大數據背景下公民個人信息安全問題初探

李易芃

關鍵詞大數據 公民 個人信息安全 網絡犯罪 立法

在第五次信息技術革命的推動下，互聯網的發(fā)展提高了組織各部門的溝通和運行效率，促進了國家的互聯和社會各行業(yè)的交流。與此同時，依托互聯網生成的黑色產業(yè)和網絡犯罪也悄然發(fā)生。根據最高人民法院和中國司法大數據研究在2019年底發(fā)布的《司法大數據專題報告之網絡犯罪特點和趨勢》，僅在2016至2018年問，全國各級法院一審審結的網絡犯罪案件就達到了4.8萬余件，在有關網絡詐騙的案件中有19.16%案件是在獲取公民個人信息后有針對性地實施詐騙犯罪。由此可見，在大數據時代背景下，公民個人信息安全問題變得尤為突出。

一、相關概念的法律界定與解釋

（一）對“公民”的認定

《刑法》第二百五十三條之一的用語是“公民個人信息”而不是“中華人民共和國公民的個人信息”，從刑法規(guī)范用語的角度看，還應包括外國公民的個人信息。同時出于對立法精神和主旨的考慮，面對中國境內大量的外籍人士，應該予以同樣的法律平等保護。

（二）對“個人信息”的認定

最高法、最高檢和公安部聯合發(fā)布的《關于依法懲戒侵害公民個人信息犯罪活動的通知》對“公民個人信息”進行了界定：公民個人信息應包括公民的姓名、年齡、有效證件號碼、婚姻狀況、工作單位、學歷、履歷、家庭住址、電話號碼等能識別公民個人身份或涉及公民個人隱私的信息、數據資料，以及以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。

（三）對“情節(jié)嚴重”的認定

根據《刑法》第二百五十三條之一的規(guī)定，出售、非法提供公民個人信息罪，非法獲取公民個人信息罪的成立以“情節(jié)嚴重”為要件，在《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中，針對“情節(jié)嚴重”的認定給予了一種以具體數量為界限的量刑標準，涉及超過不同情況下的信息數量，可以認定達到了“情節(jié)嚴重”的情況。根據個人信息不同的價值等級分別按照五十條、五百條和五千條以上的行為，都可以被認定為“情節(jié)嚴重”。

二、大數據時代下涉及公民個人信息有關案件現狀審視

大數據是指無法在可容忍的時間內用傳統IT技術和軟硬件工具對其進行感知、獲取、管理、處理和服務的數據集合技術，是以數據為本質的新一代革命性的信息技術，通過對海量信息的收集、加工、處理和分享達到預設目的，實現對事物規(guī)律或行業(yè)內部生態(tài)精準把握并提供預測未來發(fā)展趨勢基礎數據的功能。大數據背景下，每個公民都在互聯網的聯結下成為一個個的分散分布但又互通互聯的“點”，尤其是在近年來用戶對移動智能終端的依賴，致使網絡空間成為新的時代背景下個人生活的一片新區(qū)域。當今依托互聯網平臺發(fā)展的公司、企業(yè)越來越多，滲透進了社會發(fā)展的各個行業(yè)，在監(jiān)管力度和范圍難以適應這種急劇的變化時，部分網絡平臺嗅到了公民個人信息背后蘊藏的巨大商業(yè)價值，開始了對公民個人信息有目的性的收集、竊取和販賣，引發(fā)了計算機網絡犯罪行為。

截至2020年7月，根據中國裁判文書網的公開判決資料顯示，以“非法獲取公民個人信息”為關鍵字進行案例檢索時，出現高達6661條結果，其中刑事案件占到了6486件;以“非法提供公民個人信息罪”為關鍵字進行案例檢索時，出現了179條結果。從相關案件的發(fā)生數量上來看，隨著近幾年法律法規(guī)的建立健全和有關部門的重視，此類案件得到了一定程度上的控制，但公民個人信息安全形勢仍然嚴峻，這主要表現在侵犯行為的復雜性和多變性上。

三、大數據時代背景下個人信息泄露的途徑

（一）首要條件是存在對個人信息有需求的市場

基于網絡平臺研發(fā)和運行的互聯網公司通過電子通訊設備應用軟件收集用戶個人信息，這些龐大的用戶基礎數據和個人信息蘊藏的巨大商業(yè)價值和經濟潛力，驅動著一些諸如購物類、外賣類、快遞服務類、房產和汽車銷售類等行業(yè)的網絡公司，為了對行業(yè)內用戶群體的消費行為和消費習慣進行分析以實現將自己的產品或服務更加高效精準地投放，公民的個人信息成為市場研判的重要依據。還有一種情況是有針對性、目的性的信息泄露，比如犯罪團伙利用個人信息實施的詐騙、恐嚇行為，非常容易造成公民的財產損失甚至出現生命安全威脅。

（二）組織和個人的有意出售

隨著網絡平臺數量的爆發(fā)式增長，部分應用軟件會收集用戶的身份證號、手機號、微信賬號、銀行卡號、常駐地址甚至手機IMEI碼等私密化精準化的個人信息。對于數量如此龐大的網絡應用軟件市場，其規(guī)范運行程度和監(jiān)管力度均面臨著巨大的挑戰(zhàn)。不僅如此，諸如公安、民政、工商、交警等政府部門也存有大量的公民個人信息，能夠利用職務之便或技術手段接觸到公民個人信息庫的工作人員，一旦在利益面前思想產生動搖就有可能做出不當行為。政府部門和具有較大社會知名度的企業(yè)往往更注重社會信譽和公信力，一般不會以組織名義或單位行為進行數據外泄，多是能直接或間接接觸數據庫、具有相應權限的工作人員非法出售以獲利的個人行為。

（三）以木馬程序或病毒入侵、攻擊數據庫進行信息竊取

具有收集個人信息功能的平臺或機構一般會承諾保障公民的個人信息，但是其信息安全系統并不健全，有些機構甚至根本沒有采取有效的安全保護措施來防止公民個人信息數據庫被攻擊從而導致數據泄露，更多的是作為一種資源或資產進行簡單儲存、備案，對用戶個人信息數據庫的安全保障意識十分淡薄。

（四）釣魚網站直接非法獲得公民個人信息

通過DNS網絡劫持等技術手段，采取迷惑或誘騙等形式誤導網絡用戶無法正常使用某些功能，主動將自己的個人信息填寫遞交到虛假頁面或平臺，這些網址通常是仿冒的釣魚網站、掛馬網站等，在這種網站上通過重新登陸、驗證登陸等方式引誘用戶進行個人信息的直接錄入，從而將信息流入其后臺數據庫。在司法實踐中，這種行為往往會被以破壞計算機信息系統定罪，但是對公民個人信息的非法收集也構成了對用戶個人隱私的威脅。

四、大數據時代下保護公民個人信息安全的有效路徑

（一）加強立法保護，強化應對新型網絡犯罪的法律抓手

近年來，我國在立法保護公民個人信息方面做出了不少努力，如《刑法修正案（七）》、《刑法修正案（九）》、2012年《全國人大常委會關于加強網絡信息保護的決定》與2013年《懲處侵害公民個人信息犯罪活動通知》等一系列法律法規(guī)和規(guī)范性文件，都在立法層面對公民個人信息給予很高程度的重視和保護。但在司法實務中，由于網絡技術的迅速發(fā)展和網絡犯罪的隱秘性，犯罪分工精細化、職業(yè)化趨勢大大增加了案件的復雜程度。一方面，加強立法保護應注重增強法律條文適用的范圍，針對數據處理的動態(tài)系統，更加明確和精細地區(qū)分不同保護對象，針對不同數據處理階段，各有側重地實現恰當與必要的刑法條文設置。另一方面，我國的個人數據保護亦應當建立在憲法規(guī)定的公民基本權利基礎上，若這些公民權利同時體現為人格權益，需要民法予以認可和保護。充分發(fā)揮民法的預防功能，在注重維護公民個人合法權益的同時推動個人信息的正當使用。

（二）多部門協作加強對公民個人信息非法交易市場的監(jiān)管

對于出售、非法提供公民個人信息的網絡犯罪而言，從根源上打擊公民個人信息交易的地下市場往往會取得良好的效果。政府或社會組織成立專門的機構或采取多部門聯合協作的模式，加強對個人信息交易市場的監(jiān)管，在整合、分析大量網絡犯罪案件的基礎上，摸清公民個人信息地下交易市場的運行規(guī)則，從出售和購買兩方同時監(jiān)控和打擊，切斷交易通道。通過提高對出售和購買行為的懲治力度，形成一套完整、有效的監(jiān)控體系和監(jiān)管網絡，實現全范圍、全時段的自動監(jiān)控、自動取證和自動預警，實現減少信息倒賣和非法交易的目標。

（三）網絡平臺提升安全防范意識和內部管理能力

新時代的互聯網公司應提高對用戶信息數據庫信息的保護能力，履行保護用戶個人信息安全的義務。網絡公司或機構往往對自己用戶數據庫的重視程度不夠，投入低、疏于防護、易于攻破，認為這只是一種基本的信息，并不需要過高的成本來維護數據庫。企業(yè)公司應本著對用戶、對網絡社會環(huán)境負責的態(tài)度，增強技術手段投入和防范意識，提升平臺對用戶個人信息的保護力度。同時也應注意對自己系統內部的員工加強培訓和管理，尤其對有較高權限能夠接觸到用戶信息數據庫等重要領域的員工，及時把握其思想動態(tài)，提高員工思想和職業(yè)道德水平，強化其保密意識和責任意識，必要時可以在制度上采取措施，盡量避免出現一人或一個部門權限過高又無有效監(jiān)管和限制的情況。

（四）公民自身應提高對個人信息泄露的警惕性和甄別能力

公民作為網絡世界的主體和重要組成部分，是網絡和大數據時代背景下各個行業(yè)和領域不斷發(fā)展的巨大推力。作為不同互聯網平臺的用戶群體，用戶的流向體現了用戶的需求，這位行業(yè)的發(fā)展指明了方向，很大程度上是決定著互聯網經濟的發(fā)展的風向標。他們不斷向網絡世界傳輸需求，與網絡平臺上的各類機構產生信息和服務的交互。從這個意義出發(fā)，公民個人本身也需要對自己在網絡平臺上個人信息的保護發(fā)揮積極作用，了解網絡常用詐騙手段，增強對釣魚網站的甄別能力，在瀏覽不安全網頁、使用敏感應用程序、處在不安全網絡環(huán)境等情況下，謹慎提交有關個人信息的數據。