【法眼观】
日前,电影《孤注一掷》热映,在全网掀起一股反诈热潮。网络赌博、投资理财、刷单返利、婚恋交友……如今电信网络诈骗手段不胜枚举,造成的恶果让人触目惊心。作为电信网络诈骗的上游犯罪,侵犯公民个人信息犯罪无疑处于源头位置。
随着数字经济时代的到来,近年来,以公民个人信息为目标的案件呈迅速增长态势。据统计,2020年以来,我国公安机关累计侦破侵犯公民个人信息违法犯罪案件3.6万起,抓获犯罪嫌疑人6.4万名,破获案件数量和抓获人数连续突破新高。医疗、教育、房地产、物流、电商……此类案件涉及的领域愈发广泛。同时,以公民个人信息为核心,滋生出电信诈骗、骚扰电话、抢号抢票、网络水军、“人肉搜索”、“薅羊毛”等一系列让人深恶痛绝的黑灰产业。
当前,犯罪分子非法获取公民个人信息的手段有哪些?侵犯公民个人信息违法犯罪如何成为黑灰产业的“孵化器”和“瞄准镜”?如何构建全链条打击侵犯公民个人信息犯罪的合力?记者就相关问题进行了采访。
透视五花八门的犯罪手段
■案例:自称为了“好玩”,沈某竟非法查询并下载保存了1100余份征信报告。让沈某后悔莫及的是,他直接把自己“送进”了监狱——法院以侵犯公民个人信息罪判处沈某有期徒刑1年,并处罚金4000元。
沈某原是上海一家国际信托公司的项目经理。通过公司的终端机,沈某数次非法登录某银行个人征信系统,查询并下载保存他人征信报告共计100份。在被警方抓获归案后,沈某如实供认了犯罪事实。让人意想不到的是,早在2013年至2014年间,沈某就已经采取同样的作案手段,查询并下载保存了他人征信报告1000余份。鉴于沈某到案后能如实供述罪行,当庭认罪悔罪,法院依法作出了从轻处罚的判决。
个人征信被称为公民的“经济身份证”,影响老百姓的出行、贷款、就业等方方面面。2017年,最高人民法院、最高人民检察院联合出台《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),将征信信息列为高度敏感信息,非法获取、出售或者提供50条该类信息即可入罪。
“涉案公民个人信息类型中,高度敏感信息占比突出。”北京市高级人民法院副院长孙玲玲告诉记者,2018年以来,北京各级法院审结侵犯公民个人信息犯罪案件219件,其中24.6%的案件涉及高度敏感信息,包括征信信息、行踪轨迹信息、通信内容和财产信息;9.9%的案件涉及敏感信息,包括住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息。
根据《解释》,非法获取、出售或者提供高度敏感信息50条以上、敏感信息500条以上或其他个人信息5000条以上的,即构成“情节严重”,触犯刑法修正案(九)所规定的侵犯公民个人信息罪。近年来,因高度敏感信息泄露而引发的恶性事件时有发生,不仅侵犯了被害人的权益,对社会公众的心理也造成不小冲击。
在侵犯公民个人信息犯罪案件中,涉案信息的规模日趋庞大。据北京高院统计,在179起侵犯公民个人信息罪的一审案件中,除17起案件依据犯罪所得定案外,其余162起均以信息条数作为定罪量刑的主要依据。其中超过半数的案件信息数量超过5万条,约1/4的案件信息数量超过50万条,少数案件查获的信息多达数百万、数千万条,甚至过亿条。
公安部网络安全保卫局警务技术二级总监黄小苏介绍,犯罪分子获取个人信息数据主要有骗取信息、盗窃信息、内鬼泄露、非法采集、倒卖信息、变造信息6种手法。有的利用“地面推广”、假冒身份等手法骗取公民个人信息,如乡村地区流行的扫码送礼物、协助激活电子医保卡,以及冒充电商客服、冒充公安民警骗取个人信息等;有的利用黑客技术盗取公民个人信息,如利用木马病毒、钓鱼网站、渗透工具、网络爬虫等;有的厂商利用产品非法采集公民个人信息,主要涉及一些App、机顶盒、手机、智能手表等的供应链厂商;有的则采取收买或交换公民个人信息的方式,如利用兼职形式从社会闲散人员处收买身份证、银行卡、人脸识别等信息。
重拳打击行业“内鬼”
■案例:两位热衷追星的“粉丝”,多次购买明星的航班轨迹等信息。航空公司的客服人员秦某伙同李某,直接或间接利用查询航班信息的工作便利,非法获取公民个人信息后向上述两位“粉丝”出售。
北京朝阳法院审理认为,秦某伙同李某出售公民个人信息数千条,情节特别严重,二人均构成侵犯公民个人信息罪,分别判处有期徒刑3年,并各处罚金4万元,禁止秦某、李某3年内从事航空客服代表类职业。同时,责令秦某、李某支付公共利益损害赔偿款,没收后上缴国库,并公开赔礼道歉。两名“粉丝”也因犯侵犯公民个人信息罪被判处不同刑罚。
据了解,本案中秦某、李某所出售的公民个人信息,主要包括舱单信息、历史飞行记录和居民身份证号、护照号等。秦某系将在履行职责或提供服务过程中获得的公民个人信息出售给他人,依法对其从重处罚。秦某、李某利用现有或曾经的工作便利,违背职业要求的特定义务实施犯罪行为,对其宣告职业禁止合法合规。
“放眼整个犯罪链条,内部人员泄露信息是侵犯公民个人信息犯罪的主要源头。”孙玲玲表示,实践中,掌握大量公民个人信息的公司、企事业单位的工作人员,或是通过直接接触个人信息的工作便利非法查询、下载;或是间接利用自己的职务或工作关系请托他人帮助查询、传输;或是直接将爬取数据的软件、程序植入本单位的计算机后台系统,均能非法获取公民个人信息。只要个人信息流入“黑市”,就可能被大量地重复交易。
为锚定行业内部泄露源头、重拳打击行业“内鬼”,2020年以来,全国公安机关共抓获电信运营商、医院、保险公司、房地产、物业、快递公司等行业内部涉案人员2300余名。
近年来民航业“内鬼”侵犯公民个人信息违法犯罪时有发生。在秦某案件中,针对民航业暴露出的监管问题,朝阳法院刑事审判庭向航空公司的监管单位中国民用航空局、涉案公司东方航空公司发送了司法建议,督促监管部门切实履行监管责任、航空公司开展常态巡检,提升民航业个人信息保护水平。两部门均对发送的司法建议作出了积极回应。
全链条惩治上下游犯罪
■案例:胡某以某科技公司的名义,向一家通信运营商申请批量办理手机号。其通过张某雇佣他人作为经办人,有偿使用张某提供的他人身份证件办理上述业务。运营商营业厅的工作人员任某、鲁某明知上述公司办理的手机号涉嫌诈骗,仍予以办理。经查,办理的手机号后被用于电信网络诈骗,金额约170余万元。同时,胡某非法从他人处获取工号、密码办理大量手机号,用于电信网络诈骗。
法院判决胡某犯侵犯公民个人信息罪和帮助信息网络犯罪活动罪,决定执行有期徒刑4年,并处罚金12万元;张某犯侵犯公民个人信息罪,判处有期徒刑2年,并处罚金2万元;任某、鲁某犯帮助信息网络犯罪活动罪,分别判处有期徒刑1年,并处罚金1万元。
电信网络诈骗,是最常见的侵犯公民个人信息行为的下游犯罪。北京高院刑一庭庭长肖江峰表示,本案中,各被告人共同实施了多次内外勾连、上下游配合的侵犯公民个人信息以及帮助电信网络诈骗的行为,造成了大量被害人财产损失。法院依法从严惩处本案,体现了人民法院加强对电信网络诈骗犯罪上游信息采集、提供、倒卖等环节犯罪行为的全链条打击。
据介绍,北京法院审理的侵犯个人信息犯罪案件,涵盖金融、教育、交通、通信、物流、法律等众多行业。排除买卖、交换等中间环节,39.6%的涉案信息被用于违法甚至犯罪活动,如违规提取公积金或办理信用卡、同行不正当竞争、代收代写学术论文、暴力催收讨债、发送招嫖信息、电信网络诈骗、盗窃存款、敲诈勒索、绑架、故意伤害等。还有部分案件由所谓“私家侦探”通过跟踪拍摄、关系查询等方式定向追踪个人,调查特定公民信息。
“整体来看,侵犯公民个人信息已成为大量涉网违法犯罪的上游犯罪。”公安部网络安全保卫局政委孙劲峰表示,非法获取信息的最终用途,一方面是为网络水军、网络洗钱等犯罪活动提供银行卡、虚拟身份等物料支撑;另一方面是为电信网络诈骗、敲诈勒索等提供精准靶心。公安机关开展上溯源头、下追买家的全链条打击,并同步跟进“一案双查”,对互联网企业平台严管严查,坚决遏制侵犯公民个人信息违法犯罪蔓延趋势。如针对快递信息泄露引发电信网络诈骗问题,公安部会同中央网信办、国家邮政局联合开展邮政快递领域个人信息泄露治理专项行动,其间共侦破窃取、贩卖快递信息案件206起。
打击整治侵犯公民个人信息违法犯罪,需全民参与、社会共治。孙劲峰表示,公众要提高个人信息保护意识,不给犯罪分子可乘之机;有关企业要提高责任意识,落实安全保护措施,规范信息采集和使用范围;相关从业者要树立法律意识、敬畏意识,不要违规收集、倒卖公民个人信息。
公民个人信息保护立法历程
2009年,《刑法修正案(七)》增设第二百五十三条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。
2015年,《刑法修正案(九)》将该条修订为侵犯公民个人信息罪,从重处罚侵犯履行职责或提供服务过程中获得的公民个人信息的行为。
2016年,网络安全法出台,规定了网络运营者收集、使用个人信息的规则。
2020年,民法典出台,进一步明确个人信息的定义和范围。
2021年,个人信息保护法出台,进一步完善公民个人信息保护体系。
公安机关提示
广大群众要积极保护个人信息
●不乱扔,妥善保管、处置好个人信息的载体,包括一些文件、快递单、外卖单等。
●不乱给,不要在互联网公开平台随意发布个人信息或者提供给他人使用,特别是个人身份证号、电话号码、家庭住址、银行卡号等。
●不乱点,不要随意点击和下载来历不明的网址链接、二维码、免费Wi-Fi热点等,不要随意点击App手机软件获取设备权限的“同意”按钮。在电脑、手机上安装防护软件,及时更新升级,防止恶意木马、程序窃取个人信息。
网络运营者要合法合规获取个人信息
●不乱收,要遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
●不乱存,要依法履行网络安全等级保护制度,采取必要的管理和技术保护措施,集中统一存储并防止信息泄露、毁损和丢失。
●不乱用,要认真履行数据安全主体责任,对数据采取分级分类管理,不得泄露、出售或者非法向他人提供公民个人信息。
(本报记者 靳昊 本报通讯员 王艺璇)