11月1日，《中華人民共和國(guó)個(gè)人信息保護(hù)法》（下稱(chēng)“個(gè)保法”）正式實(shí)施。事實(shí)上，在這部專(zhuān)門(mén)性法律出臺(tái)前，已有不少個(gè)人信息保護(hù)條款散見(jiàn)于諸多法律之中，多地法院也已有過(guò)大量司法實(shí)踐。

　　值此重大節(jié)點(diǎn)，南都·隱私護(hù)衛(wèi)隊(duì)以“侵犯公民個(gè)人信息”、“買(mǎi)賣(mài)公民個(gè)人信息”等關(guān)鍵詞，在裁判文書(shū)網(wǎng)上獲取了8602份判決書(shū)，以此觀察2016年至今，相關(guān)案件的數(shù)量分布、涉案信息量、涉案金額和量刑趨勢(shì)等。

　　分析結(jié)果顯示，相關(guān)文書(shū)數(shù)量在2019年達(dá)到頂峰，其中超半數(shù)個(gè)人信息從行業(yè)內(nèi)部工作人員處泄露。在這些“內(nèi)鬼”中，有四分之一出自公安系統(tǒng)。此外，泄露的個(gè)人信息類(lèi)型極廣，從新生兒信息、股民信息到開(kāi)房記錄，無(wú)所不包。

　　文 / 胡耕碩

　　11月1日，《中華人民共和國(guó)個(gè)人信息保護(hù)法》（下稱(chēng)“個(gè)保法”）正式實(shí)施。事實(shí)上，在這部專(zhuān)門(mén)性法律出臺(tái)前，已有不少個(gè)人信息保護(hù)條款散見(jiàn)于諸多法律之中，多地法院也已有過(guò)大量司法實(shí)踐。

　　值此重大節(jié)點(diǎn)，南都·隱私護(hù)衛(wèi)隊(duì)以“侵犯公民個(gè)人信息”、“買(mǎi)賣(mài)公民個(gè)人信息”等關(guān)鍵詞，在裁判文書(shū)網(wǎng)上獲取了8602份判決書(shū)，以此觀察2016年至今，相關(guān)案件的數(shù)量分布、涉案信息量、涉案金額和量刑趨勢(shì)等。

　　分析結(jié)果顯示，相關(guān)文書(shū)數(shù)量在2019年達(dá)到頂峰，其中超半數(shù)個(gè)人信息從行業(yè)內(nèi)部工作人員處泄露。在這些“內(nèi)鬼”中，有四分之一出自公安系統(tǒng)。此外，泄露的個(gè)人信息類(lèi)型極廣，從新生兒信息、股民信息到開(kāi)房記錄，無(wú)所不包。

　　姓名和電話(huà)最常泄露，主要被用于販賣(mài)牟利

　　根據(jù)個(gè)保法，個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，而此前的《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》（下稱(chēng)《兩高司法解釋》）則對(duì)公民個(gè)人信息做出了更詳細(xì)的定義，其中包括姓名、身份證件號(hào)碼、通信通訊聯(lián)系方式、住址、賬號(hào)密碼、財(cái)產(chǎn)狀況、行蹤軌跡等。

　　八千余份文書(shū)中，最常見(jiàn)的涉案?jìng)€(gè)人信息是姓名和聯(lián)系電話(huà)——它們出現(xiàn)在了半數(shù)的案件中。緊隨其后的是身份證信息、居住地址和車(chē)輛信息。其中值得注意的是，在泄露的車(chē)輛信息中，有31.08%是從公安系統(tǒng)中泄露出去的。而20.79%的居住地址則主要從房地產(chǎn)公司和快遞公司泄露。

　　此外，部分涉案數(shù)據(jù)針對(duì)特殊群體，如新生兒和股民。此類(lèi)數(shù)據(jù)往往直接從相關(guān)從業(yè)者手中流出，買(mǎi)家購(gòu)買(mǎi)數(shù)據(jù)的主要訴求通常是有針對(duì)性的推銷(xiāo)或是詐騙。

　　以文書(shū)（2017）滬01刑終525號(hào)為例，2014至2016年，就職于上海疾控中心的韓某利用其工作便利，進(jìn)入他人賬戶(hù)竊取全市新生嬰兒信息，每半個(gè)月向其下家張某發(fā)送約5000條信息。張某獲取信息后，又轉(zhuǎn)賣(mài)給專(zhuān)做嬰幼兒保健品生意的范某。直至案發(fā)，韓某、張某、范某累計(jì)非法獲取新生嬰兒信息共計(jì)20余萬(wàn)條。

　　在上述案件中，信息的泄露、買(mǎi)賣(mài)屬于產(chǎn)業(yè)鏈的上游。事實(shí)上，隨之而來(lái)的推銷(xiāo)、詐騙等犯罪對(duì)普通人的影響更大。

　　在南都·隱私護(hù)衛(wèi)隊(duì)分析的8602份文書(shū)中，有6949份提到了被告在獲得數(shù)據(jù)后的用途。而在一份文書(shū)中，可能出現(xiàn)多個(gè)被告，因此數(shù)據(jù)可能會(huì)有多種用途。其中，大部分被告選擇直接販賣(mài)數(shù)據(jù)販賣(mài)牟利，占比79.77%。此外，34.36%被用于推廣，10.48%則和詐騙相關(guān)。

　　除了對(duì)人們生活和財(cái)產(chǎn)的侵犯外，個(gè)人信息的泄露甚至?xí)?duì)人身安全造成威脅。

　　以文書(shū)（2017）浙02刑初49號(hào)為例，2017年，況某出于報(bào)復(fù)心理，花2000元向詹某購(gòu)買(mǎi)其前女友趙某的暫住地信息。此后，況某攜尖刀至趙某的暫住房外守候，在趙某返回時(shí)即用尖刀刺破其心臟、主動(dòng)脈數(shù)刀后逃離現(xiàn)場(chǎng)，趙某當(dāng)場(chǎng)死亡。

　　這樣的例子雖然極端，但能夠說(shuō)明個(gè)人信息泄露對(duì)信息主體帶來(lái)的威脅——報(bào)復(fù)類(lèi)案件在所有文書(shū)中只出現(xiàn)了8次，占比僅0.1%，但對(duì)每一個(gè)受害者來(lái)說(shuō)，卻可能是一生揮之不去的陰影。

　　“內(nèi)鬼”販賣(mài)個(gè)人信息最多 1/4來(lái)自公安機(jī)關(guān)

　　那么，都是誰(shuí)在販賣(mài)公民個(gè)人信息呢？數(shù)據(jù)顯示，行業(yè)內(nèi)部人員——也就是俗稱(chēng)的“內(nèi)鬼”——占了大多數(shù)。

　　2017年，公安部網(wǎng)絡(luò)技術(shù)研發(fā)中心主任許劍卓曾表示，行業(yè)內(nèi)部人員已經(jīng)成為侵犯公民個(gè)人信息犯罪的重要主體。他指出，從治理犯罪來(lái)說(shuō)，打擊源頭是最重要的工作。而在2018-2020的“凈網(wǎng)行動(dòng)”中，公安機(jī)關(guān)抓獲侵犯公民信息的行業(yè)“內(nèi)鬼”3000余名，在“凈網(wǎng)2021”專(zhuān)項(xiàng)行動(dòng)中則抓獲行業(yè)“內(nèi)鬼”500余名。

　　值得注意的是，在南都·隱私護(hù)衛(wèi)隊(duì)獲取的八千余份文書(shū)中，近四分之一的“內(nèi)鬼”來(lái)自公安機(jī)關(guān)內(nèi)部。一般而言，公安內(nèi)部人員能接觸到的敏感個(gè)人信息更多，諸如家庭住址、車(chē)輛、行蹤軌跡、開(kāi)房記錄、犯罪記錄等等。數(shù)據(jù)顯示，大部分“內(nèi)鬼”從屬于基層派出所和交警大隊(duì)，這其中又以輔警和協(xié)警居多——雖然這些“編外人員”權(quán)限較低，但他們?nèi)钥梢酝ㄟ^(guò)盜用正式干警的數(shù)字證書(shū)，或以用他們的賬號(hào)密碼登陸公安內(nèi)網(wǎng)等方式獲取數(shù)據(jù)。此外，也有文書(shū)表明，有些干警是自己把數(shù)字證書(shū)權(quán)限交予“內(nèi)鬼”的。

　　此外，涉及“內(nèi)鬼”的信息往往和其對(duì)應(yīng)的“專(zhuān)業(yè)領(lǐng)域”有著強(qiáng)關(guān)聯(lián)。房地產(chǎn)工作人員主要販賣(mài)的是業(yè)主、小區(qū)信息，銀行從業(yè)人員則“主營(yíng)”股民、貸款和賬戶(hù)信息。而不同專(zhuān)業(yè)領(lǐng)域又導(dǎo)向了不同的犯罪類(lèi)型——從電信公司工作人員手中流出去的數(shù)據(jù)常被用于電信詐騙和推廣，從各個(gè)渠道中流出的貸款相關(guān)數(shù)據(jù)則和網(wǎng)絡(luò)放貸業(yè)務(wù)有關(guān)聯(lián)。

　　除“內(nèi)鬼”外，通過(guò)購(gòu)買(mǎi)、交換等方式獲取公民個(gè)人信息的案件也不在少數(shù)，這說(shuō)明公民個(gè)人信息的買(mǎi)賣(mài)市場(chǎng)仍然不容小覷，一條數(shù)據(jù)可能經(jīng)手多人，被“多次利用”。其中，不少案例中的被告假借“信息咨詢(xún)公司”之名從事個(gè)人信息買(mǎi)賣(mài)犯罪。跟蹤、偷拍的數(shù)據(jù)雖相對(duì)較少，但多為針對(duì)特定個(gè)人、達(dá)成特定目的做出的犯罪，實(shí)際威脅性也非常大。

　　刑期多為一至三年，罰金多在三萬(wàn)以下

　　在大部分侵犯公民信息的案件中，一大特點(diǎn)就是可以以較低的金額，買(mǎi)到大量的公民信息。除了一些獲取成本較高（如跟蹤、偷拍）的數(shù)據(jù)和需要特殊權(quán)限才可獲取的數(shù)據(jù)（如個(gè)人征信數(shù)據(jù)、精準(zhǔn)股民數(shù)據(jù)）外，許多涉案數(shù)據(jù)的量級(jí)都是萬(wàn)條起跳，最多的可達(dá)上億條。與之相對(duì)，大部分公民個(gè)人信息單條價(jià)格可能只有幾毛，甚至幾分錢(qián)。

　　從南都·隱私護(hù)衛(wèi)隊(duì)整理的數(shù)據(jù)中可以看出，大部分案件的罰金集中在三萬(wàn)元以下，刑期則集中在一到三年之間。

　　為了得到更清晰的涉案金額、條數(shù)及判罰之間的關(guān)系，南都·隱私護(hù)衛(wèi)隊(duì)隨機(jī)選取一百條文書(shū)數(shù)據(jù)做了進(jìn)一步分析。

　　基于《兩高司法解釋》對(duì)于涉案金額、涉案條數(shù)和量刑標(biāo)準(zhǔn)的定義，根據(jù)信息類(lèi)型不同，非法獲取、出售或者提供公民個(gè)人信息“五百條以上”“五千條以上”“五萬(wàn)條以上”，或者違法所得五萬(wàn)元以上的，即屬“情節(jié)特別嚴(yán)重”，應(yīng)被判處三年以上七年以下有期徒刑。

　　在這一百條數(shù)據(jù)中，37.5%的涉案?jìng)€(gè)人信息條數(shù)超過(guò)5萬(wàn)條，36.23%的涉案金額超出5萬(wàn)元，46%被定義為“情節(jié)特別嚴(yán)重”。但仍有19.56%的案件量刑在三年以下。此外，在一百條數(shù)據(jù)中，有41條文書(shū)中的被告被判處緩刑，59條文書(shū)中被告超過(guò)一人，屬于群體作案。

　　不過(guò)，隨著立法不斷完善、執(zhí)法力度逐漸加強(qiáng)，全國(guó)侵犯?jìng)€(gè)人信息相關(guān)的文書(shū)數(shù)量在2016年至2019年間大幅增加，在2019年達(dá)到頂峰。據(jù)不完全統(tǒng)計(jì)，2019年相關(guān)文書(shū)數(shù)量為1865條。此后兩年，數(shù)量又有所下降。

　　從地區(qū)上看，長(zhǎng)三角和珠三角是相關(guān)文書(shū)數(shù)量最多的地區(qū)。其中，江蘇省的文書(shū)數(shù)量最多，達(dá)到1595份。此外，河南、福建、四川、重慶、湖北、安徽和山東的相關(guān)文書(shū)數(shù)量也在200到500份之間。而新疆、內(nèi)蒙古、甘肅、青海、寧夏和西藏等地的文書(shū)數(shù)量不到15份。

　　防止“數(shù)字石油”引發(fā)“白色污染”

　　信息時(shí)代，智能產(chǎn)品和互聯(lián)網(wǎng)忠實(shí)地記錄下我們的數(shù)字足跡，催生了海量的數(shù)據(jù)。在生活中，大到每個(gè)人的檔案背景，小到在短視頻網(wǎng)站的點(diǎn)贊，都被上傳到了觸手可及的網(wǎng)絡(luò)云端，并推動(dòng)著互聯(lián)網(wǎng)經(jīng)濟(jì)快速發(fā)展。《經(jīng)濟(jì)學(xué)人》稱(chēng)，數(shù)據(jù)已經(jīng)成為了數(shù)字時(shí)代的石油，是當(dāng)今世界最有價(jià)值的資源。

　　然而，個(gè)體往往無(wú)從得知自己的個(gè)人信息正在被如何傳播、販賣(mài)。在這個(gè)層面上，數(shù)據(jù)或許更像是數(shù)字時(shí)代的塑料——在短期的使用上更為便利，但如果沒(méi)有合理的監(jiān)管，未免不會(huì)引發(fā)數(shù)字世界中的“白色污染”。

　　11月1日，個(gè)保法正式實(shí)施，我國(guó)個(gè)人信息保護(hù)迎來(lái)專(zhuān)門(mén)立法。個(gè)保法明確，個(gè)人信息處理者應(yīng)當(dāng)防止未經(jīng)授權(quán)的訪(fǎng)問(wèn)以及個(gè)人信息泄露、篡改、丟失，對(duì)個(gè)人信息采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施，并合理確定個(gè)人信息處理的操作權(quán)限。還規(guī)定當(dāng)信息處理目的已實(shí)現(xiàn)、無(wú)法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要、個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿(mǎn)或個(gè)人撤回同意時(shí)，個(gè)人有權(quán)請(qǐng)求信息處理者刪除相關(guān)信息。

　　我們希望個(gè)保法的實(shí)施能遏止“內(nèi)鬼”橫生、信息被恣意買(mǎi)賣(mài)的現(xiàn)象，而這也是防止“數(shù)字石油”變成“數(shù)字白色污染”的關(guān)鍵一環(huán)——畢竟，在現(xiàn)實(shí)世界中，白色污染的源頭，也是未經(jīng)治理的石油。