随着互联网的高速发展和信息化建设不断推进,信息资源成为重要的生产要素和社会财富。而其中个人信息的价值日渐凸显,成为数字经济的主要元素之一。随之而来,个人信息泄露问题日益突出,垃圾短信、骚扰电话层出不穷,个人信息安全与保护引发全社会高度关注。
2009年,《刑法修正案(七)》增设第二百五十三条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。2015年,《刑法修正案(九)》将该条修订为侵犯公民个人信息罪。2016年,《网络安全法》制定了网络运营者收集、使用个人信息的规则。2020年,《民法典》进一步明确个人信息的定义和处理原则。2021年,《个人信息保护法》实施,完善了公民个人信息保护体系。
自侵犯公民个人信息的行为入刑以来,北京法院准确认定事实、正确适用法律,依法妥善审结了众多犯罪情节严重、社会影响恶劣的刑事案件。在案件办理过程中,“治理”如何与“治罪”并重的课题也成为法院能动司法的落脚点。北京高院通过对近5年来全市法院审结的侵犯公民个人信息罪案件进行调研统计和实证分析,形成《侵犯公民个人信息犯罪审判白皮书》,以期为社会、行业综合治理提供司法智慧。
一、侵犯公民个人信息犯罪成因分析
个人信息背后蕴藏着丰富的信息资源与经济价值,当今社会对个人信息的收集、分析、使用已经渗透到了公民日常工作、生活的方方面面,从而也增加了信息泄露的风险。加之部分公民意识不到个人信息的重要性,自我保护及防范意识较弱,因一时贪念随意点击不明链接、下载不明软件,导致个人信息被窃取。除上述原因外,从北京法院审结的侵犯 公民个人信息罪案件情况来看,此类犯罪的成因还有以下三个方面:
1. 行业“内鬼”屡屡犯案,团队化作案模式愈加成熟。
虽然买卖和交换仍是非法获取公民个人信息的主要手段,但放眼整个犯罪链条,这仅是信息流转的中间环节,内部人员泄露信息是侵犯公民个人信息罪的主要源头。依法掌握大量公民个人信息的行业内部工作人员,或是通过自己可以直接接触个人信息的工作便利非法查询、下载;或是间接利用自己的职务权限或工作关系请托他人帮助查询、传输;或是直接将爬取数据的软件、程序植入本单位的计算机后台系统。只要个人信息流入“黑市”,就可以被大量的重复交易。
近年来,侵犯公民个人信息的犯罪活动分工逐步精细化、专业化。一些“内外勾结”型犯罪甚至可以组建起从获取、交易直至变现、利用个人信息的稳定犯罪团伙或黑灰产业链。 同时,单位犯罪在侵犯公民个人信息犯罪中愈发常见,实现了自上而下的从决策到分管再到具体实施的条线管理与分工。相比于个人,单位往往拥有更强大的技术条件、人力资源及财力支持,可以在短时间内获取大量公民个人信息,危害性也更强。
2. 外部监督监管体系缺乏对个人信息滥用及流失的制约。
当前,个人信息“告知-同意”的处理规则已基本普及,但超范围收集、使用等方面的问题仍较为突出,需要外部环境加以约束。“我同意以下条款”“我接受以下事项”等术语的背后是专业、复杂的隐私政策,对信息主体而言,更像是信息收集者的一份免责声明。且信息收集者往往采用的是信息主体“不同意”“不接受”就不能享受全部服务的运营模式,在能力不对等的情况下,信息主体即使仔细阅读了隐私政策,也难以避免为一时便利而让渡个人信息决策与控制权的情况。
近几年,公民维权意识有所提高,但面对格式条款、“一揽子”使用协议或已然遭受信息泄露时的救济途径、方式有限,很难在短时间内获得快捷、有效的帮助和解决。司法实践中大多数涉及个人信息保护的案件规模大、侵害小,提起个人诉讼的成本大、收益小,大部分受害者事后选择沉默甚至习以为常。
同时,行政监管体系注重信息流失后的结果追究,一定程度上忽略了信息采集、使用中的过程监督和综合治理。现有“网信部门统筹协调+其他政府部门在职责范围内履行职责”的行政监管结构,尚未明确其他具体部门以及职责分工,增加了监管过程中的组织协调成本,易形成漏管的灰色地带。
监管的同时,行政机关提供公共服务、参与综合治理也同样重要。特别是对于一些规模较小、知名度低,经营方式多依赖电话、短信等点对点推销的中小企业而言,只有尽可能多的搜集、掌握个人信息方能扩大盈利,从而导致非法获取公民个人信息的情况频发。对此,需要行政手段进行管理和引导,确保此类企业依法合规运营。
3. 技术升级迭代极大提升信息获取的速度和体量。
随着 “木马”程序、“静默”插件、“爬虫”软件等高科技手段的广泛运用,任意、快速抓取信息数据进而滥用、泄露的情况已不鲜见,且有不少知名互联网企业多次成为被侵害对象。经统计,有 28.5% 的案件涉案公民个人信息来源于技术窃取。虽然此种方式不是侵犯公民个人信息的主要犯罪手段,但其获取信息的速度和体量确是其他犯罪手段无法比拟,因而不容忽视。
二、侵犯公民个人信息犯罪治理对策建议
在信息化时代快速发展的大背景下,大数据已成为基础性、战略性资源,只有得到充分地流动和共享,才能实现集聚与规模效应,最大程度地发挥价值。但是,在数据流通过程中如何保护公民个人信息的安全,也是必须面对的问题。
实际上,公民个人信息的保护与信息社会的发展和大数据的 建设并不矛盾,二者之间的平衡点就在于现行法律制度框架——强化个人信息处理单位的保管与保障责任,加强行业协 会、行政机关的监管责任,完善个人信息被侵害后的追责与赔偿机制,架构起分级分类的保护体系,建立覆盖民事、行政、刑事打击的一体化保护制度。质言之,坚持安全与发展并重,信息社会对大数据的应用必须建立在依法保护个人信 息的基础上,才能真正推动我国信息产业的发展。
1. 行业治理,把好个人信息保护第一道关口
(1) 建议用人单位规范个人信息处理人员及相关数据的日常管理。
- 一是在聘用负责个人信息处理的工作人员时,提高岗位选拔标准,注重对应聘者过往履历、道德品质和法律素养的考察,尤其要注意查询应聘者是否曾因侵犯公民个人信息接收过行政、刑事处罚。
- 二是加强对工作人员的职业 道德教育和法治警示教育,定期开展信息安全技术培训,不 断提高工作人员的保密意识和业务水平。
- 三是设计分层级的系统信息查阅权限和呈批制度,根据信息的类别和密级控制可查阅人员的级别及人数,规范工作人员处理个人信息的程序,加强对外包服务人员接触关键信息的管理。
- 四是建立严格的保密制度,及时检查、监督个人信息数据的保存、管理情况,严格控制移动存储介质的使用。将保密条款规定在用人合同当中,对于违规处理、泄露个人信息的人员,应在日常对其考核、奖惩时予以体现。
(2) 积极推动从业禁止条款在行业内部落地执行。
《刑法修正案(九)》增设从业禁止条款,旨在遏制利用职业便利或违背职业特定义务的不法分子再犯罪的可能性。公民个人信息的保护涉及各行各业,而在部分行业领域,该条款的适用目前仅能起到宣告作用,如何真正落地实施尚未有明确统一的法律规定。行业内部从业人员侵犯公民个人信息,不仅侵害他人的信息自主权,也为整个行业的发展环境带来了隐患,从业禁止条款通过防止行业“内鬼”再次利用熟悉的领域和手段进行犯罪,在部分行业尤其是敏感性强、公众依 赖度高的行业实现特殊预防很有必要。
2022 年,最高人民法院、最高人民检察院、教育部联合发布的《关于落实从业禁止制度的意见》(以下简称《意见》)开始在教师领域执行从业禁止条款。《意见》中规定,教职员工犯罪的刑事案件,判决生效后,人民法院应将裁判文书送达被告人单位所在地的教育行政部门;必要时,教育行政部门应当将裁判文书转送有关主管部门。人民法院发现有关单位未履行犯罪记录查 询制度、从业禁止制度的,应当向该单位提出建议。上述规定对司法实践及行业治理具有重要的指导和借鉴意义。
在行业内部建立禁业人员名单的备案、查询和举报制度,有利于从业禁止条款真正发挥实效。首先,针对金融、交通、房地产、通信等涉及公民敏感信息的重点行业,探索建立法院与行业主管部门间的联动机制,犯罪分子被禁业后,及时告知相关行业主管部门,建立禁业人员“黑名单”,供用人单位对拟录用人员进行入职查询。其次,若用人单位明知或者因疏于审查而录用了处于从业禁止执行期限的人员从事相关职业,行业主管部门应对该用人单位进行追责。最后,相关行业协会应配合行业主管部门对被禁业人员进行监督,如发现此类人员再次执业,应当通报行业主管部门,并立即向公安机关举报,由公安机关给予处罚。
2. 能动司法,严守个人信息保护最后一道防线
(1) 充分发挥刑事审判职能,依法惩治侵犯公民个人信息犯罪。
- 一是突出打击重点,加大打击力度。
依法从严从重惩处行业“内鬼”泄露公民个人信息的行为,重点打击侵害公民人身、财产安全相关信息、未成年人等特殊群体个人信息、批量个人信息的案件。聚焦重点行业对具有再犯可能 性的犯罪分子适用从业禁止条款,在判处刑罚的基础上进行补充,增加行业内部从业人员的犯罪成本,使预防与警示教育效果并重。依法审理涉侵犯公民个人信息的刑事附带民事 公益诉讼案件,通过平衡没收违法所得、刑事罚金刑与民事 赔偿责任的关系,综合发挥刑事、民事责任对侵犯公民个人信息犯罪的惩治作用。
- 二是加强全链条打击,斩断下游黑灰产业链。
电信网络诈骗犯罪是侵犯公民个人信息犯罪的典型下游犯罪,被称为“菜商”的侵犯公民个人信息的不法分子为电信网络诈骗犯罪提供了极大便利。借助“断卡”行动、打击“养老诈骗”等专项行动,加强对关联犯罪的纵深打击,从下游切断犯罪的利益链条,对侵犯公民个人信息的犯罪分子形成有力威慑。
- 三是坚持依法办案,加强审判规范化建设。
持续落实以审判为中心的刑事诉讼制度改革,扎实推进庭审实质化,通过严把证据关、规范量刑幅度、统一裁判尺度,避免同案不同判现象。同时,充分发挥首例、典型案例的示范作用,为控辩双方提供刑罚裁量的可视化指引,提高认罪认罚从宽制度的适用率。利用繁案精审、简案快审的繁简分流机制,提高审判质效。
(2) 积极延伸司法职能,深入参与社会治理。
- 一是加大普法宣传力度,强化个人信息保护意识。
严格落实谁执法谁普法责任制,更新普法内容、丰富宣传形式、扩大受众范围。持续开展京法巡回讲堂普法工作,依托“京法网事”新媒体平台,持续发布“京小槌普法”“京法案讯”等,通过典型案例向社会公众以案释法。持续提升庭审及裁判文书的司法公开水平,借助主流媒体报道庭审活动和裁判结果,将非法采集、利用公民个人信息的套路公之于众,提高公民自我保护和维权意识。针对个人信息泄露的风险行业及特殊群体开展“靶向”宣教,使普法活动进校园、进社区、进企业,提升全社会法治意识,营造全民保护的社会氛围。
- 二是积极研提司法建议,完善个人信息保护的制度机制。
针对侵犯公民个人信息犯罪个案中暴露出的行业管理漏洞,及时向用人单位及监管部门制发司法建议,并定期跟踪问效,帮助企事业单位建立、完善个人信息保护的规章制度,提示管理部门加强对从业人员的法治教育和追责力度,推动行业内部治理,从源头处减少个人信息泄露的风险,净化个人信息处理的社会环境。
3. 科技护航,搭建个人信息保护安全防火墙
(1) 建议机关团体及企事业单位将公民个人信息作为重要数据予以保护。
- 一是落实信息安全保障责任,普及防毒拦截软件、违规外联监控等安全技术和产品,保障信息采集后的存储环境,以个人信息去识别化为技术方向,对保存的敏感信息进行脱敏处理。
- 二是规范信息处理流程,对存有个人信息的系统网络终端进行 IP 地址、MAC 地址登记,实行实名制网络管理,通过身份认证配合信息系统进行业务权限登录,并建立后台个人信息访问、操作留痕、追踪机制。
- 三是加强安全防护建设,以“防攻击、防篡改、防窃密”为重点加强主动防御,通过开展攻防演习、应急演练发现并整改安全隐患,修补系统漏洞,降低“木马”病毒、“爬虫”软件入侵风险,加大对黑客技术的防范。
- 四是建立技术巡查与预警机制,通过后台全时监测、定期扫描系统等手段及时发现网络攻击、爬取行为或异常数据并予以处置,为维护信息安全提供技术支持。
(2) 以技术对技术,以技术管技术,防范“换脸”“换声”等犯罪新手段。
当前,犯罪分子利用 AI “换脸”、通过声音合成技术实施诈骗等违法犯罪活动的苗头已开始显现。此类犯罪通常需要使用大量公民个人信息,且系人脸、声音等生物识别信息,易嵌入公众日常生活,关联个人敏感数据,次生出侵害公民个人信息犯罪等获取作案“原料”的上游犯罪。
对此,建议政府有关部门保障、联合各科研院所、国家重点实验室等研究机构进行 AI 反诈技术研究,开展“卡脖子” 技术攻关,及时发现和防范违法犯罪行为。加强对人脸识别等活体检测验证应用的监管与审查,针对即时通讯、网络直播、网络社交、电商平台、金融支付等重点 APP 开展技术安全测评,及时发现风险隐患,通报运营主体升级安全保护措施和人脸识别算法。加强如“国家反诈 App”等防诈骗软件的研发,提供网络诈骗短信、电话、链接等信息的拦截和提示功能。
