1、2023年6 月第2 3卷第2 期【犯罪研究】河北公安警察职业学院学报Journal of Hebei Vocational College of Public Security PoliceJun.2023Vol.23 No.2大数据时代个人信息安全防控研究基于2 37 份刑事一审判决文书的实证分析刘黎明程伍强(四川警察学院,四川泸州6 46 0 9 9)摘要:个人信息安全事关公民的切身利益,也关系到国家公共安全与社会稳定。目前侵犯公民个人信息的违法犯罪行为多发,个人信息泄露日益严重。通过对该罪2 37 份生效刑事一审判决的实证分析,结合当下个人信息泄露的现状,梳理出民众防范难、个人信息保护
2、职责部门治理难、取证难、监管难的防治困境。防治路径上,应从个人信息分类分级保护、提升公民个人信息保护意识、规范个人信息安全监督管理、加强对侵犯公民个人信息行为的取证技术上入手,从而全方位、专业化地防治侵犯公民个人信息的违法犯罪行为。关键词:个人信息;信息安全;防治手段中图分类号:D917文献标识码:A文章编号:16 7 2-6 40 5(2 0 2 3)0 2-0 0 38-0 5随着移动物联网、各种云应用及大数据的普及,个人信息安全问题日益突出。当前,学者在个人信息安全问题上进行了多方面、多层次的研究,包括个人信息的理论、法律法规、保护机制以及综合治理等方面。这一背景催生了信息安全技术个人信
3、息安全规范(本文简称GB/T35273)、中华人民共和国个人信息保护法(本文简称个人信息保护法)等关于保护个人信息安全的法律法规出台。本文从个人信息的构成人手,梳理分析侵犯公民个人信息案件的共性与特征,参考相关法律、法规,对侵犯公民个人信息犯罪进行分类,从而提出个人信息安全防控对策。一、个人信息的构成信息社会下,个人信息的实质内容不断拓展,信息价值也逐渐体现,个人信息不仅包含关于自然人的个人信息,同时也包含个人信息的价值。因此个人信息是由个人信息的实质和个人信息的价值构成。(一)个人信息的实质构成个人信息的实质是由能识别信息主体的显性信息、关联信息主体的隐性信息两部分构成。通过对比GB/作者简
4、介:刘黎明(19 6 7-),男,四川开江人,四川警察学院侦查系教授,硕士研究生导师,研究方向为侦查学。程伍强(19 9 7-),男,四川仁寿人,四川省攀枝花市公安局民警,四川警察学院2 0 2 2 级警务硕士研究生,研究方向为国家安全学。收稿日期:2 0 2 3-0 5-0 8基金项目:四川警察学院研究生创新项目“总体国家安全视域下个人信息安全保护研究”(编号:2 2 YCX001)。38T35273中华人民共和国民法典(本文简称民法典)、个人信息保护法分析(见表1),个人信息保护法中所采用的判定标准在GB/T35273民法典的基础上进行扩充,不再局限于已知特定自然人作为判定的前提,其关联路
5、径判定的前提变为已识别或可识别。因此个人信息是一个动态的概念,并非一成不变,且随着社会发展不断拓展,需要结合具体的场景去加以识别和判断。个人信息保护的中心已从“以信息为中心”转向“以信息主体为中心”。保护中心的转变反映了“以人为本”的根本理念。(二)个人信息的价值构成信息社会背景下,信息逐渐成为一种独特的商品,由于个人信息与其信息主体之间对应关系紧密,个人信息也逐渐被商品化,具有商品二因素,即个人信息价值、个人信息的使用价值。研究个人信息的价值有助于对个人信息进行分类分级,以及对侵犯公民个人信息的违法犯罪行为的打击。个人信息价值,一是指市场上买卖的物品。在当下信息社会,由于各方面利益的驱动,个
6、人信息被当作“商表1法律法规关于个人信息的定义名称制定机构生效时间以电子或者其它方式记录的能够单独或信息安全技国家标准化2020年者与其他信息结合识别特定自然人身份术个人信息管理委员会10月1日或者反映特定自然人活动情况的各种信安全规范息。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合调味品特定自然人的各种信息,包括自然人的各中华人民共全国人民代2011年种信息,包括自然人的姓名、出生日和国法典表大会中华人民共全国人大常2021年和国个人信与已或者可识别的自然人有关的各种信委会11月1日息保护法息,不包括匿名化处理后的信息。品”在市场上进行买卖和交换,此过程中,不仅有个人信息本身
7、的价值,还有凝聚在“个人信息商品”中的一般人类劳动。二是个人信息对人的意义。个人信息在人们对世界的理解和转变中发挥着积极作用,例如个人信息在信息主体之间的社会交往、数字经济的发展和国家管理中的积极作用。个人信息的使用价值,即能够满足信息主体需求的属性。如个人信息的识别属性,可通过一个或多个特定个体的个人信息来识别信息主体。二、侵犯公民个人信息犯罪样本分析(一)判决案件样本分析以2 0 2 2 年1一11月的一审刑事判决案件为研究样本,分析侵犯公民个人信息犯罪的特征。1.犯罪行为人特征。从犯罪主体分析侵犯公民个人信息罪的犯罪主体主要是自然人。从样本案件中333位犯罪行为人的“职业”分布来看,无业
8、人员比例最高,共114人,占比34.2 3%,其次是服务行业从业人员共7 7 人,占比为2 3.12%,再者是务工人员共58 人,占比17.42%、个体户人员共57 人,占比为17.12%。2.侵犯公民个人信息条数。根据司法解释中对“情节严重”和“情节特别严重”的条数划分,侵犯公民个人信息50 条以上可认定为“情节严重”,50 0 条以上可认定为“情节特别严重”,结合实践中的情况,选择50 条、500条、50 0 0 条、50 0 0 0 条作为样本研究的数量区间。(见个人信息的定义1月1日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息是以电子或者其他
9、方式记录的表2)?表2 侵犯公民个人信息条数统计条数/条人数/人1-502051-50039501-5000395001-500003350001及以上26如表2 所示,侵犯公民个人信息1-50 条为2 0 人,占12.74%,51-50 0 条为39 人,占2 4.8 4%,50 1-50 0 0 条为39人,占2 4.8 4%,50 0 1-50 0 0 0 条为33,占2 1.0 2%,50 0 0 1条及以上为2 6 人,占16.56%。从侵犯公民个人信息的条数来看,信息处理者泄露公民个人信息条数最多,在江孝平侵犯公民个人信息案件中,江孝平作为信息处理者,违反法律规定泄露公民个人信息条
10、数约50 0 万条。3.违法所得数额。根据司法解释中对侵犯公民个人信息犯罪违法所得数额的划分,将违法所得数额的样本以5000元、50 0 0 0 元进行区分研究。(见表3)表3违法所得数额情况统计数额/元人数/人1-5000405001-5000016150000及以上46个人信息的判定判定路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是关联,即从个人到信息,如已知特定自然人,由该特定自然人有其活动中产生的信息。“单独或者与其他信息结合识别特定自然人”身份对应识别路径,此时判定标准强调信息能够识别出特定的信息主体;而“反映特定自然人活动情
11、况的各种信息”,对应关联路径,判定标准强调已知特定自然人。“单独或者与其他信息结合识别特定自然人的各种信息”,是以信息是否识别出特定信息主体为判定。“与已识别或者可识别的自然人有关的各种信息”,判定标准即识别、关联路径,而关联路径的范围在信息安全技术个人信息安全规范的关联路径基础上扩充,不再局限于已知特定自然人作为判定的前提,此关联路径的前提变为已识别或可识别。占比12.74%24.84%24.84%21.02%16.56%占比16.19%65.18%18.62%39如表3所示,侵犯公民个人信息违法所得数额1-50 0 0元为40 人,占16.19%,50 0 1-50 0 0 0 元为16
12、1人,占65.18%且占比最大,50 0 0 0 元及以上为46 人,占18.6 2%。从违法所得数额来看,犯罪行为人主要是通过买卖、窃取等直接谋取经济利益的活动2,其信息处理者违法所得数额占比最多。(二)侵犯公民个人信息犯罪的分类笔者基于中国裁判文书网的2 37 件案例,结合案件样本中关于犯罪行为人职业特征、侵犯公民个人信息条数和违法所得数额的分析,以获取个人信息的来源是否违法违规为依据,将侵犯公民个人信息犯罪分为非法获取泄露类和信息处理者泄露类。非法获取泄露类。以非法获取民众的个人信息为首要目的,通过买卖、窃取、网络攻击等违法、违规手段获取个人信息。例如通过网络攻击获取民众的个人信息或违法
13、违规使用、借用公权力获取公民个人信息。信息处理者泄露类。信息处理者是指对公民个人信息接收、收集、存储、转化、传送和发布的处理方,可以是自然人或单位。从泄露数据的源头来看,一些信息处理者在合法合规的前提下处理大量用户数据时,由于保护措施不到位,导致用户数据泄露。另一些信息处理者则基于合法合规掌握的用户数据,恶意地超范围采集、出售和共享个人信息,将用户数据的安全置于危险之中。(三)个人信息泄露的危害根据中国互联网络信息中心第50 次中国互联网络发展状况统计报告,截至2 0 2 2 年6 月,有2 1.8%(超过2亿)的网民遭遇个人信息泄露。身处信息时代,个人信息泄露容易受到信息骚扰、陷入大数据陷阱
14、,同时个人人身财产安全和国家安全也会受到威胁。一是信息骚扰。个人信息被泄露、贩卖过后,信息利用者利用个人信息数据,精准、定时、定点向信息主体推送相关的业务产品,骚扰公民。二是危害个人人身财产安全。个人信息的泄露为不法分子实施犯罪提供便利条件,不法分子在精准掌握个人信息后,对信息主体“量身”制造犯罪计划,从而增加“犯罪成功率”。三是陷入大数据陷阱。大量的个人网上行为数据被搜集整理后,形成个人的网络画像,某些公司、平台APP通过推荐智能优化、人工智能等方式,控制网民的浏览信息,或开展大数据“杀熟”等违法犯罪行为。四是危害国家安全。一方面大量的个人信息泄露,不仅对公民的合法权益造成严重损害,也会影响
15、社会秩序和公共利益,从而危害国家安全;另一方面由于个人信息泄露的数据量激增,使得国家机密泄露的风险增加,大量的个人信息被收集、归纳、分类后,通过大数据平台进行数据综合分析,结合搜集的地理数据、经济数据等有关国家安全的数据资料,精准分析国防、经济、政治等情报,对个人、企业、国家组织、保密单位进行精准定位,对国防安全、国家信息安全等造成巨大威胁。40三、防治难点(一)民众防范难个人信息是信息主体的数字DNA,鉴于个人信息的实质构成与价值构成,不法分子通过各种手段窃取民众的个人信息,民众难以防范。一是目前APP平台过分索权、强行授权等问题严重。用户在安装APP时,都被要求签订用户协议和权限授予,若用
16、户不同意签订与授予,就无法使用APP。A PP平台公开隐私政策,获取用户各种权限和信息,用户的个人信息自主权在APP平台过度索权和强制授权的过程中丧失。二是平台企业利用其在数据方面的主导地位参与个人信息的交换、共享和出售。三是信息处理者在处理公民个人信息时,非法买卖、披露、共享公民个人信息。四是人脸识别技术滥用。3面部识别技术和人工智能的广泛使用为过度收集和滥用个人数据创造了可能性,使得民众在防范过程中,对个人生物信息被采集和滥用的担忧。个人生物信息具有独特性、持久性和不可替代性等独特特征,这使其有别于传统信息数据。如果个人生物信息被泄露,可能会造成永久性和不可弥补的损失,从而对个人信息安全构成重大潜在风险。(二)治理难随着信息技术的升级,侵犯公民个人信息犯罪的行为方式由信息处理者泄露、通过建立非法网站窃取个人信息等简单方式向技术化、智能化方式转变,如不法分子通过恶意爬虫、网络攻击等方式获取大量数据或结合大数据平台、人工智能,精确、有效地窃取公民个人信息。根据电子商务生态安全白皮书,2 0 16 年在黑市上泄露的个人信息数量达到6 5亿次,中国每个人的个人信息平均泄露至少5次,6.8
