连日来,有关公民个人信息泄露的新闻报道多少让人有些应接不暇。
8月28日,华住集团旗下酒店客户数据疑似泄露。据人民网报道,数据总计约5亿条,数据量达140G,涉及客户1.3亿人。8月31日,网传3亿条顺丰快递物流数据流入暗网遭不法分子兜售。虽然顺丰在隔日回应泄露的数据与其无关,但红星新闻记者实测了20条数据,发现了其中17条为顺丰客户。9月6日,新华网报道北京大兴居民王先生收到顺丰莫名到付快递,打开竟是抽奖单,疑似个人信息被泄露。
澎湃新闻以“侵犯公民个人信息、获利”为关键词在OpenLaw及无讼网上获取了1029份侵犯个人信息违法牟利的判决书,以此观察此类案件的具体案由、被告人身份、侵害的个人信息量、量刑标准等。
从判决的案由来看,“出售、非法提供公民个人信息”以及“非法获取公民个人信息”的数量共占到案件总量38.9%,基本上属于单一犯罪。后三种案由基本都涉及“数罪并罚”的情况,在以侵犯公民个人信息的基础上,不法分子还涉及其他犯罪形式。
我们从“出售、非法提供公民个人信息”、“诈骗”以及“非法获取计算机信息系统数据、非法控制计算机信息系统”作为案件样本(下样本统称为案件样本),这些案件分别代表了三个方面:侵害个人信息罪的主要案由,衍生犯罪中常见且危害较大的犯罪类型,以及高新技术对于此类案件的影响。以这336份案件样本为数据,尝试从各个方面观察侵犯公民个人信息罪。
谁在利用公民个人信息获利? 从案件样本中的被告人身份来看,主要可以分为三个来源:来自政府国企、来自私营公司以及无特殊身份。身份差异影响了不法分子在接触公民个人信息时的操作手段、接触的信息类型和牟利的方式。其中,来自政府国企的不法分子一般是指在行业内部,通过职务便利获得第一手个人信息的内鬼。从案件数量来看,地方的交警大队、派出所以及银行职工是主要的“内鬼”出没地。
以户籍信息为例,在(2017)粤2071刑初1679号案件中,被告人徐某作为中山市公安局板芙分局刑侦大队科员,使用其公安数据证书在公安网上违规查询他人户籍信息、车辆档案及轨迹等公民个人信息共计10691条,非法获利2万余元。
除了政府国企外,“内鬼”还来自私营企业。这些行业涉及教育、电商、金融、房地产等。每起案件窃取的信息数量从几百条到千万余条不等,造成了较大的危害。
不同行业的“内鬼”作案也有一定的规律可循。公安系统“内鬼”主要集中在基层派出所,窃取的公民个人信息以户籍、身份、行车记录、车辆轨迹等为主。电商领域“内鬼”以第三方电商公司内部职员为主,他们窃取的多为日常管理的客户淘宝、支付宝、买家会员名等个人信息。除了平台账号外信息外,还涉及交易环节的物流信息,包括个人的住址、电话、物流单号等。
来自政府国企、私营企业的行业“内鬼”的牟利手段主要是寻找“买家”把窃取的各类公民信息给卖出去。从判决书来看,这些下游的“买家”比较多的身份类型是无业者、农民以及务工人员。
这类人群整体受教育水平不高,善于利用社交工具及互联网等渠道收购“内鬼”提供的信息。在获取个人信息后,他们“各显神通”,牟利手段可谓五花八门:或转手倒卖、或用来推销贷款、或利用黑客技术、或实施电信诈骗。
