4日,北京市第三中級法院通報了該院審理涉公民個人信息犯罪案件的情況及典型案例。根據三中院的統計,該院自2013年7月建院至今,轄區法院共受理涉及公民個人信息犯罪公訴案件75件,涉案人員104人,涉案單位2個,其中上訴案件16件。
記者梳理這些案件,發現近幾年被侵犯的公民個人信息數量從「倍數級」進階至「指數級」爆炸式增長,酒店、快遞公司、外賣平臺等企業成為信息洩露的重災區。
洩露了啥:徵信行蹤住宿房產越來越多的個人信息被洩露
從信息特點看,被侵犯的公民個人信息數量從「倍數級」進階至「指數級」爆炸式增長。在信息類型上,涉案信息過去主要是姓名、身份證號、手機號、住址等傳統靜態信息,現在增加了徵信信息、定位信息、行蹤軌跡信息、住宿信息、房屋產權信息等多方面、多維度的動態信息。從個案上看,被侵犯的公民個人信息數量日益龐大,儲存信息的載體從傳統的U盤、硬碟等變為儲存量更大的雲盤。
因公民個人信息內容存在重複、混同、龐雜的特點,且數量巨大,信息本身識別困難,鑑定機構在認定涉案信息數量方面存在一定難度。與之相對的卻是,公民個人信息被打包出售、價格低廉,甚至在犯罪分子間進行二次販售。
如何洩露:木馬伺服器數據竊取暗網手段太多監管難度加大
從犯罪手段看,獲取公民個人信息的手段不僅包括通過木馬程序、改寫網址、架設伺服器、搭建網站等有技術含量的方式對特定機關、機構的資料庫資料秘密竊取,也包括通過流動QQ群、微信群、論壇等網絡平臺明碼標價購買,以及利用「大數據截取」或「暗網進入」等「暗網」方式進行公民個人信息的非法交易等。
暗網確切的技術名詞叫做「隱藏的伺服器」,是需要通過特殊軟體、授權才能連接的網絡,更是暗黑交易的絕佳隱匿場所。在暗網,像比特幣、萊特幣等加密貨幣有了「流通」的價值。
由於「暗網」的訪問門檻低、用戶匿名、交易隱蔽,交易方式亦從「現實貨幣」演進為「虛擬貨幣」,導致交易對方信息難以查詢、交易金額難以認定,給偵查機關調查下遊犯罪及計算犯罪分子違法所得造成阻礙。
有啥後果:綁架詐騙敲詐勒索極易引發關聯犯罪
在犯罪主體上,近年來出現了公司、公司總經理、公司職員共同承擔刑事責任的情形,企業如酒店、快遞公司、外賣平臺等成為信息洩露的重災區。
單位職員利用職務之便獲取公民個人信息、犯罪分子通過惡意軟體等方式侵入企業獲取個人信息現象多發;涉案公民個人信息歸屬主體類型化明顯,如考生群體、老年人群體、新生兒群體等。
從危害後果看,公民個人信息因涉及住宿、財產、徵信、軌跡等敏感內容,極易引發綁架、詐騙、敲詐勒索等關聯犯罪。犯罪實踐中,行為人利用非法獲取的公民個人信息實施的犯罪主要有詐騙罪,比如向不特定對象發送「中獎」信息;合同詐騙罪,比如利用某些理財軟體漏洞騙取財物;敲詐勒索罪,比如利用酒店開房記錄等住宿信息對相關人員進行勒索。
但囿於信息洩露違法所得金額的限制,對於涉公民個人信息犯罪違法所得的追繳與罰金的財產性處罰,卻遠不足以填平公民個人信息洩露造成的次生危害。
典型案例一單位犯罪!為電話推銷獲取公民信息
為了電話推銷而侵犯公民信息,不僅牽連員工「受過」,單位也難逃刑責。
北京某文化傳播有限公司為推銷演講培訓課程,僱傭被告人孫某等20餘人從事電話銷售工作,並通過入職培訓、口口相傳等方式,授意被告人張某等人加入以信息資源交流為目的的QQ群,獲取包括姓名、手機號碼等在內的公民個人信息。
以單位名義由銷售人員實施侵犯公民個人信息,且獲取的銷售利潤歸公司所有,該公司的行為符合單位犯罪的條件,因此被列為刑事被告。
最終,法院以侵犯公民個人信息罪判處該公司罰款50萬元,判處被告人張某、孫某等11人有期徒刑1年10個月至有期徒刑8個月、緩刑1年不等的刑罰,並處相應罰金。
被另案處理的該公司總經理劉某,作為直接負責的主管人員,組織、授意公司員工向他人非法提供公民個人信息,為公司獲取經濟利益,同樣被以侵犯公民個人信息罪判處有期徒刑3年6個月,並處罰金3萬元。
典型案例二「內鬼」洩露!中介串通物業竊取業主信息
近年來,大面積的用戶個人信息洩露事件屢見不鮮,除了網絡「黑客」,更多的是因為企業「內鬼」。
在三中院通報的典型案例中,有一起房產中介串通小區物業人員竊取業主信息的案件。徐某是某物業公司的內保員,歐陽某是一名房產中介。因歐陽某多次與徐某接觸,商談購買北京某小區的業主信息,因此徐某夥同物業公司的中控員李某、熊某和負責秩序維護的吳某等人,非法進入物業公司電腦,竊取業主信息4000餘條,並以人民幣4000元的價格出售給歐陽某。
物業公司出具材料證明,徐某等4人均無權拷貝業主信息。法院經審理以非法獲取公民個人信息罪,對歐陽某和徐某判處有期徒刑1年,罰金2000元;對李某、熊某、吳某三人判處緩刑,並處罰金。
在另一起某知名招聘平臺員工售賣個人簡歷信息案中,被告人申某、李某利用公司系統漏洞,私自將公司的15萬餘條個人簡歷信息,包括姓名、身份證號、住址、電話、受教育程度、工作單位、薪資收入等非法出售或提供給他人;被告人餘某從中非法獲取10萬餘條。三名被告人被法院以侵犯公民個人信息罪分別判處期徒刑3年6個月至1年6個月不等,並分處罰金。
典型案例三中間商倒賣!倒手1.8萬條信息賺差價
遭到洩露的公民信息常常在「二道販子」手中流轉,被層層加價倒賣,從而形成黑色產業鏈。「二道販子」倒手雖然賺的錢不多,卻可能因此付出沉重的代價。
大學畢業的李某在某貼吧看到販賣電商平臺客戶信息的廣告,遂萌生轉賣信息賺取差價的想法。2019年11月,李某以人民幣1.3萬元的價格向他人倒賣北京某貿易公司的客戶購物交易信息1.8萬餘條,一審法院以侵犯公民個人信息罪判處李某有期徒刑3年2個月,罰金1萬元。
李某認為量刑過重,提出上訴。三中院審理認為,李某販賣的每條信息都包含公民的姓名、手機號碼、地址、購買商品、購買價格、購買時間等內容,屬於交易信息,結合販賣信息的數量,屬於法條中「情節特別嚴重」的情形,認為一審判決量刑適當,遂裁定駁回上訴。
值得注意的是,根據法律規定,非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等可能影響他人人身、財產安全的信息500條以上,即視為「情節嚴重」,處三年以下有期徒刑或拘役,並處或單處罰金;數量或者數額達到規定標準10倍以上的,即視為「情節特別嚴重」,處三年以上七年以下有期徒刑,並處罰金。
法官建議:防範信息洩露你能做些什麼?
即將於明年1月1日起實施的民法典人格權編明確個人信息受法律保護。三中院相關負責人表示,我國刑法、網絡安全法、民法典和正在制定的個人信息保護法等法律規定設定了法律紅線,有助於構建起公民個人信息民事、行政、刑事的全方位保護體系。但從個人角度,也要增強個人信息保護意識,從源頭減少、杜絕信息的洩露。
比如,不隨意填寫、分享、丟棄個人信息,身份證等證件複印時一定要寫明用途,妥善保管、處理好包含個人信息的票據,如快遞單、銀行卡交易小票等;注意網絡安全,儘量不在公共設備上輸入個人帳號及密碼,不輕易接收和安裝不明軟體,不隨便點擊聊天中對方發來的連結,避免在朋友圈過度暴露自己的個人情況、子女信息等;個人證件丟失或者個人信息洩露後,要第一時間補辦證件、更換帳號;個人信息一旦洩露,要第一時間報警。