尹志烨作(人民图片)
上海市疾病预防控制中心某工作人员利用工作便利,窃取全市新生婴儿信息并出售,累计非法获取新生婴儿信息共计30万余条;有不法分子通过互联网非法购买公民个人信息1万余条……近年来,随着互联网技术的普及,政府和企业对公民信息的收集与利用越来越广泛,由此带来的泄露风险也与日俱增。由信息泄露造成的案件多发,已成公众“痛点”。
6月1日起,最高法、最高检关于打击办理侵犯公民个人信息刑事案件的司法解释(下称司法解释)正式实施,首次针对侵犯个人信息犯罪的定罪量刑明确标准。同日施行的《网络安全法》,也对加强个人信息保护和惩治非法买卖个人信息作出了规定。
进入大数据时代,保护公民信息安全势在必行。中国正从法律入手,编织公民信息保护网。
明确量刑标准
近日,国双司法大数据中心针对中国裁判文书网中2013-2016年间涉及侵犯公民个人信息类的所有刑事案件,进行了数据分析。分析显示,侵犯公民个人信息类刑事案件4年来增长近5倍。可以说,相关法律的出台恰逢其时。
6月1日,两高的司法解释生效后的首例判决,在浙江省温州市永嘉县人民法院诞生。该案被告人樊某从2015年11月开始,利用QQ聊天软件购买、交换和收集公民个人信息,并进行售卖。据樊某交待,到案发为止,他共售卖信息20万条,涉及公民姓名、身份证号码、车牌号、地址、职业等,获利约2万元。经公开审理,樊某以侵犯公民个人信息罪被判处有期徒刑3年4个月,并处罚金5万元。
姓名、身份证件号码、通讯联系方式、住址、账号密码、财产状况、行踪轨迹等,这些都属于受法律保护的公民个人信息。根据司法解释,公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
永嘉县法院副院长徐建宇说,《刑法修正案(九)》对侵犯公民个人信息罪的最高刑期规定为7年,但此前对于何为“情节严重”以及入罪要件尚不明晰,属于原则性规定,适用标准不统一,影响案件办理。而司法解释则对“情节严重”和“情节特别严重”作了明确规定。
司法解释就“情节严重”,明确了“违法所得5000元以上”等10项认定标准。同时根据不同类型公民个人信息的重要程度,设置了不同的数量标准。如对于行踪轨迹信息、通信内容、征信信息、财产信息,非法获取、出售或者提供50条以上即算“情节严重”;对于住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息,标准则是500条以上;对于其他公民个人信息,标准为5000条以上。
“情节特别严重”的数量和数额标准,是“情节严重”的10倍,即500条、5000条、5万条。此外,造成被害人死亡、重伤、精神失常或者被绑架等严重后果以及造成重大经济损失或者恶劣社会影响等,都属于“情节特别严重”的范畴。
“定罪量刑标准的确立有利于法律的统一、准确实施,为严厉打击侵犯公民个人信息犯罪提供了有力的法律武器。”最高人民检察院法律政策研究室副主任缐杰说。
司法解释的另一大亮点,是明确了侵犯公民个人信息犯罪的罚金适用规则。对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的1倍以上5倍以下。
对打击侵犯公民个人信息的犯罪行为,司法解释会产生什么影响?北京师范大学刑事法律科学研究院暨法学院副教授吴沈括认为,司法解释对侵犯公民个人信息的犯罪行为提供了明确的司法适用标准。从长远来看,将有效遏制和减少生活中侵犯公民个人信息犯罪行为的发生。
堵住渠道漏洞
在网上购物、订机票,或是在线下租房、住酒店之后,频繁接到推销电话、短信的狂轰滥炸——这样的体验,很多人感同身受。随着移动互联网的发展,收集信息的渠道从线下走到线上,信息收集的场景与方式也越来越多,让个人信息安全面临更大风险。
中国信息安全测评中心专家委员会副主任黄殿中认为,在大数据时代,无论是购物消费、网络聊天等琐碎小事,还是买房、结婚、生子等人生大事,都不可避免地留下“数据脚印”。一旦将它们汇集整合,就会使敏感的信息迅速还原,个人隐私无所遁形。
海量数据的收集和使用,在带来诸多便利的同时,同样集聚着风险。一些互联网运营者收集了大量的公民个人信息,由于技术落后、疏于管理,对信息的监管处于松散甚至失控状态,给不法分子提供了“后门”。个别互联网公司内部员工甚至监守自盗,将个人信息非法贩卖给第三方,引发诈骗、“钓鱼”等违法犯罪现象。
360公司发布的数据显示,今年一季度,中国手机骚扰电话标记数量同比上升65.8%。骚扰电话及钱财诈骗成为威胁手机用户安全的两大方面。中国互联网协会的报告显示,2016年中国大陆网民因个人信息泄露等遭受的总体经济损失约915亿元。
专家指出,近年来,网络犯罪正向利益化、产业化、集团化的犯罪转变,出现成体系、专业化的趋势,国内国外遥相呼应,给国家和个人安全带来很大威胁。
针对信息泄露的各种渠道,司法解释与网络安全法均有针对性地提出了要求,力图堵住漏洞。
对于网络运营者因技术水平不足、管理不善导致的信息“被动泄露”,法律抬高了网络运营者门槛。网络安全法规定,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,经过安全认证或检测后方可销售或提供。司法解释则明确,网络服务提供者拒不履行信息网络安全管理义务,致使公民个人信息泄露,造成严重后果的,应当以拒不履行信息网络安全管理义务罪定罪处罚。
而针对“内鬼”出售内部数据、获得经济利益的“主动泄露”,网络安全法规定,明知他人从事危害网络安全活动的,不得为其提供技术支持、广告推广、支付结算等帮助。司法解释也明确,在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到司法解释规定的相关标准一半以上的,即可认定为刑法规定的“情节严重”,构成犯罪。
构建立体防控
近年来,大数据在各行各业的应用日渐深入,显示出巨大的价值及潜力。尤其是在公共服务领域,大数据在出行、环保、健康等方面为人们的生活提供了不少便利,也为政府的管理和服务提供了依据。
与此同时,数据的风险也随之而来。专家提出,政府部门必须加大对大数据收集、存储、处理和利用过程的规制和约束。如何密织个人数据的保护网,是大数据治理进程中无法回避的挑战和课题。相关人士呼吁,要构建保护公民个人信息的立体化防控体系。
上月末,来自工信部的消息显示,中国将建立网络数据安全管理体系,强化用户个人信息保护,建立完善数据与个人信息泄露公告和报告机制。从创新防范拦截技术、突破网络安全核心关键技术等方面加强信息安全保护。
工信部副部长陈肇雄介绍,中国将重点从建立网络数据安全管理体系、强化用户个人信息保护、建立完善数据与个人信息泄露公告和报告机制3方面大力强化网络数据和用户信息保护。
专家建议,应加强对信息网络和关键领域重要信息系统的数据安全保护,明确大数据使用中各方行为体的权责义务,加强对数据滥用、侵犯个人隐私的治理和惩戒。与此同时,落实个人信息保护还需完善举报机制和补救措施,建立更加便捷的网上举报和受理制度,让泄露信息者无处藏身。
今年全国两会期间,民法总则正式通过,其中也明确了个人信息保护原则,首次从民事基本法层面提出个人信息权,并明确了个人信息保护的基本行为规范。有学者建议,下一步应推动形成系统的公民个人信息保护法律框架体系,制定专门的个人信息保护法,统一相关的法律标准和规定,明确公民个人信息保护的主体职责。(记者 刘 峣)