《关于办理侵犯公民个人信息刑事案件适用法律若干问题
的解释》的理解与适用
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),分别经2017年3月20日最高人民法院审判委员会第1712次会议、2017年4月26日最高人民检察院第十二届检察委员会第六十三次会议通过,于2017年5月9日对外公布,自2017年6月1日起施行。
一、司法解释的背景情况
(一)立法的变化
随着我国经济社会的快速发展和信息网络的高速流通,公民个人信息越来越凸显其重要价值。2009年2月28日起施行的《刑法修正案
(七)》增设了刑法第二百五十三条之一,将国家机关等单位在履行职责或者提供服务过程中获得的公民个人信息出售、非法提供给他人的行为,以及窃取、非法获取公民个人信息的行为规定为犯罪。
2015年11月1日施行的《刑法修正案
(九)》对刑法第二百五十三条之一作了进一步修改:一是扩大了犯罪主体的范围,将违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的行为规定为犯罪;二是规定将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚;三是提升法定刑配臵,增加规定‚情节特别严重的,处三年以上七年以下有期徒刑,并处罚金‛。
2015年11月两高《关于执行〈中华人民共和国刑法〉确定罪名的补充规定
(六)》取消了出售、非法提供公民个人信息罪和非法获取公民个人信息罪罪名,将两者整合为‚侵犯公民个人信息罪‛。
(二)制定司法解释原因与过程
由于侵犯公民个人信息犯罪涉及范围广泛,信息类型复杂多样,侵犯公民个人信息罪的具体定罪量刑标准不够明确,一些法律适用问题存在争议,2016年初,最高人民检察院法律政策研究室与最高人民法院研究室共同启动了侵犯公民个人信息罪司法解释的起草工作。
经对辽宁、江苏等地方的前期调研,听取公安部和腾讯、阿里巴巴、奇虎360等互联网企业的意见,征求公安部和最高检有关内设机构、各省级人民检察院的意见,听取专家学者意见,形成并完善了解释稿,报送全国人大常委会法工委征求意见。在综合各方面意见的基础上,形成送审稿。最高法院审判委员会审议并原则通过送审稿后,最高检法律政策研究室商最高人民法院研究室对送审稿作了进一步研究修改,提交最高人民检察院检察委员会审议通过。
二、《解释》的主要内容
(一)公民个人信息的范围
《解释》第一条以《中华人民共和国网络安全法》第七十六条规定为基础,明确刑法第二百五十三条之一规定的‚公民个人信息‛,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
之所以将行踪轨迹等反映特定自然人活动情况的信息明确涵括在‚公民个人信息‛的范围之内,主要考虑是,行踪轨迹等反映特定自然人活动情况的信息属于关系公民人身、财产安全的高度敏感信息。此外,我国个人信息安全的法律保护将会进一步完善,相关信息安全和个人信息保护规范将会逐步出台,这样规定将使《解释》与今后相关法律法规和技术规范保持协调。
注意点:1.公民个人信息最根本的特征在于能够识别个人身份或者体现个人活动,实践中公民个人信息不限于本条列明的几类信息;2.与特定自然人关联的‚账号密码‛属于‚公民个人信息‛;3.‚公民个人信息‛既包括中国公民的个人信息,也包括外国公民和其他无国籍人的个人信息。
(二)违反国家有关规定的认定
《刑法修正案
(九)》将侵犯公民个人信息罪的前提要件由‚违反国家规定‛修改为‚违反国家有关规定‛。 ‚违反国家有关规定‛不同于‚违反国家规定‛,前者的范围更为宽泛。据此,《解释》第二条将‚国家有关规定‛解释为法律、行政法规、部门规章有关公民个人信息保护的规定,特指国家层面的涉及公民个人信息管理方面的规定,不包括地方性法规等非国家层面的规定。
(三)非法‚提供公民个人信息‛的认定
《解释》第三条第一款规定,向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的‚提供公民个人信息‛。理由是:向特定人提供公民个人信息的,属于一对一的‚提供‛;通过信息网络或者其他途径发布公民个人信息的,实际是向社会不特定多数人提供公民个人信息,属于一对‚多‛的‚提供‛。
《解释》第三条第二款明确,未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‚提供公民个人信息‛,但是经过处理无法识别特定个人且不能复原的除外。主要理由是,根据《中华人民共和国网络安全法》第四十二条、第四十四条的规定,法律层面是允许合法的个人信息交易和流动的,对于未违反国家有关规定,经得被收集者同意,将合法收集的公民个人信息提供给他人的,不能纳入刑事打击范围。经过处理无法识别特定个人且不能复原的信息,由于已经不具备‚公民个人信息‛与特定人的关联性和识别性的属性,提供这类信息的,也不能作为犯罪处理。对于 ‚人肉搜索‛案件,行为人未经他人同意,将其姓名、身份信息、住址等个人信息公布于众,影响其正常的工作、生活秩序的,如果达到‚情节严重‛的标准,可以按照本条的规定定罪处罚。
(四)‚非法获取公民个人信息‛的认定
刑法第二百五十三条之一的定,窃取或者以其他方法非法获取公民个人信息的,是侵犯公民个人信息罪的客观行为表现方式之一。《解释》第四条规定,违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于 ‚以其他方法非法获取公民个人信息‛。具体包括:1.购买、收受、交换等方式。2.在履行职责或者提供服务过程中,违反国家有关规定收集公民个人信息的方式。理由是《中华人民共和国网络安全法》第四十一条规定,‚网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息‛。对于获取公民个人信息是否‚非法‛,应当结合刑法第二百五十三条之一的整体条文考虑,以是否违反国家有关规定作为判断标准。
(五)侵犯公民个人信息罪的定罪量刑标准 1.规定入罪标准的几点考虑
《解释》主要考虑六方面的因素,即侵犯个人信息的数量、信息类型、信息的用途、违法所得数额、主体身份和行为人的主观恶性。 2.‚情节严重‛的具体认定标准
第五条第一款列举了非法获取、出售或者提供公民个人信息‚情节严重‛的十项情形。其中:
(1)第一项‚出售或者提供行踪轨迹信息,被他人用于犯罪的‛。办案时,只需证明这类信息被他人用于犯罪,不必再具体判断行为人主观上是否知道或者应当知道涉案信息用于犯罪。同时出售或者提供这类信息,不论数量多少,即使只有一条行踪轨迹信息,也应当追究刑事责任。
(2)第二项‚知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的‛。可能被他人利用实施犯罪的公民个人信息,虽然未被用于犯罪,但公民的人身和财产安全面临即被侵害的现实威胁。出售或者提供这类信息的,不需要有信息数量的限制。但应当注意有证据证明行为人主观上知道或者应当知道他人利用这类信息实施犯罪。
(3)第三项‚非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的‛。办案时只要查实涉案五十条的,即应当立案追诉。‚五十条‛标准仅限于上述四种信息,不允许实践中再通过‚等‛外解释予以扩大适用。
(4)第四项‚非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的‛。 ‚五百条‛标准主要适用于上述类别的可能影响公民人身财产安全的信息,办案时可以根据案件具体情况,对该项没有列举但可能影响人身、财产安全的信息,适用此标准。涉案信息应与上述列举的四种信息在重要程度上具有相当性。 (5)第五项‚非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的‛。除公民个人敏感信息和影响人身、财产安全的公民个人信息外,涉案信息还包括姓名等一般性信息,对此类信息适用‚五千条‛标准。
(6)第六项‚数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的‛。对于涉案信息各类型混杂的,如果每一相应类型的公民个人信息数量均没有达到第三项、第四项、第五项规定的‚五十条‛‚五百条‛‚五千条‛入罪标准的,需要进行比例折算,按照
一、
十、一百的倍比关系,合计达到上述标准之一的,即应当追究刑事责任。
(7)第七项‚违法所得五千元以上的‛。办案时,在对信息类型和用途难以界定的情况下,可以根据违法所得数额认定‚情节严重‛。 (8)第八项‚将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的‛。此处履行职责或者提供服务的人员,不限于国家工作人员,还包括金融、电信、交通、教育、医疗等单位的工作人员;按此标准定罪处罚的,不应再根据刑法第二百五十三条之一第二款的规定从重处罚。
3.‚情节特别严重‛的认定标准
根据刑法第二百五十三条之一的规定,非法获取、出售或者提供公民个人信息,情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。《解释》第五条第二款明确了‚情节特别严重‛的具体情形。第一项‚造成被害人死亡、重伤、精神失常或者被绑架等严重后果的‛;第二项‚造成重大经济损失或者恶劣社会影响的‛从侵犯公民个人信息犯罪造成的严重后果方面作出规定。第三项‚数量或者数额达到前款第三项至第八项规定标准十倍以上的‛从侵犯公民个人信息犯罪涉及的数量和数额方面作出规定。司法实践中侵犯公民个人信息犯罪涉案的公民个人信息数量相差悬殊,从几千条到几十万条(甚至更大数量)不等的情况,故将‚情节特别严重‛和‚情节严重‛之间的数量数额标准设臵为十倍的倍数关系。
4.为合法经营活动购买、收受公民个人信息定罪量刑的特殊标准
第六条第一款列举了为合法经营活动而非法购买、收受第五条第一款第三项、第四项规定以外的公民个人信息‚情节严重‛的三项情形。相比较第五条第一款的规定,第六条第一款属于非法获取公民个人信息‚情节严重‛的特别规定。
(1)第一项‚利用非法购买、收受的公民个人信息获利五万元以上的‛,与第五条第一款第七项规定的‚违法所得五千元以上的‛有所区别,主要考虑购买、收受公民个人信息是非法的,但经营活动是合法的,对经营所得不能认定为违法所得,宜以获利数额计算,参考非法经营罪的入罪数额标准,规定为五万元。
(2)第二项‚曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又购买、收受公民个人信息的‛,与第五条第一款第九项有所区别,仅规制非法购买、收受公民个人信息行为。
(3)第三项‚其他情节严重的情形‛是兜底条款,实践中应该严格适用。
5.在适用《解释》第六条时应当把握:
(1)第六条针对的是为合法经营活动而非法购买、收受公民个人信息的行为,此类行为主观目的是为了合法经营活动,社会危害性不大,即使构成犯罪,通常也不需要升档处理,所以《解释》仅规定了‚情节严重‛的具体情形。
(2)关于 ‚为合法经营活动‛的认定,主要由被告方提供相关证据,结合案件具体情况作出综合审查判断。
(3)此类涉案信息仅限于一般信息,不包括可能影响公民人身财产安全的信息。
(4)此类行为的客观表现方式仅限于购买、收受,如果将购买、收受的公民个人信息非法出售或者提供的,根据第六条第二款的规定,定罪量刑标准适用第五条的规定。
(5)第六条没有明确‚交换‛这一非法获取公民个人信息的行为表现方式。主要考虑是,交换信息相比较购买、收受信息,是双方对向提供、收受信息行为,性质比‚购买、收受‛更为恶劣,对为合法经营活动而非法交换信息的,应当按照第五条的定罪量刑标准定罪处罚。
6.单位犯罪的定罪量刑标准
为加大对单位侵犯公民个人信息犯罪的惩治力度,《解释》第七条明确,单位犯刑法第二百五十三条之一规定之罪的,依照解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。
(六)认罪认罚从宽处理
2016年9月,全国人大常委会授权‚两高‛在部分地区开展刑事案件认罪认罚从宽制度试点工作。为贯彻落实认罪认罚从宽精神,《解释》第十条对侵犯公民个人信息犯罪的从宽处罚作出规定,实施侵犯公民个人信息犯罪,不属于‘情节特别严重’,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。需要注意的是,本条只适用于侵犯公民个人信息犯罪‚情节特别严重‛标准以下的情形,对于达到‚情节特别严重‛标准的,不能适用本条规定予以从宽处罚。
(七)设立网站、通讯群组行为的认定
实践中,一些行为人通过建立网站、通讯群组供他人进行公民个人信息交换、流转、销售,以赚取服务费用。普通网民能够在网站查询他人账号和密码,甚至公开兜售公民个人信息。此类网站存储、流转公民个人信息量巨大,但网站建立者、直接负责的管理者未直接接触公民个人信息,不少情形下难以按照侵犯公民个人信息罪定罪处罚。但根据刑法第二百八十七条之一的规定,设立用于实施违法犯罪活动的网站、通讯群组,情节严重的,构成非法利用信息网络罪。对于供他人实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组实际上属于‚用于实施违法犯罪活动的网站、通讯群组‛。因此,《解释》第八条规定,设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。
(八)拒不履行公民个人信息安全管理义务行为的处理
实践中,一些单位或个人因为履行职责或者提供服务的需要,掌握大量公民个人信息,这些信息一旦泄露将造成恶劣社会影响和严重危害后果。为了促进网络运营者采取切实有效的措施加强对公民个人信息的保护,《网络安全法》确立了‚谁收集,谁负责‛的原则,第四十条明确规定:‚网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。‛因此,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,致使用户的公民个人信息泄露的,虽难以按照侵犯公民个人信息罪定罪处罚,但根据《刑法修正案
(九)》增加规定的第二百八十六条之一的规定,可能构成拒不履行信息网络安全管理义务罪。因此,《解释》第九条规定,网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。
(九)涉案公民个人信息的数量计算规则
公民个人信息数量是侵犯公民个人信息犯罪案件定罪量刑标准的主要依据。《解释》第十一条明确,非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
对于同一条信息中涉及多个公民个人信息的,如家庭住址、银行卡信息、电话号码等,可以认定为一条公民个人信息。由于这一问题实践中认识较为统一,《解释》没有再次着重强调。
非法获取公民个人信息后又出售或者提供给同一对象的,不宜先计算非法获取的信息数量,再计算出售或者提供的信息数量,此种情形下数量不重复计算。比如,非法获取了他人拨打电话的记录五十条,将其出售给同一人或者单位的,应当认定为侵犯公民个人信息五十条。
公民个人信息向不同对象分别出售、提供的,属于重复出售或者提供个人信息,社会危害性较一次性出售或提供危害性更大,数量应累计计算。比如,非法获取了他人拨打电话的记录五十条,将其出售给两个人或者单位的,应当认定为侵犯公民个人信息一百条。
涉案的公民个人信息上万条甚至更多的,可能存在信息重复的情况,比如,针对同一对象可能并存‚姓名+住址‛‚姓名+电话号码‛‚姓名+身份证号‛等数条信息,但要求做到完全去重较为困难。为便于办案部门实际操作,突出对侵犯公民个人信息犯罪的从严惩治,《解释》明确对批量公民个人信息的数量根据查获的数量直接认定,但允许根据在案证据排除不真实或者重复的信息。
(十)罚金刑适用规则
对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。
最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释立法司法解释
