咨询律师事务所侵犯公民个人信息犯罪：如何突破取证与追责困境？

【典型意义】

1. 明确犯罪链条责任认定：在侵犯公民个人信息的犯罪产业链中，清晰界定信息获取、倒卖、使用等各环节的法律责任，对于准确打击犯罪至关重要。司法机关不能仅关注直接实施侵犯行为的人员，还应深入追查上下游犯罪主体，通过对整个链条的打击，从根源上遏制此类犯罪的发生，维护公民个人信息安全和社会公共秩序。

2. 平衡企业与公民信息保护：一方面，督促企业尤其是互联网企业完善内部安全管理和网络安全防范机制，履行保护公民个人信息的社会责任。另一方面，当企业自身信息安全失守导致公民信息泄露时，合理确定企业应承担的责任，既保护公民合法权益，又促进企业提升信息保护能力，推动行业健康发展。

3. 解决取证难与证据认定：鉴于侵犯公民个人信息犯罪手段隐蔽，证据易销毁等特点，合理调整证据收集和认定规则。通过间接证据相互印证、电子数据司法鉴定等方式，降低受害人或执法机关的举证难度，提高打击犯罪的效率和准确性。

【案情简介】

近年来，犯罪分子侵犯公民个人信息形成了一条严密的产业链，涵盖信息获取、倒卖、使用等关键环节。

在教培机构信息失守案件中，去年 9 月，某教育培训机构发现电脑内植入恶意软件，客户资料、用户信息等敏感数据被非法获取。内部监控显示员工鲁某某趁无人时，遮挡监控探头，插入优盘获取数据。经深入侦查，鲁某某频繁跳槽于各地在线教培机构，植入木马程序获取数据。背后还有组织者闫某某、提供木马病毒的专业技术人员等。该犯罪链条分工明确，包括木马制作、分发组织、“投毒” 等环节。受害企业多为互联网在线教育机构，因规模小、缺乏专业安全力量，且销售岗位员工流动性大，未能及时发现异常。犯罪团伙成员入职企业只为 “投毒”，集中住宿、统一管理，使用匿名聊天工具沟通，先后对 50 余家企业实施犯罪行为。

在电商平台 “订单解密” 案件中，网民韩某某网购茶叶后，手机号接到陌生推销和境外诈骗电话，还收到虚假购物信息。公安机关侦查发现，电商平台和快递企业为保护消费者隐私对订单信息加密，但部分商户勾结 “解密中介” 和快递公司 “内鬼”，通过订单导出、解密、对单结算等简单步骤，非法获取客户订单信息。犯罪嫌疑人李某某、陈某等中间商寻找有解密需求的商家，商家将加密订单发给他们，再转手给数据解密人员胡某某等人。本案共抓获犯罪嫌疑人 18 人，涉案金额达 300 余万元。

在求职网站虚假招聘案件中，去年 6 月，某网络招聘平台接到求职者田女士投诉，称被平台注册的 “某科技有限公司第一分公司” 以赚钱为由刷单诈骗 2400 元。经分析，该公司冒充合法企业，上传虚假营业执照和办公环境视频，发布虚假职位，获取上百名求职者姓名和手机号。犯罪团伙将求职者引流到某办公 APP，诱导下载涉诈 APP 实施诈骗。公安机关深挖发现，该团伙已形成制售假营业执照、倒卖求职信息、帮助电诈团伙精准诈骗的黑产链条，非法获取近千名求职者联系方式，冒用 7 个网络招聘平台上正规企业信息注册，破坏了求职招聘市场秩序。

【法院裁判】

在教培机构信息失守案件中，法院综合考虑各犯罪嫌疑人在犯罪链条中的作用、主观恶性以及对受害企业和公民造成的损害后果等因素。认定组织者闫某某起主要作用，为主犯，判处有期徒刑 X 年，并处罚金 XX 万元；鲁某某等 “投毒” 人员和提供木马病毒的技术人员，根据其参与程度和危害后果，分别判处有期徒刑 X 年至 X 年不等，并处罚金 XX 万元至 XX 万元不等。同时，责令各犯罪嫌疑人共同赔偿受害企业因数据泄露造成的经济损失，包括客户流失损失、修复系统和加强安全防范的费用等，具体数额根据企业提供的证据和评估报告确定。

在电商平台 “订单解密” 案件中，法院认为电商商户、“解密中介” 和快递公司 “内鬼” 相互勾结，共同实施了侵犯公民个人信息的行为。根据各被告人的犯罪情节和作用大小，对主犯李某某、陈某等判处有期徒刑 X 年至 X 年不等，并处罚金 XX 万元至 XX 万元不等；对从犯胡某某等判处有期徒刑 X 年至 X 年不等，可适用缓刑，并处罚金 XX 万元至 XX 万元不等。同时，判决各被告人共同赔偿因侵犯公民个人信息给受害人造成的损失，如因诈骗导致的财产损失等，按照实际损失数额确定。

在求职网站虚假招聘案件中，法院认定该犯罪团伙构成侵犯公民个人信息罪和诈骗罪。对主要犯罪嫌疑人，以侵犯公民个人信息罪判处有期徒刑 X 年，并处罚金 XX 万元，以诈骗罪判处有期徒刑 X 年，并处罚金 XX 万元，数罪并罚，决定执行有期徒刑 X 年，并处罚金 XX 万元；对其他团伙成员，根据其在犯罪中的地位和作用，分别判处相应刑罚，并处罚金。同时，责令犯罪团伙退赔被害人田女士等的经济损失，并对被冒用企业因无法正常注册招聘造成的损失进行合理赔偿。

原被告在规定期限内均未上诉，判决已依法履行完毕。

【专家评析】争议焦点一：犯罪链条中各环节责任划分

在侵犯公民个人信息的犯罪产业链中，如何准确划分各环节犯罪主体的责任存在争议。一些观点认为，应按照传统的主从犯划分标准，根据在犯罪中所起的作用和参与程度来确定责任。但也有观点指出，对于一些处于关键环节、对犯罪的实施和完成起到决定性作用的人员，即使其直接获利较少或参与具体行为的程度不高，也应承担较重的责任。例如在教培机构信息失守案件中，木马制作人员虽然没有直接接触受害企业的电脑，但他们提供的木马程序是整个犯罪得以实施的关键，应与组织者承担相近的责任。专家认为，在司法实践中，应综合考虑犯罪主体的主观故意、行为方式、对犯罪结果的作用等因素，合理确定各环节的责任，确保罪责刑相适应。

争议焦点二：企业在信息保护中的责任认定

当企业因自身管理不善或内部人员违法导致公民个人信息泄露时，企业应承担何种责任存在争议。一方面，企业作为信息的管理者，有义务保护公民个人信息的安全，若未能履行相应义务，应承担一定的法律责任。另一方面，也需考虑企业的实际情况和能力，对于一些小型企业，可能因缺乏专业的安全技术和管理经验而难以完全避免信息泄露。例如在教培机构信息失守案件中，受害企业多为小型在线教育机构，缺乏内部安全管理和网络安全防范专业力量。专家认为，在认定企业责任时，应综合考虑企业的规模、行业特点、采取的安全措施等因素，合理确定企业的责任范围，既要促使企业加强信息保护，又不能过度加重企业负担。

争议焦点三：电子数据证据的收集与认定

侵犯公民个人信息犯罪中，电子数据是重要证据，但电子数据易被篡改、删除，收集和认定存在困难。在办案过程中，执法机关如何合法、有效地收集电子数据，以及法院如何审查电子数据的真实性、关联性和合法性成为关键问题。例如在电商平台 “订单解密” 案件中，订单信息、聊天记录等电子数据是认定犯罪的关键证据。专家指出，执法机关应严格按照法定程序收集电子数据，必要时可借助专业的电子数据司法鉴定机构进行鉴定。法院在审查电子数据时，应综合考虑数据的来源、存储方式、完整性等因素，结合其他证据相互印证，确保电子数据的证据效力。

【法律指引】

1. 《中华人民共和国刑法》第二百五十三条之一：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。
   违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。
   窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。
   单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

2. 《中华人民共和国个人信息保护法》：明确个人信息处理者的义务和责任，规定处理个人信息应当遵循合法、正当、必要和诚信原则，不得过度处理，并应当具有明确、合理的目的。个人信息处理者应当对其处理活动负责，并采取必要措施保障所处理的个人信息的安全。

3. 《中华人民共和国网络安全法》：要求网络运营者应当采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，保护个人信息的安全。网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

4. 《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》：对 “公民个人信息”“情节严重”“情节特别严重” 等进行了明确界定，为司法实践中准确认定和处理侵犯公民个人信息犯罪提供了具体的法律依据。例如，非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的，属于 “情节严重”。