楊錦璈，賈曉千

（中國人民公安大學，北京 100038）

一、問題的提出

信息化與大數(shù)據(jù)時代，互聯(lián)網、物聯(lián)網的深度發(fā)展所帶來的個性化服務、多樣化服務、精準化服務等便利都是以使用公民個人信息的授權認證為前提的，公民個人信息的形態(tài)呈現(xiàn)電子化、多主體存儲化特點。這一特點決定了公民個人信息的易受侵害性。同時，公民個人信息不僅具有作為互聯(lián)網、物聯(lián)網服務應用的媒介價值、潛在服務對象的商業(yè)價值，而且在信息深度挖掘應用的大數(shù)據(jù)時代，集成個人信息的海量數(shù)據(jù)成為高效分析社會需求、輔助社會決策的基礎工具。因此，個人信息成為充滿高度應用價值和商業(yè)價值的“數(shù)據(jù)黃金”，巨大的變現(xiàn)利益誘使侵害個人信息的風險空前劇增[1]，甚至形成以公民個人信息為牟利對象的犯罪產業(yè)鏈業(yè)，導致大量上游、下游犯罪滋生，公民財產權、人身權和隱私權遭受侵害。為此，公安機關連續(xù)多年有針對性地對此類犯罪行為進行打擊，如在“2015·11·11”侵害公民個人信息專案中，全國25個省區(qū)市公安機關同時行動，對涉嫌侵害公民個人信息犯罪的嫌疑人進行了集中抓捕，共抓獲涉案犯罪嫌疑人200余名[2]；在2016年公安部部署開展的打擊整治網絡侵犯公民個人信息犯罪專項行動中，全國公安機關共偵辦各類侵犯公民個人信息案件1886起，抓獲犯罪嫌疑人4261名，其中，銀行、教育、工商、電信、快遞、證券、電商網站等行業(yè)內部人員391人、黑客98人[3]；2017年12月20日，全國公安機關2017年當年累計偵破侵犯公民個人信息案件4911起，抓獲犯罪嫌疑人15463名，打掉涉案公司164個[4]；2020年全國公安機關共偵辦侵犯公民個人信息刑事案件3100余起，抓獲犯罪嫌疑人9700余名，偵辦治安案件3400余起，處理違法人員3600余名[5]。

由于犯罪打擊長效機制缺失，社會公眾個人信息被肆意買賣與不法利用，侵犯公民個人信息犯罪仍然呈現(xiàn)高發(fā)態(tài)勢，出現(xiàn)了如華住集團酒店開房信息泄露事件、順豐用戶隱私泄露事件等嚴重侵害公民個人信息的事件。更為嚴重的是，侵害公民個人信息犯罪常常與電信詐騙、敲詐勒索、綁架等下游犯罪相牽連，導致其社會危害性大大增加。要從根本上杜絕該種犯罪的發(fā)生，提出并實施更有效的打擊策略，就有必要對侵犯公民個人信息犯罪的產業(yè)鏈條進行詳盡的分析研究。本文從典型案例著手，重點討論了侵犯公民個人信息犯罪的犯罪鏈條，在此基礎上嘗試就犯罪鏈的各個環(huán)節(jié)提出有針對性的偵防對策。

二、侵犯公民個人信息犯罪產業(yè)鏈與犯罪鏈條分析

（一）以公民個人信息為牟利對象的產業(yè)鏈

犯罪產業(yè)化，是指刑事犯罪不斷規(guī)模化發(fā)展，逐漸形成精確分工、相對完整的地下產業(yè)鏈的發(fā)展變化過程[6]。在犯罪產業(yè)化過程中，發(fā)案量上升，犯罪產生規(guī)?；?，危害程度進一步加大。聚焦到侵犯公民個人信息犯罪上來，此類犯罪在其所蘊含的巨大經濟利益的驅動下愈演愈烈，逐漸從單個犯罪主體演變?yōu)榉缸飯F伙、甚至是犯罪集團的形式，成員間的分工更加有計劃性，犯罪專業(yè)化程度日益提高，犯罪的上下游環(huán)節(jié)聯(lián)結更加緊密。公民個人信息的不法獲取在某些案件中已經成為實施“精準犯罪”的基礎，借助QQ群、微信群、網絡論壇等媒介，非法買賣公民個人信息的“地下黑產業(yè)”已雛形漸顯，嚴重危害了公民的信息安全。

在某種意義上，打擊某一單一犯罪行為并不困難，但這樣的打擊對于侵犯公民個人信息犯罪而言收效甚微，偵查機關應當以整體性思維去審視侵犯公民個人信息犯罪。從宏觀的視角進行觀察，抽象出此類犯罪獨特的犯罪鏈模型，對明確犯罪的特點、有針對性地開展偵查、有重點地防范侵害等方面具有較大的理論和實踐指南意義。實踐中，侵犯公民個人信息的案件是大量存在的，最高人民法院、最高人民檢察院、公安部分別在2016年、2017年、2018年對外公布的數(shù)十起典型案例極具代表性[7]。本文以這些典型案例為基礎，結合媒體披露出的其它案件，研究每一起案件的基本事實，從非法獲取到出售、倒賣牟利，抽象出這樣一條犯罪產業(yè)鏈，如圖1所示。

圖1 侵犯公民個人信息犯罪產業(yè)鏈

（二）犯罪鏈條模型分析

由圖1不難發(fā)現(xiàn)，侵犯公民個人信息犯罪的信息源、買賣渠道、不法用途等均呈現(xiàn)出多樣化、復雜化趨勢。而此模型反映的僅僅是該類犯罪產業(yè)鏈中最簡單的非法牟利流程，在實際案件中則可能表現(xiàn)出多條犯罪鏈的交叉。

1.第一環(huán)節(jié)：不法公民個人信息源

不法公民個人信息源是整個犯罪鏈得以維系運轉的基礎和前提，處于整個犯罪產業(yè)的最上游。非法查詢、非法購買、黑客手段、利用網站漏洞扒取是當前不法獲取第一手公民個人信息的最典型行為。此外，從其他源頭處交換、買賣信息也是常見的手段。犯罪嫌疑人在通過各種渠道將公民個人信息匯總以后，會通過各種方式獲得求購信息或發(fā)布出售信息，這樣一個簡單的不法公民個人信息源就搭建起來。圍繞不法公民個人信息源頭，不難發(fā)現(xiàn)這么幾個特點：

第一，從參與者主體來看，能夠接觸本行業(yè)、部門公民個人信息的“內部”人員（包括本單位職工及關系人）作案呈現(xiàn)多發(fā)態(tài)勢，例如快遞業(yè)、銀行保險業(yè)、服務業(yè)等。他們往往利用工作之便，通過合法或非法的手段查詢、下載本單位所擁有的公民個人信息出售，或在共同犯罪中擔任重要角色，成為犯罪鏈中不法公民個人信息源形成的重要基礎。公開的案例顯示，許多政府公務人員、執(zhí)法人員也參與到公民個人信息的買賣中，且成為了最“官方”、最“權威”的信息賣方。同時，不少犯罪主體具備一定的專業(yè)知識，有能力發(fā)現(xiàn)、利用信息庫的漏洞搭建公民個人信息買賣的平臺，也有能力實施一定的反偵查措施以規(guī)避偵查機關的打擊。

第二，從公民信息泄露的渠道來看，公民個人信息在日常生活的方方面面都可能成為侵犯目標。從快遞訂單、小區(qū)物業(yè)等普通線下渠道，到滴滴外包服務業(yè)務、網購信息等普通線上渠道，從政府機關、企事業(yè)單位等特殊途徑，到黑客手段、網絡竊取等技術型線上路徑……可以說，獲取不法公民個人信息的渠道已經十分“平民化”。

第三，從泄露的公民個人信息的類型來看，經由上述渠道流出的公民個人信息種類繁多。僅在最高人民法院、最高人民檢察院和公安部所公開的部分典型案件中，就已經涵蓋了公民的個人身份信息、住址信息、出行記錄、電信信息（手機號碼、通話記錄、短信）、車輛信息、財產信息、房屋中介信息、住宿信息等等各式各樣的公民個人信息。同時，這些信息又以文字、圖片、視頻等多種形式表現(xiàn)出來。在部分案件中，還表現(xiàn)出了按照“客戶”需求提供特定信息表現(xiàn)形式的情形。

第四，從公民個人信息源的存儲方式來看，存儲載體形式多樣?，F(xiàn)在存儲技術的快速發(fā)展，為信息的大規(guī)模存儲提供了條件。在一些案件的偵辦中，鑒定機構從一臺iPhone終端上就提取到24萬余條數(shù)據(jù)信息。手機、PC終端、U盤、硬盤等都可能為犯罪分子所利用，甚至有的犯罪分子還會利用郵箱、云盤、網絡平臺等實現(xiàn)“云端”存儲。

2.第二環(huán)節(jié)：公民個人信息的流轉

搭建公民個人信息源不是犯罪分子的目的，這些信息要“流通起來”，犯罪分子才有機會牟利。在巨大的利益驅動下，公民個人信息沿著犯罪產業(yè)鏈向下游移動，并吸引了更多的主體參與進來，出現(xiàn)了所謂的買方和賣方。本文暫以買賣的形式為依據(jù)，將公民個人信息的流轉分為以下四種類型：

（1）公民個人信息的出售

從已發(fā)案件來看，掌握著公民個人信息源的犯罪分子通常先會通過微信、QQ、網絡論壇等社交媒介發(fā)布售賣信息，在與買方私下取得聯(lián)系后，會就買賣信息的種類、價格、接收方式等達成協(xié)議，然后通過微信、支付寶、現(xiàn)金、銀行卡等方式完成資金支付，最后賣方通過微信、QQ、郵箱、云盤等渠道“發(fā)貨”，完成全部交易過程。賣方通常會十分謹慎，在一些案件中，他們利用虛假的身份信息注冊賬號，表現(xiàn)出很強的反偵查意識，稍感異常立即消失。賣方所使用的銀行賬戶、支付寶賬戶等的注冊者通常也不是其本人。

（2）公民個人信息的購買

下游犯罪主體、特定客戶以及一些商家、企業(yè)是市場的重要需求方，他們會基于各種目的來搜尋售賣信息。例如一些生產或銷售保健品的企業(yè)，會想盡辦法購買適齡的消費者信息，進而實現(xiàn)對特定客戶群體的“精準推銷”；一些生產或銷售嬰幼兒用品的商家，則會購買從醫(yī)院等機構流出的新生兒信息，以搶占商機……公民個人信息泄露導致的騷擾電話、推銷信息等給群眾的生活帶來極大的困擾。還有大量的買方是基于詐騙、勒索、綁架等犯罪目的求購其所需要的信息，犯罪分子在社交APP、網絡平臺等發(fā)現(xiàn)售賣信息后，會主動與賣方取得聯(lián)系，而后通常根據(jù)賣方的要求完成支付等操作，最終獲取到所需的公民個人信息。

（3）公民個人信息的交換

“以物易物”是人類最原始的商業(yè)行為，在信息化時代的今天，這種買賣方式反而會因為省去了中間的支付環(huán)節(jié)而為犯罪分子逃避偵查帶來便利。根據(jù)信息的類型、數(shù)量和獲取成本計算，可以再次將交換行為做出更細微的劃分：第一種情形，A與B以等價值的信息（如同樣類型、數(shù)量的信息或者同樣獲取成本的信息）完成互換，不涉及資金的流動；第二種情形，A與B交換的數(shù)據(jù)信息并非等價值的，則A仍然要向B支付或者收取一定金額的差價補償。這種模式下，一方將己有的公民個人信息交換得到所需要的其它公民個人信息。第一種情形下不會發(fā)生資金的轉移，這種單純的信息對等交換具有很強的隱蔽性，很少會暴露在偵查機關的視野中；而第二種情形可以看作是交換+出售/購買的組合，兼有二者的特征。

（4）公民個人信息的倒賣

公民個人信息作為一種有價值的資源，其流通過程本身就可以獲利。實踐中，某些掌握公民個人信息買賣渠道的中間人會從中倒買倒賣，以加價的方式實現(xiàn)牟利。在某些案件中，這些所謂的“二道販子”會直接參與到公民個人信息源的搭建中，通過賄賂、購買等方式引誘某些信息部門的內部人員，慫恿其非法獲取信息管理權限或公民個人信息，而后以低價收購，再以賣方身份加價轉手。這個環(huán)節(jié)的犯罪分子通常學歷不高卻有一定的社交圈子，部分人甚至已經走上“職業(yè)中介”道路，專門從事公民個人信息的倒買倒賣。在信息的買賣過程中，還容易形成穩(wěn)定的上下聯(lián)絡人，組成侵犯公民個人信息犯罪的攻守同盟，以此降低被偵查機關發(fā)現(xiàn)和打擊的風險。

3.第三環(huán)節(jié)：公民個人信息的違法使用

沿著犯罪產業(yè)鏈，公民個人信息流入違法使用者手里，并在犯罪鏈條的最終環(huán)節(jié)展現(xiàn)出“犯罪價值”。通過非法手段獲取的信息為犯罪分子選擇犯罪對象、犯罪手段、實施犯罪提供了有效的“情報”指導。從實踐中來看，大量的公民個人信息被用以實施電信詐騙、“刷單”、竊取公民賬戶密碼等違法犯罪行為。公民個人信息的違法使用會對公民的人身、財產權利造成極大威脅，特別是在某些綁架勒索犯罪、詐騙犯罪中。但另一方面，公民個人信息的違法使用通常是一個逐漸公開化的過程，這也為偵查機關發(fā)現(xiàn)犯罪線索實施溯源偵查提供了條件。

三、侵犯公民個人信息犯罪的偵查機制

2017年3月20日最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）出臺，對侵害公民個人信息犯罪作出了進一步的規(guī)定，使其更具實操性。偵查機關在此類案件的偵辦中，應當嚴格遵循相關法律法規(guī)的約束，把握好《解釋》的價值導向，做好公民個人信息界定、公民個人信息數(shù)量認定等工作，并以此作為偵查取證的依據(jù)。

此外，侵犯公民個人信息犯罪在實踐中表現(xiàn)出了不同于其他犯罪的新特點，偵查機關也應當根據(jù)此類犯罪的性質變革偵查機制，積極嘗試各種新型偵查技術的應用。例如網絡遠程取證的應用，可以實現(xiàn)網上遠程調查取證，依程序獲取的數(shù)據(jù)信息可直接作為電子證據(jù)用于認定犯罪行為。這些新型技術手段的運用會極大地提高偵查機關的辦案能力。

（一）圍繞“源點”開展偵查

正如圖1所示，以各種不法手段搭建起的公民個人信息源處于整個犯罪鏈條的起點，因此圍繞“源點”對此類犯罪開展打擊將能發(fā)揮出最佳效果。從已偵破的案件來看，造成公民個人信息泄露的因素有很多，在政府行政管理以及金融、電信、交通、醫(yī)療、物業(yè)管理、賓館住宿服務、快遞等諸多社會公共服務領域，只要有一環(huán)出現(xiàn)管理疏漏或者工作人員出售、泄露情況，就將導致個人信息的非法流出[8]。通常情況下，公民個人信息流出的起點都是合法的數(shù)據(jù)庫、數(shù)據(jù)系統(tǒng)，而對動輒上萬條數(shù)據(jù)的存儲一般需要借助硬盤、U盤、網絡云盤、郵箱等媒介。由此，可以將犯罪分子搭建公民個人信息源的過程分為獲取和儲存兩個環(huán)節(jié)，下面將分開進行論述。

1.公民個人信息的獲取環(huán)節(jié)

在大多數(shù)案件中，公民個人信息通常是通過公共部門或社會組織的內部信息系統(tǒng)流出的。違法犯罪分子依靠黑客手段或是與這些單位的內部人員相互勾結，利用系統(tǒng)漏洞或監(jiān)管盲點查詢、竊取公民個人信息資料。公民個人信息的獲取具有一定的隱秘性，內部人員往往會以正當業(yè)務行為做掩護，利用違規(guī)獲取的信息管理權限或本單位監(jiān)管措施的缺失參與犯罪。黑客手段或其他技術方式對信息系統(tǒng)實施非法侵入和下載的情形下，也往往會因為較高的技術水準而難以被侵害單位發(fā)現(xiàn)。

技術的發(fā)展也同樣為偵查機關打擊犯罪提供了有力工具，反黑客、網絡調查取證等技術有力地推動了偵查機關執(zhí)法辦案能力的提高。例如，在公安內網的監(jiān)管中，警察在查詢公民信息時會在后臺留下痕跡，監(jiān)察部門依據(jù)這些痕跡可以及時發(fā)現(xiàn)異常線索，從而采取進一步的調查活動。同樣，任何犯罪行為都會留下痕跡，只是在利用互聯(lián)網非法獲取公民個人信息時所遺留下的痕跡都存在于虛擬空間之中。偵查人員可以利用網絡特情、網絡巡視以及利用人工智能技術自動辨別公民個人信息異常查詢、下載行為，及時介入。當然，在現(xiàn)實生活中，也存在著違法犯罪分子自行收集公民個人信息而后用以搭建信息源的情形。這種情況其實也并不罕見，主要表現(xiàn)為在以抽獎、報名為“噱頭”的APP、網頁鏈接上填寫個人信息。上文所提及的典型案件中，還存在犯罪分子在住戶樓下以偷拍等方式收集業(yè)主信息的行為。但是這些情形較為公開化，偵查人員相對更容易通過網絡監(jiān)控和日常監(jiān)管發(fā)現(xiàn)異常線索。

2.公民個人信息的儲存環(huán)節(jié)

雖然公民個人信息的承載形式多種多樣，如jpg、pdf、xml等，但犯罪分子在非法獲取到這些信息后，通常會借助現(xiàn)代化的媒介進行存儲，實踐中出現(xiàn)的各種云盤、郵箱以及網站數(shù)據(jù)庫都是如此。通過網絡進行信息傳輸匯總也是常見的行為方式。而當前各種“云計算”服務壟斷在私人企業(yè)手里，這就為偵查機關的介入造成了一定的障礙。在當下尚無相關法律法規(guī)做出規(guī)定的情況下，依靠騰訊、百度等互聯(lián)網企業(yè)輔助公安機關進行網絡監(jiān)控也是可行的。通過這種“警企協(xié)作”，借助公司內部的便利渠道，企業(yè)監(jiān)管部門可以及時發(fā)現(xiàn)信息傳送過程、后臺存儲系統(tǒng)中的可疑文件，并將獲取到的異常線索告知偵查機關以采取進一步的行動，而偵查機關則可以采取必要的獎勵等手段激勵這種行為。

（二）圍繞“流程”開展偵查

為實現(xiàn)犯罪牟利，犯罪嫌疑人必然要將手中的公民個人信息傳遞出去或從各種源頭獲取新的公民個人信息。從這個過程開始，犯罪行為逐漸“公開化”。從已發(fā)案件來看，犯罪分子利用QQ、微信等使用廣泛的媒介或者各種論壇、網站平臺進行買賣活動是比較普遍的做法。出賣者在QQ、微信、論壇等發(fā)布售賣廣告，而購買者則在微信群、QQ群、論壇等搜索求購信息，而且這個過程通常會伴隨著資金的流動。

在這個環(huán)節(jié)，偵查機關可以通過對出售、購買公民個人信息的廣告及QQ、微信等的實時審查與屏蔽，及時切斷非法出售、超目的使用和披露信息的渠道，降低可能帶來的不法侵害[9]。具體言之，偵查機關可以從買賣信息、資金流動兩個方面著手發(fā)現(xiàn)并斬斷買賣公民個人信息的渠道。一方面，偵查機關可以通過網絡監(jiān)控及時發(fā)現(xiàn)買賣過程中產生的售賣、求購信息。具體言之，網監(jiān)部門在實施網絡監(jiān)控的過程中，應當關注買賣公民個人信息的線索，把“戶籍”“軌跡”“身份證”“征信”“住宿”“手機”等關鍵詞作為重點，及時發(fā)現(xiàn)可疑通信痕跡，迅速介入不法交易過程。另一方面，偵查機關也可以從資金流動情況著手開展偵查。通過對特定銀行賬戶收付款軌跡的分析，偵查機關能夠圍繞犯罪主體建立起一張關系網，再結合數(shù)據(jù)碰撞、比對技術，就有機會發(fā)現(xiàn)犯罪分子的同案犯及買賣的上家和下家，從而為深挖犯罪、擴大戰(zhàn)果提供條件。在公民個人信息的買賣過程中，還有一個現(xiàn)象應當引起重視，即公民個人信息在買賣過程中通常是按條目或文件大小等方式進行定價的，因而由一個犯罪主體發(fā)起的多次售賣活動中，必然會產生這樣一種現(xiàn)象：每次買賣活動的流動資金都約等于某個固定數(shù)值的倍數(shù)，這類似于傳銷犯罪中的資金流動規(guī)律。因此，偵查機關應當加強與銀行等金融機構的合作，及時發(fā)現(xiàn)資金流動的異常情況，為進一步開展偵查奠定基礎。

（三）圍繞下游溯源偵查

在完成公民個人信息的買賣以后，大量數(shù)據(jù)流動到犯罪鏈的下游。如圖1所示，犯罪嫌疑人經過一系列的分析挖掘，將手中的公民個人信息轉化為實施犯罪的“有利情報”。這些“情報”為犯罪嫌疑人實施電信詐騙、敲詐勒索等犯罪提供了“目標導向”與“行動指南”。其中，最為常見的一種就是利用時效性較強的公民個人信息實施精準詐騙，如震驚全國的山東陳玉玉案。在這個環(huán)節(jié)，通常會產生特定的“受害主體”，公民的人身、財產權利被不法侵犯，絕大多數(shù)的受害者會選擇積極尋求公安機關的幫助。因此，偵查機關可以從打擊詐騙、敲詐等下游案件入手，順藤摸瓜，追查為實施其他犯罪提供條件的公民個人信息來源[10]。在目前的許多犯罪案件中，都會存在著侵犯公民個人信息犯罪的線索，但受種種因素的制約，這些線索并沒有很好地利用起來，然而這些線索對于偵查機關打擊侵犯公民個人信息犯罪卻意義重大。例如，在以公民個人信息為支撐實施的電信網絡詐騙犯罪中，偵查機關圍繞案犯所利用的公民個人信息，沿著買賣渠道向上游開展偵查，就有機會揭露出整條侵犯公民個人信息犯罪的產業(yè)鏈。這個過程中，通過下游犯罪溯源偵查，從而實現(xiàn)全產業(yè)鏈的打擊，能擴大戰(zhàn)果、提高打擊成效。在本文所重點關注的幾例典型案件中，正是因為這樣的思路才取得很好的打擊成效。

此外，在一些以公民個人信息為基礎，建立或竊取各種類型的互聯(lián)網賬號，而后從事“刷單”“會員售賣”等違法犯罪活動的案件中，對公民個人信息的不法使用可能是間接性的。對于此類案件的偵查過程中要注重取得相關公司企業(yè)的支持，構建“警企協(xié)作”的偵查機制，及時開展網絡取證，然后實施落地偵查，沿著公民個人信息買賣的產業(yè)鏈追蹤溯源打擊上游犯罪，以實現(xiàn)徹底摧毀整個產業(yè)鏈的目的。

（四）網絡偵查陣地控制與網絡特情力量

偵查中的陣地控制就是運用公開管理和秘密力量相結合，控制犯罪人員經常涉足、利用和易受犯罪侵害的吃、住、行、消、樂等場所或行業(yè)，從中發(fā)現(xiàn)、查緝、控制犯罪的一項刑偵基礎工作[11]。陣地控制對于偵查機關發(fā)現(xiàn)犯罪線索、預防和打擊犯罪意義重大，在物聯(lián)網、人工智能、云計算等新興技術的支撐下，陣地控制的范圍應當逐步擴大，而網絡偵查陣地則將在預防和打擊侵犯公民個人信息的犯罪中發(fā)揮重要作用。網絡偵查陣地控制是指網監(jiān)人員在其它機構、部門的配合下，通過有效的網絡信息監(jiān)管、平臺互動監(jiān)督及對相關網絡活動區(qū)域的有效監(jiān)視，實現(xiàn)對犯罪規(guī)律、犯罪形勢及“合適”網上犯罪案件的有效掌握，并為網上偵查提供研判信息的一種陣地控制形式[12]。通過對網絡空間的布控，尤其是可提供社交、存儲、支付等功能的網絡媒介或平臺的重點布控，可以有效壓縮犯罪分子的作案空間。這種控制一方面是指對實時交易、互動信息的控制，另一方面也是對后臺存儲系統(tǒng)的控制。通過日常網絡巡視和重點監(jiān)管，可以及時發(fā)現(xiàn)犯罪線索，做到早發(fā)現(xiàn)、早介入。這個過程要注重發(fā)揮大數(shù)據(jù)技術、人工智能應用的作用，通過新型技術手段輔助偵查。

把特情引入偵查工作之中可以大幅降低偵查辦案的成本，網絡特情建設也應當被納入刑偵基礎工作的一部分，注重平時的建設和積累。鑒于侵犯公民個人信息犯罪很大程度上是依靠互聯(lián)網進行的，偵查機關就要注重發(fā)揮網絡特情的作用。實際上，依靠網絡特情發(fā)現(xiàn)犯罪線索、鎖定重點犯罪嫌疑人是當前行之有效的做法。例如黑客，偵查機關可以借助他們的支持，以較小的偵查資源投入獲得案件的線索和證據(jù)。而且，對于偵查部門來說，引導黑客為網絡犯罪偵查服務是順應黑客群體發(fā)展的趨勢[13]。

四、公民個人信息安全的防范體系建設

近年來，公安部及各地公安機關投入大量的人力、物力資源不斷加強打擊侵犯公民個人信息犯罪的力度，然而此類犯罪的發(fā)展勢頭似乎并沒有得到有效的遏制。在此類案件日益高發(fā)的犯罪態(tài)勢下，立法機關和相關管理部門應在犯罪——打擊的不斷循環(huán)中反思如何建立、完善公民個人信息安全的防范體系，以實現(xiàn)有效預防侵犯公民個人信息犯罪發(fā)生的目標。因此，我們有必要對犯罪條件、犯罪主體、犯罪動機、犯罪成本等問題進行深入探討。

本文結合所分析的數(shù)十起典型案件，提出了如圖2所示的公民個人信息安全防范體系模型，從行業(yè)自律、法律規(guī)制、行政監(jiān)管等各個方面提出了多元、立體化的防范策略。

圖2 公民個人信息安全防范體系

（一）推動設立行業(yè)自律準則

行業(yè)自律是本行業(yè)從業(yè)者進行自我約束、自我管理的行為，推動行業(yè)自律準則的形成是構建公民個人信息安全防范體系的必要環(huán)節(jié)。當前，公民個人信息的獲取、存儲和使用打破了傳統(tǒng)意義上的行業(yè)概念，廣泛分布在餐飲、住宿、物業(yè)等各個領域。在此前提下，可以將所有涉及公民個人信息的機構、企業(yè)、部門劃入“泛公民信息類行業(yè)”（指所有與公民個人信息的獲取、存儲和使用有關的信息行業(yè)及其關聯(lián)行業(yè)）的范疇。通過對公民個人信息采集、存儲、使用等各環(huán)節(jié)程序的詳細規(guī)定，建立起從業(yè)者的職業(yè)自律意識、規(guī)則意識和法律觀念。在這方面，《個人信息保護法》設專章明確了個人信息處理者的合規(guī)管理、保障個人信息安全等義務，如要求個人信息處理者按照規(guī)定制定內部管理制度和操作規(guī)程，特別是對大型互聯(lián)網平臺規(guī)定了特別的個人信息保護義務，這樣可以有效地推動行業(yè)自律準則的建立和運行。

此外，市場禁入制度是一種有效的行業(yè)自律準則的懲罰機制。市場禁入制度是以強化個人責任承擔為出發(fā)點的[14]，對于嚴重違反公民個人信息管理規(guī)定的從業(yè)者規(guī)定不同期限的市場禁入，可以及時將素質較低者排除在行業(yè)以外。對此，《個人信息保護法》已經確立了高管禁業(yè)、違法行為計入征信等懲罰措施。

（二）完善法律體系

對于侵犯公民個人信息的不法行為，要根據(jù)情節(jié)規(guī)定輕重有別的懲罰措施，維護好本行業(yè)的良好秩序。完善的《個人信息保護法》，是最基本、最全面的保護個人信息的途徑和方法[15]?！秱€人信息保護法》細化了個人信息保護應當遵循的原則和個人信息處理規(guī)則，強化了個人信息處理者的義務，明確了個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全，圍繞公民個人信息安全完善收集、使用、管理、存儲等各個環(huán)節(jié)明確了個人信息處理活動中的權利義務，健全了個人信息保護工作的體制機制，將公民個人信息的保護納入法治的軌道。同時，全方位的、立體化的公民個人信息保護體系是司法機關依法打擊此類犯罪的法律基礎，為此，《個人信息保護法》還要與《民法典》《刑法》《網絡安全法》《數(shù)據(jù)安全法》等相關法律法規(guī)相銜接，明確相關法律責任，根據(jù)侵犯公民個人信息危害行為的嚴重程度靈活適用刑事或行政手段予以打擊或處罰。

（三）成立公民個人信息保護的專職機構

大數(shù)據(jù)時代，公民個人信息保護任務繁重，將權責零散地分散在不同的機構下，既不利于統(tǒng)籌力量實現(xiàn)資源的充分利用，也無益于公民個人信息保護的專業(yè)化發(fā)展，成立專職機構專司公民個人信息保護可以起到更好的監(jiān)管作用。《個人信息保護法》就相關制度措施落實的監(jiān)管執(zhí)法機制、個人信息保護和監(jiān)督職責作出了規(guī)定，明確國家網信部門和國務院有關部門在各自職責范圍內負責個人信息保護和監(jiān)督管理工作。既實現(xiàn)了權責明確，也加強了信息情報、執(zhí)法力量的共享，進而實現(xiàn)公權力對公民個人信息安全的更有效保護。

機構建設方面，法國設有信息與自由全國委員會，負責保護信息領域的個人隱私與自由，直接向議會負責且擁有行政制裁權[16]。據(jù)此，筆者認為可以參照證監(jiān)會、銀監(jiān)會的機構設立經驗，探索建立我國的信息監(jiān)督管理委員會，直接對國務院負責，并將“泛公民信息類行業(yè)”全部納入其監(jiān)管的范圍。同時賦予其必要的行政權和行政法規(guī)的制定權，再根據(jù)具體業(yè)務靈活設置其內部機構，使之在行業(yè)管理方面真正發(fā)揮作用。

（四）提高公民的個體防范意識

從目前已經偵破的眾多案件來看，公民個體防范意識薄弱是造成信息泄露的重要因素之一，大量的公民個人信息被有意無意地通過種種渠道泄露出去。因此，有關部門有必要采取綜合措施提高公民的防范意識，使其充分認識到保護個人信息的重要性，懂得如何防范個人信息被侵犯[17]。例如，生活中謹慎應對索取個人信息的不明鏈接、注意撕毀快遞信息單，每一個良好習慣的養(yǎng)成都可能避免本人信息被不法收集和使用。提高公民的個體防范意識有助于從源頭上堵塞信息泄露的渠道。在大數(shù)據(jù)的時代背景下，只有每個人建立起保護本人信息安全的意識，整個社會才真正有可能建立起一道信息安全的防護墻。

此外，還要讓公民形成對個人信息權利的尊重[18]。侵犯公民個人信息犯罪對每一個個體的正常生活造成影響，即使犯罪分子本人的信息也可能處在犯罪產業(yè)鏈的某個交易環(huán)節(jié)。公安機關等部門要通過各種渠道加強宣傳，營造一種良好的社會氛圍，從輿論方面提高侵犯公民個人信息犯罪的犯罪成本。

（五）加強執(zhí)法隊伍建設

目前，侵犯公民個人信息犯罪的案件主要是由公安機關負責偵辦的。各級公安機關組織的專項行動也取得了豐碩戰(zhàn)果，例如“2015·11·11”侵害公民個人信息專案、“凈網2018”等。但是在這類新型案件的偵辦中，偵查人員經常會遇到各種新情況，造成關鍵證據(jù)疏漏、關鍵嫌疑人潛逃等重大后果的發(fā)生。對此，一方面，公安機關要始終對此類犯罪保持嚴打高壓態(tài)勢，不間斷地組織打擊行動[19]，另一方面，要認識到加強執(zhí)法隊伍建設是提高公安機關辦案能力的關鍵?；诠駛€人信息犯罪的網絡化特點，吸收計算機領域方面的專業(yè)人才加入偵查隊伍也是有必要的，可以依靠他們的力量組成技術小組，專司侵犯公民個人信息犯罪的偵查與防范。

（六）加強建章立制、執(zhí)法監(jiān)管

要實現(xiàn)保護公民個人信息安全的目標，就必須對涉及公民個人信息的企業(yè)、部門等進行嚴格的監(jiān)管。這里所說的監(jiān)管可以從兩個層面來理解：一方面，掌握有公民個人信息的政府部門、行業(yè)、機構要通過建立關于個人信息保護的內部規(guī)章制度，對行業(yè)內部人員實行嚴格的管理與監(jiān)督[20]，通過強化內部的監(jiān)管避免侵犯公民個人信息行為的出現(xiàn)；另一方面，執(zhí)法部門也要嚴格依據(jù)法律的規(guī)定，不斷加強對此類機構、單位的監(jiān)管力度，通過監(jiān)管機制保證公民個人信息獲取、存儲、使用的合法、合規(guī)。對此，《個人信息保護法》對不同性質的個人信息處理作出了不同的監(jiān)管規(guī)定。對于大型互聯(lián)網平臺，特別規(guī)定要按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監(jiān)督，定期發(fā)布個人信息保護社會責任報告，接受社會監(jiān)督等。對于個人信息處理者，規(guī)定要求采取相應的安全技術措施，指定負責人對其個人信息處理活動進行監(jiān)督，定期對其個人信息活動進行合規(guī)審計，對處理敏感個人信息、利用個人進行自動化決策、對外提供或公開個人信息等高風險處理活動進行事前影響評估，履行個人信息泄露通知和補救義務等。