網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪的分析與防控策略

◆紀(jì) 芳

(遼寧警察學(xué)院公安信息系 遼寧 116036)

網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪的分析與防控策略

◆紀(jì) 芳

(遼寧警察學(xué)院公安信息系 遼寧 116036)

近來個(gè)人信息泄露的電信網(wǎng)絡(luò)詐騙案件頻發(fā)，本文著重分析網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪的特點(diǎn)、剖析信息泄露的源頭，并總結(jié)出針對(duì)該類新型網(wǎng)絡(luò)犯罪的防范打擊策略。

公民個(gè)人信息；網(wǎng)絡(luò)犯罪；黑產(chǎn)鏈條

0 引言

數(shù)字化時(shí)代，網(wǎng)絡(luò)侵犯公民個(gè)人信息的違法犯罪呈高發(fā)、多發(fā)態(tài)勢(shì)，公民個(gè)人信息安全問題令人堪憂，由此滋生出網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)盜竊、非法討債、人肉搜索、盜刷銀行卡等下游違法犯罪行為。[1]高科技的發(fā)展與個(gè)人隱私保護(hù)之間的矛盾未徹底解決，研究如何保護(hù)我國公民個(gè)人信息安全、打擊網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪成為亟待解決的問題。

1 相關(guān)法律

針對(duì)個(gè)人信息泄露問題日益嚴(yán)重的現(xiàn)象，2009年2月28日《刑法修正案（七）》中增設(shè)了刑法第二百五十三條之一“出售、非法提供公民個(gè)人信息罪”和“非法獲取公民個(gè)人信息罪”的規(guī)定。2015年11月1日頒布的《刑法修正案（九）》又進(jìn)行了修改完善。但在實(shí)際案件中，公民個(gè)人信息如何界定、何為情節(jié)特別嚴(yán)重、定罪量刑的標(biāo)準(zhǔn)如何確定等方面存在分歧。

2017年6月1日最高人民法院、最高人民檢察院聯(lián)合發(fā)布的《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》），是首次針對(duì)打擊侵犯公民個(gè)人信息犯罪出臺(tái)的司法解釋。[2]《解釋》中規(guī)定：非法獲取、出售或者提供五十條以上個(gè)人敏感信息（包括行蹤軌跡信息、財(cái)產(chǎn)信息、通信內(nèi)容、征信信息等），即構(gòu)成犯罪，處三年以下有期徒刑或拘役；為牟取利益，出售或非法提供公民個(gè)人信息違法所得 5000元以上，即構(gòu)成犯罪；對(duì)內(nèi)部人員泄露公民個(gè)人信息加大了懲治力度，認(rèn)定犯罪的數(shù)量和數(shù)額標(biāo)準(zhǔn)減半計(jì)算；首次明確“人肉搜索”中未經(jīng)當(dāng)事人同意，行為人向不特定多數(shù)人公開當(dāng)事人個(gè)人信息，情節(jié)嚴(yán)重的將處三年以下有期徒刑或拘役；明確非法購買、收受公民個(gè)人信息進(jìn)行廣告、推銷等活動(dòng)的定罪量刑標(biāo)準(zhǔn)。

2 概述

2.1 定義和分類

公民個(gè)人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。包括身份識(shí)別信息和活動(dòng)情況信息，例如姓名、身份證號(hào)碼、電話號(hào)碼、通訊方式、家庭住址、賬號(hào)密碼、財(cái)產(chǎn)狀況、交易記錄、行蹤軌跡等。[3]

《解釋》中將公民個(gè)人信息分為三類：“敏感信息”（包括行蹤軌跡、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息等）、可能影響人身財(cái)產(chǎn)安全的公民個(gè)人信息（包括住宿信息、通信記錄、交易信息、健康生理信息等）和上述兩項(xiàng)以外的公民個(gè)人信息。入罪標(biāo)準(zhǔn)的設(shè)置為：非法獲取、出售或者提供五十條以上“敏感信息”、五百條以上可能影響人身財(cái)產(chǎn)安全的公民個(gè)人信息或五千條以上上述兩項(xiàng)以外的公民個(gè)人信息，即可構(gòu)成犯罪。

2.2 主要特征

網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪的主要特征包括：

（1）涉及的公民個(gè)人信息種類繁多、領(lǐng)域廣。從簡單的身份信息、電話號(hào)碼、家庭地址等，到涉及隱私的手機(jī)信息、聊天記錄、網(wǎng)絡(luò)賬號(hào)密碼、銀行賬號(hào)密碼、購物記錄、車輛信息、出行記錄甚至生活習(xí)慣等，領(lǐng)域包括金融、電信、教育、醫(yī)療、工商、房產(chǎn)、快遞等40余類部門及行業(yè)。

（2）形成了“源頭—中間商—非法使用人員”利益鏈條和黑色產(chǎn)業(yè)。不同層級(jí)分工合作，以市場(chǎng)化運(yùn)作的方式，形成了非法獲取、買賣、使用、犯罪的利益鏈條，牟取不法利益，交易金額巨大。

（3）信息泄露源頭多樣化。黑客攻擊、釣魚網(wǎng)站、木馬、免費(fèi)WiFi、偽二維碼、惡意APP、社工庫等技術(shù)類方法，已經(jīng)成為竊取公民個(gè)人信息的重要源頭。另外，信息服務(wù)商、各部門行業(yè)等內(nèi)部人員也成為參與泄露公民個(gè)人信息的主要源頭之一。

（4）犯罪團(tuán)伙反偵查意識(shí)強(qiáng)。犯罪分子之間通過QQ、微信、網(wǎng)站、論壇等進(jìn)行聯(lián)絡(luò)，通過網(wǎng)銀或第三方支付平臺(tái)轉(zhuǎn)賬交易。另外，犯罪分子會(huì)經(jīng)常變換網(wǎng)絡(luò)虛擬身份，及時(shí)銷毀作案證據(jù)，增加公安機(jī)關(guān)的偵破難度。

3 公民個(gè)人信息泄露源頭的分析

3.1 常規(guī)技術(shù)手段

犯罪分子一般通過釣魚網(wǎng)站、虛假網(wǎng)站或偽基站發(fā)送非法鏈接騙取公民個(gè)人信息；通過網(wǎng)站木馬、惡意二維碼、免費(fèi)WiFi、惡意 APP等方式竊取公民個(gè)人信息；通過辦理會(huì)員、招聘、贈(zèng)送禮品、婚介等渠道獲取個(gè)人信息。

2016年6月，青島市局成功偵破了一起利用黑客技術(shù)非法控制計(jì)算機(jī)信息系統(tǒng)并在網(wǎng)絡(luò)上非法出售竊取信息的案件。犯罪嫌疑人H某從非法入侵的航空公司訂票服務(wù)系統(tǒng)、醫(yī)療中心、職教中心、貴金屬交易平臺(tái)等數(shù)百家網(wǎng)站中竊取了10億余條公民個(gè)人信息，販賣獲利20余萬元。

3.2 拖庫、洗庫、撞庫

犯罪分子通過拖庫、洗庫和撞庫等技術(shù)手段竊取公民個(gè)人信息，已經(jīng)成為“技術(shù)類”竊取方式的重要源頭，基本流程如圖1所示。

圖1 通過拖庫、洗庫、撞庫竊取公民個(gè)人信息

（1）拖庫：黑客確定攻擊目標(biāo)，然后尋找網(wǎng)站存在的漏洞，再使用 SQL注入等技術(shù)手段攻擊該網(wǎng)站服務(wù)器，得到操作權(quán)限后，將該網(wǎng)站整個(gè)數(shù)據(jù)庫內(nèi)容下載到自己的電腦中。

（2）洗庫：下載的數(shù)據(jù)庫中有許多冗雜的、無用的信息，黑客使用專門的軟件對(duì)字符、數(shù)據(jù)等進(jìn)行智能識(shí)別，篩選出有價(jià)值的數(shù)據(jù)、信息后，可以批量販賣從中獲利。

（3）撞庫：黑客用這些有價(jià)值的數(shù)據(jù)建立社工庫（Social Engineering Data），然后利用這些信息嘗試登錄其他網(wǎng)站、程序或APP，就有可能獲得一些可以成功登錄的賬號(hào)和密碼，進(jìn)行非法牟利犯罪行為。

2016年3月，淮安網(wǎng)安部門成功偵破了一起侵犯公民個(gè)人信息案，搗毀國內(nèi)最大的網(wǎng)絡(luò)社工庫“K8社工庫”（www.k8sec.com），查獲公民個(gè)人信息20億條。

3.3 內(nèi)部泄露

已查明的案件中發(fā)現(xiàn)由銀行、教育、保險(xiǎn)、工商、電信、快遞、證券、電商等各個(gè)行業(yè)的內(nèi)部人員造成的信息數(shù)據(jù)泄露，已經(jīng)成為侵犯公民個(gè)人信息的一大威脅。2016年6月，徐州警方偵破了一起以快遞公司內(nèi)部員工為泄露源頭的非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)案，查獲500余萬條快遞信息，非法獲利30余萬元。

另外，非工作需要查詢公民個(gè)人信息甚至提供個(gè)人信息不僅是違紀(jì)行為，甚至可能已經(jīng)違法和犯罪。2016年6月，中山市公安局板芙分局刑警大隊(duì)民警S某（科員）因違反國家法律法規(guī)規(guī)定，利用職務(wù)便利使用個(gè)人公安數(shù)字證書登錄公安內(nèi)網(wǎng)，違規(guī)查詢并出售公民個(gè)人信息獲利，已涉嫌犯罪，被立案審查。

3.4 黑色產(chǎn)業(yè)鏈

網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪已不再是“單打獨(dú)斗”，而是形成了“源頭—中間商—非法使用人員”的黑色產(chǎn)業(yè)鏈條，牟取暴利。

鏈條頂端是公民個(gè)人信息泄露的源頭，也被稱為“查詢員”，包括移動(dòng)公司員工、房產(chǎn)中介員工、物流公司員工、教育培訓(xùn)機(jī)構(gòu)員工、銀行職員等；接下來是類似“莊家”的中間商，也是黑產(chǎn)利益鏈條人員構(gòu)成的主要部分；末端是不同層級(jí)的代理商或者非法使用公民個(gè)人信息進(jìn)行直接犯罪的犯罪分子。[4]“查詢員”相對(duì)獨(dú)立，但可同時(shí)為多個(gè)信息販賣代理商提供信息。代理商之間會(huì)有大量信息交換，通過微信群、QQ群、論壇等方式頻繁聯(lián)系，形成相互勾結(jié)的黑色交易平臺(tái)。

2016年10月，公安部破獲了一起跨25省市區(qū)的特大侵犯公民個(gè)人信息案。移交的犯罪嫌疑人中有34名查詢員，日查詢量最大可達(dá)300條以上，還有8名一級(jí)代理商和12名二級(jí)代理商。

4 防范打擊措施

4.1 公安機(jī)關(guān)加強(qiáng)執(zhí)法力度

（1）重點(diǎn)打擊，加大懲處力度。公安機(jī)關(guān)要以“追源頭、打團(tuán)伙、摧平臺(tái)、斷鏈條”為目標(biāo)，重點(diǎn)偵破黑客攻擊破壞竊取公民個(gè)人基本信息和身份認(rèn)證信息、非法使用“偽基站”、利用公民個(gè)人信息實(shí)施詐騙、盜竊、敲詐勒索等大案要案，加大對(duì)行業(yè)內(nèi)部信息泄露者的懲處力度，有案必查、有責(zé)必究，最大限度遏制電信網(wǎng)絡(luò)詐騙等下游違法犯罪活動(dòng)。

（2）重點(diǎn)查處內(nèi)部違法犯罪人員。公安機(jī)關(guān)應(yīng)集中鏟除一批犯罪鏈條和源頭，整治侵犯公民個(gè)人信息的相關(guān)渠道，嚴(yán)厲打擊非法獲取、非法買賣公民個(gè)人信息的不法分子，尤其是內(nèi)部違法犯罪人員，切實(shí)保障公民個(gè)人信息安全。

（3）強(qiáng)化整治和網(wǎng)上巡查執(zhí)法。公安機(jī)關(guān)應(yīng)集中整治一批網(wǎng)站企業(yè)和網(wǎng)絡(luò)平臺(tái)，加大對(duì)非法銷售、傳播公民個(gè)人信息的網(wǎng)站（網(wǎng)店）、網(wǎng)絡(luò)賬號(hào)、通訊聯(lián)絡(luò)號(hào)碼等的整治力度，并依法予以關(guān)停、關(guān)閉，及時(shí)發(fā)布安全防范預(yù)警信息，切實(shí)加大違法信息防控和內(nèi)部審計(jì)力度，堅(jiān)決擠壓違法活動(dòng)生存空間。

（4）確保信息源頭安全。承載公民個(gè)人信息的相關(guān)機(jī)構(gòu)、部門對(duì)公民個(gè)人信息負(fù)有不可推卸的主體責(zé)任，應(yīng)明確個(gè)人信息監(jiān)管責(zé)任，完善安全管理制度。公安機(jī)關(guān)應(yīng)集中治理一批持有公民個(gè)人信息但技術(shù)防范和安全管理措施落實(shí)不到位的企事業(yè)單位，凡不按規(guī)定對(duì)公民個(gè)人信息進(jìn)行查詢、復(fù)制、使用甚至出售獲利的，要追究其刑事責(zé)任。

（5）進(jìn)一步加強(qiáng)宣傳引導(dǎo)。公安機(jī)關(guān)通過典型案例剖析和法律法規(guī)宣傳，提醒廣大網(wǎng)民提升自身安全防范意識(shí)，遵紀(jì)守法，并鼓勵(lì)群眾積極提供違法犯罪線索。

4.2 用戶加強(qiáng)自身安全意識(shí)

用戶要不斷增強(qiáng)安全防范意識(shí)，保護(hù)公民個(gè)人信息被不法分子獲取。

（1）盡量避免在網(wǎng)絡(luò)環(huán)境中泄露個(gè)人的真實(shí)身份信息。

（2）盡量避免注冊(cè)不必要的賬號(hào)；或者為賬號(hào)設(shè)置足夠復(fù)雜的密碼，避免使用純字母、純數(shù)字或者手機(jī)號(hào)碼、生日、身份證號(hào)碼等簡單密碼。

（3）盡量在不同網(wǎng)站、應(yīng)用上設(shè)置不同的賬號(hào)密碼，以免被黑客撞庫，密碼也要定期更新。

（4）防范釣魚網(wǎng)站和虛假鏈接，尤其在網(wǎng)絡(luò)購物、網(wǎng)絡(luò)理財(cái)?shù)炔僮鲿r(shí)要確保網(wǎng)頁的安全性。

（5）不在網(wǎng)絡(luò)聊天或者各種網(wǎng)絡(luò)活動(dòng)中泄露自己的銀行卡號(hào)、電話號(hào)碼、住址等信息。

（6）不再使用的移動(dòng)終端上，要注銷自己的各類賬號(hào)以及互聯(lián)網(wǎng)收付款等授權(quán)，避免被他人使用后威脅到自己的信息、財(cái)產(chǎn)安全。

（7）在正規(guī)的應(yīng)用商店、APP商城下載應(yīng)用軟件，避免點(diǎn)擊不明鏈接、下載不熟悉的應(yīng)用軟件。

（8）盡量不連接公共無線網(wǎng)絡(luò)，若需使用，一定要設(shè)置網(wǎng)絡(luò)防火墻，并用安全軟件對(duì)WIFI進(jìn)行安全性檢查。

（9）不隨意掃描二維碼。

4.3 互聯(lián)網(wǎng)企業(yè)加強(qiáng)自查自糾

信息服務(wù)商和承載公民個(gè)人信息的部門行業(yè)應(yīng)對(duì)其自身系統(tǒng)和第三方應(yīng)用進(jìn)行全面排查，尤其是即時(shí)通訊平臺(tái)、社交網(wǎng)絡(luò)平臺(tái)、電商平臺(tái)等，通過落實(shí)嚴(yán)格的安全監(jiān)管制度，及時(shí)修補(bǔ)漏洞，確保公民個(gè)人信息財(cái)產(chǎn)安全。

5 結(jié)束語

習(xí)近平總書記提出“要嚴(yán)防網(wǎng)絡(luò)犯罪，尤其是新型網(wǎng)絡(luò)犯罪，維護(hù)人民群眾利益和社會(huì)和諧穩(wěn)定?！币虼耍獓?yán)肅整治網(wǎng)絡(luò)秩序，打擊網(wǎng)絡(luò)侵犯公民個(gè)人信息這一新型犯罪，有效防止“雙刃劍效應(yīng)”，進(jìn)一步打造我國安全有序、富有活力、人民滿意的網(wǎng)絡(luò)生態(tài)。

[1]陳榮.江蘇警方嚴(yán)厲打擊非法獲取公民個(gè)人信息犯罪[J].中國防偽報(bào)道，2016.

[2]徐美玲.論我國司法解釋主體法定化——基于我國《立法法》第一百零四條第三款規(guī)定[J].法制與社會(huì)，2016.

[3]搜狐網(wǎng).圖文：財(cái)產(chǎn)狀況和行蹤軌跡屬“個(gè)人信息”[EB/OL].2017-05-10.http://www.sohu.com/a/139416047_162595.

[4]劉行星，李希龍.侵犯公民個(gè)人信息犯罪研究[J].江蘇警官學(xué)院學(xué)報(bào)，2013.