北京高院：24.6%的侵犯公民个人信息案涉高度敏感信息（附典型案例）

标签： IAPP 数据隐私认证浏览量：0 2023-08-24

侵犯公民个人信息犯罪案件总体情况及特点

2018年以来，北京市各级法院共审结侵犯公民个人信息犯罪案件219件，其中一审179件、二审40件，判处犯罪分子294人。从案件情况看，北京市侵犯公民个人信息犯罪呈现以下特点：

一是涉案公民个人信息类型中高度敏感信息占比突出。经统计，所有已结案件中24.6%的案件涉及高度敏感信息，包括行踪轨迹信息、通信内容、征信信息和财产信息；9.9%的案件涉及敏感信息，包括住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息。公民手机号码、身份证件号码则在各种信息类型中所占比重最大。

二是涉案公民个人信息的数量规模日渐庞大。统计发现，在179起侵犯公民个人信息罪的一审案件中，除17起案件依据犯罪所得定案外，其余162起均以信息条数作为定罪量刑的主要依据。其中超过半数的案件信息数量超过5万条，约1/4的案件信息数量超过50万条，少数案件查获的信息多达数百万、数千万条，甚至过亿。

三是侵犯公民个人信息的犯罪手段越发隐蔽。不法分子多是通过社交软件群、网站论坛等平台买卖或交换个人信息，系常见犯罪手段。虽然这类方式至今仍被多数犯罪分子所采用，但近年来，“暗网空间”已逐渐成为犯罪交易的活跃场所。同时，交易支付方式从现实货币演进为虚拟货币，最常见的如“比特币”。除了交易环境和支付方式日益隐蔽，秘密窃取的技术手段也日益成熟，如“爬虫”软件成为收集大量信息时的常用软件之一。

四是五成案件的被告人有较为固定的工作单位或职业。经统计，超过半数的案件，被告人供职于公司企业、事业单位或系个体企业经营者。其中，公司职员（包括中高级管理层、法人代表）所占比例最大，为50.3%。从学历、职务看，不乏有被告人拥有较高的学历水平，在互联网公司、金融投资企业、房产中介等任较高职务。

五是侵犯公民个人信息犯罪与其他违法犯罪活动相关联。根据个人信息的来源及流向，侵犯公民个人信息犯罪涵盖了金融、教育、交通、通信、物流、求职、法律等各行各业。排除买卖、交换等中间环节，39.6%的涉案信息被用于违法甚至犯罪活动，如违规提取公积金或办理信用卡、同行不正当竞争、代收代写学术论文、暴力催收讨债、发送招嫖信息、电信网络诈骗、盗窃存款、敲诈勒索、绑架、故意伤害等。3.6%的案件由所谓“私家侦探”通过跟踪拍摄、关系查询等方式定向追踪个人，调查特定公民信息。

3个侵犯公民个人信息罪的典型案例

这3个案例涉及的信息类型多为高度敏感信息，与其他违法犯罪活动关联较紧密，体现了相关行业内部从业人员泄露个人信息的危害性。

案例一.

被告人沈某侵犯公民征信信息案

一、基本案情及处理结果。被告人沈某案发前系某大型国际信托有限公司项目经理，利用任职便利，采取“撞库”（网络安全领域中的概念，一般指的是攻击者通过一些自动化工具针对数据库站点的相关接口批量提交大量随机的用户名/密码组合，记录下其中能成功登录的组合并盗取该账号，为接下来实施其他违法犯罪行为做好准备）等方式获取某银行个人征信系统用户名和密码，通过其所属国际信托有限公司与该银行之间进行专线互联的终端机，数次非法登陆该银行个人征信系统，查询并下载保存他人征信报告共计100份。另，被告人沈某此前曾采取上述同样作案手段，查询并下载保存他人征信报告共计1000余份。西城区法院经审理认为，被告人沈某违反国家规定，非法获取公民个人信息，情节严重，已构成侵犯公民个人信息罪，依法应予以惩处。鉴于被告人沈某到案后能如实供述自己的罪行，当庭认罪悔罪，依法可以从轻处罚。西城区法院以侵犯公民个人信息罪判处沈某有期徒刑一年，并处罚金人民币四千元。

二、典型意义。在当代社会，个人征信作为公民的“经济身份证”，在公民个人生活中发挥着十分重要的作用，影响老百姓的出行、贷款、就业等方方面面。因此，“两高”在2017年出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中将征信信息列为高度敏感信息，非法获取、出售或者提供50条该类信息即可入罪。

本案中，被告人沈某曾任某大型国际信托有限公司项目经理，与某银行等金融机构多有业务往来，其利用金融从业人员的职业便利，利用“撞库”等非法技术手段获取了大量公民征信信息，社会危害严重，已构成侵犯公民个人信息罪。综合考虑全案事实、证据，鉴于沈某到案后能如实供述自己的罪行，当庭认罪悔罪，态度良好，依法可对其从轻处罚。本案的依法妥善惩处，有力维护了网络空间秩序和人民群众合法权益。

案例二.

被告人胡某等人侵犯公民个人信息案

一、基本案情及处理结果。被告人胡某以某科技有限公司的名义向北京某大型通信运营商申请批量办理手机号，其通过被告人张某雇佣他人作为经办人，有偿使用张某提供的他人身份证件办理上述业务。被告人任某、鲁某是运营商营业厅的工作人员，明知上述公司所办理的手机号涉嫌诈骗，仍予以办理。经查，办理的手机号后被用于电信网络诈骗，诈骗金额共计约170余万元。

同时，被告人胡某非法从他人处获取工号、密码办理大量手机号，后相关手机号码被用于电信网络诈骗，涉及诈骗金额特别巨大。大兴区法院经审理认为，被告人胡某犯侵犯公民个人信息罪，判处有期徒刑二年，并处罚金人民币二万元；犯帮助信息网络犯罪活动罪，判处有期徒刑二年六个月，并处罚金人民币十万元，决定执行有期徒刑四年，并处罚金人民币十二万元；被告人张某犯侵犯公民个人信息罪，判处有期徒刑二年，并处罚金人民币二万元；被告人任某、鲁某犯帮助信息网络犯罪活动罪，分别判处有期徒刑一年，并处罚金人民币一万元。

二、典型意义。电信诈骗是最常见的侵犯公民个人信息行为的下游犯罪，具有严重的社会危害性。本案各被告人共同实施了多次内外勾连、上下游配合的侵犯公民个人信息以及帮助电信网络诈骗的行为，造成了大量被害人财产损失，性质恶劣。被告人任某、鲁某身为某通讯运营商的工作人员，负有办理通讯入网业务的审查职责，但其在接待、考察、审核过程中明知他人利用信息网络实施犯罪，仍为其提供帮助，造成大量手机号被用于电信网络诈骗且诈骗金额特别巨大的严重后果，属情节严重，构成帮助信息网络犯罪活动罪，依法应予惩处。

法院依法从严惩处本案，体现了人民法院加强对电信诈骗犯罪上游信息采集、提供、倒卖等环节犯罪行为的全链条打击，对促进平台、行业完善内部管控，推动形成个人信息保护多元共治新格局有着积极作用。

案例三.

被告人秦某等人侵犯公民行踪轨迹信息案

一、基本案情及处理结果。被告人秦某入职某航服人才服务有限公司，被派遣至某航空公司客户服务中心担任国内客服代表。被告人李某就职于某科技有限公司，负责某国际航空公司系统业务，离职后通过前同事查询航班信息。

2020-2021年，秦某伙同李某，直接或间接利用查询航班信息的工作便利，违反国家有关规定，共同及各自非法获取公民个人信息后向他人出售。其中，二人共同出售他人航班行踪轨迹信息1964条、其他公民个人信息370条，非法获利共计人民币4万余元；秦某单独出售他人航班行踪轨迹信息383条、其他公民个人信息24条，非法获利共计人民币6000余元；李某单独出售他人航班行踪轨迹信息731条、其他公民个人信息57条，非法获利共计人民币1万余元。被告人张某违反国家有关规定，向李某购买他人航班行踪轨迹信息426条、其他公民个人信息78条。被告人徐某违反国家有关规定，向秦某、李某购买他人航班行踪轨迹信息192条、其他公民个人信息8条。

秦某、李某的行为导致众多不特定公民的行踪轨迹、身份证件等个人信息受到侵害，致使社会公共利益受损。朝阳区法院经审理，以侵犯公民个人信息罪判处秦某、李某有期徒刑各三年，罚金人民币各四万元；判处张某有期徒刑一年，缓刑一年，罚金人民币一万元；判处徐某拘役五个月，缓刑五个月，罚金人民币五千元；继续追缴秦某、李某的违法所得；禁止秦某、李某自刑罚执行完毕之日起三年内从事航空客服代表类职业；责令秦某、李某支付公共利益损害赔偿款，没收后上缴国库，注销买卖公民个人信息使用的微信号，删除存储在其中的公民个人信息数据，并在国家级新闻媒体就侵犯公民个人信息行为向社会公众公开赔礼道歉。

二、典型意义。本案系一起典型的侵犯公民个人信息刑事附带民事公益诉讼案件。被告人秦某、李某所出售的公民个人信息主要包括舱单信息、历史飞行记录和公民身份证号、护照号等，其中舱单信息包括了乘机人拼音姓名、航班号、舱位号、航班日期、订票日期等内容。

对于购买者而言，上述信息或能单独反映，或能与旅客订座记录中包含的电话、身份证号、护照号等信息组合反映，或能与购买者所了解的其他信息结合反映明星、粉丝以及其他普通乘机人等特定自然人在具体时间点的行踪轨迹，属于刑法所保护的公民个人信息。

秦某系将在履行职责或提供服务过程中获得的公民个人信息出售给他人，依法对其从重处罚。秦某、李某利用现有或曾经的工作便利，违背职业要求的特定义务实施本案犯罪行为，依法对二被告人宣告职业禁止。法院在依法从严追究被告人刑事责任的同时，对附带民事公益部分进行了妥善审理，要求被告人承担相应的民事责任，增加侵犯公民个人信息的违法成本，起到了有效的警示作用，体现了对公民个人信息的全面保护。

来源：北京法院

转发自“合规社”整理的文章

如何选择适合自己的隐私证书？如何快速学习信息隐私合规？我们邀请了拥有10年以上网络安全、数据合规经验的资深信息安全专家——LUNA老师，为我们分享“全球隐私保护与数据合规趋势”：

"8月26日”周六10:00-11:30

“挑战与机遇”

浅谈全球隐私保护与数据合规趋势