下载APP
美数课 >

数说 | 侵犯公民个人信息犯罪:拿什么拯救你,我的信息

澎湃新闻 苏颢云
2017-05-25 06:34
来源:澎湃新闻

不管是否心甘情愿,我们日常生活中产生的信息从未像今天这样有价值。信息化时代,从网购的柴米油盐,到学生时代的档案,到日常违章记录、航班车票、银行流水,都无一例外地产生数字痕迹。和印刷时代不同的是,这些痕迹并不会随着时间的流逝而轻易隐去。

《经济学人》五月刊把这些信息称之为“数字时代的石油”,但“石油”归谁所有、如何监管,日益成为全球挑战。对于普通人而言,“石油”中最为敏感特殊的一类,公民个人信息,甚至成了生活中诈骗、骚扰的起源。目前,公民个人信息保护在我国还未统一立法,与之关联紧密的是《刑法》第二百五十三条之一【侵犯公民个人信息罪】。以及,即将在2017年6月1日施行的《网络安全法》,对收集、使用个人信息进行了体系性规定;即将在2017年10月1日生效的《民法总则》第一百一十一条,规定自然人的个人信息受法律保护。

澎湃新闻 ( thepaper.cn ) 通过OpenLaw 及无讼网站下载了与侵犯公民个人信息犯罪相关的判决书,尝试从文本出发“管中窥豹”。以下分析基于1239份判决书,时间跨度为2010年至2017年4月。(注①)

一、“内鬼”作案:涉及面广、信息量巨大

5月9日,公安部网络技术研发中心主任许剑卓表示,行业内部人员已经成为侵犯公民个人信息犯罪的重要主体。并且,此类犯罪已经形成完整的利益链。

内部人员泄密是上游操作,下游则“各显神通”,或进行精准诈骗、行迹追踪,或投放广告以求业绩增长。以驾驶员身份信息为例,在(2013)温苍刑初字第893号 刑事判决书中,“内鬼”被告人利用协警的职务便利,泄露了4000多条驾驶员信息,并篡改驾驶员联系方式,以供下游买家套取违章免积分处罚权益。

澎湃新闻 ( thepaper.cn ) 搜索了判决书中庭审过程的内容,提取出80多起“内鬼”案件。与公安部提供的信息相符,此类犯罪涉及银行、教育、电信、快递、证券、电商、医疗等行业,涉及面广,每起案件的信息泄露数量从数十条到几千万条不等,危害较大。

不同行业的“内鬼”作案也有一定规律:

1.公安系统。公安系统内部的泄密高发处为基层派出所和交警大队,偶有消防支队、特警大队涉案。公民户籍信息、驾驶证信息、住宿记录成为主要作案目标。

违法者中,超过半数为辅警、协警等“临时工作人员”。但值得注意的是,根据庭审记录,“临时工”往往会通过“正式工”的数字证书来获得信息,从一定程度上表明,公安系统内部的信息管控、流程规范都有不小的提升空间。

2.金融行业。从可提取的信息来看,不同程度“中招”的金融机构包括交通银行、建设银行、招商银行、中国农业银行、邮政储蓄银行、工商银行和成都农商银行,也有泰康人寿、易贷公司等。储户信息、存单记录、投保信息为犯罪主要目标。

尤为引人瞩目的为(2014)浦刑初字第1923号 刑事判决书,展示了对公民信息进行立法保护的必要性。2008年,建设银行广东省分行的信息技术管理部职员借工作之便,共获得800余万条客户信息。彼时,刑法尚未对公民个人信息立法保护, 其行为不构成犯罪。2009年3月后,侵犯公民个人信息相关罪名经由《刑法修正案(七)》被加入《刑法》,该“内鬼”离职后的出售信息行为构成犯罪,最终被判有期徒刑一年、缓刑一年、罚金15000元。

3.快递、电商行业。随着越来越多的购物行为通过网络完成,一张面单上有着我们的太多信息。在业务量大的公司,“内鬼”泄露的信息量能达到几十万条。作案者的职位包括统计员、数据库工程师,也有助理总经理、网店管家,总体而言,或偏技术岗位,或有管理职能。

二、犯罪门槛低,违法者有年轻化趋势

从这一千两百多份判决书的被告人中,可以提取出年龄信息的有1100多位,占被告人总数的一半左右,有一定的参考价值。以今年计算,则提取样本中,80%以上的违法者年龄在35周岁及以下,25周岁及以下的占到19%,最年轻的为1998年出生。

除去“内鬼”作案,通过QQ、论坛等方式获取公民信息,再转手倒卖是许多案件中的“经典”案情。这种方式操作门槛相当低,侦察难度却很高。已经泄露的公民信息经过无数次转手,几乎不可能消失在犯罪网络中。

从地区分布来看,自保护公民个人信息被写入刑法后,越来越多的地方法院开始审理相关案件,沿海省市是此类犯罪多发的地区。近年来,福建逐渐超过上海成为审结案件最多的省份。

三、侵犯公民个人信息犯罪的判罚是怎样的?

经过一定的文本筛选和去重,澎湃新闻 ( thepaper.cn ) 从判决书中提取到了法官对2055位被告所犯侵犯公民个人信息罪的判决,其中只处罚金的情况占5%,被判拘役或有期徒刑、但可以缓刑的人员占39%。未获缓刑的有1153人,其中处拘役(六个月及以下)的占22%,两年及以下有期徒刑的占77%。

总的来说,2055人次的判决中,仅有18人被判处两年以上有期徒刑、且未获缓刑。约80%的犯罪者被罚金额小于或等于两万元。

高于两万元的处罚中,被罚五万元以下的有104人,五万以上10万元以下的54人,10-20万的14人。数额最高的被判100万罚金,是一起单位犯罪刑事案件,(2012)闸刑初字第997号,于2012年12月由上海市闸北区人民法院审结。涉案单位“罗维邓白氏营销服务有限公司”,花费了250万从十多家公司手里购买9000多万条公民个人信息,包括手机号码、电子邮箱、家庭住址、银行帐户、消费记录、婴幼儿情况等,用于其营销推广等服务。

看到这样的结果,有人可能会觉得犯罪者的违法成本过低,判罚起不到威慑作用,陷入个人信息价值被人大及其常务委员会低估的阴云之中。虽然公民信息保护早在2009年被加入刑法,但其最高刑期定在三年。直到2015年11月1日,《刑法修正案(九)》施行,构成此罪、且情节特别严重的量刑标准才被提高到“三年以上七年以下有期徒刑”。

而最高法、最高检于5月9日进一步发布司法解释,明确了针对此罪的定罪量刑标准。最新的司法解释将于6月1日起施行,增加了对“情节特别严重”的认定标准,主要涉及如下两个方面:

一是数量数额标准。根据信息类型不同,非法获取、出售或者提供公民个人信息“五百条以上”“五千条以上”“五万条以上”,或者违法所得五万元以上的,即属“情节特别严重”。

二是严重后果。《解释》将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”“造成重大经济损失或者恶劣社会影响”规定为“情节特别严重”。

四、亚太地区针对个人信息保护的立法情况

近年来,针对公民个人信息保护单独立法的呼声不断。去年的徐玉玉案件引起社会广泛关注,背后涉及的个人信息安全问题在两会上被反复提及。《检查日报》在两会期间采访了中国人民大学教授张新宝和北京师范大学刑事法律科学研究院教授卢建平,两位学者都提到了我国目前碎片化的立法规定缺乏顶层设计,强调了单独立法的必要性。

世界范围内已有多个国家或地区制定了个人信息保护法,这是全球面对信息化进程的立法趋势,在亚太地区也有诸多先例。金杜法律事务所在《国内外数据保护方法比较》一文中分析了亚太地区的数据保护状况,归类如下:

1. 早已实施数据保护(如中国台湾)和未实施(越南);

2. 怠于执行(1996年到2010年,中国香港实际没有执行相关法律,但自从发生为营销目的滥用数据的重大案件之后,现已开始更加积极地执行)和奉为圭臬(韩国的数据保护法律某种程度上比欧盟的“黄金标准”指令性更强);

3. 相比有统一法律的澳大利亚,一些地区的规定不成体系(目前中国大陆地区属于这一种);

4. 可与欧盟媲美(比如新西兰)。

注:

① 在 OpenLaw 网站设置的搜索条件为“关键词:公民个人信息,关键字搜索范围:判决结果”,数据获取时间2017年5月11日。

② 公民个人信息立法保护过程:首先经由《刑法修正案(七)》(“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”)于2009年被加入《刑法》,并在2015年11月1日起施行的《刑法修正案(九)》中被统一为“侵犯公民个人信息罪”。据最高法数据,《刑(七)》施行后,从2009年2月至2015年10月,全国法院共审结出售、非法提供公民个人信息、非法获取公民个人信息刑事案件969起,生效判决人数1415人。2015年11月至2016年12月,全国法院新收侵犯公民个人信息刑事案件495件,审结464件,生效判决人数697人。

③ 检察日报,《在个人信息合法保护与合理利用之间寻求平衡》:http://www.spp.gov.cn/llyj/201703/t20170329_186658.shtml;

金杜法律事务所,《国内外数据保护方法比较》:http://www.kwm.com/zh/knowledge/insights/data-protection-at-home-and-abroad-20161122

    校对:丁晓