連日來,有關公民個人資訊洩露的新聞報道多少讓人有些應接不暇。
8月28日,華住集團旗下酒店客戶資料疑似洩露。據人民網報道,資料總計約5億條,資料量達140G,涉及客戶1.3億人。8月31日,網傳3億條順豐快遞物流資料流入暗網遭不法分子兜售。雖然順豐在隔日回應洩露的資料與其無關,但紅星新聞記者實測了20條資料,發現了其中17條為順豐客戶。9月6日,新華網報道北京大興居民王先生收到順豐莫名到付快遞,開啟竟是抽獎單,疑似個人資訊被洩露。
澎湃新聞以“侵犯公民個人資訊、獲利”為關鍵詞在OpenLaw及無訟網上獲取了1029份侵犯個人資訊違法牟利的判決書,以此觀察此類案件的具體案由、被告人身份、侵害的個人資訊量、量刑標準等。
從判決的案由來看,“出售、非法提供公民個人資訊”以及“非法獲取公民個人資訊”的數量共佔到案件總量38.9%,基本上屬於單一犯罪。後三種案由基本都涉及“數罪並罰”的情況,在以侵犯公民個人資訊的基礎上,不法分子還涉及其他犯罪形式。
我們從“出售、非法提供公民個人資訊”、“詐騙”以及“非法獲取計算機資訊系統資料、非法控制計算機資訊系統”作為案件樣本(下樣本統稱為案件樣本),這些案件分別代表了三個方面:侵害個人資訊罪的主要案由,衍生犯罪中常見且危害較大的犯罪型別,以及高新技術對於此類案件的影響。以這336份案件樣本為資料,嘗試從各個方面觀察侵犯公民個人資訊罪。
誰在利用公民個人資訊獲利?
從案件樣本中的被告人身份來看,主要可以分為三個來源:來自政府國企、來自私營公司以及無特殊身份。身份差異影響了不法分子在接觸公民個人資訊時的操作手段、接觸的資訊型別和牟利的方式。其中,來自政府國企的不法分子一般是指在行業內部,透過職務便利獲得第一手個人資訊的內鬼。從案件數量來看,地方的交警大隊、派出所以及銀行職工是主要的“內鬼”出沒地。
以戶籍資訊為例,在(2017)粵2071刑初1679號案件中,被告人徐某作為中山市公安局板芙分局刑偵大隊科員,使用其公安資料證書在公安網上違規查詢他人戶籍資訊、車輛檔案及軌跡等公民個人資訊共計10691條,非法獲利2萬餘元。
除了政府國企外,“內鬼”還來自私營企業。這些行業涉及教育、電商、金融、房地產等。每起案件竊取的資訊數量從幾百條到千萬餘條不等,造成了較大的危害。
不同行業的“內鬼”作案也有一定的規律可循。公安系統“內鬼”主要集中在基層派出所,竊取的公民個人資訊以戶籍、身份、行車記錄、車輛軌跡等為主。電商領域“內鬼”以第三方電商公司內部職員為主,他們竊取的多為日常管理的客戶淘寶、支付寶、買家會員名等個人資訊。除了平臺賬號外資訊外,還涉及交易環節的物流資訊,包括個人的住址、電話、物流單號等。
來自政府國企、私營企業的行業“內鬼”的牟利手段主要是尋找“買家”把竊取的各類公民資訊給賣出去。從判決書來看,這些下游的“買家”比較多的身份型別是無業者、農民以及務工人員。
這類人群整體受教育水平不高,善於利用社交工具及網際網路等渠道收購“內鬼”提供的資訊。在獲取個人資訊後,他們“各顯神通”,牟利手段可謂五花八門:或轉手倒賣、或用來推銷貸款、或利用駭客技術、或實施電信詐騙。
“內鬼”比“買家”量刑輕?
上游“內鬼”竊取公民個人資訊,下游“買家”收購後各種牟利。這樣“裡應外合”、“上下其手”的操作,無形中形成一條由上至下的利用資訊洩露牟利的黑色產業鏈。但從法院的判決來看,量刑的標準主要是倒賣的資訊量以及非法獲利的金額,不一定與不法分子的“身份”以及所處的利益鏈位置有關。
在“侵犯公民個人資訊罪”的判決之外,數罪並罰的情況也並不少見。尤其是在加上詐騙罪之後,“侵犯公民個人資訊罪”的量刑部分明顯較輕,而數罪並罰的案件多是“買家”可能進行的操作。
以杜某、李某詐騙案為例,審判同時認定了侵犯公民個人資訊的事實以及詐騙的事實。從量刑來看,杜某應侵犯公民個人資訊罪被判處有期徒刑一年六個月,並處罰金人民幣5萬元;犯詐騙罪被判處有期徒刑四年,並處罰金8萬元。
侵害個人資訊實施詐騙案的收益主要來源於詐騙環節。從典型案例中可以發現,這部分案件的收益通常處於整個產業鏈的上層。而處於收益下層的往往是透過“倒賣”牟利的不法分子。為了將有限的資料利益最大化,這些“賣家”不得不去拓展資料販賣的渠道,直接導致了公民個人資訊的大肆洩露。
侵害公民個人資訊能獲利多少?
從樣本案由的判決書資料來看,有218個案件披露了不法分子交易的資料量以及獲利金額。其中,”彭魏、李建標、陳金輝犯侵犯公民個人資訊”涉案金額達40萬元,是侵害個人資訊犯罪中獲利最高的。
這些案件的資訊獲利平均價為5.45萬元。有59起案件的資料販賣價格超過1元/條,價格最高為728.9元/條,最低的為1毛/條。以1元/條獲利公民個人資訊的案件來自童長昭犯侵犯公民資訊罪一案。經審理查明,2015年12月以來,被告人童長昭使用QQ號,從QQ暱稱為”sajy”的網友江某處購買約2000萬條公民郵箱賬號,並利用從網上下載的掃號軟體對其購買的郵箱賬號進行掃描,從中篩選出符合要求的賬號進行遊戲掛機牟利,獲利約200餘元。
侵犯公民個人資訊如何量刑?
從量刑來看,樣本案件中侵犯公民個人資訊案的平均獲刑時間為2.8年,平均罰沒金額在3.3萬元。其中,73.4%的案件沒有判處緩刑。徒刑判罰時間大於三年的案件有138起,佔樣本案件總量的47.1%,屬於“情節特別嚴重”。
侵犯公民個人資訊的量刑標準主要與資料的數量數額和造成的後果有關,對於“情節特別嚴重”的犯罪事實,將判處三年以上七年以下有期徒刑,並處罰金。
在2017年6月1日兩高司法最新實施的關於侵犯公民個人資訊刑事案件適用法律若干問題的解釋中(下稱《解釋》),對侵犯公民個人資訊的行為和適用法律進行了進一步的明晰。
根據資訊型別不同,非法獲取、出售或者提供公民個人資訊“五百條以上”“五千條以上”“五萬條以上”,或者違法所得五萬元以上的,即屬“情節特別嚴重”。對於犯罪造成的後果,《解釋》將“造成被害人死亡、重傷、精神失常或者被綁架等嚴重後果”“造成重大經濟損失或者惡劣社會影響”規定為“情節特別嚴重”。
*來源:澎湃新聞
更多資訊
◈ Google Chrome 69隱藏域名中的www遭批
http://t.cn/RsIk257
◈ 美國起訴從孟加拉國央行竊取了 8100 萬美元的朝鮮駭客
http://t.cn/RsIkVWF
◈ 研究發現回饋開源軟體能帶來競爭優勢
http://t.cn/RsIkSZK
◈ 英國航空公司資料洩露:約38萬筆銀行卡網上付款資訊遭攻擊
http://t.cn/RsIklo3
(資訊來源於網路,安華金和蒐集整理)