非法獲取個人信息犯罪實證研究
——以66個真實案件為樣本

唐文莉

（湘潭大學法學院，湖南湘潭 111105）

非法獲取個人信息犯罪實證研究
——以66個真實案件為樣本

唐文莉

（湘潭大學法學院，湖南湘潭 111105）

本文立足于實踐，分析泄露個人信息的現狀，及泄露個人信息原因與途徑、方式、情節認定的標準與非法獲取的手段等，提出了個人信息范疇、情節認定的標準以及相關建議。

個人信息；非法獲取；情節嚴重；實證研究

“開房局長案”、職稱英語考試考生信息“裸奔”、“攜程網信息安全門事件”、“小米800萬用戶數據泄露”、“快遞官網遭入侵，1400萬條用戶信息被轉賣”、“130萬考研用戶信息被泄露”、“東航被曝系統漏洞或致大量用戶訂單信息泄露”、“智聯招聘86萬用戶簡歷信息泄露”，以及最近爆發的“徐玉玉”、“清華教授被騙1760萬”等事件，背后凸顯的關鍵就在于個人信息泄露的問題。個人信息泄露的情況已經深入到我們生活的各個細節，在這樣的環境下，我們沒有任何隱私可言，人身與財產安全也得不到有效保障，生活處于極度不安寧的狀況。《刑法修正案九》也加大了侵犯個人信息行為的力度，擴大了主體范圍，表明了法律堅決打擊嚴重泄露個人信息行為、堅定不移地維護個人信息安全與人民生活穩定的決心。

本文收集大量的文獻材料以及66個真實案件判決，進一步了解侵犯公民個人信息犯罪現狀。著重分析侵犯個人信息的主體范圍、獲取信息的方式、途徑、用途、情節嚴重的認定標準、非法獲取的認定。

一、現實表現：侵犯個人信息現狀

侵犯個人信息行為的數量極多，真正進入審判程序的案件較少。網上公開販賣個人信息的情況大量存在，通過網絡公開販賣的情況屢見不鮮，個人信息的安全系數極低。公安部部署全國公安機關開展為期半年的打擊整治網絡侵犯公民個人信息犯罪專項行動，自2016年4月開始至2016年7月20日，全國公安機關累計偵破刑事案件750余起，抓獲犯罪嫌疑人1900余名，繳獲信息230余億條，清理違法有害信息35.2萬余條，關停網站、欄目610余個，專項行動取得明顯成效［1］。

（一）非法獲取個人信息犯罪的特點

1.網絡獲取的高發性。

現代科學、網絡技術飛速發展，給人民生活帶來極大的便利。生活離不開科技、生活離不開網絡，但是也有部分不法分子利用網絡來進行違法犯罪活動。此次調研收集的材料顯示，在個人信息來源的幾種方式中，通過網絡非法購買個人信息的比率是38.46%；通過網絡購買6.1%；通過侵入網絡系統4.61%；還不能排除利用職務便利以及其他方式非法獲取中使用網絡的比例。

2.信息泄露迅速性。

信息的安全系數低，集中表現在前一秒才將信息輸入系統，后一秒就被輸出了。例如“清華大學教授被騙1760萬”，前一天剛剛賣了一套房，第二天就接到了冒充公檢法行騙的電話。這類案件數不勝數，讓人甚是感嘆的是到底是在哪一個環節出現了問題，可以讓騙子以迅雷不及掩耳之勢就掌握了相關的一手信息。

3.非法獲取信息的精確性。

前不久央視新聞報道的信用卡信息泄露案件，包括卡主姓名、手機號碼、身份證，最為夸張的是銀行卡密碼。相關人士透露5分鐘可以搞定1000條銀行卡卡主信息包括銀行卡密碼，且百分之九十八的信息都已確認為真實。銀行卡信息赤裸裸的掌握在他人手上，卡里的錢被陸續轉移自己卻渾然不知，精確度高達95%，幾乎呈全透明狀，這是一種多么令人惶恐的事。

4.信息來源的多樣性。

機關企事業單位、服務機構以及個體企業相關人員參與的泄露活動更加隱蔽。利用職務便利性，與他人內外勾結出售利用個人信息的犯罪也是一種常態。

在侵犯個人信息的犯罪中，并非都是行為人通過外界購買獲取的，也有些屬于監守自盜型。此次調研顯示，利用職務便利獲取個人信息從而犯罪的比例高達18.46%。這其中還包括三例公安民警利用職務便利，將手上掌握的相關信息予以出售獲利，或者用職務的方便性獲取大量信息后出售。這些“內鬼”中有公務員、企業職工，有正式員工，也有臨聘人員，涉及醫院、電信、教育等各行業［2］。通過網絡收集、購買、“黑客”通過技術手段實施攻擊、撞庫或利用釣魚網站、木馬、免費WIFI、惡意APP等“技術類”竊取等方式成為獲取信息的重要源頭。

5.信息內容與用途的多樣性。

此次調研收集到的非法獲取個人信息種類包括：企業法人及車主信息，個人銀行征信信息，銀行卡信息，淘寶買家信息，客戶個人信息，居民身份信息，新生嬰兒信息，駕駛證信息，學生信息等。行為人在獲取信息后的使用方式也是多種多樣的，如詐騙、出售謀利、推廣業務、為他人非法查詢、單純散播個人信息等，占據重要比例的是詐騙以及出售謀利、推廣業務。其中以出售謀利的比例高達47.76%，詐騙占25%。

6.形成了“源頭—中間商—非法使用人員”利益鏈條和黑色產業。

各層級人員身份既相對獨立，又相互交叉，形成了非法獲取、販賣、使用的利益鏈條，以及以謀取不法利益為目的、市場化運作、專業分工實施、交易金額巨大的黑色產業。在利益的驅動下，在網絡交往的隱蔽性下，促使一些為利益而鋌而走險的人群出現。在自以為網絡犯罪難以被發現的前提下，通過網絡聯系賣家、買家，談成買賣交易，甚至行程明確分工，一條龍服務模式。

(二)個人信息透明化所造成的危害

在網上隨時可以找到所需要的資料，這也正是被不法分子加以利用的前提。此次調研顯示，給被害人帶來的損失可大可小，有的是財產上的損失，有的是人身精神上的傷害，有的甚至威脅生命。

信息被侵犯付出的代價是非常慘重的。個人信息作為一種社會資源被極度濫用，遭受各種各樣的短信電話騷擾、不確定的經濟損失與人身損害，導致家庭甚至整個社會都處于一種惶恐不安的氛圍里。這種情況長期累積，勢必導致人們對信息安全失去信息、對機構政府失去信心，從而引發信用危機，阻礙國家信息化建設的進程。

二、問題凸顯：侵犯個人信息行為打擊難點

（一）網絡犯罪破獲難

一是追溯難。個人信息從源頭出來到最后被犯罪分子使用，中間可能經過好幾道、幾十道甚至幾百道手，追查源頭十分困難。行為人可能做成一筆交易后，就有意識地更換QQ賬號、微信號、換地點來逃避追查。其次，通過網絡販賣信息，覆蓋面太廣，涉及面過寬，全國各地甚至涉及到跨國販賣。有限的警力資源根本無法與無限擴大的涉案面成正比。二是調查難。此類案件嫌疑人主要通過電話、手機短信、偽基站、網絡實施犯罪，彼此之間的聯系不受地域限制。即便抓獲其中一個犯罪行為人，但是可能根本無法從其口中獲得有效的線索。因為，都是通過網絡聯系，彼此之間也根本不認識，只是通過一個暫時的QQ或者微信交易，交易完成之后就不再有聯系，對方也可能因交易已經完成就更換相應的交易軟件。三是信息真實度核查難。一件販賣個人信息的涉及的個人信息數量少則幾千，多則幾億條。一一核實肯定是不現實的。而且在這么多的信息內，不能排除多次重復出現的情況［3］。

（二）個人信息范疇不確定

從通常意義上講，公民個人信息是指能夠識別公民個人身份的信息，主要包括姓名、年齡、性別、身份證號碼、職務、學歷、婚姻狀況等相關信息。作為侵害對象的公民個人信息，首先應該在較廣的范圍內進行界定，包括與公民個人身份、財產狀況相關的信息和個人隱私方面的信息；在此基礎上，應當從主客觀方面來進行限定：主觀上本人不希望擴散該信息；客觀上該信息具有保護價值。二是“個人信息”認定難。《刑法修正案（九）》規定，廢除了侵犯公民個人信息罪的主體限制，擴大了該罪的犯罪主體。但是個人信息的范圍仍然沒有明確的范圍。正是由于個人信息沒有得到立法的明確化，司法機關人員在認定某個行為構成侵犯公民個人信息罪時，顯然就站在了違背罪刑法定原則的警戒線的邊緣。

（三）“情節嚴重”缺乏認定標準

實施侵犯個人信息的行為，既可以在行政法上受到處罰，也可以在民法上得到規制，而刑法作為最嚴厲的法律，只有在行政法與民法不能有效的規制時，才能動用刑法規制。但是，據筆者此次調研得到的材料顯示，情節嚴重的確實存在著不一樣的認定標準，而認定標準的不一致，也將導致同類行為不同處罰。如街道衛生服務中心工作人員張玉，利用每周到該院婦產科抄錄安東衛街道轄區內新生兒信息的職務便利，將包含新生兒父母姓名、聯系方式、家庭住址等內容的新生兒信息用手機拍照儲存。張玉將新生兒信息提供陳某，陳某先后三次將該個人信息出售給他人，共計出售129條，違法所得477元。事后查明，陳某將個人信息出售給了某兒童攝影樓。法院判處陳某某構成侵犯公民個人信息罪，判處罰金1萬元。又如，被告人羅某為了查詢自己的個人信息是否在2000萬酒店KF數據中，便用自己的華碩筆記本電腦登錄淘寶網站，通過支付寶付款方式，以人民幣5元的價格購買了名為“2000萬酒店KF數據查詢下載”的商品，該商品包括20051440條公民個人信息。法院判處有期徒刑一年，緩刑兩年，罰金20000元。那么，我們就應該思考這個案件的案情是否值得用刑法處罰呢？刑法第二百五十三條之一規定的“情節嚴重”是否就涵蓋了這種情況呢？

三、直擊問題：侵犯個人信息行為難點突破

（一）侵犯個人信息行為法律適用上的難點探析

1.個人信息的范圍。

理論界對公民個人信息的概念界定爭議頗大，主要集中在隱私說、識別說和關聯說。在實踐中也存在著相應的見解，公民個人信息是指與公民個人身份相關，能夠據此認定特定個人，且公民不愿為社會所知、具有保護價值的各種信息［4］。三種學說針對個人信息的范疇都做了相關的介紹，但是筆者認為個人信息在不斷發展變化當中，采用識別說符合法律本意與適應發展需要。侵犯公民個人信息罪在侵犯公民人身權利、民主權利的這一章內，既然是侵犯公民人身權利的行為，那么該行為所侵犯的對象必須要有特定的、具體的對象。換言之，能通過該信息直接識別到具體的個人，才能在此基礎上侵犯到個人權利。如果信息無法牽扯到具體的個人，那么就談不上侵犯個人權利了。凡是從屬于具體個人名下的信息，能夠通過該信息認識到信息的主人，那么這些信息屬于個人信息。

筆者認為個人信息與個人隱私是一種包括與被包括的關系。個人隱私顧名思義是不愿意讓他人知道的私人信息，而個人信息不僅包括不愿意被人知道的信息，還包括已經讓人知道的信息。采取識別說來認定個人信息范疇，以一定的概括性概念來界定信息范圍能夠緩和信息社會的緊張關系，又能充分發揮規則對實務的指導意義。筆者試圖列舉常見的個人信息類型：姓名、年齡、性別、身份證號碼、職業、職務、學歷、民族、婚姻狀況、財產狀況等。除上述常見的信息外，還有存在著眾多其他類型的個人信息，在認定是否屬于個人信息范疇時，即便不屬于上述所列舉的信息類型，但是該信息能夠識別到具體的個人時，那么就是屬于個人信息。

2.情節嚴重認定標準。

關于非法獲取公民個人信息罪“情節嚴重”的理解問題，目前，刑法學界主要有以下幾種代表性觀點：三因素說［5］、四因素說［6］、五因素說［7］、六因素說［8］。不管是三因素、四因素、五因素還是六因素說，其目的就是將“情節嚴重”具體化，以便其在實踐中具有可操作性。筆者認為，“情節嚴重”是一個抽象的概念，立法者在這一條規定了“情節嚴重”這一構成要素，就是為了適應社會的不斷發展，以及對未來侵犯個人信息方式等行為的不明確性，才做出抽象的規定。但情節嚴重在實踐中運用并非是違背了罪刑法定原則，而正是為了打擊犯罪行為，給予了法官一定的自由裁量權。因此，筆者主張此處的情節嚴重不應該只用幾個具體的類型就限定了范圍，應該結合單一情節認定與綜合認定兩種認定方式。單一情節認定，從獲取信息的方式、手段、數量、用途、次數、受行政機關處罰的次數、造成的危害后果、所獲取的利益或所銷售的金額方面、所造成的社會影響程度等方面進行認定，且在每一情節下設置了具體的適用范圍，如三次行政處罰、獲利一萬元以上、獲取信息用于犯罪活動、通過侵非法手段獲取信息、非法獲取他人信息三次以上等。綜合情節認定是放在單一情節無法適用后的補充性認定方式。如果單一情節能夠認定，那么就不需要適用綜合情節的認定方式［9］。在單一認定標準中，關于數量多少的認定，筆者認為數量多少不能單獨認定為是否構成情節嚴重。例如，酒店老板為了查看自己酒店是否在2000萬酒店KF數據當中，花5塊錢通過淘寶購買了相應的信息，雖然賣家給的商品壓縮包里面涉及了20051440條公民個人信息。雖然在這里行為人獲取的個人信息量巨大，但是，結合其主觀目的與客觀方面，只是單純的了解自己酒店的情況，雖然獲取了大量的信息，但是主觀上并沒有使用的目的，客觀上也沒有利用個人信息進行違法犯罪活動，沒有侵犯到他人的人身權利。因此，不足以將其行為認定為情節嚴重。

（二）完善個人信息保護的建議

1.提升個人信息保護意識。

公民個人信息被泄露、盜用和濫用在一定程度上與許多人個人信息保護意識不強有直接關系。因此在辦理業務時，應該有意識地保護自己的相關信息，對于沒有必要的向他人透露的信息予以刻意的隱藏。在現有保護個人信息的法律法規尚不完善的情況下，提高保護意識是針絕個人信息泄更為重要的方法。

2.強化監督管理，加強對持有個人信息機構的監管。

個人信息的過度收集與無限濫用，原因多半是缺乏相應的監督與管理體制。因此，相關部門加強對持有個人信息機構事前事后監督與事后追責體制，是避免個人信息泄露的重要組成部分。在相關機構內部不僅應設立嚴格的信息保護制度，對于管理信息的責任人予以嚴格的要求，對于機構內部也需要建立完善的信息保護系統。計算機時代，所收集的個人信息基本是存儲于計算機內，那么該機構就該建立起安全抵御外來侵入的防護系統，避免黑客入侵。其次，還需要將區分個人信息直接管理者與非直接管理者接觸個人信息的權限。這樣的目的有兩個，第一，避免非信息管理者接觸個人信息，降低個人信息泄露的幾率。第二，在信息泄露時，能直接快速找到責任人。

3.加快技術變革，增強公安機關打擊犯罪的實力。

首先，侵犯個人信息的犯罪，查獲后涉及到成千上萬的信息，甚至是幾億的信息量，對于公安機關而言，核實信息的真實度以及是否存在重復信息是一個難點。由此，建立相應的自動篩選系統和信息核實系統是必不可少的。自動篩選系統重點在于主動篩選重復的信息，以便確定涉案的最終信息量；信息核實系統，重點在于剔除虛假的信息。但是，信息核實系統的基礎是公安機關具有真實的信息數據庫。因此，在信息核實系統的建立上，存在現實困難。其次，更新公安機關網絡監督與查獲的技術。設置專門的網絡警察，利用網絡監督技術，及時制止以及查獲利用網絡實施侵犯個人信息的犯罪。

［1］http://news.ifeng.com/a/20160720/49459393_0.shtml

［2］http://hunan.voc.com.cn/article/201204/201204301044332354.html

［3］莊曉晶，林潔，白磊.非法獲取公民個人信息犯罪區域性實證分析［J］.人民檢察，2011，（9）.

［4］凌鴻.非法獲取公民個人信息的認定［M］.人民法院報，2010-6-17 （7）.

［5］王昭武，肖凱.侵犯公民個人信息犯罪認定中的若干問題［J］.法學，2009，（12）：146-155.

［6］梁恒.風險·規制·完善:刑法視域下的個人信息保護［J］.重慶郵電大學學報（社會科學版），2009，（06）：29-33.

［7］肖本山.侵犯公民個人信息罪若干疑難問題探討——兼論相關立法之完善［J］.黑龍江省政法管理干部學院學報，2009，（03）：42-45.

［8］劉憲權，方晉曄.個人信息權刑法保護的立法及完善［J］.華東政法大學學報，2009，（03）：120-130.

［9］利子平，周建達.非法獲取公民個人信息罪“情節嚴重”初論［J］.法學評論，2012，（05）：146-152.

D922.8

A

1009-6566（2016）06-0086-04

2016-10-14

唐文莉（1991—），女，湖南永州人，湘潭大學法學院碩士研究生，研究方向為刑法學。