作者简介：

黄乐闻，女，1987年12月生，毕业于西南科技大学法学院，2014年10月任井研县法院法官助理。曾在基层法院民庭、立案庭等部门工作。

本人郑重声明：所呈交的论文是我个人进行研究及取得的研究成果，尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其它人已经发表或撰写的研究成果，特此声明。

论文提要:

《刑法修正案(九)》之后,侵犯公民个人信息罪做了较大的修改,犯罪主体由特殊主体扩大至一般主体,量刑相应进行了提升。侵犯公民个人信息犯罪是一种新型的犯罪类型。近年来个人信息泄露的网络诈骗案件频发,网络侵犯公民个人信息的问题多而复杂，在法律层面应当如何应对，正在摸索之中。2017 年，《网络安全法》以及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》陆续实施，我国个人信息保护刑事立法适用主体广、入刑门槛低、适用刑罚严厉的特点更为明确。本文着重分析网络侵犯公民个人信息犯罪的特点、剖析信息泄露的源头,并提出针对该类型网络犯罪的防范策略。全文共6822字。

主要创新观点:

网络侵犯公民个人信息行为在我国当今社会越来越严重，不仅对人们的日常生活产生了严重的影响，而且对我国社会经济的整体发展也造成了一定的阻碍。对侵犯公民个人信息犯罪行为的预防与惩治，不是某一个人、某一个部门可以凭一己之力解决，需要各方面力量联动出击。最重要的是还要加快法制进程，完善法律体系，将公民个人信息置于法律的全方位保护之中，避免公民个人以及社会受到更大的危害。

以下正文:

数字化时代，尤其伴随着“大数据”的广泛应用，信息和数据成为“含金量”最高的资源，公民个人信息是基于社会人群广泛性的数量浩瀚的较为显著突出的一块。互联网已经成为人们日常生活必备的信息工具，每天网络都吸收、传递并衍生着海量的信息，网络侵犯公民个人信息的违法行为呈高发、多发态势，公民个人信息安全问题令人堪忧，由此滋生出的垃圾短息、网络诈骗、网络盗窃、非法讨债、人肉搜索、盗刷银行卡等犯罪行为频发。⑴高科技的发展与个人隐私保护之间的矛盾未彻底解决，如何保护我国公民个人信息安全、打击网络侵犯公民个人信息犯罪成为亟待解决的问题。

一、 相关法律

针对个人信息泄露问题日益严重的现象，2009 年2 月28 日《刑法修正案（七）》中增设了刑法第二百五十三条之一“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”的规定。2015 年11 月1 日颁布的《刑法修正案（九）》又进行了修改完善。取消了原来的两个罪名，确定了“侵犯公民个人信息罪”一罪名。这一变化不只是简单的罪名相加或者说合并，而是对公民个人信息全方位保护。侵害主体范围更广，从国家机关或者金融、电信、交通、教育、医疗等事业单位的工作人员这一类特殊主体，扩大到了所有自然人与单位。侵害行为类型更多，侵犯公民个人信息罪包括了非法获取、合法获取和非法传播三种行为类型，涵盖了现实中可能出现的各种侵害行为。此外，还增设了从重处罚情节，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的行为从重处罚。

侵犯公民个人信息罪是指违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，或违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，或采取窃取或者以其他方法非法获取公民个人信息的行为。但在司法实践中，公民个人信息如何界定、何为情节特别严重、定罪量刑的标准如何确定等方面仍存在分歧。

2017年6月1日正式施行最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》），是首次针对打击侵犯公民个人信息犯罪出台的司法解释。⑵《解释》中规定：非法获取、出售或者提供五十条以上个人敏感信息，包括行踪轨迹信息、财产信息、通信内容、征信信息等，即构成犯罪，处三年以下有期徒刑或拘役；为牟取利益，出售或非法提供公民个人信息违法所得5000元以上，即构成犯罪；对内部人员泄露公民个人信息加大了惩治力度，认定犯罪的数量和数额标准减半计算；明确“人肉搜索”中未经当事人同意，行为人向不特定多数人公开当事人个人信息，情节严重的将处三年以下有期徒刑或拘役；明确非法购买、收受公民个人信息进行广告、推销等活动的定罪量刑标准。

二、 概述

（一） 定义和分类

关于公民个人信息的内涵，目前学界有争议。有的学者强调信息的关联性，认为凡是与公民个人相关的一切信息都是公民个人信息。有的学者强调信息的专属性和私密性，认为只有那些体现了私人专属性，且具有重要价值的信息才是公民个人信息。本文观点倾向于最高人民法院、最高人民检察院、公安部联发的《关于依法惩处侵害公民个人信息犯罪活动的通知》( 公通字〔2013〕12 号) 中对“公民个人信息”作出的规定，即“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等，能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。一是从概念的角度，该解释符合“公民个人信息”题中应有之义，信息的识别性和隐私性是作为公民这一特殊主体相区别与其他主体的本质属性，具有对应性和排他性的特点，应予以强调; 二是从法律的角度，这一解释有利于更加全面地保障公民个人信息权益。在司法实践中，公民个人信息的内涵不宜过大也不宜过窄，既要明确有利于实践操作的关键指向，也要留有一定的概念延展空间，这样才有利于司法实践。其定义概括为:公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括身份识别信息和活动情况信息，例如姓名、身份证件号码、电话号码、通信通讯联系方式（QQ账号、微信账号，邮箱账号等）、住址、账号密码、财产状况、交易记录、行踪轨迹等。每一个社会个体都是与众不同的，个体之间差异的外在表现形式就是个人信息的差异。《解释》中将公民个人信息分为三类：一是“敏感信息”，包括行踪轨迹、通信内容、征信信息、财产信息等；二是可能影响人身财产安全的公民个人信息，包括住宿信息、通信记录、交易信息、健康生理信息等；三是上述两项以外的公民个人信息。个人信息的类型是定罪量刑的重要依据，信息越敏感，达到定罪门槛的信息数量越少。新增加的“行踪轨迹”仅指个人实际物理位置信息。《解释》公布后，有观点认为“行踪轨迹”不仅包括实际物理位置信息，还可能会包括个人在虚拟网络中的活动轨迹。从立法部门对《解释》的说明看，列入“行踪轨迹”信息类型的主要目的是打击利用此类信息的绑架、诈骗等危害人身安全犯罪行为，且“行踪轨迹”被列入高度敏感信息类，有关此类信息的入罪门槛低，因此限定严格，网络活动轨迹如与特定人相关联，也可能被列入其他类个人信息。新增加的“财产状况”不仅包括传统银行账户信息，也包括互联网金融业务中的账户财产信息。如：第三方支付结算帐户、金融服务账户信息及财产信息。入罪标准的设置为：非法获取、出售或者提供五十条以上“敏感信息”、五百条以上可能影响人身财产安全的公民个人信息或五千条以上上述两项以外的公民个人信息，即可构成犯罪。

（二） 主要特征

网络侵犯公民个人信息犯罪的主要特征包括：

1、网络涉及的公民个人信息种类繁多、领域广。即使一些信息原始存于局域网，例如身份信息、电话号码、家庭地址等，一旦对外交流，涉及隐私的手机信息、聊天记录、网络账号密码、银行账号密码、购物记录、车辆信息、出行记录甚至生活习惯等变相公开，都可以通过互联网搜寻传播，领域包括金融、电信、教育、医疗、工商、房产、快递等40多个部门和行业。

2、网络可形成“源头—中间商—非法使用人员”利益链条和黑色产业。网络线上操作和实体经营相结合，不同层级人员分工合作，其中既可以抱团运作，也可独自单干，形成了非法获取、买卖、使用、变现的利益链条，牟取不法利益，交易金额巨大。

3、网络信息泄露源头多样化。黑客攻击、钓鱼网站、木马、免费无线宽带、伪二维码、恶意APP等技术类方法，都可以成为窃取公民个人信息的源头。另外，信息服务商、特定部门行业等持有个人信息的内部人员也持着事不关己的态度在一些不法利诱下成为参与泄露公民个人信息的主要源头。

4、犯罪团伙通过网络反侦查意识加强。犯罪分子之间通过QQ、微信、网站、论坛等进行联络，这些网络平台中的个人登陆身份信息真假难辨，通过网银或第三方支付平台转账交易确是真实。犯罪分子会经常变换网络虚拟身份，及时销毁作案网络证据，离开专业的网络技术，仅依靠法律手段侦破难度很大。

三、 公民个人信息泄露原因的分析

（一） 常规技术手段

犯罪分子一般通过钓鱼网站、虚假网站或伪基站发送非法链接骗取公民个人信息；通过网站木马、恶意二维码、免费WiFi、恶意APP 等方式窃取公民个人信息；通过办理会员、招聘、赠送礼品、婚介等渠道获取个人信息。2016 年6 月，青岛市公安局成功侦破了一起利用黑客技术非法出售窃取信息的案件。犯罪嫌疑人何某从非法入侵的航空公司订票服务系统、医疗中心、职教中心、贵金属交易平台等数百家网站中窃取了10 亿余条公民个人信息，贩卖获利20 余万元。

（二）特殊技术手段.

犯罪分子通过特殊技术手段窃取公民个人信息，已经成为“技术类”窃取方式的重要源头。

1、黑客确定攻击目标，然后寻找网站存在的漏洞，再使用技术手段攻击该网站服务器，得到操作权限后，将该网站整个数据库内容下载到自己的电脑中。

2、下载的数据库中有许多冗杂的、无用的信息，黑客使用专门的软件对字符、数据等进行智能识别，筛选出有价值的数据、信息后，可以批量贩卖从中获利。

3、黑客用这些有价值的数据建立社工库，然后利用这些信息尝试登录其他网站、程序或APP，就有可能获得一些可以成功登录的账号和密码，进行非法牟利犯罪行为。

（三） 内部泄露

在司法实践中发现由银行、教育、医疗、保险、工商、电信、快递、证券、电商等各个行业的内部人员造成的信息数据泄露，已经成为侵犯公民个人信息的一大威胁。如湖北省一县法院判决的银行员工韩某某等九人侵犯公民个人信息案，被告人分别被判决处有期徒刑、拘役和罚金。

（四） 黑色产业链

网络侵犯公民个人信息犯罪已不再是过去的“单打独斗”，而是形成了“源头—中间商—非法使用人员”的黑色产业链条，牟取暴利。链条顶端是公民个人信息泄露的源头，也被称为“查询员”，包括移动公司员工、房产中介员工、物流公司员工、教育培训机构员工、银行职员等；接下来是中间商，也是黑产利益链条人员构成的主要部分；末端是不同层级的代理商或者非法使用公民个人信息进行直接犯罪的犯罪分子。⑶“查询员”相对独立，但可同时为多个信息贩卖代理商提供信息。代理商之间会有大量信息交换，通过微信群、QQ 群、论坛等方式频繁联系，形成相互勾结的黑色交易平台。2016 年10 月，公安部破获了一起跨25 省市区的特大侵犯公民个人信息案，移交的犯罪嫌疑人中有34 名查询员。

四、 防范打击措施

（一）司法机关要加强执法力度

1、重点打击，加大惩处力度。公司法机关要以“追源头、打团伙、摧平台、断链条”为目标，重点侦破黑客攻击破坏窃取公民个人基本信息和身份认证信息、利用公民个人信息实施诈骗、盗窃、敲诈勒索等大案要案，加大对行业内部信息泄露者的惩处力度，有案必查、有责必究，最大限度遏制电信网络诈骗等下游违法犯罪活动。

2、重点查处内部违法犯罪人员。司法机关应集中铲除一批犯罪链条和源头，整治侵犯公民个人信息的相关渠道，严厉打击非法获取、非法买卖公民个人信息的不法分子，尤其是内部违法犯罪人员，切实保障公民个人信息安全。

3、强化整治和网上巡查执法。司法机关应集中整治一批网站企业和网络平台，加大对非法销售、传播公民个人信息的网站、网店、网络账号、通讯联络号码等的整治力度，并依法予以关停、关闭，及时发布安全防范预警信息，切实加大违法信息防控和内部审计力度，扼制违法活动生存空间。

4、确保信息源头安全。承载公民个人信息的相关机构、部门对公民个人信息负有不可推卸的主体责任，应明确个人信息监管责任，完善安全管理制度。公安机关应集中治理一批持有公民个人信息但技术防范和安全管理措施落实不到位的企事业单位，凡不按规定对公民个人信息进行查询、复制、使用甚至出售获利的，要追究其刑事责任。

5、进一步加强宣传引导。通过典型案例剖析和法律法规宣传，提醒广大网民提升自身安全防范意识，遵纪守法，并鼓励群众积极提供违法犯罪线索。(4)可以从以下几方面入手：一是建立网络公众号。通过网络公众号，及时向社会宣传最新网络诈骗案例以及诈骗手段，使公民能够辨析网络诈骗行为，防止上当受骗。二是走进社区宣传网络诈骗的相关知识。选择合适的时间走进社区村镇进行宣传，使最多的人接受防范网络诈骗教育。三是在电视上播放公益广告。电视公益广告是人们接触最直接、最高效的方式，尤其是防范网络诈骗的公益广告，更能吸引人们的注意.

（二）共建多领域合作机制

1、 共建多领域合作机构。目前在网络社会监管的常态化下要建立统一和专业的网络监管机构，形成从中央到地方完整的监管体系，以应对层出不穷的网络诈骗犯罪。共建多领域合作机制，要吸收第三方的力量，与银行、通讯、互联网公司合作，形成合成作战模式。多领域合作机制的建立需要三方重视。一是高层的重视。只有受到高层重视，所有工作能更好地开展，才能更快地制订各项计划方案。二是银行、互联网等公司的重视。网络诈骗犯罪的防范与侦办离不开银行、通讯、互联网等公司的配合，只有这些公司重视网络诈骗犯罪，才能高效地辅助公安机关，锁定嫌疑人，固定证据，截留赃款。三是合作机构工作人员的重视。所有前提工作就是为预防、侦破案件打下基础，关键是合作机构内部工作人员的态度，态度决定了打击网络诈骗犯罪工作成果能够达到的高度。要想发挥合作机制的最大效用，就要提高所有工作人员的执行力，执行力取决于工作人员的态度、领导的领导力、工作规章。共建合作机构要制定严格的保密制度，司法人员有较好的保密意识，然而互联网、通讯、银行等公司员工可能没有受到过保密教育，所以要严格实施，防止泄密。为有效防范侵犯个人信息情形的刑事责任风险，应当全面梳理企业所负有的信息网络安全管理义务，并与监管部门就安全管理工作保持密切沟通，特别是在个人信息安全防护方面，杜绝因未履行信息安全管理要求而造成信息泄露事件。

2、 精细划分职责，合成作战。多领域合作机制建立后，所有工作人员要分工配合，形成合力作战。各部门要在特定地点统一办公，并对内部机构职责进行详细的划分，形成统一的办公模式。银行与通讯公司根据办案人员的要求及时提供嫌疑人的银行卡、电话卡以及身份信息，互联网公司负责整理数据，根据账号筛选嫌疑人，公安机关负责案件的分析与人员的抓捕，对所有线索进行碰撞筛选嫌疑人。

（三） 公民要加强自身安全意识

公民要不断增强安全防范意识，对个人信息加强保护意识。记述自己自然情况的信息如性别、身高、患病史、就诊记录以及参与社会活动的经历中形成的各类信息不要轻易透漏给不熟识的人，也不要基于不必要的用途告知陌生人，保证公民的个人信息最大限度不被不法分子获取。

1、尽量避免在网络环境中泄露个人的真实身份信息。人们在使用网络服务的时候注册的个人信息是在一定范围内公开的，这些信息能否被妥善管理，是否被加密保护已经超出个人信息主体的控制范围，在不同平台多次公开个人的真实身份信息将导致无法确定到底是从哪个平台泄露个人真实身份，为维权造成障碍。

2、尽量避免注册不必要的账号；或者为账号设置足够复杂的密码，避免使用纯字母、纯数字或者依据自己的手机号码、生日、身份证号码等简单密码。

3、尽量在不同网站、应用上设置不同的账号密码，并做好识别和记录，以免被黑客破译，密码也要定期更新。在多个网站用同一个用户名容易引起在信息泄漏后关联账户信息同时泄露，导致一次个人信息泄露的实际损失难以估计。

4、防范钓鱼网站和虚假链接，尤其在网络购物、网络理财等操作时要确保网页的安全性。轻易不要在钱款网上交易的过程中点击随机弹出的各种小窗口，按照工作人员的指示进行正规操作。

5、不在网络聊天或者各种网络活动中泄露自己的银行卡号、电话号码、住址等信息。

6、不再使用的移动终端上，要注销自己的各类账号以及互联网收付款等授权，避免被他人使用后威胁到自己的信息、财产安全。

7、在正规应用商店、APP 商城下载应用软件，避免点击不明链接、下载不熟悉的应用软件。

8、尽量不连接公共无线网络，若需使用，一定要设置网络防火墙，并用安全软件对无线宽带进行安全性能检查。

9、不随意扫描来源不明的二维码。

（四） 互联网企业加强自查自纠

信息服务商和承载公民个人信息的部门行业应对其自身系统和第三方应用进行全面排查，尤其是即时通讯平台、社交网络平台、电商平台等，通过落实严格的安全监管制度，及时修补漏洞，确保公民个人信息财产安全。

习近平总书记提出“要严防网络犯罪，尤其是新型网络犯罪，维护人民群众利益和社会和谐稳定。”因此，要严肃整治网络秩序，打击网络侵犯公民个人信息这一新型犯罪，进一步营造我国安全有序、富有活力的网络生态环境。

参考文献:

（1）陈荣： 《江苏警方严厉打击非法获取公民个人信息犯罪》，载《中国防伪报道》2016年第8期，第44页。

（2）徐美玲：《论我国司法解释主体法定化》，载《法制与社会》2016年第9期，第51页。

（3）刘行星，李希龙：《侵犯公民个人信息犯罪研究》，载《江苏警官学院学报》2013年第3期，第49页。

（4）黄艳芳：《我国网络诈骗犯罪的监管制度建设研究》载《法制与经济》2016年第5期，第54页。