为依法惩治侵犯公民个人信息犯罪活动,保护公民个人信息安全和合法权益,根据《中华人民共和国刑法》《中华人民共和国刑事诉讼法》的有关规定,现就办理此类刑事案件适用法律的若干问题解释如下:
第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
第二条 违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。
第三条 向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。
未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
第四条 违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(二)造成重大经济损失或者恶劣社会影响的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。
第六条 为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)利用非法购买、收受的公民个人信息获利五万元以上的;
(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;
(三)其他情节严重的情形。
实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。
第七条 单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。
第八条 设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。
第九条 网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。
第十条 实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。
第十一条 非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。
向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。
对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
第十二条 对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。
第十三条 本解释自2017年6月1日起施行。
一、立法沿革
1997年刑法大修时未作相关规定。针对侵犯公民个人信息犯罪日趋严重的趋势,2009年刑法修正案(七)在刑法第二百五十三条后新增了一条,作为第二百五十三条之一,共3款:(1)“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金”;(2)“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚”;(3)“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚”。
最高人民法院、最高人民检察院将上述条款概括出了两个罪名:“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。
2015年刑法修正案(九)对第二百五十三条之一作了修改,增至4款:(1)“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”;(2)“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚”;(3)“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚”;(4)“单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚”。
对照新旧条款可见,刑法修正案(九)扩大了犯罪主体的范围,对履行职责或者提供服务过程中实施的犯罪从重处罚,并加重法定刑,增加了“情节特别严重”情形下的法定刑档次等。“两高”的最新罪名解释将上述条款统一归为一个罪名:“侵犯公民个人信息罪”,“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个罪名由此被取消。
二、行为对象
“公民个人信息”的范围如何确定,是一个较为关键的问题。国内刑法理论界对此有关联说、隐私说和识别说等不同主张。关联说认为,凡是与个人存在关联的信息都属于个人信息,其外延十分广泛,几乎有关个人的一切信息、数据或者情况都可以被认定为个人信息。隐私说认为,只有与个人隐私相关的才属个人信息。识别说认为,公民个人信息是指姓名、职业、职务、年龄、婚姻状况、学历、专业资格等能够识别公民个人身份的信息。
从近些年各地判决情况看,涉及的范围比较广泛,既有身份信息、财产信息、交易信息,还有行踪信息、通话信息、教育信息等,几乎囊括了个人生活的各个方面。
相比较而言,关联说对个人信息的定义较为宽泛,其将所有与个人相关的信息都包含其中,容易造成犯罪打击面的扩大化,所以,赞同关联说并不被国内司法实务界所认同,目前主要分歧还在于“识别说”和“隐私说”。从司法解释的界定看,更多地是把“识别性”作为认定个人信息的核心属性。
《解释》第1条规定:“公民个人信息指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”。由此,将“公民个人信息”由身份识别信息扩至两大类:一是身份识别信息;二是活动情况信息。具体包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等,
三、行为方式
侵犯公民个人信息罪在客观方面表现为两种行为方式:
(一)违反国家有关规定,向他人出售或者提供公民个人信息
1.“违反国家有关规定”不同于“违反国家规定”,前者的范围更为宽泛。我国尚未制定专门的公民个人信息保护法,但一些专门的法律、法规对特定领域公民个人信息的保护有专门规定。所以,《解释》第2条规定:“违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的‘违反国家有关规定’”。
2.此类行为又区分出“向他人出售或者提供公民个人信息”和“将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人”两种情形。后一种情形通常表现为“内鬼”犯罪,对此依法需要从重处罚。并且,在司法解释规定的入罪标准上“减半掌握”,涉案信息的数量或者数额达到法定标准一半就可定罪,从分体现了对“内鬼”的从严惩治。
3.关于“非法提供”,《解释》明确了两种情况:一是向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息(即将公民个信息提供给不特定的对象)。二是未经被收集者同意,将合法收集的公民个人信息向他人提供。该两种情况都属于“非法提供”。当然,后一种情形属于“合法收集、非法提供”,解释规定了例外情形,即经过处理无法识别特定个人且不能复原的,可不予认定。
(二)窃取或者以其他方法非法获取公民个人信息
“窃取”是指采用秘密的或者不为人知的方法取得他人个人信息的行为。严格地讲,“窃取”也是“非法获取”的一种方式,只是由于窃取的方式较为常见,故法条将其独立规定。
这里需要重点把握“其他方法”。从立法用语上讲,它应指“窃取”以外的其他方法。《解释》明确了两种情形:一是违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息”。二是根据《网络安全法》规定的收集、使用个人信息的规则,明确违反国家有关规定,在履行职责、提供服务过程中收集公民个人信息。
四、情节严重
根据刑法第二百五十三条之一的规定,出售、非法提供公民个人信息,窃取或者非法获取公民个人信息,均以“情节严重”为入罪要件。如果未达到情节严重的程度,如系初犯,涉案公民个人信息数量较小、获利较少等,则不构成犯罪,可以根据具体情况予以行政处罚。
关于“情节严重”的具体认定标准,刑法未作具体规定,在以往的判决中,司法机关主要根据涉案信息的类型和数量,被告人获利情况、信息用途、危害后果及信息获取手段等因素综合判断,存在适用标准不统一的问题。
为此,《解释》作了细化规定,具体列举了以下10种非法获取、出售或者提供公民个人信息的情形,属于“情节严重”:
(1)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(2)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(3)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(4)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(5)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(6)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(7)违法所得五千元以上的;
(8)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(9)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(10)其它情节严重的情形。
如果实施非法出售、获取或提供公民个人信息的行为,具备以下4种情况,则属于“情节特别严重”:
(1)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(2)造成重大经济损失或者恶劣社会影响的;
(3)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(4)其他情节特别严重的情形。
针对为合法经营活动而非法购买、收受公民个人信息的特殊情况,《解释》规定,如果非法购买、收受行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、通信记录、健康生理信息、交易信息等敏感信息以外的信息的,予以特别考虑,即利用非法购买、收受的公民个人信息获利五万元以上的以及曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的,认定“情节严重”。但是,如果将购买、收受的公民个人信息非法出售或者提供的,则对其定罪量刑的标准“一视同仁”。
《解释》还注重贯彻宽严相济刑事政策,特别规定:“实施侵犯公民个人信息犯罪,不属于‘情节特别严重’,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免于刑事处罚;确有必要判处刑罚的,应当从宽处罚。”需要注意的是,该条规定只适用于侵犯公民个人信息犯罪的基本情节,对于“情节特别严重”的排除适用。
此外,《解释》对信息数量的计算方法也予以明确:(1)“非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算”;(2)“向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算”;(3)“对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。”同时提出:“对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。”
五、“人肉搜索”
在“人肉搜索”案件中,行为人未经权利人同意即将其身份、照片、姓名、生活细节等个人信息公布于众,影响其正常的工作、生活秩序,危害严重。更有甚者,一些行为人恶意利用泄露的个人信息进行各类违法犯罪活动。所以,近年来社会上一直有将“人肉搜索”行为入罪的呼声。为此,《解释》第3条特别规定:“通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的‘提供公民个人信息’。”这就把“人肉搜索”直接纳入了刑法规制。
六、罪数问题
《解释》明确了两类行为的定性:一是设立网站、通讯群组侵犯公民个人信息行为的定性。《解释》第8条规定:“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。”
二是拒不履行公民个人信息安全管理义务行为的处理。《解释》第9条规定:“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。”
值得注意的是,《关于加强网络信息保护的决定》对公民个人电子信息的保护作了规定,违反规定非法获取公民个人电子信息的行为,无疑属于修正后刑法第二百五十三条之一规定的非法获取公民个人信息的行为。但是,公民个人电子信息往往表现为计算机信息系统数据,故非法获取公民个人电子信息的行为有时会同时触犯侵犯公民个人信息罪与非法获取计算机信息系统数据罪。对此如何处理,实践中认识有分歧。有一种主张认为,这种情况属于想象竞合犯,应从一重罪处罚。但如果按照刑法第第287条关于“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密获取其它犯罪的,依照本法有关规定定罪处罚”的特别规定,此种情况似应以“侵犯公民个人信息罪”追究刑事责任。
七、十大判例
(一)刑事审判参考案例(3个)
1.周建平非法获取公民个人信息案(指导案例第612号)
[裁判要旨]:电话通话清单隐含着公民个人的某些信息,属于刑法第二百五十三条之一罪状中“公民个人信息”的范畴。非法购买公民电话清单后又出售牟利的,依法构成侵犯公民个人信息罪。
2.周娟等非法获取公民个人信息案(指导案例第719号)
[裁判要旨]:对公民个人信息未经授权的不当获取属于“非法获取”。是否入罪,不能唯数量论,即使涉案信息数量不大,但有其他严重情节的,也能够构成犯罪。
3.谢新冲出售公民个人信息案(指导案例第741号)
[裁判要旨]:手机定位信息属于刑法所保护的“公民个人信息”。
(二)其他案例(7个)
1.邵保明等侵犯公民个人信息案(浙江省东阳市人民法院判决)
[裁判要旨]:非法出售户籍信息、手机定位、住宿记录等个人信息,构成侵犯公民个人信息罪。
2.韩世杰、旷源鸿、韩文华等侵犯公民个人信息案(湖北省巴东县人民法院判决)
[裁判要旨]:非法查询征信信息牟利,构成侵犯公民个人信息罪。
3.周滨城等侵犯公民个人信息案(浙江省平湖市人民法院判决)
[裁判要旨]:非法购买学生信息出售牟利,构成侵犯公民个人信息罪。
4.夏拂晓侵犯公民个人信息案(浙江省绍兴市柯桥区人民法院判决)
[裁判要旨]:非法买卖网购订单信息,构成侵犯公民个人信息罪。
5.肖凡、周浩等侵犯公民个人信息案(内蒙古自治区赤峰市红山区人民法院判决)
[裁判要旨]利用黑客手段窃取公民个人信息出售牟利,构成侵犯公民个人信息罪。
6.杜明兴、杜明龙侵犯公民个人信息案(江苏省南京市鼓楼区人民法院判决)
[裁判要旨]通过互联网非法购买、交换、出售公民个人信息,构成侵犯公民个人信息罪。
7.丁亚光侵犯公民个人信息案(浙江省乐清市人民法院判决)
[裁判要旨]非法提供近二千万条住宿记录供他人查询牟利,构成侵犯公民个人信息罪“情节特别严重”。