寻车(首次全链条打击：非法“寻车”的罪与罚)

2018年9月17日，国家网络安全宣传周网络安全博览会在世纪城新会展中心举行。（人民视觉/图）

车主不知情、车辆被安装GPS的报道屡见不鲜，王一博、罗云熙等明星都经历过。

这种行为到底是不是犯罪？2023年3月24日，南京市鼓楼区人民法院给出答案：该院公开审理两名寻车业务经营者和技术开发人员，并当庭以侵犯公民个人信息罪，判处被告人黄逸、李明有期徒刑四年十一个月和三年三个月，分别处罚金人民币120万元和25万元。另一被告人谢煦被另案处理，案件尚未开庭。

鼓楼区法院相关人员对南方周末记者表示，这是全国首例全链条打击侵犯公民停车信息案。南方周末记者通过裁判文书网搜索，发现此前各地惩处的均是安装GPS设备的人员，并未涉及收集车辆停放信息的提供者。此案则惩处了背后车辆信息的收集者及技术开发人员。

清华大学法学院个人信息保护与数据权利研究中心主任程啸教授也是首次听到“全链条打击”，他表示，目前很多个人信息侵权和犯罪案件仅打击非法使用者，很难查出背后的个人信息非法收集和非法出售者，此次全链条打击能够有效震慑侵害个人信息的犯罪分子。

提供车牌号即可批量查询

被告人谢煦从2014年开始从事汽车按揭贷款业务，由于经营不善，公司倒闭。此间出现过车主未还完贷款却携车跑路的情况，他判断，市场上存在寻车需求。

谢煦由此开始在深圳经营查找失联汽车的业务。聊天记录和转账记录显示，他还有两个合作伙伴，三人的合作始于2020年6月，具体分工是：谢煦联络客户，李明负责程序的管理与优化，黄逸负责安装GPS设备。

此前的业务给谢煦积累了一些客户资源，他接受“委托”后便查找他客户提供的车辆信息。由于缺乏技术基础，经朋友介绍，谢煦联系了黄逸。小学毕业的黄逸此前无业，对技术略懂皮毛，无法设计出谢煦需要的软件。

于是，黄逸通过网络找到技术人员李明。李明本科学的是生物科学，是某省医疗器械质量监督局的验收员，利用业余时间自学编程，且按照要求制作了“JTC”等小程序。

据了解，李明设计的“JTC”可绕过“捷停车”等二十多个停车平台的系统安全防护机制，获取包括停车位置、停车场名称、进入停车场时间等停车信息。不仅可以获取车辆的即时信息，还能获取停车平台储存这一车辆的历史信息。

“JTC”的开发过程中碰到技术难题，李明便通过网络寻求其他黑客协助，将软件升级优化。2021年，程序逐渐成熟，提供车牌号即可批量查询，查询到的信息不仅包括停车场名称、地点、入场时间，还包括月卡车辆或者临停车辆信息。

黄逸将“JTC”等小程序交予谢煦。接到客户要求查找车辆信息的业务后，谢煦利用“JTC”将查询到的车辆位置信息发送给客户，有时还根据对方要求给车辆安装GPS设备。GPS与客户手机绑定，车辆一旦启动，行驶轨迹便能被实时获取。

2022年5月12日，李明被警方抓获，归案后供述了主要犯罪事实。2022年5月24日，黄逸主动投案。经统计，黄逸非法获利113万余元，李明非法获利24万余元。

争议：停车信息是不是个人轨迹信息？

鼓楼区人民法院刑事审判庭庭长朱锡平是此案的主审法官，虽然知道有很多爬虫软件，但他看到案件时，还是觉得震撼，“如此贴近我们每个普通人的生活”。

他过往审理过的侵犯个人信息的案件，基本上是以侵害公民的身份证号、家庭住址、联系方式等个人信息为主。但这一案件涉及公民个人敏感信息。

个人信息保护法明确规定，敏感个人信息是一旦泄露或者被非法使用，容易导致自然人的人格尊严受到侵害或者是人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

案件审理过程中也有争议，即停车信息能否被视为轨迹信息。有人提出，如果没有安装GPS，就不涉及轨迹信息，仅为停车信息 。经过7人组成的合议庭（包括4位陪审员）多次讨论得出的结论是，通过停车信息可识别特定人的活动规律，因此将其认定为轨迹信息。

“比如这个人每天早上来这里喝咖啡，晚上去健身房锻炼，再去图书馆看书。虽然没有掌握他的实时轨迹，但可以根据停车信息分析他的活动情况，就可能对他的人身安全和行动自由产生危害。”朱锡平解释。

量刑时，由于谢煦除了从黄逸方获取小程序外，还有另外的获取停车信息渠道，所以无法具体计算黄李二人收集公民信息的数量，因此结合司法解释的规定按照他们的违法所得来判刑。最终的判决结果是，法院以侵犯公民个人信息罪，分别判处被告人黄逸、李明有期徒刑四年十一个月和三年三个月，并处罚金120万元和25万元。

谢煦作为另案被告人，目前还未受审。

朱锡平认为此案属于典型的网络犯罪，在网络技术的背景下，形成了交错的利益链条，形成了较为复杂的网络犯罪生态，而且分工日益细化，产生了相关联的黑灰产业链。

更重要的是，朱锡平指出，这种侵犯公民个人信息的犯罪，不仅侵害公民日常生活的安宁和安全，还可能引发延伸犯罪，例如电信网络诈骗、敲诈勒索和套路贷等等。“一定要从源头上打击”， 预防后续犯罪所带来的危害。

程啸表示，个人信息有不同的应用场景和利用目的，很多灰黑产业都围绕着非法收集非法窃取个人信息形成。“可以追讨债务，也可以用来跟踪杀人、电信诈骗等等”。

此外，考虑到可以批量获取停车信息，也引发公众担忧，“我们很多人都会在停车场进出，都是潜在的被害人。”

与传统犯罪不同

3个人就能构成犯罪链条，这也出乎很多人的意料。

浙江大学数字法治研究院副院长高艳东表示，与以往认知中涉及几十人、几百人的大规模灰黑产业链犯罪有所不同，3个人就能够完成从开发到安装GPS的链条，表明这种犯罪进入了小链条或者细链条的状态。“这种短平快、分工简单、灵活游击化的个人合作链条可能是未来网络犯罪的主要模式，也是精细治理和打击的重点。”

这起“全链条”案中，涉案人员呈现出灰黑产业链的模式。与传统的共同犯罪有所不同，他们处在一个链条上，形成了金字塔式的人员层级。

第一层是上游客户，也即部分 “委托”谢煦查找车辆信息的客户。

第二层是中介机构，这类寻车公司能够联络客户，但一般不具备技术能力，还需寻找开发软件的技术人员。

第三层是技术人员，负责查找车辆信息的软件开发和运营维护。

第四层是查车人员，查询后直接反馈给中介机构；部分还涉及安装GPS设备。

在审理此类案件中，朱锡平发现有一些共性。由于安装GPS设备本身具有暴露风险，不少犯罪分子选择外包，通过网络寻找安装人员。

而从事安装GPS设备的主要是低收入群体，他们按照指令到达具体位置寻找车辆，将GPS设备安装在底盘等较为隐蔽之处。安装完成后，还需拍照上传，确认能够实时接收GPS传回的信息后，一单才算完成。

因此，这一灰黑产业链要比传统的共同犯罪更难以打击。“有人接单后并不知晓上家是谁，抓捕后他也说不清楚，但他依然能够完成黑灰产业链当中的重要一环。”

值得一提的是，黄逸与李明之前仅通过网络联系，即使在街上遇到，也是见面不相识。

这一系列案件涉及13人，共有5个平行案件。鼓楼区人民法院已判4件，还有部分涉案人员仍在接受公安审讯。

委托者的责任

一个不可回避的问题是，这类案件中，委托者应该承担何种法律责任？

个人信息保护法、民法典和刑法均明确表示，任何组织和个人在法无明确授权或未经公民个人明确同意授权下，不能非法获取他人的个人信息。“更不要说第三方在没有任何依据的情况下委托他人获取公民的个人信息。”朱锡平补充道。

虽然谢煦与客户之间签订了委托合同，但朱锡平认为这是非法授权，而非合法民事行为。

高艳东解释，如果明知违法还委托，那应该按照共同犯罪或共同侵权处罚。但实践中，很多委托者可能事出有因，比如追讨债务、情感纠纷等，委托者的初衷不是犯罪。可能存在法律上没有依据，但生活和情感上有一定道理的依据，就属于事出有因。针对这种情况，一般采取宽严相济的政策。“虽然委托者没有受到惩处，但不代表不是犯罪。”他强调。

程啸看到案件后首先意识到的是数据安全保护问题。他表示，目前各机构单位都在大量收集和储存个人信息，但采取的防护机制却相对较弱，这实际上给犯罪分子提供了可趁之机。

相关证据显示，公安机关也曾询问停车场平台的主管人员，对方表示有精密的防入侵措施，但不知道系统被入侵，也不清楚侵入以后造成的大量公民个人信息泄露问题。

因此，程啸认为，在收集个人信息时，应该严格遵守个人信息保护法规定，即目的限制和最小必要原则。“收集得越多，危险越大，就是所谓的水坝理论，水库里的水越积越多，防护不好就很容易崩塌”。他建议，最好不要收集个人信息，如果必须要收集，那应该采取足够的技术防护。

（谢煦、黄毅、李明为化名）

南方周末记者 魏翠翠 南方周末实习生 郭馨阳