⑴ 侵犯公民个人信息罪
一、引言
大数据技术的发展给科技进步、信息共享、商业发展带来了巨大的变革,社会活动网络化的发展趋势更给予了个人信息丰富的社会价值和经济价值,使它成为对于国家、社会、组织乃至个人都具有重要意义的战略资源。与此同时,与个人信息相关的犯罪活动也呈现出高发态势。2009年《刑法修正案(七)》增设“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。2015年《刑法修正案(九)》将两个罪名整合为“侵犯公民个人信息罪”,并扩大了主体范围,加大了处罚力度。2017年3月20日最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《2017年解释》)对侵犯公民个人信息罪的司法适用做出了具体规定。
笔者在中国裁判文书网,对判决结果包含“公民个人信息”的刑事一审判决逐年进行检索,2009-2019年间各年份相关判决数如图表 1所示。我国侵犯公民个人信息犯罪的发展可为四个阶段:2009~2012年,此类判决数为零,与个人信息相关的犯罪案件在实践中鲜有发生;2012~2016年,判决数量开始缓速增长,总量尚较少;2016~2017 年判决数量激增 214.6%,呈现出高发态势;2016~2019年,犯罪数量增速放缓。
图表 1
作为侵犯公民个人信息犯罪的行为对象,公民个人信息的内涵、范围、判断标准对立法和司法适用具有重要意义。《2017年解释》第1条对其概念做了明确的规定,但实践中对公民个人信息的界定仍存在一些模糊的地方。如,如何把握行踪轨迹信息的范围、如何把握财产信息的范围和如何认定公民个人信息的可识别性等。由此观之,要实现对侵犯公民个人信息罪的准确认定,我们应该对其行为对象的内涵、外延进行深入研究。本文拟对《刑法》二百五十三条“公民个人信息”的界定进行深入分析,希望能对司法实践中该罪的认定提供有益参考。
二、刑法上公民个人信息合理保护限度的设定原则
信息网络时代,我们要在推动信息科技的发展应用和保护公民个人信息安全之间寻求适度的平衡。刑法对公民个人信息的保护力度过小或者过大,都不利于社会的正常发展。笔者认为,应当基于以下三项原则设定公民个人信息刑法保护的合理限度。
(一)刑法的谦抑性原则
刑法的谦抑性,是指刑法应合理设置处罚的范围与程度,当适用其他法律足以打击某种违法行为、保护相应合法权益时,就不应把该行为规定为犯罪;当适用较轻的制裁方式足以打击某种犯罪、保护相应合法权益时,就不应规定更重的制裁方式。此原则同样是刑法在对侵犯公民个人信息犯罪进行规制时应遵循的首要原则。
在我国个人信息保护法律体系尚未健全、前置法缺失的当下,刑法作为最后保障法首先介入个人信息保护领域对侵犯公民个人信息行为进行规制时,要格外注意秉持刑法的谦抑性原则,严格控制打击范围和力度。对于公民个人信息的认定,范围过窄,会导致公民的合法权益得不到应有的保护,不能对侵犯公民个人信息的行为进行有效的打击;范围过宽,则会使刑法打击面过大,导致国家刑罚资源的浪费、刑罚在实践中可操作性的降低,阻碍信息正常的自由流通有违刑法的谦抑性原则。在实践中,较常见的是认定范围过宽的问题,如公民的姓名、性别等基础性个人信息,虽能够在一定程度上识别个人身份,但大多数人并不介意此类个人信息被公开,且即便造成了一定的危害结果,也不必动用刑罚手段,完全可以利用民法、行政法等前置法予以救济。
(二)权利保护与信息流通相平衡原则
大数据时代,随着信息价值的凸显,个人信息保护与信息流通之间的价值冲突也逐渐凸显。一方面,信息的自由流通给国家、社会、个人都带来了多方面的便利,另一方面,也不可避免地对个人生命和财产安全、社会正常秩序甚至国家安全带来了一定的威胁。
科技的进步和社会的需要使得数据的自由流通成为不可逆转的趋势,如何平衡好其与个人权益保护的关系,是运用刑法对侵犯公民个人信息行为进行规制时必须要考虑的问题。个人信息保护不足,则会导致信息流通的过度自由,使公民的人身、财产安全处于危险境地、社会的正常经济秩序遭到破坏;保护过度,则又走入了另一个极端,妨碍了信息正常的自由流通,使社会成员成为一座座“信息孤岛”,全社会也将成为一盘散沙,也将信息化可以带来的巨大经济效益拒之门外。
刑法要保护的应当仅仅是具有刑法保护的价值和必要,并且信息主体主动要求保护的个人信息。法的功能之一便是协调各种相互矛盾的利益关系,通过立法和司法,平衡好个人信息权利保护与信息自由流通,才可以实现双赢。应努力构建完备的个人信息保护体系,既做到保障公民人身、财产权利不受侵犯,又可促进信息应有的自由流动,进而推动整个社会的发展与进步。
(三)个人利益与公共利益相协调原则
个人利益对公共利益做出适当让渡是合理的且必须,因为公共利益往往涉及公共安全与社会秩序,同时也是实现个人利益的保障。但是这种让渡的前提是所换取的公共利益是合法、正当的,并且不会对个人隐私和安全造成不应有的侵害。
公共安全是限制公民个人信息的典型事由。政府和司法部门因为社会管理的需要往往会进行一定程度的信息公开,信息网络的发展也使得大数据技术在社会安全管理活动中发挥着越来越重要的作用,但同时也不可避免地涉及到对于公民个人利益边界的触碰,由此产生公共管理需要与个人权益维护之间的冲突。相对于有国家机器做后盾的公权力,公民个人信息安全处于弱势地位,让个人信息的保护跟得上信息化的发展,是我们应该努力的方向。
公众人物的个人信息保护是此原则的另一重要体现,王利明教授将公众人物划分为政治性公众人物和社会性公众人物两类。对于前者,可将其个人信息分为两类:一类是与公民监督权或公共利益相关的个人信息,此类个人信息对公共利益做出适当的让步是必须的;另一类是与工作无关的纯个人隐私类信息,由于这部分个人信息与其政治性职务完全无关,所以应受与普通人一样的完全的保护。对于社会性公众人物,其部分个人信息是自己主动或是希望曝光的,其因此可获得相应的交换利益,对于这部分信息,刑法不需要进行保护;也有部分信息,如身高、生日、喜好等虽然被公开,但符合人们对其职业的合理期待,且不会有损信息主体的利益,对于此类信息,也不在刑法保护范围内;但对于这类信息主体的住址、行踪轨迹等个人信息,因实践中有很多狂热的粉丝通过人肉搜索获得明星的住址、行程信息,对明星的个人隐私进行偷窥、偷拍,此类严重影响个人生活安宁和基本权益的行为应当受到刑法的规制。
三、刑法上公民个人信息的概念、特征及相关范畴
(一)公民个人信息的概念
“概念是解决法律问题必不可少的工具”。
1.“公民”的含义
中华人民共和国公民,是指具有我国国籍的人。侵犯公民个人信息犯罪的罪名和罪状中都使用了“公民”一词,对于其含义的一些争议问题,笔者持以下观点:
(1)应包括外国籍人和无国籍人
从字面上和常理来看,中国刑法中的“公民”似乎应专门指代“中国的公民”。但笔者认为,任何人的个人信息都可以成为该罪的犯罪对象,而不应当把我国刑法对公民个人信息的保护局限于中国公民。
第一,刑法一百五十三条采用的并非“中华人民共和国公民个人信息”的表述,而是了“公民个人信息”,对于刑法规范用语的理解和适用,我们不应人为地对其范围进行不必要的限缩,在没有明确指明是中华人民共和国公民的情况下,不应将“公民”限定为中国公民。
第二,全球互联互通的信息化时代,将大量外国人、无国籍人的个人信息保护排除在我国刑法之外,会放纵犯罪,造成对外国籍人、无国籍人刑法保护的缺失,这既不合理,也使得实践中同时涉及侵犯中国人和非中国人的个人信息的案件的处理难以操作。
第三,刑法分则第三章“侵犯公民人身权利、民主权利罪”并不限于仅对“中国公民”的保护,也同等地对外国籍人和无国籍人的此类权利进行保护。因此,处于我国刑法第三章的侵犯公民个人信息犯罪的保护对象,也包括外国籍人和无国籍人的个人信息,“我国对中国公民、处在中国境内的外国人和无国 籍人以及遭受中国领域内危害行为侵犯的外国人和无国籍人,一视同仁地提供刑法的保护,不主张有例外。”
(2)不应包括死者和法人
对于死者,由于其不再具有人格权,所以不能成为刑法上的主体。刑法领域上,正如对尸体的破坏不能构成故意杀人罪一样,对于死者个人信息的侵犯,不应成立侵犯个人信息罪。对死者的个人信息可能涉及的名誉权、财产权,可以由死者的近亲属主张民法上的精神损害赔偿或继承财产来进行保护。
对于法人,同样不能成为刑法上公民个人信息的信息主体。一方面,自然人具有人格权,而法人不具有人格权,其只是法律拟制概念,不会受到精神上的损害。另一方面,法人的信息虽然可能具有很大的商业价值和经济效益,但是已有商业秘密等商法领域的规定对其进行保护。因此,法人的信息不适用公民个人信息的保护。
2.“个人信息”的含义
法学理论上对于公民个人信息的界定主要识别说、关联说和隐私说。
识别说,是指将可以识别特定自然人身份或者反映特定自然人活动情况作为公民个人信息的关键属性。可识别性根据识别的程度又可以分为两种方式,即通过单个信息就能够直接确认某人身份的直接识别,和通过与其他信息相结合或者通过信息对比分析来识别特定个人的间接识别。学界支持识别说观点的学者大多指的是广义的识别性,既包括直接识别,又包括间接识别。
关联说认为所有与特定自然人有关的信息都属于个人信息,包括“个人身份信息、个人财产情况、家庭基本情况、动态行为和个人观点及他人对信息主体的相关评价”。根据关联说的理论,信息只要与主体存在一定的关联性,就属于刑法意义上的公民个人信息。
隐私说认为,只有体现个人隐私的才属于法律保障的个人信息内容。隐私说主要由美国学者提倡,主张个人信息是不愿向他人公开,并对他人的知晓有排斥心理的信息。
笔者认为,通过识别说对刑法意义上的公民个人信息进行界定最为可取。关联说导致了刑法保护个人信息的范围过分扩大,而隐私说则只将个人信息局限在个人隐私信息的范围内,忽略了不属于个人隐私但同样具有刑法保护价值的个人信息,同时由于对隐私的定义受个人主观影响,所以在实践中难以形成明确的界定标准。相比之下,识别说更为可取,不仅能反应需刑法保护的公民个人信息的根本属性,又具有延展性,能更好的适应随着信息技术的发展而导致的公民个人信息类型的不断增多。
且通过梳理我国关于个人信息的立法、司法,识别说的观点贯穿其中。
名称
生效年份
对“个人信息”核心属性的界定
《全国人大常委会关于加强网络信息保护的决定》
2012年
可识别性、隐私性
《关于依惩处侵害公民个人信息犯罪活动的通知》
2013年
可识别性、隐私性
《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》
2014年
隐私性
《网络安全法》
2016年
可识别性
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
2017年
可识别性、可反映活动情况
图表 2
《网络安全法》和《2017年解释》中关于公民个人信息的界定无疑最具权威性。《网络安全法》采用了识别说的观点,将可识别性规定为公民个人信息的核心属性。而后者采用了广义的“可识别性”的概念,既包括狭义可识别性 (识别出特定自然人身份) , 也包括体现特定自然人活动情况。两者之所以采用了不同的表述,是因为《网络安全法》对公民个人信息做了整体而基础性的保护,而《2017年解释》考虑到,作为高度敏感信息的活动情况信息,随着定位技术的不断进步逐渐成为本罪保护的一个重点,因此在采用了狭义的身份识别信息概念的基础之上,增加了对活动情况信息的强调性规定,但其本质仍是应涵括在身份识别信息之内的。
所以,应以可识别性作为判断标准对公民个人信息进行界定。
(二)公民个人信息的特征
刑法意义上的“公民个人信息”体现了其区别于广义上的“公民个人信息”的刑法保护价值。明确刑法领域个人信息的特征,有助于在司法中更好的对个人信息进行认定。
1.可识别性
这是公民个人信息的本质属性。可识别是指可以通过信息确定特定的自然人的身份,具体包括直接识别和间接识别。直接识别,是指通过单一的信息即可直接指向特定的自然人,如身份证号、指纹、DNA等信息均可与特定自然人一一对应。间接识别,是指需要将某信息与其他信息相结合或者进行对比分析才能确定特定自然人,比如学习经历、工作经历、兴趣爱好等信息均需要与其他信息相结合才能识别出特定的信息主体。
2.客观真实性
客观真实性是指公民个人信息必须是对信息主体的客观真实的反映,。一方面,主观上的个人信息对特定个人的识别难度极大;另一方面,现行刑法关于侮辱罪或诽谤罪的相关规定足以对此类主观信息进行规制。司法实践中,如何判断信息的客观真实性也是一个重要的问题,如何实现科学、高效鉴别个人信息客观真实性,是司法机关应努力的方向。现有的随机抽样的方法有一定可取性,但不够严谨。笔者认为,可以考虑采取举证责任倒置的方式,若嫌疑人能证明其所侵犯的个人信息不具有客观真实性,则不构成本罪。
3.价值性
刑法的两大机能是保护法益和保障人权。从保护法益的机能出发,对于侵犯公民个人信息罪这一自然犯,只有侵犯到公民法益的行为,才能纳入刑法规制的范围。而判断是否侵犯公民法益的关键就在于该信息是否具有价值。价值性不仅包括公民个人信息能够产生的经济利益,还包括公民的人身权利。从个人信息的人格权属性角度分析,个人隐私类信息的公开,会侵犯公民的隐私权、名誉权,行踪轨迹类信息的公开,会对公民人身安全带来威胁。从个人信息的财产权属性角度分析,信息化时代,信息就是社会的主要财产形式,能够给人们带来越来越大的经济利益。“信息价值仅在当行为人主张其个人价值时才被考虑”,只有具有刑法保护价值的信息,才值得国家动用刑事司法资源对其进行保护。
(三)个人信息与相关概念的区分
很多国家和地区制定了专门的法律保护个人信息,但部分国家和地区没有采用“个人信息”的概念,美国多采用“个人隐私”的概念,欧洲多采用“个人数据”的概念,而“个人信息”的表述则在亚洲较为常见。对于这三个概念是可以等同,存在观点分歧。有观点认为,个人信息与个人隐私有重合,但不能完全混同,也有观点认为个人信息包含个人隐私,以个人数据为载体。笔者认为,有必要对三个概念进行明确区分。
1.个人信息与个人隐私
关于这两个概念的关系,有学者主张前者包含后者,有学者主张后者包含前者,还有学者认为两者并不是简单的包含关系。笔者认为,个人信息与个人隐私相互交叉,个人信息包括一般信息和隐私信息,个人隐私包括隐私信息、私人活动和私人空间,所以两者的交叉在于隐私信息。两者制建有很大的区别,不能混淆。首先,私密程度不同,个人信息中除隐私信息以外的一般信息在一定程度上是需要信息主体进行公开的,如姓名、手机号、邮箱地址等,而个人隐私则具有高度的私密性,个人不愿将其公开;其次,判断标准不同,个人信息的判断标准是完全客观的,根据其是否具有识别性、真实性、价值性来进行判断即可,而个人隐私在判断上具有更多的主观色彩,不同主体对个人隐私的界定是不同的;最后,个人信息既具有消极防御侵犯的一面,也具有主动对外展示的一面,信息主体通过主动公开其部分个人信息,可能会获得一定的利益,而个人隐私则侧重消极防御,主体的隐私信息和隐私活动不希望被公开,隐私空间不希望被侵犯。
2.个人信息与个人数据
笔者认为,个人信息(personal information)和个人数据(personal Data)的区别在于,个人数据是以电子信息系统为载体的对信息主体的客观、未经过处理的原始记录,如个人在医院体检后从自助机取出的血液化验报告单;后者是指,数据中可对接收者产生一定影响、指导其决策的内容,或是数据经过处理和分析后可得到的上述内容,如血液化验报告数据经系统或医生的分析,形成的具有健康指导作用的结果报告,换言之,个人信息=个人数据+分析处理。
四、刑法上公民个人信息的司法认定
在司法实践中,对于概念和原则的把握必然有一定的差异性,需要具体情况具体讨论。在本部分,笔者对一般个人信息的认定进行总结归纳,并对一些存在争议的情况进行分析。
(一)公民个人信息可识别性的认定
“可识别性是指个人信息能够直接或者间接地指向确定的主体。”经过上文中的讨论,根据《网络安全法》和《2017年解释》对公民个人信息的定义,我们能够得出,“识别性”是公民个人信息的核心属性,解释第3条第2款印证了这一观点。对于能够单独识别特定自然人的个人信息,往往比较容易判断,而对于需要与其他信息结合来间接识别特定自然人身份或反映特定自然人活动情况的信息,往往是个案中控辩双方争议的焦点,也是本罪的认定中最为复杂的问题。面对实践中的具体案情,对于部分关联信息是否可以认定为“公民个人信息”时,可从行为人主观目、信息对特定自然人的人身和财产安全的重要程度和信息需要结合的其他信息的程度三个方面综合分析加以判断。
以此案为例:某地一医药代表为了对医生给予用药回扣,非法获取了某医院某科室有关病床的病床号、病情和药品使用情况。此案中所涉及的非法获取的信息不宜纳入刑法中“公民个人信息”的范畴。首先,从行为人主观目的上看,并没有识别到特定自然人的目的,而仅仅是为了获取用药情况;其次,从以上信息对病人的人身安全、财产安全以及生活安宁的重要性上来看,行为人获取以上信息并不会对病人权益造成侵犯;最后,从这些信息需要与其他信息结合的程度来看,病床号、用药情况等信息并不能直接识别到个人,需要结合病人的身份证号等才能起到直接识别的作用。所以,此案中的涉案信息不属于刑法所保护的“公民个人信息”。
(二)敏感个人信息的认定
《2017年解释》第五条根据信息的重要程度、敏感程度,即信息对公民人身、财产安全的影响程度,将“公民个人信息”分为三类,并设置了不同的定罪量刑标准。
类别
列举
“情节严重”标准
(非法获取、出售或提供)
“情节特别严重“标准(非法获取、出售或提供)
特别敏感信息
踪轨迹信息、通信内容、征信信息、财产信息
五十条以上
五百条以上
敏感信息
住宿记录、通信记录、健康生理信息、交易信息
五百条以上
五千条以上
其他信息
五千条以上
五万条以上
图表 3
但是在司法实践中,仍存在对标准适用的争议,主要表现在对敏感个人信息的认定。
1.如何把握“行踪轨迹信息”的范围
行踪轨迹信息敏感程度极高,一旦信息主体的行踪轨迹信息被非法利用,可能会对权利人的人身安全造成紧迫的威胁。《2017年解释》中对于行踪轨迹信息入罪标准的规定是最低的:“非法获取、出售或者提供行踪轨迹信息50以上”的,即构成犯罪。由于《2017年解释》中对行踪轨迹信息规定了极低的入罪标准,所以司法认定时应对其范围做严格把控,应将其范围限制在能直接定位特定自然人具体位置的信息,如车辆轨迹信息和GPS定位信息等。实践中,信息的交易价格也可以作为判定其是否属于“行踪轨迹信息”的参考,因为行踪轨迹信息的价格通常最为昂贵。
对于行为人获取他人车票信息后判断出他人的行踪的情况,载于车票的信息不宜被认定为《2017年解释》所规定的“行踪轨迹信息”,因为该信息只能让行为人知道信息主体大概的活动轨迹,并不能对其进行准确定位。
2.如何把握“财产信息”的范围
财产信息是指房产、存款等能够反映公民个人财产状况的信息。对于财产信息的判断,可以从两方面进行把握:一是要综合考量主客观因素,因为犯罪应是主客观相统一的结果;而是考虑到敏感个人信息的入罪门槛已经极低,实践中应严格把握其范围。
以此案为例:行为人为了推销车辆保险,从车辆管理机构非法获取了车主姓名、电话、车型等信息。此案中的信息不宜认定为“财产信息”。因为行为人的主观目的不是侵犯信息主体的人身、财产安全,最多只会对行为人的生活安宁带来一定的影响,因而应适用非敏感公民个人信息的入罪标准。
(三)不宜纳入本罪保护对象的公开的个人信息的认定
信息主体已经公开的个人信息是否属于 “公民个人信息”的范畴,理论界存在观点分歧。笔者认为,“公民个人信息”不以隐私性为必要特征,因为《2017年解释》第1条并为采用“涉及个人隐私信息”的表述,而是以识别性作为判断标准。因此,信息的公开与否并不影响其是否可以被认定为“公民个人信息”。
对于权利人主动公开的个人信息,行为人获取相关信息的行为显然合法,且其后出售、提供的行为,当前也不宜认定为犯罪。理由如下:第一,在我国的立法和司法中,曾以“隐私性”作为界定公民个人信息的核心属性,可见公民个人信息在一定程度上是从隐私权中分离出来的权利,所以侵犯公民个人信息罪侧重于对公民隐私和生活安宁的保护。权利人之所以自愿甚至主动公开其个人信息,说明这部分信息即便被获取、出售,也通常不会对其个人隐私和生活安宁造成侵犯,因此不应纳入刑法保护范围内;第二,根据刑法第253条之一的规定,向他人出售或提供公民个人信息,只有在违反国家有关规定的前提下才构成犯罪。对于已经公开的公民个人信息,行为人获取后向他人出售或提供的行为在我国缺乏相关法律规定的情况下,应推定为存在权利人的概括同意,不需要二次授权,也就是说不应认定行为人对获取的已经由权利人公开的个人信息的出售和提供行为系“违法国家有关规定”。第三,在我国个人信息保护机制尚未健全、侵犯公民个人信息犯罪高发的背景下,应将实践中较为多发的侵犯权利人未公开的个人信息的案件作为打击的重点。
对于权利人被动公开的个人信息,行为人获取相关信息的行为可以认定为合法,但如果后续的出售或提供行为违背了权利人意愿,侵犯到了其个人隐私和生活安宁,或是对权利人人身安全、财产安全造成了威胁,则应根据实际情况以侵犯公民个人信息罪论处。
对于权利人被动公开的个人信息,行为人对相关信息的获取一般来说是合法的,但是获取信息之后的出售、提供行为如果对信息主体的人身安全、财产安全或是私生活安宁造成了侵犯,且信息主体对其相关个人信息有强烈保护意愿,则应据其情节认定为侵犯公民个人信息犯罪。
五、结语
大数据时代,个人信息对个人、组织、社会乃至国家均具有重要价值,由此也滋生了越来越多的侵犯个人信息犯罪。“公民个人信息”作为侵犯公民个人信息罪的犯罪对象,其概念界定、特征分析、与相关概念的区分以及司法认定对于打击相关犯罪、保护公民个人信息具有重要意义。通过本文的研究,形成以下结论性的认识:第一,界定公民个人信息的原则。一是应遵循刑法的谦抑性原则,保证打击范围既不过宽而导致国家刑罚资源的浪费和可操作性的降低,也不过窄而使公民个人信息权益得不到应有的保障。二是应遵循权利保护与信息流通相平衡原则,在保障公民人身、财产权利不受侵犯的同时不妨碍信息正常的流通。三是应遵个人利益与公众利益相协调原则,允许个人利益对公共利益做出适当让步,但杜绝对个人利益的侵害和过度限制。第二,公民个人信息之“公民”应包括外国籍人和无国籍人,不应包括死者和法人。公民个人信息之“个人信息”应采取“识别说”进行界定,可以识别特定自然人是刑法上公民个人信息的根本属性。除了可识别性,刑法意义上的公民个人信息还应具有客观真实性、价值性等特征可作为辅助判断标准。还应注意个人信息与个人隐私、个人数据等相关概念的区分,避免在司法实践中出现混淆。第三,一般个人信息的认定。“可识别性”是其判断的难点,可以从行为人主观目的、信息对其主体人身和财产安全的重要程度和信息需与其他信息的结合程度这三个方面综合分析判断;对于行踪轨迹信息、财产信息等敏感个人信息,由于其入罪门槛低、处罚力度大,应严格把控其范围并结合行为人主观心理态度进行考量;对于信息主体已经公开的个人信息,应分情况讨论,对于信息主体主动公开的个人信息,行为人对其获取、出售和提供,不应认定为侵犯公民个人信息罪,对于信息主体被动公开的个人信息,行为人对信息的获取是合法的,但其后出售、提供的行为,可以依实际情况以侵犯公民个人信息犯罪论处。
希望本文的论述能够对我国个人信息保护体系的完善贡献微小的力量。
⑵ 微博如何回应被立案调查
8月11日国家网信办发布消息,微博等三网站因存在有用户传播 暴 力 恐 怖、虚 假 谣 言、淫 秽 色 情 等危害国家安全、公共安全、社会秩序的信息,涉嫌违反《网络安全法》等法律法规。北京市、广东省网信办已依法展开调查,并将发布案件后续进展情况。
微博深知所背负的责任和担当。下一步,微博将通过产品、技术和运营的持续创新,不断升级技术和人工防控措施,坚持打击谣言信息、暴恐信息、色情信息等不良内容,持续提升对不良信息的发现和处置能力,引导和鼓励网友举报,并加大举报处理力度,为网友营造清朗、健康、有序的网络空间。
希望微博能够早日解决此事,保障用户的正常使用。
⑶ 滴滴的危机,酒店业的“审判”还远吗
当头一棒,没有人预想到事情会进展得那么快。
7月4号晚上,国家互联网信息办公室依据《中华人民共和国网络安全法》,通知所有应用商店下架“滴滴出行”APP。
众所周知, 旅游 酒店业此前也频爆“数据泄露”丑闻。“数据安全”话题再次提到一个新的高度, 旅游 酒店行业的数据监管还远吗?
01
数据的安全
没有一个企业是无辜的
昨天网络公示的新闻称,将对“滴滴出行”实施网络安全审查,审查期间“滴滴出行”停止新用户注册,滴滴回应将积极配合网络安全审查。理论上这个审查需要60个工作日才能了结,没想到才过了2天,就来了个斩立决。
官网截图
酒店行业以旁观者看“滴滴”,殊不知酒店行业的当下已是“火烧眉毛”的处境。
近年来,攻击者已经入侵了多家大型连锁酒店的网络,暴露泄漏了数亿客人的信息。根据最近的行业报告,在2020年因网络安全漏洞而受到影响的行业中,酒店业排名第三,酒店行业遭受的攻击事件占总数的13%。
这些漏洞中约有三分之二是对酒店企业服务器的攻击,因为这些服务器通常存储来宾信息并与现场财产管理系统进行通信。此类网络攻击行为可能损害酒店企业声誉,破坏运营并造成巨大的财务损失。
事实上,统计万豪、洲际、希尔顿、凯悦、文华东方和华住等酒店集团均遭遇过用户数据泄露事件,涵盖用户数量已近10亿人次。以下是最近几年发生在酒店行业的部分数据泄漏事件:
2014年和2015年: 希尔顿酒店集团,泄露信息涉及超过36万条支付卡数据;
2017年4月: 洲际酒店集团,数据泄露涉及超过全球1000家酒店;
2017年10月: 凯悦酒店集团,泄露数据涉及全球的41家凯悦酒店。
2018年8月: 华住酒店集团,泄露5亿条数据,并在暗网被售卖;
2018年10月: 丽笙(Radisson)酒店,具体泄露数据量未公布;
2018年11月: 万豪酒店,数据泄露520万酒店客户个人信息;
2019年: 美高梅度假村的数据泄漏事件所带来的影响远比最初报道的要大,截至目前,已影响超过1.42亿酒店客人,不仅仅是媒体最初于2020年2月初报告的1060万人人数。
02
想得太简单
数据危机在哪里?
随着个人数据的价值越来越大,加上酒店在个人信息数据的管理和使用上存在风险和漏洞,使其成为黑客攻击的主要目标,数据泄露频繁发生,谈论酒店行业数据风波的警醒意义,都显得有些许无力。
酒店业虽然是住宿业态,但是它有非常原始的一手数据,比如你的姓名,手机号,常去的地址,入住酒店的频率,例如嗜好,习惯,职业,兴趣爱好,灰色事宜等等。如果把这些信息汇总起来,大体可以勾画出你这个人的人物形象。
对于普通老百姓来说,这些信息除了增加数据库储存空间以外,没有任何价值,但是一些敏感的人物和地点就完全不一样了。
举个例子,在官方地图上,某块区域是一片空白,但是总有那么几个固定的注册用户,会定时往返这个区域,那么大家认为这个区域会用来干嘛?
再或者若干位特定用户,比如参加国家级的某场会议的手机号集中出现在了某地,但当地近期并无召开会议的安排,那很有可能是一些重大且敏感的变化。
这些数据的珍贵程度超乎想象。未来一段时间中国将面临严重的泄密风险。
现在中国这些互联网垄断企业,掌握了大量的用户信息,而这些线上信息和线下的用户行为是息息相关的,只要对手愿意提供辅助算法,绝对可以模拟出真实的 社会 环境。以各位的智商,这个“对手”与“风险”是谁,就不用我多说了吧。
03
数据的安全
酒店业需要提早预见
鉴于酒店行业屡次犯错的事实,必须在对用户信息的管理上,树立起绝对的红线。酒店业的星级评定标准,也该及时升级,将数据库的防护水平纳入考量范围,倒逼酒店加大信息安全投入。
个人信息泄漏事件,无疑将重大影响酒店品牌的形象,也消耗了业主的信任,甚至影响到财务安全业务的开展。
在加强培训和优化系统之余,酒店当前最需要完成的是对信息安全的保障及信任框架的建立。对之前已发生过数据泄露的酒店而言,对数据的保护尤其重要。同时消费者应该拥有知情权,知道获取信息的目的及个人信息的明确用途,巧立名目获取与服务无关信息的商家,必将失去消费者的信任。
您可能觉得酒店管理系统没那么脆弱,实际上比您想象中的更脆弱,像摇摇欲坠的墙,只差人去推一把。酒店IT人员一般不会去推的,他们往往比较辛苦,但是实话说酒店行业IT待遇太差,所以高手一般都不愿呆在那儿,入门人员和混日子的IT人也没有水平和心思琢磨这些。他们宁愿让厂商来维护,而厂商的人员会在自家的管理系统中埋个逻辑炸弹么?当然有可能,特别是想让酒店续费或升级之时。不过也不要以为酒店管理系统的工程师水平有多高超,就是系统支持,弄台服务器,安装个服务器端软件,搞个培训嘛!没事儿折腾那东西干什么?产品中设置一个授权时间,到时报警或停用不就得了,用得了下逻辑炸弹?
留给行业的问题是:这个成本谁来买单呢?
⑷ 我国颁布了几部关于网络的法律法规
我国颁布了关于网络的法律法规主要有以下四部。
国家和网络安全职能部门下发的有关网络安全的政策及法律:
《中华人民共和国网络安全法》
介绍:2017年6月1日,《中华人民共和国网络安全法》正式实施,作为我国第一部全面规范网络空间安全管理方面问题的基础性法律,《网络安全法》是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。
《互联网新闻信息服务管理规定》
介绍:《互联网新闻信息服务管理规定》最初由2005年9月25日实施,由于个别组织和个人在通过新媒体方式提供新闻信息服务时,存在肆意篡改、嫁接、虚构新闻信息等情况,2017年5月2日国家互联网信息办公室对外公布新版本,正式实施时间是2017年6月1日。
《公安机关互联网安全监督检查规定》
介绍:2018年11月1日,公安部发布《公安机关互联网安全监督检查规定》。根据规定,公安机关应当根据网络安全防范需要和网络安全风险隐患的具体情况,对互联网服务提供者和联网使用单位开展监督检查。
《互联网网络安全突发事件应急预案》
介绍:2017年11月23日,工业和信息化部印发《公共互联网网络安全突发事件应急预案》。要求部应急办和各省(自治区、直辖市)通信管理局应当及时汇总分析突发事件隐患和预警信息。
(4)网络安全法审判是哪一日涉嫌的扩展阅读:
最高人民法院关于互联网法院审理案件若干问题的规定
为规范互联网法院诉讼活动,保护当事人及其他诉讼参与人合法权益,确保公正高效审理案件,根据《中华人民共和国民事诉讼法》《中华人民共和国行政诉讼法》等法律,结合人民法院审判工作实际,就互联网法院审理案件相关问题规定如下。
第一条 互联网法院采取在线方式审理案件,案件的受理、送达、调解、证据交换、庭前准备、庭审、宣判等诉讼环节一般应当在线上完成。
根据当事人申请或者案件审理需要,互联网法院可以决定在线下完成部分诉讼环节。第五条 互联网法院应当建设互联网诉讼平台(以下简称诉讼平台),作为法院办理案件和当事人及其他诉讼参与人实施诉讼行为的专用平台。通过诉讼平台作出的诉讼行为,具有法律效力。
互联网法院审理案件所需涉案数据,电子商务平台经营者、网络服务提供商、相关国家机关应当提供,并有序接入诉讼平台,由互联网法院在线核实、实时固定、安全管理。诉讼平台对涉案数据的存储和使用,应当符合《中华人民共和国网络安全法》等法律法规的规定。
第六条 当事人及其他诉讼参与人使用诉讼平台实施诉讼行为的,应当通过证件证照比对、生物特征识别或者国家统一身份认证平台认证等在线方式完成身份认证,并取得登录诉讼平台的专用账号。
使用专用账号登录诉讼平台所作出的行为,视为被认证人本人行为,但因诉讼平台技术原因导致系统错误,或者被认证人能够证明诉讼平台账号被盗用的除外
⑸ 2017年6月1日起实施的法律
一、《中华人民共和国网络安全法》
《网络安全法》2016年11月7日由第十二届全国人民代表大会常务委员会第二十四次会议通过,自2017年6月1日起施行,是我国网络领域的基础性法律。明确加强对个人信息保护;对攻击、破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施;增加惩治网络诈骗等新型网络违法犯罪活动的规定等。
二、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》分别于2017年3月20日由最高人民法院审判委员会第1712次会议、2017年4月26日由最高人民检察院第十二届检察委员会第63次会议通过,自2017年6月1日起施行,是“两高”首次就打击侵犯公民个人信息犯罪出台司法解释。规定非法获取、出售或者提供50条以上即入罪,在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到司法解释规定的相关标准一半以上的,即可构成犯罪。首次明确“人肉搜索”案件中,行为人未经权利人同意即将其身份、照片、姓名、生活细节等个人信息公布于众,情节严重的,处三年以下有期徒刑或者拘役。
三、《民用无人驾驶航空器实名制登记管理规定》
《民用无人驾驶航空器实名制登记管理规定》于2017年5月16日由中国民用航空局航空器适航审定司发布,要求自2017年6月1日起,民用无人机制造商和民用无人机拥有者必须在“中国民用航空局民用无人机实名登记系统”(https://uas.caac.gov.cn)上申请账户,对于最大起飞重量为 250 克以上(含 250 克)的民用无人机,制造商在系统中填报其所有产品的信息,拥有者在该系统实名登记其个人及其拥有的产品的信息,并将系统给定的登记标志粘贴在无人机上。
四、新修订的《农药管理条例》
修订后的《农药管理条例》于2017年6月1日起施行,国家鼓励和支持研制、生产、使用安全、高效、经济的农药,推进农药专业化使用,促进农药产业升级。农药生产企业、农药经营者应当对其生产、经营的农药的安全性、有效性负责,自觉接受政府监管和社会监督。
五、《互联网新闻信息服务许可管理实施细则》
《互联网新闻信息服务许可管理实施细则》由国家互联网信息办公室5月22日公布,自2017年6月1日起施行。明确通过互联网站、应用程序、论坛、博客、微博客、公众账号、即时通信工具、网络直播等形式向社会公众提供互联网新闻信息服务,应当取得互联网新闻信息服务许可,禁止未经许可或超越许可范围开展互联网新闻信息服务活动。《互联网新闻信息服务许可证》有效期为三年。
六、《网络产品和服务安全审查办法(试行)》
《网络产品和服务安全审查办法(试行)》自2017年6月1日起实施,关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查。
七、《互联网信息内容管理行政执法程序规定》
《互联网信息内容管理行政执法程序规定》自2017年6月1日起正式施行。旨在规范和保障互联网信息内容管理部门依法履行行政执法职责,正确实施行政处罚,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康有序发展。
八、《海关总署关于暂不予放行旅客行李物品暂存有关事项的公告》
《关于暂不予放行旅客行李物品暂存有关事项的公告》由海关总署2016年3月15日发布,于2017年6月1日正式施行。明确规定了5类不能入境的行李:(1)旅客不能当场缴纳进境物品税款的;(2)进出境的物品属于许可证件管理的范围,但旅客不能当场提交的;(3)进出境的物品超出自用合理数量,按规定应当办理货物报关手续或其他海关手续,其尚未办理的;(4)对进出境物品的属性、内容存疑,需要由有关主管部门进行认定、鉴定、验核的;(5)按规定暂不予以放行的其他行李物品。不予以放行的行李物品,可以暂存。(附件:海关暂不予放行旅客行李物品暂存凭单.doc)
九、新版《大中型水利水电工程建设征地补偿和移民安置条例》
《国务院关于修改〈大中型水利水电工程建设征地补偿和移民安置条例〉的决定》,自2017年6月1日起施行。大中型水利水电工程建设征收土地的土地补偿费和安置补助费,实行与铁路等基础设施项目用地同等补偿标准,按照被征收土地所在省、自治区、直辖市规定的标准执行。
⑹ 中华人民共和国网络安全法的涉及内容
据他介绍,去年自己公司的一个网络信息数据被人非法窃取,给公司带来经济损失。为追责任他启动了调查程序,发现存在两个尴尬问题:一是当前的互联网信息,没有完善齐备的立法保护,这导致追责困难。二是公司的知识产权信息被窃取外泄,涉嫌被侵权却无法维权。
鉴于此,刘伟针对互联网安全信息,进行了一番调研。据其介绍我国是名副其实的网络大国,但同时也是遭受网络攻击最严重的国家之一。网络信息泄露和滥用、垃圾广告短信干扰等事件层出不穷,黑客攻击、网络诈骗等违法犯罪日益猖獗。网络安全已成为广大网民的一块“心病”。数据显示,有74%的网民在过去半年内遇到网络安全事件。
网络安全问题不仅干扰企业、网民的正常生产和生活秩序,而且也威胁到国家安全。
网络安全立法存在短板
刘伟表示,法律是治国之重器。随着网络安全问题越演越烈,国家应意识到只有立法才是有效解决网络安全的根本出路。党的十八大四中全会曾明确提出“加强互联网领域立法”,接着国家也陆续制定了一些规范网络安全方面的法律法规和规范性文件,但整体来看仍存在许多短板,具体表现在三个方面。
一是立法理念落后。过于注重从行政管理、刑事制裁角度保护网络安全,而保护公民信息安全权利的内容不足;重管理轻服务,重视收费、审批以及事后追究、处罚,对于服务条款规定较少。二是立法结构不合理,网络安全基本法缺位,而层级较低的部门规章占比过高。三是规定之间协调性不足,操作性不强。如网络安全与个人隐私保护之间的争议至今尚未有效解决。
刘伟称,美国国会早就通过了《网络安全法》(2009),还从加强网络基础设施保护,打击网络犯罪、规范网络信息搜集等方面颁布了一系列法律。而日本也于2014年通过了《网络安全基本法》还将《刑法》的内容延伸到网络领域,增加计算机犯罪条款等。他表示,为更好保护国家网络与信息安全,应该尽快制定《中华人民共和国网络安全法》。
⑺ 滴滴被罚款80.26亿元,程维、柳青各罚100万元,这是为什么呢
2022年7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。那么问题来了,滴滴为什么被处以巨额罚款呢?
滴滴存在16项违法事实
国家互联网信息办公室有关负责人介绍,2021年7月,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《国家安全法》《网络安全法》,网络安全审查办公室按照《网络安全审查办法》对滴滴公司实施网络安全审查。
综合考虑滴滴公司违法行为的性质、持续时间、危害及情形,对滴滴公司作出网络安全审查相关行政处罚的决定的主要依据是《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等有关规定。滴滴公司董事长兼CEO程维、总裁柳青,对违法行为负主管责任。
⑻ 迷你世界和我的世界打官司,到底谁会赢
谁会赢现在还不能确定,因为最终审判还未下来,不过根据报道,应该是我的世界胜算更大一点。
以下是我的世界的相关介绍:
《我的世界》是由MojangStudios开发,在中国由网易代理的沙盒式建造游戏,游戏于2017年8月8日在中国大陆独家运营。
游戏创始人为马库斯·佩尔松,也称为notch,其灵感源于《无尽矿工》、《矮人要塞》和《地下城守护者》。
玩家可以在游戏中的三维空间里创造和破坏林林总总的方块,甚至在多人服务器与单人世界中体验不同的游戏模式,在高度的自由中,玩家们也自己创作出了大大小小的玩法,打造精美的建筑物,创造物和艺术品。且游戏平台已囊括了移动设备和游戏主机。
游戏着重于让玩家去探索、交互、并且改变一个由一立方米大小的方块动态生成的地图。除了方块以外,环境单体还包括植物、生物与物品。游戏里的各种活动包括采集矿石、与敌对生物战斗、合成新的方块与收集各种在游戏中找到的资源的工具。
以上资料参考网络——我的世界
⑼ “跑分平台为套路贷”洗钱一案,涉案人员会面临什么刑法
这些涉案人员一旦面临被抓捕了,那么就会引受到相关法律的制裁,因为操作者他是代替人收钱也就是收款。而这些收款来的钱,可能就被用于洗钱啊,或者是其他的一些电信网络诈骗的懒违法交易使用。
而他们却不知道,如果犯罪平台跑路,那么他们账户将遭受经济损失。
其实在简单点说,“跑分平台”就是利用自己的网络支付收款码,替别人代收款,从而收取中间价。
所以在平常生活当中,自己的一些二维码,支付宝之类的一些支付的一些二维码千万不要出售或者说出借给别人。因为这是自己个人的一个金融账户,它里面包含了我们自己的一些银行卡号,还有一些手机的一些支付密码,还有提现的一些渠道啊之类的。一旦一卖给别人的话,那么那些人可能就会利用我们的这些行为信息去犯罪。到时候的话,不仅自己的一些银行卡上的钱会受到损失,可能还会引起一些纠纷。
所以无论是个人还是做生意的伙伴们,一定要注意这方面的一些意识。千万不要贪图小便宜,或者说为了几百块钱就把自己的信息随便卖给别人。