打击侵犯公民个人信息犯罪研究
——以黑色产业链为切入点

洪伟达

（中国刑事警察学院，辽宁 沈阳 110854）

随着大数据时代的到来和第四次工业革命的加速演进，我国已发展成为生机勃勃的网络大国，互联网技术快速发展，社会分工日益细化，网络空间渗透到人们工作生活的各个角落。通常认为，互联网经历了三个时代，并呈现出从计算机信息系统、信息网络到网络数据的核心转变[1]。与之相对应，数据网络犯罪也经历了三个阶段，大体可以归结为“犯罪对象”“犯罪工具”“犯罪空间”的三个阶段，亦可称为计算机犯罪阶段、传统犯罪的网络异化阶段乃至网络作为犯罪空间的犯罪阶段[2]。

在此背景下，大数据成为连接现实社会与网络“犯罪空间”的媒介，包含大量用户身份信息、行为信息的大数据具有极高的价值[3]，网络安全、个人隐私、个人信息安全也日益成为人们关心的话题。被誉为“大数据时代的预言家”的维克托·迈尔-舍恩伯格，曾针对大数据时代的隐私问题发出警告，“在大数据时代，不管是告知与许可、模糊化还是匿名化，这三大隐私保护策略都失效了。如今很多用户都觉得自己的隐私已经受到了威胁，当大数据变得更为普遍的时候，情况将更加不堪设想[4]。”

一、“个人信息”的概述

研究侵犯公民个人信息犯罪黑色产业链的第一个前提是厘清何为“个人信息”，了解其特点，才能更好地探析侵犯公民个人信息犯罪黑色产业链。

（一）“个人信息”的界定

以“个人信息”为关键词，在百度百科和如下法律条文中进行检索：2017年实施的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、2017年实施的《中华人民共和国网络安全法》、2021年施行的《中华人民共和国民法典》、《中华人民共和国个人信息保护法（草案）》，我们发现，民事法律法规和刑事法律法规对“个人信息”的概念界定基本相同。能够单独、直接识别出特定自然人身份的信息属于公民个人信息，与其他信息结合，能间接识别出公民个人身份的个人信息也属于公民个人信息，具体包括传统的个人姓名、出生日期、身份证件号码、住址、电话号码等信息，也包括个人生物识别信息、行踪轨迹等信息。

不同部门法对“个人信息”的保护程度虽有所差别，但是侵犯公民个人信息犯罪具有超时空性、规模性、隐蔽性和快速性的特点，如果单纯等到违法犯罪分子成功实施侵犯公民个人信息犯罪、利用公民个人信息进行违法犯罪，再进行干预、介入，便加剧了防范和侦查的滞后性，所以，研究打击侵犯公民个人信息犯罪黑色产业链不应割裂民事、刑事法律法规，应从整体上把握、研究。因此，从产业链条角度，结合民事、刑事法律法规，“个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

（二）“个人信息”的特点

从上述“个人信息”的概念中，我们可以看出，“个人信息”与大数据类似，具有海量的数据规模与多样的数据类型、快速的信息流转速度、多样的数据类型、价值密度低与规范化管理难等特点，为涉及公民个人信息犯罪的滋生和发展提供了可能性，也成为我们防范、侦查侵犯公民个人信息犯罪黑色产业链的难点。

信息化时代，个人信息包括传统的姓名、身份证号码等信息，也包括行踪轨迹与电子信息，可以说人们几乎每时每刻都在产生信息与数据，涵盖了衣食住行的方方面面。2021年1月，江苏丹阳警方侦破一起侵犯公民个人信息案件，涉及全国10余个省市，犯罪嫌疑人贩卖的公民个人信息多达6亿条，包含姓名、身份证号、联系方式、家庭住址、银行流水等众多信息，获利800万元，信息的海量性和规模性远远超出我们的想象。在具体运用方面，违法犯罪分子往往需要多条具体信息，或者与其他信息相结合，才能实现对某具体攻击对象的“画像”，进而实施精准网络诈骗、敲诈勒索等犯罪活动，这就是个人信息低价值密度的体现。

由于信息具有海量的数据规模与多样的数据类型、快速的信息流转速度、多样的数据类型等特点，且信息来源广，违法犯罪分子极易获得公民个人信息并快速出手至下家，以及机构内部缺乏有效管理制度、制度执行不到位等诸多原因，政府机构、公司企业、公民个人难以对个人信息进行高效、安全、规范化管理。

二、侵犯公民个人信息犯罪黑色产业链的特点

侵犯公民个人信息犯罪一般是指围绕公民个人信息的搜集、处理、买卖、运用等产生的一系列犯罪总和。侵犯公民个人信息犯罪黑色产业链是指围绕公民个人信息，非法获取、买卖、运用公民个人信息的上下游犯罪，从非法信息获取到非法信息利用，甚至是利用信息犯罪，一条完整的产业链条已经形成，并为其他类型违法犯罪“供氧输血”，侵犯公民个人信息犯罪黑色产业链已严重危害公民人身、财产安全，扰乱社会正常运转秩序。

受“个人信息”特点影响，大数据时代的侵犯公民个人信息犯罪黑色产业链体现出以下特点：

（一）依托互联网，犯罪门槛低

在大数据时代，侵犯公民个人信息违法犯罪人实施违法犯罪行为的知识门槛、技术门槛大大降低，作案人往往不需要很高的知识背景和金钱成本，就可以成为侵犯公民个人信息犯罪黑色产业链的一环。通过多渠道的公民个人信息窃取，或者在网络论坛、社交软件上实施非法公民个人信息买卖，或者利用公民个人信息进行网络诈骗等多种方式，成为侵犯公民个人信息犯罪黑色产业链的实际实施者、参与者。

（二）信息泄露渠道多，防范难

由于搜集、整理、运用公民个人信息的行业众多，规范、安全管理个人信息具有较大难度。如今信息泄露的主要方式有：

1.黑客攻击政府机构、事业单位、公司企业的网站。如2018年11月，湖北武汉公安机关接到报案，称某汽车金融服务平台服务器被黑客入侵，包括身份证、手机号、家庭住址等情况在内的30余万条客户信息被盗取，后被人“暗网”上出售[5]。黑客攻击官方网站，非法获取公民个人信息呈现高发态势，是公民个人信息泄露最严重的方式。

2.内部工作人员泄露。在银行、卫生、教育、保险、快递、通讯等诸多行业，由于内部管理不规范或者内部规范执行不到位，内部工作人员或者故意或者过失泄露公民个人信息，为侵犯公民个人信息黑色产业链提供了大量详细的公民个人信息。

3.合法注册、经营的互联网公司从事窃取个人信息的业务，并从这些个人信息当中谋求不当利益。2018年7月，包括“数据堂”在内的11家公司被曝非法传输公民个人信息百亿条。同年8月，上市公司瑞智华胜也被查出非法盗窃个人信息30亿条，其中不乏腾讯、阿里、百度、京东等国内知名互联网公司的用户信息。

4.APP违法违规收集个人信息。市面上有许多软件存在非法获取、超范围收集、过度索权的问题，侵犯公民个人隐私，威胁个人信息安全。现如今，许多违法犯罪分子为顺利完成违法犯罪活动，甚至购买、制作专门的非法APP收集个人信息。在“裸聊”网络诈骗中，作案人诱导受害人下载专门的非法APP，而后非法获取受害人手机通讯录，以发布受害人裸照至亲友为由相威胁，对受害人进行诈骗。2021年5月10日，国家网信办通报了84款违法违规收集个人信息APP，涉及安全管理、网络借贷等领域，包含腾讯手机管家、百度手机卫士等APP，相关公司违法违规收集公民个人信息，大大加剧了信息泄露的风险。2021年5月13日，工信部通报下架90款侵害用户权益APP，包含天涯社区、大麦、脉脉等。数据显示，APP强制、频繁、过度索取权限，违规收集、使用个人信息，已经成为公民个人信息泄露的主要方式。

其他类型的信息泄露方式还有网络钓鱼行为、网络测试活动，如网络算命、网络测试微信单方删除好友等等。

（三）犯罪涉及面广、规模大

如表1，对网上数据进行整理，不难发现近年来侵犯公民个人信息犯罪高发，且犯罪涉及面广，波及行业、人员、地区之多，规模之大，远超我们想象。加之“犯罪黑数”的存在，还有许多已经发生但不为我们发现，或已经发现但是尚未统计的侵犯公民个人信息犯罪，实际上侵犯公民个人信息犯罪及其黑色产业链涉及面之广、规模之大，已经严重冲击和危害人民的人身安全、财产安全和生命安全，威胁国家的传统安全和非传统安全。

表1 侵犯公民个人信息犯罪网上数据

（四）黑色产业链条长，犯罪危害大

侵犯公民个人信息犯罪早已不是单独的犯罪，而是形成一条上下游犯罪齐全、涉及主体众多、具有严重危害性的黑色产业链，如图1所示。首先，就侵犯公民个人信息犯罪而言，完整的上游非法获取、泄露公民个人信息、中游非法数据交易、下游非法利用的黑色产业链已经形成。在黑客通过技术手段窃取或者内部工作人员非法买卖个人信息之后，黑客或者数据服务商会建立专门的社工库，职业化的数据中间商会向黑客、数据服务商或者内部工作人员提出需求，非法获取个人信息后，层层转卖到实施下游犯罪的作案人手中，下游犯罪的作案人再利用公民个人信息进行电信网络诈骗、敲诈勒索等等犯罪活动。在整个犯罪链条中，个人信息成为连接上下游犯罪的媒介，从非法获取个人信息，到非法利用个人信息，一条完整的黑色产业链条，危害着经济社会的健康发展。

图1 黑色产业链

三、侵犯公民个人信息犯罪治理的困境

（一）犯罪总量大，案件数量持续增长

2020年以来，全国公安机关深入推进“净网2020”专项行动，破获窃取贩卖未成年人和老年人个人信息案件50起，打掉团伙40余个，抓获犯罪嫌疑人860余名；查获重点行业内部涉案人员500余名，破获案件90余起；破获利用“暗网”等侵犯公民个人信息犯罪案件90余起，抓获犯罪嫌疑人220余名；破获窃取、贩卖人脸数据案件20余起，抓获犯罪嫌疑人60人。截至12月20日，全国共侦办侵犯公民个人信息刑事案件3100余起，抓获犯罪嫌疑人9700余名。2020年，检察机关依法起诉侵犯公民个人信息犯罪6033人。

根据最高人民检察院公布的数据，2019年至2021年1月，检察机关共起诉网络犯罪案件5万余件14万余人，起诉帮助信息网络犯罪活动、非法利用信息网络、侵犯公民个人信息犯罪等案件1.1万余件2.7万余人，有力斩断了网络犯罪黑灰产业链。

在大数据时代，在疫情常态化防控背景下，侵犯公民个人信息犯罪呈现高发态势，犯罪总量大，案件数量持续增长。

（二）公民个人信息成为网络黑产的关键因素

网络黑产，即网络黑色产业链，通常是指通过网络技术形成的分工明确、衔接密切的利益团体，包括技术教学、制作销售黑产工具，通过入侵计算机信息系统，非法窃取公民个人信息和计算机系统数据，提供交易平台变现、洗钱等各个环节分工合作的多元化、产业化的非法产业体系[6]。作为网络黑产的一种，侵犯公民个人信息黑产在网络黑产中起着至关重要的作用，公民个人信息已经成为网络犯罪、网络黑产中的关键要素。

在网络黑灰产规模化、智能化，网络诈骗越来越精准化的背后，是侵犯公民个人信息黑色产业链的猖獗，是个人信息窃取、非法信息交易的高发。侵犯公民个人信息网络黑产已经成为大多数网络黑产的上游，持续为其他网络犯罪黑色产业链“输血供氧”。数据显示，有近四分之一的网络诈骗是在获取公民个人信息后“精准出手”，有针对性实施犯罪，侵犯公民个人信息已成为网络犯罪黑灰产业的关键环节。如图2所示,侵犯公民个人信息犯罪所非法获取、交易、使用的个人信息，已经成为网络黑产的关键因素、关键环节。

图2 网络黑产流程路线

在整个产业链中，技术提供者为整个网络犯罪黑产提供技术支持，负责技术教学、制作销售黑产工具并从中获利，降低了整个网络犯罪黑产的技术门槛，也提高了公安司法机关侦查防范的难度;数据服务商负责从黑客、行业内部人员中间非法获取公民个人信息，并在非法数据交易平台进行数据交易，非法买卖公民个人信息，使得公民个人信息快速、规模化地进入交易市场。而作案人则可以从非法数据交易市场中获得公民个人信息，甚至是获取“四件套”、“八件套”，进而进行“薅羊毛”、精准实施电信诈骗、敲诈勒索等违法犯罪活动。综之，要破解网络黑产难题，做好网络黑产的研究治理，就必须从侵犯公民个人信息犯罪黑色产业链着手，破解治理网络黑产的关键问题。

四、侵犯公民个人信息犯罪黑色产业链治理对策

侵犯公民个人信息犯罪黑色产业链既具有传统接触性犯罪的特点，又具有非接触性犯罪的特征，犯罪主体多元化，犯罪手段智能化，犯罪活动具有很强的隐蔽性，发现一起打击一起的打击模式已经不能适用于该黑色产业链的打击防范。要全链条打击侵犯公民个人信息犯罪黑色产业链，需要社会主体多方联动，综合施策。

（一）加强行业监管，从源头上保护个人信息

公司、企业作为导致公民个人信息泄露的重要主体，许多企业在“个人信息”的收集、整理、使用、保存上存在不少漏洞，要从源头上保护公民个人信息，相关单位和企业就要严格落实信息安全责任制度，从制度和技术上防止个人信息的泄漏。

1.完善单位个人信息保护制度

完善制度，能让内部员工在日常工作中有章可循，增强工作的合法性、主动性和安全性，确保行为受监督、信息受保护。首先，公司、企业要依据法律法规，明确单位个人信息保护的主管部门、主管领导和监督部门，明确内部工作人员在工作中的信息保护职责和义务。按照《网络安全法》和即将公布实施的《个人信息保护法》的要求，建立健全信息安全保护制度和操作规程。其次，在信息收集、使用过程中，要加强事前审批和事中管理，按照比例原则，在满足运营需求的范围内，最小限度收集数据。

2.加强行业自律，规范内部行为

内部监督是最直接、最全面的监督，能第一时间发现问题，所以公司企业要加强行业自律，做好自我监督，规范自身行为。联通、移动、电信等通讯公司要做好员工的教育培训，特别是法律法规教育和行业道德教育，抓好内部人员的思想教育。其他部门如卫生系统、快递公司也应该形成独立、可行的信息收集、整理、使用、储存的规范机制，规范内部行为。通过技术监控与常态化教育，形成有效的行业自律体制机制。

3.及时更新信息保护技术

技术手段是保护公民个人信息的硬件，要以开放的姿态，加强企业政府间的合作，及时更新信息保护的技术手段，及时发现信息安全漏洞。信息保护者应当加强对网络平台、公司企业运营的日常监督和管理，一旦发现违法行为，除了要及时加以制止外，还应当保存证据向公安机关报警。

4.建立失信员工黑名单制度

对在日常工作中发现的泄露公民个人信息的员工，应该依据法律法规和行业规范，及时进行处置，情节严重的，及时移交公安机关。依据情节，将泄露信息的员工列入“失信员工黑名单，实行行业禁入处罚，防止该类人员重新违法犯罪”。

（二）增强公民个人信息防范意识，提升防范能力

公民是受个人信息泄露影响最广泛、最直接的，侵犯公民个人信息犯罪黑色产业链严重影响公民对法治社会、和谐社会的体验感，对平安中国的满意度，侵犯公民个人信息犯罪黑色产业链的治理离不开公民的参与。

1.做好对普通群众的宣传发动

“三懂四会“群众工作方法是做好群众工作的重要法宝，做好群众工作就要懂群众语言、懂群众心理、懂工作技巧，还要会宣传发动。要了解人民群众对信息安全的需求，结合工作实际与辖区情况，采取亲近群众的宣传发动方式，让人民群众主动参与到信息安全社会的构建当中来。如发挥好新媒体与传统媒体的作用，采取信息安全宣传进社区、进校园的活动，通过有奖问答、知识竞赛等多种方式，做好对群众的道德教育、法治教育，增强群众的信息安全意识，提高防护能力。

2.加强针对性法治教育

针对存在犯罪亚文化的重点地区，针对通讯、银行、快递等重点行业，针对社会无业人员、流动人口和网络从业者等重点人群，开展针对性、常态化的法治宣传教育，提高其对犯罪、对信息泄露的法治认识、道德认识，构建不敢犯罪、不想犯罪、不能犯罪的社会氛围和严密法网。

（三）公安机关要提升打击力度与治理效能

侵犯公民个人信息犯罪黑色产业链具有非接触性犯罪的特点，往往缺少典型的犯罪现场，加上违法犯罪分子往往会采取秘密措施，隐秘完成违法犯罪活动，使得侵犯公民个人信息相关犯罪发现难、侦查取证难。要提升打击效果，就要提高执法办案水平，做到及时发现、积极侦查、全链条打击。

1.加强阵地控制

对存在犯罪亚文化的重点地区，对通讯、银行、快递等重点行业，对社会无业人员、流动人口和网络从业者等重点人群，要做好事先摸排工作，做到底数清、情况明。依托“断卡”行动，对非法买卖公民个人信息、“四件套”、“八件套”的违法犯罪分子，要坚决予以打击。同时借助“净网2021”专项行动，积极开展网络巡查，及时发现线索和证据。

2.完善侦查协作机制

在侵犯公民个人信息犯罪黑色产业链中，犯罪涉及面广，时间和地域跨度大，完善侦查协作机制，加强侦查协作是重中之中。依托现有侦查协作模式，完善涉及个人信息犯罪的侦查协作具体操作流程和规范，可将涉及个人信息犯罪协作业务、协作效果纳入公安业务考核内容之中，辅以激励措施，提升不同部门、不同地域侦查人员侦查协作的积极性和主动性，提升侦查协作效果。

3.提升电子取证能力

侵犯公民个人信息犯罪是涉网犯罪，在网络空间的调查取证工作不同于现实物理空间的调查取证工作，要通过专业队伍建设、专业人才培训、与企业合作等多种方式，适时更新网络电子取证的设施设备，提升电子取证能力。

4.重点打击内部人员非法买卖公民个人信息行为

内部工作人员非法买卖公民个人信息具有非常严重的社会危害性，且呈现高发态势。公安机关在加强阵地控制的同时，要主动与政府机构、公司、企业对接，及时打击参与非法买卖公民个人信息的内部人员。

5.重点打击下游犯罪，实现全链条打击

电信网络诈骗等下游犯罪的猖獗，带来了旺盛的非法的公民个人信息需求，刺激了侵犯公民个人信息犯罪网络黑产的发展。如果单独打击侵犯公民个人信息犯罪，不打击下游犯罪，非法的公民个人信息需求并没有减少，可能出现打掉一个侵犯公民个人信息犯罪团伙，又出现一个新的犯罪团伙的情况，无法实现标本兼治。犯罪产业链往往具备一定的“恢复能力”，打击其中某一环节并不能根除犯罪产业链。因此，打击公民个人信息犯罪，既要打击上游犯罪，也要顺沿犯罪产业链打击下游犯罪，只有上下齐抓，摧毁犯罪产业链才能真正收到打击成效[7]。打击侵犯公民个人信息犯罪黑色产业链，离不开党委政府的统筹协调、法律法规的完善和其他行政机关的协调配合[8]，需要全体人民群众与公安机关共同努力，优化思维脉络，提出创新应用方案[9]，携手共建共治共享文明和谐美丽的网络空间与现实空间,为公安大数据时代打击侵犯公民个人信息犯罪研究提供参考和借鉴[10]。