◆紀 芳

(遼寧警察學(xué)院公安信息系 遼寧 116036)

網(wǎng)絡(luò)侵犯公民個人信息犯罪的分析與防控策略

◆紀 芳

(遼寧警察學(xué)院公安信息系 遼寧 116036)

近來個人信息泄露的電信網(wǎng)絡(luò)詐騙案件頻發(fā)，本文著重分析網(wǎng)絡(luò)侵犯公民個人信息犯罪的特點、剖析信息泄露的源頭，并總結(jié)出針對該類新型網(wǎng)絡(luò)犯罪的防范打擊策略。

公民個人信息；網(wǎng)絡(luò)犯罪；黑產(chǎn)鏈條

0 引言

數(shù)字化時代，網(wǎng)絡(luò)侵犯公民個人信息的違法犯罪呈高發(fā)、多發(fā)態(tài)勢，公民個人信息安全問題令人堪憂，由此滋生出網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)盜竊、非法討債、人肉搜索、盜刷銀行卡等下游違法犯罪行為。[1]高科技的發(fā)展與個人隱私保護之間的矛盾未徹底解決，研究如何保護我國公民個人信息安全、打擊網(wǎng)絡(luò)侵犯公民個人信息犯罪成為亟待解決的問題。

1 相關(guān)法律

針對個人信息泄露問題日益嚴重的現(xiàn)象，2009年2月28日《刑法修正案（七）》中增設(shè)了刑法第二百五十三條之一“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”的規(guī)定。2015年11月1日頒布的《刑法修正案（九）》又進行了修改完善。但在實際案件中，公民個人信息如何界定、何為情節(jié)特別嚴重、定罪量刑的標(biāo)準(zhǔn)如何確定等方面存在分歧。

2017年6月1日最高人民法院、最高人民檢察院聯(lián)合發(fā)布的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》），是首次針對打擊侵犯公民個人信息犯罪出臺的司法解釋。[2]《解釋》中規(guī)定：非法獲取、出售或者提供五十條以上個人敏感信息（包括行蹤軌跡信息、財產(chǎn)信息、通信內(nèi)容、征信信息等），即構(gòu)成犯罪，處三年以下有期徒刑或拘役；為牟取利益，出售或非法提供公民個人信息違法所得 5000元以上，即構(gòu)成犯罪；對內(nèi)部人員泄露公民個人信息加大了懲治力度，認定犯罪的數(shù)量和數(shù)額標(biāo)準(zhǔn)減半計算；首次明確“人肉搜索”中未經(jīng)當(dāng)事人同意，行為人向不特定多數(shù)人公開當(dāng)事人個人信息，情節(jié)嚴重的將處三年以下有期徒刑或拘役；明確非法購買、收受公民個人信息進行廣告、推銷等活動的定罪量刑標(biāo)準(zhǔn)。

2 概述

2.1 定義和分類

公民個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。包括身份識別信息和活動情況信息，例如姓名、身份證號碼、電話號碼、通訊方式、家庭住址、賬號密碼、財產(chǎn)狀況、交易記錄、行蹤軌跡等。[3]

《解釋》中將公民個人信息分為三類：“敏感信息”（包括行蹤軌跡、通信內(nèi)容、征信信息、財產(chǎn)信息等）、可能影響人身財產(chǎn)安全的公民個人信息（包括住宿信息、通信記錄、交易信息、健康生理信息等）和上述兩項以外的公民個人信息。入罪標(biāo)準(zhǔn)的設(shè)置為：非法獲取、出售或者提供五十條以上“敏感信息”、五百條以上可能影響人身財產(chǎn)安全的公民個人信息或五千條以上上述兩項以外的公民個人信息，即可構(gòu)成犯罪。

2.2 主要特征

網(wǎng)絡(luò)侵犯公民個人信息犯罪的主要特征包括：

（1）涉及的公民個人信息種類繁多、領(lǐng)域廣。從簡單的身份信息、電話號碼、家庭地址等，到涉及隱私的手機信息、聊天記錄、網(wǎng)絡(luò)賬號密碼、銀行賬號密碼、購物記錄、車輛信息、出行記錄甚至生活習(xí)慣等，領(lǐng)域包括金融、電信、教育、醫(yī)療、工商、房產(chǎn)、快遞等40余類部門及行業(yè)。

（2）形成了“源頭—中間商—非法使用人員”利益鏈條和黑色產(chǎn)業(yè)。不同層級分工合作，以市場化運作的方式，形成了非法獲取、買賣、使用、犯罪的利益鏈條，牟取不法利益，交易金額巨大。

（3）信息泄露源頭多樣化。黑客攻擊、釣魚網(wǎng)站、木馬、免費WiFi、偽二維碼、惡意APP、社工庫等技術(shù)類方法，已經(jīng)成為竊取公民個人信息的重要源頭。另外，信息服務(wù)商、各部門行業(yè)等內(nèi)部人員也成為參與泄露公民個人信息的主要源頭之一。

（4）犯罪團伙反偵查意識強。犯罪分子之間通過QQ、微信、網(wǎng)站、論壇等進行聯(lián)絡(luò)，通過網(wǎng)銀或第三方支付平臺轉(zhuǎn)賬交易。另外，犯罪分子會經(jīng)常變換網(wǎng)絡(luò)虛擬身份，及時銷毀作案證據(jù)，增加公安機關(guān)的偵破難度。

3 公民個人信息泄露源頭的分析

3.1 常規(guī)技術(shù)手段

犯罪分子一般通過釣魚網(wǎng)站、虛假網(wǎng)站或偽基站發(fā)送非法鏈接騙取公民個人信息；通過網(wǎng)站木馬、惡意二維碼、免費WiFi、惡意 APP等方式竊取公民個人信息；通過辦理會員、招聘、贈送禮品、婚介等渠道獲取個人信息。

2016年6月，青島市局成功偵破了一起利用黑客技術(shù)非法控制計算機信息系統(tǒng)并在網(wǎng)絡(luò)上非法出售竊取信息的案件。犯罪嫌疑人H某從非法入侵的航空公司訂票服務(wù)系統(tǒng)、醫(yī)療中心、職教中心、貴金屬交易平臺等數(shù)百家網(wǎng)站中竊取了10億余條公民個人信息，販賣獲利20余萬元。

3.2 拖庫、洗庫、撞庫

犯罪分子通過拖庫、洗庫和撞庫等技術(shù)手段竊取公民個人信息，已經(jīng)成為“技術(shù)類”竊取方式的重要源頭，基本流程如圖1所示。

圖1 通過拖庫、洗庫、撞庫竊取公民個人信息

（1）拖庫：黑客確定攻擊目標(biāo)，然后尋找網(wǎng)站存在的漏洞，再使用 SQL注入等技術(shù)手段攻擊該網(wǎng)站服務(wù)器，得到操作權(quán)限后，將該網(wǎng)站整個數(shù)據(jù)庫內(nèi)容下載到自己的電腦中。

（2）洗庫：下載的數(shù)據(jù)庫中有許多冗雜的、無用的信息，黑客使用專門的軟件對字符、數(shù)據(jù)等進行智能識別，篩選出有價值的數(shù)據(jù)、信息后，可以批量販賣從中獲利。

（3）撞庫：黑客用這些有價值的數(shù)據(jù)建立社工庫（Social Engineering Data），然后利用這些信息嘗試登錄其他網(wǎng)站、程序或APP，就有可能獲得一些可以成功登錄的賬號和密碼，進行非法牟利犯罪行為。

2016年3月，淮安網(wǎng)安部門成功偵破了一起侵犯公民個人信息案，搗毀國內(nèi)最大的網(wǎng)絡(luò)社工庫“K8社工庫”（www.k8sec.com），查獲公民個人信息20億條。

3.3 內(nèi)部泄露

已查明的案件中發(fā)現(xiàn)由銀行、教育、保險、工商、電信、快遞、證券、電商等各個行業(yè)的內(nèi)部人員造成的信息數(shù)據(jù)泄露，已經(jīng)成為侵犯公民個人信息的一大威脅。2016年6月，徐州警方偵破了一起以快遞公司內(nèi)部員工為泄露源頭的非法獲取計算機信息系統(tǒng)數(shù)據(jù)案，查獲500余萬條快遞信息，非法獲利30余萬元。

另外，非工作需要查詢公民個人信息甚至提供個人信息不僅是違紀行為，甚至可能已經(jīng)違法和犯罪。2016年6月，中山市公安局板芙分局刑警大隊民警S某（科員）因違反國家法律法規(guī)規(guī)定，利用職務(wù)便利使用個人公安數(shù)字證書登錄公安內(nèi)網(wǎng)，違規(guī)查詢并出售公民個人信息獲利，已涉嫌犯罪，被立案審查。

3.4 黑色產(chǎn)業(yè)鏈

網(wǎng)絡(luò)侵犯公民個人信息犯罪已不再是“單打獨斗”，而是形成了“源頭—中間商—非法使用人員”的黑色產(chǎn)業(yè)鏈條，牟取暴利。

鏈條頂端是公民個人信息泄露的源頭，也被稱為“查詢員”，包括移動公司員工、房產(chǎn)中介員工、物流公司員工、教育培訓(xùn)機構(gòu)員工、銀行職員等；接下來是類似“莊家”的中間商，也是黑產(chǎn)利益鏈條人員構(gòu)成的主要部分；末端是不同層級的代理商或者非法使用公民個人信息進行直接犯罪的犯罪分子。[4]“查詢員”相對獨立，但可同時為多個信息販賣代理商提供信息。代理商之間會有大量信息交換，通過微信群、QQ群、論壇等方式頻繁聯(lián)系，形成相互勾結(jié)的黑色交易平臺。

2016年10月，公安部破獲了一起跨25省市區(qū)的特大侵犯公民個人信息案。移交的犯罪嫌疑人中有34名查詢員，日查詢量最大可達300條以上，還有8名一級代理商和12名二級代理商。

4 防范打擊措施

4.1 公安機關(guān)加強執(zhí)法力度

（1）重點打擊，加大懲處力度。公安機關(guān)要以“追源頭、打團伙、摧平臺、斷鏈條”為目標(biāo)，重點偵破黑客攻擊破壞竊取公民個人基本信息和身份認證信息、非法使用“偽基站”、利用公民個人信息實施詐騙、盜竊、敲詐勒索等大案要案，加大對行業(yè)內(nèi)部信息泄露者的懲處力度，有案必查、有責(zé)必究，最大限度遏制電信網(wǎng)絡(luò)詐騙等下游違法犯罪活動。

（2）重點查處內(nèi)部違法犯罪人員。公安機關(guān)應(yīng)集中鏟除一批犯罪鏈條和源頭，整治侵犯公民個人信息的相關(guān)渠道，嚴厲打擊非法獲取、非法買賣公民個人信息的不法分子，尤其是內(nèi)部違法犯罪人員，切實保障公民個人信息安全。

（3）強化整治和網(wǎng)上巡查執(zhí)法。公安機關(guān)應(yīng)集中整治一批網(wǎng)站企業(yè)和網(wǎng)絡(luò)平臺，加大對非法銷售、傳播公民個人信息的網(wǎng)站（網(wǎng)店）、網(wǎng)絡(luò)賬號、通訊聯(lián)絡(luò)號碼等的整治力度，并依法予以關(guān)停、關(guān)閉，及時發(fā)布安全防范預(yù)警信息，切實加大違法信息防控和內(nèi)部審計力度，堅決擠壓違法活動生存空間。

（4）確保信息源頭安全。承載公民個人信息的相關(guān)機構(gòu)、部門對公民個人信息負有不可推卸的主體責(zé)任，應(yīng)明確個人信息監(jiān)管責(zé)任，完善安全管理制度。公安機關(guān)應(yīng)集中治理一批持有公民個人信息但技術(shù)防范和安全管理措施落實不到位的企事業(yè)單位，凡不按規(guī)定對公民個人信息進行查詢、復(fù)制、使用甚至出售獲利的，要追究其刑事責(zé)任。

（5）進一步加強宣傳引導(dǎo)。公安機關(guān)通過典型案例剖析和法律法規(guī)宣傳，提醒廣大網(wǎng)民提升自身安全防范意識，遵紀守法，并鼓勵群眾積極提供違法犯罪線索。

4.2 用戶加強自身安全意識

用戶要不斷增強安全防范意識，保護公民個人信息被不法分子獲取。

（1）盡量避免在網(wǎng)絡(luò)環(huán)境中泄露個人的真實身份信息。

（2）盡量避免注冊不必要的賬號；或者為賬號設(shè)置足夠復(fù)雜的密碼，避免使用純字母、純數(shù)字或者手機號碼、生日、身份證號碼等簡單密碼。

（3）盡量在不同網(wǎng)站、應(yīng)用上設(shè)置不同的賬號密碼，以免被黑客撞庫，密碼也要定期更新。

（4）防范釣魚網(wǎng)站和虛假鏈接，尤其在網(wǎng)絡(luò)購物、網(wǎng)絡(luò)理財?shù)炔僮鲿r要確保網(wǎng)頁的安全性。

（5）不在網(wǎng)絡(luò)聊天或者各種網(wǎng)絡(luò)活動中泄露自己的銀行卡號、電話號碼、住址等信息。

（6）不再使用的移動終端上，要注銷自己的各類賬號以及互聯(lián)網(wǎng)收付款等授權(quán)，避免被他人使用后威脅到自己的信息、財產(chǎn)安全。

（7）在正規(guī)的應(yīng)用商店、APP商城下載應(yīng)用軟件，避免點擊不明鏈接、下載不熟悉的應(yīng)用軟件。

（8）盡量不連接公共無線網(wǎng)絡(luò)，若需使用，一定要設(shè)置網(wǎng)絡(luò)防火墻，并用安全軟件對WIFI進行安全性檢查。

（9）不隨意掃描二維碼。

4.3 互聯(lián)網(wǎng)企業(yè)加強自查自糾

信息服務(wù)商和承載公民個人信息的部門行業(yè)應(yīng)對其自身系統(tǒng)和第三方應(yīng)用進行全面排查，尤其是即時通訊平臺、社交網(wǎng)絡(luò)平臺、電商平臺等，通過落實嚴格的安全監(jiān)管制度，及時修補漏洞，確保公民個人信息財產(chǎn)安全。

5 結(jié)束語

習(xí)近平總書記提出“要嚴防網(wǎng)絡(luò)犯罪，尤其是新型網(wǎng)絡(luò)犯罪，維護人民群眾利益和社會和諧穩(wěn)定?！币虼耍獓烂C整治網(wǎng)絡(luò)秩序，打擊網(wǎng)絡(luò)侵犯公民個人信息這一新型犯罪，有效防止“雙刃劍效應(yīng)”，進一步打造我國安全有序、富有活力、人民滿意的網(wǎng)絡(luò)生態(tài)。

[1]陳榮.江蘇警方嚴厲打擊非法獲取公民個人信息犯罪[J].中國防偽報道，2016.

[2]徐美玲.論我國司法解釋主體法定化——基于我國《立法法》第一百零四條第三款規(guī)定[J].法制與社會，2016.

[3]搜狐網(wǎng).圖文：財產(chǎn)狀況和行蹤軌跡屬“個人信息”[EB/OL].2017-05-10.http://www.sohu.com/a/139416047_162595.

[4]劉行星，李希龍.侵犯公民個人信息犯罪研究[J].江蘇警官學(xué)院學(xué)報，2013.