11月1日，《中華人民共和國個人信息保護(hù)法》（下稱“個保法”）正式實(shí)施。事實(shí)上，在這部專門性法律出臺前，已有不少個人信息保護(hù)條款散見于諸多法律之中，多地法院也已有過大量司法實(shí)踐。

值此重大節(jié)點(diǎn)，南都·隱私護(hù)衛(wèi)隊(duì)以“侵犯公民個人信息”、“買賣公民個人信息”等關(guān)鍵詞，在裁判文書網(wǎng)上獲取了8602份判決書，以此觀察2016年至今，相關(guān)案件的數(shù)量分布、涉案信息量、涉案金額和量刑趨勢等。

分析結(jié)果顯示，相關(guān)文書數(shù)量在2019年達(dá)到頂峰，其中超半數(shù)個人信息從行業(yè)內(nèi)部工作人員處泄露。在這些“內(nèi)鬼”中，有四分之一出自公安系統(tǒng)。此外，泄露的個人信息類型極廣，從新生兒信息、股民信息到開房記錄，無所不包。

姓名和電話最常泄露，主要被用于販賣牟利

根據(jù)個保法，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，而此前的《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（下稱《兩高司法解釋》）則對公民個人信息做出了更詳細(xì)的定義，其中包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財(cái)產(chǎn)狀況、行蹤軌跡等。

八千余份文書中，最常見的涉案個人信息是姓名和聯(lián)系電話——它們出現(xiàn)在了半數(shù)的案件中。緊隨其后的是身份證信息、居住地址和車輛信息。其中值得注意的是，在泄露的車輛信息中，有31.08%是從公安系統(tǒng)中泄露出去的。而20.79%的居住地址則主要從房地產(chǎn)公司和快遞公司泄露。

此外，部分涉案數(shù)據(jù)針對特殊群體，如新生兒和股民。此類數(shù)據(jù)往往直接從相關(guān)從業(yè)者手中流出，買家購買數(shù)據(jù)的主要訴求通常是有針對性的推銷或是詐騙。

以文書（2017）滬01刑終525號為例，2014至2016年，就職于上海疾控中心的韓某利用其工作便利，進(jìn)入他人賬戶竊取全市新生嬰兒信息，每半個月向其下家張某發(fā)送約5000條信息。張某獲取信息后，又轉(zhuǎn)賣給專做嬰幼兒保健品生意的范某。直至案發(fā)，韓某、張某、范某累計(jì)非法獲取新生嬰兒信息共計(jì)20余萬條。

在上述案件中，信息的泄露、買賣屬于產(chǎn)業(yè)鏈的上游。事實(shí)上，隨之而來的推銷、詐騙等犯罪對普通人的影響更大。

在南都·隱私護(hù)衛(wèi)隊(duì)分析的8602份文書中，有6949份提到了被告在獲得數(shù)據(jù)后的用途。而在一份文書中，可能出現(xiàn)多個被告，因此數(shù)據(jù)可能會有多種用途。其中，大部分被告選擇直接販賣數(shù)據(jù)販賣牟利，占比79.77%。此外，34.36%被用于推廣，10.48%則和詐騙相關(guān)。

除了對人們生活和財(cái)產(chǎn)的侵犯外，個人信息的泄露甚至?xí)θ松?span id="s0sssss00s" class="censor censor-2">安全造成威脅。

以文書（2017）浙02刑初49號為例，2017年，況某出于報(bào)復(fù)心理，花2000元向詹某購買其前女友趙某的暫住地信息。此后，況某攜尖刀至趙某的暫住房外守候，在趙某返回時即用尖刀刺破其心臟、主動脈數(shù)刀后逃離現(xiàn)場，趙某當(dāng)場死亡。

這樣的例子雖然極端，但能夠說明個人信息泄露對信息主體帶來的威脅——報(bào)復(fù)類案件在所有文書中只出現(xiàn)了8次，占比僅0.1%，但對每一個受害者來說，卻可能是一生揮之不去的陰影。

“內(nèi)鬼”販賣個人信息最多 1/4來自公安機(jī)關(guān)

那么，都是誰在販賣公民個人信息呢？數(shù)據(jù)顯示，行業(yè)內(nèi)部人員——也就是俗稱的“內(nèi)鬼”——占了大多數(shù)。

2017年，公安部網(wǎng)絡(luò)技術(shù)研發(fā)中心主任許劍卓曾表示，行業(yè)內(nèi)部人員已經(jīng)成為侵犯公民個人信息犯罪的重要主體。他指出，從治理犯罪來說，打擊源頭是最重要的工作。而在2018-2020的“凈網(wǎng)行動”中，公安機(jī)關(guān)抓獲侵犯公民信息的行業(yè)“內(nèi)鬼”3000余名，在“凈網(wǎng)2021”專項(xiàng)行動中則抓獲行業(yè)“內(nèi)鬼”500余名。

值得注意的是，在南都·隱私護(hù)衛(wèi)隊(duì)獲取的八千余份文書中，近四分之一的“內(nèi)鬼”來自公安機(jī)關(guān)內(nèi)部。一般而言，公安內(nèi)部人員能接觸到的敏感個人信息更多，諸如家庭住址、車輛、行蹤軌跡、開房記錄、犯罪記錄等等。數(shù)據(jù)顯示，大部分“內(nèi)鬼”從屬于基層派出所和交警大隊(duì)，這其中又以輔警和協(xié)警居多——雖然這些“編外人員”權(quán)限較低，但他們?nèi)钥梢酝ㄟ^盜用正式干警的數(shù)字證書，或以用他們的賬號密碼登陸公安內(nèi)網(wǎng)等方式獲取數(shù)據(jù)。此外，也有文書表明，有些干警是自己把數(shù)字證書權(quán)限交予“內(nèi)鬼”的。

此外，涉及“內(nèi)鬼”的信息往往和其對應(yīng)的“專業(yè)領(lǐng)域”有著強(qiáng)關(guān)聯(lián)。房地產(chǎn)工作人員主要販賣的是業(yè)主、小區(qū)信息，銀行從業(yè)人員則“主營”股民、貸款和賬戶信息。而不同專業(yè)領(lǐng)域又導(dǎo)向了不同的犯罪類型——從電信公司工作人員手中流出去的數(shù)據(jù)常被用于電信詐騙和推廣，從各個渠道中流出的貸款相關(guān)數(shù)據(jù)則和網(wǎng)絡(luò)放貸業(yè)務(wù)有關(guān)聯(lián)。

除“內(nèi)鬼”外，通過購買、交換等方式獲取公民個人信息的案件也不在少數(shù)，這說明公民個人信息的買賣市場仍然不容小覷，一條數(shù)據(jù)可能經(jīng)手多人，被“多次利用”。其中，不少案例中的被告假借“信息咨詢公司”之名從事個人信息買賣犯罪。跟蹤、偷拍的數(shù)據(jù)雖相對較少，但多為針對特定個人、達(dá)成特定目的做出的犯罪，實(shí)際威脅性也非常大。

刑期多為一至三年，罰金多在三萬以下

在大部分侵犯公民信息的案件中，一大特點(diǎn)就是可以以較低的金額，買到大量的公民信息。除了一些獲取成本較高（如跟蹤、偷拍）的數(shù)據(jù)和需要特殊權(quán)限才可獲取的數(shù)據(jù)（如個人征信數(shù)據(jù)、精準(zhǔn)股民數(shù)據(jù)）外，許多涉案數(shù)據(jù)的量級都是萬條起跳，最多的可達(dá)上億條。與之相對，大部分公民個人信息單條價格可能只有幾毛，甚至幾分錢。

從南都·隱私護(hù)衛(wèi)隊(duì)整理的數(shù)據(jù)中可以看出，大部分案件的罰金集中在三萬元以下，刑期則集中在一到三年之間。

為了得到更清晰的涉案金額、條數(shù)及判罰之間的關(guān)系，南都·隱私護(hù)衛(wèi)隊(duì)隨機(jī)選取一百條文書數(shù)據(jù)做了進(jìn)一步分析。

基于《兩高司法解釋》對于涉案金額、涉案條數(shù)和量刑標(biāo)準(zhǔn)的定義，根據(jù)信息類型不同，非法獲取、出售或者提供公民個人信息“五百條以上”“五千條以上”“五萬條以上”，或者違法所得五萬元以上的，即屬“情節(jié)特別嚴(yán)重”，應(yīng)被判處三年以上七年以下有期徒刑。

在這一百條數(shù)據(jù)中，37.5%的涉案個人信息條數(shù)超過5萬條，36.23%的涉案金額超出5萬元，46%被定義為“情節(jié)特別嚴(yán)重”。但仍有19.56%的案件量刑在三年以下。此外，在一百條數(shù)據(jù)中，有41條文書中的被告被判處緩刑，59條文書中被告超過一人，屬于群體作案。

不過，隨著立法不斷完善、執(zhí)法力度逐漸加強(qiáng)，全國侵犯個人信息相關(guān)的文書數(shù)量在2016年至2019年間大幅增加，在2019年達(dá)到頂峰。據(jù)不完全統(tǒng)計(jì)，2019年相關(guān)文書數(shù)量為1865條。此后兩年，數(shù)量又有所下降。

從地區(qū)上看，長三角和珠三角是相關(guān)文書數(shù)量最多的地區(qū)。其中，江蘇省的文書數(shù)量最多，達(dá)到1595份。此外，河南、福建、四川、重慶、湖北、安徽和山東的相關(guān)文書數(shù)量也在200到500份之間。而新疆、內(nèi)蒙古、甘肅、青海、寧夏和西藏等地的文書數(shù)量不到15份。

防止“數(shù)字石油”引發(fā)“白色污染”

信息時代，智能產(chǎn)品和互聯(lián)網(wǎng)忠實(shí)地記錄下我們的數(shù)字足跡，催生了海量的數(shù)據(jù)。在生活中，大到每個人的檔案背景，小到在短視頻網(wǎng)站的點(diǎn)贊，都被上傳到了觸手可及的網(wǎng)絡(luò)云端，并推動著互聯(lián)網(wǎng)經(jīng)濟(jì)快速發(fā)展?！督?jīng)濟(jì)學(xué)人》稱，數(shù)據(jù)已經(jīng)成為了數(shù)字時代的石油，是當(dāng)今世界最有價值的資源。

然而，個體往往無從得知自己的個人信息正在被如何傳播、販賣。在這個層面上，數(shù)據(jù)或許更像是數(shù)字時代的塑料——在短期的使用上更為便利，但如果沒有合理的監(jiān)管，未免不會引發(fā)數(shù)字世界中的“白色污染”。?

11月1日，個保法正式實(shí)施，我國個人信息保護(hù)迎來專門立法。個保法明確，個人信息處理者應(yīng)當(dāng)防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失，對個人信息采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施，并合理確定個人信息處理的操作權(quán)限。還規(guī)定當(dāng)信息處理目的已實(shí)現(xiàn)、無法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要、個人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿或個人撤回同意時，個人有權(quán)請求信息處理者刪除相關(guān)信息。

我們希望個保法的實(shí)施能遏止“內(nèi)鬼”橫生、信息被恣意買賣的現(xiàn)象，而這也是防止“數(shù)字石油”變成“數(shù)字白色污染”的關(guān)鍵一環(huán)——畢竟，在現(xiàn)實(shí)世界中，白色污染的源頭，也是未經(jīng)治理的石油。