陳柄臣

（華東政法大學 刑事法學院，上海 201620）

自20世紀末我國鋪設互聯(lián)網(wǎng)以來，短短二十年，就已建立起數(shù)字社會雛形。隨著5G網(wǎng)絡全面性鋪設，以及IPv6技術的廣泛部署，我們的生活可以更加便捷。但是，在我們享受互聯(lián)網(wǎng)帶來的便利生活的同時，個人信息數(shù)據(jù)泄露問題擺在全社會面前。特別是伴隨國家網(wǎng)絡實名制制度的推行，相關的配套制度尚未跟上，使得個人會遭受個人信息數(shù)據(jù)泄露的風險。如何治理侵害公民個人數(shù)據(jù)犯罪則成為本文要研究的內(nèi)容。

一、公民個人數(shù)據(jù)概述

（一）公民個人信息與數(shù)據(jù)辨析

一直以來，公民個人信息數(shù)據(jù)一詞用來統(tǒng)稱公民的個人電子信息。但實際上，公民個人信息數(shù)據(jù)與公民個人信息和公民個人數(shù)據(jù)的內(nèi)涵是不同的。梅夏英認為數(shù)據(jù)與信息本質(zhì)不同，從表面上看，數(shù)據(jù)與信息概念屬于混用狀態(tài)。[1]梅夏英還在2020年中國人民公安大學數(shù)據(jù)安全法治研究會上闡釋了自己最新的觀點，他認為：信息以內(nèi)容為定義，為本體；數(shù)據(jù)是信息的表現(xiàn)形式，目前信息主要以數(shù)字的形式呈現(xiàn)，保護信息等同于保護數(shù)據(jù)。①摘自微信公眾號：雅理讀書，“數(shù)據(jù)安全法治研究會”在中國人民公安大學順利舉行，訪問時間：2020年10月1日。程建華等人也對民法中的數(shù)據(jù)進行有關研究，認為數(shù)據(jù)獨立于其載體，具有財產(chǎn)特性，應適用于相應的財產(chǎn)保護范式。[2]李海敏也有著類似的看法，他認為數(shù)據(jù)的價值性、可控性與獨立性使其成為一項新財產(chǎn)類型。[3]以上的研究結論，我們可以得出，數(shù)據(jù)的價值屬性得到了多位研究人員的一致認可。

那么什么是數(shù)據(jù)呢？有關于計算機名詞，大多屬于舶來品，數(shù)據(jù)對應英文單詞為Data。Data在維基百科上，指未經(jīng)過處理的原始記錄。①維基百科：數(shù)據(jù)，https：//zh.wikipedia.org/wiki/數(shù)據(jù)，訪問時間：2020年10月1日.百度百科給予數(shù)據(jù)的定義是，數(shù)據(jù)（data）是事實或觀察的結果，是對客觀事物的邏輯歸納，是用于表示客觀事物的未經(jīng)加工的原始素材。②百度百科：數(shù)據(jù)，https：//baike.baidu.com/item/數(shù)據(jù)，訪問時間：2020年10月1日.一般而言，數(shù)據(jù)缺乏組織及分類，無法明確地表達事物代表的意義，它可能是一堆雜志、一疊報紙、數(shù)種開會記錄或是整本病人的病歷紀錄。數(shù)據(jù)描述事物的符號記錄，是可定義為意義的實體，涉及事物的存在形式。是關于事件之一組離散且客觀的事實描述，是構成消息和知識的原始材料。因此，從數(shù)據(jù)的定義來看，信息是數(shù)據(jù)的表現(xiàn)形式，而非數(shù)據(jù)是信息的表現(xiàn)形式。數(shù)據(jù)具有本質(zhì)性，因此，如果泄露數(shù)據(jù)，比泄露信息危害性更大。

（二）公民個人數(shù)據(jù)的內(nèi)涵

1.歐盟 GDPR

GDPR是General Data Protection Regulation（通用數(shù)據(jù)保護條例）的簡稱，目前該條例在28個歐盟成員國統(tǒng)一實施生效。歐盟GPDR的效力雖然基本上只限在歐盟范圍內(nèi)，但依然不影響它成為一部震撼全球的法律。GPDR頒布后，由于其較高的合規(guī)要求，谷歌、Facebook第一時間成為被投訴的主要對象。

GPDR第4條第一項為個人數(shù)據(jù)進行了定義?！皞€人數(shù)據(jù)”是指與已識別或可識別的自然人（“數(shù)據(jù)主體”）相關的任何信息；可識別的自然人是指可以直接或間接識別的人，尤其是通過參考諸如姓名，識別號，位置數(shù)據(jù)，在線標識符之類的標識符，或針對特定于身體，生理，該自然人的遺傳，心理，經(jīng)濟，文化或社會身份。[4]

GDPR以個人可識別信息為核心概念，凡是可以用作識別個人身份的相關信息，均落入GDPR保護范圍，這些信息不再只是單純的姓名、電話或是地址，同時也包括瀏覽器的Cookie、IP位置，或是足以識別個人身份的生物特征以及醫(yī)療資料。具體分類包括如下：

（1）基本身份信息?；旧矸菪畔⑹敲總€人在社會中最常用到的信息，例如真實姓名、戶籍地址或居住地址、身份證卡號等?；旧矸菪畔⒖梢钥焖倥袛嘁粋€人是否為本人，因此面臨泄露的風險也是最大的。

（2）個人網(wǎng)絡數(shù)據(jù)。常見的有地理位置、IP地址、Cookies數(shù)據(jù)和RFID標簽等。由于移動設備普遍帶有Wi－Fi、藍牙等功能，因此即使不需要GPS傳感器，通過你的網(wǎng)絡環(huán)境也可以判斷出你本人在哪里，缺點是精度不夠；關于IP地址，不同于中國，海外由于IPv4技術率先應用，地址池數(shù)量充足，無論是企業(yè)還是個人均能實現(xiàn)固定IP接入（中國內(nèi)地由于互聯(lián)網(wǎng)起步晚，全球IPv4地址所剩數(shù)量不多，大多使用共享IP上網(wǎng)）；Cookies數(shù)據(jù)，指存儲在用戶本地終端上的數(shù)據(jù)，該技術的發(fā)明主要是為了網(wǎng)站辨別用戶身份。例如，當你徹底關掉瀏覽器后，再打開你剛才登錄過的網(wǎng)站會自動登錄而無須重新輸入賬戶密碼；RFID標簽，即電子標簽系統(tǒng)。日常生活中應用最多的就是刷飯卡。但是，隨著物聯(lián)網(wǎng)的建立，智能家居走向千家萬戶。智能家居通常使用該技術用以識別用戶的無線操作。

（3）醫(yī)療保健和遺傳數(shù)據(jù)。醫(yī)療保健數(shù)據(jù)，是指與自然人身體或精神健康有關的個人數(shù)據(jù)，包括能揭示關于他或她的健康狀況的健康保健服務所提供的數(shù)據(jù)。遺傳數(shù)據(jù)，是指反映個人遺傳規(guī)律的數(shù)據(jù)。

（4）生物識別數(shù)據(jù)。是指通過識別生物數(shù)據(jù)而確定身份的數(shù)據(jù)，例如指紋、人臉數(shù)據(jù)。

2.中國《信息安全技術個人信息安全規(guī)范》

2018年5月1日，《信息安全技術個人信息安全規(guī)范》正式實施。該規(guī)范被業(yè)內(nèi)稱為“中國版GPDR”。的確，該規(guī)范在制定時參考了個人信息保護方面最先進的國外立法，例如GDPR（通用數(shù)據(jù)保護條例）、EU－US Privacy Shield（歐美隱私盾協(xié)議）、Consumer Privacy Bill of Rights（美國“消費隱私權法案”）。需要說明的是，該規(guī)范并非強制性規(guī)范，而是作為國家推薦標準實施，但是這將是我國今后開展與個人信息保護相關的各類活動的參考標準，也將成為今后制定和實施個人信息保護相關法律法規(guī)的基礎。

該規(guī)范不僅對個人信息進行了定義，還給予了是否為個人信息的判斷邏輯。該規(guī)范定義個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。③信息安全技術－個人信息安全規(guī)范[S].GB/T35273－2017.判定某項信息是否屬于個人信息，應考慮以下兩條路徑：一是識別，即從信息到個人，由信息本身的特殊性識別出特定自然人，個人信息應有助于識別出特定個人。二是關聯(lián)，即從個人到信息，如已知特定自然人，則由該特定自然人在其活動中產(chǎn)生的信息（如個人位置信息、個人通話記錄、個人瀏覽記錄等）即為個人信息。符合上述兩種情形之一的信息，均應判定為個人信息。

該規(guī)范附錄A表A.1對個人信息進行了舉例，相較于GDPR，雖然有重合的分類，但明顯分類更加豐富。具體包含個人基本資料、個人身份信息、個人生物識別信息、網(wǎng)絡身份標識信息、個人健康生理信息、個人教育工作信息、個人財產(chǎn)信息、個人通信信息、聯(lián)系人信息、個人上網(wǎng)記錄、個人常用設備信息、個人位置信息以及其他信息。相較于GDPR，該規(guī)范有特色的信息分類為個人基本資料、個人財產(chǎn)信息、個人通信信息、個人常用設備信息。

個人基本資料，是指記錄個人背景特征的數(shù)據(jù)。個人姓名、生日、性別、民族、國籍、家庭關系、住址、個人電話號碼、電子郵箱等。

個人財產(chǎn)信息，指能夠反映個人財產(chǎn)的數(shù)據(jù)。例如銀行賬號、鑒別信息（口令）、存款信息（包括資金數(shù)量、支付收款記錄等）、房產(chǎn)信息、信貸記錄、征信信息、交易和消費記錄、流水記錄等，以及虛擬貨幣、虛擬交易、游戲類兌換碼等虛擬財產(chǎn)信息。

個人通信信息，指能夠記錄個人通過媒介進行交流的數(shù)據(jù)。例如通信記錄和內(nèi)容、短信、彩信、電子郵件，以及描述個人通信的數(shù)據(jù)（通常稱為元數(shù)據(jù)）等。

個人常用設備信息，是指自己使用的具備聯(lián)網(wǎng)功能的硬件數(shù)據(jù)。指包括硬件序列號、設備MAC地址、軟件列表、唯一設備識別碼（如 IMEI/android ID/IDFA/OPENUDID/GUID、SIM 卡 IMSI信息等）等在內(nèi)的描述個人常用設備基本情況的信息。

3.公民個人數(shù)據(jù)分類

無論是歐盟GDPR，還是我國的《個人信息安全規(guī)范》都對個人信息數(shù)據(jù)做了較為完整的定義和類型列舉，兩者都強調(diào)了數(shù)據(jù)信息的個人可識別性。不同的是，歐盟強調(diào)的是“數(shù)字主體”身份，而我國強調(diào)的是“自然人”身份。歐盟并未對數(shù)據(jù)存在的形式進行定義上的限制，我國明確提出“以電子或者其他方式記錄的”。但是，最根本的不同是，歐盟采取的術語是“數(shù)據(jù)”，我國該規(guī)范采用的術語是“信息”。同時，對數(shù)據(jù)劃分得過于寬泛，會對企業(yè)合規(guī)造成較大的壓力，不利于創(chuàng)新；如果劃分范圍過窄，則不能起到保護個人數(shù)據(jù)的作用。因此，根據(jù)以上關于數(shù)據(jù)和信息辨析的結果，歸納個人數(shù)據(jù)為以下幾類：

個人基礎數(shù)據(jù)。個人基礎數(shù)據(jù)，是指能夠快速識別定位本人的數(shù)據(jù)，在識別個體時具有基礎性作用。具體內(nèi)涵為姓名和身份證ID數(shù)據(jù)。

個人起居數(shù)據(jù)。指能夠完成描述個人生活軌跡的數(shù)據(jù)。具體內(nèi)涵應包括居住地地址、工作地址、活動地點、購物地點、上學地點、智能家居數(shù)據(jù)。獲得個人起居數(shù)據(jù)，進行編碼重排后，能夠充分了解該個體的日常作息習慣、各種喜好。雖然目前多被用來進行廣告投放，但是一旦被犯罪分子獲取，個體將進入被“不怕賊偷就怕賊惦記”的狀態(tài)。

個人社交數(shù)據(jù)。社交是人類必不可少的行為，也是人之所為社會中的人所必須具備的技能。因此社交數(shù)據(jù)，是指能記錄并反映人的社交情況的數(shù)據(jù)。具體包括：電話號碼和通話記錄、社交賬戶、電子郵件、即時消息和BBS等數(shù)據(jù)。

個人財產(chǎn)性數(shù)據(jù)。指能夠反映個人財產(chǎn)的數(shù)據(jù)。具體應該包括銀行賬號、鑒別信息（口令）、存款信息（包括資金數(shù)量、支付收款記錄等）、房產(chǎn)信息、信貸記錄、征信信息、交易和消費記錄、流水記錄等。筆者對《個人信息安全規(guī)范》規(guī)范中的虛擬財產(chǎn)信息劃入個人財產(chǎn)性數(shù)據(jù)持保留態(tài)度，因為虛擬財產(chǎn)信息是個人財產(chǎn)在消費后產(chǎn)生的，應該屬于商品，只能反映出一個人花了多少錢，無法去判斷他有多少錢。比如，孩子給自己的游戲賬戶充了幾萬元，并不能反映出這個孩子本身的狀況。因此，虛擬性財產(chǎn)信息不符合數(shù)據(jù)原生性的準則。

個人設備數(shù)據(jù)。個人設備數(shù)據(jù)應當是能夠聯(lián)網(wǎng)的設備數(shù)據(jù)，正如《個人信息安全規(guī)范》中所列舉的設備數(shù)據(jù)種類，硬件序列號、設備MAC地址①MAC位址，或稱以太網(wǎng)地址（Ethernet Address）或物理地址（Physical Address），它是一個用來確認網(wǎng)絡設備的位置。、唯一設備識別碼，通過這些數(shù)據(jù)能夠識別確定單獨的設備。如果這些設備不聯(lián)網(wǎng)的話，實際上設備數(shù)據(jù)泄露對個人沒有任何傷害。比如，一臺傳統(tǒng)洗衣機，放在家里面，只有主人才可以操縱。但是，如果這臺洗衣機聯(lián)網(wǎng)，并能夠在網(wǎng)絡上被單獨識別確定，那么可操縱該洗衣機的就不止主人了。因此，個人設備數(shù)據(jù)應指的是那些個人聯(lián)網(wǎng)設備的數(shù)據(jù)。比如，目前手機設備均帶有GPS芯片，獲取到手機設備信息后，可以讀取個人的行蹤軌跡。

二、侵害公民個人數(shù)據(jù)犯罪的危害性

對于侵害公民個人數(shù)據(jù)犯罪，大家最為熟知的是“山東徐玉玉”[5]一案，該案件入選“2017年推動法治進程十大案件”。2016年高考，山東臨沂女孩徐玉玉被南京郵電大學錄取。同年8月19日，徐玉玉接到一個陌生電話，稱有筆助學金要發(fā)放給她。徐玉玉由于家庭困難，之前確實向教育部門申請了一筆助學金。加上對方還能在電話里報上她的其他個人信息，徐玉玉深信不疑，按指示將9900元學費轉(zhuǎn)入對方賬號。得知被騙，徐玉玉傷心欲絕，心臟驟停，離開了人世。

隨著后續(xù)案件的調(diào)查和結果公開，徐玉玉的受騙并非偶然粗心大意，實屬精準詐騙。犯罪嫌疑人陳文輝從犯罪嫌疑人杜天禹手中購買了五萬余條山東省2016年高考考生信息。高考考生信息表記載的個人信息數(shù)據(jù)非常詳細，包括個人姓名、身份證號、戶籍所在地、主要社會關系、報名號、所在學校以及錄取信息。在一個人向你報出這么多信息之后，并找到一個合適的理由進行行騙，很難不相信。

侵害公民個人數(shù)據(jù)犯罪的危害性在于使每個“數(shù)字化”的個人“裸體”暴露在社會面前，從而使得犯罪嫌疑人可以對個人實現(xiàn)“甕中捉鱉”式犯罪。

（一）個人基礎數(shù)據(jù)泄露的危害性

身份證號目前可以說是在內(nèi)地生活的通行證，應用場景最為豐富廣泛，與大家的生活息息相關。如今，鐵路已經(jīng)實現(xiàn)無紙化車票，憑身份證刷卡進出車站。旅館業(yè)、金融業(yè)、物流以及交通運輸業(yè)這幾大大家日常接觸頻繁的領域均已接入身份證鑒權系統(tǒng)。身份證號碼是最常用的個人數(shù)據(jù)，同時也是最容易被各種主體濫用的數(shù)據(jù)，最終導致的結果就是身份證號碼成為個人數(shù)據(jù)泄露中的首當其沖。

更重要的是，身份證號碼，在日常使用中，如果應用場景一般的話，是不會做仔細鑒權的。特別是在一些App中，獲得相匹配的姓名和身份證號碼可以初步完成實名認證，而無須本人親自確認。例如，未成年人通過購買身份證數(shù)據(jù)逃避防沉迷系統(tǒng)；機場取票時，自動值機系統(tǒng)可以憑身份證取票。

2020年9月6日，據(jù)南方都市報報道，吳磊（電視劇《瑯琊榜》飛流扮演者）的某位站姐從2017年到2020年連續(xù)三年盜用吳磊國航及南航名下的里程積分，為自己和朋友兌換免費機票，前后多達12次。根據(jù)曝光者稱，該女士擅自將吳磊的身份證號綁定在她用自己手機號注冊的航空賬號上。通過該操作，該女士不僅能隨意查看吳磊的行程，還可以添加受讓人，擅自處分積分權益。因此，個人基礎數(shù)據(jù)泄露可以給予別人頂替當事人“身份”的機會。

此外，身份證號碼解析規(guī)則對社會是透明的，前六位為行政區(qū)劃代碼，中間八位為出生年月，末4位為校驗碼。通過對身份證號碼進行解析，便可以獲得你的出生地、出生時間以及性別等有效信息。

（二）個人起居數(shù)據(jù)泄露的危害性

在過去，個人的起居行為是私密性的，去過哪里、買過什么東西以及路線圖是不可能被其他人完全知曉的，即使動用公權力，想要描繪一個人的行為軌跡圖，也是需要耗費大量人力物力的。如今，由于智能手機普及化以及人人隨時攜帶智能手機進行起居生活，個人起居數(shù)據(jù)的收集變得更加容易。但同時，由于手機操作系統(tǒng)對App的權限管理較為寬松，使得用戶在自己手機上安裝的App均有機會去收集用戶的起居數(shù)據(jù)，并在用戶未曾授權或未曾明確知情授權的情況下交換使用。

2018年4月13日，網(wǎng)友@Eric Tsui在網(wǎng)絡上曬出一組圖，表示兩個人使用滴滴打車軟件，從同樣的地點出發(fā)、同樣的目的地，但價格卻不同。《北京日報》表示，無論是工業(yè)經(jīng)濟時代還是互聯(lián)網(wǎng)信息時代，細分市場都是企業(yè)營銷的重點。而這一切背后都是企業(yè)為了追求更高的邊際效益。邊際效益是指目標行為預期帶來的額外收益。[6]通常操作是，對需求高的人定價高，對價高就不會購買的人定低價。在工業(yè)經(jīng)濟時代，企業(yè)需要投入大量人力物力進行市場調(diào)研才可以細分市場，而在互聯(lián)網(wǎng)信息時代，企業(yè)只需要利用App或者從數(shù)據(jù)公司購買相關數(shù)據(jù)，便可以達到目標。

如果你的個人起居數(shù)據(jù)遭到泄露，被有關主體利用后，就可以對你的生活習慣方式進行畫像。對于企業(yè)來說，可以精準定時定點以你預期的價格向你推薦商品，促使你進行消費，也可以進行大數(shù)據(jù)殺熟行為。而犯罪分子，則可以根據(jù)你的起居時間，在你的休息時間進行犯罪活動，例如夜晚進行偽基站短信攔截、盜刷銀行卡等行為。

（三）個人社交數(shù)據(jù)泄露的危害性。

個人社交數(shù)據(jù)泄漏的危害性主要在于使自己的社會關系被公開。對個人社交數(shù)據(jù)進行再編碼進行分析，可以有效獲得個人關系網(wǎng)。最常見的行為就是智能手機中App讀取通訊錄。當你在使用抖音時，會推給你“可能認識的人”。抖音App讀取手機通訊錄后，不僅推薦通訊錄中的人，還推薦通訊錄中的人的第二層關系，一般顯示為“共同聯(lián)系人”。抖音該推薦機制體現(xiàn)了抖音算法的強大性，雖然為用戶社交帶來了極大的便攜性，但是也同時侵犯了用戶的隱私。有網(wǎng)友表示，我只想我的抖音成為我的“后花園”而已，不想與人共享。[7]

微信如今已經(jīng)成為國民社交App，各大應用商店市場下載量均排名第一。但是，陌生人請求加微信好友深藏套路[8]，你可知道？由于微信的社交軟件屬性，會推薦用戶開通“發(fā)現(xiàn)通訊錄中的好友”功能進而獲取讀取手機“通訊錄”權限。當你在自己的手機通訊錄中添加新的號碼時，微信會自動向你推薦該號碼的微信。犯罪分子利用這一功能，進行反向操作，購買具有活躍度的手機號碼，導入自己的手機通訊錄，然后通過微信的“發(fā)現(xiàn)通訊錄好友”的功能，進行添加好友操作。新聞報道中，陌生人加好友成功后，一般不是推薦理財就是賣茶葉，但不管打的什么幌子，最終都是為了詐騙受害人的錢財。因此，個人社交數(shù)據(jù)泄露后，可以給犯罪分子提供接觸受害人的機會。

還有一種常見的犯罪行為是，利用社交關系時間信息不對稱的條件，對親朋好友進行詐騙。例如，最常見的是“留學生虛擬綁架案”，此外還有利用社交賬戶對好友進行詐騙的案例。[9]

（四）個人財產(chǎn)性數(shù)據(jù)泄露的危害性。

由于金融行業(yè)近幾年的安全策略的不斷進化，目前付款均采取多重驗證安全策略，常見的比如手機驗證碼二重驗證，因此單獨泄露銀行賬號密碼，一般無法對個人財產(chǎn)造成威脅的。如果在上述背景下，依然發(fā)生盜刷，多數(shù)是犯罪分子利用泄露的個人其他數(shù)據(jù)，采取社工策略，誘導受害者提供了所有的信息，從而實現(xiàn)犯罪目的。但是，例如存款信息、房產(chǎn)信息、信貸記錄、征信信息、交易和消費記錄、流水記錄等，這些大家最不關心的數(shù)據(jù)如果泄露反而對自身有著比較大的威脅性。例如，在信貸業(yè)務中，為了防控放貸風險，監(jiān)管部門和銀行都對放貸業(yè)務的流程和審核作出了嚴格規(guī)定。在這些要求中，擺在首要位置的就是查驗申請人身份，申請人要提供包括身份證、收入證明、貸款用途等在內(nèi)的一系列資料，經(jīng)銀行審核符合要求。[10]根據(jù)有關媒體報道，犯罪分子通過對身份證上原主人的照片進行替換，憑借原主人的財產(chǎn)流水記錄，成功拿到貸款。

（五）個人聯(lián)網(wǎng)設備數(shù)據(jù)泄露的危害性。

目前每個人擁有的聯(lián)網(wǎng)設備越來越多，隱私泄露問題也伴隨而來。

個人聯(lián)網(wǎng)設備數(shù)據(jù)泄露，主要是指Mac地址、綁定的IP地址以及端口、設備鑒權口令數(shù)據(jù)的泄露。通過以上數(shù)據(jù)，借助互聯(lián)網(wǎng)，懷有不軌動機的人可以任意對個人聯(lián)網(wǎng)設備進行后臺控制，從而實現(xiàn)不法目的。

2017年末，360水滴直播事件爆出。[11]360水滴攝像頭宣稱的最大賣點就是，通過與互聯(lián)網(wǎng)相連，用戶可以隨時隨地地通過智能攝像頭查看家庭或所監(jiān)控場景內(nèi)的實時畫面。但隨后爆出，360在未經(jīng)用戶允許的情況下，私自將用戶監(jiān)控畫面向社會公眾直播。同時，網(wǎng)上還出現(xiàn)眾多帶有360水印的私密生活視頻。360公司是一家做網(wǎng)絡安全的公司，為什么還會出現(xiàn)這樣的事情呢？據(jù)《中國經(jīng)營報》報道，市場上存在出售相關破解軟件、監(jiān)控視頻和攝像頭ID及密碼的交易，一個監(jiān)控攝像頭的ID和密碼單價最低僅需4元就可獲取，一條隱私視頻的單價則僅需一元。獵豹移動安全專家李鐵軍向媒體透露：“實際上，監(jiān)控設備的漏洞早已公開，由于傳統(tǒng)廠商的疏忽，硬件商在其中應承擔起主要責任?！?/p>

三、侵害公民個人數(shù)據(jù)犯罪治理研究

如上所述，公民個人數(shù)據(jù)被侵害后所造成的眾多的和嚴重的危害，治理侵害公民個人數(shù)據(jù)犯罪已經(jīng)刻不容緩。根據(jù)公安部“凈網(wǎng)”2020專項行動，截至2020年5月7日15時，各地共搗毀為貸款類電信網(wǎng)絡詐騙犯罪團伙提供服務的違法1069短信平臺57個，抓獲犯罪嫌疑人798名。同時，在新冠肺炎疫情期間，全國公安網(wǎng)安部門打擊網(wǎng)上侵害公民個人信息犯罪活動，已治安處罰1522人，通報其他部門給予黨紀政紀處分433人。[12]但是，僅靠公安部專項行動是遠遠不夠的。預防侵害公民個人數(shù)據(jù)需要個體、企業(yè)、政府多方面的配合努力及預防、監(jiān)控、防范等多個環(huán)節(jié)的治理。具體而言：

（一）公民個體需要主動保護所屬個人數(shù)據(jù)

公民個體對所屬個人數(shù)據(jù)的保護意識不強是普遍存在的。大多數(shù)人為了方便，將身份證等證件照片存儲在手機之中，且并未進行加密保護。一旦手機丟失，不法分子借助手機里的數(shù)據(jù)，可以迅速進行人工申訴，獲取相關賬戶所有權，進行不法操作。學習工作中，經(jīng)常需要上報身份證等數(shù)據(jù)，申報完后不在本地終端進行刪除數(shù)據(jù)操作，導致有可能被他人有機會得知自己的個人信息。而最為危險的操作是，絕大多數(shù)人將身份證隨意存放，使得身份證可以被更多的人接觸到。此外，還有大家所熟知的快遞面單，大多數(shù)都是明面顯示收件人的地址、號碼和姓名，很多人收到快遞后并不對快遞面單做信息抹除操作，因此衍生出一個專門收集被拋棄快遞盒子面單數(shù)據(jù)的行業(yè)。公民個體應保護好自己的賬戶密碼。應當自己的賬戶自己管理，非必要不對他人授權或者共享賬戶密碼。近幾年高考篡改志愿案件，均是因為個體沒能保護好自己的賬戶密碼，或者對他人透露自己的賬戶密碼導致的。

公民個體應嚴格管理自己智能設備上的App權限。目前全球兩大移動設備操作系統(tǒng)分別為美國谷歌公司的Android系統(tǒng)和美國蘋果公司的iOS系統(tǒng)，且均可以實現(xiàn)強大的App權限管理功能。不同于iOS系統(tǒng)的閉源性特征，Android系統(tǒng)由于其開源，可以在各種不同的硬件平臺上運行，目前在全球份額占七成以上[20]。由于Android平臺的開放性特征，其平臺運行的App索要過度權限問題一直很嚴重。公民個體在授予App權限時，應堅持最少權限授予原則，從而避免自己個人數(shù)據(jù)被侵害的風險。

（二）企業(yè)應積極履行保護消費者數(shù)據(jù)的義務

公民個人無論怎么樣保護自己的數(shù)據(jù)不被泄露，但是為了自身在網(wǎng)絡生活中的便利性，依然會為了接受企業(yè)提供的服務而將自己的個人數(shù)據(jù)提供給企業(yè)保存。企業(yè)作為市場經(jīng)濟活動中的主要個體，應該積極依照法律保護有關數(shù)據(jù)。同時作為交易中的被信任方，更應該積極履行自己的義務。

企業(yè)負有嚴格防范用戶賬戶數(shù)據(jù)泄露的義務。2020年3月19日，有用戶發(fā)現(xiàn)5.38億條微博用戶信息在暗網(wǎng)出售，其中，1.72億條有賬戶基本信息，涉及用戶ID、性別、地理位置等。隨后微博方面很快承認了微博數(shù)據(jù)泄露一事屬實。此外，快遞業(yè)對于客戶信息保護也十分不力。目前，快遞業(yè)主要精力放在遞件速度上，并不重視客戶數(shù)據(jù)安全問題。[14]

企業(yè)負有禁止買賣交換用戶數(shù)據(jù)的義務。2020年9月12日，全球創(chuàng)業(yè)者峰會，李開復在分享自己投資“曠視”經(jīng)驗時，說：“我們早期幫助它們（曠視科技）尋找了合作伙伴，包括美圖、螞蟻金服，讓它們拿到了大量的人臉數(shù)據(jù)”。用戶對企業(yè)進行授權默認一次性或僅僅授予該企業(yè)，將用戶數(shù)據(jù)與其他公司進行買賣，一方面違背合同法精神，另一方面可能使用戶面臨更大的隱私泄露風險，因為“雪崩時，沒有一片雪花是無辜的”。

（三）政府應積極履行監(jiān)管市場的義務

社會主義核心價值觀中倡導“自由、平等、公正、法治”，這是對美好社會的生動描述?！墩撜Z·季氏》中也曾講“不患寡而患不均”。在數(shù)字社會中，相關市場主體為了追求最大的利益，違背社會主義核心價值觀，進行科技歧視。因此，需要發(fā)揮政府的宏觀調(diào)控作用。

政府部門應積極利用行政規(guī)章來調(diào)控市場行為。2020年，文化和旅游部發(fā)布了《在線旅游經(jīng)營服務管理暫行規(guī)定》，已于10月1日起正式發(fā)行，規(guī)定明確指出禁止“大數(shù)據(jù)殺熟行為”。全國信息安全標準化技術委員會制定的《信息安全技術個人信息安全規(guī)范》，要求不得強迫收集個人信息，用戶應有權拒絕個性化推送。這些行政規(guī)章均為用戶維護自己合法權益提供了法律依據(jù)，并積極調(diào)控了市場交易行為中的灰色地帶。但是，用戶數(shù)據(jù)內(nèi)涵豐富，日后需要更多的行政規(guī)章來保護用戶個人數(shù)據(jù)。

政府部門應監(jiān)控市場數(shù)據(jù)的存放位置問題。目前在我國開展數(shù)字服務的并非只有中資企業(yè)，還包含了一大批外資企業(yè)。如果這些外資企業(yè)掌握的國內(nèi)公民個人數(shù)據(jù)轉(zhuǎn)移到國外去，那么將可能進一步造成公民個人數(shù)據(jù)的境外泄露。目前，美國Apple公司已經(jīng)將中國內(nèi)地iCloud云服務的服務存儲在貴州，稱為“云上貴州”。此外，美國Microsoft以及美國Amazon公司也在中國建立了存儲中國區(qū)用戶的數(shù)據(jù)基地。隨著改革開放進入深水區(qū)，開放的大門越來越大，未來可以預期更多的外資企業(yè)進入中國運行業(yè)務。因此，做好數(shù)據(jù)存儲位置的監(jiān)控工作十分重要。

四、結語

本文通過國內(nèi)外比較研究，對個人數(shù)據(jù)依據(jù)一定規(guī)則進行了再劃分，認為個人數(shù)據(jù)內(nèi)涵應包括個人基礎數(shù)據(jù)、個人起居數(shù)據(jù)、個人社交數(shù)據(jù)、個人財產(chǎn)性數(shù)據(jù)以及個人聯(lián)網(wǎng)設備數(shù)據(jù)。個人數(shù)據(jù)泄露的危害性是巨大的、多樣的，必須要治理侵害公民個人數(shù)據(jù)犯罪。

治理侵害公民個人數(shù)據(jù)犯罪，本文是從公民個人、企業(yè)和政府三個主體展開的，提出了各種有益的對策和見解。但是，本文并未從立法層面給予建議。主要原因是立法是一項浩大的工作，數(shù)字社會信息變化萬千，如果立法朝立夕變，將會嚴重破壞法的穩(wěn)定性，而行政規(guī)章則不存在這個問題，較為靈活，同時具有強制力。此外，學界對于數(shù)據(jù)的定義的討論尚未有定論，相關研究尚未完善。期待未來能夠看見在立法層面創(chuàng)新規(guī)制侵害公民個人數(shù)據(jù)犯罪的對策。