非法获取个人信息犯罪实证研究
——以66个真实案件为样本
2016-02-13唐文莉
唐文莉
(湘潭大学法学院,湖南湘潭 111105)
非法获取个人信息犯罪实证研究
——以66个真实案件为样本
唐文莉
(湘潭大学法学院,湖南湘潭 111105)
本文立足于实践,分析泄露个人信息的现状,及泄露个人信息原因与途径、方式、情节认定的标准与非法获取的手段等,提出了个人信息范畴、情节认定的标准以及相关建议。
个人信息;非法获取;情节严重;实证研究
“开房局长案”、职称英语考试考生信息“裸奔”、“携程网信息安全门事件”、“小米800万用户数据泄露”、“快递官网遭入侵,1400万条用户信息被转卖”、“130万考研用户信息被泄露”、“东航被曝系统漏洞或致大量用户订单信息泄露”、“智联招聘86万用户简历信息泄露”,以及最近爆发的“徐玉玉”、“清华教授被骗1760万”等事件,背后凸显的关键就在于个人信息泄露的问题。个人信息泄露的情况已经深入到我们生活的各个细节,在这样的环境下,我们没有任何隐私可言,人身与财产安全也得不到有效保障,生活处于极度不安宁的状况。《刑法修正案九》也加大了侵犯个人信息行为的力度,扩大了主体范围,表明了法律坚决打击严重泄露个人信息行为、坚定不移地维护个人信息安全与人民生活稳定的决心。
本文收集大量的文献材料以及66个真实案件判决,进一步了解侵犯公民个人信息犯罪现状。着重分析侵犯个人信息的主体范围、获取信息的方式、途径、用途、情节严重的认定标准、非法获取的认定。
一、现实表现:侵犯个人信息现状
侵犯个人信息行为的数量极多,真正进入审判程序的案件较少。网上公开贩卖个人信息的情况大量存在,通过网络公开贩卖的情况屡见不鲜,个人信息的安全系数极低。公安部部署全国公安机关开展为期半年的打击整治网络侵犯公民个人信息犯罪专项行动,自2016年4月开始至2016年7月20日,全国公安机关累计侦破刑事案件750余起,抓获犯罪嫌疑人1900余名,缴获信息230余亿条,清理违法有害信息35.2万余条,关停网站、栏目610余个,专项行动取得明显成效[1]。
(一)非法获取个人信息犯罪的特点
1.网络获取的高发性。
现代科学、网络技术飞速发展,给人民生活带来极大的便利。生活离不开科技、生活离不开网络,但是也有部分不法分子利用网络来进行违法犯罪活动。此次调研收集的材料显示,在个人信息来源的几种方式中,通过网络非法购买个人信息的比率是38.46%;通过网络购买6.1%;通过侵入网络系统4.61%;还不能排除利用职务便利以及其他方式非法获取中使用网络的比例。
2.信息泄露迅速性。
信息的安全系数低,集中表现在前一秒才将信息输入系统,后一秒就被输出了。例如“清华大学教授被骗1760万”,前一天刚刚卖了一套房,第二天就接到了冒充公检法行骗的电话。这类案件数不胜数,让人甚是感叹的是到底是在哪一个环节出现了问题,可以让骗子以迅雷不及掩耳之势就掌握了相关的一手信息。
3.非法获取信息的精确性。
前不久央视新闻报道的信用卡信息泄露案件,包括卡主姓名、手机号码、身份证,最为夸张的是银行卡密码。相关人士透露5分钟可以搞定1000条银行卡卡主信息包括银行卡密码,且百分之九十八的信息都已确认为真实。银行卡信息赤裸裸的掌握在他人手上,卡里的钱被陆续转移自己却浑然不知,精确度高达95%,几乎呈全透明状,这是一种多么令人惶恐的事。
4.信息来源的多样性。
机关企事业单位、服务机构以及个体企业相关人员参与的泄露活动更加隐蔽。利用职务便利性,与他人内外勾结出售利用个人信息的犯罪也是一种常态。
在侵犯个人信息的犯罪中,并非都是行为人通过外界购买获取的,也有些属于监守自盗型。此次调研显示,利用职务便利获取个人信息从而犯罪的比例高达18.46%。这其中还包括三例公安民警利用职务便利,将手上掌握的相关信息予以出售获利,或者用职务的方便性获取大量信息后出售。这些“内鬼”中有公务员、企业职工,有正式员工,也有临聘人员,涉及医院、电信、教育等各行业[2]。通过网络收集、购买、“黑客”通过技术手段实施攻击、撞库或利用钓鱼网站、木马、免费WIFI、恶意APP等“技术类”窃取等方式成为获取信息的重要源头。
5.信息内容与用途的多样性。
此次调研收集到的非法获取个人信息种类包括:企业法人及车主信息,个人银行征信信息,银行卡信息,淘宝买家信息,客户个人信息,居民身份信息,新生婴儿信息,驾驶证信息,学生信息等。行为人在获取信息后的使用方式也是多种多样的,如诈骗、出售谋利、推广业务、为他人非法查询、单纯散播个人信息等,占据重要比例的是诈骗以及出售谋利、推广业务。其中以出售谋利的比例高达47.76%,诈骗占25%。
6.形成了“源头—中间商—非法使用人员”利益链条和黑色产业。
各层级人员身份既相对独立,又相互交叉,形成了非法获取、贩卖、使用的利益链条,以及以谋取不法利益为目的、市场化运作、专业分工实施、交易金额巨大的黑色产业。在利益的驱动下,在网络交往的隐蔽性下,促使一些为利益而铤而走险的人群出现。在自以为网络犯罪难以被发现的前提下,通过网络联系卖家、买家,谈成买卖交易,甚至行程明确分工,一条龙服务模式。
(二)个人信息透明化所造成的危害
在网上随时可以找到所需要的资料,这也正是被不法分子加以利用的前提。此次调研显示,给被害人带来的损失可大可小,有的是财产上的损失,有的是人身精神上的伤害,有的甚至威胁生命。
信息被侵犯付出的代价是非常惨重的。个人信息作为一种社会资源被极度滥用,遭受各种各样的短信电话骚扰、不确定的经济损失与人身损害,导致家庭甚至整个社会都处于一种惶恐不安的氛围里。这种情况长期累积,势必导致人们对信息安全失去信息、对机构政府失去信心,从而引发信用危机,阻碍国家信息化建设的进程。
二、问题凸显:侵犯个人信息行为打击难点
(一)网络犯罪破获难
一是追溯难。个人信息从源头出来到最后被犯罪分子使用,中间可能经过好几道、几十道甚至几百道手,追查源头十分困难。行为人可能做成一笔交易后,就有意识地更换QQ账号、微信号、换地点来逃避追查。其次,通过网络贩卖信息,覆盖面太广,涉及面过宽,全国各地甚至涉及到跨国贩卖。有限的警力资源根本无法与无限扩大的涉案面成正比。二是调查难。此类案件嫌疑人主要通过电话、手机短信、伪基站、网络实施犯罪,彼此之间的联系不受地域限制。即便抓获其中一个犯罪行为人,但是可能根本无法从其口中获得有效的线索。因为,都是通过网络联系,彼此之间也根本不认识,只是通过一个暂时的QQ或者微信交易,交易完成之后就不再有联系,对方也可能因交易已经完成就更换相应的交易软件。三是信息真实度核查难。一件贩卖个人信息的涉及的个人信息数量少则几千,多则几亿条。一一核实肯定是不现实的。而且在这么多的信息内,不能排除多次重复出现的情况[3]。
(二)个人信息范畴不确定
从通常意义上讲,公民个人信息是指能够识别公民个人身份的信息,主要包括姓名、年龄、性别、身份证号码、职务、学历、婚姻状况等相关信息。作为侵害对象的公民个人信息,首先应该在较广的范围内进行界定,包括与公民个人身份、财产状况相关的信息和个人隐私方面的信息;在此基础上,应当从主客观方面来进行限定:主观上本人不希望扩散该信息;客观上该信息具有保护价值。二是“个人信息”认定难。《刑法修正案(九)》规定,废除了侵犯公民个人信息罪的主体限制,扩大了该罪的犯罪主体。但是个人信息的范围仍然没有明确的范围。正是由于个人信息没有得到立法的明确化,司法机关人员在认定某个行为构成侵犯公民个人信息罪时,显然就站在了违背罪刑法定原则的警戒线的边缘。
(三)“情节严重”缺乏认定标准
实施侵犯个人信息的行为,既可以在行政法上受到处罚,也可以在民法上得到规制,而刑法作为最严厉的法律,只有在行政法与民法不能有效的规制时,才能动用刑法规制。但是,据笔者此次调研得到的材料显示,情节严重的确实存在着不一样的认定标准,而认定标准的不一致,也将导致同类行为不同处罚。如街道卫生服务中心工作人员张玉,利用每周到该院妇产科抄录安东卫街道辖区内新生儿信息的职务便利,将包含新生儿父母姓名、联系方式、家庭住址等内容的新生儿信息用手机拍照储存。张玉将新生儿信息提供陈某,陈某先后三次将该个人信息出售给他人,共计出售129条,违法所得477元。事后查明,陈某将个人信息出售给了某儿童摄影楼。法院判处陈某某构成侵犯公民个人信息罪,判处罚金1万元。又如,被告人罗某为了查询自己的个人信息是否在2000万酒店KF数据中,便用自己的华硕笔记本电脑登录淘宝网站,通过支付宝付款方式,以人民币5元的价格购买了名为“2000万酒店KF数据查询下载”的商品,该商品包括20051440条公民个人信息。法院判处有期徒刑一年,缓刑两年,罚金20000元。那么,我们就应该思考这个案件的案情是否值得用刑法处罚呢?刑法第二百五十三条之一规定的“情节严重”是否就涵盖了这种情况呢?
三、直击问题:侵犯个人信息行为难点突破
(一)侵犯个人信息行为法律适用上的难点探析
1.个人信息的范围。
理论界对公民个人信息的概念界定争议颇大,主要集中在隐私说、识别说和关联说。在实践中也存在着相应的见解,公民个人信息是指与公民个人身份相关,能够据此认定特定个人,且公民不愿为社会所知、具有保护价值的各种信息[4]。三种学说针对个人信息的范畴都做了相关的介绍,但是笔者认为个人信息在不断发展变化当中,采用识别说符合法律本意与适应发展需要。侵犯公民个人信息罪在侵犯公民人身权利、民主权利的这一章内,既然是侵犯公民人身权利的行为,那么该行为所侵犯的对象必须要有特定的、具体的对象。换言之,能通过该信息直接识别到具体的个人,才能在此基础上侵犯到个人权利。如果信息无法牵扯到具体的个人,那么就谈不上侵犯个人权利了。凡是从属于具体个人名下的信息,能够通过该信息认识到信息的主人,那么这些信息属于个人信息。
笔者认为个人信息与个人隐私是一种包括与被包括的关系。个人隐私顾名思义是不愿意让他人知道的私人信息,而个人信息不仅包括不愿意被人知道的信息,还包括已经让人知道的信息。采取识别说来认定个人信息范畴,以一定的概括性概念来界定信息范围能够缓和信息社会的紧张关系,又能充分发挥规则对实务的指导意义。笔者试图列举常见的个人信息类型:姓名、年龄、性别、身份证号码、职业、职务、学历、民族、婚姻状况、财产状况等。除上述常见的信息外,还有存在着众多其他类型的个人信息,在认定是否属于个人信息范畴时,即便不属于上述所列举的信息类型,但是该信息能够识别到具体的个人时,那么就是属于个人信息。
2.情节严重认定标准。
关于非法获取公民个人信息罪“情节严重”的理解问题,目前,刑法学界主要有以下几种代表性观点:三因素说[5]、四因素说[6]、五因素说[7]、六因素说[8]。不管是三因素、四因素、五因素还是六因素说,其目的就是将“情节严重”具体化,以便其在实践中具有可操作性。笔者认为,“情节严重”是一个抽象的概念,立法者在这一条规定了“情节严重”这一构成要素,就是为了适应社会的不断发展,以及对未来侵犯个人信息方式等行为的不明确性,才做出抽象的规定。但情节严重在实践中运用并非是违背了罪刑法定原则,而正是为了打击犯罪行为,给予了法官一定的自由裁量权。因此,笔者主张此处的情节严重不应该只用几个具体的类型就限定了范围,应该结合单一情节认定与综合认定两种认定方式。单一情节认定,从获取信息的方式、手段、数量、用途、次数、受行政机关处罚的次数、造成的危害后果、所获取的利益或所销售的金额方面、所造成的社会影响程度等方面进行认定,且在每一情节下设置了具体的适用范围,如三次行政处罚、获利一万元以上、获取信息用于犯罪活动、通过侵非法手段获取信息、非法获取他人信息三次以上等。综合情节认定是放在单一情节无法适用后的补充性认定方式。如果单一情节能够认定,那么就不需要适用综合情节的认定方式[9]。在单一认定标准中,关于数量多少的认定,笔者认为数量多少不能单独认定为是否构成情节严重。例如,酒店老板为了查看自己酒店是否在2000万酒店KF数据当中,花5块钱通过淘宝购买了相应的信息,虽然卖家给的商品压缩包里面涉及了20051440条公民个人信息。虽然在这里行为人获取的个人信息量巨大,但是,结合其主观目的与客观方面,只是单纯的了解自己酒店的情况,虽然获取了大量的信息,但是主观上并没有使用的目的,客观上也没有利用个人信息进行违法犯罪活动,没有侵犯到他人的人身权利。因此,不足以将其行为认定为情节严重。
(二)完善个人信息保护的建议
1.提升个人信息保护意识。
公民个人信息被泄露、盗用和滥用在一定程度上与许多人个人信息保护意识不强有直接关系。因此在办理业务时,应该有意识地保护自己的相关信息,对于没有必要的向他人透露的信息予以刻意的隐藏。在现有保护个人信息的法律法规尚不完善的情况下,提高保护意识是针绝个人信息泄更为重要的方法。
2.强化监督管理,加强对持有个人信息机构的监管。
个人信息的过度收集与无限滥用,原因多半是缺乏相应的监督与管理体制。因此,相关部门加强对持有个人信息机构事前事后监督与事后追责体制,是避免个人信息泄露的重要组成部分。在相关机构内部不仅应设立严格的信息保护制度,对于管理信息的责任人予以严格的要求,对于机构内部也需要建立完善的信息保护系统。计算机时代,所收集的个人信息基本是存储于计算机内,那么该机构就该建立起安全抵御外来侵入的防护系统,避免黑客入侵。其次,还需要将区分个人信息直接管理者与非直接管理者接触个人信息的权限。这样的目的有两个,第一,避免非信息管理者接触个人信息,降低个人信息泄露的几率。第二,在信息泄露时,能直接快速找到责任人。
3.加快技术变革,增强公安机关打击犯罪的实力。
首先,侵犯个人信息的犯罪,查获后涉及到成千上万的信息,甚至是几亿的信息量,对于公安机关而言,核实信息的真实度以及是否存在重复信息是一个难点。由此,建立相应的自动筛选系统和信息核实系统是必不可少的。自动筛选系统重点在于主动筛选重复的信息,以便确定涉案的最终信息量;信息核实系统,重点在于剔除虚假的信息。但是,信息核实系统的基础是公安机关具有真实的信息数据库。因此,在信息核实系统的建立上,存在现实困难。其次,更新公安机关网络监督与查获的技术。设置专门的网络警察,利用网络监督技术,及时制止以及查获利用网络实施侵犯个人信息的犯罪。
[1]http://news.ifeng.com/a/20160720/49459393_0.shtml
[2]http://hunan.voc.com.cn/article/201204/201204301044332354.html
[3]庄晓晶,林洁,白磊.非法获取公民个人信息犯罪区域性实证分析[J].人民检察,2011,(9).
[4]凌鸿.非法获取公民个人信息的认定[M].人民法院报,2010-6-17 (7).
[5]王昭武,肖凯.侵犯公民个人信息犯罪认定中的若干问题[J].法学,2009,(12):146-155.
[6]梁恒.风险·规制·完善:刑法视域下的个人信息保护[J].重庆邮电大学学报(社会科学版),2009,(06):29-33.
[7]肖本山.侵犯公民个人信息罪若干疑难问题探讨——兼论相关立法之完善[J].黑龙江省政法管理干部学院学报,2009,(03):42-45.
[8]刘宪权,方晋晔.个人信息权刑法保护的立法及完善[J].华东政法大学学报,2009,(03):120-130.
[9]利子平,周建达.非法获取公民个人信息罪“情节严重”初论[J].法学评论,2012,(05):146-152.
D922.8
A
1009-6566(2016)06-0086-04
2016-10-14
唐文莉(1991—),女,湖南永州人,湘潭大学法学院硕士研究生,研究方向为刑法学。