尹志燁作(人民圖片)
上海市疾病預防控制中心某工作人員利用工作便利,竊取全市新生嬰兒信息并出售,累計非法獲取新生嬰兒信息共計30萬余條;有不法分子通過互聯網非法購買公民個人信息1萬余條……近年來,隨著互聯網技術的普及,政府和企業對公民信息的收集與利用越來越廣泛,由此帶來的泄露風險也與日俱增。由信息泄露造成的案件多發,已成公眾“痛點”。
6月1日起,最高法、最高檢關于打擊辦理侵犯公民個人信息刑事案件的司法解釋(下稱司法解釋)正式實施,首次針對侵犯個人信息犯罪的定罪量刑明確標準。同日施行的《網絡安全法》,也對加強個人信息保護和懲治非法買賣個人信息作出了規定。
進入大數據時代,保護公民信息安全勢在必行。中國正從法律入手,編織公民信息保護網。
明確量刑標準
近日,國雙司法大數據中心針對中國裁判文書網中2013-2016年間涉及侵犯公民個人信息類的所有刑事案件,進行了數據分析。分析顯示,侵犯公民個人信息類刑事案件4年來增長近5倍。可以說,相關法律的出臺恰逢其時。
6月1日,兩高的司法解釋生效后的首例判決,在浙江省溫州市永嘉縣人民法院誕生。該案被告人樊某從2015年11月開始,利用QQ聊天軟件購買、交換和收集公民個人信息,并進行售賣。據樊某交待,到案發為止,他共售賣信息20萬條,涉及公民姓名、身份證號碼、車牌號、地址、職業等,獲利約2萬元。經公開審理,樊某以侵犯公民個人信息罪被判處有期徒刑3年4個月,并處罰金5萬元。
姓名、身份證件號碼、通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等,這些都屬于受法律保護的公民個人信息。根據司法解釋,公民個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。
永嘉縣法院副院長徐建宇說,《刑法修正案(九)》對侵犯公民個人信息罪的最高刑期規定為7年,但此前對于何為“情節嚴重”以及入罪要件尚不明晰,屬于原則性規定,適用標準不統一,影響案件辦理。而司法解釋則對“情節嚴重”和“情節特別嚴重”作了明確規定。
司法解釋就“情節嚴重”,明確了“違法所得5000元以上”等10項認定標準。同時根據不同類型公民個人信息的重要程度,設置了不同的數量標準。如對于行蹤軌跡信息、通信內容、征信信息、財產信息,非法獲取、出售或者提供50條以上即算“情節嚴重”;對于住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息,標準則是500條以上;對于其他公民個人信息,標準為5000條以上。
“情節特別嚴重”的數量和數額標準,是“情節嚴重”的10倍,即500條、5000條、5萬條。此外,造成被害人死亡、重傷、精神失常或者被綁架等嚴重后果以及造成重大經濟損失或者惡劣社會影響等,都屬于“情節特別嚴重”的范疇。
“定罪量刑標準的確立有利于法律的統一、準確實施,為嚴厲打擊侵犯公民個人信息犯罪提供了有力的法律武器。”最高人民檢察院法律政策研究室副主任缐杰說。
司法解釋的另一大亮點,是明確了侵犯公民個人信息犯罪的罰金適用規則。對于侵犯公民個人信息犯罪,應當綜合考慮犯罪的危害程度、犯罪的違法所得數額以及被告人的前科情況、認罪悔罪態度等,依法判處罰金。罰金數額一般在違法所得的1倍以上5倍以下。
對打擊侵犯公民個人信息的犯罪行為,司法解釋會產生什么影響?北京師范大學刑事法律科學研究院暨法學院副教授吳沈括認為,司法解釋對侵犯公民個人信息的犯罪行為提供了明確的司法適用標準。從長遠來看,將有效遏制和減少生活中侵犯公民個人信息犯罪行為的發生。
堵住渠道漏洞
在網上購物、訂機票,或是在線下租房、住酒店之后,頻繁接到推銷電話、短信的狂轟濫炸——這樣的體驗,很多人感同身受。隨著移動互聯網的發展,收集信息的渠道從線下走到線上,信息收集的場景與方式也越來越多,讓個人信息安全面臨更大風險。
中國信息安全測評中心專家委員會副主任黃殿中認為,在大數據時代,無論是購物消費、網絡聊天等瑣碎小事,還是買房、結婚、生子等人生大事,都不可避免地留下“數據腳印”。一旦將它們匯集整合,就會使敏感的信息迅速還原,個人隱私無所遁形。
海量數據的收集和使用,在帶來諸多便利的同時,同樣集聚著風險。一些互聯網運營者收集了大量的公民個人信息,由于技術落后、疏于管理,對信息的監管處于松散甚至失控狀態,給不法分子提供了“后門”。個別互聯網公司內部員工甚至監守自盜,將個人信息非法販賣給第三方,引發詐騙、“釣魚”等違法犯罪現象。
360公司發布的數據顯示,今年一季度,中國手機騷擾電話標記數量同比上升65.8%。騷擾電話及錢財詐騙成為威脅手機用戶安全的兩大方面。中國互聯網協會的報告顯示,2016年中國大陸網民因個人信息泄露等遭受的總體經濟損失約915億元。
專家指出,近年來,網絡犯罪正向利益化、產業化、集團化的犯罪轉變,出現成體系、專業化的趨勢,國內國外遙相呼應,給國家和個人安全帶來很大威脅。
針對信息泄露的各種渠道,司法解釋與網絡安全法均有針對性地提出了要求,力圖堵住漏洞。
對于網絡運營者因技術水平不足、管理不善導致的信息“被動泄露”,法律抬高了網絡運營者門檻。網絡安全法規定,網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求,經過安全認證或檢測后方可銷售或提供。司法解釋則明確,網絡服務提供者拒不履行信息網絡安全管理義務,致使公民個人信息泄露,造成嚴重后果的,應當以拒不履行信息網絡安全管理義務罪定罪處罰。
而針對“內鬼”出售內部數據、獲得經濟利益的“主動泄露”,網絡安全法規定,明知他人從事危害網絡安全活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。司法解釋也明確,在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人,數量或者數額達到司法解釋規定的相關標準一半以上的,即可認定為刑法規定的“情節嚴重”,構成犯罪。
構建立體防控
近年來,大數據在各行各業的應用日漸深入,顯示出巨大的價值及潛力。尤其是在公共服務領域,大數據在出行、環保、健康等方面為人們的生活提供了不少便利,也為政府的管理和服務提供了依據。
與此同時,數據的風險也隨之而來。專家提出,政府部門必須加大對大數據收集、存儲、處理和利用過程的規制和約束。如何密織個人數據的保護網,是大數據治理進程中無法回避的挑戰和課題。相關人士呼吁,要構建保護公民個人信息的立體化防控體系。
上月末,來自工信部的消息顯示,中國將建立網絡數據安全管理體系,強化用戶個人信息保護,建立完善數據與個人信息泄露公告和報告機制。從創新防范攔截技術、突破網絡安全核心關鍵技術等方面加強信息安全保護。
工信部副部長陳肇雄介紹,中國將重點從建立網絡數據安全管理體系、強化用戶個人信息保護、建立完善數據與個人信息泄露公告和報告機制3方面大力強化網絡數據和用戶信息保護。
專家建議,應加強對信息網絡和關鍵領域重要信息系統的數據安全保護,明確大數據使用中各方行為體的權責義務,加強對數據濫用、侵犯個人隱私的治理和懲戒。與此同時,落實個人信息保護還需完善舉報機制和補救措施,建立更加便捷的網上舉報和受理制度,讓泄露信息者無處藏身。
今年全國兩會期間,民法總則正式通過,其中也明確了個人信息保護原則,首次從民事基本法層面提出個人信息權,并明確了個人信息保護的基本行為規范。有學者建議,下一步應推動形成系統的公民個人信息保護法律框架體系,制定專門的個人信息保護法,統一相關的法律標準和規定,明確公民個人信息保護的主體職責。