《瞭望》新闻周刊记者获悉,山东省公安机关近期侦破一起公安部督办的侵犯个人信息案,涉及个人信息51亿条,包括户籍信息、贷款意向客户、车主、楼盘业主信息,以及司法考试和建造师、药师、会计师、造价师、MBA、研究生等各类考试考生信息等。值得注意的是,有20多家教育培训、物流等机构参与买卖个人信息,凸显个人信息收集和使用存在乱象。
随着人类进入大数据时代,个人信息保护立法迫在眉睫。在接受本刊记者采访的法律专家们看来,目前非法使用或盗卖个人信息的问题比较严重,实践中需先明晰侵犯公民个人信息犯罪的构成要件,提高法定最高刑以加大严惩力度,同时制定专门的个人信息保护法,以平衡个人信息保护与大数据开发红利。
51亿条个人信息遭泄露
2016年11月,山东省潍坊市潍城公安分局网安部门发现,有人用QQ在网上大肆出售司法考试、医师资格证考试等考生信息。经查,嫌疑人还同时使用另外4个QQ号联系业务,并具有一定的反侦查意识。比如,使用他人身份注册的两个无线网卡上网,用他人身份注册的支付宝和银行卡收付款。但实际上这5个QQ号登录地址一致,且取款地都在潍坊。
公安机关发现,与前述QQ联系密切的韩某玲已婚,其丈夫陈某为银行监控录像显示的取款人,且陈某曾因侵犯公民个人信息罪被判刑。
2017年2月底,公安部门将陈某抓获,并在其家中查获正在使用的工行U盾、无线网卡。经电子勘验固定证据,发现陈某电脑中有各类考生、户籍等涉及公民个人信息的数据超过15亿条。
经查,陈某所使用的支付宝及银行卡注册人为广东人李某,开卡日期是2014年12月底,截至陈某被抓获时银行流水近150万元,但查获才10万元,其余的钱不知所踪。此外,陈某虽然收付款是通过李某银行卡,但随后分散到多人支付宝,再转到江西人韦某银行卡,最后使用韦某银行卡去银行取款。
在接受《瞭望》新闻周刊记者采访时,潍城公安分局网安大队负责人马学智说,根据勘验出的陈某11个虚拟身份、两千多个QQ群及100多万群成员,梳理出上下线350余名嫌疑人。截至目前,共抓获42名犯罪嫌疑人,查获手机52部、银行卡27张,查获涉及各类公民个人信息约600GB、51亿条,包括各类考试考生信息、户籍数据、银行征信数据、车主信息、楼盘业主信息等。
一条信息不足1分钱
采访中,《瞭望》新闻周刊记者了解到,本案有若干特点需重视。
首先,嫌疑人年纪轻、学历高。办案民警说,侵犯公民个人信息犯罪是典型的智力犯罪,不少犯罪嫌疑人的文化层次较高。本案中,犯罪嫌疑人大专以上学历26人,其中2名有研究生学历,“90后”有8人,30人为“80后”。
其次,教育培训等单位犯罪多。本案涉及教育培训、企业管理咨询、教育咨询、科技公司、贷款推广、物流快递等22家单位,28名犯罪嫌疑人系上述单位工作人员或负责人。
例如,犯罪嫌疑人吴某军、吴某、张某梅、牛某玉等就业于深圳某科技有限公司,该公司专门成立数据部,设有对外数据获取岗位、对内信息管理岗位,专门从事数据交换买卖,还利用扒取工具在网上扒取一部分公民的个人信息,并规定每天添加一定数量的个人信息至数据库。获取的信息主要是车主、企业法人、股民的姓名、电话、地址等,车主信息有的还有车牌号、身份证号码。
2016年12月至2017年6月短短半年的时间,他们就已获取1000多万条个人信息。至今,一些招聘网站还留有该公司关于“整理专员、微信数据处理”的招聘广告。
犯罪嫌疑人吴某说,获取信息后,按照一定格式整理好并导入公司内部系统,系统会自动利用这些公民个人信息中的电话号码和QQ号关联添加数据中的人为微信好友,然后由公司其他部门同事向对方的微信朋友圈发广告。
再者,犯罪链条交织,且户籍、征信等敏感信息多。办案民警告诉本刊记者,已抓获的犯罪嫌疑人,基本都加入了专门为买卖交换个人信息而成立的QQ群,并在群内相互买卖或交换,一些培训机构不仅购买也出售个人信息。
此外,犯罪嫌疑人互相熟悉后还交换数据。2017年1月,北京某教育科技公司法人解某兵用40万条2016年全国司考考生信息,从陈某处换得30万条2016年全国药师考试的考生信息。
办案民警说,嫌疑人之间犯罪链条相互交织,形成了复杂的犯罪网络,给办案带来了难度。如陈某从田某峰处购买的信息,是田某峰从郑某明处购得,而郑某明是从巩某海处购得。
《瞭望》新闻周刊记者还了解到,犯罪嫌疑人买卖个人信息的价格极其低廉、随意,有的每条不足1分钱。2016年底,巩某海以8.7万元出售4000万条个人信息给一家物流公司,平均每条仅为约0.002元。
亟待制定个人信息保护法
采访中,《瞭望》新闻周刊记者了解到,在实际生活中,培训、营销等行业购买、收受个人信息用于推销、广告等行为较为普遍,往往存在个人信息泄露问题。办案民警说,涉案犯罪嫌疑人明白买卖个人信息违法,但有法不责众和侥幸心态。有犯罪嫌疑人因知道违法,在将信息导入公司系统后,就从电脑上删除以免被发现。
受访专家说,个人数据是大数据的主体部分,推进大数据产业发展,必然要建立合法获取和使用个人信息的通道。但目前这一通道并不畅,而且法律规则也不明确,因而在需求拉动或经济刺激下出现了不少粗暴违法获取个人信息并出卖获利的行为。也就是说,在现行法律框架下,并不存在“合法购买、收受个人信息”的空间。只要未经同意,获取未匿名处理的个人信息均是非法的,甚至可能因此入刑。
目前让公安部门感到困惑的是对机构购买、收受个人信息的定罪问题。2017年6月1日起施行的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确:为合法经营活动而购买、收受公民个人信息的行为设置的专门的定罪量刑标准,其中之一是“利用非法购买、收受的公民个人信息获利五万元以上”。但公安部门认为获利数额难以认定。
一些法律专家也认为这一数额难以计算。华东政法大学教授高富平认为,“为合法经营+非法购买和收受个人信息+5万元获利”,即可以入罪。其中,“合法经营”指的是企业经营业务合法(即从事法律允许的生产、贸易、商业活动),而不是纯粹非法获取和提供个人信息业务。这样,合法经营活动中,如果违反法律(未经个人同意、超越明示目的等)购买和收受个人信息用于合法的经营活动而获利5万元的,就达到入刑标准。
高富平说:“显然,这5万元是很难计算的,因为我们不能准确地计算出个人信息在经营收入中的占比,也许一条有价值的个人信息带来一定规模的市场份额,就会有5万元收益。”
专家们认为,由于侵犯公民个人信息罪的构成要件过于简单,实践中哪些行为构成犯罪不明确,无形中增加了合法利用个人信息的刑事风险,阻碍对个人数据的充分利用。
专家们还认为,只有用“非法目的”来限定违法行为,即将“以从事违法活动或侵害个人权益活动为目的”作为出售或提供个人信息行为构成侵犯公民个人信息犯罪的要件,才能为刑法适用划出一道较为明确的界线,才更有利于打击真正的犯罪,也有利于大数据产业的发展。
此外,本案中陈某2016年犯非法获取公民个人信息罪,被法院判处有期徒刑一年,缓刑二年;郑某明于2016年因犯侵犯公民个人信息罪被判有期徒刑6个月。我国刑法规定的侵犯公民个人信息罪的法定最高刑相对较低,“情节严重”的法定最高刑三年;“情节特别严重”的法定最高刑为七年。
高富平向本刊记者表示,相对较低的法定刑,并不足以震慑日益猖獗的电信诈骗、网络诈骗等犯罪分子,无法有效遏制身份盗用型犯罪。应在明确犯罪构成要件的基础上,提高法定最高刑,或明确罚金数量,“这样既能满足侵犯公民个人信息罪的立法目的,也有利于保障个人信息的自由流通,推动信息产业的发展,释放信息红利。”
当下的大数据时代,数据如石油一样被大量开采并应用于社会运行,个人信息成为商业精准运行的必要条件。受访法律专家认为,个人信息的刑法保护只是个人信息保护的最后手段,而不是全部。需要全面建立个人信息保护的制度规则,在保护个人权益的前提下,规范、安全、有序地利用个人信息,释放大数据红利。
高富平说,出路在于制定个人信息保护法,重新定位个人信息属性和保护模式,“个人信息保护不仅是为个人设定的一项权利,更是为了构建一个平衡个人、信息使用者和社会利益的法律框架。”
声明:本文来自《瞭望》新闻周刊,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。