8月23日,北京高院召开北京法院侵犯公民个人信息犯罪案件审判情况新闻通报会。会上介绍,2018年以来,北京全市各级法院共审结侵犯公民个人信息犯罪案件219件,判处犯罪分子294人,所有已结案件中24.6%的案件涉及高度敏感信息,且五成案件的被告人有较为固定的工作单位或职业。
虽然买卖和交换仍是侵犯公民个人信息犯罪的主要手段,但内部人员泄露信息是侵犯公民个人信息犯罪的主要源头,为个人信息保护带来隐忧。会上介绍,行业“内鬼”屡屡犯案,且团队化作案模式愈加成熟,北京高院将充分发挥审判职能,依法打击惩治侵犯公民个人信息犯罪,突出打击重点,加大惩治力度,从严从重惩处行业“内鬼”泄露公民个人信息的行为。
(资料图)
涉案高敏信息占比突出
根据会上通报,2018年以来,北京全市各级法院共审结侵犯公民个人信息犯罪案件219件,其中一审179件、二审40件,判处犯罪分子294人。五年来,年均审理侵犯公民个人信息犯罪案件数整体呈下降趋势,但今年有所反弹。
北京市高级人民法院党组成员、副院长孙玲玲向北京商报记者介绍,2018年以来的案件中,涉案公民个人信息类型中高度敏感信息占比突出。经统计,所有已结案件中24.6%的案件涉及高度敏感信息,包括行踪轨迹信息、通信内容、征信信息和财产信息。公民手机号码、身份证件号码则在各种信息类型中所占比重最大。涉案公民个人信息的数量规模也日渐庞大。统计发现,在179起侵犯公民个人信息罪的一审案件中,除17起案件依据犯罪所得定案外,其余162起均以信息条数作为定罪量刑的主要依据。其中超过半数的案件信息数量超过5万条,约1/4的案件信息数量超过50万条,少数案件查获的信息多达数百万、数千万条,甚至过亿。
同时,侵犯公民个人信息的犯罪手段越发隐蔽。孙玲玲介绍,近年来,“暗网空间”已逐渐成为犯罪交易的活跃场所。同时,交易支付方式从现实货币演进为虚拟货币,最常见的如“比特币”。除了交易环境和支付方式日益隐蔽,秘密窃取的技术手段也日益成熟,如“爬虫”软件成为收集大量信息时的常用软件之一。
此外,侵犯公民个人信息犯罪与其他违法犯罪活动相关联。根据个人信息的来源及流向,侵犯公民个人信息犯罪涵盖了金融、教育、交通、通信、物流、求职、法律等各行各业。排除买卖、交换等中间环节,39.6%的涉案信息被用于违法甚至犯罪活动,如违规提取公积金或办理信用卡、同行不正当竞争、代收代写学术论文、暴力催收讨债、发送招嫖信息、电信网络诈骗、盗窃存款、敲诈勒索、绑架、故意伤害等。3.6%的案件由所谓“私家侦探”通过跟踪拍摄、关系查询等方式定向追踪个人,调查特定公民信息。
“内鬼”案件多发
五年来的219件案件,还呈现出了一个值得注意的特点:五成案件的被告人有较为固定的工作单位或职业。经统计,超过半数的案件,被告人供职于公司企业、事业单位或系个体企业经营者。其中,公司职员(包括中高级管理层、法人代表)所占比例最大,为50.3%。
在这之中,不乏利用职务之便侵犯公民个人信息的“内鬼”。孙玲玲介绍,虽然买卖和交换仍是侵犯公民个人信息犯罪的主要手段,但放眼整个犯罪链条,内部人员泄露信息是侵犯公民个人信息犯罪的主要源头。“掌握大量公民个人信息的公司、企事业单位的工作人员,或是通过直接接触个人信息的工作便利非法查询、下载;或是间接利用自己的职务或工作关系请托他人帮助查询、传输;或是直接将爬取数据的软件、程序植入本单位的计算机后台系统,均能非法获取公民个人信息。只要个人信息流入‘黑市’,就可能被大量地重复交易。”孙玲玲表示。
随后,北京市高级人民法院刑事审判第一庭庭长肖江峰发布了北京法院审判的3个侵犯公民个人信息罪典型案例。他向北京商报记者介绍,其中,被告人沈某案发前系某大型国际信托有限公司项目经理,利用任职便利,采取“撞库”等方式获取某银行个人征信系统用户名和密码,通过其所属国际信托有限公司与该银行之间进行专线互联的终端机,数次非法登录该银行个人征信系统,查询并下载保存他人征信报告共计100份。此外,沈某此前曾采取上述同样作案手段,查询并下载保存他人征信报告共计1000余份。
什么是“撞库”?据肖江峰介绍,这是网络安全领域中的概念,一般指的是攻击者通过一些自动化工具针对数据库站点的相关接口批量提交大量随机的用户名/密码组合,记录下其中能成功登录的组合并盗取该账号,为接下来实施其他违法犯罪行为做好准备。
西城区法院经审理认为,被告人沈某违反国家规定,非法获取公民个人信息,情节严重,已构成侵犯公民个人信息罪,依法应予以惩处。鉴于被告人沈某到案后能如实供述自己的罪行,当庭认罪悔罪,依法可以从轻处罚。西城区法院以侵犯公民个人信息罪判处沈某有期徒刑一年,并处罚金人民币4000元。
内外成因皆有
“内鬼”的存在为个人信息保护带来隐忧。孙玲玲指出,行业“内鬼”屡屡犯案,且团队化作案模式愈加成熟。近年来,侵犯公民个人信息的犯罪活动分工更加精细化、专业化。一些“内外勾结”型犯罪甚至可以组建起从获取、交易直至变现、非法利用个人信息的全链条犯罪团伙。同时,单位犯罪在侵犯公民个人信息犯罪中也愈发常见,甚至可以实现自上而下的从决策到分管再到具体实施的条线管理与分工。
在内部原因之外,关于侵犯公民个人信息事件为何多发?孙玲玲指出,在我国,互联网已贯穿于社会的方方面面,人人持有一部手机已成为工作、生活的常态,以个人信息为基础的大数据具有巨大的经济价值,社会生活中对个人信息的收集、使用日趋普遍常见。
“从外部看,监督管理体系仍需完善,防止信息流失滥用的制度功能还不足。当前,收集、使用个人信息的‘告知-同意’处理规则已基本普及,但超范围收集、使用等方面的问题仍较为突出,需要外部环境加以约束。特别是面对格式条款、‘一揽子’使用协议,公民寻求救济的途径、方式不明确,很难高效、有力维权,导致大部分受害者权利遭受侵害后选择沉默甚至习以为常。”孙玲玲表示,“同时,行政监管体系提供公共服务与参与过程监督也同样重要。特别是对于一些规模较小、知名度低,经营方式多依赖电话、短信等点对点推销的中小企业而言,只有尽可能多地搜集、掌握个人信息才能开展经营活动,从而导致非法获取公民个人信息的情况频发。对此类情况,应当加强行政手段的监督管理和引导,确保此类企业依法合规经营。”
此外,孙玲玲提到,技术升级迭代也显著提升了信息非法获取的速度和体量。互联网技术的高速发展正在让生活变得愈发便捷和智能,面对随之而来的隐私困境,孙玲玲指出,全市法院将依法履行好宪法和法律赋予的审判职责,准确惩治侵犯公民个人信息犯罪,加强法治宣传教育,深入参与社会治理,既充分保护个人信息合法权益,又积极促进个人信息合理利用,努力满足人民群众对美好生活的向往,为首都数字经济蓬勃发展作出更大的贡献。