利用“撞库”手段获取征信信息构成犯罪

发布时间:2024-12-21 13:01:05 来源: sp20241221

  专家倡导以案释法遏制侵犯公民个人信息行为

  利用“撞库”手段获取征信信息构成犯罪

  近日,北京市高级人民法院发布侵犯公民个人信息犯罪案件典型案例,某大型国际信托公司项目经理因非法获取公民信息,构成侵犯公民个人信息罪,被法院判处一年有期徒刑。

  【案情回顾】

  沈某案发前系某大型国际信托有限公司项目经理,其利用任职便利,采取“撞库”(指攻击者通过一些自动化工具针对数据库站点的相关接口批量提交大量随机的用户名/密码组合,记录下其中能成功登录的组合并盗取该账号)等方式获取某银行个人征信系统用户名和密码,通过其所属国际信托有限公司与该银行之间进行专线互联的终端机,数次非法登录该银行个人征信系统,查询并下载保存他人征信报告共计100份。沈某此前曾采取上述同样作案手段,查询并下载保存他人征信报告共计1000余份。

  北京市西城区人民法院经审理认为,沈某违反国家规定,非法获取公民个人信息,情节严重,已构成侵犯公民个人信息罪,依法应予以惩处。鉴于沈某到案后能如实供述自己的罪行,当庭认罪悔罪,依法可以从轻处罚。西城区法院以侵犯公民个人信息罪判处沈某有期徒刑一年,并处罚金人民币四千元。

  【典型意义】

  在当代社会,个人征信作为公民的“经济身份证”,在公民个人生活中发挥着十分重要的作用,影响老百姓的出行、贷款、就业等方方面面。

  最高人民法院、最高人民检察院在2017年出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中将征信信息列为高度敏感信息,非法获取、出售或者提供50条该类信息即可入罪。

  本案中,被告人沈某曾任某大型国际信托有限公司项目经理,与某银行等金融机构多有业务往来,其利用金融从业人员的职业便利,利用“撞库”等非法技术手段获取了大量公民征信信息,社会危害严重,已构成侵犯公民个人信息罪。

  人民法院综合考虑全案事实、证据,鉴于沈某到案后能如实供述自己的罪行,当庭认罪悔罪,态度良好,依法可对其从轻处罚。本案的依法妥善审理,有力维护了网络空间秩序和人民群众合法权益。

  【专家说法】

  在首都经济贸易大学法学院教授王剑波看来,数字时代下,信息以前所未有的速度和广度被开发利用,信息安全保护与流动利用之间的矛盾日益彰显,部分信息处理者非法收集、出售、使用未经信息主体授权的信息,并以此为源头形成了个人信息灰色产业链,导致骚扰电话、电信网络诈骗等社会危害行为层出不穷,因高度敏感信息泄露而导致的恶性事件更是屡见不鲜。因此,无论从微观的公民基本权益保护出发,还是从宏观的数字中国建设考量,都有必要依法从严惩治针对公民个人信息的侵权行为。

  我国刑法规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的将构成犯罪。民法典人格权编对个人信息保护作出专门规定,明确自然人的个人信息受法律保护,并于第一千零三十五条规定了处理个人信息的原则及合法要件。2021年出台的个人信息保护法更是把个人信息权益保护及信息处理行政监管结合于一体,系统、全面地明确了公民个人信息保护的规则。

  王剑波指出,法律已对公民个人信息权益作出了全链条保护,司法机关也在不断加强对侵犯公民个人信息犯罪的打击力度,但公民个人信息泄露事件却屡禁不绝。一方面是因为针对公民个人信息的侵权行为具有隐蔽性、多样性的特点,监管部门受技术不足和资源短缺双重约束,处理侵权行为时面临发现难、取证难的困境。另一方面则是因为在数字化时代,个人信息背后蕴藏着极大经济价值,很多不法分子面对巨额利益诱惑时,怀有侥幸心理且法律意识淡薄,因此尽管打击力度不断加大,仍有人心存侥幸、以身试法。

  “个人信息权益是公民所享有的基本权利,以案释法遏制侵犯公民个人信息行为,是保护公民个人信息权益、维护网络空间安全的重要手段。司法机关在加强公民个人信息司法保护力度的同时,强化个案警示教育工作,不失为遏制公民个人信息侵权的优选路径。”王剑波说。

  (本报记者 张晨 整理)   【编辑:房家梁】