为了强化公民个人信息的刑事保护力度,保护公民个人信息安全,切断电信诈骗、敲诈勒索等犯罪的源头。日前,最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,以下简称《解释》。
一、立法沿革
侵犯公民个人信息罪,源于刑法修正案七、刑法修正案九的两次修改。
(一)出售、非法提供公民个人信息罪和非法获取公民个人信息罪
刑法修正案(七)第七条规定,在刑法第二百五十三条后增加一条,作为第二百五十三条之一:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。
“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
(二)侵犯公民个人信息罪
刑法修正案(九)第17条规定,将刑法第二百五十三条之一修改为:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
“单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
通过刑法修正案(九)的修改,出售、非法提供公民个人信息罪和非法获取公民个人信息罪被整合为侵犯公民个人信息罪,从而强化公民个人信息的保护力度。
二、《解释》明确的问题
《解释》对侵犯公民个人信息罪的法律适用问题和定罪量刑标准做了明确的规定:
(一)侵犯公民个人信息罪的行为方式
刑法规定侵犯公民个人信息罪的行为方式,包括两种,一是出售或者非法提供公民个人信息;二是非法获取公民个人信息,具体而言:
1、违反国家有关规定,向他人出售或者非法提供公民个人信息
(1)违反国家有关规定
《解释》第二条规定,违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。由此,这里的国家规定,仅限于法律、行政法规、部门规章等国家层面的规定,而不包括地方层面的地方性法规等文件。
(2)非法提供
《解释》第三条规定,向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。
未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
根据该条规定,本罪旨在限制非法提供公民个人信息,也即获取信息之后,向他人提供的行为。这种提供行为又分为两种情况,一是向特定人提供信息,比如公安机关、金融、住宿等单位的工作人员将其合法获取的信息提供给他人;二是通过网络向不特定人发布信息,比如人肉搜索,利用网络肆意散发他人信息。
《解释》第三条第三款之规定,实为一种法律注意规定,拟在提示司法工作人员,即便合法收集公民个人信息,但未经过可识别处理的,便提供给他人仍属于非法提供公民个人信息。比如APP打车软件,在获取司机、用户的订单、行程、轨迹之后,运营公司不经过处理,便打包向其他公司提供这些信息,便存在适用本条的可能性。
2、窃取或者以其他方法非法获取公民个人信息
《解释》第四条规定,违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
这种行为方式的问题主要在于厘清其他方法,《解释》第四条进行了明确,一是,违反国家有关规定,购买、收受、交换等方式获取信息;二是,违反国家有关规定,在履行职责、提供服务过程中收集公民个人信息。
理论上对于“其他”的理解,要求其应与刑法条款列举的方式具有相同的社会危害性,具体到本罪中,其他方法是否需要具备盗窃行为自身具有的非法性,各方认识上并不一致。《解释》一锤定音,消弭了分歧,将购买、收受、交换等方式解释为与盗窃等同的其他方法。从该规定来看,其他方式不需要自身行为的非法性,也即购买、交换这种行为,即便自身不具有非法性质,只要行为人没有获取公民个人信息的法律依据或者资格而获取相关个人信息同样属于非法获取。
此外,该条将非法收集也规定为其他方法,主要是为了遏制违反个人意愿,收集他人信息的行为。比如网络运营者违反规定、约定,收集公民个人信息的行为。《网络安全法》第四十一条对此作了规定,“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
(二)公民个人信息的范围
关于公民个人信息的范围,理论界有关联说、隐私说和识别说等不同主张。关联说认为,凡是与个人存在关联的信息都属于个人信息。隐私说认为,只有与个人隐私相关的才属个人信息。识别说认为,公民个人信息是指姓名、职业、职务、年龄、婚姻状况、学历、专业资格等能够识别公民个人身份的信息。比较来看,关联说外延过于宽泛,隐私说内涵过于狭窄,识别说则是介于二者之间。
《网络安全法》曾就个人信息有过一个定义,即指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。该规定,显然采取了识别说。《解释》在上述规定的基础上,进一步明确“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。从上述规定看,《解释》基本上采取了识别性,但又纳入了部分关联说的内容,进一步而言,这种识别性包括了识别自然人身份的信息(如通信通讯联系方式、住址、账号密码),还包括了反映自然人活动情况的信息(如财产状况、行踪轨迹等)。
结合《解释》第三条第三款“经过处理无法识别特定个人且不能复原的除外”,这种能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,经过处理、加工之后,无法识别特定个人且不能复原的,虽然也可能反映自然人的活动情况,但与特定自然人无直接关联,便不再属于本罪所规定的公民个人信息。
(三)情节严重的认定
《解释》对于刑法规定的情节严重,作了细化规定,具体列举了10种侵犯公民个人信息的情形:
(1)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(2)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(3)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(4)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(5)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(6)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(7)违法所得五千元以上的;
(8)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(9)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(10)其它情节严重的情形。
从上述规定来看,“情节严重”的认定主要是五个方面,一是信息用途,情形一、提供他人的信息被用于犯罪,情形二、明知他人利用信息实施犯罪,仍予以提供信息的;二是信息类型和数量,针对不同信息,设置了五十条、五百条、五千条的标准;三是违法所得数额,获取信息通常是为了牟利,五千元以上的;四是主体身份,履行职责或者提供服务过程中获得的公民个人信息的人员,在信息数量和所得数额上减半认定;五是前科情况;六是其他情况,作为兜底条款,从而将那些在主观恶性、社会危害性与前五种情形等同的行为认定为情节严重。
三、其他问题
1、想象竞合犯的问题
公民个人信息的载体往往体现为计算机信息系统数据,故非法获取公民个人信息的行为有时会同时符合侵犯公民个人信息罪与非法获取计算机信息系统数据罪。计算机信息系统数据包括了公民个人信息数据和非公民个人信息数据。行为人以侵入其他技术手段,获取该计算机信息系统中存储、处理或者传输中可以识别特定自然人身份或可以反映特定自然人活动情况的数据(特别是账号、密码这种可以识别特定个人的信息数据),便属于一个行为,侵犯了两种法益,既侵犯公民权利也侵犯网络秩序、网络安全。此时,若只用一个罪名则无法完全评价这种行为的法益侵害性,必须动用两个罪名进行评价,根据想象竞合犯的刑法理论,按照从一重罪处断的原则进行处罚。
2、非法使用公民个人信息的行为不适用本罪
非法使用公民个人信息的行为日益严重,诸如利用单位掌握的用户手机号码群发垃圾短信、拨打骚扰电话等现象较为普遍,但这种行为无法被本罪评价。因为,这种行为既不是以窃取或者以其他非法方法获取公民个人信息,也不是违反国家有关规定,向他人出售或者提供公民个人信息。对于这种违背权利人意愿非法使用所掌握公民个人信息的行为,依旧不构成侵犯公民个人信息罪。
3、搜索公民个人信息的行为不适用本罪
通过网络手段,搜索公民个人信息的行为,如其只是对公民个人信息进行了搜索,未非法获取也未向他人非法提供,便不符合本罪的构成要件。但是,通过这种搜索行为获取信息或者予以出售的,则便涉及本罪。
四、相关案例
(一)朱浩然非法获取公民个人信息案(上海市第二中级人民法院)
裁判要旨:被告人通过擅自秘密安装GPS定位器、放置录音笔及在电脑中私自安装截屏软件等方法,获取其前妻大量个人信息。行为的非法性包括:一是获取公民个人信息的手段、方式违反了法律法规的禁止性规定,二是获取信息未经公民本人知晓并授权。
(二)朱凯华等出售、非法获取公民个人信息案(上海市闸北区人民法院)
裁判要旨:银行工作人员违反相关规定,利用职务便利,通过银行内部网络系统获取银行客户的账户资料、个人征信报告,对外出售,情节严重的,构成出售公民个人信息罪。
(三)郭勇非法获取公民个人信息案(河南省固始县人民法院)
裁判要旨:公民机动车信息、护照信息、银行信用报告信息、人口信息及旅馆入住信息等,均属公民的专属或关联信息,具有一定的私密性、非公开性及法律保护价值,属于公民个人信息,应受法律保护。
(四)周滨城等侵犯公民个人信息案(浙江省平湖市人民法院
裁判要旨:非法购买学生信息出售牟利,构成侵犯公民个人信息罪。
(五)夏拂晓侵犯公民个人信息案(浙江省绍兴市柯桥区人民法院)
裁判要旨:非法买卖网购订单信息,构成侵犯公民个人信息罪。
(六)杜明兴、杜明龙侵犯公民个人信息案(江苏省南京市鼓楼区人民法院)
裁判要旨:通过互联网非法购买、交换、出售公民个人信息,构成侵犯公民个人信息罪。