（接上文）

员工利用职务之便，收集、买卖个人信息

陈某在浙江某网贷公司工作期间，利用职务便利，在分析交流数据期间私自保存公民个人信息、从公司后台下载公民个人信息，然后以每条0.5元至1元不等的价格转卖，有的买家会加价转售。

实习生利用职务之便，收集、买卖个人信息

马某利用在北京某公司实习的机会，未经网络运营者及用户同意许可，搜集大量公民个人信息，包括手机号码+访问时间+用户网页浏览记录，内容涉及全国多省市有关金融、股票、房产、贷款、保险等方面的用户手机号码。马某和张某、游某一起设立公司，销售个人信息牟利，也和印某一起通过网络销售牟利。张某自己也在外面和其他人员合作，销售相关信息牟利。

北京某公司因为和联通宽带合作，建有数据资源库。马某实习期间，曾以写毕业论文为由要求从公司拷贝数据，被公司拒绝了。但是马某因岗位原因，可以登陆公司服务器，维护后台，就自行收集相关数据。至案发时，马某用自己编辑的网络爬虫程序获得几十KB（每一KB约1000个手机号码）的用户手机号、手机物理地址（IMEI）和用户的公开访问记录。

内外勾结，盗用招聘平台企业用户账号、盗窃公民个人信息

黄某通过猜配密码的方式非法获取A公司运营的“XX招聘”企业客户账号，盗窃公民个人信息（求职者简历）并出售给解某，解某加价转卖给郑某，郑某在淘宝店非法对外出售。

此外，郑某分别和A公司上海分公司职员王某、卢某合作，通过在“XX招聘”网站上开设虚假的企业账号等方式，非法获取公民个人信息（求职者简历）并用于出售。

A公司是怎么发现的呢？

公司连续接到几家客户公司的投诉，说在招聘网站注册的账号被别人盗用了，让公司给个解释。

公司查询发现，这些客户的操作日志里出现了同一个IP地址，这个地址对应的是北京某股份有限公司，北京某股份有限公司在该招聘网站也注册了账号，但却使用别的公司的账号查询个人简历，A公司认为这已经涉嫌侵犯公民个人信息罪，遂报警。

离职员工带走信息，用于推销保健品

唐某及其家人经营一家保健品销售公司。唐某把从原单位离职时带出的、和同行交换的以及其他方式获取的公民个人信息约45万余条交给业务员，以打电话方式向不特定中老年人推销保健品。

业务员推销时统一使用唐某提供的“话术”，一般自称是“中老年协会工作人员”，使用假名，通过聊天了解客户情况后向其推销对应的“保健品”，并对推销的“保健品”的效果进行夸大，称有治疗效果。

唐某最终因犯诈骗罪及侵犯公民个人信息罪，数罪并罚，被判有期徒刑七年六个月，并处罚金十万元。

唐某上诉时提出其被动收受（供应商自愿提供的）的公民个人信息不应计入侵犯信息数量。法院援引《网络安全法》及《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，指出收集、使用公民个人信息不能超越信息主体的授权和许可。

不论唐某是通过购买、收受、交换等方式获取，或者系在履行职责、提供服务过程中收集获得，不论获取方式上系主动索取还是被动收受，都不影响其侵犯公民个人信息罪的构成，故不应当扣除被动收受的部分信息。

以网游换皮肤、租微信号等方式骗取他人信息

范某甲纠集李某等人，采取网游换皮肤或者租微信号等方式骗取他人微信号，然后销售牟利。

范某乙负责引粉，范某丙负责培训人员，李某负责销售和管账，范某甲和邱某提供手机卡号。从开业到案发，三个多月共计骗取80个微信号，卖出去19个，非法获利7100元。

2020年6月，六被告因犯侵犯公民个人信息罪，分别被判处有期徒刑七个月至一年（只有两人适用缓刑），均并处罚金5000元。

本案是检察院依据《最高人民法院、最高人民检察院关于检察公益诉讼案件适用法律若干问题的解释》第十三条之规定提起的公益诉讼。

泄私愤侵入网站，窃取公民个人信息

郑某为泄私愤，在家中使用电脑通过“nmap”扫描漏洞工具及“nessus”、“awvs”网页扫描工具，多次非法侵入广州市番禺区政务网站，并设立了后门程序。随后不定期侵入该政务网站，非法下载番禺区的干部人事、教育、计生、人口等方面的信息资料。

伪装软件、网络敲诈勒索与公益诉讼

“花花”等人通过网络和吴某联系，提出需要购买能获取他人手机通讯录的软件。

吴某从谭某、邓某处购买可以获取他人手机通讯录、短信、定位的软件（伪装为具有视频直播功能的软件），转卖给“花花”等人，并让谭某、邓某搭建、维护后台服务器。

软件运营过程中，吴某还按照买家要求，通过谭某、邓某提供源代码“打包”、增加软件功能、解决软件“报毒”问题，以及清空服务器数据等技术支持。

这些软件被买家用于网络敲诈勒索犯罪活动，吴某、谭某、邓某最终被判定构成帮助信息网络犯罪活动罪。

因三人帮助他人非法获取不特定多数对象的个人信息，侵害公民个人信息安全，损害社会公共利益，检察院提起刑事附带民事公益诉讼。诉讼请求主要有三项：

• 请求判令三被告停止侵害、消除储存在服务器上的非法获取的公民个人信息（后因已完成，撤回本项诉求）；
• 分别赔偿经济损失4.2万、3.5万、1万（金额对应各被告获取的报酬）；
• 在国家媒体上公开赔礼道歉。

法院予以支持。此类公益诉讼的索赔额与判赔是难点。

平台图文验证码识别服务被用于诈骗

本案十六名被告人均因涉嫌诈骗罪被刑事拘留，后因具体犯罪行为有所不同，八人被判构成提供侵入计算机信息系统程序、工具罪，六人构成侵犯公民个人信息罪，两人同时构成侵犯公民个人信息罪与诈骗罪。

其中后两类人员购买QQ信息用于赌博网站推广，第一类的具体情况是：

李某创建“快啊答题”平台，后与提供图文验证码识别技术的杨某合作，有偿为他人提供批量图文验证码识别服务。

被告人张某、林某、陈某、张某某、朱某等众多软件开发作者在编译出具有批量登录腾讯QQ账号功能的软件后，将软件接入“快啊答题”平台的对外端口；软件通过平台接入的图文验证码识别技术，快速、批量实现对腾讯公司服务器下发图文验证码的识别，筛选出帐密一致的QQ号码，以顺利完成腾讯QQ账密的验证及账号的登录。

全能车、共享单车与破坏计算机信息系统罪

不是侵犯公民个人信息类犯罪，正好看到就写进来了。

深圳某公司2016年10月成立，经营网络系统的技术开发与销售、计算机技术服务及技术咨询、计算机系统集成的调试及维护等业务。

2017年初，被告单位在手机安卓端、iOS端分别推出名为“全能车”“全能车PRO”的APP，具体的业务模式是：

• “全能车”注册用户使用“全能车”APP扫描品牌共享单车二维码后，“全能车”APP将获取的品牌共享单车的二维码、用户地理位置等信息发送至“全能车”后台服务器。
• “全能车”后台服务器程序再将上述信息与“全能车”APP后台服务器“卡池”中对应品牌共享单车账号信息相结合，利用非法破解获得的各品牌共享单车APP与服务器之间传输的数据包要素、编写规则等，组装、打包与各品牌共享单车后台服务器相匹配的请求开锁数据，通过“全能车”后台服务器发送至相应品牌共享单车的服务器，欺骗“哈啰单车”“摩拜出行”“青桔单车”等共享单车运营公司的服务器接收、校验通过上述请求开锁数据并发送开锁指令，非法许可“全能车”APP用户使用被害单位车辆。

因上述APP能解锁市面上“哈啰单车”“摩拜出行”“青桔单车”等多个品牌共享单车，吸引大量用户注册并交纳押金、支付使用费。截至案发，该公司发展全能车APP注册用户共计476万余人，收取会员费9320万余元，完成订单总数约3.48亿条。

最终，业务运营团队相关人员被公安机关抓获归案。

• 公司实际控制人，起意创设并全面负责“全能车”项目；
• 公司研发部技术总监，负责“全能车”项目的技术研发与维护；
• 公司研发部下属服务器后端组组长，主要负责对“全能车”项目后端服务器程序、数据库等进行研发和维护；
• 程序员，根据上级要求，采用反编译上述品牌共享单车APP、抓包等方式，非法获取品牌共享单车APP与所属公司后台服务器之间传输的数据包要素、编写规则、接入端口等；
• 服务器后端组成员，主要负责开发和维护全能车“卡池”，利用他人实名注册的手机号及打码平台的虚拟手机号，大量注册购买品牌共享单车年卡、月卡账号，并保存和维护全能车APP注册用户共享的品牌共享单车年卡、月卡账号。

法院最终认定被告单位构成破坏计算机信息系统罪，判处罚金500万元。各被告人构成破坏计算机信息系统罪，判处有期徒刑二至十年不等。禁止公司实际控制人自刑罚执行完毕之日或者假释之日起五年内从事信息传输、软件和信息技术服务相关职业。

数据泄露与个人信息泄漏

永安在线发布《2021年黑灰产行业研究及趋势洞察报告》中提到以下内容。

关于数据泄漏事件中的数据类型

2021年度泄漏的数据中，排行第一的是“平台用户信息”（描述类信息、行为类信息、关联类信息），占比高达98%，然后依次是“公民个人信息”（0.7%）、“数据库账号”（0.5%）、“后台源码”（0.4%）。

• 对监控到的1700余起数据泄漏事件进行分析后发现，数据泄露原因主要有：
• 内部安全缺陷占比45.45%（例如，API管控不当）
• 运营商/短信通道泄漏，占比36.23%
• 内部人员泄漏，占比14.83%（包括内部人员越权利用API、离职员工权限未及时收回）。

报告提到因API管控不当造成的数据泄露风险已超过50%，每个月都有因此发生的泄漏事件，比如：

• 某大型教育机构：数据接口暴露在外，API被爬，导致40万用户信息泄漏
• 某房地产开发商：数据接口暴露在外，API被爬，导致员工通信录、销售合同等机密文件泄漏
• 某头部旅游公司：内部系统API被内鬼利用，导致航班订单信息泄漏
• 某头部物流公司：离职员工数据访问权限未及时回收，导致每日5万量级的订单数据泄漏
• 某大型航空公司：内部数据API被离职员工利用，导致1000多万条航班数据泄漏
• 某大型证券公司：内部系统数据API管控疏漏，导致每日1万量级的客户信息泄漏

IBM Security做的2022数据泄露成本报告（Cost of a Data Breach Report 2022）中提到，研究对象中：

• 83%的调查对象发生至少一次数据泄漏；
• 60%的发生数据泄漏的调查对象会提价，数据泄露的成本会因此传导至客户
• 45%的数据泄漏发生在云环境。

*报告采样范围：2021年3月至2022年3月期间受数据泄漏影响的550家组织。泄漏事件发生在17个国家和地区，涉及17个行业。虽然报告所列数据和成本测算不含中国，但有一些问题存在共性，比如成本传导。

（下篇看人脸信息）