根据三中院的统计,自该院2013年7月建院至今,辖区法院共受理涉及公民个人信息犯罪公诉案件75件,涉案人员104人,涉案单位2个,其中上诉案件16件。通过对这些案件进行分析发现,涉公民个人信息犯罪主要呈现以下4个特点:
从信息特点看,被侵犯的公民个人信息数量从“倍数级”进阶至“指数级”爆炸式增长。在信息类型上,涉案信息过去主要为姓名、身份证号、手机号、住址等传统静态信息,现增加了征信信息、定位信息、行踪轨迹信息、住宿信息、房屋产权信息等多方面、多维度的动态信息。从个案上看,被侵犯的公民个人信息数量日益庞大,储存信息的载体从传统的U盘、硬盘等变为储存量更大的云盘。
因公民个人信息内容存在重复、混同、庞杂的特点,且数量巨大,信息本身识别困难,鉴定机构在认定涉案信息数量方面存在一定难度。与之相对的却是,公民个人信息被打包出售、价格低廉,甚至在犯罪分子间进行二次贩售。
从犯罪手段看,获取公民个人信息的手段不仅包括通过木马程序、改写网址、架设服务器、搭建网站等有技术含量的方式对特定机关、机构的数据库资料秘密窃取,也包括通过流动QQ群、微信群、论坛等网络平台明码标价购买,以及利用“大数据截取”或“暗网进入”等“暗网”方式进行公民个人信息的非法交易等。
暗网,确切的技术名词叫做“隐藏的服务器“,是需要通过特殊软件、授权才能连接的网络,更是暗黑交易的绝佳隐匿场所。由于“暗网”的访问门槛低、用户匿名、交易隐蔽,交易方式亦从“现实货币”演进为“虚拟货币”,导致交易对方信息难以查询、交易金额难以认定,给侦查机关调查下游犯罪及计算犯罪分子违法所得造成阻碍。
在犯罪主体上,近年来,公安机关对案件的侦查对象已由自然人扩大至商业公司等单位,出现了公司、公司总经理、公司职员共同承担刑事责任的情形。企业如酒店、快递公司、外卖平台等成为信息泄露的重灾区。
单位职员利用职务之便获取公民个人信息、犯罪分子通过恶意软件等方式侵入企业获取个人信息现象多发;涉案公民个人信息归属主体类型化明显,如考生群体、老年人群体、新生儿群体等。
从危害后果看,公民个人信息因涉及住宿、财产、征信、轨迹等敏感内容,极易引发绑架、诈骗、敲诈勒索等关联犯罪。实践中,行为人利用非法获取的公民个人信息实施的犯罪主要有诈骗罪,比如向不特定对象发送“中奖”信息;合同诈骗罪,比如利用某些理财软件漏洞骗取财物;敲诈勒索罪,比如利用酒店开房记录等住宿信息对相关人员进行勒索。
但囿于违法所得金额的限制,对于涉公民个人信息犯罪违法所得的追缴与罚金的财产性处罚,却远不足以填平公民个人信息泄露造成的次生危害。
北京某文化传播有限公司为推销演讲培训课程,雇佣被告人孙某等20余人从事电话销售工作,并通过入职培训、口口相传等方式授意被告人张某等人加入以信息资源交流为目的的QQ群,通过交换等方式获取包括姓名、手机号码等在内的公民个人信息。
记者注意到,在该案中,北京某文化传播有限公司因以单位名义由销售人员实施侵犯公民个人信息的行为,且获取的销售利润归被告单位所有,符合单位犯罪的条件,因此该公司同被列为刑事被告。
最终,法院以侵犯公民个人信息罪判处被告单位罚金人民币50万元,判处被告人张某、孙某等11人有期徒刑1年10个月至有期徒刑8个月、缓刑1年不等的刑罚,并处相应罚金。
被另案处理的该公司总经理刘某,因作为直接负责的主管人员,组织、授意公司员工向他人非法提供公民个人信息,为公司获取经济利益,同样被以侵犯公民个人信息罪判处有期徒刑3年6个月,并处罚金3万元。
近年来,大面积的用户个人信息泄露事件屡见不鲜,除了网络“黑客”更多的因为企业“内鬼”,从中也反映出部分掌握公民信息的企业存在着管理漏洞。
在三中院通报的典型案例中,有一起系房产中介串通小区物业人员窃取业主信息。徐某是某物业公司的内保员,欧阳某是一名房产中介。因欧阳某多次与徐某接触,商谈购买北京某小区的业主信息,因此徐某伙同物业公司的中控员李某、熊某和负责秩序维护的吴某等人,非法进入物业公司电脑,窃取业主信息4000余条,并以人民币4000元的价格出售给欧阳某。
物业公司出具材料证明,徐某等4人均无权拷贝业主信息。法院经审理以非法获取公民个人信息罪,对欧阳某和徐某均判处有期徒刑1年,罚金2000元;对李某、熊某、吴某三人则判处缓刑,并处罚金。
在另一起某知名招聘平台员工售卖个人简历信息案中,被告人申某、李某利用公司系统漏洞,私自将公司的15万余条个人简历信息,包括姓名、身份证号、住址、电话、受教育程度、工作单位、薪资收入等非法出售或提供给他人;被告人余某从中非法获取10万余条。三名被告人被法院以侵犯公民个人信息罪分别判处期徒刑3年6个月至1年6个月不等,并分处罚金。
遭到泄露的公民信息常常在“二道贩子”手中流转,被层层加价倒卖,从而形成黑色产业链。“二道贩子”倒手虽然赚的钱不多,却可能因此付出沉重的代价。
大学毕业的李某因在某贴吧看到贩卖电商平台客户信息的广告,遂萌生转卖信息赚取差价的想法。2019年11月,李某以人民币1.3万元的价格向他人倒卖北京某贸易公司的客户购物交易信息1.8万余条,一审法院以侵犯公民个人信息罪判处李某有期徒刑3年2个月,罚金1万元。
李某认为量刑过重,提出上诉。三中院审理认为,李某贩卖的每条信息都包含公民的姓名、手机号码、地址、购买商品、购买价格、购买时间等内容,属于交易信息,结合贩卖信息的数量,属于法条中“情节特别严重”的情形,认为一审判决量刑适当,遂裁定驳回上诉。
值得注意的是,根据法律规定,非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上,即视为“情节严重”,处三年以下有期徒刑或拘役,并处或单处罚金;数量或者数额达到规定标准10倍以上的,即视为“情节特别严重”,处三年以上七年以下有期徒刑,并处罚金。
记者注意到,即将于明年1月1日起实施的民法典·人格权编明确个人信息受法律保护。其中第1034条扩大了个人信息保护的范围,明确个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
三中院相关负责人表示,我国刑法、网络安全法、民法典和正在制定的个人信息保护法等法律规定设定了法律红线,有助于构建起公民个人信息民事、行政、刑事的全方位保护体系。但从个人角度,也要增强个人信息保护意识,从源头减少、杜绝信息的泄露。
比如,不随意填写、分享、丢弃个人信息,身份证等证件复印时一定要写明用途,妥善保管、处理好包含个人信息的票据,如快递单、银行卡交易小票等;注意网络安全,尽量不在公共设备上输入个人账号及密码,不轻易接收和安装不明软件,不随便点击聊天中对方发来的链接,避免在朋友圈过度暴露自己的个人情况、子女信息等;个人证件丢失或者个人信息泄露后,要第一时间补件、更换账号;个人信息一旦泄露,要第一时间报警。