網絡侵犯公民個人信息犯罪的分析與防控策略

◆紀 芳

(遼寧警察學院公安信息系 遼寧 116036)

網絡侵犯公民個人信息犯罪的分析與防控策略

◆紀 芳

(遼寧警察學院公安信息系 遼寧 116036)

近來個人信息泄露的電信網絡詐騙案件頻發，本文著重分析網絡侵犯公民個人信息犯罪的特點、剖析信息泄露的源頭，并總結出針對該類新型網絡犯罪的防范打擊策略。

公民個人信息；網絡犯罪；黑產鏈條

0 引言

數字化時代，網絡侵犯公民個人信息的違法犯罪呈高發、多發態勢，公民個人信息安全問題令人堪憂，由此滋生出網絡詐騙、網絡盜竊、非法討債、人肉搜索、盜刷銀行卡等下游違法犯罪行為。[1]高科技的發展與個人隱私保護之間的矛盾未徹底解決，研究如何保護我國公民個人信息安全、打擊網絡侵犯公民個人信息犯罪成為亟待解決的問題。

1 相關法律

針對個人信息泄露問題日益嚴重的現象，2009年2月28日《刑法修正案（七）》中增設了刑法第二百五十三條之一“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”的規定。2015年11月1日頒布的《刑法修正案（九）》又進行了修改完善。但在實際案件中，公民個人信息如何界定、何為情節特別嚴重、定罪量刑的標準如何確定等方面存在分歧。

2017年6月1日最高人民法院、最高人民檢察院聯合發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》），是首次針對打擊侵犯公民個人信息犯罪出臺的司法解釋。[2]《解釋》中規定：非法獲取、出售或者提供五十條以上個人敏感信息（包括行蹤軌跡信息、財產信息、通信內容、征信信息等），即構成犯罪，處三年以下有期徒刑或拘役；為牟取利益，出售或非法提供公民個人信息違法所得 5000元以上，即構成犯罪；對內部人員泄露公民個人信息加大了懲治力度，認定犯罪的數量和數額標準減半計算；首次明確“人肉搜索”中未經當事人同意，行為人向不特定多數人公開當事人個人信息，情節嚴重的將處三年以下有期徒刑或拘役；明確非法購買、收受公民個人信息進行廣告、推銷等活動的定罪量刑標準。

2 概述

2.1 定義和分類

公民個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。包括身份識別信息和活動情況信息，例如姓名、身份證號碼、電話號碼、通訊方式、家庭住址、賬號密碼、財產狀況、交易記錄、行蹤軌跡等。[3]

《解釋》中將公民個人信息分為三類：“敏感信息”（包括行蹤軌跡、通信內容、征信信息、財產信息等）、可能影響人身財產安全的公民個人信息（包括住宿信息、通信記錄、交易信息、健康生理信息等）和上述兩項以外的公民個人信息。入罪標準的設置為：非法獲取、出售或者提供五十條以上“敏感信息”、五百條以上可能影響人身財產安全的公民個人信息或五千條以上上述兩項以外的公民個人信息，即可構成犯罪。

2.2 主要特征

網絡侵犯公民個人信息犯罪的主要特征包括：

（1）涉及的公民個人信息種類繁多、領域廣。從簡單的身份信息、電話號碼、家庭地址等，到涉及隱私的手機信息、聊天記錄、網絡賬號密碼、銀行賬號密碼、購物記錄、車輛信息、出行記錄甚至生活習慣等，領域包括金融、電信、教育、醫療、工商、房產、快遞等40余類部門及行業。

（2）形成了“源頭—中間商—非法使用人員”利益鏈條和黑色產業。不同層級分工合作，以市場化運作的方式，形成了非法獲取、買賣、使用、犯罪的利益鏈條，牟取不法利益，交易金額巨大。

（3）信息泄露源頭多樣化。黑客攻擊、釣魚網站、木馬、免費WiFi、偽二維碼、惡意APP、社工庫等技術類方法，已經成為竊取公民個人信息的重要源頭。另外，信息服務商、各部門行業等內部人員也成為參與泄露公民個人信息的主要源頭之一。

（4）犯罪團伙反偵查意識強。犯罪分子之間通過QQ、微信、網站、論壇等進行聯絡，通過網銀或第三方支付平臺轉賬交易。另外，犯罪分子會經常變換網絡虛擬身份，及時銷毀作案證據，增加公安機關的偵破難度。

3 公民個人信息泄露源頭的分析

3.1 常規技術手段

犯罪分子一般通過釣魚網站、虛假網站或偽基站發送非法鏈接騙取公民個人信息；通過網站木馬、惡意二維碼、免費WiFi、惡意 APP等方式竊取公民個人信息；通過辦理會員、招聘、贈送禮品、婚介等渠道獲取個人信息。

2016年6月，青島市局成功偵破了一起利用黑客技術非法控制計算機信息系統并在網絡上非法出售竊取信息的案件。犯罪嫌疑人H某從非法入侵的航空公司訂票服務系統、醫療中心、職教中心、貴金屬交易平臺等數百家網站中竊取了10億余條公民個人信息，販賣獲利20余萬元。

3.2 拖庫、洗庫、撞庫

犯罪分子通過拖庫、洗庫和撞庫等技術手段竊取公民個人信息，已經成為“技術類”竊取方式的重要源頭，基本流程如圖1所示。

圖1 通過拖庫、洗庫、撞庫竊取公民個人信息

（1）拖庫：黑客確定攻擊目標，然后尋找網站存在的漏洞，再使用 SQL注入等技術手段攻擊該網站服務器，得到操作權限后，將該網站整個數據庫內容下載到自己的電腦中。

（2）洗庫：下載的數據庫中有許多冗雜的、無用的信息，黑客使用專門的軟件對字符、數據等進行智能識別，篩選出有價值的數據、信息后，可以批量販賣從中獲利。

（3）撞庫：黑客用這些有價值的數據建立社工庫（Social Engineering Data），然后利用這些信息嘗試登錄其他網站、程序或APP，就有可能獲得一些可以成功登錄的賬號和密碼，進行非法牟利犯罪行為。

2016年3月，淮安網安部門成功偵破了一起侵犯公民個人信息案，搗毀國內最大的網絡社工庫“K8社工庫”（www.k8sec.com），查獲公民個人信息20億條。

3.3 內部泄露

已查明的案件中發現由銀行、教育、保險、工商、電信、快遞、證券、電商等各個行業的內部人員造成的信息數據泄露，已經成為侵犯公民個人信息的一大威脅。2016年6月，徐州警方偵破了一起以快遞公司內部員工為泄露源頭的非法獲取計算機信息系統數據案，查獲500余萬條快遞信息，非法獲利30余萬元。

另外，非工作需要查詢公民個人信息甚至提供個人信息不僅是違紀行為，甚至可能已經違法和犯罪。2016年6月，中山市公安局板芙分局刑警大隊民警S某（科員）因違反國家法律法規規定，利用職務便利使用個人公安數字證書登錄公安內網，違規查詢并出售公民個人信息獲利，已涉嫌犯罪，被立案審查。

3.4 黑色產業鏈

網絡侵犯公民個人信息犯罪已不再是“單打獨斗”，而是形成了“源頭—中間商—非法使用人員”的黑色產業鏈條，牟取暴利。

鏈條頂端是公民個人信息泄露的源頭，也被稱為“查詢員”，包括移動公司員工、房產中介員工、物流公司員工、教育培訓機構員工、銀行職員等；接下來是類似“莊家”的中間商，也是黑產利益鏈條人員構成的主要部分；末端是不同層級的代理商或者非法使用公民個人信息進行直接犯罪的犯罪分子。[4]“查詢員”相對獨立，但可同時為多個信息販賣代理商提供信息。代理商之間會有大量信息交換，通過微信群、QQ群、論壇等方式頻繁聯系，形成相互勾結的黑色交易平臺。

2016年10月，公安部破獲了一起跨25省市區的特大侵犯公民個人信息案。移交的犯罪嫌疑人中有34名查詢員，日查詢量最大可達300條以上，還有8名一級代理商和12名二級代理商。

4 防范打擊措施

4.1 公安機關加強執法力度

（1）重點打擊，加大懲處力度。公安機關要以“追源頭、打團伙、摧平臺、斷鏈條”為目標，重點偵破黑客攻擊破壞竊取公民個人基本信息和身份認證信息、非法使用“偽基站”、利用公民個人信息實施詐騙、盜竊、敲詐勒索等大案要案，加大對行業內部信息泄露者的懲處力度，有案必查、有責必究，最大限度遏制電信網絡詐騙等下游違法犯罪活動。

（2）重點查處內部違法犯罪人員。公安機關應集中鏟除一批犯罪鏈條和源頭，整治侵犯公民個人信息的相關渠道，嚴厲打擊非法獲取、非法買賣公民個人信息的不法分子，尤其是內部違法犯罪人員，切實保障公民個人信息安全。

（3）強化整治和網上巡查執法。公安機關應集中整治一批網站企業和網絡平臺，加大對非法銷售、傳播公民個人信息的網站（網店）、網絡賬號、通訊聯絡號碼等的整治力度，并依法予以關停、關閉，及時發布安全防范預警信息，切實加大違法信息防控和內部審計力度，堅決擠壓違法活動生存空間。

（4）確保信息源頭安全。承載公民個人信息的相關機構、部門對公民個人信息負有不可推卸的主體責任，應明確個人信息監管責任，完善安全管理制度。公安機關應集中治理一批持有公民個人信息但技術防范和安全管理措施落實不到位的企事業單位，凡不按規定對公民個人信息進行查詢、復制、使用甚至出售獲利的，要追究其刑事責任。

（5）進一步加強宣傳引導。公安機關通過典型案例剖析和法律法規宣傳，提醒廣大網民提升自身安全防范意識，遵紀守法，并鼓勵群眾積極提供違法犯罪線索。

4.2 用戶加強自身安全意識

用戶要不斷增強安全防范意識，保護公民個人信息被不法分子獲取。

（1）盡量避免在網絡環境中泄露個人的真實身份信息。

（2）盡量避免注冊不必要的賬號；或者為賬號設置足夠復雜的密碼，避免使用純字母、純數字或者手機號碼、生日、身份證號碼等簡單密碼。

（3）盡量在不同網站、應用上設置不同的賬號密碼，以免被黑客撞庫，密碼也要定期更新。

（4）防范釣魚網站和虛假鏈接，尤其在網絡購物、網絡理財等操作時要確保網頁的安全性。

（5）不在網絡聊天或者各種網絡活動中泄露自己的銀行卡號、電話號碼、住址等信息。

（6）不再使用的移動終端上，要注銷自己的各類賬號以及互聯網收付款等授權，避免被他人使用后威脅到自己的信息、財產安全。

（7）在正規的應用商店、APP商城下載應用軟件，避免點擊不明鏈接、下載不熟悉的應用軟件。

（8）盡量不連接公共無線網絡，若需使用，一定要設置網絡防火墻，并用安全軟件對WIFI進行安全性檢查。

（9）不隨意掃描二維碼。

4.3 互聯網企業加強自查自糾

信息服務商和承載公民個人信息的部門行業應對其自身系統和第三方應用進行全面排查，尤其是即時通訊平臺、社交網絡平臺、電商平臺等，通過落實嚴格的安全監管制度，及時修補漏洞，確保公民個人信息財產安全。

5 結束語

習近平總書記提出“要嚴防網絡犯罪，尤其是新型網絡犯罪，維護人民群眾利益和社會和諧穩定。”因此，要嚴肅整治網絡秩序，打擊網絡侵犯公民個人信息這一新型犯罪，有效防止“雙刃劍效應”，進一步打造我國安全有序、富有活力、人民滿意的網絡生態。

[1]陳榮.江蘇警方嚴厲打擊非法獲取公民個人信息犯罪[J].中國防偽報道，2016.

[2]徐美玲.論我國司法解釋主體法定化——基于我國《立法法》第一百零四條第三款規定[J].法制與社會，2016.

[3]搜狐網.圖文：財產狀況和行蹤軌跡屬“個人信息”[EB/OL].2017-05-10.http://www.sohu.com/a/139416047_162595.

[4]劉行星，李希龍.侵犯公民個人信息犯罪研究[J].江蘇警官學院學報，2013.