北京高院:侵犯公民个人信息犯罪多发,警惕AI“换脸”等犯罪新手段
信息资源成为重要的生产要素和社会财富,个人信息是数字经济的主要元素之一。11月15日,北京市高级人民法院发布《侵犯公民个人信息犯罪审判白皮书》(以下简称《白皮书》),统计分析了近五年来全市法院审结的侵犯公民个人信息罪案件。
《白皮书》指出,有超1/3的涉案信息与公民人身安全、财产安全直接相关;超过半数的案件被告人供职于公司企业;通过技术窃取公民个人信息的犯罪手段其获取信息的速度快、体量大,不容忽视。
侵犯公民个人信息犯罪涵盖了互联网、金融、教育、交通、房地产、购物、通信、物流、求职、法律、差旅、医疗等行业,其中互联网和金融业的占比最大,分别为25%、22%。
案件数量反弹,侵犯公民个人信息犯罪多发
在信息化时代快速发展的大背景下,大数据已成为基础性、战略性资源,但在数据流通共享的过程中,如何保护好公民个人信息的安全,是必须面对的问题。
《白皮书》显示,自2018年以来,北京法院审结侵犯公民个人信息罪一、二审案件共计229件。与2018年相比,2019年全市法院侵犯公民个人信息罪数、结案数量有所上升,后开始下降,2020年和2022年下降幅度尤为明显。从2023年的收案情况来看,案件数量出现反弹,反映出侵犯公民个人信息犯罪多发的态势。
“自侵犯公民个人信息的行为入刑以来,北京法院审结了众多犯罪情节严重、社会影响恶劣的刑事案件。”不过,从处罚程度来看,整体重刑率较低,刑罚程度较轻。《白皮书》指出,自2018年,被判处侵犯公民个人信息罪的被告人共302人。被判处三年以下有期徒刑的被告人人数占比约为73.2%,被判处五年以下有期徒刑的被告人人数占比约为98.7%,被判处罚金在10万元以下的被告人人数所占比例约为83.2%。
从服判息诉情况来看,整体效果较好。统计数据显示,在全市法院已审结的侵犯公民个人信息罪案件中,92.1%的案件被告人当庭表示对犯罪事实和罪名均无异议,大部分案件适用了认罪认罚从宽制度。
侵犯公民个人信息罪案件超半数涉及“内鬼”
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条第1款中,将公民个人信息区分为三类,第一类为行踪轨迹信息、通信内容、征信信息、财产信息;第二类为住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息;第三类为除前述类型之外的公民个人信息,入罪标准分别是50条、500条和5000条。
《白皮书》指出,众多案件所涉信息类型存在多元化特征,前两类信息类型因与公民人身安全、财产安全直接相关,故入罪门槛相对较低。有超1/3的涉案信息与公民人身安全、财产安全直接相关。具体而言,涉及第三类信息类型的案件过半,涉及第一类信息的占比为24.6%,涉及第二类信息的占比为9.9%。
已审结的侵犯公民个人信息罪案件中,涉案信息主要包含手机号码、身份证件、互联网数据、地址位置四种基本要素,且大部分案件涉及多种信息要素。值得注意的是,涉案信息要素中手机号码、身份证件占比最大,共计达77.3%;其次是互联网相关数据,如用户注册信息、浏览检索记录、IP地址等;再次是地址位置,涉案信息大可到地域省份城市,小可精准至具体门牌号。
《白皮书》显示,在已结的侵犯公民个人信息罪案件中,九成案件均以信息条数作为定罪量刑的主要依据。其中有半数的案件信息数量超过5万条,约1/4的案件信息数量超过50万条,部分案件查获的信息甚至多达数百万条、数千万条。
在被告人职务、学历方面,统计数据显示,在已审结的侵犯公民个人信息罪案件中,超过半数的案件被告人供职于公司企业、事业单位,或系其他类型的从业者,案件所占比例依次为50.3%、2.3%、1.8%。公司职员(包括中高级管理层、法人代表)所占比例最大,其中不乏有被告人拥有较高的学历水平和职务职权。
“暗网空间”已成为犯罪交易活跃场所
数字经济时代,以个人信息为基础的大数据具有巨大的经济价值,公民个人信息变现能量大、泄露途径多,在辐射范围广、传播速度快的网络大环境下,安全性面临着前所未有的挑战,技术的逐步发展也给侵犯公民信息的不法分子提供了可乘之机。
《白皮书》指出,侵犯公民个人信息罪案件中,可以发现其犯罪交易环境和支付方式日益隐蔽,“暗网空间”逐渐成为犯罪交易的活跃场所,“暗网”系无法通过常规搜索引擎访问,需在计算机上进行特殊设置,或在特殊软件的辅助下,不需要具备专业计算机系统知识即可访问的网络。这种网络为用户提供匿名的互联网访问途径,进而形成一片监管盲区。同时,交易支付方式从现实货币演进为虚拟货币,用户身份在交易过程中被隐去。不利于侦查机关核实犯罪嫌疑人、认定交易金额、追查资金流向及调查关联犯罪。
另外,秘密窃取的技术手段也逐渐成熟。“爬虫”软件是收集大量信息时的常用软件之一,即按照一定规则自动抓取万维网信息的程序或者脚本,利用漏洞爬取信息被称为“恶意爬虫”。此类软件由一人编写即可供众人使用,只要获得了软件或代码的使用权限,即可植入各大互联网网站后台,或植入单位内部系统数据库读取、下载海量个人信息。
还有部分案件的被告人通过编写“木马病毒”程序植入网站,发送“钓鱼”链接或直接攻击医院、酒店、金融机构等计算机系统漏洞,再借助“伪基站”“猫池”“爬虫”等工具窃取、保存点击或后台服务器数据信息。
《白皮书》指出,根据个人信息的来源及流向,侵犯公民个人信息犯罪涵盖了互联网、金融、教育、交通、房地产、购物、通信、物流、求职、法律、差旅、医疗等行业,其中互联网和金融业的占比最大,分别为25%、22%。
统计显示,已结案件中56.8%的涉案信息被用于业务推销,包括理财产品、贷款业务、房产项目、教育培训、商品代购等,某些领域已经达到了精准营销的程度。39.6%的涉案信息被用于违法甚至犯罪活动,如违规提取公积金或办理信用卡、同行不正当竞争、代收代写学术论文、暴力催收讨债、发送招嫖信息、电信网络诈骗、盗窃存款、敲诈勒索、绑架、故意伤害等。
外部监督监管体系缺乏对个人信息滥用及流失的制约
个人信息背后蕴藏着丰富的信息资源与经济价值,当今社会对个人信息的收集、分析、使用已经渗透到了公民日常工作、生活的方方面面,从而也增加了信息泄露的风险。、
《白皮书》指出,侵犯公民个人信息罪案件的犯罪成因除公民防范意识较弱,导致个人信息被窃取之外,主要包括三个方面。
一、行业“内鬼”屡屡犯案,团队化作案模式愈加成熟。
近年来,侵犯公民个人信息的犯罪活动分工逐步精细化、专业化。一些“内外勾结”型犯罪甚至可以组建起从获取、交易直至变现、利用个人信息的稳定犯罪团伙或黑灰产业链。同时,单位犯罪在侵犯公民个人信息犯罪中愈发常见,实现了自上而下的从决策到分管再到具体实施的条线管理与分工。相比于个人,单位往往拥有更强大的技术条件、人力资源及财力支持,可以在短时间内获取大量公民个人信息,危害性也更强。
二、外部监督监管体系缺乏对个人信息滥用及流失的制约。
《白皮书》指出,当前,个人信息“告知-同意”的处理规则已基本普及,但超范围收集、使用等方面的问题仍较为突出,需要外部环境加以约束。“我同意以下条款”“我接受以下事项”等术语的背后是专业、复杂的隐私政策,对信息主体而言,更像是信息收集者的一份免责声明。且信息收集者往往采用的是信息主体“不同意”“不接受”就不能享受全部服务的运营模式,在能力不对等的情况下,信息主体即使仔细阅读了隐私政策,也难以避免为一时便利而让渡个人信息决策与控制权的情况。近几年,公民维权意识有所提高,但面对格式条款、“一揽子”使用协议或已然遭受信息泄露时的救济途径、方式有限,很难在短时间内获得快捷、有效的帮助和解决。司法实践中大多数涉及个人信息保护的案件规模大、侵害小,提起个人诉讼的成本大、收益小,大部分受害者事后选择沉默甚至习以为常。
同时,行政监管体系注重信息流失后的结果追究,一定程度上忽略了信息采集、使用中的过程监督和综合治理。现有“网信部门统筹协调+其他政府部门在职责范围内履行职责”的行政监管结构,尚未明确其他具体部门以及职责分工,增加了监管过程中的组织协调成本,易形成漏管的灰色地带。监管的同时,行政机关提供公共服务、参与综合治理也同样重要。特别是对于一些规模较小、知名度低,经营方式多依赖电话、短信等点对点推销的中小企业而言,只有尽可能多的搜集、掌握个人信息方能扩大盈利,从而导致非法获取公民个人信息的情况频发。对此,需要行政手段进行管理和引导,确保此类企业依法合规运营。
三、技术升级迭代极大提升信息获取的速度和体量。经统计,有28.5%的案件涉案公民个人信息来源于技术窃取。虽然此种方式不是侵犯公民个人信息的主要犯罪手段,但其获取信息的速度和体量确是其他犯罪手段无法比拟,因而不容忽视。
针对此,《白皮书》建议,机关团体及企事业单位将公民个人信息作为重要数据予以保护,同时以技术对技术,以技术管技术,尤其是防范“换脸”“换声”等犯罪新手段。当前犯罪分子利用AI“换脸”、通过声音合成技术实施诈骗等违法犯罪活动的苗头已开始显现。此类犯罪通常需要使用大量公民个人信息,且系人脸、声音等生物识别信息,易嵌入公众日常生活,关联个人敏感数据,次生出侵害公民个人信息犯罪等获取作案“原料”的上游犯罪,危害重重。
