徐玉玉案快一年了，拿什麼拯救你，我的信息

本文約3400字，閱讀需5分半

澎湃新聞 蘇顥雲

2016年8月19日，山東臨沂一名即將踏入大學的女孩徐玉玉遭遇詐騙電話，9900元學費被騙光。徐玉玉在報案回家途中暈厥，心臟驟停，雖經全力搶救，仍於8月21日不幸離世。

去年的徐玉玉案件引起社會廣泛關注，背後涉及的個人信息安全問題在兩會上被反覆提及。有學者在兩會上提到，我國目前碎片化的立法規定缺乏頂層設計，並強調了公民個人信息保護單獨立法的必要性。

信息化時代，從網購的柴米油鹽，到學生時代的檔案，到日常違章記錄、航班車票、銀行流水，都無一例外地產生數字痕迹。和印刷時代不同的是，這些痕迹並不會隨著時間的流逝而輕易隱去。

《經濟學人》五月刊把這些信息稱之為「數字時代的石油」，但「石油」歸誰所有、如何監管，日益成為全球挑戰。

對於普通人而言，「石油」中最為敏感特殊的一類，公民個人信息，甚至成了生活中詐騙、騷擾的起源。目前，公民個人信息保護在我國還未統一立法，與之關聯緊密的是《刑法》第二百五十三條之一【侵犯公民個人信息罪】。以及，即將在2017年6月1日施行的《網路安全法》，對收集、使用個人信息進行了體系性規定；即將在2017年10月1日生效的《民法總則》第一百一十一條，規定自然人的個人信息受法律保護。

澎湃新聞 ( thepaper.cn ) 通過OpenLaw 及無訟網站下載了與侵犯公民個人信息犯罪相關的判決書，嘗試從文本出發「管中窺豹」。以下分析基於1239份判決書，時間跨度為2010年至2017年4月。（注）

一、「內鬼」作案：涉及面廣、信息量巨大

5月9日，公安部網路技術研發中心主任許劍卓表示，行業內部人員已經成為侵犯公民個人信息犯罪的重要主體。並且，此類犯罪已經形成完整的利益鏈。

內部人員泄密是上游操作，下游則「各顯神通」，或進行精準詐騙、行跡追蹤，或投放廣告以求業績增長。以駕駛員身份信息為例，在（2013）溫蒼刑初字第893號 刑事判決書中，「內鬼」被告人利用協警的職務便利，泄露了4000多條駕駛員信息，並篡改駕駛員聯繫方式，以供下游買家套取違章免積分處罰權益。

澎湃新聞搜索了判決書中庭審過程的內容，提取出80多起「內鬼」案件。與公安部提供的信息相符，此類犯罪涉及銀行、教育、電信、快遞、證券、電商、醫療等行業，涉及面廣，每起案件的信息泄露數量從數十條到幾千萬條不等，危害較大。

不同行業的「內鬼」作案也有一定規律：

1.公安系統。公安系統內部的泄密高發處為基層派出所和交警大隊，偶有消防支隊、特警大隊涉案。公民戶籍信息、駕駛證信息、住宿記錄成為主要作案目標。

違法者中，超過半數為輔警、協警等「臨時工作人員」。但值得注意的是，根據庭審記錄，「臨時工」往往會通過「正式工」的數字證書來獲得信息，從一定程度上表明，公安系統內部的信息管控、流程規範都有不小的提升空間。

2.金融行業。從可提取的信息來看，不同程度「中招」的金融機構包括交通銀行、建設銀行、招商銀行、中國農業銀行、郵政儲蓄銀行、工商銀行和成都農商銀行，也有泰康人壽、易貸公司等。儲戶信息、存單記錄、投保信息為犯罪主要目標。

尤為引人矚目的為（2014）浦刑初字第1923號 刑事判決書，展示了對公民信息進行立法保護的必要性。2008年，建設銀行廣東省分行的信息技術管理部職員借工作之便，共獲得800餘萬條客戶信息。彼時，刑法尚未對公民個人信息立法保護， 其行為不構成犯罪。2009年3月後，侵犯公民個人信息相關罪名經由《刑法修正案（七）》被加入《刑法》，該「內鬼」離職後的出售信息行為構成犯罪，最終被判有期徒刑一年、緩刑一年、罰金15000元。

3.快遞、電商行業。隨著越來越多的購物行為通過網路完成，一張面單上有著我們的太多信息。在業務量大的公司，「內鬼」泄露的信息量能達到幾十萬條。作案者的職位包括統計員、資料庫工程師，也有助理總經理、網店管家，總體而言，或偏技術崗位，或有管理職能。

二、犯罪門檻低，違法者有年輕化趨勢

從這一千兩百多份判決書的被告人中，可以提取出年齡信息的有1100多位，占被告人總數的一半左右，有一定的參考價值。以今年計算，則提取樣本中，80%以上的違法者年齡在35周歲及以下，25周歲及以下的佔到19%，最年輕的為1998年出生。

除去「內鬼」作案，通過QQ、論壇等方式獲取公民信息，再轉手倒賣是許多案件中的「經典」案情。這種方式操作門檻相當低，偵察難度卻很高。已經泄露的公民信息經過無數次轉手，幾乎不可能消失在犯罪網路中。

從地區分布來看，自保護公民個人信息被寫入刑法後，越來越多的地方法院開始審理相關案件，沿海省市是此類犯罪多發的地區。近年來，福建逐漸超過上海成為審結案件最多的省份。

三、侵犯公民個人信息犯罪的判罰是怎樣的？

經過一定的文本篩選和去重，澎湃新聞 ( thepaper.cn ) 從判決書中提取到了法官對2055位被告所犯侵犯公民個人信息罪的判決，其中只處罰金的情況佔5%，被判拘役或有期徒刑、但可以緩刑的人員佔39%。未獲緩刑的有1153人，其中處拘役（六個月及以下）的佔22%，兩年及以下有期徒刑的佔77%。

總的來說，2055人次的判決中，僅有18人被判處兩年以上有期徒刑、且未獲緩刑。約80%的犯罪者被罰金額小於或等於兩萬元。

高於兩萬元的處罰中，被罰五萬元以下的有104人，五萬以上10萬元以下的54人，10-20萬的14人。數額最高的被判100萬罰金，是一起單位犯罪刑事案件，（2012）閘刑初字第997號，於2012年12月由上海市閘北區人民法院審結。涉案單位「羅維鄧白氏營銷服務有限公司」，花費了250萬從十多家公司手裡購買9000多萬條公民個人信息，包括手機號碼、電子郵箱、家庭住址、銀行帳戶、消費記錄、嬰幼兒情況等，用於其營銷推廣等服務。

看到這樣的結果，有人可能會覺得犯罪者的違法成本過低，判罰起不到威懾作用，陷入個人信息價值被人大及其常務委員會低估的陰雲之中。雖然公民信息保護早在2009年被加入刑法，但其最高刑期定在三年。直到2015年11月1日，《刑法修正案（九）》施行，構成此罪、且情節特別嚴重的量刑標準才被提高到「三年以上七年以下有期徒刑」。

而最高法、最高檢於5月9日進一步發布司法解釋，明確了針對此罪的定罪量刑標準。最新的司法解釋將於6月1日起施行，增加了對「情節特別嚴重」的認定標準，主要涉及如下兩個方面：

一是數量數額標準。根據信息類型不同，非法獲取、出售或者提供公民個人信息「五百條以上」「五千條以上」「五萬條以上」，或者違法所得五萬元以上的，即屬「情節特別嚴重」。

二是嚴重後果。《解釋》將「造成被害人死亡、重傷、精神失常或者被綁架等嚴重後果」「造成重大經濟損失或者惡劣社會影響」規定為「情節特別嚴重」。

四、亞太地區針對個人信息保護的立法情況

近年來，針對公民個人信息保護單獨立法的呼聲不斷。去年的徐玉玉案件引起社會廣泛關注，背後涉及的個人信息安全問題在兩會上被反覆提及。《檢查日報》在兩會期間採訪了中國人民大學教授張新寶和北京師範大學刑事法律科學研究院教授盧建平，兩位學者都提到了我國目前碎片化的立法規定缺乏頂層設計，強調了單獨立法的必要性。

世界範圍內已有多個國家或地區制定了個人信息保護法，這是全球面對信息化進程的立法趨勢，在亞太地區也有諸多先例。金杜法律事務所在《國內外數據保護方法比較》一文中分析了亞太地區的數據保護狀況，歸類如下：

1. 早已實施數據保護（如中國台灣）和未實施（越南）；

2. 怠於執行（1996年到2010年，中國香港實際沒有執行相關法律，但自從發生為營銷目的濫用數據的重大案件之後，現已開始更加積極地執行）和奉為圭臬（韓國的數據保護法律某種程度上比歐盟的「黃金標準」指令性更強）；

3. 相比有統一法律的澳大利亞，一些地區的規定不成體系（目前中國大陸地區屬於這一種）；

4. 可與歐盟媲美（比如紐西蘭）。

註：

公民個人信息立法保護過程：首先經由《刑法修正案（七）》（「出售、非法提供公民個人信息罪」、「非法獲取公民個人信息罪」）於2009年被加入《刑法》，並在2015年11月1日起施行的《刑法修正案（九）》中被統一為「侵犯公民個人信息罪」。據最高法數據，《刑(七)》施行後，從2009年2月至2015年10月，全國法院共審結出售、非法提供公民個人信息、非法獲取公民個人信息刑事案件969起，生效判決人數1415人。2015年11月至2016年12月，全國法院新收侵犯公民個人信息刑事案件495件，審結464件，生效判決人數697人。

檢察日報，《在個人信息合法保護與合理利用之間尋求平衡》：http://www.spp.gov.cn/llyj/201703/t20170329_186658.shtml；

金杜法律事務所，《國內外數據保護方法比較》：http://www.kwm.com/zh/knowledge/insights/data-protection-at-home-and-abroad-20161122

本期編輯 彭煒軒

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！