侵犯公民个人信息罪的法律法规及司法解释
- 1、侵犯公民个人信息罪的司法解释
最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释(2017年3月20日最高人民法院审判委员会第1712次会议、2017年4月26日最高人民检察院第十二届检察委员会
第63次会议通过,自2017年6月1日起施行)
为依法惩治侵犯公民个人信息犯罪活动,保护公民个人信息安全和合法权益,根据《中华人民共和国刑法》《中华人民共和国刑事诉讼法》的有关规定,现就办理此类刑事案件适用法律的若干问题解释如下:
第一条刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
第二条违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。
第三条向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。
未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
第四条违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
第五条非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(二)造成重大经济损失或者恶劣社会影响的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。
第六条为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)利用非法购买、收受的公民个人信息获利五万元以上的;
(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;
(三)其他情节严重的情形。
实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。
第七条单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。
第八条设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。
第九条网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。
第十条实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。
第十一条非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。
向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。
对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
第十二条对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。
2、公民个人信息的内涵及特征
修正案没有对公民个人信息作出界定。有人认为,公民个人信息包括:姓名、职业、职务、年龄、婚姻状况、学历、专业资格、工作经历、家庭住址、电话号码、信用卡号码、指纹、网上登录账号、密码等能够识别公民个人身份的信息。笔者认为,随着科技水平的进步,个人社会活动空间的拓展,个人信息的内容会更加丰富,采用列举式的方法显然无法穷尽。从内涵上看,公民个人信息指反映公民个人生理及身份特征、社会生活经历及家庭、财务状况,也包括公民在社会生活过程中取得、采用的个人识别代码。从外延上看,具有以下特征:
(1)与公民个人直接相关,能够反映公民的局部或整体特点;或是一经取得、使用即具有专属性。前者如公民的出生日期、指纹等,后者如身份证编号、家庭住址等。
(2)具有法律保护价值。公民个人信息承载了公民的个体特征,甚至各项权利,如果任由他人泄露、获取,必然导致公民时刻处于可能遭受侵害的危险状态。
(3)公民个人信息的保护不以信息所有人请求为前提。除非基于维护国家利益、公共利益的需要或信息所有人的意愿,任何组织和个人均无权泄露、获取其个人信息。
3、韩世杰、旷源鸿、韩文华等侵犯公民个人信息案
非法查询征信信息牟利,构成侵犯公民个人信息罪
【基本案情】
2015年9月3日至4日,被告人韩世杰、旷源鸿、韩文华利用连光辉(湖北省巴东县农村商业银行沿渡河支行征信查询员)的征信查询ID号、密码及被告人李冲、耿健美(洛阳银行郑州东风路支行客户经理)提供的洛阳银行郑州东风路支行的银行专用网络,在该行附近使用电脑非法查询公民个人银行征信信息3万余条。
2015年9月5日至6日,被告人韩世杰、旷源鸿、韩文华利用连光辉的征信查询ID号、密码及被告人李楠、卢惠生(德州银行滨州金廷支行行长)提供的德州银行滨州分行的银行专用网络,在该行南面的停车场内,使用电脑分两次非法查询公民个人银行征信信息2万余条。
2015年9月8日,被告人韩世杰、旷源鸿、韩文华利用李涛(江苏省淮安市农村商业银行徐溜支行职工)的银行征信查询ID号及密码及被告人李楠、卢惠生提供的德州银行滨州分行专用网络,在该行南面的停车场内,使用电脑非法查询公民个人银行征信信息近3万条。
被告人韩亮、邓佳勇获得征信查询ID号、密码并非法提供给被告人韩世杰等人使用,双方通过被告人陈莎莎中转租金、传递密码。被告人韩世杰、旷源鸿、韩文华将查询获得的上述公民个人银行征信信息出售给他人,向被告人韩亮、李冲、李楠支付了相关费用。
【裁判结果】
湖北省巴东县人民法院判决认为:被告人韩世杰、旷源鸿、韩文华、韩亮、邓佳勇、李楠、陈莎莎、卢惠生、李冲、耿健美违反国家有关规定,非法获取公民个人信息出售牟利,情节严重,其行为已构成侵犯公民个人信息罪。综合考虑被告人自首、坦白、积极退赃等情节,以侵犯公民个人信息罪判处被告人韩世杰有期徒刑一年六个月,并处罚金人民币二万元;被告人旷源鸿有期徒刑一年三个月,并处罚金人民币二万元;被告人韩文华处有期徒刑一年二个月,并处罚金人民币一万元;被告人韩亮有期徒刑一年,并处罚金人民币一万元;以及其他各被告人相应有期徒刑、拘役和罚金。该判决已发生法律效力。
4、 各类信息折算达标就追诉
50条、500条、5000条……非法获取、出售或者提供公民个人信息满多少条即可入罪,让定罪量刑更加直观和易于把握。但同时,50条、500条、5000条对应的是不同类型的公民个人信息,分别为高度敏感信息、一般敏感信息和其他信息。一起案件侵犯多个类型的公民个人信息,每个类型的信息数量又不满足入罪门槛,怎么办?司法解释提出,可以按相应比例计算。
最高检法律政策研究室副主任缐杰举例说,查办案件过程中,查获了涉及公民轨迹信息、征信信息、财产信息等高度敏感信息20条,同时查获涉及公民住宿信息、通信记录、健康生理信息等重要信息350条,两者都不满足50条、500条的入罪门槛,但按照司法解释,后者350条重要信息可以折算为35条高度敏感信息,此案涉及高度敏感信息合计55条,应当追诉。不仅如此,怎样科学合理地确定信息数量,什么是一条信息,什么情况下不该重复计算,什么情况下需要叠加计算,如何查重等,一直是困扰基层司法部门的老大难问题。为指导司法实践,增强可操作性,司法解释明确规定了信息数量的计算规则。对同一条信息中涉及公民个人信息的多项内容,比如家庭住址、电话号码、身份证号码等,这样的信息无论是司法机关还是普通大众,都普遍认为是一条信息,所以司法解释对此没有过多的强调。对非法获取以后又提供或者出售给同一人的,司法解释认为不能重复计算。比如,非法获取他人电话记录信息50条,又将这50条信息出售给同一人的,认定为侵犯公民个人信息50条。“如果将非法获取的公民个人信息出售或提供给不同人,比如提供给两个人,就应该累计计算,认定侵犯公民个人信息的数量100条。”由于涉案信息数量往往非常庞大,数万条,几十万条,乃至以兆计算,其中可能存在信息重复的情况,同一对象也可能并存“姓名+电话号码”“姓名+身份证号码”等信息,完全去重有一定难度。为了便于办案部门实际操作,特别是突出对侵犯公民个人信息犯罪的依法严惩,司法解释明确,对批量公民个人信息的条数,根据查获的数量直接认定。但有证据证明信息不真实或者重复的除外。
5、“出售、提供、获取”是否为非法的适用理解
刑法修正案(九)将刑法修正案(七)所规定的“出售、非法提供公民个人信息”中的“非法”予以删除。笔者认为,此举既是一种立法应然的理性价值取向,同时也是一种立法应然的规范取向。事实上,“出售、提供、获取”行为本身即侵犯了公民的个人隐私权,这种行为无论从何种角度来说,都是违背公民之主观愿望而“非法”的。由此,笔者认为,“出售、提供、获取”之“非法”并非指出售、提供、获取手段或者方法行为的性质,而是指行为人的出售、提供、获取行为在本质上就是非法的。不能单纯以获取、出售、提供行为违背法律禁止性规定予以认定,即行为人只要没有出售、提供、获取公民个人信息的法律依据或者资格,也没有得到公民个人的许可,就可能构成犯罪。
对于“出售、提供、获取”的方式,目前理论界和实务界关注不多,笔者认为,无论以何种方式出售、提供、获取公民个人信息,只要其超越了公民个人相应授权和许可,即没有出售、提供、获取资格或者根据的人,以窃取或者其他方法出售、提供公共服务提供者在服务过程中收集或者发布公民个人信息的,即可认定为“非法”。易言之,刑法既要制裁公共服务提供者将自己保有的公民个人信息非法出售、提供给他人的行为,又要处罚他人侵犯公共服务提供者对公民个人信息之保有状态的行为。从这个层面上看,出售、提供、获取等方式均为侵犯公民个人信息之行为。公民在接受公共服务时,相关单位也应对其所保存的个人信息予以保密,如擅自获取并出售、提供给他人或单位,只要造成相应的严重后果,也应追究其刑事责任,而能获取公民个人信息之主体,无论其出于何种目的或主观愿望,皆不能擅自通过任何手段、方式获取公民个人信息。
www.zj64.net
Copyright ©2022 浙江律师网 All Rights Reserved.