徐元威　王永全

摘 要：個人信息安全和保護的問題一直是當下眾多網(wǎng)絡(luò)安全問題中的重中之重。對于個人而言，個人信息不僅涉及了自己的隱私，更涉及了自己的財產(chǎn)安全乃至人身安全。本文將從三個層面研究分析當前的個人信息安全保護方面的問題以及目前在司法鑒定領(lǐng)域?qū)τ趥€人信息交易案件的處理方式。第一層，從社會角度出發(fā)分析當前眾多的個人信息安全問題和個人信息泄露所造成的危害；第二層，從法律角度研究分析當前法律對個人信息安全的保護以及其不足之處；第三層，司法鑒定實務(wù)角度談?wù)劗斍皩τ趥€人信息交易案件的處理方式以及自己的優(yōu)化方案。

關(guān)鍵詞：個人信息 司法鑒定 個人信息交易 刑法

現(xiàn)如今，在計算機司法鑒定實務(wù)工作中，司法鑒定人員經(jīng)常會接收到有關(guān)個人信息交易案件方面的委托。由于司法鑒定人員職業(yè)本身的性質(zhì)和特點，在本文中，筆者將通過三個角度去研究分析當下人們所關(guān)注的個人信息交易案件。一是從社會角度；二是從法律角度；三是從計算機司法鑒定實務(wù)角度。同時這三個角度也是與司法鑒定人員日常生活工作聯(lián)系最為緊密的。

一、從社會層面看待個人信息安全和保護

在信息化社會的今天，人們的生活已經(jīng)和互聯(lián)網(wǎng)緊密聯(lián)系在了一起，尤其是以移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)為代表的“互聯(lián)網(wǎng)+”時代給人們的日常生活帶來了深刻的變革。越來越多的人們開始學習并利用互聯(lián)網(wǎng)為自己的生活提供服務(wù)，與此同時，這也意味著越來越多的人變得愈發(fā)依賴互聯(lián)網(wǎng)。

當下的大數(shù)據(jù)時代，人們在互聯(lián)網(wǎng)上一舉一動幾乎都會被服務(wù)商所收集，而服務(wù)商則通過收集這些海量數(shù)據(jù)，通過云計算以及深度學習算法進行數(shù)據(jù)優(yōu)化，給用戶更好的個性化服務(wù)。在“互聯(lián)網(wǎng)+”時代，人們每當使用一款產(chǎn)品，基本都需要進行注冊，而用戶則在不知不覺中，自然而然地將自己的個人信息乃至一些重要的隱私信息留在了眾多的服務(wù)商的數(shù)據(jù)庫中。

黑客等其他眾多犯罪分子則通過技術(shù)手段非法獲取個人信息實施犯罪、謀取大量利益，不僅侵犯了公民的隱私，損害了公民的財產(chǎn)，甚至對公民的人身安全造成巨大威脅，對社會造成了巨大的危害性。

（一）個人信息交易已形成專業(yè)化分工的黑色產(chǎn)業(yè)鏈

公安部網(wǎng)絡(luò)技術(shù)研發(fā)中心主任許劍卓稱，公安機關(guān)一直都非常重視打擊侵犯公民個人信息類型的案件。僅2016年這一年，全國公安機關(guān)就偵破網(wǎng)絡(luò)侵犯公民個人信息案件數(shù)量達2100多起，查獲公民個人信息達500多億條，抓獲的犯罪嫌疑人達5千多人，其中屬于各行業(yè)內(nèi)部的人員就有450多人[1]。

個人信息非法交易已經(jīng)形成了涵蓋了個人信息泄露、傳播、交易、非法應(yīng)用獲利等各環(huán)節(jié)的專業(yè)化分工的黑色產(chǎn)業(yè)鏈。其中，個人信息泄露環(huán)節(jié)主要是通過黑客竊取與內(nèi)部工作人員泄露為兩大來源 ；個人信息傳播交易環(huán)節(jié)，則是由于電子數(shù)據(jù)的易傳播性通過“中間人”進行轉(zhuǎn)手買賣；非法應(yīng)用獲利環(huán)節(jié)則具有多種表現(xiàn)形式，常見的有：電信詐騙、敲詐勒索、惡意注冊、非法營銷等方式。產(chǎn)業(yè)鏈示意圖如下圖1所示：

（二）個人信息犯罪的典型案例

1、2016年9月，在公安部、安徽省公安廳的統(tǒng)一指揮指導下，經(jīng)過4個多月縝密偵查，蚌埠警方近日偵破一起特大盜取販賣公民個人信息案，抓獲涉案人員79名。在警方繳獲的電子存儲介質(zhì)中，有公民個人信息數(shù)據(jù)近 50 億條[2]。

據(jù)了解，這個犯罪團伙的活動業(yè)務(wù)范圍覆蓋了數(shù)據(jù)“產(chǎn)供銷”整個黑色產(chǎn)業(yè)鏈，從數(shù)據(jù)的竊取、交換，到變現(xiàn)出售都有專門的人員負責。該團伙的犯罪嫌疑人主要采取兩種方式實施犯罪，一、采取黑客手段，入侵國內(nèi)外多家知名互聯(lián)網(wǎng)公司服務(wù)器，大肆竊取公民個人信息等核心數(shù)據(jù)；二、對難以入侵的服務(wù)器，以應(yīng)聘入職的方式潛入互聯(lián)網(wǎng)公司的核心部門或相關(guān)部門，內(nèi)外勾結(jié)實施作案。然后將竊取到的海量個人信息出售獲利，或者通過相互交換以擴充數(shù)據(jù)庫資源，為之后的黑客攻擊提供支撐。

2、2017年最高人民檢察院發(fā)布了幾個近年來全國檢察機關(guān)辦理的侵犯公民個人信息犯罪案件的典型案例。韓某等侵犯公民個人信息案，本案涉及國家工作人員與銷售商勾結(jié)，買賣嬰兒信息數(shù)量達幾十萬條，給家庭生活造成困擾，案件引發(fā)社會關(guān)注；章某某等詐騙、侵犯公民個人信息案。本案被告人通過百度及QQ 向他人購買學生個人信息，撥打?qū)W生家長電話，先后冒充學校及教育局工作人員，以領(lǐng)取學生助學補助金為幌子，騙取錢財，不僅侵犯了學生及學生家長的個人信息和財產(chǎn)安全，還破壞了學校的正常教學秩序和教育系統(tǒng)聲譽，社會危害極大。 [3]

3、58同城：招聘信息公開售賣。2017年3月底，58同城被爆被爆700元即可采集全國簡歷信息。由于全國58同城招聘網(wǎng)對求職者簡歷毫無防護，平臺存在多個漏洞，黑客通過采集工具就能輕易獲取后臺數(shù)據(jù)，甚至有商家在網(wǎng)上出售700元一套的爬蟲軟件，可采集全國430多個城市，以及464個職業(yè)的簡歷數(shù)據(jù)[4]。

4、2016年12月，《南方都市報》報道稱，記者花費700元買到了同事包括開房記錄、名下資產(chǎn)、乘坐航班等在內(nèi)的11項個人隱私信息。只要提供姓名、手機號碼或身份證賬號，任何一人的開房記錄、個人名下的房車資產(chǎn)、持有的各項證件、即時手機定位等信息都能在網(wǎng)上買到，一條指向“人肉搜索”的信息竊取、加工、販賣產(chǎn)業(yè)鏈已經(jīng)形成[ [5]。

通過這些案例，我們不難發(fā)現(xiàn)，諸多犯罪嫌疑人“偏愛”攻擊政府、教育、生活服務(wù)類網(wǎng)站或其服務(wù)器。筆者發(fā)現(xiàn)搜索引擎給政府類、教育類以及生活服務(wù)類網(wǎng)站的權(quán)威值評重較高，網(wǎng)頁級別也較高。黑客通過技術(shù)手段攻擊并控制此類網(wǎng)站，能夠更加容易地獲得更高的搜索排名和點擊量；而部分政府網(wǎng)站尤其是那些基層政府網(wǎng)站的安全技術(shù)防范薄弱，部分教育網(wǎng)站提供成績查詢并含有大量個人信息，易成為黑客攻擊的對象；生活服務(wù)類網(wǎng)站則是網(wǎng)絡(luò)流量的交通要到，不僅包含海量用戶個人信息，而且這些信息較之前兩者會更加詳細，對于犯罪者而言，這些信息則更具價值。

對于個人信息交易黑色產(chǎn)業(yè)鏈的治理主要還是從三個方面著手：一是加大打擊力度，提高違法犯罪的成本，讓犯罪分子不敢犯罪；二是加強源頭性保護、加強企事業(yè)單位信息安全防護責任和能力，讓犯罪分子難以犯罪；三是加深用戶自我保護意識。

二、我國法律對個人信息安全的保護及不足

（一）當前我國法律對個人信息安全的保護

2009年《刑法修正案（七）》增設(shè)刑法第253條之一，規(guī)定了“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”這兩種罪名，這也意味著我國正式將個人信息納入刑法保護。2015年《刑法修正案（九）》在此基礎(chǔ)上對該條規(guī)定作了進一步完善，罪名修改為侵犯公民個人信息罪[6]。

《刑法修正案（九）》自施行起，各級司法機關(guān)根據(jù)刑法修正案的相關(guān)規(guī)定，對侵犯公民個人信息犯罪保持高壓態(tài)勢，相關(guān)案件量同比顯著增長。但與此同時，司法實踐反映，侵犯公民個人信息罪的具體定罪量刑標準尚不明確，一些法律適用問題存在爭議。為確保法律準確、統(tǒng)一適用，依法嚴厲懲治、有效防范侵犯公民個人信息犯罪，最高人民法院與最高人民檢察院在公安部等部門的大力支持下，啟動了有關(guān)司法解釋工作。并于2017年發(fā)布《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）。

《解釋》已于2017年6月1日正式實施。此《解釋》的出臺為依法懲治侵犯公民個人信息犯罪活動，保護公民個人信息安全和合法權(quán)益提供了一個有利的司法保障，同時也進一步完善了我國法律對個人信息安全方面的保護。

在《解釋》出臺之前，《刑法修正案（七）》以及《刑法修正案（九）》均未對“公民個人信息”的概念在法律條款中進行明確定義。作為法定犯，與之相關(guān)的基礎(chǔ)法律沒有頒布，基本的概念和范疇沒有界定，這對于刑法的實施帶來一定難題。而《解釋》第一條[7]。

便明確了什么是“公民個人信息”，其對于“公民個人信息”的解釋不完全受制于《網(wǎng)絡(luò)安全法》對“個人信息”的定義，成功消除了“公民個人信息”的界定盲點。此外，《解釋》明確了何為“情節(jié)嚴重”和“情節(jié)特別嚴重”，為司法實踐提供量化了標準。

除此之外，于2016年11月7日通過、2017年6月1日開始實施的《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）不僅體現(xiàn)了時代信息化發(fā)展與網(wǎng)絡(luò)安全并重的科學安全發(fā)展觀，同時其確立的六大法律制度無疑是一大亮點。網(wǎng)絡(luò)空間主權(quán)法律制度、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護法律制度、重要數(shù)據(jù)本地化儲存法律制度、個人信息保護法律制度、網(wǎng)絡(luò)安全人才培養(yǎng)法律制度以及懲治新型網(wǎng)絡(luò)違法犯罪法律制度，這六大法律制度，確立了網(wǎng)絡(luò)空間主權(quán)原則、明確了重要數(shù)據(jù)的本地化儲存、強化了對個人信息的保護、確定了網(wǎng)絡(luò)安全人才培養(yǎng)制度、提出了關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護及其范圍，尤其是針對當前通訊信息詐騙等新型網(wǎng)絡(luò)違法犯罪的多發(fā)態(tài)勢，增加了懲治網(wǎng)絡(luò)詐騙等新型網(wǎng)絡(luò)違法犯罪活動的規(guī)定。

《網(wǎng)絡(luò)安全法》具有整體性、協(xié)調(diào)性、穩(wěn)定性和可操作性等特征，是我國應(yīng)對國際網(wǎng)絡(luò)安全挑戰(zhàn)、維護網(wǎng)絡(luò)空間主權(quán)、保障公民網(wǎng)絡(luò)空間的合法權(quán)益不受侵害、保障國家安全的利器，為全球互聯(lián)網(wǎng)的治理貢獻了中國智慧[8]。

（二）對《解釋》中“情節(jié)特別嚴重”認定標準的個人理解

我國的《刑法》對于侵犯公民個人信息罪一共規(guī)定了兩檔法定刑：“情節(jié)嚴重”及“情節(jié)特別嚴重”。與“情節(jié)嚴重”相同，《解釋》從犯罪后果及數(shù)量數(shù)額等方面對刑法條文中“情節(jié)特別嚴重”的認定規(guī)定了詳細的標準。

《解釋》規(guī)定了“造成被害人死亡、重傷、精神失常或者被綁架等嚴重后果的”以及“造成重大經(jīng)濟損失或者惡劣社會影響的”，應(yīng)當認定為“情節(jié)特別嚴重”。與此同時，《解釋》還將數(shù)量或數(shù)額達到前款“情節(jié)嚴重”標準十倍以上作為認定“情節(jié)特別嚴重”的標準，但是該標準是否合理，還值得商榷。我們都知道簡單的數(shù)量或數(shù)額的增多并不一定代表社會危害性會發(fā)生質(zhì)的變化，而且十倍以上的數(shù)量或數(shù)額的增大所導致的社會危害性，確實很難與對被害人的生命、健康、人身安全等造成嚴重侵害、造成重大經(jīng)濟損失或者社會影響極其惡劣的嚴重后果相提并論。另外，實踐中侵犯公民個人信息犯罪的行為人提供或者獲取公民個人信息的數(shù)量動輒幾十萬甚至上百萬條，以“十倍”作為認定“情節(jié)特別嚴重”的標準，客觀上完全可能會引發(fā)對侵犯公民個人信息罪實際“量刑不平衡”甚至“量刑過高”的情況出現(xiàn)[9]。

（三）犯罪停止形態(tài)的缺位

犯罪的停止形態(tài)，是故意犯罪的特有的犯罪形態(tài)之一，是指行為人在故意犯罪的過程中，因為主觀、客觀原因而停止下來的各種犯罪狀態(tài)，包括故意犯罪的預備、未遂、中止和既遂。侵犯公民個人信息犯罪屬于故意犯罪，行為人主觀上對犯罪的危害后果持追求或者放任的態(tài)度，因此，本罪是存在停止形態(tài)的可能性的。然而，筆者在中國裁判文書庫中進行檢索發(fā)現(xiàn)，從09年開始到現(xiàn)在還沒有判處一例侵犯公民個人信息犯罪預備、中止、未遂的案件。對于侵犯公民個人信息犯罪，在認定其犯罪停止形態(tài)的過程中，或者將其認定為犯罪既遂，或者不認定其為犯罪而只以《違反治安管理處罰條例》進行處罰，筆者認為，目前的認定方式是存在一定不足之處的，亟需進一步的解決。

三、計算機司法鑒定實務(wù)中處理個人信息交易案件

計算機司法鑒定在實務(wù)中，一般鑒定的類別分為三種：計算機電子數(shù)據(jù)、聲音和圖像資料。就個人信息交易案件，由于其涉案文件基本為辦公文件（如：Word、Excel、Text文件等）、數(shù)據(jù)庫類型的文件（如：Access、SQL文件等），故而其屬于電子數(shù)據(jù)鑒定業(yè)務(wù)的范疇。

筆者在司法鑒定科學研究院（原司法鑒定科學研究所）和華東政法大學司法鑒定中心實習期間遇到不少需要進行司法鑒定的與個人信息買賣相關(guān)的案子。在目前的鑒定實務(wù)中，主要以分析、統(tǒng)計個人信息的數(shù)量為主，濾去重復的個人信息，并將鑒定結(jié)果制成司法鑒定意見書送達給委托人，以協(xié)助司法工作的有序進行。一般情況下，此類案件的委托人為公安。

（一）個人信息交易案件中數(shù)據(jù)提取不易

個人信息交易案件中數(shù)據(jù)提取不易主要有三種原因：其一是需要鑒定的文件數(shù)量十分多；其二是需要鑒定的文件類型繁多；其三是文件中的個人信息并非全都是格式化的。

在大多數(shù)情況下，司法鑒定人員所進行的工作便是將各類電子文件中的個人信息提取出來，進行簡單的去除重復數(shù)據(jù)的技術(shù)操作。然而在實際工作中，鑒定人員往往會處理大量的文檔，這些文件的總量常常會達到成百上千的數(shù)量，少數(shù)案子則會達到上萬的數(shù)量。為了防止在信息統(tǒng)計時的疏漏，鑒定人員需要一個個將文件打開，然后手動提取文件中的個人信息，之后將信息一一匯總，最后再做去除重復數(shù)據(jù)的工作。很顯然，面對大量的文件，這種手動提取操作消耗了巨大的時間成本。

需要鑒定的文件類型繁多是鑒定困難的另一個問題。在實務(wù)工作中，鑒定人員所遇到的文件大多為以Word類型（后綴為.doc，.docx，.rtf等）、Excel類型（后綴為.xls，.xlsx）、Text類型（后綴為.txt）、圖片文件類型（后綴為.jpg，.bmp等）、數(shù)據(jù)庫文件類型（后綴為.mdb，.db等）、PDF類型（后綴為.pdf）居多。而在這些文件類型中又以Excel類型文件為主，Word類型、Text類型次之，數(shù)據(jù)庫文件類型和圖片文件類型再次之。多種類型的電子文件則要求司法鑒定人員需要用不同的方式提取相關(guān)個人信息。

鑒定困難的第三個問題便是各文件中的個人信息并非格式化存儲其中的。在一般人的認知中，Excel類型的表格文件應(yīng)該是非常容易提取信息的，例如某一Excel文件，第一列是姓名，第二列是聯(lián)系方式，第三列是身份證號碼，第四列是聯(lián)系地址等這種格式的。但實際鑒定工作中，鑒定人員經(jīng)常會遇到非格式化存儲的個人信息，例如前10行是格式化的個人信息，第11行至20行則與上面的10行進行錯位；表格文件一般都是從左上角開始輸入的，而實務(wù)工作中會遇到將個人信息寫在表格文件的很右側(cè)或是右下角的情況；更有甚者，利用Excel文件中隱藏行列的方式，將一些個人信息隱藏起來，在成千上萬行的數(shù)據(jù)中，如果工作人員不仔細，就會疏漏這些隱藏行列。Excel表格類型的文件中的個人信息尚且存儲非格式化，更不用說Word類型、圖片類型的文件了。

（二）針對海量多類型文件中個人信息的優(yōu)化提取方案

對于如此多數(shù)量、類型的數(shù)據(jù)文件，我們很容易想到通過編寫程序的方式，讓電腦程序代替人工進行數(shù)據(jù)提取。可是，目前司法鑒定領(lǐng)域并沒有一款有效的個人信息提取軟件。故而筆者在此將自己的程序方案呈現(xiàn)，為在計算機司法鑒定領(lǐng)域的工作人員提供優(yōu)化思路。

特此說明：由于個人信息涉及公民隱私，所以筆者在之后的程序中僅以手機電話號碼為例，以避免造成隱私侵犯。此外，由于鑒定文件中，主要以Excel文件為主，所以筆者之后的程序也僅展示Excel文件中數(shù)據(jù)提取，Word、Text等類型的文件提取方式與Excel相類似，故而不在此重復，僅為各計算機司法鑒定人員提供優(yōu)化思路。

特此說明：由于涉及隱私問題，其中實驗示例中的號碼的4位關(guān)鍵數(shù)位用“****”代替。

首先我們先看一份實驗文件，如下圖2所示：

從圖2中，我們可以看到，即使是個人信息中手機號碼，也是以多種格式存儲在一起的。有的號碼前面有區(qū)號；有的號碼前面多了一個0；有的號碼與人名放在一起；有的一個中有多個號碼；眾多號碼分布錯位；一個Excel文件不僅只有一頁，可能有多頁。如果單純地選取某一行或某一列進行復制粘貼的提取工作顯然耗時耗力，甚至出現(xiàn)差錯。所以筆者根據(jù)眾多手機號碼的格式，歸納整理后，編寫了以下程序。該程序可以有效排除擾選信息，例如身份證號碼、銀行卡號、固定電話、傳真等，精確提取出手機號碼。如下編碼所示。

根據(jù)此程序，鑒定人員就可以批量處理一個文件夾中所有的Excel文件了。而且每一個處理過的Excel文件都會產(chǎn)生一個對應(yīng)的Text文件。最后所有的文件所提出的數(shù)據(jù)會匯總到一個名為“合并整理”的Text文件中。

最后，我們將運用此程序處理之前的實驗Excel文件，結(jié)果如下：

由于手機號碼涉及隱私，故在此不能顯示實驗結(jié)果。讀者可以通過筆者的代碼自行進行實驗以驗證真實性和可靠性。筆者經(jīng)由多次不同的實驗得知，該程序可以有效地提取手機號碼。

在此筆者所提供的只是一種優(yōu)化思路和優(yōu)化方案，可供編寫更加完善的程序應(yīng)用提高借鑒。根據(jù)這種思路，司法鑒定人員在之后的工作中，面對處理大量個人信息交易案件便能夠省時省力了。

參考文獻

[1]《公安部：打擊侵犯公民信息源頭 深挖行業(yè)內(nèi)鬼》，訪問網(wǎng)站：http：//news.sina.com.cn/o/2017-05-09/doc-ifyexxhw2912808.shtml

[2]《劍斬黑客 守護網(wǎng)絡(luò)藍天》，李曉群，安徽日報/2017年/3月/29日/第010版 法治視線

[3]王建平，《最高人民檢察院發(fā)布侵犯公民個人信息犯罪典型案例解讀》，檢察日報/2017年/5 月/17日/ 002版 要聞

[4]《盤點國內(nèi)外2017年上半年網(wǎng)絡(luò)安全事件》，訪問網(wǎng)址：https：//baijiahao.baidu.com/s？id=1574491017129400𝔴=spider&for;=pc

[5]《盤點2016年中國網(wǎng)絡(luò)安全十大件》，訪問網(wǎng)址：http：//news.chinabyte.com/231/14039731.shtml

[6]《刑法修正案（九）》將刑法第二百五十三條之一修改為：“違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。違反國家有關(guān)規(guī)定，將在履行職責或者提供服務(wù)過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規(guī)定從重處罰。竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規(guī)定處罰。單位犯前三款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規(guī)定處罰?！?/p>

[7]《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋

》第一條刑法第二百五十三條之一規(guī)定的“公民個人信息”，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。

[8]王春暉.《網(wǎng)絡(luò)安全法》六大法律制度解析[J].南京郵電大學學報（自然科學版），2017，37（01）：1-13.

[9]劉憲權(quán)，房慧穎.侵犯公民個人a信息罪定罪量刑標準再析[J].華東政法大學學報，2017，20（06）：107-115.

作者簡介

徐元威，1993年5月，男，上海人，碩士在讀，司法鑒定（計算機與聲像資料方向）