11月1日,《中華人民共和國個人信息保護法》(下稱“個保法”)正式實施。事實上,在這部專門性法律出臺前,已有不少個人信息保護條款散見于諸多法律之中,多地法院也已有過大量司法實踐。
值此重大節點,南都·隱私護衛隊以“侵犯公民個人信息”、“買賣公民個人信息”等關鍵詞,在裁判文書網上獲取了8602份判決書,以此觀察2016年至今,相關案件的數量分布、涉案信息量、涉案金額和量刑趨勢等。
分析結果顯示,相關文書數量在2019年達到頂峰,其中超半數個人信息從行業內部工作人員處泄露。在這些“內鬼”中,有四分之一出自公安系統。此外,泄露的個人信息類型極廣,從新生兒信息、股民信息到開房記錄,無所不包。
文 / 胡耕碩
11月1日,《中華人民共和國個人信息保護法》(下稱“個保法”)正式實施。事實上,在這部專門性法律出臺前,已有不少個人信息保護條款散見于諸多法律之中,多地法院也已有過大量司法實踐。
值此重大節點,南都·隱私護衛隊以“侵犯公民個人信息”、“買賣公民個人信息”等關鍵詞,在裁判文書網上獲取了8602份判決書,以此觀察2016年至今,相關案件的數量分布、涉案信息量、涉案金額和量刑趨勢等。
分析結果顯示,相關文書數量在2019年達到頂峰,其中超半數個人信息從行業內部工作人員處泄露。在這些“內鬼”中,有四分之一出自公安系統。此外,泄露的個人信息類型極廣,從新生兒信息、股民信息到開房記錄,無所不包。
姓名和電話最常泄露,主要被用于販賣牟利
根據個保法,個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,而此前的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(下稱《兩高司法解釋》)則對公民個人信息做出了更詳細的定義,其中包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。
八千余份文書中,最常見的涉案個人信息是姓名和聯系電話——它們出現在了半數的案件中。緊隨其后的是身份證信息、居住地址和車輛信息。其中值得注意的是,在泄露的車輛信息中,有31.08%是從公安系統中泄露出去的。而20.79%的居住地址則主要從房地產公司和快遞公司泄露。
此外,部分涉案數據針對特殊群體,如新生兒和股民。此類數據往往直接從相關從業者手中流出,買家購買數據的主要訴求通常是有針對性的推銷或是詐騙。
以文書(2017)滬01刑終525號為例,2014至2016年,就職于上海疾控中心的韓某利用其工作便利,進入他人賬戶竊取全市新生嬰兒信息,每半個月向其下家張某發送約5000條信息。張某獲取信息后,又轉賣給專做嬰幼兒保健品生意的范某。直至案發,韓某、張某、范某累計非法獲取新生嬰兒信息共計20余萬條。
在上述案件中,信息的泄露、買賣屬于產業鏈的上游。事實上,隨之而來的推銷、詐騙等犯罪對普通人的影響更大。
在南都·隱私護衛隊分析的8602份文書中,有6949份提到了被告在獲得數據后的用途。而在一份文書中,可能出現多個被告,因此數據可能會有多種用途。其中,大部分被告選擇直接販賣數據販賣牟利,占比79.77%。此外,34.36%被用于推廣,10.48%則和詐騙相關。
除了對人們生活和財產的侵犯外,個人信息的泄露甚至會對人身安全造成威脅。
以文書(2017)浙02刑初49號為例,2017年,況某出于報復心理,花2000元向詹某購買其前女友趙某的暫住地信息。此后,況某攜尖刀至趙某的暫住房外守候,在趙某返回時即用尖刀刺破其心臟、主動脈數刀后逃離現場,趙某當場死亡。
這樣的例子雖然極端,但能夠說明個人信息泄露對信息主體帶來的威脅——報復類案件在所有文書中只出現了8次,占比僅0.1%,但對每一個受害者來說,卻可能是一生揮之不去的陰影。
“內鬼”販賣個人信息最多 1/4來自公安機關
那么,都是誰在販賣公民個人信息呢?數據顯示,行業內部人員——也就是俗稱的“內鬼”——占了大多數。
2017年,公安部網絡技術研發中心主任許劍卓曾表示,行業內部人員已經成為侵犯公民個人信息犯罪的重要主體。他指出,從治理犯罪來說,打擊源頭是最重要的工作。而在2018-2020的“凈網行動”中,公安機關抓獲侵犯公民信息的行業“內鬼”3000余名,在“凈網2021”專項行動中則抓獲行業“內鬼”500余名。
值得注意的是,在南都·隱私護衛隊獲取的八千余份文書中,近四分之一的“內鬼”來自公安機關內部。一般而言,公安內部人員能接觸到的敏感個人信息更多,諸如家庭住址、車輛、行蹤軌跡、開房記錄、犯罪記錄等等。數據顯示,大部分“內鬼”從屬于基層派出所和交警大隊,這其中又以輔警和協警居多——雖然這些“編外人員”權限較低,但他們仍可以通過盜用正式干警的數字證書,或以用他們的賬號密碼登陸公安內網等方式獲取數據。此外,也有文書表明,有些干警是自己把數字證書權限交予“內鬼”的。
此外,涉及“內鬼”的信息往往和其對應的“專業領域”有著強關聯。房地產工作人員主要販賣的是業主、小區信息,銀行從業人員則“主營”股民、貸款和賬戶信息。而不同專業領域又導向了不同的犯罪類型——從電信公司工作人員手中流出去的數據常被用于電信詐騙和推廣,從各個渠道中流出的貸款相關數據則和網絡放貸業務有關聯。
除“內鬼”外,通過購買、交換等方式獲取公民個人信息的案件也不在少數,這說明公民個人信息的買賣市場仍然不容小覷,一條數據可能經手多人,被“多次利用”。其中,不少案例中的被告假借“信息咨詢公司”之名從事個人信息買賣犯罪。跟蹤、偷拍的數據雖相對較少,但多為針對特定個人、達成特定目的做出的犯罪,實際威脅性也非常大。
刑期多為一至三年,罰金多在三萬以下
在大部分侵犯公民信息的案件中,一大特點就是可以以較低的金額,買到大量的公民信息。除了一些獲取成本較高(如跟蹤、偷拍)的數據和需要特殊權限才可獲取的數據(如個人征信數據、精準股民數據)外,許多涉案數據的量級都是萬條起跳,最多的可達上億條。與之相對,大部分公民個人信息單條價格可能只有幾毛,甚至幾分錢。
從南都·隱私護衛隊整理的數據中可以看出,大部分案件的罰金集中在三萬元以下,刑期則集中在一到三年之間。
為了得到更清晰的涉案金額、條數及判罰之間的關系,南都·隱私護衛隊隨機選取一百條文書數據做了進一步分析。
基于《兩高司法解釋》對于涉案金額、涉案條數和量刑標準的定義,根據信息類型不同,非法獲取、出售或者提供公民個人信息“五百條以上”“五千條以上”“五萬條以上”,或者違法所得五萬元以上的,即屬“情節特別嚴重”,應被判處三年以上七年以下有期徒刑。
在這一百條數據中,37.5%的涉案個人信息條數超過5萬條,36.23%的涉案金額超出5萬元,46%被定義為“情節特別嚴重”。但仍有19.56%的案件量刑在三年以下。此外,在一百條數據中,有41條文書中的被告被判處緩刑,59條文書中被告超過一人,屬于群體作案。
不過,隨著立法不斷完善、執法力度逐漸加強,全國侵犯個人信息相關的文書數量在2016年至2019年間大幅增加,在2019年達到頂峰。據不完全統計,2019年相關文書數量為1865條。此后兩年,數量又有所下降。
從地區上看,長三角和珠三角是相關文書數量最多的地區。其中,江蘇省的文書數量最多,達到1595份。此外,河南、福建、四川、重慶、湖北、安徽和山東的相關文書數量也在200到500份之間。而新疆、內蒙古、甘肅、青海、寧夏和西藏等地的文書數量不到15份。
防止“數字石油”引發“白色污染”
信息時代,智能產品和互聯網忠實地記錄下我們的數字足跡,催生了海量的數據。在生活中,大到每個人的檔案背景,小到在短視頻網站的點贊,都被上傳到了觸手可及的網絡云端,并推動著互聯網經濟快速發展。《經濟學人》稱,數據已經成為了數字時代的石油,是當今世界最有價值的資源。
然而,個體往往無從得知自己的個人信息正在被如何傳播、販賣。在這個層面上,數據或許更像是數字時代的塑料——在短期的使用上更為便利,但如果沒有合理的監管,未免不會引發數字世界中的“白色污染”。
11月1日,個保法正式實施,我國個人信息保護迎來專門立法。個保法明確,個人信息處理者應當防止未經授權的訪問以及個人信息泄露、篡改、丟失,對個人信息采取相應的加密、去標識化等安全技術措施,并合理確定個人信息處理的操作權限。還規定當信息處理目的已實現、無法實現或者為實現處理目的不再必要、個人信息處理者停止提供產品或者服務,或者保存期限已屆滿或個人撤回同意時,個人有權請求信息處理者刪除相關信息。
我們希望個保法的實施能遏止“內鬼”橫生、信息被恣意買賣的現象,而這也是防止“數字石油”變成“數字白色污染”的關鍵一環——畢竟,在現實世界中,白色污染的源頭,也是未經治理的石油。
