公民个人信息安全犯罪防控研究

发布日期：2014-03-25 文章来源：互联网

【学科分类】刑法学
【出处】《犯罪研究》2014年第1期
【摘要】侵犯公民个人信息犯罪是犯罪学中的概念，以刑法规范为核心，拓展到危害达到行政法评价程度的针对公民个人信息的违法行为，具体可表现为擅自披露、擅自提供、非法买卖、超目的使用和冒用公民个人信息等行为方式。{1}个人信息保护是一个世界性课题与难题，尤其是移动互联网时代的到来，信息传播的渠道越来越广，公民的个人信息泄露已成为信息化社会的顽疾之一，形成一个严重的社会公共安全问题。有效的保护个人信息事关人民切身利益和社会秩序，必须建立起多元主体参与的公民个人信息犯罪防控制度，才能够从根本上解决问题。
【关键词】公民；个人信息；犯罪；防控
【写作年份】2014年

【正文】

一、犯罪现状：我国个人信息安全状况堪忧

(一)侵犯公民个人信息犯罪主体多元化一是单位犯罪主体成为泄漏公民个人信息主渠道。社会的发展促进了人们相互之间的交往日益频繁，同时个人信息被大量留存于国家机关及其他公共服务单位(金融、保险、电信、供水、供电、供气、医疗、物业、房产中介以及其他掌握公众信息的单位)。“犯罪现象是一种由各种因素决定的复杂的社会现象。在决定犯罪的复杂因素中，经济因素是起决定性作用和占主导地位的因素。”[2]为了谋取私利，近年因公营企业泄露个人信息而引发的各类案件迅速增多：一些来自中国移动、中国联通、中国网通的员工向他人提供和出售的不仅是本公司掌握的用户信息，而且还充当“掮客”和“二道贩子”贩卖其他公司的用户信息。他们出售的不仅是客户的一般身份资料和手机号码等静态信息，还有他们利用自己处于特殊岗位的职务便利和技术特长，向他人提供和出售的用户通话清单、通话内容甚至手机定位等动态信息。2009年央视3?15晚会揭露了山东济南、日照、德州等地通信公司向用户发送垃圾短信以及违法信息，并且出卖用户信息。“近日，一份名为‘2000万开房数据’的资料被网友疯狂下载。2000万条数据大规模泄露，显示了2000万个受害人包括姓名、身份证、性别、出生年月日、手机号及注册邮箱在内的详细个人信息。在2000万条泄密个人信息中，其中涉及济南市民162764人。”[3]

二是自然人犯罪主体。分为两类。第一类是公权力机关及其工作人员和垄断性公共服务机构及其工作人员是侵犯公民个人信息犯罪主体。在2008年10月至2009年6月期间为谋取非法利益，福建省宁德市公安交警指挥中心员工蔡某某等7人，通过公安网车辆信息管理系统盗取全国各地小汽车、摩托车车主信息资料，并出售给被告人钟某某。2009年7月至2010年6月，黄某某等22人非法购买车主信息资料、400电话号码、手机、银行账户等，并在云南昆明冒充车辆管理所、国家税务局工作人员与车主联系，以小汽车、摩托车下乡补贴、退税为由骗取41人共计1557.0624万元。检察机关遂以诈骗罪、赌博罪、出售公民个人信息罪将被告人蔡某某、黄某某、钟某某等30人公诉至福建省宁德市中级人民法院。据悉，此案系宁德市查获的最大一起出售公民个人信息案件。

第二类是无业人员成为犯罪一般主体。在公安机关侦破的一些重大案件中，无业人员已经成为公民个人信息犯罪的主体。2012年年底，北京市海淀区人民检察院依法批准逮捕了陈某、唐某、肖某和张某4名犯罪嫌疑人，其涉嫌盗窃大型购物网站京东商城大量用户的账户信息。2012年2月，嫌疑人陈某从其叔叔陈某某、老乡周某处获取了一个存有800多个京东商城客户账号及密码的文档，一套查看上述账户内资金情况的软件。其后，陈某开始在他位于广东省东莞市常平镇某小区的住处内，使用自己的台式电脑，利用上述软件对京东商城客户的账户进行扫描。盗刷账户内的资金，在网站上下订单购买平板电脑、黄金饰品、手机、彩票等商品。陈某以上述手段盗窃京东商城1620余名客户账户内的资金，在京东商城网站上购买价值约10000余元的物品。2012年3月初，嫌疑人陈某将这一存有京东商城客户用户名及密码的文档，通过QQ拷贝给嫌疑人唐某，唐某于是采取同样的方式，在其位于广东省东莞市的家中，盗刷京东商城用户账户内的资金，购买商品。唐某共盗窃了京东商城40余名客户账户内的资金，购买价值约7351元的物品。

(二)侵犯公民个人信息案件的主要特点

一是一些犯罪分子大肆向掌握信息的部门内部人员购买信息，并通过网络相互买卖，形成了公民个人信息的网络交易平台。从上游数百元买来的一条个人或企业信息，调查公司转手后卖至数千上万元，最高信息交易价格甚至高达6万元一条。“犯罪嫌疑人从网上向上家非法购买公民个人信息后，加价卖给下家，非法获利。犯罪嫌疑人高某，从2009年10月起，开始通过网络获取他人的电话号码、个人身份等资料信息。其‘上家’主要有此次被公安部查获的‘小妍蛋蛋店’、‘信息联盟’等非法机构。当‘下家’提出需求信息后，高某便低价向‘上家’购买信息，再高价转卖给‘下家’。”

二是利用合法身份作案，具有很强隐蔽性。中国乃至亚洲地区最具盛名的收藏品交流中心之一的“华夏国博”，是一个利用非法获取公民个人信息实施违法犯罪的特大团伙。2013年8月7日下午，丰台公安分局调集近300名民警对这家公司的本部和技术部统一展开抓捕行动。警方从该公司内搜出大量公民个人信息单，用了4辆皮卡汽车才将信息单运完。初步估算，该公司在4个月内至少非法收集了60余万的公民个人信息。这些信息被用于电话诈骗犯罪，交易额达上亿元。

三是不断滋生下游犯罪。侵害公民个人信息犯罪是多种下游犯罪的源头，社会危害巨大，除形成垃圾信息源源不断、骚扰电话不分昼夜等个人信息泄露隐患外，还和电信、网络诈骗(例如办卡恶意透支)、绑架、敲诈勒索、暴力追债等犯罪合流。在各地已侦破的黑恶犯罪案件中，有的黑恶势力雇佣、组织社会闲散人员或刑释解教人员开展“调查业务”，有的非法调查公司直接蜕变为黑恶犯罪组织。目前，在全国大中城市中普遍存在非法调查公司，经济发达地区尤为严重。2008年7月至10月间，中国联通有限公司北京分公司网络运行维护部监控中心主任唐纳宇的主要工作是负责移动网络监控和维护，以及特别通信的技术支持，包括配合公安机关的大要案工作。如手机定位，也就是警方通常说的给犯罪嫌疑人“上手段”的一种，是只有国家执法机关才能使用的特别手段。其利用职务之便私自帮助一家调查公司掌握了手机定位技术。一名受害人因手机通话记录和基本信息被泄露，遭私人侦探定位，最终被仇家杀害于家门口。

四是造成公民个人人身安全防不胜防。犯罪嫌疑人在获取大量外泄的个人信息，特别是具体的开房信息，可以进行酒店录像窃取、跟踪偷拍、财色引诱、PS黄色照片、设计陷阱等不法手段伺机要挟、勒索钱财，给个人人身安全和家庭稳定带来许多的隐患。

二、犯罪防控：社会管理亟需多方位创新

(一)立法质量和进度已无法满足信息社会实际发展需要

一是法律规范还比较薄弱和滞后。我国已出台与网络相关的法律、法规和规章共计两百多部。据统计，涉及个人信息保护方面的法律有将近40部，法规有30部，另外还有一些部门规章和一些地方法规。目前，我国刑法明确规定了“非法获取公民个人信息罪”，已将泄露个人信息入罪。但是，缺乏专门的隐私权保护或个人信息保护方面的法律。在法律层面，除《刑法》第253条、《居民身份证法》第十九条有所规定外，其他法律都没有专门针对这个问题的规定。其他的规定，主要是一些部门规章和行业规范。

二是某些法律概念不清晰。要将一类行为规定为犯罪，必须是该行为具有严重的社会危害性，严重的社会危害性是行为构成犯罪的前提和基础。所谓的社会危害性，是指行为对刑法所保护的社会关系的侵犯性，由于社会危害性是对法益的侵犯，因此，只有当某种行为对法益造成了侵害或者侵害的危险时，该行为才具有社会危害性。[4]首先，“公民个人信息”的界定存在争议。《刑法修正案(七)》增设的第二百五十三条将公民个人信息定义为“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，在履行职责或者提供服务过程中所获得的公民个人信息”，然而在实践中，对于公民个人信息的界定，却存在不少困惑。“按照刑法的规定，非法获取公民个人信息罪，是指以窃取或者其他方法非法获取国家机关或者金融、电信等单位在履行职责或者提供服务过程中获得的公民个人信息。这一法条仅仅明确了公民个人信息的来源，但并没有对公民个人信息进行列举或作出规定。姓名、电话等属于传统‘显见’的公民个人信息，但车主、业主等非传统领域内的信息是否适用于‘个人信息’则在实践中仍然存在分歧。”[5]在相关法律中缺乏对公民信息“非法获取”行为的具体规定，“在司法实践中，常见的情况是有证据证实行为人非法持有大量的公民个人信息，但常常无法证实这些信息的获取手段是否合法。在这种情况下，如何认定其获取手段的‘非法性’同样存在分歧。”[6]

其次，“情节严重”认定难以操作。在办案实践中，一般掌握的“情节严重”标准，是从非法获取信息的目的、犯罪手段、信息的用途、犯罪后果、获取数量及获取次数等方面进行判断的。然而即便执法机关审慎地掌握上述标准，在实际操作中还存在一些具体问题。例如，为进行市场调查获取大量信息，并未转卖或用于拓展业务的，是否应当入罪？非法获取行为造成严重后果的，应达到何种程度？获取信息的数量应当定为多少比较适宜？获利金额与此罪侵害的法益并无直接联系，是否也应成为“情节严重”的标准之一？此类问题若得不到解决，易造成各地基层执法部门的不统一。

三是法律处罚力度不够。2009年2月28日开始实施的《刑法修正案(七)》中规定了“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。”与犯罪分子丰厚收益和巨大危害相比，判处“三年以下有期徒刑或者拘役”显得惩戒明显不足。百度董事长李彦宏委员认为，“不遵守法律的代价太小。对于一个市值几十亿甚至更多的企业，几十万的罚金无济于事，应加大处罚力度。另外，相关法律并未对利用非法获得的个人信息开展各种牟利行为的处罚。”

四是立法进程缓慢。吴邦国委员长曾明确提出“以法律形式保护公民个人及法人电子信息安全”的观点。法律保护是最广泛、最有效的保护机制，但是我国目前还没有专门针对个人信息保护的综合立法。早在2003年，原国务院信息办委托中国社科院法学所课题组承担《个人数据保护法》比较研究课题及草拟一份专家建议稿，并形成了《个人信息保护法》草案。2005年，近8万字的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》完成。2008年，《个人信息保护法》草案呈交国务院。至今，我国保护个人信息立法进程尚不明朗。在十一届全国人大常委会立法规划中，该法未被列入，属于“继续开展研究论证，视情况作出相应安排”的项目。

(二)司法打击存在多方面难题

一是公安机关陷入“单打独斗”局面。因个人信息泄露引发的刑事案件呈高发趋势，个人信息泄露正在逐渐为犯罪分子实施犯罪打开“方便之门”。[7]破解公安机关打击侵犯公民信息“孤军奋战”的困局是当前司法实践中遇到的一个重要现实问题。

二是难以追溯犯罪源头。侵犯公民个人信息罪的客观方面表现为将合法持有或窃取的公民个人信息出售或者非牟利致害使用。在行为人合法持有公民个人信息并非法处理的情况下，信息权利人基于一定的法定事由或约定事由将信息交给犯罪人，其有理由相信犯罪人会合法使用相关信息，权利人对信息处理的过程很难监督，因而也难以发现其出售、披露、超目的使用和保管不善丢失等不法行为。当行为人窃取公民个人信息时，窃取行为本身是秘密的，不动声色的，网络上的破译密钥和编程技术等手法具有典型的隐秘特征，而且信息具有可复制性，丢失后不会造成被害人物件的毁损缺漏，被害人往往对窃取行为不得而知。此外，犯罪人的出售和致害使用行为往往通过互联网完成，互联网犯罪具有无现场性。[8]犯罪分子主要是利用网络进行倒卖信息活动，用的大多是虚拟身份，交易成功后立即销毁作案证据，非常隐蔽。这类犯罪发现难，基本没有被害人报案。如果仅是信息被泄露、接到骚扰电话，没有发生现实的危害结果，警方很难立案侦查。案件进入提取证据、审讯深挖阶段，难题更是接踵而来。例如，石家庄市公安局长安分局民警孙春寿在查办一起非法调查案件时，发现嫌疑人进行非法手机定位是通过外地人员来实现的。这些在外地的人员，作为石家庄的公安机关很难查清。由于这类犯罪一般通过网络平台进行，警方在调查取证方面存在一定难度。

三是获取信息的来源和时间难以甄别和确认。虽然法律规定公民个人信息的来源作出了限制性的规定，但是在办案实践中，出售和非法提供公民信息的源头往往难以查获，而大多非法获取的公民个人信息案件中的信息都是几经转手或者直接购买于网络，犯罪嫌疑人也不知道信息最初的来源。因此，除了一些户籍底卡、储户信息、新生儿信息等显而易见的是从国家机关、金融、医疗单位方能获取的之外，对于其他一些综合类信息及经过修改的信息，办案人员很难从信息内容上判断信息的来源，给定罪带来困难。

(三)社会管理方式亟需完善。

一是大部分主体身份特定，责任落实难度大。刑法中侵犯公民个人信息犯罪的条款在实践中被“架空”。至今，全国范围内没有一起单位犯罪被追究的案例，也没有单位主管人员或相关负责人为此被追究刑责。对不断被曝光的泄露客户信息事件，相关单位均保持沉默，鲜有公开道歉或对外公布内部问责情况。例如2009年中央电视台3·15晚会上曝光了中国移动山东省公司出售用户个人信息，当时《刑法修正案(七)》已经生效，但司法机关从未追究这一“罪行”。[9]

二是监管主体模糊。网络本身具有跨领域、跨部门、跨地域特性，对互联网的发展和管理己超出单个部门或领域、地域的界限，仅靠单个部门各自为战、独立开展工作，已无法有效履行监管职责。对此，目前建立了齐抓共管的网络管理协调工作机制，但是，该协调机制的效果也不尽如人意。[10]所有“调查公司”最重要的是信息来源问题，而其获得个人电话、户籍、车辆、出入境、银行存款等信息的一条重要途径就是网上QQ群。这些QQ 群里的成员由全国各地的“私家侦探”组成，其掌握各种信息资源，通过QQ群建立联系，互买信息，互相获利，成为个人信息传播的集散地。另外，一些“调查公司”公开在互联网上公开招聘电信、公安人员为其提供信息，成为电信、公安等极少数人员违法犯罪的诱因和联络途径。

三是行政机关缺乏保护个人信息和隐私权的观念。目前，我国许多行政机关、法人和其他组织普遍缺乏保护个人信息和隐私权的观念，不以任意收集、处置、泄露公民个人信息行为为侵权、违法。

四是对个人信息和隐私权侵犯的法律救济制度不完善，救济渠道不畅。2013年4月，中国南方航空公司将顾客个人信息泄露给昆明康辉旅行社，消费者在维权过程中屡屡受挫。南方航空投诉中心工作人员认为：“旅行社知道您的信息的话，我们这边是无从查找的，因为南航毕竟不是一个执法部门，你可以问一下他是和哪个部门合作的，如果你要维护旅客权益的话，也可以找警方那边协助看他们那边是通过什么途径拿到信息的。”

三、完善法律：不断封堵个人信息泄露漏洞

(一)加快个人信息保护立法步伐

世界历史发展过程证明，法律是打击侵犯公民个人信息犯罪的最有效手段。从全球视野角度看，许多发达国家在保护公民信息隐私权方面制定了非常完善的法律。英国早在1984年就制定了《数据保护法》，规定不允许以欺骗手段从数据主体那里取得信息。美国非常重视网络隐私权保护问题。1986年，美国国会就通过了《联邦电子通讯隐私权法案》，规定了通过截获、访问或泄漏保存的通信信息侵害个人隐私权的情况、例外及责任，是处理网络隐私权保护问题的重要法案。德国则在1997年颁布了《联邦信息与电信服务架构性条件建构规制法》，其中第二部分《电信服务数据保护法》，对网络应用过程中可能产生的个人及隐私信息的侵害状况，进行了世界上最严格的规定——任何人、任何公司都不能擅自对网民个人信息进行搜集和整理。目前，世界上已有50多个国家制定了个人信息法体系。

从国内角度看，各方面显示出来的立法条件已经比较成熟。首先，议政、执法等层面要求立法。在多年召开的“两会”上，多位代表、委员提出议案、提案，建议尽快出台个人信息保护法。建议从立法宗旨、基本概念、信息资源主管部门、基本原则、适用范围、个人信息收集主体、收集范围、收集程序、部门或组织告知义务、个人信息的储存与使用、更改程序、共享程序、行业自律机制、监督机构及职责、损害赔偿、法律责任等方面做出规定。在执法部门具体执法方面，公安部刑侦局副局长廖进荣表示，公安部已经与全国人大常委会法工委等部门进行了多次有效沟通，希望通过公安机关已经开展的多次集中打击侵犯公民个人信息犯罪行动反映出的法律问题引起更多重视。其次，公众对保护个人信息的法律需求极为迫切。去年年底，《中国青年报》社会调查中心通过题客调查网、中国雅虎和民意中国网，对11163人进行的调查显示，93.8%的人有过因个人信息泄露带来的困扰。75.4%的人表示从未接受过与个人信息安全相关的教育或培训。86.0%的人期待国家尽快出台《个人信息保护法》。

“立法项目都体现了当前经济社会生活中急需调整的权利义务关系，也将对社会生活产生深远影响。”[11]工信部副部长杨学山认为，“个人信息保护实行面广，一定要从法的角度规范，才能使这项工作在法律上有依据”。从我国立法程序方面来看，早在2003年，国务院信息办委托中国社科院法学所个人数据保护法研究课题组，承担《个人数据保护法》研究课题，并草拟了一份专家建议稿。2005年，近8万字的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》完成。这些建议稿提出了建设性意见，为立法机构正式立法打下了良好的基础。4月，国务院启动了《个人信息保护法》的立法程序。立法机关应在此基础上进一步借鉴其他立法先进国家的经验，面对个人信息遭泄露行为日渐猖獗的形势，充分考虑现实需求的紧迫性，争取在本届全国人大常委会任期内提交审议《个人信息保护法》。

(二)不断完善现有相关法律

法律应当是一个完整的体系，涵盖等方面，现行的有关法律在实践中发挥了重要的作用，但是与目前侵犯公民个人信息犯罪行为猖獗的现状已不相适应，需要通过修改法律进一步得到有效完善。

一是确立个人信息保护范畴及侵害罪名。首先应将所有能识别出身份的信息，包括个人的图像、声音、网络信息等，都列为保护对象。其次是借鉴国外立法经验，设立“侵害个人信息罪”，对于侵犯个人信息的犯罪行为应追究相应的刑事责任。三是对利用非法手段获取个人信息，如利用现代通讯手段刺探私人情报信息、雇佣他人跟踪私人活动、利用公民个人信息进行虚假广告宣传等，应明确追究法律责任。另外，个人信息处理活动应当遵循什么原则、信息主体在个人信息处理活动中享有哪些权利、如何保管收集来的信息、对滥用个人信息的信息处理单位和主管人员如何处罚、什么机构负责执法等，都需要相关法律来进一步明确。再者，“有的时候，由于信息的主人保密意识不强，在某些场合过多地透露了自己的信息，如填写调查问卷、客户资料等等。在这种情况下，尽管获取信息的方式并不是在履行职责或者提供服务过程中获得的，更谈不上非法获得他人信息，但是也应当对采集信息者作出约束，不得过度采集他人信息或者以赠送产品、参与抽奖等作为条件诱使他人提供个人信息。以这种方式获得信息后再出售或者非法提供给他人的，也应当追究法律责任。但是目前对这样的行为，法律尚未进行规制。”[12]

二是同步跟进立法设计的应有行政处罚。“目前来看，刑法修正案(七)和2010年侵权责任法对其中的刑事责任和民事责任作了部分规定，但在行政责任尤其是行政执法机制上，依然存在较大短板。在我国，公民个人信息大量掌握在行政机关手中，而且泄露个人信息最严重的部门，如银行、医院、电信公司等，主要的监管责任也在政府主管部门。这提示我们，对公民信息权利的立法保护，重点应当是行政立法，确立政府的执法义务和监管责任，为政府部门监管行业领域侵犯个人信息提供明确的责任倒逼机制。”[13]“个人信息保护法律体系是一个涉及宪法、刑法、民法、行政法等多个部门法的综合体系。侵犯个人信息的法律责任也应当包括刑事责任、民事责任和行政责任这三大类。刑事责任的制度已经先行一步，行政责任的建立与民事责任的健全也有必要写入立法日程。”[14]

(三)通过出台司法解释来细化现有刑法等有关法律条款、契合实际

作为对法律的补充和细化，司法解释是保障正确适用法律的手段之一。将复杂的抽象的法律规则变为合理的、可操作的细则，是司法解释的主要目的。[15]“现行刑法第253条之一的可操作性不够，对于侵犯公民个人信息的行为，什么情形应追究刑事责任、什么情形应予以行政处罚没有一个明确标准。例如，在上述两款刑法条文中，起刑点‘情节严重’如何判定？非法售卖个人信息上千条还是上万条才构罪？构罪的标准不明晰，这既消解了法律在具体司法实践中的可操作性，也可能成为一个替不法分子规避法律制裁的司法漏洞，亟须细化此法律标准。‘情节严重’的标准应该综合把握，既要考虑涉案行为侵害个人信息的数量，也要考虑侵害行为对被害人、家庭及社会造成的损害程度。除此之外，信息的用途、性质、获利数额、非法获取的手段等也可以作为‘情节严重’的衡量因素。”[16]

(四)建立公民个人信息权益受侵害补偿机制

目前的法律对用户隐私的侵权行为约束力有限，用户维权、寻求民事赔偿胜率不大，对损失评估难以确定金额，所以对隐私泄露的责任人追究比较困难。从社会防控公民个人信息犯罪的角度讲，除了追究相关人员的刑事责任，应同时加大行政管理、民事诉讼的力度，法律应该明确公民个人信息遭非法泄露后，能否向存在过错的单位、机构索赔，以及如何赔偿，以有效遏制泄露信息的情况发生。没有救济的权利不是真正的权利，这是法学界公认的原则尽管有些法律界人士认为，公民个人信息遭遇不法侵害时，应当适用业已建立的行政复议与行政诉讼途径寻找法律救济，无须另行建立法律救济途径。但个人信息保护不同于国家信息保护个人信息具有很强的人身属性，与人的日常生活和职业状况密切相关因此，应由行政机关通过民事或刑事处罚的方式，对公民实施救济，使信息收集者改正错误的信息收集行为，并赔偿公民因此而受到的损失；通过司法途径进行救济，即为公民提供要求损害赔偿的独立诉因。[17]

四、管理创新：构建公民个人信息犯罪综合治理体系

(一)加大打击侵犯公民个人信息犯罪的力度

一是公安机关应将阶段性的打击行动转化为常规式执法。近年来，公安部门打击侵犯公民个人信息犯罪执法活动主要以“专项行动”、“集中治理”的形式展开。截至2013年5月底，全国共抓获此类犯罪嫌疑人4115名，破案4382起，查获被盗取的各类公民个人信息近50亿条，破获绑架、敲诈勒索、电信诈骗等犯罪案件上万起。但是，公民的个人信息需要得到长期、有效地保护。从我国执法实践来看，常规式执法能确保法律所确立的合理预期，保障法律的稳定性、可预见性，有效地消除违法行为的诱因，给潜在的违法者以足够的威慑力。同时，常规式执法是有效打击侵犯公民个人信息犯罪，从源头上遏制违法势力，确保社会和谐稳定的重要保障。

二是坚持把抓源头作为突破口，采取多种技术手段侦破案件。目前，在国内出现利用境外网站从事泄露个人信息网络违法犯罪问题。例如，济南市公安局网警支队在办案实践中发现，有的违法网站服务器设在美国，形成难监管、难查挖的犯罪新特点，很难采取下一步行动。打击泄露个人信息犯罪，网络警察是主力军。各地公安网监部门根据泄露个人信息网站服务器设在境外而建立、维护者在境内的特点，通过多种技术手段，逐渐摸索出一套行之有效的查办做法，做到落地查人。对于一些境外网站，移送国家互联网信息办公室予以屏蔽。同时，充分利用中外警方合作机制，与国外警方联合侦破泄露个人信息网络违法犯罪重大案件。

三是提高公安机关办案水平。“办理此类案件应当重点收集、固定以下证据：一是对行为人是否具有特殊主体资格，且获得公民个人信息的途径是否合法进行查证。二是对行为人是否明知他人进行违法犯罪活动而提供信息，或是否出于进行违法犯罪活动的目的而非法获取信息进行查证。三是对涉案信息的数量及真伪进行查验。提取、固定行为人所使用电脑、存储介质等物品，制作现场勘验检查笔录，证实行为人存储的公民个人信息数量、信息内容、创建时间。四是通过电子数据查明行为人的上网记录，分析其日常网上行为轨迹，摸清上下线人员、交易金额、获利数额等具体情况，查清行为人之间的往来关系。五是查明造成后果、损失情况以及是否利用获取的信息进行其他违法犯罪活动等。”[18]

四是建立执法部门侵犯公民个人信息犯罪执法联动协作机制。首先，建立重大个人信息违法犯罪案件处置会商制度，对于案情重大、复杂和社会影响较大的案件，由公安部门邀请检察院、法院、工商等部门进行专案会商，确保案件依法办理。其次，规范办案协调和案件移送机制。加强协调，密切合作，严格按照法律、法规及相关规定，不断完善侵犯公民个人信息犯罪案件中涉嫌违反治安管理、刑事犯罪案件的移送、受理工作，规范案件调查、证据保全、法律适用等有关事宜，确保依法行政，防范选择性执法。第三，提升打防效能。现代化的科技手段和信息已经成为执法机关精准、高效打击犯罪的利器，执法部门要通过多层级联合集中培训、相互派员培训等形式，重点加强案件调查取证、移送办理及有关法律适用知识等方面培训，不断提升打击侵害公民个人信息犯罪案件办理水平。第四，积极宣传。充分利用电视、报纸、网络等媒体宣传执法部门打击侵犯公民个人信息犯罪行为的信息，让全社会熟悉相关法律法规，增强执法部门联动执法的威慑力，切实保障公民个人信息安全权益。

五是大大提高侵犯公民个人信息犯罪成本。首先，对釆集信息者作出约束，不得过度采集他人信息或者以赠送产品、参与抽奖等作为条件诱使他人提供个人信息。以这种方式获得信息后再出售或者非法提供给他人的，行政机关应当追究法律责任。如果一些行政机关、法人和其他组织发生公民个人信息泄漏严重事件，追责机制行政机关不能内部胜任的，由国家检察机关作为重大案件进行追责。其次，“在案件侦办过程中，办案单位不能拘泥于侵犯公民个人信息犯罪嫌疑人的供述与辩解，仅仅考虑适用‘出售或非法提供公民个人信息罪’、‘非法获取公民个人信息罪’两个罪名。而应加强对与之关联的电信诈骗嫌疑人的讯问，及时提取、固定网络聊天记录、手机短信等相关证据，力争从侧面印证侵犯公民个人信息犯罪嫌疑人明知信息将被用于诈骗却仍然非法获取、出售、提供信息的主观故意，从而以诈骗共犯追究其刑事责任，提高其量刑幅度，从而产生良好的震慑效应。”[19]第三，审判机关加重对国家工作人员泄露出卖信息处罚。国家公务人员负有保管公民个人信息的职责，有保密的义务。如果其监守自盗，非法出售，就构成滥用职权罪，涉及渎职犯罪。我国法律暂时对此种犯罪行为没有明确规定，审判机关在对此种案件犯罪嫌疑人量刑时应考虑重法优于轻法。

六是建立高层面的公民个人信息监管部门。在一些发达国家，非常重视国家层面的公民个人信息监管部门建设。例如，法国创建了专门保证公民个人自由不受网络侵害的机构——法国国家信息自由委员会(简称CNIL)。其为独立行政当局，工作职责是保障信息与自由法的实施，保护公民的个人隐私、个人或公共自由，防止其遭受现代信息技术的侵害。具体任务有教育、咨询、监管文档和保证法律实施等等。我国“目前的互联网虚拟社会基本处于无序运作的状态，网络运营商的自律性不高，政府部门缺乏有效的监管手段，要解决这一问题，就必须构建‘大网监’格局，创新互联网公开管理办法，提升技术手段水平。各有关警种应密切配合，建立网上联合工作站，实现资源共享，优势互补。全面创新互联网技术手段建设，进一步加强互联网和手机信息管理，着力构建与虚拟社会有机结合的治安防控体系。”[20]

(二)扩大法制宣传，增强公民个人信息防范意识

一是切实提高自我防范意识。截止2013年10月底，我国家互联网网民数已达到6.13亿人，3G用户达到了3.87亿户，互联网宽带接入用户数达到1.88亿户。面对个人信息被泄露的潜在危险，绝大多数网民没有充分理解“不经本人同意不要擅自泄露他人个人信息”这一文明常识的重要性。公安机关已侦破的许多案件表明，一旦个人信息被泄露，作为个体的公民便处于不安全的境地，轻则受到各种电话、短信的不断骚扰，重则生命财产安全受到威胁乃至损失。一方面“现阶段，应广泛借助电视、广播、报刊、网络等媒体以及QQ、微博、微信、飞信等新兴传播渠道，结合电信诈骗实际案例大力开展宣传，向群众说明个人信息泄露的各种渠道、滥用个人信息的电信诈骗犯罪手法，引导广大群众在生活中提升防范意识。比如，自觉做到谨慎保管个人身份证、户口簿、社会保障卡、护照等证件；慎重对待身份证复印材料，养成在复印材料上注明用途的习惯；在用于上网的电脑上安装杀毒软件和个人防火墙，不轻易接收、安装来路不明的软件；遇到陌生来电时多询问、多核实，不轻易相信对方；确需向陌生账户汇款或转账时，务必三思而后行；一旦遇到侵权情况，及时记录相关信息，向有关部门提供有价值的线索等等。”[21]另一方面，公民个人应学会拒绝技巧，更好保护个人信息。现实生活中，公民个人经常遇到到超市购物被要求办理超市会员卡的情况。“更多的时候，公民是没有必要完全‘遵命’如实提供个人身份证号码等绝对属于个人信息资料给对方的。拒绝的理由和方法很简单：一是对方没有合法的依据，只要我们敢于说‘不’，对方一般不也会再坚持自己的无理要求；二是要学会婉转的拒绝，如谎称没有带身份证；三是只要对方不会认真查阅身份证的话，既然是由个人自行填写，当然就可以‘自我发挥’啦，同理，手机号码、家里电话号码、住址等个人信息也可以通过‘自我发挥’来应对。”[22]

二是强化公民的外界监督作用。公民的个人信息是公民隐私权的重要内容，它关系到公民的人格尊严和名誉权这个古老而永恒的话题，是人能体面、安全地生活在这个社会中的重要保障。因此，它是强调人格尊严，把人真正地当作“人”来看待的重要体现。[23]公民具有举报权，知情权，监督权。建议公民个人信息泄漏受害者组成追责监督组，对于案件的追查公平性进行外界监督。

三是畅通公民投诉及寻求司法救济渠道。多数公民在个人信息被侵犯后很少选择司法救济，“调查显示，在个人信息曾被滥用的被调查者中，仅有4%左右的人进行过投诉或提起过诉讼。”[24]唤醒公民保护信息权利的维权意识，鼓励公民在个人信息受到侵害时进行投诉或提起诉讼。应抓紧切实解决好向什么机构投诉，处理个人信息机构应承担具体责任、公民投诉成本过高等现实问题。公民在个人信息隐私权受到不法侵害后，从精神损害赔偿、惩罚性赔偿、给予行政处罚、追究刑事责任等方面请求司法救济。报载，2013年11月份，开房信息泄露受害者王金龙向上海法院提交诉状，当年12月30日，王金龙接到律师通知，上海市浦东新区法院予以受理。此案，在畅通公民投诉及寻求司法救济渠道方面开了一个好头。

(三)多层面切实承担起保护公民个人信息重要社会职责

一是政府层面考虑最大限度地保护个人信息安全。党的十八届三中全会明确提出，要坚持积极利用、科学发展、依法管理、确保安全的互联网管理方针，加大依法管理网络的力度当前，一些社会管理领域在推行实名制管理方式，其本意是为了更好地维持社会秩序、净化网络环境，其目的是正当的。但是，这种管理方法已经在社会实践过程中逐渐显现出个人信息被泄漏的风险。2012年，似乎与“实名制”结下了不解之缘。春运期间实行的火车票实名制、网上炒得火热的避孕药实名制、艾滋病检测实名制、菜刀实名制和快递实名制，还有即将实行的微博实名制等接踵而至。“为减少在网络上非法搜集个人信息的行为，韩国政府已决定分阶段废除网络实名制。就我国目前而言，对于保护个人隐私的问题，而应该在实名制的推广和个人信息的保护之间寻找一个最大的平衡。这种平衡必须从多方面入手。”[25]

二是企业对个人信息保护问题需要完善更多的相匹配的保护制度。首先，着力提高企业管理水平，加强企业内部法制建设，抓紧修订相关的管理办法，切实做到有法可依，依法行政。其次，完善体制机制。改变过去重审批、轻监管的现象。加强事中事后的管理，切实落实属地化管理职能。完善治理不良短信工作机制，明确发送不良短信的法律责任和电信运营商的证据保全责任。第三，着力强化行业监管机制。“相关企业要强化自律，加强技术和管理，条件成熟时还可设立企业首席隐私官，专门负责处理与用户隐私权相关事宜。”[26]建立查询公民个人信息的备案和登记制度，为日后的倒查工作提供便利。完善治理不良短信工作机制，明确发送不良短信的法律责任和电信运营商的证据保全责任。“要研究建立企业经营异常的名录和黑名单制度，”“加强技术手段的建设，实现违法违规网站的快速、联动、在线处理以及资源的可管、可溯源，可追责的制度，强化用户个人信息的保护，维护消费者合法权益。”[27]“建议联通、移动两公司加强员工的教育培训，强化保护客户信息安全的意识；完善客户信息安全保护措施，规范管理客户信息查询修改系统；强化公司监管部门的监督作用，定期抽查客户信息查询修改系统使用情况；完善保护客户信息安全的管理规定，正确规范、引导公司职工的行为。建议工信部督促电信公司做好教育培训、完善信息安全保护措施，严格规范信息的查询、修改程序，并对重点岗位的电脑进行严密的安全设置和全程的技术监控，形成预防与打击泄露客户信息行为的有效机制；强化对电信行业的监管，完善电信工作人员的从业规范，制定严格统一的行业保密规定，定期对电信运营商的信息保护工作进行检查，形成有力的常态监督机制。”[28]

三是企业不断提高公民个人信息保护有关技术研发水平。“计算机技术的发展是一把双刃剑，从一定意义上讲，其使公民个人信息安全处于最危险的边缘，但同时技术手段上的防控是保护公民个人信息最直接的屏障。在国家政策和市场需求的引导下，技术部门应加大力度进行与公民个人信息保护有关的技术研发，如加密技术、网络安全过滤技术、反监控技术和网络追踪技术等。加密技术和反监控技术的演进，将会使电子化的公民个人信息处境更为安全，不易被侵害人恶意获取，降低保管不善的风险；网络安全过滤屏蔽技术的发展，能够切断非法出售、超目的使用和披露的渠道，降低可能带来的不法侵害。”[29]

【作者简介】
董纯朴，山东警察学院，副教授。

【注释】
[1]卢建平、常秀娇：《我国侵犯公民个人信息犯罪的治理》，2013年4月。
[2]公安部政治部：《犯罪学》，中国人民公安大学出版社1997年版，第3页。
[3]李师胜：《16万济南人开房信息泄露》，载《齐鲁晚报》，2014年1月6日。
[4]高铭暄：《马克昌.刑法学》，北京大学出版社2006年版，第47页。
[5]赵红媛：《织密公民信息安全法网》，载《人民日报》，2013年12月18日。
[6]同上。
[7]陈晓英：《刑法亮剑“倒逼”个人信息保护法出台》，载《法制日报》，2008年9月5日。
[8]屈学武：《因特网上的犯罪及其遏制》，载《法学研究》，2000年第4期。
[9]“‘侵犯公民信息第一案’放过了祸首”，//blog.szonline.net/u/591/35384.html
[10]戴建华：《应整合网络信息的政府监管主体》，载《学习时报》，2012年5月21日。
[11]彭波：《立法重点：从“立”转向“修”》，载《人民日报》，2013年12月25日。
[12]杜晓：《刑法打击侵害公民个人信息犯罪应常态化》，载《法制日报》，2012年5月7日。
[13]傅达林：《保护个人信息立法要有多重维度》，载《法制日报》，2012年3月19日。
[14]王琳：《个人信息保护不能单兵突进》，载《羊城晚报》，2008年8月27日。
[15]彭波：《立法重点：从“立”转向“修”》，载《人民日报》，2013年12月25日。
[16]李科：《明确侵犯个人信息处罚追责标准是根本》，载《人民公安报》，2012年4月27日。
[17]赵培云：《开拓立法新“视界”——国外个人信息保护法带来的启示》，载《上海信息化》，2008年,第1期。
[18]高健江、胡循南、朱宝生：《预防与打击侵犯公民个人信息违法犯罪若干问题研究》，载《南方法治报》2013年6月5日。
[19]陈煌、陈鸿：《如何打击才能事半功倍？》，载《人民公安》，2013年，第13期。
[20]梁伟发：《信息化条件下公安机关社会管理创新——以广东省为例》，载《第二届中国警学论坛文集》2011版。
[21]陈煌，陈鸿：《如何打击才能事半功倍？》，载《人民公安》2013年第13期。
[22]李文杰：《学会拒绝技巧更好保护个人信息》，载《深圳特区报》，2012年5月15日。
[23]罗玉中，刘松三：《权与法制》，北京大学出版社2000年版，第424页。
[24]傅达林：《保护个人信息立法要有多重维度》，载《法制日报》，2012年3月19日。
[25]刘行星：《实名制与犯罪防控》，载《青少年犯罪》，2012年3月。
[26]徐丹：《谁来保护个人信息安全》，载《人民日报》，2012年3月27日。
[27]《工信部建互联网企业黑名单》，载《齐鲁晚报》，2013年12月24日。
[28]北京市朝阳区法院向中国联通有限公司、中国移动通信集团以及工业和信息化部发出的司法建议。
[29]卢建平、常秀娇：《我国侵犯公民个人信息犯罪的治理》，2013年4月。

没找到您需要的？您可以发布法律咨询，我们的律师随时在线为您服务