韩 旭
(上海政法学院,上海 201701)
当前,数据对全球经济和社会发展的影响和作用正在由“量”到“质”的根本性跃升。在由互联网、移动互联网为代表的信息时代,数据被定义为信息的形式化表示,而物联网、云计算和人工智能技术的飞速发展,已经并仍在加速促生着从“数据”到“大数据”的由量变到质变的演进:大数据除了沿袭数据作为表示信息的形式化载体这一属性外,同时又反过来成为挖掘新信息和新知识的基础原材料,在经过统计分析和机器学习等技术和方法的发掘和利用后,既迸发出巨大价值,又预示着无限潜能。
根据2020 年4 月9 日发布的《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》[1],我国已将数据上升为与土地、劳动力、资本、技术并列的新型生产要素。随着数据逐渐变成新时代生产生活的支柱,数据安全也日益成为保障经济发展、社会稳定和国家安全的重要基石。近年来,由于数据的资产价值属性得到越来越多的关注,针对数据的成胁和风险也迅速升级,海量数据的存储带来极大的安全隐患,增加了数据泄露的风险。
多次发生的蓄意撞库事件使得数百万用户的信息遭到泄露,又为犯罪行为人实施其他种类繁多的犯罪提供基础,侵犯公民个人信息仅仅作为其上游犯罪存在。
2019 年11 月最高人民法院在网络犯罪大数据报告发布会上的司法大数据反映出,19.16%的网络诈骗案件具有精准诈骗的特征,即不法分子获取公民个人信息后有针对性地实施诈骗,极大地提高了诈骗得逞的可能性。[2]
对于利用大数据中信息进行犯罪的案件统计梳理,通过“信息泄露”、“刑事案由”进行精确检索,得到统计数据,发现有以下特征:
1.案由中侵犯财产罪占比最大。当用户个人信息被非法获取后,第一手的信息获取人往往会将这些信息高价转卖用以牟利,在信息被转手贩卖的过程中,因信息购买者意图的不同进而形成不同的犯罪类型。对于破坏社会主义市场经济、侵犯公民人身民主权利罪而言,实施犯罪的成本和所获的利润往往不成正比,而利用掌握的公民个人信息进行侵犯财产犯罪,往往是最直接且付出成本最低的犯罪活动。因而犯罪行为人在利用泄露信息时,用于侵犯财产的犯罪活动居多。依据在北大法宝中司法案例检索得出的数据,在利用信息泄露进行的犯罪中,用于侵犯财产案件数量为303 个,占比为48%;用于侵犯公民人身、民主权利的案件数量为127 个,占比22%;用于破坏社会主义市场经济案件数量为118 个,占比19%。
2.侵犯财产犯罪中诈骗罪的比率最高。获取公民个人信息后,犯罪行为人多伪装成司法机关、公安机关等具有权威性的国家机构,利用公民对于国家机构的信任及畏惧实施诈骗行为。这种作案手法在诈骗案件中十分常见,因得手率高而屡禁不止,往往会形成一个犯罪团伙,多人共同配合实施犯罪行为。而非法利用公民信息盗窃案件中,常见作案方式为盗刷信用卡或银行卡,因支付宝、微信支付等第三方支付方式的发达,冒用他人信息进行支付的案例也逐渐增多。其他相关犯罪如敲诈勒索等多是依托获取公民不愿意让他人知悉的信息实施传统的犯罪行为,并没有形成集团式、产业式的犯罪模式。
3.利用信息泄露实施犯罪的案件多分布在经济发达以及人口较多的地区。利用信息泄露实施犯罪行为的前提是掌握大量准确真实的公民个人信息,经济发达的地区因人口流动频繁,经济往来较多,拥有更海量的用户存储信息,数据价值更高,相对来说被攻击的概率更高,造成数据泄露的可能性也就越大。而在人数较多的地区同样也存储了巨大的数据信息,如果经济水平不足以支持配套相应数据保护措施,也极有可能发生技术问题上的泄露,被犯罪团伙利用,实施犯罪行为。通过分析利用信息泄露实施犯罪案件的地区分布,可以发现浙江、广东、上海、北京等地的案件数量明显多于其他地区。
在中国知网以“大数据犯罪”为主题进行检索,检索出695 篇文献,随着互联网大数据的价值不断被重视,相关论文研究数量从2016 年到2019 年逐年增高,2016 年增长幅度最大,后增势放缓,到2020 年略有下降。
在论文研究的主题上,主要主题分布和次要主题分布略有不同,主要主题层面,除了“大数据”关键词外,职务犯罪、刑法保护、网络犯罪、公民个人信息也是研究的热点问题。次要主题方面,相较于主要主题,多了公安机关、刑事侦查以及对犯罪分子和犯罪行为的研究,说明对于大数据犯罪的,除了构成具体罪名的研究外,对于犯罪行为本身也较为关注。
在学科分布方面,公安超越刑法占据第一位置,计算机软件作为非法学专业,也利用其专业技术,建构模型分析犯罪大数据。政治学方面该专业研究人员将数据安全问题上升到国家战略方面,积极建言献策。甚至法理与法制史专业也紧跟时代热点,结合学科特点对大数据应用犯罪问题进行分析。
1.现代信息技术的发展使得数据存储数据海量增长,为大数据犯罪提供了有利环境。一般认为,大数据是指数据量巨大,通常认为数据量在10TB-1PB(1TB=1024GB,1PB=1024TB)以上,数量级应是“太字节”(2×40)的,并且是高速、实时数据流。[3]
目前多数学者比较认可的大数据特征是大数据的4v特性:volume,大量化,即海量数据、数据规模大;variety,多样化,即类型繁多、数据多样化;velocite,快速化,实时快速的数据流数据、处理的持续性及快速化;value,数据多且有价值数据有限,数据的价值高且密度低。[4]
在大数据时代,计算机信息处理量已经达到万亿GB级别,每个人的信息都通过使用的手机、电脑等电子设备被源源不断地收集在应用程序的后台。这些信息不仅包括使用者个人账户的登录信息,该用户在使用过程中的搜索、浏览记录全都被记录在册。一键搜索就可以得到所需要信息的便利以及越来越“贴心”的智能服务,所依赖的就是被收集的详细个人数据。在这些数据被收集、处理、加工、使用的过程中,其背后的巨大利用价值不仅让各类合法存储公司竞相开发,也使得犯罪人趋之若鹜。
2.信息泄露现象屡见不鲜,犯罪人的犯罪压力随之减弱。近年来引发公众关注的信息泄露事件频繁发生,仅2020 年就有以下多起案件:运营商超2 亿条用户信息被卖;微博5.38 亿用户数据在暗网出售;青岛某医院6 千余人就诊名单泄露;多地数千高校学生隐私遭泄露;浙江一家银行泄露客户信息被罚30 万……此外,几年前的雅虎信息泄露事件、圆通快递用户信息泄露事件、Facebook 泄密事件也都令公众为之震惊。但是随着爆出的信息泄露事件越来越多,所泄露信息数量不断攀升,公众除了在事件发生后热议并且谴责外,对于此类信息泄露事件的防范并没有实质性的进步,甚至见怪不怪地自嘲,没有谁的信息和隐私不被别人非法获取过。而在这些热点事件舆论热点期过后,相关执法机构如何对事件中的企业进行处罚,这些企业又是如何进行整改,之后会采取哪些防范措施,公众则鲜少知悉。尽管国家针对信息保护陆续出台《网络安全法》以及《个人信息保护法》,也加大了对违规企业的处罚力度,但是从公民到企业甚至到政府机构,对于信息被泄露的警惕性依然不够。对违规越轨行为的宽容态度使得犯罪人在实施利用泄露信息进行的犯罪时心理压力较低,更容易进行犯罪。
3.当前大数据运行过程中安全防护力度以及公众个人隐私意识不够,犯罪阻力小。大数据的核心,从存储和传输过渡为数据的挖掘和应用。在大数据环境下,数据的集中和数据量的增大给产业链中的数据安全保护带来新的威胁,数据开始成为主要的攻击对象,网络向围绕数据处理的数据网络转向。[5]数据的收集者,已经不仅是以往具备先进计算机知识的主体,任一款手机APP,在用户使用的整个过程中,从注册到具体的操作使用,都会存储产生大量信息,APP 后台在收集这些信息时不一定会具备相关的专业能力,无论是依赖公司自己的技术,还是外包给其他科技公司代为加工处理,在数据流转过程中容易被专业犯罪黑客进行攻击,存在信息泄露的极大隐患。除了信息收集者的问题外,信息的产生者即用户个人,也可能会在日常生活中通过晒出自己所在地、照片或者其他可以定位到此人的方式泄露个人信息。只要犯罪分子有意进行收集,便可掌握大量用户个人信息。
1.利用泄露的信息实施诈骗的犯罪人往往受教育水平不高,易被违法犯罪的高额回报率诱惑。根据某省四百份电信诈骗的实证分析研究[6],涉案600 余人中具备大学学历及以上的人员仅占0.9%,初中文化的人员占到了近70%。受教育水平不足导致犯罪人的知识水平和法制意识淡薄,无法在社会上寻找到良好的工作机会,多处于务农、务工或者无业状态,经济条件较差。此时一旦有一个简单挣快钱的机会,很容易诱惑到这些潜在犯罪群体。在利用泄露的信息实施的犯罪中,诈骗罪所占比率最高。浏览相关案例,发现依托掌握个人信息进行精准诈骗,既不需要很多前期投入,也不需要很高的操作技巧,尤其是伪装成公安法院等国家机构,几乎只需要三到四个过程(即诱导被害人相信官方身份—告知被害人涉嫌犯罪—指定被害人将钱款打到犯罪人账户上),被害人出于对国家机构的信任,一步一步踏入犯罪人布好的陷阱内,被骗金额往往达到数万甚至数百万。微小投入带来巨大回报,极大刺激了犯罪人的犯罪心理。
2.受利用泄露信息实施的犯罪的特征影响,侦破抓获率较低,犯罪人存在侥幸心理。仍以在利用信息泄露实施犯罪中占比最高的诈骗罪为例,犯罪人多组成犯罪集团形式,将驻点选在东南亚国家,从国内选取合适的犯罪人前往海外据点。公安部刑侦局有关负责人强调,跨国电信网络诈骗犯罪团伙具有严密的组织性和较强的隐蔽性,此类案件具有破案难、追赃难的特点。且犯罪数量多,加之被害人在犯罪发生时难以留取证据,增加了警方对于此类犯罪的打击力度,对于犯罪人来说实施此类犯罪变成了高收益、低风险的活动,成为助长犯罪心理产生和犯罪行为实施的因素。
对于利用信息泄露实施的各类犯罪,在防治路径上应当注重两个方面,即防控信息泄露方面以及防治获取信息后的犯罪行为方面。
1.提高企业对于信息泄露的警惕意识,从企业入手减少泄露源。作为数据直接收集和处理使用者,企业是信息泄露最大的主体。尤其是各类应用软件的运营商,随着互联网和手机普及率的高速增长,各种企业移动客户端越来越常见。近年来国家也大力推动大众创业万众创新,鼓励扶持小微企业发展。互联网的门槛越来越低,进入的企业也越来越多。只管收集使用不管安全保障也成为如火如荼发展现象下的弊病。而且为了节省成本,实现最大程度的获利,许多企业间会在不经用户同意的情况下私自数据共享。企业本身一刀切式信息收集就已经给用户个人隐私带来了风险,私自授权共享给其他用户更是在过程中提高了数据泄露隐患。因此,必须从企业自身出发,限定其在确保程序正常运转下所能收集最大范围的个人信息,严格规定在与其他企业共享数据时必须要让用户知悉共享了哪些数据,这些数据将被用在哪些地方,使用期限是多久,使用结束后数据将做怎样的处理。同时,必须要求信息储存达到一定量的企业通过安全监测,且储存量越大,所对应的安全监测级别就越高。
2.政府设立专门管理机构,加强对企业用户数据的监管和违规企业的惩处力度。最近几起大型信息泄露事件表明,数据安全已经不仅只关乎企业和用户之间的关系,更有可能影响国家的信息安全稳定,除了公民个人信息泄露,在经济领域、科技领域甚至国防安全领域的泄露也逐渐暴露出来。数据既已成为国家的支柱性产业,对国家的发展前景起到重要作用,因此对于数据的防护也应当提高到相应水平。目前已经出台的《网络信息安全法》与《个人信息保护法》中有明确规定,各省市电信管理机构(包括工业和信息化部与通信管理局)负责网络安全防控工作的统一指导、协调和检查。其中通信网络运行单位应当对本单位的通讯网络根据遭受破坏后可能的危害程度划分不同等级,并向电信管理机构报备。规定既已出台,相关部门应严格按照规定进行,密切关注网络舆情动态,及时发现潜在的危险,除了正常检查各项备案是否合格无误外,对于已经存在的信息泄露企业的处罚也应匹配其危害程度,使具备同样可能性的企业加紧内部风险筛查,从外部给予企业防控压力。
3.提高用户安全意识,坚决维护隐私安全。与个人相关的数据是大数据时代的“小数据”安全问题。其包括事前预测、被侧写的威胁,以及基于数据的虚拟真实性与现实真实性的错位,基于敏感信息挖掘而对个人生活领域形成深度侵犯,以及通过身份盗窃危害他人人身、财产安全的行为。[7]因此,重视信息泄露离不开公民个人的安全意识。诚然现在仍有许多手机APP 软件要求使用用户必须授权部分权限才可以使用,但是国家网信办、工信部、公安部、国家市场监管总局于2021 年联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,明确了地图导航、网络约车、即时通信、网络购物等39 类常见APP的必要个人信息范围,规范APP 收集个人信息的行为,打击了过度采集的同时也向公民释放了自我个人信息保护的信号。用户有权利选择哪些信息不被收集,自然就应该审慎使用自己的权利,自己的信息终究还是需要自己进行保护,尤其是在社交平台上随意定位自己的所在地、公布自己的照片等都是自己加大信息泄露风险的行为。只有每一位公民都意识到自己信息的价值和宝贵之处,才能有力减少成为财产或人身犯罪的对象。
2015 年《刑法修正案(九)》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,目的是更有力地打击非法获取公民信息,进而实施犯罪的行为。据此,对于买卖信息的双方都应进行处罚,情节轻微的予以行政处罚,造成严重后果的也应进行刑事制裁。而对于非法购买个人信息用于生产经营活动的行为要及时发现及时纳入惩罚范围,防止轻微违法行为演变为犯罪行为。
但是仅凭刑罚处罚对于数量多、范围广、难以追踪溯源的贩卖个人信息案件显然无法及时有效地进行阻断,这就需要发挥大数据的其他效用,通过建立严密的信息监控技术,在庞大的数据库外形成多张拦截网和监控网,对于防护薄弱环节重点监控,对于反复多次出现泄露地点追踪监控,除了保障未被泄露的信息安全外,对于已经造成的数据泄露及时确定数据流向地,尽可能在技术手段方面进行拦截。
在数据监控方面,数据敏感度是衡量数据侵害强度的标准之一,根据《信息安全技术公共及商用服务信息系统个人信息保护指南》,个人敏感信息是指一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。经营者对采集到的个人数据,未经许可进行二次开发利用或者定向强制推销,也是个人信息滥用的方式之一。因此,建议将企业收集的用户信息进行敏感信息与非敏感信息的区分。对于敏感信息的防护力度加强,同时对于经手机构和具体组织成员身份进行固定,确保在责任追究时负责人明晰。同时也增加了犯罪人接触敏感信息的难度。
良好的公共教育计划有利于公众进行犯罪预防,公众对犯罪现状、犯罪的原因、犯罪的危害、与犯罪作斗争的手段及预防的具体方法了解得越多,则越有利于有效地组织和实施犯罪预防。[8]因此,针对此类犯罪,可以采取电视公益广告、微博、微信推送等向公众详细展示信息泄露可能被利用而产生的几类犯罪类型,将具有典型代表性的犯罪行为进行剖析,增加公众对于这些犯罪行为的了解,减少因信息不对称而盲目相信犯罪人的诈骗套路。在警示可能存在的风险时,也加强了普法教育,强化潜在犯罪人意图实施犯罪的压力,减少其犯罪的可能性。公共教育是一个需要长期投入时间、精力才可以形成系统性有效计划的过程。可以将重点放在青少年群体,抓稳日常普法与义务教育,慢慢形成良好社会氛围。
发展式预防最具特色的一点是,将司法政策与个人、家庭、社区的社会支持结合起来修正犯罪风险。[9]动用群众的力量预防犯罪,一是弥补了日常公职人员上班时间固定、无法全时间覆盖的短板;二是通过群众的及时反馈,能增加对犯罪事件的前期感知,为公安机关侦破相关案件提供线索。在利用信息泄露实施的犯罪中,获取信息只是第一步,多数是要与信息主体进行接触才能进行下一步犯罪。在这个时候,如果群众能及时识破对方的犯罪意图并将其报告给公安机关或者其他国家机构,很有可能赶在犯罪人实施下一次犯罪前将其抓获,从而减少公民的财产损失。为了更好地对大数据应用中的犯罪进行发展式预防,可以将微博、微信等舆论力量较大的互动式APP 作为阵地,设置专门的投诉、举报板块,鼓励网民发现、识破、举报可能的信息泄露或利用信息泄露实施犯罪的行为。
我国正全面跨入数据时代,而且数据量在持续以几何级数式的速度迅速增长。数据对于国家政治、经济、社会发展起着举足轻重的巨大作用。随着我国将数据未来经济和社会发展的创新要素与土地、劳动力、资本和技术等生产资料相提并论,数据的巨大价值和重要意义已经得到充分强调和凸显,越是如此,数据的价值实现越是必须以保护数据及其中蕴含信息的安全作为前提。数据泄露事件频发,反映出在面对日新月异的数据时代时还存在诸多漏洞,学界在此问题的研究上,如果只专注通过刑法进行调整,那么无论是在防控介入阶段上还是在有效预防上都会有所滞后。因大数据的发展大大拓展了犯罪人的犯罪空间,由此对于利用信息泄露所实施的犯罪行为,应从多角度,联合多个主体进行惩治与预防才能达到预期的目标。