1029份判决书看信息泄露,七成案件信息获利单价不足一元

澎湃新闻 王煜 孔家兴 实习生 沈欣
2018-09-07 17:39
来源:澎湃新闻

连日来,有关公民个人信息泄露的新闻报道多少让人有些应接不暇。

8月28日,华住集团旗下酒店客户数据疑似泄露。据人民网报道,数据总计约5亿条,数据量达140G,涉及客户1.3亿人。8月31日,网传3亿条顺丰快递物流数据流入暗网遭不法分子兜售。虽然顺丰在隔日回应泄露的数据与其无关,但红星新闻记者实测了20条数据,发现了其中17条为顺丰客户。9月6日,新华网报道北京大兴居民王先生收到顺丰莫名到付快递,打开竟是抽奖单,疑似个人信息被泄露。

澎湃新闻(thepaper.cn)以“侵犯公民个人信息、获利”为关键词在OpenLaw及无讼网上获取了1029份侵犯个人信息违法牟利的判决书,以此观察此类案件的具体案由、被告人身份、侵害的个人信息量、量刑标准等。

从判决的案由来看,“出售、非法提供公民个人信息”以及“非法获取公民个人信息”的数量共占到案件总量38.9%,基本上属于单一犯罪。后三种案由基本都涉及“数罪并罚”的情况,在侵犯公民个人信息的基础上,不法分子还涉及其他犯罪形式。

我们从“出售、非法提供公民个人信息”、“诈骗”以及“非法获取计算机信息系统数据、非法控制计算机信息系统”作为案件样本(下样本统称为案件样本),这些案件分别代表了三个方面:侵害个人信息罪的主要案由,衍生犯罪中常见且危害较大的犯罪类型,以及高新技术对于此类案件的影响。以这336份案件样本为数据,尝试从各个方面观察侵犯公民个人信息罪。

谁在利用公民个人信息获利?

从案件样本中的被告人身份来看,主要可以分为三个来源:来自政府国企、来自私营公司以及无特殊身份。身份差异影响了不法分子在接触公民个人信息时的操作手段、接触的信息类型和牟利的方式。其中,来自政府国企的不法分子一般是指在行业内部,通过职务便利获得第一手个人信息的内鬼。从案件数量来看,地方的交警大队、派出所以及银行职工是主要的“内鬼”出没地。

以户籍信息为例,在(2017)粤2071刑初1679号案件中,被告人徐某作为中山市公安局板芙分局刑侦大队科员,使用其公安数据证书在公安网上违规查询他人户籍信息、车辆档案及轨迹等公民个人信息共计10691条,非法获利2万余元。

除了政府国企外,“内鬼”还来自私营企业。这些行业涉及教育、电商、金融、房地产等。每起案件窃取的信息数量从几百条到千万条不等,造成了较大的危害。

不同行业的“内鬼”作案也有一定的规律可循。公安系统“内鬼”主要集中在基层派出所,窃取的公民个人信息以户籍、身份、行车记录、车辆轨迹等为主。电商领域“内鬼”以第三方电商公司内部职员为主,他们窃取的多为日常管理的客户淘宝、支付宝、买家会员名等个人信息。除了平台账号信息外,还涉及交易环节的物流信息,包括个人的住址、电话、物流单号等。

来自政府国企、私营企业的行业“内鬼”的牟利手段主要是寻找“买家”把窃取的各类公民信息给卖出去。从判决书来看,这些下游的“买家”比较多的身份类型是无业者、农民以及务工人员。

这类人群整体受教育水平不高,善于利用社交工具及互联网等渠道收购“内鬼”提供的信息。在获取个人信息后,他们“各显神通”,牟利手段可谓五花八门:或转手倒卖、或用来推销贷款、或利用黑客技术、或实施电信诈骗。

“内鬼”比“买家”量刑轻?

上游“内鬼”窃取公民个人信息,下游“买家”收购后各种牟利。这样“里应外合”、“上下其手”的操作,无形中形成一条由上至下的利用信息泄露牟利的黑色产业链。但从法院的判决来看,量刑的标准主要是倒卖的信息量以及非法获利的金额,不一定与不法分子的“身份”以及所处的利益链位置有关。

在“侵犯公民个人信息罪”的判决之外,数罪并罚的情况也并不少见。尤其是在加上诈骗罪之后,“侵犯公民个人信息罪”的量刑部分明显较轻,而数罪并罚的案件多是“买家”可能进行的操作。

以杜某、李某诈骗案为例,审判同时认定了侵犯公民个人信息的事实以及诈骗的事实。从量刑来看,杜某侵犯公民个人信息罪被判处有期徒刑一年六个月,并处罚金人民币5万元;犯诈骗罪被判处有期徒刑四年,并处罚金8万元。

侵害个人信息实施诈骗案的收益主要来源于诈骗环节。从典型案例中可以发现,这部分案件的收益通常处于整个产业链的上层。而处于收益下层的往往是通过“倒卖”牟利的不法分子。为了将有限的数据利益最大化,这些“卖家”不得不去拓展数据贩卖的渠道,直接导致了公民个人信息的大肆泄露。

侵害公民个人信息能获利多少?

从样本案由的判决书数据来看,有218个案件披露了不法分子交易的数据量以及获利金额。其中,”彭魏、李建标、陈金辉犯侵犯公民个人信息”涉案金额达40万元,是侵害个人信息犯罪中获利最高的。

这些案件的信息获利平均价为5.45万元。有59起案件的数据贩卖价格超过1元/条,价格最高为728.9元/条,最低的为1毛/条。以1元/条获利公民个人信息的案件来自童长昭犯侵犯公民信息罪一案。经审理查明,2015年12月以来,被告人童长昭使用QQ号,从QQ昵称为”sajy”的网友江某处购买约2000万条公民邮箱账号,并利用从网上下载的扫号软件对其购买的邮箱账号进行扫描,从中筛选出符合要求的账号进行游戏挂机牟利,获利约200余元。

侵犯公民个人信息如何量刑?

从量刑来看,样本案件中侵犯公民个人信息案的平均获刑时间为2.8年,平均罚没金额在3.3万元。其中,73.4%的案件没有判处缓刑。徒刑判罚时间大于三年的案件有138起,占样本案件总量的47.1%,属于“情节特别严重”。

侵犯公民个人信息的量刑标准主要与数据的数量数额和造成的后果有关,对于“情节特别严重”的犯罪事实,将判处三年以上七年以下有期徒刑,并处罚金。

在2017年6月1日两高司法最新实施的关于侵犯公民个人信息刑事案件适用法律若干问题的解释中(下称《解释》),对侵犯公民个人信息的行为和适用法律进行了进一步的明晰。

根据信息类型不同,非法获取、出售或者提供公民个人信息“五百条以上”“五千条以上”“五万条以上”,或者违法所得五万元以上的,即属“情节特别严重”。对于犯罪造成的后果,《解释》将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”“造成重大经济损失或者恶劣社会影响”规定为“情节特别严重”。

    责任编辑:邹熳云
    校对:施鋆