个人信息泄露问题日益突出,垃圾短信、骚扰电话层出不穷,个人信息安全与保护引发全社会高度关注。通过对近5年来全市法院审结的侵犯公民个人信息罪案件开展调研统计和实证分析,北京市高级人民法院近日发布《侵犯公民个人信息犯罪审判白皮书(2018年-2023年)》。
关注1
刑罚程度整体较轻,今年案件数量出现反弹
自2018年以来,北京法院审结侵犯公民个人信息罪一、二审案件共计229件。与2018年相比,2019年全市法院侵犯公民个人信息罪收案、结案数量有所上升,后开始下降,2020年和2022年下降幅度尤为明显。从2023年的收案情况来看,案件数量出现反弹,反映出侵犯公民个人信息犯罪多发的态势。
自2018年以来,被判处侵犯公民个人信息罪的被告人共302人。被判处三年以下有期徒刑(含拘役、单处罚金、免于刑事处罚)的被告人人数所占比例约为73.2%;被判处五年以下有期徒刑(含拘役、单处罚金、免于刑事处罚)的被告人人数所占比例约为98.7%,重刑率较低;缓刑适用率基本在14.6%左右。被判处罚金在10万元以下的被告人人数所占比例约为83.2%。
关注2
超1/3的涉案信息与公民人身安全、财产安全直接相关
2017年,最高人民法院、最高人民检察院联合出台《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,其中第5条第1款以列举的形式将公民个人信息区分为三类。第一类为行踪轨迹信息、通信内容、征信信息、财产信息;第二类为住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息;第三类为除前述类型之外的公民个人信息,入罪标准分别是50条、500条和5000条。前两类信息类型因与公民人身安全、财产安全直接相关,故入罪门槛相对较低。
在北京法院已审结的侵犯公民个人信息罪案件中,涉案信息主要包含手机号码、身份证件、互联网数据、地址位置四种基本的要素。其中,手机号码、身份证件号码所占比重最大,合计达77.3%;其次是互联网相关数据,如用户注册信息、浏览检索记录、IP地址等;再次是地址位置,涉案信息大可到地域、城市,小可精准至具体门牌号。上述各种信息类型及信息要素交叉组合,从而帮助不法分子识别、锁定特定的人或某一类人群。
值得注意的是,超1/3的涉案信息与公民人身安全、财产安全直接相关,涉及第一类信息的占比为24.6%,涉及第二类信息的占比为9.9%。
记者注意到,涉案公民个人信息的规模日渐庞大。近年来,批量甚至海量侵犯公民个人信息已成为该类案件的常态,且案件比例整体呈上升趋势。统计发现,在已结的侵犯公民个人信息罪案件中,除少部分案件依据犯罪所得定案外,九成案件以信息条数作为定罪量刑的主要依据。其中有半数的案件信息数量超过5万条,约1/4的案件信息数量超过50万条,部分案件查获的信息多达数百万条、数千万条。与之相应,储存信息的工具也从传统的U盘、硬盘演变为云盘等容量更大的载体。
关注3
39.6%的涉案信息被用于违法甚至犯罪活动
根据个人信息的来源及流向,侵犯公民个人信息犯罪涵盖了互联网、金融、教育、交通、房地产、购物、通信、物流、求职、法律、差旅、医疗等行业,其中互联网和金融业的占比最大。
经初步统计,已结案件中56.8%的涉案信息被用于业务推销,包括理财产品、贷款业务、房产项目、教育培训、商品代购等,某些领域已经达到了精准营销的程度。39.6%的涉案信息被用于违法甚至犯罪活动,如违规提取公积金或办理信用卡、同行不正当竞争、代收代写学术论文、暴力催收讨债、发送招嫖信息、电信网络诈骗、盗窃存款、敲诈勒索、绑架、故意伤害等。3.6%的案件以获得配偶外遇情况为目的,由“私家侦探”通过跟踪拍摄、关系查询等方式定向追踪个人行迹,调查特定公民信息。
白皮书指出,上述情况严重影响了被侵害者的生活安宁和心理安全感,尤其是当侵犯公民个人信息作为犯罪链条中的一环时,下游关联众多违法犯罪活动,给公民的人身、财产安全带来严重威胁。
关注4
外部监督监管体系缺乏对个人信息滥用及流失的制约
虽然买卖和交换仍是非法获取公民个人信息的主要手段,但放眼整个犯罪链条,这仅是信息流转的中间环节,内部人员泄露信息是侵犯公民个人信息罪的主要源头。
白皮书还指出,外部监督监管体系缺乏对个人信息滥用及流失的制约。当前,个人信息“告知-同意”的处理规则已基本普及,但超范围收集、使用个人信息的问题仍较为突出,需要外部环境加以约束。“我同意以下条款”“我接受以下事项”等术语的背后是专业、复杂的隐私政策,对信息主体而言,更像是信息收集者的一份免责声明。且信息收集者往往采用的是信息主体“不同意”“不接受”就不能享受全部服务的运营模式,在能力不对等的情况下,信息主体即使仔细阅读了隐私政策,也难以避免为一时便利而让渡个人信息决策与控制权的情况。且司法实践中大多数涉及个人信息保护的案件规模大、侵害小,提起个人诉讼的成本大、收益小,大部分受害者事后选择沉默甚至习以为常。
同时,行政监管体系注重信息流失后的结果追究,一定程度上忽略了信息采集、使用过程中的监督和综合治理。
关注5
建议有关部门联合研究机构开展AI反诈技术研究
白皮书提出,在现行法律制度框架下,应强化个人信息处理单位的保管与保障责任,加强行业协会、行政机关的监管责任,完善个人信息被侵害后的追责与赔偿机制,架构起分级分类的保护体系,建立覆盖民事、行政、刑事打击的一体化保护制度。
白皮书建议,机关团体及企事业单位将公民个人信息作为重要数据予以保护,对存有个人信息的系统网络终端进行IP地址、MAC地址登记,实行实名制网络管理,通过身份认证配合信息系统进行业务权限登录,并建立后台个人信息访问、操作留痕、追踪机制。积极推动从业禁止条款在行业内部落地执行,首先针对金融、交通、房地产、通信等涉及公民敏感信息的重点行业,探索建立法院与行业主管部门间的联动机制,犯罪分子被禁业后,及时告知相关行业主管部门,建立禁业人员“黑名单”,供用人单位对拟录用人员进行入职查询。
当前,犯罪分子利用AI“换脸”、通过声音合成技术实施诈骗等违法犯罪活动的苗头已开始显现。此类犯罪通常需要使用大量公民个人信息,且系人脸、声音等生物识别信息,易嵌入公众日常生活,关联个人敏感数据,次生出侵害公民个人信息犯罪。
对此,白皮书建议,政府有关部门保障、联合各科研院所、国家重点实验室等研究机构开展AI反诈技术研究,开展“卡脖子”技术攻关,加强对人脸识别等活体检测验证应用的监管与审查,针对即时通讯、网络直播、网络社交、电商平台、金融支付等重点APP开展技术安全测评,及时发现风险隐患,通报运营主体升级安全保护措施和人脸识别算法。
新京报记者 行海洋
编辑 樊一婧 校对 王心
