第一节 网络数据安全与个人信息安全的宏观审视
近年来,随着网络信息技术、电子商务的发展,公民个人信息背后所承载的价值利益也在与日俱增,导致窃取、交易公民个人信息的侵权乃至犯罪案例屡见报端。在搜索引擎中输入“买卖个人信息”“信息交易”进行检索,可以发现进行个人信息交易广告、公民个人信息泄露以及各地公安机关破获此类案件的报道层出不穷。这种针对公民个人信息实施的违法犯罪行为已经呈现出高发态势,其原因主要在于:一方面,信息社会中获取他人信息相对简便、成本低廉,导致侵犯公民个人信息的违法犯罪行为开始不断增多;另一方面,随着公民个人信息承载越来越多的社会内容和利益,任何一个普通公众的个人信息尤其是身份信息都可以作为谋取便捷、舒适生活的手段,甚至可以作为实施犯罪的“通行证”,侵犯公民个人信息犯罪开始爆发式增长。
大数据时代背景下,信息作为生产要素的地位日益凸显,大数据成为推动社会生产、生活变革的核心推动力。未来学家阿尔温·托夫勒曾经预言:“谁掌握了信息,控制了网络,谁就拥有整个世界。”[4]阿尔温·托夫勒曾在他的《权力的转移》一书中说道:“世界已经离开了暴力与金钱控制的时代,而未来世界政治的魔方将控制在拥有强权人的手里,他们会使用手中掌握的网络控制权、信息发布权,达到暴力金钱无法征服的目的。”[5]因此,在当前的信息网络背景下,信息与数据成为主要的利益与财富。需要明确的是,数据安全与信息安全的概念应有所差异。一般而言,数据的外延要远远大于信息的外延,比如,大到网络空间中存储的视频、音频、图片等;小到个人计算机终端所存储的影视、文档等,都属于数据的范畴。信息的概念则相对较小,一般指个体所获得的外界认知和知识,属于知识的上位概念。因此,数据安全的外延要相应地大于信息安全的外延。
一、网络数据与个人信息安全的时代议题
随着当前网络数据具备价值的迅速提升,而且当今社会的发展基础几乎都离不开网络数据的支持,因此,网络数据成为网络空间中的核心利益。与之相伴,数据安全与公民个人信息安全的全面防护也成为刑法所面临的重要课题和挑战之一。
(一)大数据时代下的数据现状解读
对于大部分网络用户来讲,网络的直接用途就是数据[6]的存储和处理,这既包括用户自身生产和生活中所获得的各种数据信息,也包括与他人进行数据交换使用与他人有关的数据。一般认为,在网络空间中,“数据”(Data)有广义和狭义之分。“广义的数据是指存储于计算机系统中的所有信息;狭义的数据则指存储于计算机系统中的,除计算机程序以外的一切信息资料,即由计算机系统用户采集并输入计算机系统的,并非本系统所不可缺少的信息。”[7]因此,这种数据的特性也使得对大数据的经济价值的把握存在不稳定性。
进一步讲,信息资源具有可再生性和可复制性,并且其财产属性具有特定性,在某种环境具备财产属性的信息离开特定环境则可能分文不值。信息的获得和深层挖掘往往需要投入大量人力物力,信息在特定条件下的专有化保护具备合理性。但是否给予财产化保护,是否纳入财物犯罪的打击半径之内值得考虑。尤其是随着零售业之间的竞争越来越激烈,根据网络数据向公众提供有针对性的服务显得更加重要。在这种背景下,数据收集成为一种必不可少的市场手段。因此,数据逐渐具备了商业价值,拥有数据本身,已经像拥有资本或者土地一样重要,这向我们昭示着:信息不只是力量,还是财富。[8]
(二)大数据推动网络数据权益增生
信息的占有和控制在当前已经成为“衡量国家间利益均衡的一个重要参数,对信息的开发、控制和利用成为国家间利益争夺的重要内容”。[9]比如,美国环球电影公司1992年发行的电影《诡秘者(Sneakers)》,世界不再由武器、能源或金钱控制,而是由1和0来控制——那是以比特计量的数据,全部是电子……那儿有一场战争,一场世界大战。它不是关于谁有最多的子弹,而是关于谁控制着信息——我们的所见所闻,我们如何工作,我们的想法,等等,那些全部是信息。[10]
二、大数据时代下数据安全与个人信息安全问题凸显
信息时代背景下,网络数据逐渐成为社会运行的基础性要素,并逐渐成为重要的生产力要素。信息技术的特点以及网络的开放性,使得网络犯罪的成本极低,同时由于网络的虚拟性给网络犯罪提供了较好的伪装与掩护,使得网络犯罪具有高度的隐蔽性。但是,真正的危险并不是信息失窃被用于令人反感的推销,而是用于其他犯罪目的的人。
(一)新的犯罪“兴奋点”:网络数据犯罪日渐高发
从客观角度讲,计算机信息系统存储数据逐渐成为财富的象征,成为犯罪人觊觎的目标。加之计算机信息系统自身的脆弱性,使其极易成为犯罪攻击的目标。计算机信息系统中,信息与“财富”高度集中,这种信息与财富的高度集中使得网络犯罪获利极大,比实施传统犯罪获取的经济回报高成千上万倍。这样的趋势使那些代表货币的计算机信号很容易遭到拦截、偷窃。高明的银行抢劫犯可以不动刀枪就抢劫银行,他们可能躲在世界上任何一个角落,通过电话和互联网达到抢劫的目的。但这仅仅是一般的偷盗,如果公司的信息资源管理不善,就会有信息挟持、恐怖和破坏的犯罪行为发生。有价值的信息存在哪里,哪里就会变成信息犯罪分子或者犯罪组织攻击的目标。数字化犯罪最主要的一部分是围绕着利用互联网(计算机社会赖以存在和发展的通信方式)犯罪。
(二)全面沦陷:公民个人信息安全危机四伏
个人信息侵权案件早已被公众熟知,只是随着信息技术的发展以及侵害公民个人信息违法犯罪行为的日益增多,信息犯罪逐渐在更广阔的社会生活中产生更大的社会危害性,因而引发更多的社会关注。传统社会中,个人信息的用途和使用范围都比较有限,非法获取公众的个人信息一般难以获得巨大的经济利益,因此,传统社会的侵犯公民个人信息犯罪总体上不是很多。但是,在信息高度发达的当今社会,公民个人信息承载了更多的价值和内容,各种个人信息成为电子交易、入学就业的凭证,比如身份证号码、姓名、性别、出生日期、职业、银行户名及账号、家庭住址等,这些信息在某种程度上成为确认一个人身份的手段和凭证。
随着我国社会信息化步伐加快,公民个人信息的使用几乎已经融入生活的方方面面,每天接触的各行各业似乎都在收集、整理客户个人信息,飞机票、火车票需要身份证,办理银行卡、手机卡需要身份证,而且随着网络信息技术、电子商务的发展,邮箱、QQ、微博也需要提供个人信息。正是个人信息的频繁“曝光”,给信息安全带来了巨大的隐患,人民网此前开展了一次有关个人信息泄露的调查,结果显示,90%的网友曾遭遇个人信息被泄露;有94%的网友认为,当前个人信息泄露问题非常严重。[11]在我国信息化程度迅速提高的背景下,个人信息被非法传播的速度和广度无限放大,使得非法买卖个人信息更加肆虐,俨然在网络空间形成一张巨大的信息犯罪网络。比如,2011年9月,北京警方宣布抓获一个专门在网上买卖公民个人信息的犯罪团伙。在犯罪嫌疑人的电脑中,警方发现了一个涉及全国上千万条公民个人信息的数据库。当民警破解了这个加密的数据库后发现,只需按条件进行检索,屏幕上就会显示出公民的姓名、年龄、地址、名下车辆等详细信息。办案民警试着将自己的手机号输入数据库,结果几秒钟后屏幕上就显示出与这个号码有关的大量信息。[12]
(三)当前侵犯公民个人信息犯罪的特征剖析
近几年来,随着个人信息交易日趋便捷,侵犯公民个人信息犯罪呈现出日益高发的态势。从犯罪类型来看,目前侵犯公民个人信息的犯罪行为,在犯罪主体上正在由以特殊主体为主转向多种主体并存,在犯罪对象上正在迅速地扩张至几乎所有的行业信息。同时,侵犯公民个人信息的犯罪产业链开始逐渐形成。
1.犯罪主体逐渐从特定单位公职人员转向一般主体
一般来说,侵害公民个人信息的行为主体主要是国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,他们在本单位履行职责或者提供服务过程中能够掌握和接触大量公民个人信息,这也是早期针对侵害公民个人信息犯罪主要打击的对象。随着信息社会的深入,能够方便获取公民个人信息的主体早已不再局限于上述单位的工作人员,公民日常接触的房地产公司、物业公司、中介机构、高级会所等服务机构,正成为大肆侵犯公民个人信息的罪魁祸首和“生力军”。比如,在北京破获的一起侵犯公民个人信息案中,存储着数百“G”的公民个人网络数据,涉及几乎全国所有省份,信息内容门类众多,从姓名、电话、住址、房产、车辆到手机通话详单、乘坐航班记录,详细程度令人咋舌。据警方掌握的大量证据显示,泄露个人信息的源头大都是相关单位或部门的工作人员,其中有公务员,也有企业职工,有正式员工,也有临时聘用人员,涉及金融、电信、教育、医院、国土、工商、民航等各个行业。[13]无独有偶,中国青年报社会调查中心曾对2422名公众对于他们心目中认为泄露个人信息最多的源头进行调查,调查结果显示:在公众心目中,泄露个人信息最多的前三位分别是电信机构(76%)、招聘网站和猎头公司(47%)以及各类中介机构(41.9%)。[14]
2.侵犯个人信息犯罪的产业链逐渐形成
当前,随着网上买卖个人信息日益猖獗,侵犯公民个人信息的违法犯罪行为在分工上更加精细化。犯罪人往往利用盗号木马、后门病毒、假冒网站等窃取大量用户数据牟取暴利,包括网络购物账号、网银账号和密码等,从网络木马、病毒等恶意程序的制作传播,到个人信息的窃取,销赃等各环节实现了基本的“流水作业”,构成了完整的黑色产业链条。比如,在近期由浙江省公安厅集中开展的打击侵害公民个人信息犯罪专项行动中,发现网上非法买卖个人信息犯罪已形成由源头、中间商及非法调查公司三部分组成的地下“产业链”,他们结成犯罪网络和利益链条,且作案隐蔽,内外勾结,与诈骗等下游犯罪相互交织。在身份信息犯罪产业链中,总体上可以分为信息源头、中间交易平台和下游需求方三个层次。公民个人信息犯罪的源头主要来自能够接触公民个人信息的部分国家机关、企事业单位的工作人员,当然也包括如上所述的国家机关或者金融、电信、交通、教育、医疗等单位的工作人员。“中间商”作为公民个人信息交易和扩散的数据平台,在侵害公民个人信息犯罪链条中起着联系作用。他们要么从信息“源头”不断买入新的信息,要么通过网络相互进行信息交换、网络挖掘等非法手段扩容占有的信息量,这使他们在向下游行为人非法出卖公民个人信息的同时,掌握了大量的网络数据。
3.犯罪被害人不确定
侵害公民个人信息犯罪作为网络犯罪的一种形式,同样具备“非接触式”犯罪的特点,这种犯罪指向的被害人在数量、规模以及地域上均具有无限的延展性和跨越性,正是这种特点使此类犯罪的被害人往往在信息被非法出卖后仍然不得而知。这与传统犯罪中犯罪人—被害人的直接接触关系有明显的不同,比如传统的盗窃罪中,犯罪人对被害人实施盗窃后,被害人能够在第一时间发现并报案,但是如果个人信息被窃取或者非法买卖,被害人根本无从知晓,除非针对自己实施的下游犯罪已经发生。
(四)侵犯公民个人信息犯罪的社会危害性评价
侵犯公民个人信息犯罪严重破坏了被害人的正常生活,更为严重的是,侵害公民个人信息犯罪与各类诈骗等传统犯罪活动的联系日益密切,使其所具有的高危害性超过一般的财产诈骗或经济犯罪。
1.现实危害之一:严重危害公民的人身和财产安全
近年来,公民个人信息泄露已成蔓延之势,严重干扰了受害人的正常生活秩序和人身财产安全。实际上,个人信息被窃所带来的垃圾短信和骚扰电话不是最严重的后果,行为人还可能利用非法获取的公民身份证号码、身份证复印件或者电子扫描件等信息冒名申请电话卡或信用卡,并恶意透支。除此之外,像汽车驾驶证、行驶证等信息,也可能被不法分子利用伪造“套牌车”,而该“套牌车”的所有违法行为,均将记录在被“套牌”的车主名下。[15]随着信息时代的逐步推进,侵犯公民个人信息犯罪已经发展为全球性的严重犯罪之一,严重侵犯公民合法权益,破坏社会秩序的稳定。根据美国联邦贸易委员会(Federal Trade Commission,FTC)的统计显示,仅2002年一年,美国就有990万人的身份信息被盗用,由此给个人及银行等企业造成的损失达到530亿美元。[16]此外,值得注意的是,在当前信息化时代背景下,除了侵害公民个人信息的违法犯罪行为对公民个人造成的严重损害之外,在竞争愈加激烈的企业之间,企业所保存的客户信息作为许多企业的命脉,一旦泄露或者被窃取,将对企业自身造成严重的经济损失。因此,今后除了继续加强对侵害公民个人信息违法犯罪的打击之外,还应对企业信息的保护予以关注。
2.现实危害之二:公民个人信息泄露诱发诸多下游犯罪
如果说遭遇电话骚扰让当事人不堪重负,那么个人信息泄露滋生的电信诈骗、金融诈骗、敲诈勒索、入户盗窃、绑架等严重刑事犯罪更是成为危害公民人身财产和社会秩序的巨大阴霾。随着倒卖个人信息愈演愈烈,侵犯个人信息犯罪已初步形成了严密的犯罪产业链,并成为诈骗、敲诈勒索、绑架等下游犯罪的诱因和源头,一些非法提供个人信息者甚至沦为敲诈勒索、绑架等恶性犯罪的帮凶。可以说,近年来电信诈骗、网络诈骗犯罪的屡禁不止在很大程度上是源于侵犯公民个人信息犯罪的猖獗。
从公安机关目前已破获的案件情况看,犯罪人利用其所非法获取的公民个人信息,主要进行四类违法犯罪活动:(1)实施电信诈骗、网络诈骗等新型、非接触式犯罪,这在各地已破案件中占60%;(2)直接实施抢劫、敲诈勒索等严重暴力犯罪活动,这在各地已破案件中占30%;(3)实施非法商业竞争,利用非法获取的公民个人信息,收买客户,打压竞争对手;(4)调查婚姻、滋扰民众。这些公司利用购买的公民个人信息,介入婚姻纠纷、财产继承、债务纠纷等民事诉讼,对群众的正常生活造成极大困扰。[17]
因此,个人信息的乱象已然成为扰乱社会秩序、诱发下游犯罪的罪魁祸首,严重危害了国家信息安全和公民的安全感。随着信息化社会建设的逐步深入,侵犯公民个人信息犯罪对社会利益和国家利益的冲击、实际危害必将日益扩大,加大对于侵犯公民个人信息的法律制裁,对于危害严重的出售、非法提供他人个人信息的行为追究刑事责任,已经极有必要,而这也必将有利于极大地改观电信、金融诈骗等犯罪行为的高发态势。
3.现实危害之三:增强了传统犯罪的侦破难度
侵害公民个人信息犯罪在某种程度上是信息技术进步的产物,和其他新型网络犯罪一样,侵害公民个人信息违法犯罪行为依托虚拟网络,作案具有极强的隐蔽性。犯罪行为人进行信息倒卖活动时用的都是虚拟身份,完成交易后相关的虚拟身份和账号即被注销不再使用,这给相关的侦查工作带来了巨大困难,比如在信息买卖的过程中,上家和下家均是通过互联网联系,加之具体的受害人对于本人信息被非法买卖不知情,更使得相关犯罪行为不易被发现,这也在某种程度上使犯罪行为人更加有恃无恐,助长了犯罪人的嚣张气焰。同时,除了网络的虚拟性之外,网络的开放性也使大部分的信息犯罪案件往往涉及地域大、涉案范围广,这就给案件侦破过程带来了诸多不便,增加了制裁犯罪行为的难度。
三、静态数据向动态数据演变后对法益保护的挑战突出
数据安全内容经历了从“静态数据”向“动态数据”,从数据“静态安全”向数据“动态安全”的演进过程,前者主要表现为信息数据本身的风险,后者主要表现为数据处理活动的风险。在大数据背景下,作为“静态安全”的数据内容安全、作为“动态安全”的数据处理活动安全,同时面临犯罪侵害的危险,对数据安全的刑法保护提出了横向和纵向上的挑战。数据静态安全向动态安全演变后所带来的数据安全问题,主要体现在:横向上,数据安全法益保护的迫切性更为突出,在动态数据的各环节、各流程都产生了法益保护需求。从整体上讲,数据的动态安全主要面向数据处理活动的风险,包括数据存储、运算与分析安全、数据平台物理载体的安全、数据流转环节安全等数据自身的风险。随着大数据的海量性、高价值性,以及云计算平台的开放性和连通性的增强[18],数据处理活动越来越常态化、多样化和规模化,数据动态安全开始凸显出来。在大数据时代,数据的价值更多地源于企业数据利用相关的各种活动,随着数据业务向纵深拓展,企业在数据获取、利用、处理、挖掘、开发、交易、流通、生产的各个环节,都面临着严峻的安全风险和犯罪风险。
纵向上,数据安全犯罪内容开始转化,从私人领域不断向公共领域扩展:个人信息数据的网络化和透明化已经成为难以逆转的趋势,个人数据大规模地存在于政府机关、金融机构、社会服务组织、互联网企业等组织体中,不论个人是否直接参与互联网,脱离了信息主体个人控制的个人数据都在被广泛记录。[19]同时,个人数据的聚合以及社会运行对网络数据的依赖,也促使数据安全向社会公共生活领域扩展。海量的数据本身具有较高的社会价值,加之智能交通、智能电网、智慧城市等社会运行活动背后的重要信息系统、基础设施也需要公共数据资源的支持,一个社会的网络化智能化程度越高,公共数据安全的风险性和重要性也就越大。[20]因此,数据安全问题越来越影响到国家安全,尤其涉及国家政治、经济、文化等国家利益的大数据资源,数据安全问题不可避免地上升到国家战略高度。以数据的跨境流通为例,数据输出关涉数据主权、国家安全。