为深化政法智能化建设,加强“智慧治理”“智慧法院”“智慧检务”“智慧警务”“智慧司法”等信息平台建设,深入实施大数据战略,实现科技创新成果同政法工作深度融合。法制日报社已连续举办了七届“政法智能化建设技术装备及成果展”。
作为装备展配套活动,法制日报社于2024年3月继续举办了2024政法智能化建设创新经验征集宣传活动,活动征集了“智慧治理”“智慧法院”“智慧检务”“智慧警务”“智慧司法”创新经验。
在2024年7月10日至11日举办的成果展上,对入选的创新经验进行了集中展示,并已编辑整理成册——《2024政法智能化建设创新经验汇编》。
该汇编分为智慧治理篇、智慧法院篇、智慧检务篇、智慧警务篇、智慧司法篇五个篇章,为政法信息化、智能化建设提供及时、准确、 实用的资讯信息与经验观点。
应广大读者要求,我们特开辟专栏,将部分创新经验进行展示,敬请关注!
以下推出的是《智慧警务篇 | 创新经验之“智慧警务视角下的侵犯公民个人信息犯罪治理研究”》
智慧警务视角下的侵犯公民个人信息犯罪治理研究
王松熙 南京警察学院信息技术学院
王政昱 江苏省南京市公安局栖霞分局
随着大数据、云计算等新型技术的迅速发展普及,今天的世界已全面步入数字化时代。在电子商务、人脸识别、人工智能等新兴技术,给社会生活带来巨大便捷。与此同时,也急剧增大了个人信息遭受侵害的风险。随着全球数字经济时代的到来,“数据”跻身第五大生产要素,价值日益升高,以公民个人信息为目标的案件高发并呈迅速增长态势。个人信息安全和保护问题,当为网络安全工作的重要一环。虽然公安机关此前打击侵犯公民个人信息犯罪取得了很大成就,但也暴露出我们在公民个人信息安全保护形势不容乐观。本文从公安工作的视角出发,围绕公民个人信息保护与侵犯公民个人信息犯罪打击等核心主题,结合网安领域未来发展和现状进行分析。通过针对性的探索研究,以期形成有效的对策举措,为网络安全建设和公安工作发展提供助力。
一、公民个人信息安全的相关定义和法律依据
(一)侵犯公民个人信息罪的相关定义
公民个人信息关系到每个人日常的工作生活各个方面。不仅涉及个人名誉,也影响个人社会评价。公民个人信息权益的侵害,既可能造成物质损失,也可能产生精神伤害。侵犯公民个人信息罪对于公民社会生活中各项权利具有重要影响。
所谓侵犯公民个人信息罪,通常是指向他人提供或出售公民个人信息而情节严重的行为。或者是在履行职责或者提供服务过程中,将获得的公民个人信息出售、提供给他人的行为。公民的个人信息安全是刑法设立本罪所保护的关键法益 。
《中华人民共和国刑法》规定:第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
(二)我国侵犯公民个人信息犯罪的相关法律沿革
2009年的《刑法修正案(七)》首次增设了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”的规定。2015年的《刑法修正案(九)》规定了侵犯公民个人信息罪的具体行为方式,增加了相关人员的从重规定。同时《刑法修正案(九)》升格了法定量刑,规定情节特别严重的处三年以上七年以下有期徒刑。最高人民法院、最高人民检察院2017年6月1日联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,解决了《刑法修正案(九)》颁布后的诸多司法实践难题。
2017年实施的《网络安全法》,进一步明确了监管权限和相关主体责任。并对一些危害个人信息安全的行为,一定程度上加大了惩处力度。
2021年实施的《个人信息保护法》在前期立法经验基础上,在制度设计、维权途径、处罚力度等方面,将相关实施经验和成熟措施上升为法律规范。进一步完善了我国个人信息保护法律保护体系,提升了个人信息保护标准。在促进我国个人信息保护、数字经济良性发展,以及参与国际交流合作与国际规则制定方面发挥重要作用。
二、侵犯公民个人信息的犯罪形势与相关特点
(一)侵犯公民个人信息犯罪的总体形势
随着全球数字经济时代的到来,“数据”跻身第五大生产要素。以公民个人信息为犯罪目标的案件高发,并出现迅速增长态势。此类案件涉及领域覆盖政府、医疗、教育、房地产、物流、电商等多个行业。全国公安机关侦办侵犯公民个人信息案件数,2021与2022两年均同比快速上升。同时以公民个人信息为核心,滋生出电信诈骗、抢号抢票、网络水军、“呼死你”、“薅羊毛”等一系列黑灰产业。
从案件形势分析,犯罪分子获取公民个人信息的手法复杂多样。存在假冒客服骗取信息、黑客技术盗取信息、行业“内部人员泄露信息、手机APP非法采集等方式。信息窃取、倒卖、加工等犯罪链条环环相扣、分工明确,形成了“地下大数据”产业。侵犯公民个人信息犯罪已成为黑灰产业“孵化器”,严重侵害我国公民人身权益、财产安全,也破坏了市场经济秩序和社会管理秩序。
近年来,党中央和公安部党委高度重视公民个人信息保护。2020年以来,公安部每年组织“净网”专项行动,依法重拳打击侵犯公民个人信息违法犯罪活动。据公安部2023年新闻发布会消息,目前已累计侦破案件3.6万起,抓获犯罪嫌疑人6.4万名,查获手机黑卡3000余万张、网络黑号3亿余个。近3年来破获案件数量和抓获人数连续突破新高,打击力度和打击成果空前。
(二)当前侵犯公民个人信息犯罪的特点分析
1.案件数量持续增长
除了前文公安部相关数据,从基层公安机关的数据来看,侵犯公民个人信息犯罪的案件数量也在持续增长。以苏南某市公安局立案侦查侵犯公民个人信息案件数据为例,2019年立案66起,移送起诉136人。2020年立案56起,移送起诉100人。2021年立案107起,移送起诉138人。从发案及打击处理人员数量来看,案件增长势头较猛。尤其是在基层工作中,相关线索频繁出现。近期,某分局民警在大走访活动中发现了家具店员工电话营销线索。现场发现多张小区业主名单,经深挖彻查破获了一起侵犯公民个人信息犯罪案件。一次就抓获从事广告制作、家具销售、装修定制等工作的涉案人员12人,查获某区22个小区的业主信息2万余条。
2.侵犯个人信息犯罪涉及范围越来越广,跨区域作案特征明显
与传统的接触性违法犯罪不同,侵犯个人信息犯罪的预谋、准备、实施、分赃等行为,很多都是在虚拟空间中进行。各个环节高度分离、跨越地区甚多,具有跨区域作案的复杂特点。很多活动主要依托互联网进行,犯罪证据缺乏、资金流向不明,给打击治理带来较大难度。与此同时,当前侵犯公民个人信息犯罪具有种类繁多的下游犯罪,涉及公民保险、医疗、购物等信息都是犯罪分子的作案目标。犯罪分子作案不仅针对公民的身份信息,不同的个人信息对不同种类犯罪均有价值。2022年3月,某市公安局建某分局查获的大量敏感信息,正是从物业公司从业人员中泄露出去的。与此同时,如今企业手中掌握着大量的个人信息数据,也成为犯罪分子的重要目标。从司法实践来看,侵犯公民个人信息犯罪涉及范围从传统的银行、汽车、房产等领域,向教育、卫生、物业、保险、快递等行业迅速蔓延。
3.侵犯个人信息犯罪已形成严密的黑色产业链
与以往传统违法犯罪“简单结伙”、“单兵作战”不同,此类违法犯罪活动以网络为勾连媒介。作案团伙以公司化、体系化为主要运作模式,团伙内部架构清晰、层级分明、分工明确、各司其职。据某市2023年已破侵犯个人信息犯罪数据,3人以上团伙作案占比超过69%,较去年同期上升20个百分点左右。其中个别团伙形成了集团型和公司化运作模式,如某分局侦破的“2.01”案件,涉案人员达到90余人。同时从个人信息犯罪的整个过程来看,侵犯公民个人信息犯罪已形成了上游泄露个人信息、中游代理商倒卖、下游犯罪非法使用的黑色产业链。首先由内鬼或黑客窃取大量个人信息。获得个人信息之后一般会建立社工库,通过社工库网站倒卖个人信息。内部违法分子则通常不会直接向外出售个人信息,而是通过少数几个中间商向外出售个人信息。中间商再将个人信息向代理商出售。代理商少则一二级、多则三四级,彼此之间赚取差价。最后处于下游犯罪的犯罪分子,利用收购的个人信息实施网络诈骗、追债、电话营销等违法犯罪行为。 尤其是泄露信息种类繁多、数量巨大,犯罪分子收集足够的信息后就能对个人实现精准的“信息画像”,准确推断出个体的身份信息、日常活动情况、甚至是兴趣爱好。进而与下游犯罪结合,具有较强的社会危害性。
(三)侵犯公民个人信息犯罪的高发的原因分析
当前,信息数字化和非接触性交流模式,对社会生活产生巨大影响。非接触性的社会运作模式正在逐步形成,造成传统违法犯罪的作案机会不断减少。与此同时,新型违法犯罪的作案机会则不断增多。这也是侵犯公民个人信息犯罪的高发的主要原因。具体而言,有以下几个方面:
1.侵犯公民个人信息犯罪的作案难度低于传统违法犯罪
侵犯公民个人信息犯罪的技术色彩相对浓厚。前端作案人员可以利用某项技术、工具的缺陷或者改为优势,实施违法犯罪行为。一定程度上,技术工具运用能力的高低代表了作案人员违法犯罪能力的高低。随着信息技术的大众化趋势不断深入,智能化犯罪技术工具在实际操作中得到广泛应用。犯罪门槛和成本不断降低,大大提高了侵犯公民个人信息犯罪的便捷程度。甚至“足不出户”就可以完成违法犯罪行为。
2.侵犯公民个人信息犯罪的作案风险小于传统违法犯罪
在作案实施环节,侵犯公民个人信息犯罪的甚至可以完全在虚拟空间中完成。公安机关、人民群众事先或者在违法犯罪实施过程中,及时发现并制止、举报相关行为的可能性较小。作案过程留下的作案痕迹,往往也仅是虚拟空间中的电子证据。在打击治理环节,侵犯公民个人信息犯罪的侦查研判流程更具专业性、复杂性和技术性。相关侦查研判思路的局限和部分取证环节的薄弱,直接导致大量作案人员未受到应有的惩罚。
3.侵犯公民个人信息犯罪的作案回报大于传统违法犯罪
侵犯公民个人信息犯罪中潜在受害人的范围广,但与传统犯罪“一对一”、“多对一”、“多对多”的方式不同。信息转售容易出现“一鱼多吃”、“多次专卖”的情况,犯罪收益可以多次收取。部分侵犯公民个人信息犯罪即使一次获利较小,但由于犯罪成本较低,多次收益也会使违法犯罪所得“积少成多”。尤其是“海量行为×微量损失”或者“海量行为×低量损害”的表现比较突出。上述原因都导致了侵犯公民个人信息犯罪普遍高发。
三、侵犯公民个人信息犯罪的打击难点与治理困境
虽然我国已经不断完善法律法规,加大对侵犯公民个人信息犯罪的打击力度。但目前由于存在各种困难原因,对侵犯公民个人信息犯罪的打击治理仍存在一定难度。
(一)侵犯公民个人信息犯罪案件的隐蔽性相对较强
随着信息技术的发展,电子信息的交流和传播变得更加便捷高效。个人信息的获取途径和获取手段更加多元。个人信息既可以从购物信息中提取,也可以从社交网络中泄露。个人信息被嫌疑人出售传播发布,而受害人往往并不知情。犯罪活动主要通过网络进行,而不受时间、空间限制,导致犯罪行为更具隐蔽性。
(二)侵犯公民个人信息犯罪案件证据收集难度大
传统接触性违法犯罪可以通过遗留在犯罪现场的指纹、生物物证,以及相关人员记忆的作案人员外貌特征等进行同一认定。然而相对于传统犯罪,侵犯公民个人信息犯罪的特征使得客观证据的地位和功能被极大弱化。在侵犯公民个人信息犯罪中,新兴技术工具成为连接作案人员与受害人的媒介。它阻隔了分处于不同空间的作案人员和受害人。受害人和同案犯往往不能直接向公安机关提供有关作案人员的准确信息。导致公安机关认定作案人员真实身份的难度加大。特别是这类案件遗留的证据通常是电子证据。而电子证据大多存储在电脑、移动终端,甚至是境内外的网络服务器内。只有依靠电子数据勘验检查等专门技术手段才能获取。证据收集过程中往往还需要向阿里巴巴、腾讯等一些大型互联网企业调查取证。取证具体操作过程手续烦琐、耗时较长,非常容易贻误战机。而这些电子证据的收集和分析同样存在很大难度。尤其是一些数据加密、网络攻击等情况下,获取和分析这些数据需要专业的技术手段,对公安机关的侦查工作带来了很大挑战。
(三)侵犯公民个人信息犯罪案件的侦破难度较大
当前侵犯公民个人信息犯罪已表现出“链条化”的趋势,并具有职业犯罪特征。很多侵犯公民个人信息犯罪以互联网为媒介、以网络技术为主要手段,通过木马病毒、黑客渗透、恶意网站、二维码、WiFi等手段盗取公民个人信息。不但公民个人信息安全,还存在危害计算机信息系统安全、网络空间管理秩序等问题。如果仅打击侵犯公民个人信息犯罪的部分犯罪环节,难以及效遏制犯罪高发的总体势头。特别是侵犯公民个人信息犯罪活动中,相当一部分作案人员隐匿于网络空间。尤其是主犯难以发现踪迹,甚至于藏身境外。在公安机关现有侦查模式下,办案人员必须立足于本地办理外地案件。很多抓获的本地作案人员往往是发挥次要作用的“外围”人员。由于主犯未到案、危害后果不易查明等原因,对“外围”人员的处理相对较轻。而且这种“割韭菜”式的打击,最终难以形成震慑犯罪、消除根源的治理实效。
(四)公民个人信息保护的相关法律制度有待完善
目前我国在打击侵犯公民个人信息犯罪方面的法律法规,还有待于进一步完善。在司法实践中,侵犯公民个人信息行为的法律认定尚存在一些模糊地带。对于信息主体的权利保护、信息泄露的后果认定等,仍然缺乏明确细化的规定。在案件实践中,类似于对于公民个人信息的种类和数量的认定,以及对于“合法经营”的判断等问题,仍然存在部分争议。在一些侵犯公民个人信息犯罪案件中,犯罪获利的认定和打击面的把握等问题也是容易出现问题的难点。这些问题的解决都有待于相关法律法规的完善。
(五)公民个人信息的自我保护与行业监管有待强化
随着数据时代发展,各类信息技术全面应用于生产生活。科技进步推动生产生活更加便利化、智能化。各种网络应用平台层出不穷,相关APP、小程序等呈井喷式增加。个人信息不可避免地大量出现、存储于网络空间,增加了被非法获取和非法利用的风险 。一些信息主体缺乏自我保护意识和隐私观念,随意将个人信息对外提供,增加了个人信息的相关风险。与此同时,一些网络运营主体的数据安全责任意识淡漠,未履行网络安全保护义务,不落实数据安全防护措施。导致信息系统及平台安全状况不佳,网络与数据安全威胁风险较高。特别是作为相关职能部门和行业内部,监管力度仍然需要加强。例如在实践中,4S店、房屋中介、培训机构等主体对公民个人信息过度采集、擅自披露甚至非法买卖的情况屡见不鲜。一些行业内部的合规建设,同样需要加强监管、规范秩序。还有一些犯罪分子利用新技术来获取个人敏感信息,并对其进行非法交易和使用。对这些技术研发的监管力度也需要进一步提升。
四、侵犯公民个人信息犯罪的打击治理对策
侵犯公民个人信息犯罪的打击治理,是复杂的系统性任务。这需要从立法、执法、技术等多个方面入手,政府、企业和社会各界共同努力。需要采取综合措施、形成合力,才能有效遏制犯罪的发生。公安机关作为打击违法、防控犯罪的主力军,在侵犯公民个人信息犯罪问题治理中的重担责无旁贷。就公安机关的视角而言,侵犯公民个人信息犯罪的打击治理可以采取以下多各方面的举措。
(一)树立数据侦查模式下的主动侦查理念,缜密搜寻侵犯公民个人信息犯罪线索
对传统违法犯罪活动的打击中,侦查工作往往是针对的是已知的犯罪行为。基本上是违法犯罪活动暴露后的“被动型”侦查。但是由于侵犯公民个人信息犯罪的新变化,以及新时代背景下对公安工作提出的新要求,被动侦查的弊端逐渐显现。当前需要侦查部门主动通过运用情报导侦、侦查策略以及侦控措施等方式,对尚未暴露或可能发生的违法犯罪活动作出反应。通过控制违法犯罪活动的实施过程或促进违法犯罪活动在特定时空发生,实现主动型侦查理念主导下的精准打击。可以突出公安大数据服务支撑,提高侵犯公民个人信息犯罪线索发现能力。例如南京市公安局栖霞分局进一步加强校局合作,联合南京警察学院开展数据建模,积极探索侦破模式创新。先后开发“公安云助手”、“数字警察小安”等警务大数据模型,在基层实战中发挥重要作用。南京公安运用上述模型,对各类案件侦查工作中发现的涉个人信息行为进行分析。从而紧盯收集、办理、邮寄和贩卖的各个环节,做到查深查透查彻底,实现了主动式的侦查打击。
(二)推动公安机关内部工作机制转型,深化对违法犯罪的专业化打击
在专业队伍建设层面,相关部门要坚持内部挖潜、优化警力部署,进一步加强相关骨干人才选拔培养。积极抽调具有通讯、金融、互联网专业知识的人才充实到第一线。在合成机制上要突出合成作战。各单位要牢固树立“一盘棋”思想,刑侦、技侦、网安等警种同步上案、捆绑作战,做到人员合成、手段合成、机制合成。以南京市公安局为例,依托市局侦查情报指挥中心和警种情报指挥室建设,进一步发挥高端研判和专业研判优势,重点突出集群打击、以专业打职业。还可以参考借鉴深圳模式,协调违法犯罪高危行业和相关互联网公司。通过建立前方工作站、调证工作站的办法,实现资源整合、调证集约和打击快速。对于基层单位,在侵犯公民个人信息犯罪打击中要加强信息通报、强化工作衔接,切实形成多部门共同参与、各环节紧密衔接的工作格局。尤其是分局层面,要落实公安部关于涉网“黑灰产”犯罪打防工作要求,牢固控制场所阵地,努力实深挖各行业“内鬼”。同时要重点加强对侵犯公民个人信息犯罪规律特点、打防对策的研究攻关,坚决落实快打机制。对获取的侵犯公民个人信息犯罪线索,要第一时间推送技网侦部门开展工作。例如针对“AI换脸”导致群众被欺诈的问题,某市公安机关发起专项会战,侦破相关案件20起,抓获犯罪嫌疑人90余名。要积极协调三大运营商提供技术支撑,并结合数据建模及时掌握重点作案手法及特征,有针对性地研判犯罪活动的轨迹线索。
(三)切实加强执法实践的法制指导,解决侵犯公民个人信息犯罪案件办理的法制梗阻
针对侵犯公民个人信息犯罪案件办理中的各种法律问题,要由法制部门牵头认真研究。在具体办案层面,对重大侵犯公民个人信息犯罪案件,预审、法制等部门要提前介入。加强对基层法制部门对侵犯公民个人信息犯罪案件的审核指导,切实确保办案质量。对抓获的涉案犯罪嫌疑人,要组织专门力量强化审查深挖工作。对其上下游黑灰产和共同犯罪认定等法律问题,要主动牵头与检法机关对接协商。在基础建设层面,刑侦、法制等职能部门要搜集汇编一批成功案例,开展共性问题的研究探索。特别是针对犯罪上下游灰黑产、相关行业部门人员涉嫌共同犯罪等,法律规定中不明确、执法尺度不一致、惩处量刑认识不统一等问题,要全面收集分析梳理。法制部门要积极会商检法机关研究细化办案指引、明确法律适用意见。通过指导办案单位统一执法办案理念,确保依法惩处、准确打击。
(四)做实的公民个人信息保护的宣传引导,构筑侵犯公民个人信息犯罪防控的群众防线
加强法治宣传、提高守法意识同样是治理违法犯罪的有效武器。就公民个人信息保护来看,目前我国已颁布的多部法律法规和司法解释、指导性案例,民众对以上内容的知晓率还不高。很有必要通过网络、电视、广播、报刊、微信、大屏等多种方式,加强相关法律的宣传和解读,提高大众遵守、践行法律的自觉性。在传统媒体宣传的基础上,还要利用各类新媒体开展宣传,向群众普及个人信息保护知识和最新犯罪手法。还可以通过组织线下宣传周、宣传讲座、新闻发布会等,推动个人信息保护宣传进社区、进企业、进校园、进单位,全面提升人民群众保护个人信息的意识和能力。例如南京市栖霞公安分局针对辖区大学城的特殊情况,会同教育部门在新学期开学等关键节点开展宣传。通过组织召开驻宁高校干部、教职员工培训会,开展新学期公开课等方式,加大对在校大学生群体的教育引导。相关活动被多家媒体集中报道,取得了非常理想的效果。特别是针对房产、物业、保险、快递等个人信息犯罪突出的行业,公安机关要会同相关行业部门广泛宣传。要经常性开展对从业人员的法律宣传、培训,通过以案说法等形式讲明公民个人信息保护的重要性。可以会同其所属行业部门教育从业人员遵章守规、严守底线,让其认识到违法会承担严重的法律后果。从而对法律产生敬畏之心,遏制侵犯公民个人信息行为的发生。
(五)加强重点行业领域的行业监管,打造公民个人信息保护的综合治理格局
打击整治侵犯公民个人信息违法犯罪需要全民参与,社会共治。对于侵犯公民个人信息犯罪治理而言,要进一步构建打击防范治理犯罪的一体化共同体。尤其是公安部依托“净网”专项行动,与中央网信办、最高人民法院、最高人民检察院、工业和信息化部等相关单位建立了长效合作机制,从严厉惩治犯罪、突出重点整治、加强行业监管、规范依法办案、开展宣传教育等多方面协同推进,切实形成了保护公民个人信息和数据安全的工作合力,构建起源头治理、综合治理、系统治理的工作格局。
我们也可以借力公安部相关专项行动,依托地方联席会议、联动共治、社会动员、专业化打击等措施,进一步构建有效的“打击、防范、治理”一体化综合体系。尤其是对于重点行业领域,要压实企业平台自律责任,筑牢数据安全防线。例如,近年来公安部积极会同中央网信办等部门制定了《APP违法违规收集使用个人信息认定方法》、《常见类型移动互联网应用程序必要个人信息范围规定》等文件,明确了个人信息认定标准、行业规范和企业责任。同时大力开展行政执法工作,巡查互联网企业5.5万家,办理行政案件1.3万余起。尤其是处罚了一批超范围采集公民个人信息的手机APP运营公司,督导互联网头部企业完善用户数据采集、存储、使用制度。仅仅在为期6个月的邮政快递领域个人信息泄露治理专项行动中,公安机关共侦破窃取、贩卖快递信息案件206起,抓获犯罪嫌疑人844名,其中快递公司内部人员240名。相关举措为进一步筑牢数据安全防线,提供了重要的保障。
责任编辑:晓莉
暂无评论
