被侵害主体新:电商平台和政府网站成为最大漏洞
“大数据”时代造就了许多商业神话,也让数据成为占领市场的最强利器。因此,具有市场主导和支配地位的商业或者服务机构的工作人员成为侵犯公民个人信息犯罪的重要主体。一些知名的大型电子商务企业,如淘宝、京东、一号店等平台,拥有巨大的包括客户信息在内的“大数据”库。假如,这些企业的内部员工利用电商平台监管漏洞将客户信息提供给其他公司用作商业推广,那么“大数据”就将成为侵犯公民个人信息的重灾区,继而引发“蝴蝶效应”。endprint
如浦东新区检察院办理的缪长伟等四人侵犯公民个人信息案。缪家伟时任一家大型电子商务平台技术部工程师,经与同案犯彭仁湃等人合谋后,非法将该电子商务平台配置服务器的IP地址、端口以及数据库的账户密码提供给其他电子商务公司,使得其他公司窃取该电子商务平台的客户订单信息395万余条。
对此,《网络安全法》第四十条明确规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”《解释》进一步规定:“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。”
除此之外,值得注意的是,众多政务网站存在着大量的公民信息,这也成为不法分子“垂涎三尺”之地。在大部分侵犯公民个人信息案件中,“黑客”等网络技术人员成为侵犯公民个人信息犯罪的一般主体。通常,“黑客”会利用其掌握的“高科技”技术非法入侵邮政、教育、医疗、航空等部门管理系统网站,窃取、贩卖公民个人信息。
在浦东新区检察院办理的陈明生等人入侵上海私车额度拍卖系统的案子中,“黑客”陈明生就是利用了拍卖系统中的漏洞,利用计算机技术,擅自入侵拍賣系统,更改拍卖系统的相关数据,导致拍卖系统大量的数据泄露、系统瘫痪,影响了上海私车额度拍卖的正常进行。由于陈明生的行为很快被系统监控发现,继而避免了涉密的拍卖系统数据的大量泄露。但正因如此,上海私车额度拍卖系统重新更换了服务器,并对此进行及时更新,消除相关漏洞,杜绝“黑客”的再次侵入。
【后记】
由于我国目前尚未制定出台个人信息保护法,因而如何确定个人信息的概念和范围,是一个重要问题。公民个人信息,是指公民个人不愿为一般普通社会公众所知,并对公民个人有保护价值的信息。在刑法语境里,非法获取公民个人信息意指侵犯了公民的隐私权,即自然人享有的私人生活安宁与私人信息不被他人非法知悉、搜集、利用和公开的一项人格权。
《解释》第一条用列举的方式对“公民个人信息”的涵义作出明确界定:“刑法第二百五十三条之一规定的‘公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
同时,刑法修正案(九)将刑法修正案(七)所规定的“出售、非法提供公民个人信息”中的“非法”予以删除,这既是一种立法应然的理性价值取向,同时也是一种立法应然的规范取向。事实上,“出售、提供、获取”行为本身即侵犯了公民的个人隐私权,这种行为无论从何种角度来说,都是违背公民之主观愿望而“非法”的。由此,“出售、提供、获取”之“非法”并非指出售、提供、获取手段或者方法行为的性质,而是指行为人的出售、提供、获取行为在本质上就是非法的。不能单纯以获取、出售、提供行为违背法律禁止性规定予以认定,即行为人只要没有出售、提供、获取公民个人信息的法律依据或者资格,也没有得到公民个人的许可,就可能构成犯罪。
对于“出售、提供、获取”的方式,目前理论界和实务界关注不多。但无论以何种方式出售、提供、获取公民个人信息,只要其超越了公民个人相应授权和许可,即没有出售、提供、获取资格或者根据的人,以窃取或者其他方法出售、提供公共服务提供者在服务过程中收集或者发布公民个人信息的,即可认定为“非法”。endprint