公民个人信息安全犯罪防控研究
董纯朴?
内容摘要:侵犯公民个人信息犯罪是犯罪学中的概念,以刑法规范为核心,拓展到危害达到行政法评价程度的针对公民个人信息的违法行为,具体可表现为擅自披露、擅自提供、非法买卖、超目的使用和冒用公民个人信息等行为方式。 个人信息保护是一个世界性课题与难题,尤其是移动互联网时代的到来,信息传播的渠道越来越广,公民的个人信息泄露已成为信息化社会的顽疾之一,形成一个严重的社会公共安全问题。有效的保护个人信息事关人民切身利益和社会秩序,必须建立起多元主体参与的公民个人信息犯罪防控制度,才能够从根本上解决问题。
关键词:公民;个人信息;犯罪;防控
一、犯罪现状:我国个人信息安全状况堪忧
(一)侵犯公民个人信息犯罪主体多元化
一是单位犯罪主体成为泄漏公民个人信息主渠道。社会的发展促进了人们相互之间的交往日益频繁,同时个人信息被大量留存于国家机关及其他公共服务单位(金融、保险、电信、供水、供电、供气、医疗、物业、房产中介以及其他掌握公众信息的单位)。“犯罪现象是一种由各种因素决定的复杂的社会现象。在决定犯罪的复杂因素中,经济因素是起决定性作用和占主导地位的因素。” 为了谋取私利,近年因公营企业泄露个人信息而引发的各类案件迅速增多:一些来自中国移动、中国联通、中国网通的员工向他人提供和出售的不仅是本公司掌握的用户信息,而且还充当“掮客”和“二道贩子”贩卖其他公司的用户信息。他们出售的不仅是客户的一般身份资料和手机号码等静态信息,还有他们利用自己处于特殊岗位的职务便利和技术特长,向他人提供和出售的用户通话清单、通话内容甚至手机定位等动态信息。2009年央视3·15晚会揭露了山东济南、日照、德州等地通信公司向用户发送垃圾短信以及违法信息,并且出卖用户信息。“近日,一份名为‘2000万开房数据的资料被网友疯狂下载。2000万条数据大规模泄露,显示了2000万个受害人包括姓名、身份证、性别、出生年月日、手机号及注册邮箱在内的详细个人信息。在2000万条泄密个人信息中,其中涉及济南市民162764人。”
二是自然人犯罪主体。分为两类。第一类是公权力机关及其工作人员和垄断性公共服务机构及其工作人员是侵犯公民个人信息犯罪主体。在2008年10月至2009年6月期间,为谋取非法利益,福建省宁德市公安交警指挥中心员工蔡某某等7人,通过公安网车辆信息管理系统盗取全国各地小汽车、摩托车车主信息资料,并出售给被告人钟某某。2009年7月至2010年6月,黄某某等22人非法购买车主信息资料、400电话号码、手机、银行账户等,并在云南昆明冒充车辆管理所、国家税务局工作人员与车主联系,以小汽车、摩托车下乡补贴、退税为由骗取41人共计1557.0624万元。检察机关遂以诈骗罪、赌博罪、出售公民个人信息罪将被告人蔡某某、黄某某、钟某某等30人公诉至福建省宁德市中级人民法院。据悉,此案系宁德市查获的最大一起出售公民个人信息案件。
第二类是无业人员成为犯罪一般主体。在公安机关侦破的一些重大案件中,无业人员已经成为公民个人信息犯罪的主体。2012年年底,北京市海淀区人民检察院依法批准逮捕了陈某、唐某、肖某和张某4名犯罪嫌疑人,其涉嫌盗窃大型购物网站京东商城大量用户的账户信息。2012年2月,嫌疑人陈某从其叔叔陈某某、老乡周某处获取了一个存有800多个京东商城客户账号及密码的文档,一套查看上述账户内资金情况的软件。其后,陈某开始在他位于广东省东莞市常平镇某小区的住处内,使用自己的台式电脑,利用上述软件对京东商城客户的账户进行扫描。盗刷账户内的资金,在网站上下订单购买平板电脑、黄金饰品、手机、彩票等商品。陈某以上述手段盗窃京东商城1620余名客户账户内的资金,在京东商城网站上购买价值约10000余元的物品。2012年3月初,嫌疑人陈某将这一存有京东商城客户用户名及密码的文档,通过QQ拷贝给嫌疑人唐某,唐某于是采取同样的方式,在其位于广东省东莞市的家中,盗刷京东商城用户账户内的资金,购买商品。唐某共盗窃了京东商城40余名客户账户内的资金,购买价值约7351元的物品。
(二)侵犯公民个人信息案件的主要特点
一是一些犯罪分子大肆向掌握信息的部门内部人员购买信息,并通过网络相互买卖,形成了公民个人信息的网络交易平台。从上游数百元买来的一条个人或企业信息,调查公司转手后卖至数千上万元,最高信息交易价格甚至高达6万元一条。“犯罪嫌疑人从网上向上家非法购买公民个人信息后,加价卖给下家,非法获利。犯罪嫌疑人高某,从2009年10月起,开始通过网络获取他人的电话号码、个人身份等资料信息。其‘上家主要有此次被公安部查获的‘小妍蛋蛋店、‘信息联盟等非法机构。当‘下家提出需求信息后,高某便低价向‘上家购买信息,再高价转卖给‘下家。”
二是利用合法身份作案,具有很强隐蔽性。中国乃至亚洲地区最具盛名的收藏品交流中心之一的“华夏国博”,是一个利用非法获取公民个人信息实施违法犯罪的特大团伙。2013年8月7日下午,丰台公安分局调集近300名民警对这家公司的本部和技术部统一展开抓捕行动。警方从该公司内搜出大量公民个人信息单,用了4辆皮卡汽车才将信息单运完。初步估算,该公司在4个月内至少非法收集了60余万的公民个人信息。这些信息被用于电话诈骗犯罪,交易额达上亿元。
三是不断滋生下游犯罪。侵害公民个人信息犯罪是多种下游犯罪的源头,社会危害巨大,除形成垃圾信息源源不断、骚扰电话不分昼夜等个人信息泄露隐患外,还和电信、网络诈骗(例如办卡恶意透支)、绑架、敲诈勒索、暴力追债等犯罪合流。在各地已侦破的黑恶犯罪案件中,有的黑恶势力雇佣、组织社会闲散人员或刑释解教人员开展“调查业务”,有的非法调查公司直接蜕变为黑恶犯罪组织。目前,在全国大中城市中普遍存在非法调查公司,经济发达地区尤为严重。2008年7月至10月间,中国联通有限公司北京分公司网络运行维护部监控中心主任唐纳宇的主要工作是负责移动网络监控和维护,以及特别通信的技术支持,包括配合公安机关的大要案工作。如手机定位,也就是警方通常说的给犯罪嫌疑人“上手段”的一种,是只有国家执法机关才能使用的特别手段。其利用职务之便私自帮助一家调查公司掌握了手机定位技术。一名受害人因手机通话记录和基本信息被泄露,遭私人侦探定位,最终被仇家杀害于家门口。
四是造成公民个人人身安全防不胜防。犯罪嫌疑人在获取大量外泄的个人信息,特别是具体的开房信息,可以进行酒店录像窃取、跟踪偷拍、财色引诱、PS黄色照片、设计陷阱等不法手段伺机要挟、勒索钱财,给个人人身安全和家庭稳定带来许多的隐患。
二、犯罪防控:社会管理亟需多方位创新
(一)立法质量和进度已无法满足信息社会实际发展需要
一是法律规范还比较薄弱和滞后。我国已出台与网络相关的法律、法规和规章共计两百多部。据统计,涉及个人信息保护方面的法律有将近40部,法规有30部,另外还有一些部门规章和一些地方法规。目前,我国刑法明确规定了“非法获取公民个人信息罪”,已将泄露个人信息入罪。但是,缺乏专门的隐私权保护或个人信息保护方面的法律。在法律层面,除《刑法》第253条、《居民身份证法》第十九条有所规定外,其他法律都没有专门针对这个问题的规定。其他的规定,主要是一些部门规章和行业规范。
二是某些法律概念不清晰。要将一类行为规定为犯罪,必须是该行为具有严重的社会危害性,严重的社会危害性是行为构成犯罪的前提和基础。所谓的社会危害性,是指行为对刑法所保护的社会关系的侵犯性,由于社会危害性是对法益的侵犯,因此,只有当某种行为对法益造成了侵害或者侵害的危险时,该行为才具有社会危害性。 首先,“公民个人信息”的界定存在争议。《刑法修正案(七)》增设的第二百五十三条将公民个人信息定义为“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,在履行职责或者提供服务过程中所获得的公民个人信息”,然而在实践中,对于公民个人信息的界定,却存在不少困惑。“按照刑法的规定,非法获取公民个人信息罪,是指以窃取或者其他方法非法获取国家机关或者金融、电信等单位在履行职责或者提供服务过程中获得的公民个人信息。这一法条仅仅明确了公民个人信息的来源,但并没有对公民个人信息进行列举或作出规定。姓名、电话等属于传统‘显见的公民个人信息,但车主、业主等非传统领域内的信息是否适用于‘个人信息则在实践中仍然存在分歧。” 在相关法律中缺乏对公民信息“非法获取”行为的具体规定,“在司法实践中,常见的情况是有证据证实行为人非法持有大量的公民个人信息,但常常无法证实这些信息的获取手段是否合法。在这种情况下,如何认定其获取手段的‘非法性同样存在分歧。”
其次,“情节严重”认定难以操作。在办案实践中,一般掌握的“情节严重”标准,是从非法获取信息的目的、犯罪手段、信息的用途、犯罪后果、获取数量及获取次数等方面进行判断的。然而即便执法机关审慎地掌握上述标准,在实际操作中还存在一些具体问题。例如,为进行市场调查获取大量信息,并未转卖或用于拓展业务的,是否应当入罪?非法获取行为造成严重后果的,应达到何种程度?获取信息的数量应当定为多少比较适宜?获利金额与此罪侵害的法益并无直接联系,是否也应成为“情节严重”的标准之一?此类问题若得不到解决,易造成各地基层执法部门的不统一。
三是法律处罚力度不够。2009年2月28日开始实施的《刑法修正案(七)》中规定了“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”与犯罪分子丰厚收益和巨大危害相比,判处“三年以下有期徒刑或者拘役”显得惩戒明显不足。百度董事长李彦宏委员认为,“不遵守法律的代价太小。对于一个市值几十亿甚至更多的企业,几十万的罚金无济于事,应加大处罚力度。另外,相关法律并未对利用非法获得的个人信息开展各种牟利行为的处罚。
四是立法进程缓慢。吴邦国委员长曾明确提出“以法律形式保护公民个人及法人电子信息安全”的观点。法律保护是最广泛、最有效的保护机制,但是我国目前还没有专门针对个人信息保护的综合立法。早在2003年,原国务院信息办委托中国社科院法学所课题组承担《个人数据保护法》比较研究课题及草拟一份专家建议稿,并形成了《个人信息保护法》草案。2005年,近8万字的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》完成。2008年,《个人信息保护法》草案呈交国务院。至今,我国保护个人信息立法进程尚不明朗。在十一届全国人大常委会立法规划中,该法未被列入,属于“继续开展研究论证,视情况作出相应安排”的项目。
(二)司法打击存在多方面难题
一是公安机关陷入“单打独斗”局面。因个人信息泄露引发的刑事案件呈高发趋势,个人信息泄露正在逐渐为犯罪分子实施犯罪打开“方便之门”。 破解公安机关打击侵犯公民信息“孤军奋战”的困局是当前司法实践中遇到的一个重要现实问题。
二是难以追溯犯罪源头。侵犯公民个人信息罪的客观方面表现为将合法持有或窃取的公民个人信息出售或者非牟利致害使用。在行为人合法持有公民个人信息并非法处理的情况下,信息权利人基于一定的法定事由或约定事由将信息交给犯罪人,其有理由相信犯罪人会合法使用相关信息,权利人对信息处理的过程很难监督,因而也难以发现其出售、披露、超目的使用和保管不善丢失等不法行为。当行为人窃取公民个人信息时,窃取行为本身是秘密的,不动声色的,网络上的破译密钥和编程技术等手法具有典型的隐秘特征,而且信息具有可复制性,丢失后不会造成被害人物件的毁损缺漏,被害人往往对窃取行为不得而知。此外,犯罪人的出售和致害使用行为往往通过互联网完成,互联网犯罪具有无现场性。 犯罪分子主要是利用网络进行倒卖信息活动,用的大多是虚拟身份,交易成功后立即销毁作案证据,非常隐蔽。这类犯罪发现难,基本没有被害人报案。如果仅是信息被泄露、接到骚扰电话,没有发生现实的危害结果,警方很难立案侦查。案件进入提取证据、审讯深挖阶段,难题更是接踵而来。例如,石家庄市公安局长安分局民警孙春寿在查办一起非法调查案件时,发现嫌疑人进行非法手机定位是通过外地人员来实现的。这些在外地的人员,作为石家庄的公安机关很难查清。由于这类犯罪一般通过网络平台进行,警方在调查取证方面存在一定难度。
三是获取信息的来源和时间难以甄别和确认。虽然法律规定公民个人信息的来源作出了限制性的规定,但是在办案实践中,出售和非法提供公民信息的源头往往难以查获,而大多非法获取的公民个人信息案件中的信息都是几经转手或者直接购买于网络,犯罪嫌疑人也不知道信息最初的来源。因此,除了一些户籍底卡、储户信息、新生儿信息等显而易见的是从国家机关、金融、医疗单位方能获取的之外,对于其他一些综合类信息及经过修改的信息,办案人员很难从信息内容上判断信息的来源,给定罪带来困难。
(三)社会管理方式亟需完善。
一是大部分主体身份特定,责任落实难度大。刑法中侵犯公民个人信息犯罪的条款在实践中被“架空”。至今,全国范围内没有一起单位犯罪被追究的案例,也没有单位主管人员或相关负责人为此被追究刑责。对不断被曝光的泄露客户信息事件,相关单位均保持沉默,鲜有公开道歉或对外公布内部问责情况。例如2009年中央电视台3·15晚会上曝光了中国移动山东省公司出售用户个人信息,当时《刑法修正案(七)》已经生效,但司法机关从未追究这一“罪行”。
二是监管主体模糊。网络本身具有跨领域、跨部门、跨地域特性,对互联网的发展和管理已超出单个部门或领域、地域的界限,仅靠单个部门各自为战、独立开展工作,已无法有效履行监管职责。对此,目前建立了齐抓共管的网络管理协调工作机制,但是,该协调机制的效果也不尽如人意。 所有“调查公司”最重要的是信息来源问题,而其获得个人电话、户籍、车辆、出入境、银行存款等信息的一条重要途径就是网上QQ群。这些QQ群里的成员由全国各地的“私家侦探”组成,其掌握各种信息资源,通过QQ群建立联系,互买信息,互相获利,成为个人信息传播的集散地。另外,一些“调查公司”公开在互联网上公开招聘电信、公安人员为其提供信息,成为电信、公安等极少数人员违法犯罪的诱因和联络途径。
三是行政机关缺乏保护个人信息和隐私权的观念。目前,我国许多行政机关、法人和其他组织普遍缺乏保护个人信息和隐私权的观念,不以任意收集、处置、泄露公民个人信息行为为侵权、违法。
四是对个人信息和隐私权侵犯的法律救济制度不完善,救济渠道不畅。2013年4月,中国南方航空公司将顾客个人信息泄露给昆明康辉旅行社,消费者在维权过程中屡屡受挫。南方航空投诉中心工作人员认为:“旅行社知道您的信息的话,我们这边是无从查找的,因为南航毕竟不是一个执法部门,你可以问一下他是和哪个部门合作的,如果你要维护旅客权益的话,也可以找警方那边协助看他们那边是通过什么途径拿到信息的。”
三、完善法律:不断封堵个人信息泄露漏洞
(一)加快个人信息保护立法步伐
世界历史发展过程证明,法律是打击侵犯公民个人信息犯罪的最有效手段。从全球视野角度看,许多发达国家在保护公民信息隐私权方面制定了非常完善的法律。英国早在1984年就制定了《数据保护法》,规定不允许以欺骗手段从数据主体那里取得信息。美国非常重视网络隐私权保护问题。1986年,美国国会就通过了《联邦电子通讯隐私权法案》,规定了通过截获、访问或泄漏保存的通信信息侵害个人隐私权的情况、例外及责任,是处理网络隐私权保护问题的重要法案。德国则在1997年颁布了《联邦信息与电信服务架构性条件建构规制法》,其中第二部分《电信服务数据保护法》,对网络应用过程中可能产生的个人及隐私信息的侵害状况,进行了世界上最严格的规定——任何人、任何公司都不能擅自对网民个人信息进行搜集和整理。目前,世界上已有50多个国家制定了个人信息法体系。
从国内角度看,各方面显示出来的立法条件已经比较成熟。首先,议政、执法等层面要求立法。在多年召开的“两会”上,多位代表、委员提出议案、提案,建议尽快出台个人信息保护法。建议从立法宗旨、基本概念、信息资源主管部门、基本原则、适用范围、个人信息收集主体、收集范围、收集程序、部门或组织告知义务、个人信息的储存与使用、更改程序、共享程序、行业自律机制、监督机构及职责、损害赔偿、法律责任等方面做出规定。在执法部门具体执法方面,公安部刑侦局副局长廖进荣表示,公安部已经与全国人大常委会法工委等部门进行了多次有效沟通,希望通过公安机关已经开展的多次集中打击侵犯公民个人信息犯罪行动反映出的法律问题引起更多重视。
其次,公众对保护个人信息的法律需求极为迫切。去年年底,《中国青年报》社会调查中心通过题客调查网、中国雅虎和民意中国网,对11163人进行的调查显示,93.8%的人有过因个人信息泄露带来的困扰。75.4%的人表示从未接受过与个人信息安全相关的教育或培训。86.0%的人期待国家尽快出台《个人信息保护法》。
“立法项目都体现了当前经济社会生活中急需调整的权利义务关系,也将对社会生活产生深远影响。” 工信部副部长杨学山认为,“个人信息保护实行面广,一定要从法的角度规范,才能使这项工作在法律上有依据”。从我国立法程序方面来看,早在2003年,国务院信息办委托中国社科院法学所个人数据保护法研究课题组,承担《个人数据保护法》研究课题,并草拟了一份专家建议稿。2005年,近8万字的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》完成。这些建议稿提出了建设性意见,为立法机构正式立法打下了良好的基础。4月,国务院启动了《个人信息保护法》的立法程序。立法机关应在此基础上进一步借鉴其他立法先进国家的经验,面对个人信息遭泄露行为日渐猖獗的形势,充分考虑现实需求的紧迫性,争取在本届全国人大常委会任期内提交审议《个人信息保护法》。
(二)不断完善现有相关法律
法律应当是一个完整的体系,涵盖等方面,现行的有关法律在实践中发挥了重要的作用,但是与目前侵犯公民个人信息犯罪行为猖獗的现状已不相适应,需要通过修改法律进一步得到有效完善。
一是确立个人信息保护范畴及侵害罪名。首先应将所有能识别出身份的信息,包括个人的图像、声音、网络信息等,都列为保护对象。其次是借鉴国外立法经验,设立“侵害个人信息罪”,对于侵犯个人信息的犯罪行为应追究相应的刑事责任。三是对利用非法手段获取个人信息,如利用现代通讯手段刺探私人情报信息、雇佣他人跟踪私人活动、利用公民个人信息进行虚假广告宣传等,应明确追究法律责任。另外,个人信息处理活动应当遵循什么原则、信息主体在个人信息处理活动中享有哪些权利、如何保管收集来的信息、对滥用个人信息的信息处理单位和主管人员如何处罚、什么机构负责执法等,都需要相关法律来进一步明确。再者,“有的时候,由于信息的主人保密意识不强,在某些场合过多地透露了自己的信息,如填写调查问卷、客户资料等等。在这种情况下,尽管获取信息的方式并不是在履行职责或者提供服务过程中获得的,更谈不上非法获得他人信息,但是也应当对采集信息者作出约束,不得过度采集他人信息或者以赠送产品、参与抽奖等作为条件诱使他人提供个人信息。以这种方式获得信息后再出售或者非法提供给他人的,也应当追究法律责任。但是目前对这样的行为,法律尚未进行规制。”
二是同步跟进立法设计的应有行政处罚。“目前来看,刑法修正案(七)和2010年侵权责任法对其中的刑事责任和民事责任作了部分规定,但在行政责任尤其是行政执法机制上,依然存在较大短板。在我国,公民个人信息大量掌握在行政机关手中,而且泄露个人信息最严重的部门,如银行、医院、电信公司等,主要的监管责任也在政府主管部门。这提示我们,对公民信息权利的立法保护,重点应当是行政立法,确立政府的执法义务和监管责任,为政府部门监管行业领域侵犯个人信息提供明确的责任倒逼机制。” “个人信息保护法律体系是一个涉及宪法、刑法、民法、行政法等多个部门法的综合体系。侵犯个人信息的法律责任也应当包括刑事责任、民事责任和行政责任这三大类。刑事责任的制度已经先行一步,行政责任的建立与民事责任的健全也有必要写入立法日程。”
(三)通过出台司法解释来细化现有刑法等有关法律条款、契合实际
作为对法律的补充和细化,司法解释是保障正确适用法律的手段之一。将复杂的抽象的法律规则变为合理的、可操作的细则,是司法解释的主要目的。 “现行刑法第253条之一的可操作性不够,对于侵犯公民个人信息的行为,什么情形应追究刑事责任、什么情形应予以行政处罚没有一个明确标准。例如,在上述两款刑法条文中,起刑点‘情节严重如何判定?非法售卖个人信息上千条还是上万条才构罪?构罪的标准不明晰,这既消解了法律在具体司法实践中的可操作性,也可能成为一个替不法分子规避法律制裁的司法漏洞,亟须细化此法律标准。‘情节严重的标准应该综合把握,既要考虑涉案行为侵害个人信息的数量,也要考虑侵害行为对被害人、家庭及社会造成的损害程度。除此之外,信息的用途、性质、获利数额、非法获取的手段等也可以作为‘情节严重的衡量因素。”
(四)建立公民个人信息权益受侵害补偿机制
目前的法律对用户隐私的侵权行为约束力有限,用户维权、寻求民事赔偿胜率不大,对损失评估难以确定金额,所以对隐私泄露的责任人追究比较困难。从社会防控公民个人信息犯罪的角度讲,除了追究相关人员的刑事责任,应同时加大行政管理、民事诉讼的力度,法律应该明确公民个人信息遭非法泄露后,能否向存在过错的单位、机构索赔,以及如何赔偿,以有效遏制泄露信息的情况发生。没有救济的权利不是真正的权利,这是法学界公认的原则尽管有些法律界人士认为,公民个人信息遭遇不法侵害时,应当适用业已建立的行政复议与行政诉讼途径寻找法律救济,无须另行建立法律救济途径。但个人信息保护不同于国家信息保护个人信息具有很强的人身属性,与人的日常生活和职业状况密切相关因此,应由行政机关通过民事或刑事处罚的方式,对公民实施救济,使信息收集者改正错误的信息收集行为,并赔偿公民因此而受到的损失;通过司法途径进行救济,即为公民提供要求损害赔偿的独立诉因。
四、管理创新:构建公民个人信息犯罪综合治理体系
(一)加大打击侵犯公民个人信息犯罪的力度
一是公安机关应将阶段性的打击行动转化为常规式执法。近年来,公安部门打击侵犯公民个人信息犯罪执法活动主要以“专项行动”、“集中治理”的形式展开。截至2013年5月底,全国共抓获此类犯罪嫌疑人4115名,破案4382起,查获被盗取的各类公民个人信息近50亿条,破获绑架、敲诈勒索、电信诈骗等犯罪案件上万起。但是,公民的个人信息需要得到长期、有效地保护。从我国执法实践来看,常规式执法能确保法律所确立的合理预期,保障法律的稳定性、可预见性,有效地消除违法行为的诱因,给潜在的违法者以足够的威慑力。同时,常规式执法是有效打击侵犯公民个人信息犯罪,从源头上遏制违法势力,确保社会和谐稳定的重要保障。
二是坚持把抓源头作为突破口,采取多种技术手段侦破案件。目前,在国内出现利用境外网站从事泄露个人信息网络违法犯罪问题。例如,济南市公安局网警支队在办案实践中发现,有的违法网站服务器设在美国,形成难监管、难查挖的犯罪新特点,很难采取下一步行动。打击泄露个人信息犯罪,网络警察是主力军。各地公安网监部门根据泄露个人信息网站服务器设在境外而建立、维护者在境内的特点,通过多种技术手段,逐渐摸索出一套行之有效的查办做法,做到落地查人。对于一些境外网站,移送国家互联网信息办公室予以屏蔽。同时,充分利用中外警方合作机制,与国外警方联合侦破泄露个人信息网络违法犯罪重大案件。
三是提高公安机关办案水平。“办理此类案件应当重点收集、固定以下证据:一是对行为人是否具有特殊主体资格,且获得公民个人信息的途径是否合法进行查证。二是对行为人是否明知他人进行违法犯罪活动而提供信息,或是否出于进行违法犯罪活动的目的而非法获取信息进行查证。三是对涉案信息的数量及真伪进行查验。提取、固定行为人所使用电脑、存储介质等物品,制作现场勘验检查笔录,证实行为人存储的公民个人信息数量、信息内容、创建时间。四是通过电子数据查明行为人的上网记录,分析其日常网上行为轨迹,摸清上下线人员、交易金额、获利数额等具体情况,查清行为人之间的往来关系。五是查明造成后果、损失情况以及是否利用获取的信息进行其他违法犯罪活动等。”
四是建立执法部门侵犯公民个人信息犯罪执法联动协作机制。首先,建立重大个人信息违法犯罪案件处置会商制度,对于案情重大、复杂和社会影响较大的案件,由公安部门邀请检察院、法院、工商等部门进行专案会商,确保案件依法办理。其次,规范办案协调和案件移送机制。加强协调,密切合作,严格按照法律、法规及相关规定,不断完善侵犯公民个人信息犯罪案件中涉嫌违反治安管理、刑事犯罪案件的移送、受理工作,规范案件调查、证据保全、法律适用等有关事宜,确保依法行政,防范选择性执法。第三,提升打防效能。现代化的科技手段和信息已经成为执法机关精准、高效打击犯罪的利器,执法部门要通过多层级联合集中培训、相互派员培训等形式,重点加强案件调查取证、移送办理及有关法律适用知识等方面培训,不断提升打击侵害公民个人信息犯罪案件办理水平。第四,积极宣传。充分利用电视、报纸、网络等媒体宣传执法部门打击侵犯公民个人信息犯罪行为的信息,让全社会熟悉相关法律法规,增强执法部门联动执法的威慑力,切实保障公民个人信息安全权益。
内容摘要:侵犯公民个人信息犯罪是犯罪学中的概念,以刑法规范为核心,拓展到危害达到行政法评价程度的针对公民个人信息的违法行为,具体可表现为擅自披露、擅自提供、非法买卖、超目的使用和冒用公民个人信息等行为方式。 个人信息保护是一个世界性课题与难题,尤其是移动互联网时代的到来,信息传播的渠道越来越广,公民的个人信息泄露已成为信息化社会的顽疾之一,形成一个严重的社会公共安全问题。有效的保护个人信息事关人民切身利益和社会秩序,必须建立起多元主体参与的公民个人信息犯罪防控制度,才能够从根本上解决问题。
关键词:公民;个人信息;犯罪;防控
一、犯罪现状:我国个人信息安全状况堪忧
(一)侵犯公民个人信息犯罪主体多元化
一是单位犯罪主体成为泄漏公民个人信息主渠道。社会的发展促进了人们相互之间的交往日益频繁,同时个人信息被大量留存于国家机关及其他公共服务单位(金融、保险、电信、供水、供电、供气、医疗、物业、房产中介以及其他掌握公众信息的单位)。“犯罪现象是一种由各种因素决定的复杂的社会现象。在决定犯罪的复杂因素中,经济因素是起决定性作用和占主导地位的因素。” 为了谋取私利,近年因公营企业泄露个人信息而引发的各类案件迅速增多:一些来自中国移动、中国联通、中国网通的员工向他人提供和出售的不仅是本公司掌握的用户信息,而且还充当“掮客”和“二道贩子”贩卖其他公司的用户信息。他们出售的不仅是客户的一般身份资料和手机号码等静态信息,还有他们利用自己处于特殊岗位的职务便利和技术特长,向他人提供和出售的用户通话清单、通话内容甚至手机定位等动态信息。2009年央视3·15晚会揭露了山东济南、日照、德州等地通信公司向用户发送垃圾短信以及违法信息,并且出卖用户信息。“近日,一份名为‘2000万开房数据的资料被网友疯狂下载。2000万条数据大规模泄露,显示了2000万个受害人包括姓名、身份证、性别、出生年月日、手机号及注册邮箱在内的详细个人信息。在2000万条泄密个人信息中,其中涉及济南市民162764人。”
二是自然人犯罪主体。分为两类。第一类是公权力机关及其工作人员和垄断性公共服务机构及其工作人员是侵犯公民个人信息犯罪主体。在2008年10月至2009年6月期间,为谋取非法利益,福建省宁德市公安交警指挥中心员工蔡某某等7人,通过公安网车辆信息管理系统盗取全国各地小汽车、摩托车车主信息资料,并出售给被告人钟某某。2009年7月至2010年6月,黄某某等22人非法购买车主信息资料、400电话号码、手机、银行账户等,并在云南昆明冒充车辆管理所、国家税务局工作人员与车主联系,以小汽车、摩托车下乡补贴、退税为由骗取41人共计1557.0624万元。检察机关遂以诈骗罪、赌博罪、出售公民个人信息罪将被告人蔡某某、黄某某、钟某某等30人公诉至福建省宁德市中级人民法院。据悉,此案系宁德市查获的最大一起出售公民个人信息案件。
第二类是无业人员成为犯罪一般主体。在公安机关侦破的一些重大案件中,无业人员已经成为公民个人信息犯罪的主体。2012年年底,北京市海淀区人民检察院依法批准逮捕了陈某、唐某、肖某和张某4名犯罪嫌疑人,其涉嫌盗窃大型购物网站京东商城大量用户的账户信息。2012年2月,嫌疑人陈某从其叔叔陈某某、老乡周某处获取了一个存有800多个京东商城客户账号及密码的文档,一套查看上述账户内资金情况的软件。其后,陈某开始在他位于广东省东莞市常平镇某小区的住处内,使用自己的台式电脑,利用上述软件对京东商城客户的账户进行扫描。盗刷账户内的资金,在网站上下订单购买平板电脑、黄金饰品、手机、彩票等商品。陈某以上述手段盗窃京东商城1620余名客户账户内的资金,在京东商城网站上购买价值约10000余元的物品。2012年3月初,嫌疑人陈某将这一存有京东商城客户用户名及密码的文档,通过QQ拷贝给嫌疑人唐某,唐某于是采取同样的方式,在其位于广东省东莞市的家中,盗刷京东商城用户账户内的资金,购买商品。唐某共盗窃了京东商城40余名客户账户内的资金,购买价值约7351元的物品。
(二)侵犯公民个人信息案件的主要特点
一是一些犯罪分子大肆向掌握信息的部门内部人员购买信息,并通过网络相互买卖,形成了公民个人信息的网络交易平台。从上游数百元买来的一条个人或企业信息,调查公司转手后卖至数千上万元,最高信息交易价格甚至高达6万元一条。“犯罪嫌疑人从网上向上家非法购买公民个人信息后,加价卖给下家,非法获利。犯罪嫌疑人高某,从2009年10月起,开始通过网络获取他人的电话号码、个人身份等资料信息。其‘上家主要有此次被公安部查获的‘小妍蛋蛋店、‘信息联盟等非法机构。当‘下家提出需求信息后,高某便低价向‘上家购买信息,再高价转卖给‘下家。”
二是利用合法身份作案,具有很强隐蔽性。中国乃至亚洲地区最具盛名的收藏品交流中心之一的“华夏国博”,是一个利用非法获取公民个人信息实施违法犯罪的特大团伙。2013年8月7日下午,丰台公安分局调集近300名民警对这家公司的本部和技术部统一展开抓捕行动。警方从该公司内搜出大量公民个人信息单,用了4辆皮卡汽车才将信息单运完。初步估算,该公司在4个月内至少非法收集了60余万的公民个人信息。这些信息被用于电话诈骗犯罪,交易额达上亿元。
三是不断滋生下游犯罪。侵害公民个人信息犯罪是多种下游犯罪的源头,社会危害巨大,除形成垃圾信息源源不断、骚扰电话不分昼夜等个人信息泄露隐患外,还和电信、网络诈骗(例如办卡恶意透支)、绑架、敲诈勒索、暴力追债等犯罪合流。在各地已侦破的黑恶犯罪案件中,有的黑恶势力雇佣、组织社会闲散人员或刑释解教人员开展“调查业务”,有的非法调查公司直接蜕变为黑恶犯罪组织。目前,在全国大中城市中普遍存在非法调查公司,经济发达地区尤为严重。2008年7月至10月间,中国联通有限公司北京分公司网络运行维护部监控中心主任唐纳宇的主要工作是负责移动网络监控和维护,以及特别通信的技术支持,包括配合公安机关的大要案工作。如手机定位,也就是警方通常说的给犯罪嫌疑人“上手段”的一种,是只有国家执法机关才能使用的特别手段。其利用职务之便私自帮助一家调查公司掌握了手机定位技术。一名受害人因手机通话记录和基本信息被泄露,遭私人侦探定位,最终被仇家杀害于家门口。
四是造成公民个人人身安全防不胜防。犯罪嫌疑人在获取大量外泄的个人信息,特别是具体的开房信息,可以进行酒店录像窃取、跟踪偷拍、财色引诱、PS黄色照片、设计陷阱等不法手段伺机要挟、勒索钱财,给个人人身安全和家庭稳定带来许多的隐患。
二、犯罪防控:社会管理亟需多方位创新
(一)立法质量和进度已无法满足信息社会实际发展需要
一是法律规范还比较薄弱和滞后。我国已出台与网络相关的法律、法规和规章共计两百多部。据统计,涉及个人信息保护方面的法律有将近40部,法规有30部,另外还有一些部门规章和一些地方法规。目前,我国刑法明确规定了“非法获取公民个人信息罪”,已将泄露个人信息入罪。但是,缺乏专门的隐私权保护或个人信息保护方面的法律。在法律层面,除《刑法》第253条、《居民身份证法》第十九条有所规定外,其他法律都没有专门针对这个问题的规定。其他的规定,主要是一些部门规章和行业规范。
二是某些法律概念不清晰。要将一类行为规定为犯罪,必须是该行为具有严重的社会危害性,严重的社会危害性是行为构成犯罪的前提和基础。所谓的社会危害性,是指行为对刑法所保护的社会关系的侵犯性,由于社会危害性是对法益的侵犯,因此,只有当某种行为对法益造成了侵害或者侵害的危险时,该行为才具有社会危害性。 首先,“公民个人信息”的界定存在争议。《刑法修正案(七)》增设的第二百五十三条将公民个人信息定义为“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,在履行职责或者提供服务过程中所获得的公民个人信息”,然而在实践中,对于公民个人信息的界定,却存在不少困惑。“按照刑法的规定,非法获取公民个人信息罪,是指以窃取或者其他方法非法获取国家机关或者金融、电信等单位在履行职责或者提供服务过程中获得的公民个人信息。这一法条仅仅明确了公民个人信息的来源,但并没有对公民个人信息进行列举或作出规定。姓名、电话等属于传统‘显见的公民个人信息,但车主、业主等非传统领域内的信息是否适用于‘个人信息则在实践中仍然存在分歧。” 在相关法律中缺乏对公民信息“非法获取”行为的具体规定,“在司法实践中,常见的情况是有证据证实行为人非法持有大量的公民个人信息,但常常无法证实这些信息的获取手段是否合法。在这种情况下,如何认定其获取手段的‘非法性同样存在分歧。”
其次,“情节严重”认定难以操作。在办案实践中,一般掌握的“情节严重”标准,是从非法获取信息的目的、犯罪手段、信息的用途、犯罪后果、获取数量及获取次数等方面进行判断的。然而即便执法机关审慎地掌握上述标准,在实际操作中还存在一些具体问题。例如,为进行市场调查获取大量信息,并未转卖或用于拓展业务的,是否应当入罪?非法获取行为造成严重后果的,应达到何种程度?获取信息的数量应当定为多少比较适宜?获利金额与此罪侵害的法益并无直接联系,是否也应成为“情节严重”的标准之一?此类问题若得不到解决,易造成各地基层执法部门的不统一。
三是法律处罚力度不够。2009年2月28日开始实施的《刑法修正案(七)》中规定了“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”与犯罪分子丰厚收益和巨大危害相比,判处“三年以下有期徒刑或者拘役”显得惩戒明显不足。百度董事长李彦宏委员认为,“不遵守法律的代价太小。对于一个市值几十亿甚至更多的企业,几十万的罚金无济于事,应加大处罚力度。另外,相关法律并未对利用非法获得的个人信息开展各种牟利行为的处罚。
四是立法进程缓慢。吴邦国委员长曾明确提出“以法律形式保护公民个人及法人电子信息安全”的观点。法律保护是最广泛、最有效的保护机制,但是我国目前还没有专门针对个人信息保护的综合立法。早在2003年,原国务院信息办委托中国社科院法学所课题组承担《个人数据保护法》比较研究课题及草拟一份专家建议稿,并形成了《个人信息保护法》草案。2005年,近8万字的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》完成。2008年,《个人信息保护法》草案呈交国务院。至今,我国保护个人信息立法进程尚不明朗。在十一届全国人大常委会立法规划中,该法未被列入,属于“继续开展研究论证,视情况作出相应安排”的项目。
(二)司法打击存在多方面难题
一是公安机关陷入“单打独斗”局面。因个人信息泄露引发的刑事案件呈高发趋势,个人信息泄露正在逐渐为犯罪分子实施犯罪打开“方便之门”。 破解公安机关打击侵犯公民信息“孤军奋战”的困局是当前司法实践中遇到的一个重要现实问题。
二是难以追溯犯罪源头。侵犯公民个人信息罪的客观方面表现为将合法持有或窃取的公民个人信息出售或者非牟利致害使用。在行为人合法持有公民个人信息并非法处理的情况下,信息权利人基于一定的法定事由或约定事由将信息交给犯罪人,其有理由相信犯罪人会合法使用相关信息,权利人对信息处理的过程很难监督,因而也难以发现其出售、披露、超目的使用和保管不善丢失等不法行为。当行为人窃取公民个人信息时,窃取行为本身是秘密的,不动声色的,网络上的破译密钥和编程技术等手法具有典型的隐秘特征,而且信息具有可复制性,丢失后不会造成被害人物件的毁损缺漏,被害人往往对窃取行为不得而知。此外,犯罪人的出售和致害使用行为往往通过互联网完成,互联网犯罪具有无现场性。 犯罪分子主要是利用网络进行倒卖信息活动,用的大多是虚拟身份,交易成功后立即销毁作案证据,非常隐蔽。这类犯罪发现难,基本没有被害人报案。如果仅是信息被泄露、接到骚扰电话,没有发生现实的危害结果,警方很难立案侦查。案件进入提取证据、审讯深挖阶段,难题更是接踵而来。例如,石家庄市公安局长安分局民警孙春寿在查办一起非法调查案件时,发现嫌疑人进行非法手机定位是通过外地人员来实现的。这些在外地的人员,作为石家庄的公安机关很难查清。由于这类犯罪一般通过网络平台进行,警方在调查取证方面存在一定难度。
三是获取信息的来源和时间难以甄别和确认。虽然法律规定公民个人信息的来源作出了限制性的规定,但是在办案实践中,出售和非法提供公民信息的源头往往难以查获,而大多非法获取的公民个人信息案件中的信息都是几经转手或者直接购买于网络,犯罪嫌疑人也不知道信息最初的来源。因此,除了一些户籍底卡、储户信息、新生儿信息等显而易见的是从国家机关、金融、医疗单位方能获取的之外,对于其他一些综合类信息及经过修改的信息,办案人员很难从信息内容上判断信息的来源,给定罪带来困难。
(三)社会管理方式亟需完善。
一是大部分主体身份特定,责任落实难度大。刑法中侵犯公民个人信息犯罪的条款在实践中被“架空”。至今,全国范围内没有一起单位犯罪被追究的案例,也没有单位主管人员或相关负责人为此被追究刑责。对不断被曝光的泄露客户信息事件,相关单位均保持沉默,鲜有公开道歉或对外公布内部问责情况。例如2009年中央电视台3·15晚会上曝光了中国移动山东省公司出售用户个人信息,当时《刑法修正案(七)》已经生效,但司法机关从未追究这一“罪行”。
二是监管主体模糊。网络本身具有跨领域、跨部门、跨地域特性,对互联网的发展和管理已超出单个部门或领域、地域的界限,仅靠单个部门各自为战、独立开展工作,已无法有效履行监管职责。对此,目前建立了齐抓共管的网络管理协调工作机制,但是,该协调机制的效果也不尽如人意。 所有“调查公司”最重要的是信息来源问题,而其获得个人电话、户籍、车辆、出入境、银行存款等信息的一条重要途径就是网上QQ群。这些QQ群里的成员由全国各地的“私家侦探”组成,其掌握各种信息资源,通过QQ群建立联系,互买信息,互相获利,成为个人信息传播的集散地。另外,一些“调查公司”公开在互联网上公开招聘电信、公安人员为其提供信息,成为电信、公安等极少数人员违法犯罪的诱因和联络途径。
三是行政机关缺乏保护个人信息和隐私权的观念。目前,我国许多行政机关、法人和其他组织普遍缺乏保护个人信息和隐私权的观念,不以任意收集、处置、泄露公民个人信息行为为侵权、违法。
四是对个人信息和隐私权侵犯的法律救济制度不完善,救济渠道不畅。2013年4月,中国南方航空公司将顾客个人信息泄露给昆明康辉旅行社,消费者在维权过程中屡屡受挫。南方航空投诉中心工作人员认为:“旅行社知道您的信息的话,我们这边是无从查找的,因为南航毕竟不是一个执法部门,你可以问一下他是和哪个部门合作的,如果你要维护旅客权益的话,也可以找警方那边协助看他们那边是通过什么途径拿到信息的。”
三、完善法律:不断封堵个人信息泄露漏洞
(一)加快个人信息保护立法步伐
世界历史发展过程证明,法律是打击侵犯公民个人信息犯罪的最有效手段。从全球视野角度看,许多发达国家在保护公民信息隐私权方面制定了非常完善的法律。英国早在1984年就制定了《数据保护法》,规定不允许以欺骗手段从数据主体那里取得信息。美国非常重视网络隐私权保护问题。1986年,美国国会就通过了《联邦电子通讯隐私权法案》,规定了通过截获、访问或泄漏保存的通信信息侵害个人隐私权的情况、例外及责任,是处理网络隐私权保护问题的重要法案。德国则在1997年颁布了《联邦信息与电信服务架构性条件建构规制法》,其中第二部分《电信服务数据保护法》,对网络应用过程中可能产生的个人及隐私信息的侵害状况,进行了世界上最严格的规定——任何人、任何公司都不能擅自对网民个人信息进行搜集和整理。目前,世界上已有50多个国家制定了个人信息法体系。
从国内角度看,各方面显示出来的立法条件已经比较成熟。首先,议政、执法等层面要求立法。在多年召开的“两会”上,多位代表、委员提出议案、提案,建议尽快出台个人信息保护法。建议从立法宗旨、基本概念、信息资源主管部门、基本原则、适用范围、个人信息收集主体、收集范围、收集程序、部门或组织告知义务、个人信息的储存与使用、更改程序、共享程序、行业自律机制、监督机构及职责、损害赔偿、法律责任等方面做出规定。在执法部门具体执法方面,公安部刑侦局副局长廖进荣表示,公安部已经与全国人大常委会法工委等部门进行了多次有效沟通,希望通过公安机关已经开展的多次集中打击侵犯公民个人信息犯罪行动反映出的法律问题引起更多重视。
其次,公众对保护个人信息的法律需求极为迫切。去年年底,《中国青年报》社会调查中心通过题客调查网、中国雅虎和民意中国网,对11163人进行的调查显示,93.8%的人有过因个人信息泄露带来的困扰。75.4%的人表示从未接受过与个人信息安全相关的教育或培训。86.0%的人期待国家尽快出台《个人信息保护法》。
“立法项目都体现了当前经济社会生活中急需调整的权利义务关系,也将对社会生活产生深远影响。” 工信部副部长杨学山认为,“个人信息保护实行面广,一定要从法的角度规范,才能使这项工作在法律上有依据”。从我国立法程序方面来看,早在2003年,国务院信息办委托中国社科院法学所个人数据保护法研究课题组,承担《个人数据保护法》研究课题,并草拟了一份专家建议稿。2005年,近8万字的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》完成。这些建议稿提出了建设性意见,为立法机构正式立法打下了良好的基础。4月,国务院启动了《个人信息保护法》的立法程序。立法机关应在此基础上进一步借鉴其他立法先进国家的经验,面对个人信息遭泄露行为日渐猖獗的形势,充分考虑现实需求的紧迫性,争取在本届全国人大常委会任期内提交审议《个人信息保护法》。
(二)不断完善现有相关法律
法律应当是一个完整的体系,涵盖等方面,现行的有关法律在实践中发挥了重要的作用,但是与目前侵犯公民个人信息犯罪行为猖獗的现状已不相适应,需要通过修改法律进一步得到有效完善。
一是确立个人信息保护范畴及侵害罪名。首先应将所有能识别出身份的信息,包括个人的图像、声音、网络信息等,都列为保护对象。其次是借鉴国外立法经验,设立“侵害个人信息罪”,对于侵犯个人信息的犯罪行为应追究相应的刑事责任。三是对利用非法手段获取个人信息,如利用现代通讯手段刺探私人情报信息、雇佣他人跟踪私人活动、利用公民个人信息进行虚假广告宣传等,应明确追究法律责任。另外,个人信息处理活动应当遵循什么原则、信息主体在个人信息处理活动中享有哪些权利、如何保管收集来的信息、对滥用个人信息的信息处理单位和主管人员如何处罚、什么机构负责执法等,都需要相关法律来进一步明确。再者,“有的时候,由于信息的主人保密意识不强,在某些场合过多地透露了自己的信息,如填写调查问卷、客户资料等等。在这种情况下,尽管获取信息的方式并不是在履行职责或者提供服务过程中获得的,更谈不上非法获得他人信息,但是也应当对采集信息者作出约束,不得过度采集他人信息或者以赠送产品、参与抽奖等作为条件诱使他人提供个人信息。以这种方式获得信息后再出售或者非法提供给他人的,也应当追究法律责任。但是目前对这样的行为,法律尚未进行规制。”
二是同步跟进立法设计的应有行政处罚。“目前来看,刑法修正案(七)和2010年侵权责任法对其中的刑事责任和民事责任作了部分规定,但在行政责任尤其是行政执法机制上,依然存在较大短板。在我国,公民个人信息大量掌握在行政机关手中,而且泄露个人信息最严重的部门,如银行、医院、电信公司等,主要的监管责任也在政府主管部门。这提示我们,对公民信息权利的立法保护,重点应当是行政立法,确立政府的执法义务和监管责任,为政府部门监管行业领域侵犯个人信息提供明确的责任倒逼机制。” “个人信息保护法律体系是一个涉及宪法、刑法、民法、行政法等多个部门法的综合体系。侵犯个人信息的法律责任也应当包括刑事责任、民事责任和行政责任这三大类。刑事责任的制度已经先行一步,行政责任的建立与民事责任的健全也有必要写入立法日程。”
(三)通过出台司法解释来细化现有刑法等有关法律条款、契合实际
作为对法律的补充和细化,司法解释是保障正确适用法律的手段之一。将复杂的抽象的法律规则变为合理的、可操作的细则,是司法解释的主要目的。 “现行刑法第253条之一的可操作性不够,对于侵犯公民个人信息的行为,什么情形应追究刑事责任、什么情形应予以行政处罚没有一个明确标准。例如,在上述两款刑法条文中,起刑点‘情节严重如何判定?非法售卖个人信息上千条还是上万条才构罪?构罪的标准不明晰,这既消解了法律在具体司法实践中的可操作性,也可能成为一个替不法分子规避法律制裁的司法漏洞,亟须细化此法律标准。‘情节严重的标准应该综合把握,既要考虑涉案行为侵害个人信息的数量,也要考虑侵害行为对被害人、家庭及社会造成的损害程度。除此之外,信息的用途、性质、获利数额、非法获取的手段等也可以作为‘情节严重的衡量因素。”
(四)建立公民个人信息权益受侵害补偿机制
目前的法律对用户隐私的侵权行为约束力有限,用户维权、寻求民事赔偿胜率不大,对损失评估难以确定金额,所以对隐私泄露的责任人追究比较困难。从社会防控公民个人信息犯罪的角度讲,除了追究相关人员的刑事责任,应同时加大行政管理、民事诉讼的力度,法律应该明确公民个人信息遭非法泄露后,能否向存在过错的单位、机构索赔,以及如何赔偿,以有效遏制泄露信息的情况发生。没有救济的权利不是真正的权利,这是法学界公认的原则尽管有些法律界人士认为,公民个人信息遭遇不法侵害时,应当适用业已建立的行政复议与行政诉讼途径寻找法律救济,无须另行建立法律救济途径。但个人信息保护不同于国家信息保护个人信息具有很强的人身属性,与人的日常生活和职业状况密切相关因此,应由行政机关通过民事或刑事处罚的方式,对公民实施救济,使信息收集者改正错误的信息收集行为,并赔偿公民因此而受到的损失;通过司法途径进行救济,即为公民提供要求损害赔偿的独立诉因。
四、管理创新:构建公民个人信息犯罪综合治理体系
(一)加大打击侵犯公民个人信息犯罪的力度
一是公安机关应将阶段性的打击行动转化为常规式执法。近年来,公安部门打击侵犯公民个人信息犯罪执法活动主要以“专项行动”、“集中治理”的形式展开。截至2013年5月底,全国共抓获此类犯罪嫌疑人4115名,破案4382起,查获被盗取的各类公民个人信息近50亿条,破获绑架、敲诈勒索、电信诈骗等犯罪案件上万起。但是,公民的个人信息需要得到长期、有效地保护。从我国执法实践来看,常规式执法能确保法律所确立的合理预期,保障法律的稳定性、可预见性,有效地消除违法行为的诱因,给潜在的违法者以足够的威慑力。同时,常规式执法是有效打击侵犯公民个人信息犯罪,从源头上遏制违法势力,确保社会和谐稳定的重要保障。
二是坚持把抓源头作为突破口,采取多种技术手段侦破案件。目前,在国内出现利用境外网站从事泄露个人信息网络违法犯罪问题。例如,济南市公安局网警支队在办案实践中发现,有的违法网站服务器设在美国,形成难监管、难查挖的犯罪新特点,很难采取下一步行动。打击泄露个人信息犯罪,网络警察是主力军。各地公安网监部门根据泄露个人信息网站服务器设在境外而建立、维护者在境内的特点,通过多种技术手段,逐渐摸索出一套行之有效的查办做法,做到落地查人。对于一些境外网站,移送国家互联网信息办公室予以屏蔽。同时,充分利用中外警方合作机制,与国外警方联合侦破泄露个人信息网络违法犯罪重大案件。
三是提高公安机关办案水平。“办理此类案件应当重点收集、固定以下证据:一是对行为人是否具有特殊主体资格,且获得公民个人信息的途径是否合法进行查证。二是对行为人是否明知他人进行违法犯罪活动而提供信息,或是否出于进行违法犯罪活动的目的而非法获取信息进行查证。三是对涉案信息的数量及真伪进行查验。提取、固定行为人所使用电脑、存储介质等物品,制作现场勘验检查笔录,证实行为人存储的公民个人信息数量、信息内容、创建时间。四是通过电子数据查明行为人的上网记录,分析其日常网上行为轨迹,摸清上下线人员、交易金额、获利数额等具体情况,查清行为人之间的往来关系。五是查明造成后果、损失情况以及是否利用获取的信息进行其他违法犯罪活动等。”
四是建立执法部门侵犯公民个人信息犯罪执法联动协作机制。首先,建立重大个人信息违法犯罪案件处置会商制度,对于案情重大、复杂和社会影响较大的案件,由公安部门邀请检察院、法院、工商等部门进行专案会商,确保案件依法办理。其次,规范办案协调和案件移送机制。加强协调,密切合作,严格按照法律、法规及相关规定,不断完善侵犯公民个人信息犯罪案件中涉嫌违反治安管理、刑事犯罪案件的移送、受理工作,规范案件调查、证据保全、法律适用等有关事宜,确保依法行政,防范选择性执法。第三,提升打防效能。现代化的科技手段和信息已经成为执法机关精准、高效打击犯罪的利器,执法部门要通过多层级联合集中培训、相互派员培训等形式,重点加强案件调查取证、移送办理及有关法律适用知识等方面培训,不断提升打击侵害公民个人信息犯罪案件办理水平。第四,积极宣传。充分利用电视、报纸、网络等媒体宣传执法部门打击侵犯公民个人信息犯罪行为的信息,让全社会熟悉相关法律法规,增强执法部门联动执法的威慑力,切实保障公民个人信息安全权益。