关键词大数据 公民 个人信息安全 网络犯罪 立法
在第五次信息技术革命的推动下,互联网的发展提高了组织各部门的沟通和运行效率,促进了国家的互联和社会各行业的交流。与此同时,依托互联网生成的黑产业和网络犯罪也悄然发生。根据和中国司法大数据研究在2019年底发布的《司法大数据专题报告之网络犯罪特点和趋势》,仅在2016至2018年问,全国各级法院一审审结的网络犯罪案件就达到了4.8万余件,在有关网络的案件中有19.16%案件是在获取公民个人信息后有针对性地实施犯罪。由此可见,在大数据时代背景下,公民个人信息安全问题变得尤为突出。
(一)对“公民”的认定
《刑法》第二百五十三条之一的用语是“公民个人信息”而不是“中华人民共和国公民的个人信息”,从刑法规范用语的角度看,还应包括外国公民的个人信息。同时出于对立法精神和主旨的考虑,面对中国境内大量的外籍人士,应该予以同样的法律平等保护。
(二)对“个人信息”的认定
最高法、最高检和公安部联合发布的《关于依法惩戒侵害公民个人信息犯罪活动的通知》对“公民个人信息”进行了界定:公民个人信息应包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能识别公民个人身份或涉及公民个人隐私的信息、数据资料,以及以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
(三)对“情节严重”的认定
根据《刑法》第二百五十三条之一的规定,出售、非法提供公民个人信息罪,非法获取公民个人信息罪的成立以“情节严重”为要件,在《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中,针对“情节严重”的认定给予了一种以具体数量为界限的量刑标准,涉及超过不同情况下的信息数量,可以认定达到了“情节严重”的情况。根据个人信息不同的价值等级分别按照五十条、五百条和五千条以上的行为,都可以被认定为“情节严重”。
大数据是指无法在可容忍的时间内用传统IT技术和软硬件工具对其进行感知、获取、管
理、处理和服务的数据集合技术,是以数据为本质的新一代革命性的信息技术,通过对海量信息的收集、加工、处理和分享达到预设目的,实现对事物规律或行业内部生态精准把握并提供预测未来发展趋势基础数据的功能。大数据背景下,每个公民都在互联网的联结下成为一个个的分散分布但又互通互联的“点”,尤其是在近年来用户对移动智能终端的依赖,致使网络空间成为新的时代背景下个人生活的一片新区域。当今依托互联网平台发展的公司、企业越来越多,渗透进了社会发展的各个行业,在监管力度和范围难以适应这种急剧的变化时,部分网络平台嗅到了公民个人信息背后蕴藏的巨大商业价值,开始了对公民个人信息有目的性的收集、窃取和贩卖,引發了计算机网络犯罪行为。
截至2020年7月,根据中国裁判文书网的公开判决资料显示,以“非法获取公民个人信息”为关键字进行案例检索时,出现高达6661条结果,其中刑事案件占到了6486件;以“非法提供公民个人信息罪”为关键字进行案例检索时,出现了179条结果。从相关案件的发生数量上来看,随着近几年法律法规的建立健全和有关部门的重视,此类案件得到了一定程度上的控制,但公民个人信息安全形势仍然严峻,这主要表现在侵犯行为的复杂性和多变性上。
(一)首要条件是存在对个人信息有需求的市场
基于网络平台研发和运行的互联网公司通过电子通讯设备应用软件收集用户个人信息,这些庞大的用户基础数据和个人信息蕴藏的巨大商业价值和经济潜力,驱动着一些诸如购物类、外卖类、快递服务类、房产和汽车销售类等行业的网络公司,为了对行业内用户体的消费行为和消费习惯进行分析以实现将自己的产品或服务更加高效精准地投放,公民的个人信息成为市场研判的重要依据。还有一种情况是有针对性、目的性的信息泄露,比如犯罪团伙利用个人信息实施的、恐吓行为,非常容易造成公民的财产损失甚至出现生命安全威胁。
(二)组织和个人的有意出售
随着网络平台数量的爆发式增长,部分应用软件会收集用户的身份证号、手机号、账号、银行卡号、常驻地址甚至手机IMEI码等私密化精准化的个人信息。对于数量如此庞大的网络应用软件市场,其规范运行程度和监管力度均面临着巨大的挑战。不仅如此,诸如公安、民政、工商、交警等政府部门也存有大量的公民个人信息,能够利用职务之便或技术手段接触到公民个人信息库的工作人员,一旦在利益面前思想产生动摇就有可能做出不当行为。政府部门和具有较大社会知名度的企业往往更注重社会信誉和公信力,一般不会以组织
名义或单位行为进行数据外泄,多是能直接或间接接触数据库、具有相应权限的工作人员非法出售以获利的个人行为。
(三)以木马程序或病毒入侵、攻击数据库进行信息窃取
具有收集个人信息功能的平台或机构一般会承诺保障公民的个人信息,但是其信息安全系统并不健全,有些机构甚至根本没有采取有效的安全保护措施来防止公民个人信息数据库被攻击从而导致数据泄露,更多的是作为一种资源或资产进行简单储存、备案,对用户个人信息数据库的安全保障意识十分淡薄。
(四)钓鱼网站直接非法获得公民个人信息
通过DNS网络劫持等技术手段,采取迷惑或诱骗等形式误导网络用户无法正常使用某些功能,主动将自己的个人信息填写递交到虚假页面或平台,这些网址通常是仿冒的钓鱼网站、挂马网站等,在这种网站上通过重新登陆、验证登陆等方式引诱用户进行个人信息的直接录入,从而将信息流入其后台数据库。在司法实践中,这种行为往往会被以破坏计算机信息系统定罪,但是对公民个人信息的非法收集也构成了对用户个人隐私的威胁。
(一)加强立法保护,强化应对新型网络犯罪的法律抓手
近年来,我国在立法保护公民个人信息方面做出了不少努力,如《刑法修正案(七)》、《刑法修正案(九)》、2012年《全国人大常委会关于加强网络信息保护的决定》与2013年《惩处侵害公民个人信息犯罪活动通知》等一系列法律法规和规范性文件,都在立法层面对公民个人信息给予很高程度的重视和保护。但在司法实务中,由于网络技术的迅速发展和网络犯罪的隐秘性,犯罪分工精细化、职业化趋势大大增加了案件的复杂程度。一方面,加强立法保护应注重增强法律条文适用的范围,针对数据处理的动态系统,更加明确和精细地区分不同保护对象,针对不同数据处理阶段,各有侧重地实现恰当与必要的刑法条文设置。另一方面,我国的个人数据保护亦应当建立在宪法规定的公民基本权利基础上,若这些公民权利同时体现为人格权益,需要民法予以认可和保护。充分发挥民法的预防功能,在注重维护公民个人合法权益的同时推动个人信息的正当使用。侵害公民个人信息
(二)多部門协作加强对公民个人信息非法交易市场的监管
对于出售、非法提供公民个人信息的网络犯罪而言,从根源上打击公民个人信息交易的地下市场往往会取得良好的效果。政府或社会组织成立专门的机构或采取多部门联合协作的
模式,加强对个人信息交易市场的监管,在整合、分析大量网络犯罪案件的基础上,摸清公民个人信息地下交易市场的运行规则,从出售和购买两方同时监控和打击,切断交易通道。通过提高对出售和购买行为的惩治力度,形成一套完整、有效的监控体系和监管网络,实现全范围、全时段的自动监控、自动取证和自动预警,实现减少信息倒卖和非法交易的目标。
(三)网络平台提升安全防范意识和内部管理能力
新时代的互联网公司应提高对用户信息数据库信息的保护能力,履行保护用户个人信息安全的义务。网络公司或机构往往对自己用户数据库的重视程度不够,投入低、疏于防护、易于攻破,认为这只是一种基本的信息,并不需要过高的成本来维护数据库。企业公司应本着对用户、对网络社会环境负责的态度,增强技术手段投入和防范意识,提升平台对用户个人信息的保护力度。同时也应注意对自己系统内部的员工加强培训和管理,尤其对有较高权限能够接触到用户信息数据库等重要领域的员工,及时把握其思想动态,提高员工思想和职业道德水平,强化其保密意识和责任意识,必要时可以在制度上采取措施,尽量避免出现一人或一个部门权限过高又无有效监管和限制的情况。
(四)公民自身应提高对个人信息泄露的警惕性和甄别能力
公民作为网络世界的主体和重要组成部分,是网络和大数据时代背景下各个行业和领域不断发展的巨大推力。作为不同互联网平台的用户体,用户的流向体现了用户的需求,这位行业的发展指明了方向,很大程度上是决定着互联网经济的发展的风向标。他们不断向网络世界传输需求,与网络平台上的各类机构产生信息和服务的交互。从这个意义出发,公民个人本身也需要对自己在网络平台上个人信息的保护发挥积极作用,了解网络常用手段,增强对钓鱼网站的甄别能力,在浏览不安全网页、使用敏感应用程序、处在不安全网络环境等情况下,谨慎提交有关个人信息的数据。
发布评论