李蕤

（北京警察学院 北京 100000）

侵害公民个人信息犯罪之多重危害与侦查策略

李蕤

（北京警察学院 北京 100000）

海量信息的采集机制和智能机器的筛选分析，让国境线和隐私权逐渐模糊。侵害公民个人信息犯罪对国家安全产生现实威胁、极易引发刑案不稳定因素、易成为个体私欲利用工具、引发民众恐惧影响公信力；大数据时代信息泄露的渠道多元化，包括特定行业的不法行为、私家侦探的行业行为、人肉搜索的公众行为、电子商务等网络行为、网络黑客等技术行为；现阶段侵害公民个人信息犯罪侦查的主要策略在于环节侧重维度、法律应用维度和防范认知维度的综合。

侵害公民个人信息犯罪 多重危害 侦查策略

当前以信息技术为主要特征的科技革命深刻改变着人类社会生活，云计算、物联网、大数据等全面融入社会生活，侵害公民个人信息犯罪在一段时期仍将处于高发态势。信息的泄露轻者让个人隐私成为公共资源，重者引发绑架、敲诈勒索等刑事案件。从公安部2012年以来组织的3次专项打击行动成果看侦查成效斐然，犯罪危害严重。侵犯公民个人信息犯罪侦查需更加清晰思路，应探索防范与治理并重之路径。

1 个人信息概念界定之厘清

依据不同法律传统和使用习惯，就法律概念所使用的名称而言，个人信息在各国立法上主要有个人数据、隐私、个人资料和个人信息不同称谓。使用个人数据概念的国家和地区最多，主要是欧洲理事会、欧盟、欧盟成员国以及其他受欧盟1995年指令影响而立法的其他大多数国家；使用隐私概念的主要是美国、澳大利亚、新西兰、加拿大以及受美国影响较大的国家；我国、日本、韩国、俄罗斯等国家的立法中使用个人信息的概念；法国、奥地利、冰岛、我国香港地区等使用个人资料概念。

学界对个人信息的界定各有不同，有学者认为“个人信息系指社会中多数所不愿向外透露者（除了对朋友、家人等之外）；或是个人极为敏感，不欲外人知道。”有学者认为个人信息是指“以任何形式存在的，与特定个人的存在和身份识别相关联的，个人不愿透露的或者不应该由别人控制的信息或信息组合。它可以分为个人的生理信息和社会信息，前者如个人的声音、指纹、视网膜图像、虹膜图像、DNA档案、医疗记录等；后者如姓名、地址、种族、婚姻家庭状况、身份证号码、人事记录、金融机构账号和密码等。”有学者认为公民个人信息是指“个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可以识别特定的个人的信息。”2013年4月23日，最高人民法院、最高人民检察院、公安部联合下发的《关于依法惩处侵害公民个人信息犯罪活动的通知》中，明确公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。

结合以上观点，侦查实践中认定侵害公民个人信息犯罪应立足于《关于依法惩处侵害公民个人信息犯罪活动的通知》，同时结合不同学者论述注意公民个人信息的三个特性，以更深刻认识其本质：一是辨识性。这是公民个人信息本质特征，也即可识别性，是公民个人信息纳入法律保护尤其是刑法保护范畴的一个重要依据，也是很多国家对公民个人信息理解上的一个共识。辨识性包括能够直接辨识的信息，如个人肖像、身份证、指纹等；也包括间接辨识的信息，如通过某种方式加以组合或者比较、分析信息主体的其他信息后方能识别，如性别、年龄、职业、收入、身体健康状况、血型、身高、家庭住址、宗教信仰等，多数信息属于后者。二是隐私性。对个人信息保护的逻辑起点是对公民个人隐私的保护，也即要保护公民与公共利益、群体利益无关的，当事人不愿他人知道或他人不应知道，更无权滥用、利用的个人信息。三是指向性。个人信息泄露的显著危害在于通过对不同来源、不同种类、不同人员等看似无关联信息经过组合，就可能成为具有锁定特征的指向性信息。美国数据隐私专家曾指出即便没有姓名和社会安全号，只要通过性别、生日和邮编3个数据项就能够通过数据技术成功识别全美87%的人。

2 从国家安全到社会公信的威胁——信息泄露之危害

大数据时代海量储存加之智能检索和数据深度挖掘，极大地提升侵害公民个人信息的效率和用途。根据斯诺登提供的材料，不仅是信息被偷窥，语音也会被偷听且自动识别，网上行为也可以被监测，这样的智能软件甚至可以分析个性心理特征和行为偏好，预测未来可能做的事情和决策。侵害公民个人信息不仅是对私权之侵犯，亦会引发国家安全和社会稳定的忧虑。

2.1 对国家安全产生现实威胁

现代化社会已经实现了管理数据化，便捷高效的同时风险挑战并存。一是政府机关、企事业单位涉及国计民生的涉密信息。政府机关、企事业单位在管理服务过程中积累了大量信息，有的是事关国计民生的重要涉密信息，一旦不慎被境内外敌对势力获取，势必给国家的政治、经济、军事、外交等造成难以估量的危害和损失；二是特殊身份人员所持有事关重要事项的相关信息。斯诺登披露的内容显示，美国国安局的目标涉及全球范围的电子邮箱和即时通信软件账户，每年通信采集量超过2.5亿份。其提供材料里显示中国是“棱镜”计划监控的重点，其中特定身份人员信息采集是重中之重；三是海量信息数据采集加机器智能筛选分析后果无法估量。现代技术的海量信息采集加之机器筛选分析，能够将若干看似没有关联、不涉及核心的各类信息汇总分析出意想不到的情报。在互联网深度应用的年代，侵害公民个人信息已不仅是个人私权被侵犯，也给国家安全带来新的隐患。

2.2 极易引发刑案不稳定因素

侵害公民个人信息泛滥的背后是非法调查活动的频发，极易引发多种犯罪行为。较为常见的有：一是敲诈勒索、恐吓威胁类犯罪。主要是不针对具体对象，犯罪人利用非法获取的姓名、联系方式、照片等采用撒网式作案，批量实施敲诈。如利用PS技术合成事主淫秽照片胁迫汇款；二是各种诈骗类犯罪。主要是网络诈骗和电信诈骗，侦查实践中此两类犯罪多是获取公民个人信息后实施；三是绑架、非法拘禁、暴力讨债类犯罪。此类犯罪主要是通过非法获取特定人员信息实施有针对性的犯罪；四是针对特定人员的报复或者要挟。极少数不法人员为达到报复或者要挟等犯罪目的，雇佣非法调查获取政府、企业官员个人信息以有针对性的进行财色引诱、拉拢腐蚀、设计陷害等违法犯罪行为。如重庆“雷政富不雅视频”案。

2.3 易成为个体私欲利用工具

个人信息一旦被随意泄露甚至监控，在侵犯私权的同时也易成为商业竞争，人际关系中借以利用的非法手段。一是引发非法商业竞争。某些公司企业通过非法调查公司获取企业客户资料、银行账目往来、银行信用报告等商业信息，收买客户、打击对手；二是极少数违反道德底线用于人际交往中。这种情况主要是个别公司企业人员、极个别党政领导干部将非法调查获取个人信息用于单位内部竞争、排除异己、打击报复，严重违反工作纪律甚至触犯法律。

2.4 引发民众恐惧影响公信力

专项行动中查获的900多个非法调查公司全部实施过针对公民个人的婚姻调查和非法讨债活动，对公民私生活涉入之深可见一斑。一是滋扰民众正常生活影响社会公信。由于公民个人信息泄露导致大量的骚扰电话和垃圾短信，不仅影响着民众的生活，亦影响着民众对相关部门的信任；二是公民隐私信息滥用引发不安全感。随着信息技术的发展，隐私的界限发生改变，很多看似无关的信息成为核心资源，如通信记录成为了解公民社会交往的重要途径。个人信息被滥用的背后是公民对于隐私外泄的恐惧，安全感降低；三是非法手段介入导致对公权力的质疑。各种非法调查活动大量介入婚姻纠纷、财产继承、债务纠纷等民事诉讼，导致公民对通过合法途径解决纠纷的期待下降。

3 从现实社会到虚拟空间的多元——信息泄露之渠道

从已破获案件不难看出，泄露、倒卖公民个人信息涉及部门已从传统的工商、银行、电信、交通、教育、卫生等部门，向房产、物业、保险、邮政、快递等行业迅速蔓延，买卖信息内容无所不及。

3.1 特定行业的不法行为

社会生活中银行、保险、航空、酒店、快递等行业由于其自身经营特点，能够获取大量真实个人信息。这些信息数据不仅能告诉企业消费者的个人偏好，实现精准营销，还能够转卖给需要个人信息的公司让企业从中获得二次利润。北京警方曾查获的一起非法信息售卖案件中，最高的交易价格达到6万元一条；多家知名快递公司被爆大量快递单信息被公开出售，每条价格从0.4元到1元不等。现实中也存在个别企业由于疏忽或者技术问题导致公民个人信息泄露，引发风险。如在全国引起轰动的2013年2月中国人寿不慎将80万客户信息通过合作网站泄露事件。

3.2 私家侦探的行业行为

私家侦探的行业在中国一直处于灰色地带，法律尚不能给其一个准确定位，中国的私家侦探所通常被称为“调查公司”。一方面这些调查公司填补了公权力在非公诉案件中证据调取的空白，另一方面这些公司在调取证据时经常采用非正常的手段获取他人信息，甚至以此进行勒索。有的案例中调查公司还是个人信息非法交易的中介，在非法获取的同时又将其提供给信息需求终端。

3.3 人肉搜索的公众行为

“人肉搜索”并非一个典范的汉语词汇。最初形式可以追溯到虚拟社区中的问答交流，如百度、新浪等网站提供的互动平台，网友可就遇到的困惑、难度提出问题或者倡议，其他网民秉承资源原则参与解答、帮助或者回应。概而言之，人肉搜索是以网络为平台和纽带由网民积聚力量搜索相关信息和资源，对一些问题或者倡议进行解答和回应。“人肉搜索”通常会将当事人的姓名、年龄、职业、家庭住址、社会关系等个人信息公之于众，加之多为负面事件，极易超越人文道德底线演变成为网络暴力，产生侵权行为。需要区别的是如果为国家安全、公众利益或存在其他正当性，则可以适度使用人肉搜索。

3.4 电子商务等网络行为

《刑法修正案（七）》的规定中未将网络系统中侵犯公民个人信息的行为规制在内。但现实中来自网络的各种侵害不甚枚举：其一是电子商务消费者中的个人信息。在电子商务行为中，商户往往提供类似于格式条款的同意文书，若用户选择适、使用该项产品或者服务，不仅要留下各类相关个人信息，同时还需要接受文书中的各类条款。一旦发现侵权，个人往往难以得到证据甚至难以找到准确的侵权者；其二社交网络平台用户的个人信息。以Facebook为例，对于社交网络而言，用户被指令用真实的信息注册，在平台上频繁的提供和交换个人信息，Facebook的注册人数早已超过3.5个亿，也就是说该平台本身就获取了大量的个人信息，并且若不通过繁琐的加密措施，用户的个人信息在默认的状态下可以被其查看；其三是相关电脑软件用户的个人信息。之前奇虎360和腾讯QQ因为争夺用户群引发“3Q大战”暴露出用户隐私泄露的危险。

3.5 网络黑客等技术行为

据互联网数据中心公布，目前有近七成的智能手机移动应用在抓取用户隐私数据，其中高达34.5%的移动应用有“隐私越轨”行为。国内安全漏洞监测平台乌云(WooYun.org)近日发布报告，称如家、汉庭等大批酒店的开房记录被第三方存储，并且因为漏洞而泄露。在网络无疆界的空间里，各类网站和个人网页受制于技术发展的限制和防范意识的薄弱，给各种目的的黑客攻击者、窃取者以可乘之机，在没有任何感知的情形下可能信息已经大量流失。

4 侵害公民个人信息犯罪侦查的主要策略

对侵害公民个人信息犯罪形成路径分析如下图所示，基本遵循“信息源头—中间商—市场—违法犯罪行为”的过程。

在以上犯罪产业链中，上游是一些部门和行业从业人员将工作中获取的公民个人信息出售、非法提供给他人；中游是在互联网上形成数据交易平台，大肆出售信息牟取暴利；下游则是犯罪人利用这些公民个人信息进行绑架、敲诈勒索、电信诈骗等各种违法犯罪活动。侦查实践中侵害公民个人信息案件侦查的难点在于：一是信息源头追溯难。从信息泄露到被犯罪人使用到案件发生，这个过程时间不确定、环节不确定，有的案件中公民个人信息甚至被倒卖上百次。因此案件发生后源头追溯难；二是全案侦查取证难。此类犯罪主要交易平台是网络，交易各方彼此身份虚拟，并且案件的特性决定了没有传统意义上的具体事主，调查难；非法获取个人信息主要储存方式为电子数据，犯罪人极易销毁，取证难；犯罪人和受侵害者涉及多区域、多部门，需多警种、多部门、多地域合成作战，协调难；三是情节严重认定难。刑法需达到“情节严重”才被立案追诉，但目前尚没有具体司法解释，立案、追诉标准尚不明确，法律适用和定罪量刑难度较大。鉴于此，侵害公民个人信息犯罪侦查的主要策略在于环节侧重维度、法律应用维度和防范认知维度。

4.1 环节侧重维度——注重侦查经营锁定犯罪全链条

4.1.1 侵害公民个人信息犯罪侦查之环节分析

结合侵害公民个人信息犯罪的三个主要阶段，侦查环节随之各有侧重：一是重点打击信息泄露源头。没有源头就形成不了买卖信息的利益链条，打击源头是侦查工作的重点。侦查实践中主要侧重打击长期从事非法调查的公司和个人，同时还要注重打击为非法调查提供各类专用器材的，如非法生产、销售窃听窃照、跟踪定位等的生产商和经销商；二是深入清理中间买卖交易平台。公民个人信息已成为一种重要资源，有源头自然就会有“中间商”趁机牟利，从源头获取信息转手卖给市场。以牟利为目的掌握海量公民个人信息并频繁倒卖的大中间商亟需清理；三是严厉打击衍生各类下游犯罪。如前文所述，侵害公民个人信息犯罪易滋生电信诈骗、网络诈骗等非接触式犯罪，并与绑架、抢劫、敲诈勒索等严重犯罪合流，危害严重。专项行动之后，好的经验做法需固化和持久，始终保持对此类犯罪的有效打击。

4.1.2 侵害公民个人信息犯罪侦查之取证分析

目前没有全国统一的取证规格，有地方出台了结合本区域的取证标准。以南京为例，该地区规定的非法获取公民个人信息罪取证规格为：非法获取特定公民信息6人以上且非法获利5000元以上；非法获取特定公民信息20人以上，或者不特定公民信息10000条以上。以上述第一种情形为例，取证工作中需锁定买卖6条线，找到交易证据，包括电子数据、资金往来等。从侦查实践看，很难在将犯罪嫌疑人抓捕后24小时内来完成这样庞大的证据链，案件前期经营至关重要。以下内容需重点关注：一是特殊身份和获取途径。行为人是否具有特殊主体身份，获取信息途径是否合法；二是主观故意和行为目的。行为人是否明知他人进行违法犯罪活动而提供信息，或是否出于违法犯罪活动的目的而非法获取信息；三是涉案信息数量和真实有效。要及时核查涉案信息的数量及真伪。对行为人所使用电脑、存储介质等物品进行固定、提取，制作现场勘验检查笔录，证实行为人存储的公民个人信息数量、信息内容、创建时间等；通过抽样验证等核实公民个人信息真伪；四是关联行为人之间各种往来。要梳理涉案行为人之间的往来关系，通过电子数据分析，调取相关物证、书证等查明行为人的上网记录、网上行为轨迹、上下线人员、交易金额及获利数额等；五是危害后果的认定。根据前阶段调查初步认定的行为，深入查证造成后果、损失情况及是否利用获取的信息进行其他违法犯罪活动等。

4.2 法律应用维度——关联考虑上下游行为涉及罪名

侵害公民个人信息犯罪是新型犯罪，在侦查过程中需综合考虑所涉及多种犯罪及出售、非法提供或非法获取个人信息的次数、数量、手段和牟利数额、造成的损害后果等因素，以确保取得良好的法律效果和社会效果。最高人民法院、最高人民检察院、公安部2013年4月23日发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》中，明确了出售、非法提供公民个人信息罪的犯罪主体、公民个人信息包括范围、以“出售、非法提供公民个人信息罪”追究刑事责任的情形、以“非法获取公民个人信息罪”追究刑事责任的情形以及数罪并罚、加大财产处罚适用力度等。

通过不法途径获取、利用公民个人信息会有一系列行为，从而构成不同的犯罪罪名。从侦查实践看，其上游犯罪行为可能是非法获取计算机信息系统数据罪、非法控制计算机信息系统罪，也可能是提供侵入、非法控制计算机信息系统程序、工具罪或者非法生产、销售间谍专用器材罪，非法使用窃听、窃照专用器材罪，非法经营罪等等，其下游犯罪可能是由于侵害公民个人信息而产生的敲诈勒索、非法拘禁、绑架、电信诈骗等。在侦查过程中，要深入分析前后行为之关联，梳理上下游犯罪可能构成犯罪类型，依据不同犯罪构成要件固定证据，为案件诉讼奠定坚实基础。

4.3 防范认知维度——个体深度认知与良好信息生态

（1）个体深度防范认知的形成。一是数字化节制意识。如果个体对于上传至互联网的个人信息有所节制，自然泄露风险会降低；二是网络技术防范意识。对互联网利用较多的人，需要加强对个人电脑的安全防护，安装较高级别杀毒软件与防火墙；三是社会交往防范意识。在各种社会交往中注重对个人重要敏感信息的保护。但应该看到，个人的注意义务是有相当大的局限性，尤其是面对特定部门、特定人员的组织性信息损害行为，仅靠个人注意是无法避免侵害公民个人信息的，这就需要国家的力量进行干预和救济。

（2）社会良好信息生态的形成。从社会层面看，要形成个人信息保护的系统工作，从不同角度强化国家保护，形成制度性和有效性。一是从刑法震慑进行。发挥刑法震慑作用，严惩售卖、非法获取个人信息行为，杜绝个人信息售卖利益链条；二是从系统法制进行。针对日益严重的个人信息保护现状，国家层面需将个人信息保护立法提到议事日程，尽快出台《个人信息保护法》，地方出台相应的地方法规；三是从技术角度进行。网络环境下针对网络上信息泄露需采取多种技术措施加强信息安全：①使用期限或者目的限制。对于网络用户数据保留期限应以达成业务目的或满足法律要求所需时间为准，一旦个人信息达到其使用目的即刻删除；②事前防范技术建设。对于国家机关或者金融、电信、交通、教育、医疗等单位，推动现有的“事后补救型”防范机制向“事前防控型”防范机制转变，如考虑技术手段增强预警性防范，通过“批量查询预警”、“批量下载审批”等措施，及时发现不轨行为。

此外，遵从道德底线和职业自律理应成为大数据时代恪守原则。道德因其教化功能，一直在预防犯罪的实践中发挥着重要作用。曾有人这样论及道德：“道德是从黑夜行人前方射来的一束光芒，它既规范又引导人们追求至善至美的路程。”道德体系的建设应是社会文化建设的重要内容，并逐步实现社会道德底线基础上的职业自律。

5 结语

侵害公民个人信息已成为世界性问题。困扰的背后，是使用信息的便捷性和守口如瓶的艰难性之间的矛盾，是技术发展的飞跃性和信息泄露的可能性之间的抉择。大数据时代国境的界限和隐私的限制逐渐模糊。随着宽带中国战略的推进，一段时期内信息泄露的困扰将持续存在，实践中需要行业行为的自律、个人防范的增强、侦查效能的提升、法律政策的完善等综合策略。

[1]周洁.打击个人信息泄露，护航平安中国建设[J].人民公安，2013，（13）.

[2]周汉华.中华人民共和国个人信息保护法（专家建议稿）及立法研究报告[R].北京：法律出版社，2006.

[3]周汉华.域外个人数据保护汇编[M].北京：法律出版社，2006.

[4]陈起行.信息隐私权法理探讨——以美国法为中心.政大法律评论，2000，（64）.

[5]孙平，刘靖晟.刑法修正案（七）关于侵犯个人信息罪的理解与适用问题探讨.新中国刑法60年巡礼（下卷）.北京：中国人民公安大学出版社，2009.

[6]郑思远.美被爆全球搜集海量通讯录[N].北京日报：2013-10-6.

[7]叶健.信息泄露事件频发，我们终将成为“透明人”吗？[EB/0L].http://sh.xinhuanet.com/2013-10/16/c_132802062.htm.

[8]韩福东.台湾修法：人肉搜索关乎公益即合法[EB/0L].http://news.163.com/10/0429/07/65E1B9 UR0001124J.html.

[9]社科院.Facebook等社交网站具有特殊政治功能[EB/0L].http：//www.anhuinews.com/zhuyeguanli /system/2010/07/08/003232089.

[10]李科.维克托的“药方”[J].人民公安，2013，（13）.

[11]张利兆，黄书建.“唐律疏议”之预防特色与现实借鉴[J].犯罪研究.2005，（6）.

（责任编辑：李艳华）

D918

A

2013-12-3

北京市法学会重点课题“北京市网络犯罪侦防对策研究”（编号：BLS2013B015）。

李蕤（1975－），女，陕西人，北京警察学院侦查系教授，主要从事刑事侦查学研究。