2020年4月,公安部公布了2019年以来公安机关侦破的10起侵犯公民个人信息违法犯罪典型案件,犯罪行为涉及买卖个人信息、大范围传播个人信息等类型。这十个典型案件分别为江苏南通公安机关侦破“20191023”“暗网”侵犯公民个人信息案、江苏南京公安机关侦破“4•2”“暗网”侵犯公民个人信息案、湖北武汉公安机关侦破吴某“暗网”侵犯公民个人信息案、北京公安机关侦破高某“暗网”侵犯公民个人信息案、江苏徐州公安机关侦破“12•21”侵犯公民个人信息案、河南开封公安机关侦破赵某等人侵犯公民个人信息案、山东济南公安机关侦破徐某等人公民个人信息被侵犯案、江苏连云港公安机关侦破梅某等人侵犯公民个人信息案、贵州安顺公安机关查处杨某侵犯涉疫情公民个人信息违法案件、贵州黔东南州公安机关查处王某侵犯涉疫情公民个人信息违法案件。

典型案件的特征和趋势

综合来看,这十起典型案例呈现以下特征和趋势:

1、“暗网”成为买卖个人信息的主要渠道

“暗网”是指那些存储在网络数据库里、但不能通过超链接访问而需要通过动态网页技术访问的资源集合,不属于那些可以被标准搜索引擎索引的表面网络。暗网因其与生俱来的隐匿特性,成为被不法分子广泛运用于网络犯罪的主要工具,买卖个人信息等不法行为充斥其中。近年来,不法分子利用“暗网”实施违法犯罪活动的情况日益增多。腾讯在2018年发布的《信息泄露:2018企业信息安全头号威胁报告》中显示,从2018年暗网数据交易的情况(抽样数据)来看,帐号/邮箱类数据、个人信息、网购/物流数据位列前三,分别为19.78%、12.19%、9.69%,成为作恶团伙最为欢迎的“商品”。其中,在暗网“数据-情报类”板块中,一交易帖号称贩卖包含16亿邮箱+密码数据,涵盖国内各大互联网所有平台。此次公安部发布的十起典型案件中有四起涉及到通过暗网进行个人信息交易的犯罪行为,可见暗网成为买卖个人信息违法犯罪的主要途径之一。

2、接触个人信息的内部人员是侵犯个人信息权益的主要主体之一

现实生活中,一些掌握公民个人信息的内部工作人员泄露公民个人信息的案件也是时有发生,新的司法解释对“内鬼”作案加大了惩治力度。我国《刑法》规定,对于出售、非法提供公民个人信息罪和非法获取公民个人信息罪的处罚,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。2017年,最高人民法院与最高人民检察院,在公安部等有关部门的大力支持下,经深入调查研究、广泛征求意见、反复论证完善,发布了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下称“解释”),对“情节严重”的认定标准作了明确规定,第五条规定“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人”的,认定“情节严重”的数量、数额标准减半计算。从公安系统的犯罪打击情况来看,目前造成危害最大之一的主要是银行、教育、工商、电信、快递、证券、电商各个行业的人员,内部人员把数据泄露出来,成为侵犯公民个人信息的主体。在公安系统侦破的很多公民个人信息买卖案件中,都可以看到内部人泄露数据的情形。从治理犯罪来说,打击源头是最重要的工作。公安部公布的十起典型案例中,共有八起是内部人员依靠工作便利获得个人信息进行买卖而发生的。对于这类人员的犯罪行为,《刑法修正案(九)》明确规定要进行从重处罚,并增加规定“情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。

3、黑客利用系统漏洞窃取个人信息也导致个人信息泄露

利用系统漏洞侵犯个人信息是指应用软件或操作系统软件在逻辑设计上的缺陷或错误被不法者利用,通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。系统出现漏洞容易被黑客利用,不仅破坏硬件、软件系统,而且对个人信息和其他数据的安全造成很大的侵害。随着云计算技术、工业互联网技术的快速发展,大量数据被存储在云上,在互联网上进行流动。系统漏洞如果被不法分子利用,负面影响将被放大。我国《网络安全法》对这一违法行为进行了明确禁止,第二十七条规定“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。”对于这一行为,《网络安全法》中也规定了没收违法所得、拘留、罚款等各种形式的处罚。

4、金融、电信等重点领域的个人信息成为被侵害的主要对象

金融、电信等重点领域的个人信息对于个人关乎重要,涉及到个人的财产、通信、行为轨迹等各方面的隐私信息,一旦泄露不仅对个人产生精神、物质上的巨大损害,而且对企业的整体运营带来危害,对整个社会的信用体系带来负面影响。金融、电信等重点行业领域均出台过个人信息保护立法和规则,这些领域的企业对于个人信息的保护义务普遍高于其他行业也是出于上述原因。我国立法中也将金融、电信等在内的行业领域作为重点监管对象,《网络安全法》第三十一条明确规定“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”《居民身份证法》第十九条规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,构成犯罪的,依法追究刑事责任……”公安部公布的十起案例中共有五起涉及到金融和电信领域的个人信息泄露,这些领域的个人和企业更应当对个人信息保护问题引起足够重视。

相关问题

从公安部公布的个人信息典型案件来看,我国在个人信息保护问题上仍然存在很多问题。

一是发现违法犯罪行为的技术手段有待提高。根据公安部的统计,利用暗网是从事侵害个人信息保护违法犯罪行为的一大途径。但是目前对暗网的发现和进入存在很大的技术障碍,只有继续不断提高相应的技术能力才能对此类及其他类别高技术的犯罪行为进行发现和侦破。

二是对于企业的安全漏洞问题执法不足。针对通过系统漏洞获取个人信息的违法行为,处罚不法行为分子十分重要。但是对于企业无法提供足够的个人信息保障措施,我国相关部门的执法力度还存在不足的问题,这也是保障个人信息安全的一大防线。从欧盟《通用数据保护条例》出台之后,欧盟及其成员国对企业的执法很大一部分是由于企业的个人数据安全保障措施不够引发的。

三是企业内部的个人信息保护制度有待完善。内部人员违法获取个人信息已经成为个人信息遭受侵害的主要途径之一,这说明企业内部的个人信息保护机制存在突出问题,企业应当在人员获取数据、密码保护、审批流程等方面进行完善。

相关建议

在今后的个人信息保护中,我国应当提高响应的技术、执法能力,同时要督促企业完善自身的内部制度,实现内防外惩的统一。

一是要不断提高发现、追踪、制止侵害个人信息违法犯罪行为的技术能力。在信息技术时代,对于互联网犯罪的惩处有赖于执法、侦查技术水平的提高,我国相关执法部门应当注重执法技术能力的提升和技术手段的完善。一方面要坚持对工作人员进行技术培训,提高相关人员的技术能力;另一方面要及时对相关硬件设施进行更新和使用,实现硬件设施的最大和最优化利用。

二是通过事前、事中、事后机制对企业的个人信息安全保障措施进行监督。相关机构应加强日常监督检查,督促、警示企业不断完善其数据保障措施,对于重点、大型企业应当要求其定期上报数据保障措施的实施和更新情况,以提前发现问题、解决问题;关注个人数据保护的相关投诉,重点解决用户关注的焦点问题。同时,以相关立法规定的各项保障措施为标准评估违法主体行为的严重程度,通过不同处罚手段对其进行惩治。

三是企业应完善内部个人信息保护机制。企业应定期开展合规性检查,在系统安全方面采取更多、有效的保护措施;形成相对完善的数据管理制度,针对不同种类的数据采取与风险相对应的防护措施,严格控制数据的访问权限;与监管机构保持良好密切的沟通,掌握合规要求的变化,并及时做出制度和措施调整。

作者简介:刘耀华,中国信息通信研究院互联网法律研究中心研究员

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。