个人信息安全的守护者之数字海洋
法眼观
近年来,公民个人信息被侵犯的犯罪案件不断上升,成为电信网络诈骗等黑灰产业的源头和焦点。政法机关坚决打击相关违法犯罪活动,取得突出成果——
数字时代的海洋中,我们必须成为个人信息安全的护卫者
最近,电影《孤注一掷》在全网热映,掀起一股反诈骗热潮。如今,电信网络诈骗手段层出不穷,包括网络赌博、投资理财、刷单返利、婚恋交友等,造成的恶果令人震惊。侵犯公民个人信息犯罪无疑是电信网络诈骗的根源。
随着数字经济时代的来临,近年来以公民个人信息为目标的案件呈快速增长之势。据统计,自2020年以来,我国公安机关已经侦破了3.6万起侵犯公民个人信息违法犯罪案件,抓获了6.4万名犯罪嫌疑人,破获案件数量和抓获人数连续刷新纪录。医疗、教育、房地产、物流、电商等领域都涉及到这类案件,范围越来越广泛。与此以公民个人信息为核心的黑灰产业不断滋生,包括电信诈骗、骚扰电话、抢号抢票、网络水军、人肉搜索”、薅羊毛”等各种令人痛恶的活动。
当前,犯罪分子非法获取公民个人信息的手段有哪些?侵犯公民个人信息违法犯罪如何成为黑灰产业的源头和焦点?如何构建全链条打击侵犯公民个人信息犯罪的合力?记者就这些问题进行了采访。
在贵州省丹寨县金泉街道移民安置社区,民警向居民普及保护个人信息安全、防范电信网络诈骗的知识。新华社发
浙江杭州的民警为外来务工人员普及防范电信网络诈骗的知识。新华社发
揭示各种犯罪手段的真相
案例:某人自称出于好玩”,非法查询并下载保存了超过1100份征信报告。这让他后悔不已,因为他直接走进了监狱——法院以侵犯公民个人信息罪判处他1年有期徒刑,并处以4000元罚款。
这个人原本是上海一家国际信托公司的项目经理。他利用公司的终端机多次非法登录某银行的个人征信系统,查询并下载保存了100份他人的征信报告。在被警方抓获后他坦白供述了犯罪事实。令人意外的是,在2013年至2014年期间,他已经采取了同样的手段,查询并下载保存了超过1000份他人的征信报告。由于他在案发后如实供述罪行,当庭认罪悔罪,法院对他作出了从轻惩罚的判决。
个人征信被称为公民的经济身份证”,它影响着个人的出行、贷款、就业等方方面面。2017年,最高人民法院和最高人民检察院联合发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),将征信信息列为高度敏感信息,对非法获取、出售或提供超过50条这类信息的行为将入罪。
北京市高级人民法院副院长孙玲玲告诉记者:在涉案的公民个人信息类型中,高度敏感信息占据了很大比例。”自2018年以来,北京各级法院已审结了219起侵犯公民个人信息犯罪案件,其中24.6%的案件涉及高度敏感信息,包括征信信息、行踪轨迹信息、通信内容和财产信息;9.9%的案件涉及敏感信息,包括住宿信息、通信记录、健康生理信息和交易信息等其他可能危害个人身份和财产安全的公民个人信息。
根据《解释》,违反刑法修正案(九)规定的侵犯公民个人信息罪,是指非法获取、出售或提供高度敏感信息超过50条、敏感信息超过500条或其他个人信息超过5000条的行为,即构成情节严重”。近年来,高度敏感信息泄露所引发的恶性事件不断发生,不仅侵害了被害人的权益,还对社会公众的心理造成了巨大冲击。
在侵犯公民个人信息犯罪案件中,涉案信息的规模越来越大。据北京高院统计,179起侵犯公民个人信息罪的一审案件中,有17起案件依据犯罪所得定罪,其余162起则主要以信息条数作为定罪量刑的依据。其中有超过一半的案件信息数量超过5万条,大约四分之一的案件信息数量超过50万条,少数案件查获的信息甚至多达数百万条、数千万条,甚至上亿条。
公安部网络安全保卫局警务技术二级总监黄小苏介绍,犯罪分子获取个人信息的手法主要有六种,分别是骗取信息、盗窃信息、内鬼泄露、非法采集、倒卖信息和变造信息。一些人利用各种手法骗取公民个人信息,如流行于乡村地区的扫码送礼物、协助激活电子医保卡,以及冒充电商客服或公安民警等。还有一些人利用黑客技术盗取公民个人信息,如利用木马病毒、钓鱼网站、渗透工具或网络爬虫等。还有一些厂商通过非法手段获取公民个人信息,主要是一些App、机顶盒、手机、智能手表等的供应链厂商。还有一些人通过收买或交换公民个人信息的方式获取信息,如从社会闲散人员处购买身份证、银行卡、人脸识别等信息。
打击行业内鬼”
案例:两名热衷追星的粉丝”多次购买明星的航班轨迹等信息。航空公司的客服人员秦某与李某,利用查询航班信息的工作便利,非法获取公民个人信息后向上述两位粉丝”出售。
北京朝阳法院审理认为,秦某和李某出售公民个人信息数千条,情节特别严重,两人都构成侵犯公民个人信息罪。法院判处他们各自3年有期徒刑,并处罚金4万元,禁止秦某和李某在3年内从事航空客服代表类职业。法院责令秦某和李某支付公共利益损害赔偿款,没收他们的违法所得并上缴国库,并要求他们公开赔礼道歉。两名粉丝”也因侵犯公民个人信息罪被分别判处不同刑罚。
据了解,本案中秦某和李某出售的公民个人信息主要包括舱单信息、历史飞行记录以及居民身份证号和护照号等。秦某是将在履行职责或提供服务过程中获得的公民个人信息出售给他人,依法将受到重罚。秦某和李某利用自己现有或曾经的工作便利,违背职业要求专门实施犯罪行为,对他们宣告职业禁止,以保证合法合规。
放眼整个犯罪链条,泄露个人信息的内部人员是侵犯公民隐私的主要源头。”孙玲玲表示,实践中,那些掌握大量公民个人信息的公司、企事业单位的工作人员,可能通过直接接触个人信息的工作便利非法查询、下载;或者利用职务或工作关系请托他人帮助查询、传输;或者将爬取数据的软件、程序植入本单位的计算机后台系统,都可以非法获取公民个人信息。只要个人信息进入黑市”,就有可能被大量地重复交易。
为了锁定行业内泄露的源头,严惩行业的内鬼”,自2020年以来,全国公安机关已抓获了涉案人员超过2300名,这些人员涉及电信运营商、医院、保险公司、房地产、物业、快递公司等行业。
近年来,民航业的内鬼”频繁侵犯公民个人信息。在秦某案件中,考虑到民航业存在的监管问题,朝阳法院刑事审判庭向监管单位中国民用航空局以及涉案公司东方航空公司发送了司法建议,督促监管部门履行监管责任,航空公司加强常态巡检,提高个人信息保护水平。这两个部门对司法建议做出了积极回应。
全链条惩治上下游犯罪
案例:胡某以某科技公司的名义批量申请手机号码,通过雇佣他人作为经办人,用提供的他人身份证件办理业务,而运营商的工作人员任某、鲁某明知这些手机号涉嫌诈骗,仍然办理。经查,这些手机号用于电信网络诈骗,涉案金额约有170余万元。胡某非法获取领取工号和密码,并用于办理大量手机号码,用于电信网络诈骗。
法院判决胡某犯有侵犯公民个人信息罪和帮助信息网络犯罪活动罪,判处有期徒刑4年,并处罚金12万元。张某犯侵犯公民个人信息罪,判处有期徒刑2年,并处罚金2万元。任某、鲁某犯帮助信息网络犯罪活动罪,分别判处有期徒刑1年,并处罚金1万元。
电信网络诈骗是最常见的侵犯公民个人信息行为的下游犯罪。北京高院刑一庭庭长肖江峰表示,本案中,被告人共同实施了多次内外勾结、上下游合作的侵犯公民个人信息和帮助电信网络诈骗的行为,造成了大量被害人财产损失。法院根据法律从严惩处本案,体现了人民法院对电信网络诈骗犯罪上游信息采集、提供、倒卖等环节犯罪行为的全链条打击。
据介绍,北京法院审理的侵犯个人信息犯罪案件涉及众多行业,包括金融、教育、交通、通信、物流、法律等。排除买卖、交换等中间环节,39.6%的涉案信息被用于违法甚至犯罪活动,例如违规提取公积金、办理信用卡、同行不正当竞争、代收代写学术论文、暴力催收讨债、发送招嫖信息、电信网络诈骗、盗窃存款、敲诈勒索、绑架、故意伤害等。还有一些案件由所谓的私家侦探”通过跟踪拍摄、关系查询等手段针对特定个人进行定向侦查,调查个人信息。
根据公安部网络安全保卫局政委孙劲峰的表示,目前侵犯公民个人信息已经成为大量网络违法犯罪的起始点。这些非法获取信息的行为主要有两种用途。一方面,它们为网络水军、网络洗钱等犯罪活动提供了银行卡、虚拟身份等支持材料;它们为电信网络诈骗、敲诈勒索等犯罪活动提供了精确的目标。公安机关正在开展全链条的打击,从源头上追溯,从买家下手,同时进行一案双查”,严厉监管互联网企业平台,坚决遏制侵犯公民个人信息的犯罪蔓延趋势。例如,在快递信息泄露引发的电信网络诈骗问题上,公安部与中央网信办、国家邮政局开展了邮政快递领域个人信息泄露治理专项行动,总计侦破窃取和贩卖快递信息的案件有206起。
为了打击和整治侵犯公民个人信息违法犯罪,需要全民参与、社会共同治理。公众需要提高个人信息保护意识,防止犯罪分子利用漏洞。相关企业需要增强责任意识,落实安全保护措施,规范信息的收集和使用范围。相关从业者需要树立法律意识和敬畏意识,不得违规收集和倒卖公民个人信息。
公民个人信息保护的立法历程如下:
- 2009年,《刑法修正案(七)》增设了关于出售、非法提供公民个人信息罪和非法获取公民个人信息罪的规定。
- 2015年,《刑法修正案(九)》将该条款修订为有关侵犯公民个人信息罪,重罚在履行职责或提供服务过程中获取公民个人信息的行为。
- 2016年,网络安全法出台,规定了网络运营者收集、使用个人信息的规则。
- 2020年,民法典出台,进一步明确了个人信息的定义和范围。
- 2021年,个人信息保护法出台,进一步完善了公民个人信息保护的体系。
公安机关提醒大家:
- 广大群众要积极保护个人信息,不要乱丢弃,要妥善保管和处置个人信息的载体,例如文件、快递单、外卖单等。
- 不要乱提供个人信息,在互联网平台上不要随意公开发布个人信息,特别是个人身份证号、电话号码、住址、银行卡号等敏感信息。
- 不要随意点击和下载来历不明的网址链接、二维码、免费Wi-Fi热点等,不要随意点击App手机软件获取设备权限的同意”按钮。在电脑和手机上安装防护软件,及时更新升级,防止恶意软件窃取个人信息。
- 网络运营者要合法合规地获取个人信息,遵循合法、合理和必要的原则,明确告知收集和使用信息的目的、方式和范围,并获得被收集者的同意。依法履行网络安全等级保护制度,采取必要的管理和技术保护措施,集中统一存储并防止信息泄露、毁损和丢失。认真履行数据安全主体责任,对数据进行分级分类管理,不得泄露、出售或非法提供公民个人信息。
该信息摘自《光明日报》(2023年09月09日 05版)。
