杨锦璈,贾晓千
(中国人民公安大学,北京 100038)
信息化与大数据时代,互联网、物联网的深度发展所带来的个性化服务、多样化服务、精准化服务等便利都是以使用公民个人信息的授权认证为前提的,公民个人信息的形态呈现电子化、多主体存储化特点。这一特点决定了公民个人信息的易受侵害性。同时,公民个人信息不仅具有作为互联网、物联网服务应用的媒介价值、潜在服务对象的商业价值,而且在信息深度挖掘应用的大数据时代,集成个人信息的海量数据成为高效分析社会需求、辅助社会决策的基础工具。因此,个人信息成为充满高度应用价值和商业价值的“数据黄金”,巨大的变现利益诱使侵害个人信息的风险空前剧增[1],甚至形成以公民个人信息为牟利对象的犯罪产业链业,导致大量上游、下游犯罪滋生,公民财产权、人身权和隐私权遭受侵害。为此,公安机关连续多年有针对性地对此类犯罪行为进行打击,如在“2015·11·11”侵害公民个人信息专案中,全国25个省区市公安机关同时行动,对涉嫌侵害公民个人信息犯罪的嫌疑人进行了集中抓捕,共抓获涉案犯罪嫌疑人200余名[2];在2016年公安部部署开展的打击整治网络侵犯公民个人信息犯罪专项行动中,全国公安机关共侦办各类侵犯公民个人信息案件1886起,抓获犯罪嫌疑人4261名,其中,银行、教育、工商、电信、快递、证券、电商网站等行业内部人员391人、黑客98人[3];2017年12月20日,全国公安机关2017年当年累计侦破侵犯公民个人信息案件4911起,抓获犯罪嫌疑人15463名,打掉涉案公司164个[4];2020年全国公安机关共侦办侵犯公民个人信息刑事案件3100余起,抓获犯罪嫌疑人9700余名,侦办治安案件3400余起,处理违法人员3600余名[5]。
由于犯罪打击长效机制缺失,社会公众个人信息被肆意买卖与不法利用,侵犯公民个人信息犯罪仍然呈现高发态势,出现了如华住集团酒店开房信息泄露事件、顺丰用户隐私泄露事件等严重侵害公民个人信息的事件。更为严重的是,侵害公民个人信息犯罪常常与电信诈骗、敲诈勒索、绑架等下游犯罪相牵连,导致其社会危害性大大增加。要从根本上杜绝该种犯罪的发生,提出并实施更有效的打击策略,就有必要对侵犯公民个人信息犯罪的产业链条进行详尽的分析研究。本文从典型案例着手,重点讨论了侵犯公民个人信息犯罪的犯罪链条,在此基础上尝试就犯罪链的各个环节提出有针对性的侦防对策。
犯罪产业化,是指刑事犯罪不断规模化发展,逐渐形成精确分工、相对完整的地下产业链的发展变化过程[6]。在犯罪产业化过程中,发案量上升,犯罪产生规模化效应,危害程度进一步加大。聚焦到侵犯公民个人信息犯罪上来,此类犯罪在其所蕴含的巨大经济利益的驱动下愈演愈烈,逐渐从单个犯罪主体演变为犯罪团伙、甚至是犯罪集团的形式,成员间的分工更加有计划性,犯罪专业化程度日益提高,犯罪的上下游环节联结更加紧密。公民个人信息的不法获取在某些案件中已经成为实施“精准犯罪”的基础,借助QQ群、微信群、网络论坛等媒介,非法买卖公民个人信息的“地下黑产业”已雏形渐显,严重危害了公民的信息安全。
在某种意义上,打击某一单一犯罪行为并不困难,但这样的打击对于侵犯公民个人信息犯罪而言收效甚微,侦查机关应当以整体性思维去审视侵犯公民个人信息犯罪。从宏观的视角进行观察,抽象出此类犯罪独特的犯罪链模型,对明确犯罪的特点、有针对性地开展侦查、有重点地防范侵害等方面具有较大的理论和实践指南意义。实践中,侵犯公民个人信息的案件是大量存在的,最高人民法院、最高人民检察院、公安部分别在2016年、2017年、2018年对外公布的数十起典型案例极具代表性[7]。本文以这些典型案例为基础,结合媒体披露出的其它案件,研究每一起案件的基本事实,从非法获取到出售、倒卖牟利,抽象出这样一条犯罪产业链,如图1所示。
图1 侵犯公民个人信息犯罪产业链
由图1不难发现,侵犯公民个人信息犯罪的信息源、买卖渠道、不法用途等均呈现出多样化、复杂化趋势。而此模型反映的仅仅是该类犯罪产业链中最简单的非法牟利流程,在实际案件中则可能表现出多条犯罪链的交叉。
1.第一环节:不法公民个人信息源
不法公民个人信息源是整个犯罪链得以维系运转的基础和前提,处于整个犯罪产业的最上游。非法查询、非法购买、黑客手段、利用网站漏洞扒取是当前不法获取第一手公民个人信息的最典型行为。此外,从其他源头处交换、买卖信息也是常见的手段。犯罪嫌疑人在通过各种渠道将公民个人信息汇总以后,会通过各种方式获得求购信息或发布出售信息,这样一个简单的不法公民个人信息源就搭建起来。围绕不法公民个人信息源头,不难发现这么几个特点:
第一,从参与者主体来看,能够接触本行业、部门公民个人信息的“内部”人员(包括本单位职工及关系人)作案呈现多发态势,例如快递业、银行保险业、服务业等。他们往往利用工作之便,通过合法或非法的手段查询、下载本单位所拥有的公民个人信息出售,或在共同犯罪中担任重要角色,成为犯罪链中不法公民个人信息源形成的重要基础。公开的案例显示,许多政府公务人员、执法人员也参与到公民个人信息的买卖中,且成为了最“官方”、最“权威”的信息卖方。同时,不少犯罪主体具备一定的专业知识,有能力发现、利用信息库的漏洞搭建公民个人信息买卖的平台,也有能力实施一定的反侦查措施以规避侦查机关的打击。
第二,从公民信息泄露的渠道来看,公民个人信息在日常生活的方方面面都可能成为侵犯目标。从快递订单、小区物业等普通线下渠道,到滴滴外包服务业务、网购信息等普通线上渠道,从政府机关、企事业单位等特殊途径,到黑客手段、网络窃取等技术型线上路径……可以说,获取不法公民个人信息的渠道已经十分“平民化”。
第三,从泄露的公民个人信息的类型来看,经由上述渠道流出的公民个人信息种类繁多。仅在最高人民法院、最高人民检察院和公安部所公开的部分典型案件中,就已经涵盖了公民的个人身份信息、住址信息、出行记录、电信信息(手机号码、通话记录、短信)、车辆信息、财产信息、房屋中介信息、住宿信息等等各式各样的公民个人信息。同时,这些信息又以文字、图片、视频等多种形式表现出来。在部分案件中,还表现出了按照“客户”需求提供特定信息表现形式的情形。
第四,从公民个人信息源的存储方式来看,存储载体形式多样。现在存储技术的快速发展,为信息的大规模存储提供了条件。在一些案件的侦办中,鉴定机构从一台iPhone终端上就提取到24万余条数据信息。手机、PC终端、U盘、硬盘等都可能为犯罪分子所利用,甚至有的犯罪分子还会利用邮箱、云盘、网络平台等实现“云端”存储。
2.第二环节:公民个人信息的流转
搭建公民个人信息源不是犯罪分子的目的,这些信息要“流通起来”,犯罪分子才有机会牟利。在巨大的利益驱动下,公民个人信息沿着犯罪产业链向下游移动,并吸引了更多的主体参与进来,出现了所谓的买方和卖方。本文暂以买卖的形式为依据,将公民个人信息的流转分为以下四种类型:
(1)公民个人信息的出售
从已发案件来看,掌握着公民个人信息源的犯罪分子通常先会通过微信、QQ、网络论坛等社交媒介发布售卖信息,在与买方私下取得联系后,会就买卖信息的种类、价格、接收方式等达成协议,然后通过微信、支付宝、现金、银行卡等方式完成资金支付,最后卖方通过微信、QQ、邮箱、云盘等渠道“发货”,完成全部交易过程。卖方通常会十分谨慎,在一些案件中,他们利用虚假的身份信息注册账号,表现出很强的反侦查意识,稍感异常立即消失。卖方所使用的银行账户、支付宝账户等的注册者通常也不是其本人。
(2)公民个人信息的购买
下游犯罪主体、特定客户以及一些商家、企业是市场的重要需求方,他们会基于各种目的来搜寻售卖信息。例如一些生产或销售保健品的企业,会想尽办法购买适龄的消费者信息,进而实现对特定客户群体的“精准推销”;一些生产或销售婴幼儿用品的商家,则会购买从医院等机构流出的新生儿信息,以抢占商机……公民个人信息泄露导致的骚扰电话、推销信息等给群众的生活带来极大的困扰。还有大量的买方是基于诈骗、勒索、绑架等犯罪目的求购其所需要的信息,犯罪分子在社交APP、网络平台等发现售卖信息后,会主动与卖方取得联系,而后通常根据卖方的要求完成支付等操作,最终获取到所需的公民个人信息。
(3)公民个人信息的交换
“以物易物”是人类最原始的商业行为,在信息化时代的今天,这种买卖方式反而会因为省去了中间的支付环节而为犯罪分子逃避侦查带来便利。根据信息的类型、数量和获取成本计算,可以再次将交换行为做出更细微的划分:第一种情形,A与B以等价值的信息(如同样类型、数量的信息或者同样获取成本的信息)完成互换,不涉及资金的流动;第二种情形,A与B交换的数据信息并非等价值的,则A仍然要向B支付或者收取一定金额的差价补偿。这种模式下,一方将己有的公民个人信息交换得到所需要的其它公民个人信息。第一种情形下不会发生资金的转移,这种单纯的信息对等交换具有很强的隐蔽性,很少会暴露在侦查机关的视野中;而第二种情形可以看作是交换+出售/购买的组合,兼有二者的特征。
(4)公民个人信息的倒卖
公民个人信息作为一种有价值的资源,其流通过程本身就可以获利。实践中,某些掌握公民个人信息买卖渠道的中间人会从中倒买倒卖,以加价的方式实现牟利。在某些案件中,这些所谓的“二道贩子”会直接参与到公民个人信息源的搭建中,通过贿赂、购买等方式引诱某些信息部门的内部人员,怂恿其非法获取信息管理权限或公民个人信息,而后以低价收购,再以卖方身份加价转手。这个环节的犯罪分子通常学历不高却有一定的社交圈子,部分人甚至已经走上“职业中介”道路,专门从事公民个人信息的倒买倒卖。在信息的买卖过程中,还容易形成稳定的上下联络人,组成侵犯公民个人信息犯罪的攻守同盟,以此降低被侦查机关发现和打击的风险。
3.第三环节:公民个人信息的违法使用
沿着犯罪产业链,公民个人信息流入违法使用者手里,并在犯罪链条的最终环节展现出“犯罪价值”。通过非法手段获取的信息为犯罪分子选择犯罪对象、犯罪手段、实施犯罪提供了有效的“情报”指导。从实践中来看,大量的公民个人信息被用以实施电信诈骗、“刷单”、窃取公民账户密码等违法犯罪行为。公民个人信息的违法使用会对公民的人身、财产权利造成极大威胁,特别是在某些绑架勒索犯罪、诈骗犯罪中。但另一方面,公民个人信息的违法使用通常是一个逐渐公开化的过程,这也为侦查机关发现犯罪线索实施溯源侦查提供了条件。
2017年3月20日最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)出台,对侵害公民个人信息犯罪作出了进一步的规定,使其更具实操性。侦查机关在此类案件的侦办中,应当严格遵循相关法律法规的约束,把握好《解释》的价值导向,做好公民个人信息界定、公民个人信息数量认定等工作,并以此作为侦查取证的依据。
此外,侵犯公民个人信息犯罪在实践中表现出了不同于其他犯罪的新特点,侦查机关也应当根据此类犯罪的性质变革侦查机制,积极尝试各种新型侦查技术的应用。例如网络远程取证的应用,可以实现网上远程调查取证,依程序获取的数据信息可直接作为电子证据用于认定犯罪行为。这些新型技术手段的运用会极大地提高侦查机关的办案能力。
正如图1所示,以各种不法手段搭建起的公民个人信息源处于整个犯罪链条的起点,因此围绕“源点”对此类犯罪开展打击将能发挥出最佳效果。从已侦破的案件来看,造成公民个人信息泄露的因素有很多,在政府行政管理以及金融、电信、交通、医疗、物业管理、宾馆住宿服务、快递等诸多社会公共服务领域,只要有一环出现管理疏漏或者工作人员出售、泄露情况,就将导致个人信息的非法流出[8]。通常情况下,公民个人信息流出的起点都是合法的数据库、数据系统,而对动辄上万条数据的存储一般需要借助硬盘、U盘、网络云盘、邮箱等媒介。由此,可以将犯罪分子搭建公民个人信息源的过程分为获取和储存两个环节,下面将分开进行论述。
1.公民个人信息的获取环节
在大多数案件中,公民个人信息通常是通过公共部门或社会组织的内部信息系统流出的。违法犯罪分子依靠黑客手段或是与这些单位的内部人员相互勾结,利用系统漏洞或监管盲点查询、窃取公民个人信息资料。公民个人信息的获取具有一定的隐秘性,内部人员往往会以正当业务行为做掩护,利用违规获取的信息管理权限或本单位监管措施的缺失参与犯罪。黑客手段或其他技术方式对信息系统实施非法侵入和下载的情形下,也往往会因为较高的技术水准而难以被侵害单位发现。
技术的发展也同样为侦查机关打击犯罪提供了有力工具,反黑客、网络调查取证等技术有力地推动了侦查机关执法办案能力的提高。例如,在公安内网的监管中,警察在查询公民信息时会在后台留下痕迹,监察部门依据这些痕迹可以及时发现异常线索,从而采取进一步的调查活动。同样,任何犯罪行为都会留下痕迹,只是在利用互联网非法获取公民个人信息时所遗留下的痕迹都存在于虚拟空间之中。侦查人员可以利用网络特情、网络巡视以及利用人工智能技术自动辨别公民个人信息异常查询、下载行为,及时介入。当然,在现实生活中,也存在着违法犯罪分子自行收集公民个人信息而后用以搭建信息源的情形。这种情况其实也并不罕见,主要表现为在以抽奖、报名为“噱头”的APP、网页链接上填写个人信息。上文所提及的典型案件中,还存在犯罪分子在住户楼下以偷拍等方式收集业主信息的行为。但是这些情形较为公开化,侦查人员相对更容易通过网络监控和日常监管发现异常线索。
2.公民个人信息的储存环节
虽然公民个人信息的承载形式多种多样,如jpg、pdf、xml等,但犯罪分子在非法获取到这些信息后,通常会借助现代化的媒介进行存储,实践中出现的各种云盘、邮箱以及网站数据库都是如此。通过网络进行信息传输汇总也是常见的行为方式。而当前各种“云计算”服务垄断在私人企业手里,这就为侦查机关的介入造成了一定的障碍。在当下尚无相关法律法规做出规定的情况下,依靠腾讯、百度等互联网企业辅助公安机关进行网络监控也是可行的。通过这种“警企协作”,借助公司内部的便利渠道,企业监管部门可以及时发现信息传送过程、后台存储系统中的可疑文件,并将获取到的异常线索告知侦查机关以采取进一步的行动,而侦查机关则可以采取必要的奖励等手段激励这种行为。
为实现犯罪牟利,犯罪嫌疑人必然要将手中的公民个人信息传递出去或从各种源头获取新的公民个人信息。从这个过程开始,犯罪行为逐渐“公开化”。从已发案件来看,犯罪分子利用QQ、微信等使用广泛的媒介或者各种论坛、网站平台进行买卖活动是比较普遍的做法。出卖者在QQ、微信、论坛等发布售卖广告,而购买者则在微信群、QQ群、论坛等搜索求购信息,而且这个过程通常会伴随着资金的流动。
在这个环节,侦查机关可以通过对出售、购买公民个人信息的广告及QQ、微信等的实时审查与屏蔽,及时切断非法出售、超目的使用和披露信息的渠道,降低可能带来的不法侵害[9]。具体言之,侦查机关可以从买卖信息、资金流动两个方面着手发现并斩断买卖公民个人信息的渠道。一方面,侦查机关可以通过网络监控及时发现买卖过程中产生的售卖、求购信息。具体言之,网监部门在实施网络监控的过程中,应当关注买卖公民个人信息的线索,把“户籍”“轨迹”“身份证”“征信”“住宿”“手机”等关键词作为重点,及时发现可疑通信痕迹,迅速介入不法交易过程。另一方面,侦查机关也可以从资金流动情况着手开展侦查。通过对特定银行账户收付款轨迹的分析,侦查机关能够围绕犯罪主体建立起一张关系网,再结合数据碰撞、比对技术,就有机会发现犯罪分子的同案犯及买卖的上家和下家,从而为深挖犯罪、扩大战果提供条件。在公民个人信息的买卖过程中,还有一个现象应当引起重视,即公民个人信息在买卖过程中通常是按条目或文件大小等方式进行定价的,因而由一个犯罪主体发起的多次售卖活动中,必然会产生这样一种现象:每次买卖活动的流动资金都约等于某个固定数值的倍数,这类似于传销犯罪中的资金流动规律。因此,侦查机关应当加强与银行等金融机构的合作,及时发现资金流动的异常情况,为进一步开展侦查奠定基础。
在完成公民个人信息的买卖以后,大量数据流动到犯罪链的下游。如图1所示,犯罪嫌疑人经过一系列的分析挖掘,将手中的公民个人信息转化为实施犯罪的“有利情报”。这些“情报”为犯罪嫌疑人实施电信诈骗、敲诈勒索等犯罪提供了“目标导向”与“行动指南”。其中,最为常见的一种就是利用时效性较强的公民个人信息实施精准诈骗,如震惊全国的山东陈玉玉案。在这个环节,通常会产生特定的“受害主体”,公民的人身、财产权利被不法侵犯,绝大多数的受害者会选择积极寻求公安机关的帮助。因此,侦查机关可以从打击诈骗、敲诈等下游案件入手,顺藤摸瓜,追查为实施其他犯罪提供条件的公民个人信息来源[10]。在目前的许多犯罪案件中,都会存在着侵犯公民个人信息犯罪的线索,但受种种因素的制约,这些线索并没有很好地利用起来,然而这些线索对于侦查机关打击侵犯公民个人信息犯罪却意义重大。例如,在以公民个人信息为支撑实施的电信网络诈骗犯罪中,侦查机关围绕案犯所利用的公民个人信息,沿着买卖渠道向上游开展侦查,就有机会揭露出整条侵犯公民个人信息犯罪的产业链。这个过程中,通过下游犯罪溯源侦查,从而实现全产业链的打击,能扩大战果、提高打击成效。在本文所重点关注的几例典型案件中,正是因为这样的思路才取得很好的打击成效。
此外,在一些以公民个人信息为基础,建立或窃取各种类型的互联网账号,而后从事“刷单”“会员售卖”等违法犯罪活动的案件中,对公民个人信息的不法使用可能是间接性的。对于此类案件的侦查过程中要注重取得相关公司企业的支持,构建“警企协作”的侦查机制,及时开展网络取证,然后实施落地侦查,沿着公民个人信息买卖的产业链追踪溯源打击上游犯罪,以实现彻底摧毁整个产业链的目的。
侦查中的阵地控制就是运用公开管理和秘密力量相结合,控制犯罪人员经常涉足、利用和易受犯罪侵害的吃、住、行、消、乐等场所或行业,从中发现、查缉、控制犯罪的一项刑侦基础工作[11]。阵地控制对于侦查机关发现犯罪线索、预防和打击犯罪意义重大,在物联网、人工智能、云计算等新兴技术的支撑下,阵地控制的范围应当逐步扩大,而网络侦查阵地则将在预防和打击侵犯公民个人信息的犯罪中发挥重要作用。网络侦查阵地控制是指网监人员在其它机构、部门的配合下,通过有效的网络信息监管、平台互动监督及对相关网络活动区域的有效监视,实现对犯罪规律、犯罪形势及“合适”网上犯罪案件的有效掌握,并为网上侦查提供研判信息的一种阵地控制形式[12]。通过对网络空间的布控,尤其是可提供社交、存储、支付等功能的网络媒介或平台的重点布控,可以有效压缩犯罪分子的作案空间。这种控制一方面是指对实时交易、互动信息的控制,另一方面也是对后台存储系统的控制。通过日常网络巡视和重点监管,可以及时发现犯罪线索,做到早发现、早介入。这个过程要注重发挥大数据技术、人工智能应用的作用,通过新型技术手段辅助侦查。
把特情引入侦查工作之中可以大幅降低侦查办案的成本,网络特情建设也应当被纳入刑侦基础工作的一部分,注重平时的建设和积累。鉴于侵犯公民个人信息犯罪很大程度上是依靠互联网进行的,侦查机关就要注重发挥网络特情的作用。实际上,依靠网络特情发现犯罪线索、锁定重点犯罪嫌疑人是当前行之有效的做法。例如黑客,侦查机关可以借助他们的支持,以较小的侦查资源投入获得案件的线索和证据。而且,对于侦查部门来说,引导黑客为网络犯罪侦查服务是顺应黑客群体发展的趋势[13]。
近年来,公安部及各地公安机关投入大量的人力、物力资源不断加强打击侵犯公民个人信息犯罪的力度,然而此类犯罪的发展势头似乎并没有得到有效的遏制。在此类案件日益高发的犯罪态势下,立法机关和相关管理部门应在犯罪——打击的不断循环中反思如何建立、完善公民个人信息安全的防范体系,以实现有效预防侵犯公民个人信息犯罪发生的目标。因此,我们有必要对犯罪条件、犯罪主体、犯罪动机、犯罪成本等问题进行深入探讨。
本文结合所分析的数十起典型案件,提出了如图2所示的公民个人信息安全防范体系模型,从行业自律、法律规制、行政监管等各个方面提出了多元、立体化的防范策略。
图2 公民个人信息安全防范体系
行业自律是本行业从业者进行自我约束、自我管理的行为,推动行业自律准则的形成是构建公民个人信息安全防范体系的必要环节。当前,公民个人信息的获取、存储和使用打破了传统意义上的行业概念,广泛分布在餐饮、住宿、物业等各个领域。在此前提下,可以将所有涉及公民个人信息的机构、企业、部门划入“泛公民信息类行业”(指所有与公民个人信息的获取、存储和使用有关的信息行业及其关联行业)的范畴。通过对公民个人信息采集、存储、使用等各环节程序的详细规定,建立起从业者的职业自律意识、规则意识和法律观念。在这方面,《个人信息保护法》设专章明确了个人信息处理者的合规管理、保障个人信息安全等义务,如要求个人信息处理者按照规定制定内部管理制度和操作规程,特别是对大型互联网平台规定了特别的个人信息保护义务,这样可以有效地推动行业自律准则的建立和运行。
此外,市场禁入制度是一种有效的行业自律准则的惩罚机制。市场禁入制度是以强化个人责任承担为出发点的[14],对于严重违反公民个人信息管理规定的从业者规定不同期限的市场禁入,可以及时将素质较低者排除在行业以外。对此,《个人信息保护法》已经确立了高管禁业、违法行为计入征信等惩罚措施。
对于侵犯公民个人信息的不法行为,要根据情节规定轻重有别的惩罚措施,维护好本行业的良好秩序。完善的《个人信息保护法》,是最基本、最全面的保护个人信息的途径和方法[15]。《个人信息保护法》细化了个人信息保护应当遵循的原则和个人信息处理规则,强化了个人信息处理者的义务,明确了个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全,围绕公民个人信息安全完善收集、使用、管理、存储等各个环节明确了个人信息处理活动中的权利义务,健全了个人信息保护工作的体制机制,将公民个人信息的保护纳入法治的轨道。同时,全方位的、立体化的公民个人信息保护体系是司法机关依法打击此类犯罪的法律基础,为此,《个人信息保护法》还要与《民法典》《刑法》《网络安全法》《数据安全法》等相关法律法规相衔接,明确相关法律责任,根据侵犯公民个人信息危害行为的严重程度灵活适用刑事或行政手段予以打击或处罚。
大数据时代,公民个人信息保护任务繁重,将权责零散地分散在不同的机构下,既不利于统筹力量实现资源的充分利用,也无益于公民个人信息保护的专业化发展,成立专职机构专司公民个人信息保护可以起到更好的监管作用。《个人信息保护法》就相关制度措施落实的监管执法机制、个人信息保护和监督职责作出了规定,明确国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。既实现了权责明确,也加强了信息情报、执法力量的共享,进而实现公权力对公民个人信息安全的更有效保护。
机构建设方面,法国设有信息与自由全国委员会,负责保护信息领域的个人隐私与自由,直接向议会负责且拥有行政制裁权[16]。据此,笔者认为可以参照证监会、银监会的机构设立经验,探索建立我国的信息监督管理委员会,直接对国务院负责,并将“泛公民信息类行业”全部纳入其监管的范围。同时赋予其必要的行政权和行政法规的制定权,再根据具体业务灵活设置其内部机构,使之在行业管理方面真正发挥作用。
从目前已经侦破的众多案件来看,公民个体防范意识薄弱是造成信息泄露的重要因素之一,大量的公民个人信息被有意无意地通过种种渠道泄露出去。因此,有关部门有必要采取综合措施提高公民的防范意识,使其充分认识到保护个人信息的重要性,懂得如何防范个人信息被侵犯[17]。例如,生活中谨慎应对索取个人信息的不明链接、注意撕毁快递信息单,每一个良好习惯的养成都可能避免本人信息被不法收集和使用。提高公民的个体防范意识有助于从源头上堵塞信息泄露的渠道。在大数据的时代背景下,只有每个人建立起保护本人信息安全的意识,整个社会才真正有可能建立起一道信息安全的防护墙。
此外,还要让公民形成对个人信息权利的尊重[18]。侵犯公民个人信息犯罪对每一个个体的正常生活造成影响,即使犯罪分子本人的信息也可能处在犯罪产业链的某个交易环节。公安机关等部门要通过各种渠道加强宣传,营造一种良好的社会氛围,从舆论方面提高侵犯公民个人信息犯罪的犯罪成本。
目前,侵犯公民个人信息犯罪的案件主要是由公安机关负责侦办的。各级公安机关组织的专项行动也取得了丰硕战果,例如“2015·11·11”侵害公民个人信息专案、“净网2018”等。但是在这类新型案件的侦办中,侦查人员经常会遇到各种新情况,造成关键证据疏漏、关键嫌疑人潜逃等重大后果的发生。对此,一方面,公安机关要始终对此类犯罪保持严打高压态势,不间断地组织打击行动[19],另一方面,要认识到加强执法队伍建设是提高公安机关办案能力的关键。基于公民个人信息犯罪的网络化特点,吸收计算机领域方面的专业人才加入侦查队伍也是有必要的,可以依靠他们的力量组成技术小组,专司侵犯公民个人信息犯罪的侦查与防范。
要实现保护公民个人信息安全的目标,就必须对涉及公民个人信息的企业、部门等进行严格的监管。这里所说的监管可以从两个层面来理解:一方面,掌握有公民个人信息的政府部门、行业、机构要通过建立关于个人信息保护的内部规章制度,对行业内部人员实行严格的管理与监督[20],通过强化内部的监管避免侵犯公民个人信息行为的出现;另一方面,执法部门也要严格依据法律的规定,不断加强对此类机构、单位的监管力度,通过监管机制保证公民个人信息获取、存储、使用的合法、合规。对此,《个人信息保护法》对不同性质的个人信息处理作出了不同的监管规定。对于大型互联网平台,特别规定要按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督,定期发布个人信息保护社会责任报告,接受社会监督等。对于个人信息处理者,规定要求采取相应的安全技术措施,指定负责人对其个人信息处理活动进行监督,定期对其个人信息活动进行合规审计,对处理敏感个人信息、利用个人进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息泄露通知和补救义务等。