侵犯公民个人信息罪
文章节选自图书《实务刑法评注》
北京大学出版社2022年8月版
转自实务刑事法评注
【刑法条文】
第二百五十三条之一 【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
【立法沿革】
本条系2009年2月28日起施行的《刑法修正案(七)》第七条增设的规定。
2015 年11月1日起施行的《刑法修正案(九)》第十七条对本条作了修改,主要涉及三个方面:一是扩大犯罪主体的范围,规定任何单位和个人违反国家有关规定,获取、出售或者提供公民个人信息,情节严重的,都构成犯罪;二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚;三是提升法定刑配置水平,增加规定“处三年以上七年以下有期徒刑,并处罚金”。修改后,罪名由“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”。
【相关规定】
《中华人民共和国个人信息保护法》(自2021年11月1日起施行)
《中华人民共和国民法典》(自2021年1月1日起施行,节录)
《中华人民共国网络安全法》(自2021年1月1日起施行,节录)
《中华人民共和国治安管理处罚法》(修正后自2012年10月26日起施行,节录)
《全国人民代表大会常务委员会关于加强网络信息保护的决定》(自2012年12月28日起施行)
【司法解释】
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10 号,自2017 年6 月1 日起施行)
【规范性文件】
《公安部关于公安机关处置信访活动中违法犯罪行为适用法律的指导意见》(公通字〔2013〕25号,节录)
《最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》(法发〔2016〕32 号,节录)
《最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》(法发〔2021〕22号,节录)
《最高人民法院、最高人民检察院、公安部办理跨境赌博犯罪案件若干问题的意见》(法发〔2021〕22号,节录)
另,《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字〔2013〕12 号)涉及侵犯公民个人信息犯罪适用法律问题的规定已被法释〔2017〕10 号解释吸收,未予收录。鉴于刑法修正和《最高人民法院、最高人民检察院关于办理扰乱无线电通讯管理秩序等刑事案件适用法律若干问题的解释》(法释〔2017〕11号)发布,《最高人民法院、最高人民检察院、公安部、国家安全部关于依法办理非法生产销售使用“伪基站”设备案件的意见》(公通字〔2014〕13号)未予收录。
【指导性案例】
柯某侵犯公民个人信息案(检例第140 号)
【国家标准】
《信息安全技术 个人信息安全规范》(GB/T 35273-2020)
左右滑动查看
【法律适用答复、复函】
《最高人民法院研究室关于侵犯公民个人信息罪有关法律适用问题征求意见的复函》(法研〔2018〕11 号)
另,鉴于刑法修正和《最高人民法院、最高人民检察院关于办理扰乱无线电通讯管理秩序等刑事案件适用法律若干问题的解释》(法释〔2017〕11号)发布,《最高人民法院研究室关于非法生产、销售、使用“伪基站”行为定性的复函》未予收录。
【办案指引】
《检察机关办理侵犯公民个人信息案件指引》(高检发侦监字〔2018〕13号)
【刑参案例规则提炼】
《谢新冲出售公民个人信息案———手机定位属于刑法保护的“公民个人信息”》(第741 号案例)所涉规则提炼如下:
手机定位信息的数量计算。“如果基于同一个人的申请,在相对固定的时间内(如一周、一个月或者一年)对同一部手机进行连续多次定位,可以计算为一条信息,但量刑时不应仅以一条信息而论,还必须考虑这种连续定位行为的危害性,体现与仅定位一次的区别。如果对手机定位后,经过一段时间再次对同一部手机进行定位,特别是申请定位人不是同一人时,则不宜计算为一条信息,可根据实际定位次数计算信息数量。”(第741号案例)
另,鉴于《刑法修正案(九)》对《刑法》第二百五十三条之一作了修正和法释〔2017〕10 号解释发布,《周建平非法获取公民个人信息案———非法购买公民电话通话清单后又出牟利的,如何定罪处罚》(第612号案例)、《周娟等非法获取公民个人信息案———非法获取大量公民个人信息的行为,如何定罪量刑》(第719 号案例)、《胡某等非法获取公民个人信息案———通过非法跟踪他人行踪所获取的公民日常活动信息是否属于公民个人信息以及如何理解非法获取公民个人信息罪中的“上述信息”“非法获取”以及“情节严重”》(第1009号案例)所涉规则未予提炼。
【司法疑难解析】
1.侵犯公民个人信息罪的对象范围。侵犯公民个人信息罪的对象为公民个人信息。从司法实务反映的情况来看,应当妥善处理如下几个问题:
(1)关于公民个人信息的外延。由于对隐私信息存在不同认识,对“公民个人信息”的界定回避了这一概念,将其定义为能够“识别自然人个人身份”的各种信息。此处显然使用的是广义的“身份识别信息”的概念,既包括狭义的身份识别信息(能够识别出特定自然人身份的信息),也包括体现特定自然人活动的信息(例1: 司法实践中常见的住宿记录、行踪轨迹信息等)。基于此,法释〔2017〕10 号解释第一条明确公民个人信息的外延包括身份识别信息和活动情况信息。
(2)关于公民个人公开信息案件的处理。公民个人信息不要求具有个人隐私的特征。即便相关信息已经公开,不属于个人隐私的范畴,但仍有可能成为“公民个人信息”。(例2:行为人从商贸网站和政府部门公开的企业信息网上搜集企业公开发布的信息,包括公司的名称、产品、经营行业、注册信息和公司法定代表人、联系人的姓名、职务、联系方式等。行为人将上述信息存入数据库,供他人付费查询使用。) 该案所涉及的自然人相关信息,虽然已经公开,不再具有隐私信息的特征,但仍然属于公民个人信息的范畴。然而,相关公民个人信息既然已经公开,获取行为无疑是合法的,但后续出售、提供的行为是否合法,是否构成侵犯公民个人信息罪,本评注主张区分情况处理:
①对于自行公开的或者其他已经合法公开的个人信息,行为人获取相关信息后出售、提供的行为,一般不宜以侵犯公民个人信息罪论处。对于公开的个人信息,由于信息已经处于公开状况,获取无须征得同意,对此应无疑义;但是,在获取相关公开信息后进而提供的行为,是否需要取得“二次授权”(即在获取相关信息后,提供相关信息需要告知同意),则存在较大争议。《民法典》为这一争议问题作了明晰,即否定“二次授权”的规则。《民法典》第一千零三十六条规定:“处理个人信息,有下列情形之一的,行为人不承担民事责任:……(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外……”(《个人信息保护法》第十三条、第二十七条有类似规定)据此,对公开的个人信息的合理处理可以推定自然人概括同意,即除了“该自然人明确拒绝或者处理该信息侵害其重大利益的”情形外,不需要通知和征得该自然人或者其监护人同意。在处理相关刑事案件时,对于未通知并征得自然人同意而获取、提供公开的个人信息的案件,只要行为人的获取、提供行为处于“合理”限度之内,除证明该自然人明确拒绝或者相关获取、提供行为侵害了该自然人的重大利益的外,应当认为相关获取、提供的行为属于合法行为,不属于“违反国家有关规定”获取、提供公民个人信息的行为,更不应当认定为构成侵犯公民个人信息罪。此外,对于《民法典》第一千零三十六条第二项规定的“合理处理”的认定,应当采用相对宽泛的理解。原则上,只要法律、法规没有明确禁止的处理行为,均可以认定为“合理处理”,至少不能认定为犯罪。基于此,对例2 中的行为不以侵犯公民个人信息罪论处为宜。
②对于非法公开的个人信息,行为人获取相关信息后出售、提供的行为,可以根据情况以侵犯公民个人信息罪论处。实践中,有些公开信息并非权利人自愿公开,如个人信息被他人通过信息网络或者其他途径发布;有些信息的扩散并非权利的人的意愿,如权利人发现个人信息被收集后主动要求行为人删除。上述情形中,获取相关信息的行为可以认定为合法,但后续的出售或者提供行为明显违背了权利人意愿,对其生活安宁造成侵犯,对其中情节严重的行为完全可以适用侵犯公民个人信息罪予以惩治。
(3)关于公民个人部分关联信息的认定。公民个人信息须与特定自然人关联,这是公民个人信息所具有的关键属性。需要注意的是,与特定自然人的关联,无论是识别特定自然人身份,还是反映特定自然人活动情况,都应当是能够单独或者与其他信息结合所具有的功能。例如,身份证号与公民个人身份一一对应,可以单独识别公民个人身份;而实践中常见的工作单位、家庭住址等公民个人信息,则通常难以单独识别公民个人身份,需要同其他信息结合才能识别公民个人身份。司法实务中的疑难问题是,对于不能单独识别特定自然人身份或者反映特定自然人的活动情况的部分关联信息中的哪些信息可以纳入“公民个人信息”的范畴,即公民个人信息所要求的可识别程度(与其他信息结合可以识别特定自然人的部分关联信息,无疑不能全部纳入“公民个人信息”的范畴。因为在大数据时代,就理论上而言,任何信息与其他足够多的信息相结合都可以识别特定自然人身份或者反映特定自然人的活动情况。所以,必须为可以纳入“公民个人信息”范畴的部分关联信息划定界限),实践中存在不同认识。[例3:行为人系医药代表,基于对医生给予回扣的目的,从医院计算机主管处非法获取了有关病床使用其负责销售的药品情况。相关信息只涉及病床号 (相应病床由特定医生负责) 和使用特定药品情况,无病人姓名、身份证号等其他个人信息]本评注主张,在司法适用中具体判断部分关联信息是否可以认定为“公民个人信息”时,可以如下三个方面加以判:A.信息本身的重要程度。如果涉案的信息与人身安全、财产安全密切相关,敏感程度较高,则认定该类信息是否属于“公民个人信息”可以采取相对宽泛的标准。B.需要结合的其他信息的程度。如果涉案信息本身与特定自然人的身份、活动情况关联程度高,需要结合的其他信息相对较少,则认定为“公民个人信息”的可能性较大;反之,如果需要结合的其他信息过多,则认定为“公民个人信息”的可能性较小。C.行为人主观目的。如果行为人主观上获取涉案信息就不需要识别特定自然人身份或者反映特定自然人活动情况,则此类部分关联信息原则上不宜认定为“公民个人信息”。按照以上原则,例3所涉信息不宜纳入“公民个人信息”的范畴。主要考虑如下:该案涉及的病床号、用药情况等信息本身与权利人的人身安全、财产安全关联不大,敏感性程度较低,将其认定为公民个人信息宜从严把握;该案涉及的病床号、用药情况等信息无法直接识别特定自然人,需要结合姓名等其他重要个人信息或者较多其他个人信息才能识别特定自然人;从行为人的主观目的来看,其就是想获取特定病床号的用药情况,至于该病床所关联的具体自然人并非其主观所追求的。
(4)关于IP 地址、设备ID 等信息[软件收集的用户终端数据一般分为三类:第一类是系统信息,即终端计算机操作系统和硬件系统的配置信息,包括用户的IP 地址、设备ID 等信息(被收集后可以用于精准广告投放);第二类是软件信息,即用户下载、购买和使用各种应用软件所涉及的信息,如杀毒软件对用户访问的网站进行云调查、对用户计算机上的新文件(包括下载、传输、拷贝等)进行自动扫描获取的信息;第三类是个人信息,即在使用中需要输入的姓名、地址等信息。目前,存在争议的主要是前两类信息]和cookie信息(cookie 是网站为了辨别用户身份、跟踪而储存在用户本地终端上的数据。网站可以利用cookie 跟踪统计用户访问网站的习惯,记录用户登录信息)等电子信息的归属。这一问题在实践中存在较大争议。以cookie信息为例,用户的cookie信息反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但是否属于公民个人信息存在不同认识。对于上述问题,本评注主张不作一概而论,应当根据案件具体情况作出判断。申言之,应当根据公民个人信息所有具有的“识别特定自然人身份或者反映特定自然人活动情况”这一关键属性,对上述信息是否属于公民个人信息作出判断。
2.侵犯供个人信息罪的定罪量刑标准。法释〔2017〕10号解释第五条至第七条对侵犯公民个人信息罪的定罪量刑标准作了明确。从司法实践适用上述定罪量刑标准的情况来看,本评注主张应当妥当把握公民个人敏感信息的范围。基于不同类型公民个人信息的重要程度,法释〔2017〕10号解释第五条分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准。对于侵犯公民个人敏感信息的行为之所以设置不同于一般公民个人信息的入罪标准,就在于敏感信息涉及人身安全和财产安全,其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。这是认定公民个人敏感信息应当考量的关键因素。整体而言,对于公民个人敏感信息的认定宜从严把握,严格限制其范围。对于行踪轨迹信息,只宜理解为手机定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息。行踪轨迹信息不等于涉及轨迹的信息,而应当理解为涉及轨迹的实时信息。广义上而言,涉及轨迹的信息范围较宽。(例4:行为人设立钓鱼网站,获取他人的12306 账户名和密码,进而获取了他人的火车票信息。火车票载明了姓名、车次、时间、起始站点等信息。) 行为人获取他人火车票信息后,可以根据火车票载明的信息判断出他人的行踪情况,但是,相关轨迹信息并非实时信息,故应当排除在行踪轨迹信息的范围之外。
而且,通常而言,敏感信息、特别是高度敏感信息的交易价格要远远高于一般公民个人信息。从实践来看,行踪轨迹信息直接涉及人身安全,敏感程度最高,就交易价格而言通常是最为昂贵的信息类型。与之类似,涉案信息的获取渠道也是判断敏感信息的重要因素。由于敏感信息直接涉及公民个人人身安全和财产安全,敏感程度高,获取的途径相对困难。对于可以批量获取的信息,由于获取相对容易,认定为敏感信息应当特别慎重。与行踪轨迹信息的认定类似,“财产信息”亦不等于“涉财产信息”,判断的关键为是否危及人身财产安全,辅之以信息获取渠道、交易价格、信息流向等考量因素。(例5:行为人从车辆管理机构工作人员处非法购买车辆信息,具体涉及车主、车辆型号、发动机号、联系电话等信息。行为人购买上述信息后,拨打车主电话推销车辆保险。)行为人获取的车辆相关信息确实较为具体,符合“财产信息”的一般特征,但行为人的主观目的就是为了推销车辆保险,并非用于实施针对人身或者财产的侵害行为,按照本评注的见解,对其适用一般公民个人信息的入罪标准更为妥当。同理,对于房地产中介等将房产信息非法提供给装修公司,主要用于推销业务,不太可能涉及侵犯人身、财产权利的,通常也不宜将相关信息纳入“财产信息”范畴。
3.非法持有和使用公民个人信息的处理。本评注主张:(1)将自己掌握的公民个人信息(包括合法获取或者非法获取的公民个人信息)非法使用的行为,不能直接依据《刑法》第二百五十三条之一的规定入罪,但并不意味着不能依据相关行为的刑事违法程度予以刑事惩治:如果行为人所掌握的公民个人信息系窃取或者以其他方法非法获取的,可以对非法获取行为适用侵犯公民个人信息罪;如果非法使用所掌握公民个人信息,实施诈骗、敲诈勒索等其他犯罪行为的,可以依据其他犯罪论处。(2)《刑法》第二百五十三条之一只是将非法获取、出售、提供公民个人信息的行为入罪,对于实践中业已出现的非法持有大量公民个人信息案件,如果根据在案证据,适当运用推定规则,证明涉案公民个人信息系非法获取或者用于非法出售、提供的,则可以适用侵犯公民个人信息罪定罪处罚。
4.公民个人信息的数量计算。根据法释〔2017〕10 号解释的规定,结合司法实践的情况,本评注主张对涉案公民个人信息的数量应当按照如下规则把握:
(1)公民个人信息的条数计算。关于公民个人信息的条数计算,司法解释未作专门规定。实践中可以综合考虑实践交易规则和习惯,准确认定公民个人信息的条数。例如,同一条信息涉及家庭住址、银行卡信息、电话号码等多类别个人信息,如果是按照一条公民个人信息来交易的,则往往会认定为一条公民个人信息。实际上,刑参第741号案例也主张对公民个人信息的数量认定按照实际情况区别对待、妥当计算。此外,有些情形下“一条”公民个人信息应当理解为“一组”公民个人信息。例如,公民个人的银行账户、支付结算帐户、证券期货等金融服务账户的身份认证信息,应当理解为一组确认用户操作权限的数据,包括账号、口令、密码、数字证书等,而非单个数据。
(2)针对同一对象非法获取公民信息后又出售或者提供,以及向不同对象出售或者提供公民个人信息的数量计算规则,应当分别按照法释〔2017〕10 号解释第十一条第一款、第二款的规定处理。
(3)对批量公民个人信息的条数,可以按照法释〔2017〕10 号解释第十一条第一款、第二款的规定认定,但是仍然应当要求作去重处理,对于明显重复的信息应当予以排除。此外,需要强调的是,对于敏感公民个人信息不宜适用该款规定,而应当逐一认定。主要考虑如下:其一,从司法实践来看,一般公民个人信息的价格相对较低,甚至不会按条计价,故要求逐一认定不具有可操作性;而公民个人敏感信息价格通常较高,通常按条计价,逐条认定不存在难题。其二,涉敏感信息的案件入罪标准较低,五十条或者五百条即达到入罪标准。为此,对于此类案件要求逐一认定敏感信息的数量,对于确保定罪量刑的准确,完全必要。
免责声明:本号所有资料均来源于网络、报刊等公开媒体及书籍,本文仅供参考。如需引用,请以正式文件为准。