计算机司法鉴定实务中个人信息交易案件的研究与分析

徐元威　王永全

摘 要：个人信息安全和保护的问题一直是当下众多网络安全问题中的重中之重。对于个人而言，个人信息不仅涉及了自己的隐私，更涉及了自己的财产安全乃至人身安全。本文将从三个层面研究分析当前的个人信息安全保护方面的问题以及目前在司法鉴定领域对于个人信息交易案件的处理方式。第一层，从社会角度出发分析当前众多的个人信息安全问题和个人信息泄露所造成的危害；第二层，从法律角度研究分析当前法律对个人信息安全的保护以及其不足之处；第三层，司法鉴定实务角度谈谈当前对于个人信息交易案件的处理方式以及自己的优化方案。

关键词：个人信息 司法鉴定 个人信息交易 刑法

现如今，在计算机司法鉴定实务工作中，司法鉴定人员经常会接收到有关个人信息交易案件方面的委托。由于司法鉴定人员职业本身的性质和特点，在本文中，笔者将通过三个角度去研究分析当下人们所关注的个人信息交易案件。一是从社会角度；二是从法律角度；三是从计算机司法鉴定实务角度。同时这三个角度也是与司法鉴定人员日常生活工作联系最为紧密的。

一、从社会层面看待个人信息安全和保护

在信息化社会的今天，人们的生活已经和互联网紧密联系在了一起，尤其是以移动互联网、云计算、大数据、物联网等新兴技术为代表的“互联网+”时代给人们的日常生活带来了深刻的变革。越来越多的人们开始学习并利用互联网为自己的生活提供服务，与此同时，这也意味着越来越多的人变得愈发依赖互联网。

当下的大数据时代，人们在互联网上一举一动几乎都会被服务商所收集，而服务商则通过收集这些海量数据，通过云计算以及深度学习算法进行数据优化，给用户更好的个性化服务。在“互联网+”时代，人们每当使用一款产品，基本都需要进行注册，而用户则在不知不觉中，自然而然地将自己的个人信息乃至一些重要的隐私信息留在了众多的服务商的数据库中。

黑客等其他众多犯罪分子则通过技术手段非法获取个人信息实施犯罪、谋取大量利益，不仅侵犯了公民的隐私，损害了公民的财产，甚至对公民的人身安全造成巨大威胁，对社会造成了巨大的危害性。

（一）个人信息交易已形成专业化分工的黑色产业链

公安部网络技术研发中心主任许剑卓称，公安机关一直都非常重视打击侵犯公民个人信息类型的案件。仅2016年这一年，全国公安机关就侦破网络侵犯公民個人信息案件数量达2100多起，查获公民个人信息达500多亿条，抓获的犯罪嫌疑人达5千多人，其中属于各行业内部的人员就有450多人[1]。

个人信息非法交易已经形成了涵盖了个人信息泄露、传播、交易、非法应用获利等各环节的专业化分工的黑色产业链。其中，个人信息泄露环节主要是通过黑客窃取与内部工作人员泄露为两大来源 ；个人信息传播交易环节，则是由于电子数据的易传播性通过“中间人”进行转手买卖；非法应用获利环节则具有多种表现形式，常见的有：电信诈骗、敲诈勒索、恶意注册、非法营销等方式。产业链示意图如下图1所示：

（二）个人信息犯罪的典型案例

1、2016年9月，在公安部、安徽省公安厅的统一指挥指导下，经过4个多月缜密侦查，蚌埠警方近日侦破一起特大盗取贩卖公民个人信息案，抓获涉案人员79名。在警方缴获的电子存储介质中，有公民个人信息数据近 50 亿条[2]。

据了解，这个犯罪团伙的活动业务范围覆盖了数据“产供销”整个黑色产业链，从数据的窃取、交换，到变现出售都有专门的人员负责。该团伙的犯罪嫌疑人主要采取两种方式实施犯罪，一、采取黑客手段，入侵国内外多家知名互联网公司服务器，大肆窃取公民个人信息等核心数据；二、对难以入侵的服务器，以应聘入职的方式潜入互联网公司的核心部门或相关部门，内外勾结实施作案。然后将窃取到的海量个人信息出售获利，或者通过相互交换以扩充数据库资源，为之后的黑客攻击提供支撑。

2、2017年最高人民检察院发布了几个近年来全国检察机关办理的侵犯公民个人信息犯罪案件的典型案例。韩某等侵犯公民个人信息案，本案涉及国家工作人员与销售商勾结，买卖婴儿信息数量达几十万条，给家庭生活造成困扰，案件引发社会关注；章某某等诈骗、侵犯公民个人信息案。本案被告人通过百度及QQ 向他人购买学生个人信息，拨打学生家长电话，先后冒充学校及教育局工作人员，以领取学生助学补助金为幌子，骗取钱财，不仅侵犯了学生及学生家长的个人信息和财产安全，还破坏了学校的正常教学秩序和教育系统声誉，社会危害极大。 [3]

3、58同城：招聘信息公开售卖。2017年3月底，58同城被爆被爆700元即可采集全国简历信息。由于全国58同城招聘网对求职者简历毫无防护，平台存在多个漏洞，黑客通过采集工具就能轻易获取后台数据，甚至有商家在网上出售700元一套的爬虫软件，可采集全国430多个城市，以及464个职业的简历数据[4]。

4、2016年12月，《南方都市报》报道称，记者花费700元买到了同事包括开房记录、名下资产、乘坐航班等在内的11项个人隐私信息。只要提供姓名、手机号码或身份证账号，任何一人的开房记录、个人名下的房车资产、持有的各项证件、即时手机定位等信息都能在网上买到，一条指向“人肉搜索”的信息窃取、加工、贩卖产业链已经形成[ [5]。

通过这些案例，我们不难发现，诸多犯罪嫌疑人“偏爱”攻击政府、教育、生活服务类网站或其服务器。笔者发现搜索引擎给政府类、教育类以及生活服务类网站的权威值评重较高，网页级别也较高。黑客通过技术手段攻击并控制此类网站，能够更加容易地获得更高的搜索排名和点击量；而部分政府网站尤其是那些基层政府网站的安全技术防范薄弱，部分教育网站提供成绩查询并含有大量个人信息，易成为黑客攻击的对象；生活服务类网站则是网络流量的交通要到，不仅包含海量用户个人信息，而且这些信息较之前两者会更加详细，对于犯罪者而言，这些信息则更具价值。

对于个人信息交易黑色产业链的治理主要还是从三个方面着手：一是加大打击力度，提高违法犯罪的成本，让犯罪分子不敢犯罪；二是加强源头性保护、加强企事业单位信息安全防护责任和能力，让犯罪分子难以犯罪；三是加深用户自我保护意识。

二、我国法律对个人信息安全的保护及不足

（一）当前我国法律对个人信息安全的保护

2009年《刑法修正案（七）》增设刑法第253条之一，规定了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”这两种罪名，这也意味着我国正式将个人信息纳入刑法保护。2015年《刑法修正案（九）》在此基础上对该条规定作了进一步完善，罪名修改为侵犯公民个人信息罪[6]。

《刑法修正案（九）》自施行起，各级司法机关根据刑法修正案的相关规定，对侵犯公民个人信息犯罪保持高压态势，相关案件量同比显著增长。但与此同时，司法实践反映，侵犯公民个人信息罪的具体定罪量刑标准尚不明确，一些法律适用问题存在争议。为确保法律准确、统一适用，依法严厉惩治、有效防范侵犯公民个人信息犯罪，最高人民法院与最高人民检察院在公安部等部门的大力支持下，启动了有关司法解释工作。并于2017年发布《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）。

《解释》已于2017年6月1日正式实施。此《解释》的出台为依法惩治侵犯公民个人信息犯罪活动，保护公民个人信息安全和合法权益提供了一个有利的司法保障，同时也进一步完善了我国法律对个人信息安全方面的保护。

在《解释》出台之前，《刑法修正案（七）》以及《刑法修正案（九）》均未对“公民个人信息”的概念在法律条款中进行明确定义。作为法定犯，与之相关的基础法律没有颁布，基本的概念和范畴没有界定，这对于刑法的实施带来一定难题。而《解释》第一条[7]。

便明确了什么是“公民个人信息”，其对于“公民个人信息”的解释不完全受制于《网络安全法》对“个人信息”的定义，成功消除了“公民个人信息”的界定盲点。此外，《解释》明确了何为“情节严重”和“情节特别严重”，为司法实践提供量化了标准。

除此之外，于2016年11月7日通过、2017年6月1日开始实施的《中华人民共和国网络安全法》（以下简称《网络安全法》）不仅体现了时代信息化发展与网络安全并重的科学安全发展观，同时其确立的六大法律制度无疑是一大亮点。网络空间主权法律制度、关键信息基础设施安全保护法律制度、重要数据本地化储存法律制度、个人信息保护法律制度、网络安全人才培养法律制度以及惩治新型网络违法犯罪法律制度，这六大法律制度，确立了网络空间主权原则、明确了重要数据的本地化储存、强化了对个人信息的保护、确定了网络安全人才培养制度、提出了关键信息基础设施的安全保护及其范围，尤其是针对当前通讯信息诈骗等新型网络违法犯罪的多发态势，增加了惩治网络诈骗等新型网络违法犯罪活动的规定。

《网络安全法》具有整体性、协调性、稳定性和可操作性等特征，是我国应对国际网络安全挑战、维护网络空间主权、保障公民网络空间的合法权益不受侵害、保障国家安全的利器，为全球互联网的治理贡献了中国智慧[8]。

（二）对《解释》中“情节特别严重”认定标准的个人理解

我国的《刑法》对于侵犯公民个人信息罪一共规定了两档法定刑：“情节严重”及“情节特别严重”。与“情节严重”相同，《解释》从犯罪后果及数量数额等方面对刑法条文中“情节特别严重”的认定规定了详细的标准。

《解释》规定了“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的”以及“造成重大经济损失或者恶劣社会影响的”，应当认定为“情节特别严重”。与此同时，《解释》还将数量或数额达到前款“情节严重”标准十倍以上作为认定“情节特别严重”的标准，但是该标准是否合理，还值得商榷。我们都知道简单的数量或数额的增多并不一定代表社会危害性会发生质的变化，而且十倍以上的数量或数额的增大所导致的社会危害性，确实很难与对被害人的生命、健康、人身安全等造成严重侵害、造成重大经济损失或者社会影响极其恶劣的严重后果相提并论。另外，实践中侵犯公民个人信息犯罪的行为人提供或者获取公民个人信息的数量动辄几十万甚至上百万条，以“十倍”作为认定“情节特别严重”的标准，客观上完全可能会引发对侵犯公民个人信息罪实际“量刑不平衡”甚至“量刑过高”的情况出现[9]。

（三）犯罪停止形态的缺位

犯罪的停止形态，是故意犯罪的特有的犯罪形态之一，是指行為人在故意犯罪的过程中，因为主观、客观原因而停止下来的各种犯罪状态，包括故意犯罪的预备、未遂、中止和既遂。侵犯公民个人信息犯罪属于故意犯罪，行为人主观上对犯罪的危害后果持追求或者放任的态度，因此，本罪是存在停止形态的可能性的。然而，笔者在中国裁判文书库中进行检索发现，从09年开始到现在还没有判处一例侵犯公民个人信息犯罪预备、中止、未遂的案件。对于侵犯公民个人信息犯罪，在认定其犯罪停止形态的过程中，或者将其认定为犯罪既遂，或者不认定其为犯罪而只以《违反治安管理处罚条例》进行处罚，笔者认为，目前的认定方式是存在一定不足之处的，亟需进一步的解决。

三、计算机司法鉴定实务中处理个人信息交易案件

计算机司法鉴定在实务中，一般鉴定的类别分为三种：计算机电子数据、声音和图像资料。就个人信息交易案件，由于其涉案文件基本为办公文件（如：Word、Excel、Text文件等）、数据库类型的文件（如：Access、SQL文件等），故而其属于电子数据鉴定业务的范畴。

笔者在司法鉴定科学研究院（原司法鉴定科学研究所）和华东政法大学司法鉴定中心实习期间遇到不少需要进行司法鉴定的与个人信息买卖相关的案子。在目前的鉴定实务中，主要以分析、统计个人信息的数量为主，滤去重复的个人信息，并将鉴定结果制成司法鉴定意见书送达给委托人，以协助司法工作的有序进行。一般情况下，此类案件的委托人为公安。

（一）个人信息交易案件中数据提取不易

个人信息交易案件中数据提取不易主要有三种原因：其一是需要鉴定的文件数量十分多；其二是需要鉴定的文件类型繁多；其三是文件中的个人信息并非全都是格式化的。

在大多数情况下，司法鉴定人员所进行的工作便是将各类电子文件中的个人信息提取出来，进行简单的去除重复数据的技术操作。然而在实际工作中，鉴定人员往往会处理大量的文档，这些文件的总量常常会达到成百上千的数量，少数案子则会达到上万的数量。为了防止在信息统计时的疏漏，鉴定人员需要一个个将文件打开，然后手动提取文件中的个人信息，之后将信息一一汇总，最后再做去除重复数据的工作。很显然，面对大量的文件，这种手动提取操作消耗了巨大的时间成本。

需要鉴定的文件类型繁多是鉴定困难的另一个问题。在实务工作中，鉴定人员所遇到的文件大多为以Word类型（后缀为.doc，.docx，.rtf等）、Excel类型（后缀为.xls，.xlsx）、Text类型（后缀为.txt）、图片文件类型（后缀为.jpg，.bmp等）、数据库文件类型（后缀为.mdb，.db等）、PDF类型（后缀为.pdf）居多。而在这些文件类型中又以Excel类型文件为主，Word类型、Text类型次之，数据库文件类型和图片文件类型再次之。多种类型的电子文件则要求司法鉴定人员需要用不同的方式提取相关个人信息。

鉴定困难的第三个问题便是各文件中的个人信息并非格式化存储其中的。在一般人的认知中，Excel类型的表格文件应该是非常容易提取信息的，例如某一Excel文件，第一列是姓名，第二列是联系方式，第三列是身份证号码，第四列是联系地址等这种格式的。但实际鉴定工作中，鉴定人员经常会遇到非格式化存储的个人信息，例如前10行是格式化的个人信息，第11行至20行则与上面的10行进行错位；表格文件一般都是从左上角开始输入的，而实务工作中会遇到将个人信息写在表格文件的很右侧或是右下角的情况；更有甚者，利用Excel文件中隐藏行列的方式，将一些个人信息隐藏起来，在成千上万行的数据中，如果工作人员不仔细，就会疏漏这些隐藏行列。Excel表格类型的文件中的个人信息尚且存储非格式化，更不用说Word类型、图片类型的文件了。

（二）针对海量多类型文件中个人信息的优化提取方案

对于如此多数量、类型的数据文件，我们很容易想到通过编写程序的方式，让电脑程序代替人工进行数据提取。可是，目前司法鉴定领域并没有一款有效的个人信息提取软件。故而笔者在此将自己的程序方案呈现，为在计算机司法鉴定领域的工作人员提供优化思路。

特此说明：由于个人信息涉及公民隐私，所以笔者在之后的程序中仅以手机电话号码为例，以避免造成隐私侵犯。此外，由于鉴定文件中，主要以Excel文件为主，所以笔者之后的程序也仅展示Excel文件中数据提取，Word、Text等类型的文件提取方式与Excel相类似，故而不在此重复，仅为各计算机司法鉴定人员提供优化思路。

特此说明：由于涉及隐私问题，其中实验示例中的号码的4位关键数位用“****”代替。

首先我们先看一份实验文件，如下图2所示：

从图2中，我们可以看到，即使是个人信息中手机号码，也是以多种格式存储在一起的。有的号码前面有区号；有的号码前面多了一个0；有的号码与人名放在一起；有的一个中有多个号码；众多号码分布错位；一个Excel文件不仅只有一页，可能有多页。如果单纯地选取某一行或某一列进行复制粘贴的提取工作显然耗时耗力，甚至出现差错。所以笔者根据众多手机号码的格式，归纳整理后，编写了以下程序。该程序可以有效排除扰选信息，例如身份证号码、银行卡号、固定电话、传真等，精确提取出手机号码。如下编码所示。

根据此程序，鉴定人员就可以批量处理一个文件夹中所有的Excel文件了。而且每一个处理过的Excel文件都会产生一个对应的Text文件。最后所有的文件所提出的数据会汇总到一个名为“合并整理”的Text文件中。

最后，我们将运用此程序处理之前的实验Excel文件，结果如下：

由于手机号码涉及隐私，故在此不能显示实验结果。读者可以通过笔者的代码自行进行实验以验证真实性和可靠性。笔者经由多次不同的实验得知，该程序可以有效地提取手机号码。

在此笔者所提供的只是一种优化思路和优化方案，可供编写更加完善的程序应用提高借鉴。根据这种思路，司法鉴定人员在之后的工作中，面对处理大量个人信息交易案件便能够省时省力了。

参考文献

[1]《公安部：打击侵犯公民信息源头 深挖行业内鬼》，访问网站：http：//news.sina.com.cn/o/2017-05-09/doc-ifyexxhw2912808.shtml

[2]《剑斩黑客 守护网络蓝天》，李晓群，安徽日报/2017年/3月/29日/第010版 法治视线

[3]王建平，《最高人民检察院发布侵犯公民个人信息犯罪典型案例解读》，检察日报/2017年/5 月/17日/ 002版 要闻

[4]《盘点国内外2017年上半年网络安全事件》，访问网址：https：//baijiahao.baidu.com/s？id=1574491017129400𝔴=spider&for;=pc

[5]《盘点2016年中国网络安全十大件》，访问网址：http：//news.chinabyte.com/231/14039731.shtml

[6]《刑法修正案（九）》将刑法第二百五十三条之一修改为：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

[7]《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释

》第一条刑法第二百五十三条之一规定的“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

[8]王春晖.《网络安全法》六大法律制度解析[J].南京邮电大学学报（自然科学版），2017，37（01）：1-13.

[9]劉宪权，房慧颖.侵犯公民个人a信息罪定罪量刑标准再析[J].华东政法大学学报，2017，20（06）：107-115.

作者简介

徐元威，1993年5月，男，上海人，硕士在读，司法鉴定（计算机与声像资料方向）