今天是第七個國家憲法日。我國憲法第三十三條規定,國家尊重和保障人權;第四十條規定,中華人民共和國公民的通信自由和通信秘密受法律的保護。這兩條規定為保護公民個人信息提供了憲法上的依據。
借著憲法日,北京市第三中級法院召開新聞通報會,通報了該院審理涉公民個人信息犯罪案件的情況及典型案例。根據三中院的通報,近幾年,被侵犯的公民個人信息數量從「倍數級」進階至「指數級」爆炸式增長,酒店、快遞公司、外賣平臺等企業成為信息洩露的重災區。
特點分析:
酒店、快遞公司、外賣平臺成信息洩露的重災區
根據三中院的統計,自該院2013年7月建院至今,轄區法院共受理涉及公民個人信息犯罪公訴案件75件,涉案人員104人,涉案單位2個,其中上訴案件16件。通過對這些案件進行分析發現,涉公民個人信息犯罪主要呈現以下4個特點:
1,從「倍數級」到「指數級」爆炸式增長
從信息特點看,被侵犯的公民個人信息數量從「倍數級」進階至「指數級」爆炸式增長。在信息類型上,涉案信息過去主要為姓名、身份證號、手機號、住址等傳統靜態信息,現增加了徵信信息、定位信息、行蹤軌跡信息、住宿信息、房屋產權信息等多方面、多維度的動態信息。從個案上看,被侵犯的公民個人信息數量日益龐大,儲存信息的載體從傳統的U盤、硬碟等變為儲存量更大的雲盤。
因公民個人信息內容存在重複、混同、龐雜的特點,且數量巨大,信息本身識別困難,鑑定機構在認定涉案信息數量方面存在一定難度。與之相對的卻是,公民個人信息被打包出售、價格低廉,甚至在犯罪分子間進行二次販售。
2,「暗網」交易出現 監管難度增大
從犯罪手段看,獲取公民個人信息的手段不僅包括通過木馬程序、改寫網址、架設伺服器、搭建網站等有技術含量的方式對特定機關、機構的資料庫資料秘密竊取,也包括通過流動QQ群、微信群、論壇等網絡平臺明碼標價購買,以及利用「大數據截取」或「暗網進入」等「暗網」方式進行公民個人信息的非法交易等。
暗網,確切的技術名詞叫做「隱藏的伺服器「,是需要通過特殊軟體、授權才能連接的網絡,更是暗黑交易的絕佳隱匿場所。由於「暗網」的訪問門檻低、用戶匿名、交易隱蔽,交易方式亦從「現實貨幣」演進為「虛擬貨幣」,導致交易對方信息難以查詢、交易金額難以認定,給偵查機關調查下遊犯罪及計算犯罪分子違法所得造成阻礙。
3,酒店、快遞公司、外賣平臺成重災區
在犯罪主體上,近年來,公安機關對案件的偵查對象已由自然人擴大至商業公司等單位,出現了公司、公司總經理、公司職員共同承擔刑事責任的情形。企業如酒店、快遞公司、外賣平臺等成為信息洩露的重災區。
單位職員利用職務之便獲取公民個人信息、犯罪分子通過惡意軟體等方式侵入企業獲取個人信息現象多發;涉案公民個人信息歸屬主體類型化明顯,如考生群體、老年人群體、新生兒群體等。
4,容易引發綁架、詐騙、敲詐勒索等關聯犯罪
從危害後果看,公民個人信息因涉及住宿、財產、徵信、軌跡等敏感內容,極易引發綁架、詐騙、敲詐勒索等關聯犯罪。實踐中,行為人利用非法獲取的公民個人信息實施的犯罪主要有詐騙罪,比如向不特定對象發送「中獎」信息;合同詐騙罪,比如利用某些理財軟體漏洞騙取財物;敲詐勒索罪,比如利用酒店開房記錄等住宿信息對相關人員進行勒索。
但囿於違法所得金額的限制,對於涉公民個人信息犯罪違法所得的追繳與罰金的財產性處罰,卻遠不足以填平公民個人信息洩露造成的次生危害。
典型案例:
為電話推銷獲取公民信息 單位難辭其咎
為了電話推銷而侵犯公民信息,不僅牽連員工「受過」,單位也難逃刑責。
北京某文化傳播有限公司為推銷演講培訓課程,僱傭被告人孫某等20餘人從事電話銷售工作,並通過入職培訓、口口相傳等方式授意被告人張某等人加入以信息資源交流為目的的QQ群,通過交換等方式獲取包括姓名、手機號碼等在內的公民個人信息。
記者注意到,在該案中,北京某文化傳播有限公司因以單位名義由銷售人員實施侵犯公民個人信息的行為,且獲取的銷售利潤歸被告單位所有,符合單位犯罪的條件,因此該公司同被列為刑事被告。
最終,法院以侵犯公民個人信息罪判處被告單位罰金人民幣50萬元,判處被告人張某、孫某等11人有期徒刑1年10個月至有期徒刑8個月、緩刑1年不等的刑罰,並處相應罰金。
被另案處理的該公司總經理劉某,因作為直接負責的主管人員,組織、授意公司員工向他人非法提供公民個人信息,為公司獲取經濟利益,同樣被以侵犯公民個人信息罪判處有期徒刑3年6個月,並處罰金3萬元。
屢見不鮮的單位「內鬼」致信息洩露
近年來,大面積的用戶個人信息洩露事件屢見不鮮,除了網絡「黑客」更多的因為企業「內鬼」,從中也反映出部分掌握公民信息的企業存在著管理漏洞。
在三中院通報的典型案例中,有一起系房產中介串通小區物業人員竊取業主信息。徐某是某物業公司的內保員,歐陽某是一名房產中介。因歐陽某多次與徐某接觸,商談購買北京某小區的業主信息,因此徐某夥同物業公司的中控員李某、熊某和負責秩序維護的吳某等人,非法進入物業公司電腦,竊取業主信息4000餘條,並以人民幣4000元的價格出售給歐陽某。
物業公司出具材料證明,徐某等4人均無權拷貝業主信息。法院經審理以非法獲取公民個人信息罪,對歐陽某和徐某均判處有期徒刑1年,罰金2000元;對李某、熊某、吳某三人則判處緩刑,並處罰金。
在另一起某知名招聘平臺員工售賣個人簡歷信息案中,被告人申某、李某利用公司系統漏洞,私自將公司的15萬餘條個人簡歷信息,包括姓名、身份證號、住址、電話、受教育程度、工作單位、薪資收入等非法出售或提供給他人;被告人餘某從中非法獲取10萬餘條。三名被告人被法院以侵犯公民個人信息罪分別判處期徒刑3年6個月至1年6個月不等,並分處罰金。
中間商倒手賺差價 也要付出沉重代價
遭到洩露的公民信息常常在「二道販子」手中流轉,被層層加價倒賣,從而形成黑色產業鏈。「二道販子」倒手雖然賺的錢不多,卻可能因此付出沉重的代價。
大學畢業的李某因在某貼吧看到販賣電商平臺客戶信息的廣告,遂萌生轉賣信息賺取差價的想法。2019年11月,李某以人民幣1.3萬元的價格向他人倒賣北京某貿易公司的客戶購物交易信息1.8萬餘條,一審法院以侵犯公民個人信息罪判處李某有期徒刑3年2個月,罰金1萬元。
李某認為量刑過重,提出上訴。三中院審理認為,李某販賣的每條信息都包含公民的姓名、手機號碼、地址、購買商品、購買價格、購買時間等內容,屬於交易信息,結合販賣信息的數量,屬於法條中「情節特別嚴重」的情形,認為一審判決量刑適當,遂裁定駁回上訴。
值得注意的是,根據法律規定,非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息500條以上,即視為「情節嚴重」,處三年以下有期徒刑或拘役,並處或單處罰金;數量或者數額達到規定標準10倍以上的,即視為「情節特別嚴重」,處三年以上七年以下有期徒刑,並處罰金。
法官建議:
防範個人信息洩漏個人能做什麼?
記者注意到,即將於明年1月1日起實施的民法典·人格權編明確個人信息受法律保護。其中第1034條擴大了個人信息保護的範圍,明確個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。
三中院相關負責人表示,我國刑法、網絡安全法、民法典和正在制定的個人信息保護法等法律規定設定了法律紅線,有助於構建起公民個人信息民事、行政、刑事的全方位保護體系。但從個人角度,也要增強個人信息保護意識,從源頭減少、杜絕信息的洩露。
比如,不隨意填寫、分享、丟棄個人信息,身份證等證件複印時一定要寫明用途,妥善保管、處理好包含個人信息的票據,如快遞單、銀行卡交易小票等;注意網絡安全,儘量不在公共設備上輸入個人帳號及密碼,不輕易接收和安裝不明軟體,不隨便點擊聊天中對方發來的連結,避免在朋友圈過度暴露自己的個人情況、子女信息等;個人證件丟失或者個人信息洩露後,要第一時間補辦證件、更換帳號;個人信息一旦洩露,要第一時間報警。