今日起,《中华人民共和国个人信息保护法》(下称“个保法”)正式实施。事实上,在这部专门性法律出台前,已有不少个人信息保护条款散见于诸多法律之中,多地法院也已有过大量司法实践。
值此重大节点,南都记者以“侵犯公民个人信息”、“买卖公民个人信息”等关键词,在裁判文书网上获取了8602份判决书,以此观察2016年至今,相关案件的数量分布、涉案信息量、涉案金额和量刑趋势等。
分析结果显示,相关文书数量在2019年达到顶峰,其中超半数个人信息从行业内部工作人员处泄露。在这些“内鬼”中,有四分之一出自公安系统。此外,泄露的个人信息类型极广,从新生儿信息、股民信息到开房记录,无所不包。
姓名和电话最常泄露 主要被用于贩卖牟利
根据个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,而此前的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《两高司法解释》)则对公民个人信息做出了更详细的定义,其中包括姓名、身份证件号码、通信联系方式、住址、账号密码、财产状况、行踪轨迹等。
8000多份文书中,最常见的涉案个人信息是姓名和联系电话——它们出现在了半数的案件中。紧随其后的是身份证信息、居住地址和车辆信息。其中值得注意的是,在泄露的车辆信息中,有31.08%是从公安系统中泄露出去的。而20.79%的居住地址则主要从房地产公司和快递公司泄露。
此外,部分涉案数据针对特殊群体,如新生儿和股民。此类数据往往直接从相关从业者手中流出,买家购买数据的主要诉求通常是有针对性地推销或诈骗。
以文书(2017)沪01刑终525号为例,2014至2016年,就职于上海疾控中心的韩某利用其工作便利,进入他人账户窃取全市新生婴儿信息,每半个月向其下家张某发送约5000条信息。张某获取信息后,又转卖给专做婴幼儿保健品生意的范某。直至案发,韩某、张某、范某累计非法获取新生婴儿信息共计20余万条。
在上述案件中,信息的泄露、买卖属于产业链的上游。事实上,随之而来的推销、诈骗等对普通人的影响更大。
在南都记者分析的8602份文书中,有6949份提到了被告人在获得数据后的用途。而在一份文书中,可能出现多个被告人,因此数据可能会有多种用途。其中,大部分被告人选择直接贩卖数据牟利,占79.77%。此外,34.36%被用于推广,10.48%则和诈骗相关。
除了对人们生活和财产的侵犯外,个人信息的泄露甚至会对人身安全造成威胁。
以文书(2017)浙02刑初49号为例,2017年,况某出于报复心理,花2000元向詹某购买其前女友赵某的暂住地信息。此后,况某携尖刀至赵某的暂住房外守候,在赵某返回时用尖刀刺破其心脏、主动脉数刀后逃离现场,赵某当场死亡。
这样的例子虽然极端,但能够说明个人信息泄露对信息主体带来的威胁——报复类案件在所有文书中只出现了8次,占比仅为0.1%,但对每一个受害者来说,却可能是一生挥之不去的阴影。
“内鬼”贩卖个人信息最多 1/4来自公安机关内部
那么,都是谁在贩卖公民个人信息呢?数据显示,行业内部人员——也就是俗称的“内鬼”占了大多数。
2017年,公安部网络技术研发中心主任许剑卓曾表示,行业内部人员已经成为侵犯公民个人信息犯罪的重要主体。他指出,从治理犯罪来说,打击源头是最重要的工作。而在2018-2020年的“净网行动”中,公安机关抓获侵犯公民信息的行业“内鬼”3000余名,在“净网2021”专项行动中则抓获行业“内鬼”500余名。
值得注意的是,在南都记者获取的8000余份文书中,近四分之一的“内鬼”来自公安机关内部。一般而言,公安内部人员能接触到的敏感个人信息更多,诸如家庭住址、车辆、行踪轨迹、开房记录、犯罪记录等。数据显示,大部分“内鬼”从属于基层派出所和交警大队,这其中又以辅警和协警居多——虽然这些“编外人员”权限较低,但他们仍可以通过盗用正式干警的数字证书,或以用他们的账号密码登录公安内网等方式获取数据。此外,也有文书表明,有些干警是自己把数字证书权限交予“内鬼”的。
此外,涉及“内鬼”的信息往往和其对应的“专业领域”有着强关联。房地产工作人员主要贩卖的是业主、小区信息,银行从业人员则“主营”股民、贷款和账户信息。而不同专业领域又导向了不同的犯罪类型——从电信公司工作人员手中流出去的数据常被用于电信诈骗和推广,从各个渠道中流出的贷款相关数据则和网络放贷业务有关联。
除“内鬼”外,通过购买、交换等方式获取公民个人信息的案件也不在少数,这说明公民个人信息的买卖市场仍然不容小觑,一条数据可能经手多人,被“多次利用”。其中,不少案例中的被告人假借“信息咨询公司”之名从事个人信息买卖犯罪。跟踪、偷拍的数据虽相对较少,但多为针对特定个人、达成特定目的做出的犯罪,实际威胁性也非常大。
刑期多为一至三年 罚金多在三万以下
在大部分侵犯公民信息的案件中,一大特点就是可以以较低的金额,买到大量的公民信息。除了一些获取成本较高(如跟踪、偷拍)的数据和需要特殊权限才可获取的数据(如个人征信数据、精准股民数据)外,许多涉案数据的量级都是万条起跳,最多的可达上亿条。与之相对,大部分公民个人信息单条价格可能只有几毛,甚至几分钱。
从南都记者整理的数据中可以看出,大部分案件的罚金集中在三万元以下,刑期则集中在一到三年之间。
为了得到更清晰的涉案金额、条数及判罚之间的关系,南都记者随机选取100份文书数据做了进一步分析。
基于《两高司法解释》对于涉案金额、涉案条数和量刑标准的定义,根据信息类型不同,非法获取、出售或者提供公民个人信息“五百条以上”“五千条以上”“五万条以上”,或者违法所得五万元以上的,即属“情节特别严重”,应被判处三年以上七年以下有期徒刑。
在这100份数据中,37.5%的涉案个人信息条数超过5万条,36.23%的涉案金额超出5万元,46%被定义为“情节特别严重”。但仍有19.56%的案件量刑在三年以下。此外,在100份数据中,有41份文书中的被告人被判处缓刑,59份文书中被告人超过一人,属于群体作案。不过,随着立法不断完善、执法力度逐渐加强,全国侵犯个人信息相关的文书数量在2016年至2019年间大幅增加,在2019年达到顶峰。据不完全统计,2019年相关文书数量为1865份。此后两年,数量又有所下降。
数据已成为数字时代的“石油” 应防止引发“白色污染”
信息时代,智能产品和互联网忠实地记录下我们的数字足迹,催生了海量数据。在生活中,大到每个人的档案背景,小到在短视频网站的点赞,都被上传到了触手可及的网络云端,并推动着互联网经济快速发展。《经济学人》称,数据已经成为了数字时代的石油,是当今世界最有价值的资源。
然而,个体往往无从得知自己的个人信息正在被如何传播、贩卖。在这个层面上,数据或许更像是数字时代的塑料——在短期的使用上更为便利,但如果没有合理的监管,极易引发数字世界中的“白色污染”。
11月1日,个保法正式实施,我国个人信息保护迎来专门立法。个保法明确,个人信息处理者应当防止未经授权的访问以及个人信息泄露、篡改、丢失,对个人信息采取相应的加密、去标识化等安全技术措施,并合理确定个人信息处理的操作权限。还规定当信息处理目的已实现、无法实现或者为实现处理目的不再必要、个人信息处理者停止提供产品或者服务,或者保存期限已届满或个人撤回同意时,个人有权请求信息处理者删除相关信息。
我们希望个保法的实施能遏制“内鬼”横生、信息被恣意买卖的现象,而这也是防止“数字石油”变成“数字白色污染”的关键一环——毕竟,在现实世界中,白色污染的源头,也是未经治理的石油。