微信扫一扫关注我~
一、原则性规定及公民个人信息范围的认定
《刑法》第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
关于公民个人信息范围,根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下文简称《解释》)第一条规定:公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
也有学者主张:“一般来说,一个人的种族、肤色、肖像、性别、年龄、婚姻状况、家庭情况、宗教信仰、思想观点、爱好、受教育情况、财产状况、血型、指纹、病历、职业经历、住址、电话、电子邮件等都属于他的个人信息。”(摘自《刑法学》(第五版),高铭暄、马克昌主编,北京大学出版社、高等教育出版社 2011年出版)
对此,律师认为,本罪当中的公民个人信息应当是具有“识别性”的信息,即行为人能够通过该信息单独或该信息结合其他信息,达到识别特定人的身份或者反映该特定人活动情况的目的。结合《关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字[2013]12号) 的规定,公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。反之,如果能够证明该些信息不足以起到“识别”作用,即无法通过该些信息反映特定人的身份或者活动情况的,应当不属于侵犯公民个人信息罪的犯罪客体,但该举证责任具有较大的困难性。
二、侵犯行为的具体表现形式
根据《解释》第三条和第四条规定,侵犯公民个人信息罪的行为表现主要集中在两种形式:
1.出售或提供的公民个人信息的行为。对于出售的理解按照一般的理解,即行为人有以此进行牟利的目的而进行公民个人信息的交易行为。但提供行为,律师认为该行为并不一定以牟利为目的,也就是说行为人只要实施了提供行为,即使没有营利,也是涉嫌触犯了本罪。具体来说,提供行为包括向特定人的提供和向不特定人的提供(如通过信息网络或其他途径发布的)。
同时,《解释》第三条第二款作出了一个限制性的规定,也就是说即使向他人提供的公民信息是行为人征得被收集者同意、合法收集的信息,后提供他人的也属于“提供公民个人信息”,亦言之,即使行为人先行的收集行为是征得被收集者同意的,但其后续的提供行为是违反“国家有关规定”(此处的有关规定将在本文第六部分详述)的,行为人并不能就其收集行为的合法性而主张其提供行为的合法性。但对此,如果行为人能主张其收集的信息在经过其处理后“无法识别特定人”且“不能复原”的,满足前述两个否定式条件的,其行为可以不被认定为侵犯公民个人信息的入罪行为。
2. 获取公民个人信息的行为。除了窃取行为,根据《解释》第四条的规定,获取行为包括但不限于“购买、收受、交换”等方式。那么是否前述行为不具有非法目的,就不属于“以其他方法非法获取公民个人信息”呢?对此,律师持保留意见,也就是说,从刑法保护公民个人信息的立法目的考虑,只要行为人没有获取公民个人信息的法律依据或者法律规定的获取资格而实施获取行为的,即有较大的可能被认定为系“非法获取”。
三、定罪量刑的标准
但是不是说只要实施了上述行为,就一定构成犯罪了呢?并不必然构成。
第二百五十三条之一,规定了本罪的入罪前提至少应当是“情节严重”。对非法获取、出售或提供公民个人信息行为“情节严重”和“情节特别严重”的规定,请详见下表:
序号 | 情节严重 | 备注 | 情节特别严重 |
1 | 出售或者提供行踪轨迹信息,被他人用于犯罪的 | 提供轨迹信息,被用于犯罪,无数量限制即构成犯罪 | 造成被害人死亡、重伤、精神失常或者被绑架等严重后果的
|
2 | 明知或应知他人利用该信息进行犯罪而提供的 | 明知或应知他人有犯罪意图,而出售或提供的,无数量限制即构成犯罪 | |
3 | 非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的; | 数量限制50条以上,构成犯罪 | |
4 | 非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的 | 数量限制500条以上,构成犯罪 | 造成重大经济损失或者恶劣社会影响的 |
5 | 除“行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息”之外的信息五千条以上的 | 数量限制5000条以上,构成犯罪 | 数量或者数额达到3-8规定标准十倍以上的 |
6 | 数量未达到前述规定的50条、500条和5000条以上的规定的,但是按相应比例合计达到有关数量标准的 | 数量合计达到标准,按照相应的标准规定 | 其他情节特别严重的情形 |
7 | 违法所得五千元以上的 | 依据违法所得确定 | |
8 | 将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额只要满足3-7规定的50%即可 | 特殊主体身份实施行为的,数量或数额减半。 | |
9 | 曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的 | 根据前科情况判断情节的判断 | |
10 | 其他 |
根据上表的详细列明,我们可以发现,《解释》根据信息的类型和数量、违法所得的数额、信息的用途、主体身份和前科情况这五个方面对“情节严重”的认定作出了规定和说明,同时在“情节严重”的基础上,通过对被害人造成的恶劣后果、造成的经济损失或社会影响、信息的数量或非法所得的数额等三个方面对“情节特别严重”作出了规定,两者之间是递进式的关系,而“情节严重”的十项规定和“情节特别严重”四项规定,彼此之间是并列式的关系。
四、关于第六条的重点解读-合法经营活动中的行为
从实践来看,非法购买、收受公民个人信息从事广告推销等活动的情形较为普遍,《解释》第六条专门针对此种情形设置了入罪标准。在合法经营活动中,非法购买、收受的信息是指除了“行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息”之外的非敏感性信息(敏感信息显然不允许)。
1.通过该信息获利五万元以上的。
2.曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的。
3.其他情节严重的情形。
也就是说行为人在合法的经营活动中,实施的非法购买、收受信息行为符合前述3种行为规定的,可以被认定为“情节严重”,其行为涉嫌侵犯公民个人信息罪。
五、单位犯罪及可免于刑事处罚的情形
1.根据《解释》第七条规定,单位犯本罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准执行,也就是说,单位犯本罪的,要对单位的直接负责的主管人员和其他直接责任人员按规定定罪处罚,并对单位判处罚金。
2.根据《解释》第十条规定,如果行为人实施的行为不属于“情节特别严重”的,且行为人是初犯,全部退赃,确有悔罪表现的,可以认定为情节轻微,不起诉或免于刑事处罚;即使确有必要判处刑罚的,也应当从宽处罚。
3.信息数量的计算。非法获取后又出售或提供的,信息条数不重复计算;就同一公民的信息提供给不同的单位或个人的,信息条数要累积计算;对批量信息,根据查获的数量直接认定(除非有证据证明信息不真实或重复)。
六、其他相关法律规定
1.《网络安全法》
第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
第四十五条 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
2.《关于依法惩处侵害公民个人信息犯罪活动的通知》 公通字[2013]12号
二、正确适用法律,实现法律效果与社会效果的有机统一。侵害公民个人信息犯罪是新型犯罪,各级公安机关、人民检察院、人民法院要从切实保护公民个人信息安全和维护社会和谐稳定的高度,借鉴以往的成功判例,综合考虑出售、非法提供或非法获取个人信息的次数、数量、手段和牟利数额、造成的损害后果等因素,依法加大打击力度,确保取得良好的法律效果和社会效果。出售、非法提供公民个人信息罪的犯罪主体,除国家机关或金融、电信、交通、教育、医疗单位的工作人员之外,还包括在履行职责或者提供服务过程中获得公民个人信息的商业、房地产业等服务业中其他企事业单位的工作人员。公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。对于在履行职责或者提供服务过程中,将获得的公民个人信息出售或者非法提供给他人,被他人用以实施犯罪,造成受害人人身伤害或者死亡,或者造成重大经济损失、恶劣社会影响的,或者出售、非法提供公民个人信息数量较大,或者违法所得数额较大的,均应当依法以出售、非法提供公民个人信息罪追究刑事责任。对于窃取或者以购买等方法非法获取公民个人信息数量较大,或者违法所得数额较大,或者造成其他严重后果的,应当依法予以并罚。单位实施侵害公民个人信息犯罪的,应当追究直接负责的主管人员和其他直接责任人员的刑事责任。要依法加大对财产的适用力度,剥夺犯罪分子非法获利和再次犯罪的资本。
3.《全国人民代表大会常务委员会关于加强网络信息保护的决定》
一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。
任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。
二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。
网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。
三、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
四、网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。
五、网络服务提供者应当加强对其用户发布的信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。
七、任何组织和个人未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。
九、任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为,有权向有关主管部门举报、控告;接到举报、控告的部门应当依法及时处理。被侵权人可以依法提起诉讼。
十一、对有违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。构成犯罪的,依法追究刑事责任。侵害他人民事权益的,依法承担民事责任。
4.《中华人民共和国消费者权益保护法》
第二十九条 经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。
经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性电子信息。
2021
09/17
顶部
简单便捷
足不出户咨询律师
金牌服务
一对一专属顾问7*24小时金牌服务
信息保密
个人信息安全有保障
电话咨询
快速通话,高效解答
热线:137-5100-6692(微信同号)
地址:广东省深圳市福田区深南大道1003号大中华国际金融中心A座7层701室
邮箱:13751006692@163.com