女子点链接泄露位置信息被前男友杀害 App经营者被判刑

　　2017年，陕西女孩贾某和刘某谈起了恋爱。由于刘某性格偏激、脾气暴躁，二人经常吵架。当贾某发现刘某还刻意隐瞒了故意伤害、抢劫等前科劣迹时，决定和其分手。

　　2019年3月，贾某向刘某提出分手。刘某不但拒绝分手，还经常对贾某进行电话轰炸、围追堵截。

　　不堪其扰的贾某从老家辗转来到江苏省苏州市，并谎称自己在合肥上班，不和刘某见面，希望时间久了刘某会打退堂鼓。没想到，刘某却近乎疯狂地打探她的行踪。

　　2019年6月的一天，贾某突然收到刘某发来的一条“新闻链接”，她没有多想，随手点开链接，却不知道自己所在的位置信息已被泄露。

　　一周后，贾某下班回家时，刘某尾随来到她的住处，二人发生了激烈的争吵，情绪失控的刘某拿起房间内的一把剪刀，狠狠地扎向贾某，致其当场死亡。

　　当天，刘某主动向公安机关投案自首。2019年8月底，公安机关将刘某涉嫌故意杀人案提请苏州市姑苏区检察院批准逮捕。检察官胡舒琼承办此案。

　　面对讯问，刘某对杀害贾某的犯罪行为供认不讳。2019年9月，姑苏区检察院以涉嫌故意杀人罪将刘某批准逮捕。

　　在审查案卷时，胡舒琼发现，刘某了解到一款App，付费后可以定位他人的位置信息。于是，刘某向贾某发送了该App内的一个“新闻链接”。贾某点开后，刘某便收到其位置信息。

　　“原来是信息泄露让贾某付出了生命！”胡舒琼意识到，这款App所提供的服务已超出正常范围，其经营者可能涉嫌侵犯公民个人信息犯罪。

　　侦查实验揭开

　　信息泄露的“神秘面纱”

　　那么，这款App究竟是怎样获取他人位置信息的呢？其定位公民位置信息并提供给他人的行为是否违反国家有关规定？为了厘清这些问题，检察官开始了求证之路。

　　2020年1月，姑苏区检察院委托苏州大学提供技术分析咨询。原来这款App的经营者以个人名义注册某地图开发者账户，获得该地图的API（应用程序编程接口）使用权。

　　用户网络支付服务费后，经营者通过编写网页代码，将地图API嵌入“新闻链接”。用户将该链接发送给被定位者，一旦被定位者打开链接，可瞬间定位其所在位置，并将获得的位置信息发送给用户。

　　根据2019年国家有关部门联合印发的《App违法违规收集使用个人信息行为认定方法》，“既未经用户同意，也未做匿名化处理，数据传输至App后台服务器后，向第三方提供其收集的个人信息”，可被认定为“未经同意向他人提供个人信息”。

　　随后，检察官按照刘某供述的方法，对该款App定位服务开展了多次侦查实验：用户支付服务费后，随意选择一条App内的“新闻链接”，发送给被定位者，被定位者点开该链接后，会收到一个“是否同意使用您当前位置”的提示弹窗。

　　经过反复操作验证，检察官发现，无论被定位者点击“是”或“否”，其实时位置都会被精准定位，且通过App传送给付费用户。

　　在整个过程中，App不仅没有设置隐私协议，也未明示收集使用个人信息的目的、方式和范围，更未告知被定位者其位置信息将被提供给他人，很显然属于“未经被定位者同意，向他人提供个人信息”。

　　至此，检察官确认：这款App经营者在被定位者不知情的情况下，将获取的行踪轨迹信息出售给用户，系违反国家规定的行为，涉嫌侵犯公民个人信息罪。

　　立案监督引导侦查

　　惩处幕后“帮凶”

　　根据刑法规定，侵犯公民个人信息罪“情节特别严重”情形之一，是造成被害人死亡、重伤、精神失常或被绑架等严重后果。

　　检察官认为，正是因为这款App违法获取和泄露了被害人贾某的个人信息，一步一步引导刘某找到贾某，从而导致贾某被杀害。该款App的行为与贾某死亡具有刑法上的因果关系，属于“情节特别严重”的情形之一，依法应予刑事立案，追究刑事责任。

　　2020年2月，姑苏区检察院向公安机关发出《要求说明不立案理由通知书》。同年4月，因犯罪嫌疑人尚不明确，公安机关以事立案，对该款App涉嫌侵犯公民个人信息立案侦查。由于该案属于新类型犯罪，调查取证难度较大。

　　2020年11月，该款App的经营者赵某、黄某被抓捕归案。2021年11月，赵某、黄某涉嫌侵犯公民个人信息罪一案被移送至姑苏区检察院审查起诉。

　　在此期间，姑苏区检察院提前介入案件引导侦查，持续跟踪监督，紧盯案件进展，多次与公安机关沟通，引导查明该款App定位公民个人行踪轨迹信息条数、获利数额等证据。

　　以侵犯公民个人信息罪

　　两名App经营者被判刑

　　经查，2018年初，赵某自行开发编写了具有通过发送“新闻链接”获取他人实时定位信息功能的程序，此后与黄某合作将该程序嵌入该款App，并开放付费使用功能。

　　2018年4月至2020年11月间，该款App非法提供或者出售公民个人行踪轨迹信息4572条，违法所得8万余元。

　　到案后，赵某、黄某主动认罪认罚。2022年7月，法院以侵犯公民个人信息罪分别判处被告人赵某、黄某有期徒刑四年六个月、四年九个月，各并处罚金、没收违法所得。

　　此前，刘某于2020年10月被法院判处死刑，缓期二年执行。三人均未提起上诉。

　　至此，不仅杀人的刘某依法被判处死缓，泄露信息的赵某、黄某也依法受到了法律的严惩。 综合最高人民检察院、检察日报等

　　律师说法

　　1.信息处理者不得泄露或篡改其收集、储存的个人信息

　　陕西圣拓律师事务所张文博律师在谈及本案时讲到，《中华人民共和国民法典》第一千零三十四条规定：自然人的个人信息受法律保护。所谓的个人信息是指通过电子或其他方式记录的能够单独或与其他信息结合进而识别特定自然人的各种信息，其中包括自然人姓名、家庭住址、出生日期、电话号码、健康信息以及本案所涉及的行踪信息等。

　　正因为个人信息涵盖内容广泛且对自然人而言极其重要，因此对于收集、储存、使用、提供个人信息的信息处理者（如本案中的App经营者）法律有严格要求。《民法典》第一千零三十八条规定：“信息处理者不得泄露或者篡改其收集、储存的个人信息，未经自然人同意，不得向他人非法提供其个人信息”；《刑法》第253条规定：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

　　本案中App的经营者在被害人不知情的情况下，将通过新闻链接获取的行踪轨迹信息出售给犯罪嫌疑人，最终致使惨案的酿成，App经营者也因此而最终获刑。

　　张文博律师表示，近年来国家对于个人信息的保护愈发重视，随着《个人信息保护法》等一系列相关法律法规的出台，个人信息的保护力度也达到空前程度。但需要注意的是，实际生活中依旧存在不少侵犯个人信息的行为和事件，公民面临财产和人身安全的隐患仍然不容忽视。

　　张文博律师认为，为有效避免安全隐患、保护个人信息，一方面要求个人信息的处理者要严格遵守法律规定和行业操守，依法保护其收集和存储的公民个人信息；另一方面也要求公民在日常生活中要提高个人信息保护意识，时刻保持警惕切勿出于好奇等原因随意点击不知名链接或轻易向他人提供个人重要信息，以避免财产和人身安全遭受不法侵害，如果发现个人信息存在泄露或被他人非法使用的情况，应在第一时间向公安机关报案或通过其他合法途径积极维权。

　　2.App收集个人信息应按需必要

　　过度收集将面临行政处罚风险

　　北京市盈科（西安）律师事务所合伙人马兵表示，App收集个人信息应当按需、必要，过度收集将面临行政处罚风险。

　　根据《网络安全法》第41条规定，网络运营者收集个人信息，应当遵循正当、必要的原则，不得收集与其提供的服务无关的个人信息。《App违法违规收集使用个人信息行为认定方法》第4条规定，收集的信息类型与现有业务功能无关，属于违反必要原则的情形。因此，这种过度收集的行为，根据《网络安全法》第64条的规定，应由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

　　3.App收集个人信息应诚信透明

　　欺骗性收集和出售或承担刑事责任

　　马兵表示，在本案中，该App在提示收集信息后，无论点“是”还是“否”，都收集位置信息并有偿提供给第三方，不仅属于用户明确表示不同意后仍收集个人信息的情形，应认定为《App违法违规收集使用个人信息行为认定方法》规定的“未经未经用户同意收集使用个人信息”，同时也违反了《刑法》第253条的相关规定，数量达到一定程度或情节严重，如造成被害人死亡、重伤、精神失常或者被绑架等严重后果的，经营者将承担刑事责任。

　　律师提醒

　　使用App时应谨慎打开不明链接

　　谨慎进行信息授权

　　消费者在使用App时，要谨慎打开不明链接，谨慎进行信息授权，提高防范意识，避免遭受危险和财产损失。App运营者，尤其是覆盖广、流量大的通信社交型运营企业，应当加大技术研发、推进产品升级，更加智能有效的防范不良链接，截断非法收集个人信息的灰色通道，维护网络环境的健康和谐，促进行业长足发展。

　　另外，工信部最新颁布的《关于进一步提升移动互联网应用服务能力的通知》也把坚持合法正当必要原则、明示个人信息处理规则、合理申请使用权限，作为加强个人信息保护的三大基本要求，今后，国家对于违法收集和使用个人信息的查处和打击将更加常态化，更加严格。

　　专家提醒

　　手机定位功能平时不要常开

　　网络安全研究员余俊峰表示，对于有人蓄意设计套取隐私信息牟利的做法，作为普通用户确实不好防范。建议执法部门对这种行为一定要加大打击力度，必要时应专门研究如何应对。

　　对于普通用户来说，平时一定要加强隐私保护意识，当浏览网页时，若提示需使用当前位置，这时需要特别注意，若没有合理的理由建议拒绝授予位置权限；平时要养成良好习惯，在需要用到定位功能的时候再打开手机定位开关，用完后要及时关闭。 

　　专家提醒：只要和利益相关的都要严格审查

　　西安电子科技大学网络与信息安全学院杨超教授表示：首先，手机不像电脑，它集成了很多传感器，可以感知周围的温度、压力，位置、晃动程度等等。这些感知到的数据或信息，一般都定义为跟个人相关的隐私数据。比如说我正在用手机打游戏，我不想让你知道我在家，不想让你知道我的位置，不想让你知道我正在用手机导航，因为这些都跟个人隐私相关，被称之为个人隐私数据。

　　那么不法分子怎么能拿这些信息呢?比如他写个App，说用你位置信息就只是想看看，也不干啥，这根本不会同意的，这样的App想在应用商店上架也是过不去的。但有攻击者耍了个花招，说他发新闻时想获得用户的地理位置信息，是想给用户推送跟其所处位置相关的一些新闻，来提高用户的体验度，但他其实是拿这个当幌子收集用户信息。这么一来，他使用位置信息也是也是合法的，应用商店也是可以审核通过的，也可能会征得用户的同意。但他并不是真正要给用户提供基于位置的信息服务，而是开通了另外一个接口，把这些个人隐私数据卖给其他人。他一发新闻链接，别人一点就能有位置信息了，后台数据就就有了，然后他把这后台数据卖给别人，通过这种方式来牟利。

　　这是一种典型的攻击方法，相当于用户界面的伪造，看起来只要点否就不会传位置信息，但其实还是传了的。通过这种用户界面的伪造信息，再加上把新闻和地理位置关联起来提高用户体验度一个假的外壳，通过两个手段的结合就非法地获取了用户的地理信息，然后再把用户地理位置信息卖给别人。这样一来，整个犯罪链条的技术环节就都完整了：他用到了这种假的用户界面，然后又用了假外壳，骗过了应用商店的审查，然后再通过倒卖隐私数据来牟利。

　　“我认为需要提醒普通用户的是，只要和你利益相关的都需要严格审查。所谓利益相关，就是要么恐吓你，说你再不干怎么样就损害你的利益;要么就是骗你，你要是干了什么事就会得到什么利益。只要这两条符合任何一条，99.99%都是骗人的。”

　　杨超表示，他觉得，作为应用商店，对这种用户界面的欺诈，还是应该有一定的技术审查能力。尽管要求很严格，还是应该有代码审计，有相关的技术人员来审核，一个一个来判断。尽管很麻烦甚至很困难，但这也其必须要尽的责任之一。“另外我们有网络安全法、数据安全法、个人隐私保护法等法律法规，也有相关案例司法审判的威慑，这些对普通大众来说是有提醒作用的，对不法分子也有震慑，我们应该坚持多管齐下来治理网络空间。”

华商报记者 宁军 马虎振

编辑：黎博恩