一站式法律咨询服务平台法议网欢迎您!
咨询热线

137-5100-6692

法律知识
侵犯公民个人信息罪
在线法律咨询
将会有专业律师为您解答疑惑
首页 / 罪名库 / 侵犯公民人身权利、民主权利罪 / 侵犯公民个人信息罪
最高人民法院、最高人民检察院 关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释
侵犯公民个人信息罪 3124 时间:2021-09-27

中华人民共和国最高人民法院

中华人民共和国最高人民检察院

公告

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》已于2017年3月20日由最高人民法院审判委员会第1712次会议、2017年4月26日由最高人民检察院第十二届检察委员会第63次会议通过,现予公布,自2017年6月1日起施行。

最高人民法院 最高人民检察院

2017年5月8日




最高人民法院、最高人民检察院

关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释


2017年3月20日最高人民法院审判委员会第1712次会议、2017年4月26日最高人民检察院第十二届检察委员会第63次会议通过,自2017年6月1日起施行。

法释〔2017〕10号



    为依法惩治侵犯公民个人信息犯罪活动,保护公民个人信息安全和合法权益,根据《中华人民共和国刑法》《中华人民共和国刑事诉讼法》的有关规定,现就办理此类刑事案件适用法律的若干问题解释如下:


第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。


第二条 违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。


第三条 向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。

  未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。


第四条 违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。


第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:

  (一)出售或者提供行踪轨迹信息,被他人用于犯罪的;

  (二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;

  (三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;

  (四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;

  (五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;

  (六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;

(七)违法所得五千元以上的;

(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;

  (九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;

  (十)其他情节严重的情形。

  实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:

  (一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;

  (二)造成重大经济损失或者恶劣社会影响的;

  (三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;

  (四)其他情节特别严重的情形。


第六条 为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:

  (一)利用非法购买、收受的公民个人信息获利五万元以上的;

  (二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;

  (三)其他情节严重的情形。

  实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。


第七条 单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。


第八条 设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。


第九条 网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。


第十条 实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。


第十一条 非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。

  向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。

  对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。


第十二条 对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。


第十三条 本解释自2017年6月1日起施行。




 

                                       最高人民法院办公厅秘书一处

                                                          2017年5月8日印发



最高人民法院权威发布


侵犯公民个人信息犯罪典型案例


典型案例一

邵保明等侵犯公民个人信息案非法出售户籍信息、手机定位、住宿记录等个人信息,构成侵犯公民个人信息罪


基本案情

2016年初,被告人邵保明、康旭、王杰、陆洪阳分别以“大叔调查公司”的名义向他人出售公民个人信息,被告人倪江鸿不久后参与。五被告人通过在微信朋友圈发布出售个人户籍、车辆档案、手机定位、个人征信、旅馆住宿等各类公民个人信息的广告的方式寻找客户,接单后通过微信向上家购买信息或让其他被告人帮忙向上家购买信息后加价出售,每单收取10元至1000余元不等的费用。经查,被告人邵保明获利人民币26000元,被告人康旭获利人民币8000元,被告人倪江鸿、王杰、陆洪阳各获利人民币5000元。


裁判结果

浙江省东阳市人民法院判决认为:被告人邵保明、康旭、倪江鸿、王杰、陆洪阳单独或伙同他人,违反国家有关规定,向他人出售公民个人信息,情节严重,其行为均已构成侵犯公民个人信息罪。综合考虑被告人的坦白、退赃等情节,以侵犯公民个人信息罪判处被告人邵保明有期徒刑一年三个月,并处罚金人民币八千元;被告人康旭有期徒刑一年,并处罚金人民币四千元;被告人倪江鸿、王杰、陆洪阳各有期徒刑十个月,并处罚金人民币二千元。该判决已发生法律效力。



典型案例

韩世杰、旷源鸿、韩文华等侵犯公民个人信息案非法查询征信信息牟利,构成侵犯公民个人信息罪


基本案情

2015年9月3日至4日,被告人韩世杰、旷源鸿、韩文华利用连光辉(湖北省巴东县农村商业银行沿渡河支行征信查询员)的征信查询ID号、密码及被告人李冲、耿健美(洛阳银行郑州东风路支行客户经理)提供的洛阳银行郑州东风路支行的银行专用网络,在该行附近使用电脑非法查询公民个人银行征信信息3万余条。2015年9月5日至6日,被告人韩世杰、旷源鸿、韩文华利用连光辉的征信查询ID号、密码及被告人李楠、卢惠生(德州银行滨州金廷支行行长)提供的德州银行滨州分行的银行专用网络,在该行南面的停车场内,使用电脑分两次非法查询公民个人银行征信信息2万余条。2015年9月8日,被告人韩世杰、旷源鸿、韩文华利用李涛(江苏省淮安市农村商业银行徐溜支行职工)的银行征信查询ID号及密码及被告人李楠、卢惠生提供的德州银行滨州分行专用网络,在该行南面的停车场内,使用电脑非法查询公民个人银行征信信息近3万条。被告人韩亮、邓佳勇获得征信查询ID号、密码并非法提供给被告人韩世杰等人使用,双方通过被告人陈莎莎中转租金、传递密码。被告人韩世杰、旷源鸿、韩文华将查询获得的上述公民个人银行征信信息出售给他人,向被告人韩亮、李冲、李楠支付了相关费用。


裁判结果

湖北省巴东县人民法院判决认为:被告人韩世杰、旷源鸿、韩文华、韩亮、邓佳勇、李楠、陈莎莎、卢惠生、李冲、耿健美违反国家有关规定,非法获取公民个人信息出售牟利,情节严重,其行为已构成侵犯公民个人信息罪。综合考虑被告人自首、坦白、积极退赃等情节,以侵犯公民个人信息罪判处被告人韩世杰有期徒刑一年六个月,并处罚金人民币二万元;被告人旷源鸿有期徒刑一年三个月,并处罚金人民币二万元;被告人韩文华处有期徒刑一年二个月,并处罚金人民币一万元;被告人韩亮有期徒刑一年,并处罚金人民币一万元;以及其他各被告人相应有期徒刑、拘役和罚金。该判决已发生法律效力。



典型案例

周滨城等侵犯公民个人信息案非法购买学生信息出售牟利,构成侵犯公民个人信息罪


基本案情2016年4月,被告人周滨城向他人购买浙江省学生信息193万余条。后被告人周滨城将其中100万余条嘉兴、绍兴地区的学生信息以6万余元的价格出售给被告人陈利青,将45655条嘉兴地区的学生信息以3500元的价格出售给被告人刘亚、陈俊、周红云,将7214条平湖地区的学生信息以1400元的价格出售,将2320条平湖地区的学生信息以500元的价格出售,共计非法获利65400元。此外,2016年4月,被告人刘亚、陈俊、周红云以3000元的价格向他人购买嘉兴地区学生信息25068条。


裁判结果浙江省平湖市人民法院判决认为:被告人周滨城、陈利青、刘亚、陈俊、周红云违反国家有关规定,向他人出售或者以购买的方法非法获取公民个人信息,数量分别为193万余条、100万余条、7万余条、7万余条、7万余条,其行为均已构成侵犯公民个人信息罪。综合考虑被告人自首、坦白等情节,以侵犯公民个人信息罪判处被告人周滨城有期徒刑一年十一个月,并处罚金人民币四万元;被告人陈利青有期徒刑十一个月,并处罚金人民币十万元;被告人刘亚、陈俊、周红云有期徒刑九个月至七个月不等、缓刑一年,并处罚金人民币五千元至四千元不等。该判决已发生法律效力。



典型案例四

夏拂晓侵犯公民个人信息案非法买卖网购订单信息,构成侵犯公民个人信息罪


基本案情 

2015年10月至2016年7月,被告人夏拂晓买卖大量含有公民姓名、收货地址、手机号码等内容的网购订单信息,非法获利约5万元。被告人夏拂晓在归案后如实供述自己的罪行。


裁判结果

浙江省绍兴市柯桥区人民法院判决认为:被告人夏拂晓违反国家有关规定,非法获取公民个人信息并向他人出售,情节严重,其行为已构成侵犯公民个人信息罪。综合考虑全案情节,以侵犯公民个人信息罪判处被告人夏拂晓有期徒刑二年,并处罚金人民币二千元。该判决已发生法律效力。


    

典型案例

肖凡、周浩等侵犯公民个人信息案利用黑客手段窃取公民个人信息出售牟利,构成侵犯公民个人信息罪


基本案情

被告人肖凡、周浩预谋窃取邮局内部的公民个人信息进行出售牟利,共同出资购买了黑客软件。2016年5月至2016年6月,二人通过黑客软件侵入邮局内网,在邮局内网窃取邮局内部的公民个人信息103257条,并将窃取的公民个人信息全部出售给被告人李晓波。后李晓波将购买的公民个人信息出售给被告人王丽元 40000条,王丽元又将购买到的公民个人信息出售给被告人宋晓波30000条。


裁判结果

内蒙古自治区赤峰市红山区人民法院判决认为:被告人肖凡、周浩通过黑客手段窃取公民个人信息并非法出售,李晓波、王丽元、宋晓波通过购买方式非法获取公民个人信息,其行为均已构成侵犯公民个人信息罪。据此,以侵犯公民个人信息罪判处被告人肖凡、周浩、李晓波各有期徒刑二年,并处罚金人民币五万元;被告人王丽元有期徒刑一年,并处罚金人民币三万元;被告人宋晓波有期徒刑六个月,并处罚金人民币三万元。该判决已发生法律效力。



典型案例

杜明兴、杜明龙侵犯公民个人信息案通过互联网非法购买、交换、出售公民个人信息,构成侵犯公民个人信息罪


基本案情

被告人杜明兴、杜明龙加入涉及个人信息交换买卖的QQ群,通过购买、交换等方式获取大量公民个人信息,再在群里发布广告招揽买家。2015年11月至2016年3月,杜明兴向他人购买或者交换车主信息等公民个人信息28万余条,向他人出售关于期货、基金、车主、信用卡等公民个人信息42万余条;杜明龙向他人购买杭州地区新生儿及其父母信息等公民个人信息3万余条,向他人出售车主信息、小区业主信息等公民个人信息近40万条。


裁判结果

江苏省南京市鼓楼区人民法院判决认为:被告人杜明兴、杜明龙违反国家有关规定,向他人出售或者以非法方法获取公民个人信息,情节严重,其行为已构成侵犯公民个人信息罪。综合考虑被告人坦白、退赃等情节,以侵犯公民个人信息罪判处被告人杜明兴、杜明龙各有期徒刑一年四个月,罚金人民币一万元;被告人有期徒刑一年二个月,罚金人民币一万元。该判决已发生法律效力。



典型案例

丁亚光侵犯公民个人信息案非法提供近二千万条住宿记录供他人查询牟利,构成侵犯公民个人信息罪“情节特别严重”


基本案情

2013年底,一家为全国4500多家酒店提供网络服务的公司因系统存在安全漏洞,致使全国高达2000万条宾馆住宿记录泄露。2015年初至2016年6月,被告人丁亚光通过在不法网站下载的方式,非法获取宾馆住宿记录等公民个人信息,并上传至自己开办的“嗅密码”网站。该网站除了能够查询住宿记录外,还提供用户QQ、部分论坛账号及密码找回功能。其中住宿记录共有将近二千万条,用户经注册成为会员后,可以在网页“开房查询”栏目项下,以输入关键字姓名或身份证号的方式查询网站数据库中宾馆住宿记录(显示姓名、身份证号、手机号码、地址、住宿时间等信息)。丁亚光自2015年5月份左右开始对该网站采取注册会员方式收取费用60元/人,到2016年1月份上调到120元/人。2015年11月1日至2016年6月23日,“嗅密码”网站共有查询记录49698条,收取会员费191440.92元。


裁判结果

浙江省乐清市人民法院判决认为:被告人丁亚光非法获取住宿记录等公民个人信息后通过网站提供查询服务牟利,供查询的公民个人信息近二千万条,其行为已经构成侵犯公民个人信息罪,且属于“情节特别严重”。综合考虑退赃等情节,以侵犯公民个人信息罪判处被告人丁亚光有期徒刑三年,并处罚金人民币二万元。该判决已发生法律效力。



 

最高人民法院研究室主任颜茂昆解读:《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》


一、《解释》的制定背景

随着信息化建设的推进,信息资源成为重要的生产要素和社会财富。与此同时,个人信息泄露问题严重,个人信息安全成为一个全社会高度关注的问题。为保护公民个人信息,2009年2月28日起施行的《刑法修正案(七)》增设了刑法第二百五十三条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。《刑法修正案(七)》施行后,从2009年2月至2015年10月,全国法院共审结出售、非法提供公民个人信息、非法获取公民个人信息刑事案件969起,生效判决人数1415人。

近年来,侵犯公民个人信息犯罪仍处于高发态势,而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势,社会危害更加严重。为加大对公民个人信息的保护力度,2015年11月1日起施行的《刑法修正案(九)》对刑法第二百五十三条之一作出修改完善:一是扩大犯罪主体的范围,规定任何单位和个人违反国家有关规定,获取、出售或者提供公民个人信息,情节严重的,都构成犯罪;二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚;三是加重法定刑,增加规定“情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。修改后,“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。《刑法修正案(九)》施行以来,各级公检法机关依据修改后的刑法规定,严肃惩处侵犯公民个人信息犯罪,案件数量显著增长。2015年11月至2016年12月,全国法院新收侵犯公民个人信息刑事案件495件,审结464件,生效判决人数697人。

在查办案件过程中,有意见反映,侵犯公民个人信息罪的定罪量刑标准较为原则,不易把握;另有一些法律适用问题存在认识分歧,影响了案件办理。鉴此,为保障法律正确、统一适用,依法严厉惩治、有效防范侵犯公民个人信息犯罪,最高人民法院会同最高人民检察院,在公安部等有关部门的大力支持下,经深入调查研究、广泛征求意见、反复论证完善,制定了本《解释》。

《解释》根据法律规定和立法精神,对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。制定本《解释》,是人民法院、人民检察院充分发挥刑事司法职能,积极回应人民群众关切,加大对涉民生犯罪惩治力度的一项重要举措。《解释》的公布施行,对于强化公民个人信息的保护,维护人民群众个人信息安全以及财产、人身权益,必将发挥重要作用。

二、《解释》的主要内容

《解释》共十三条,主要包括以下十个方面的内容:


(一)明确了“公民个人信息”的范围。基于全面保护公民个人信息的现实需要,《解释》第一条规定“公民个人信息”包括身份识别信息和活动情况信息,即“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”


(二)明确了非法“提供公民个人信息”的认定标准。根据刑法第二百五十三条之一的规定,违反国家有关规定,向他人出售或者提供公民个人信息,是侵犯公民个人信息罪的客观行为方式之一。针对司法实践的情况,《解释》第三条对非法“提供公民个人信息”的认定作了进一步明确。具体而言:一是“提供”的认定。在“人肉搜索”案件中,行为人未经权利人同意即将其身份、照片、姓名、生活细节等个人信息公布于众,影响其正常的工作、生活秩序,危害严重。更有甚者,一些行为人恶意利用泄露的个人信息进行各类违法犯罪活动。经研究认为,通过信息网络或者其他途径予以发布,实际是向不特定多数人提供公民个人信息,向特定人提供公民个人信息的行为属于“提供”,基于“举轻明重”的法理,前者更应当认定为“提供”。基于此,《解释》规定:“向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的‘提供公民个人信息’。”二是合法收集公民个人信息后非法提供的认定。根据《网络安全法》的规定,经得被收集者同意,以及做匿名化处理(剔除个人关联),是合法提供公民个人信息的两种情形。基于此,《解释》规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外。”


(三)明确了“非法获取公民个人信息”的认定标准。根据刑法第二百五十三条之一的规定,窃取或者以其他方法非法获取公民个人信息,是侵犯公民个人信息罪的客观行为方式之一。根据司法实践的情况,《解释》第四条对“非法获取公民个人信息”的认定作了进一步明确。一是规定“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息”的,属于“非法获取公民个人信息”。二是根据《网络安全法》规定的收集、使用个人信息的规则,明确违反国家有关规定,“在履行职责、提供服务过程中收集公民个人信息”的,属于“非法获取公民个人信息”。


(四)明确了侵犯公民个人信息罪的定罪量刑标准。侵犯公民个人信息罪的入罪要件为“情节严重”。根据法律精神,结合司法实践,《解释》第五条第一款设十项对“情节严重”的认定标准作了明确规定,大致涉及如下五个方面:一是信息类型和数量。公民个人信息的类型繁多,行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、交易信息等公民个人敏感信息涉及人身安全和财产安全,被非法获取、出售或者提供后极易引发绑架、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。基于不同类型公民个人信息的重要程度,《解释》分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准,以体现罪责刑相适应。二是违法所得数额。出售或者非法提供公民个人信息往往是为了牟利,基于此,《解释》将违法所得五千元以上的规定为“情节严重”。三是信息用途。被非法获取、出售或者提供的公民个人信息,用途存在不同,对权利人的侵害程度也会存在差异。基于此,《解释》将“非法获取、出售或者提供行踪轨迹信息,被他人用于犯罪”“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供”规定为“情节严重”。四是主体身份。公民个人信息泄露案件不少系内部人员作案,诸多公民个人信息买卖案件也可以见到“内鬼”参与的“影子”。为切实加大对此类行为的惩治力度,《解释》明确,“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人”的,认定“情节严重”的数量、数额标准减半计算。五是前科情况。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的,行为人屡教不改、主观恶性大,《解释》将其也规定为“情节严重”。

在此基础上,《解释》第五条第二款对侵犯公民个人信息罪的“情节特别严重”的认定标准,也即“处三年以上七年以下有期徒刑”量刑档次的适用标准作了明确,主要涉及如下两个方面:一是数量数额标准。根据信息类型不同,非法获取、出售或者提供公民个人信息“五百条以上”“五千条以上”“五万条以上”,或者违法所得五万元以上的,即属“情节特别严重”。二是严重后果。《解释》将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”“造成重大经济损失或者恶劣社会影响”规定为“情节特别严重”。


(五)明确了为合法经营活动而非法购买、收受公民个人信息的定罪量刑标准。从实践来看,非法购买、收受公民个人信息从事广告推销等活动的情形较为普遍。为贯彻体现宽严相济刑事政策,《解释》第六条专门针对此种情形设置了入罪标准,规定为合法经营活动而非法购买、收受敏感信息以外的公民个人信息,具有下列情形之一的,应当认定为“情节严重”:(1)利用非法购买、收受的公民个人信息获利五万元以上的;(2)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;(3)其他情节严重的情形。


(六)明确了设立网站、通讯群组侵犯公民个人信息行为的定性。实践中,一些行为人建立网站、通讯群组供他人进行公民个人信息交换、流转、销售,以非法牟利。根据刑法第二百八十七条之一的规定,设立用于实施违法犯罪活动的网站、通讯群组,情节严重的,构成非法利用信息网络罪。经研究认为,供他人实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组实际上属于“用于实施违法犯罪活动的网站、通讯群组”。因此,《解释》第八条规定:“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。”


(七)明确了拒不履行公民个人信息安全管理义务行为的处理。当前,不少网络运营者因为履行职责或者提供服务的需要,掌握着海量公民个人信息,这些信息一旦泄露将造成恶劣社会影响和严重危害后果。对此,《网络安全法》明确了网络信息安全的责任主体,确立了“谁收集,谁负责”的基本原则。其中,第四十条明确规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”为进一步促使网络服务提供者切实履行个人信息安全保护义务,《解释》第九条规定:“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。”


(八)明确了侵犯公民个人信息犯罪认罪认罚从宽处理规则。为充分发挥刑法的威慑和教育功能,促使侵犯公民个人信息犯罪行为人积极认罪悔罪,《解释》第十条专门规定:“实施侵犯公民个人信息犯罪,不属于‘情节特别严重’,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。” 


(九)明确了涉案公民个人信息的数量计算规则。针对公民个人信息数量“计算难”的实际问题,《解释》第十一条专门规定了数量计算规则。具体而言:一是公民个人信息的条数计算。《解释》规定:“非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。”“向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。”二是批量公民个人信息的数量认定规则。为方便司法实务操作,《解释》规定:“对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。”


(十)明确了侵犯公民个人信息犯罪的罚金刑适用规则。侵犯公民个人信息犯罪具有明显的牟利性,行为人实施该类犯罪主要是为了牟取非法利益。因此,有必要加大财产刑的适用力度,让行为人在经济上得不偿失,进而剥夺其再次实施此类犯罪的经济能力。基于此,《解释》第十二条规定:“对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。”



 

公安部网络技术研发中心主任许剑卓

答记者问


[法制日报记者]:

我想问一下公安部许主任,当前侵犯公民个人信息犯罪有哪些特点?谢谢。


[许剑卓]:

侵犯公民个人信息的犯罪这些年比较严重,主要有几个犯罪特点,第一是危害角度讲,侵犯公民个人信息的犯罪已经成为其他各类犯罪的上游犯罪,大家注意到,不管是敲诈勒索、电信诈骗等等各类犯罪,多数是以非法获取个人信息为前提的,从公安机关角度讲,打击侵犯公民个人信息犯罪是治理网络犯罪一个最重要的措施之一。第二,行业内部人员已经成为实施侵犯公民个人信息犯罪的重要主体。大家都了解非法获取公民个人信息主要有两个来源:一是黑客入侵网站非法获取。另一类是各行各业的内幕人员泄露信息。从打击情况看,目前造成危害最大的主要是像银行、教育、工商、电信、快递、证券、电商各个行业的人员,内部人员把数据泄露出来,成为侵犯公民个人信息的主体。可以说在我们侦破的很多公民个人信息买卖案件中都可以看到内部人泄密,从治理犯罪来说,打击源头是我们最重要的工作。第三,侵犯公民个人信息的犯罪已经形成了完整的利益链,从非法收集、提供窃取、交易、交换等各个环节,由于这些人员之间分工合作,利益共享,所以使这类犯罪进一步扩散蔓延。从目前打击的犯罪来看主要特点是这三个方面。谢谢。

 

[新民晚报记者]:

继续请问许主任,公安机关针对现在这种情况有哪些应对的措施和策略?谢谢。


[许剑卓]:针对侵犯公民个人信息犯罪比较严峻的局面,公安机关一直都非常重视打击此类犯罪。从去年开始,我们在全国公安机关组织为期两年的打击侵犯公民个人信息的专项行动,到目前还在打,已经打了一年了。我可以给大家初步通报一下,从2016年过去这一年,全国公安机关共侦破网络侵犯公民个人信息案件数量是2100多起,查获公民个人信息500多亿条,抓获的犯罪嫌疑人5千多人,其中属于各行业内部的人员450多人。在过去一年中,我们打击侵犯公民个人信息犯罪应该在法律适用上还存在一些困难。这次司法解释的发布,给我们打击犯罪解决了很多问题,结合司法解释的出台,下一步我们重点要开展三个方面的工作:一是重点打击侵犯公民个人信息的源头。刚才说造成危害最大的就是各个行业内部的人员泄露公民个人信息,在这次司法解释出台之后,对行业内部人员泄露信息降低了入罪门槛,为我们更加好的打击这类犯罪提供了法律基础。所以下一步我们重点的举措是对于任何侵犯公民个人信息的案件,都要追查源头,深挖行业内鬼。二是要进一步落实网络服务商的网络安全防护责任。大家知道网络安全法对网络运营者在保护公民个人信息方面规定了相应的义务,比如不能收集与服务无关的信息,不能未经用户同意将收集的信息对外提供,必须落实相关的安全管理措施,保证这些个人信息不对外泄露。在现实生活中大家都会看到,比如我们手中的APP很多都会收集和它业务无关的,比如你的轨迹、通话记录,这种情况还是相当普遍的。过去这些年造成信息泄露很大程度的原因是这些服务商没有依法落实有关安全防护措施,导致公民个人信息的泄露。下一步我们将结合网络安全法的实施,进一步强化安全监管,要求这些服务商落实相关的监管义务。对于未按法律要求、未落实相关义务,而导致公民个人信息泄露的,我们将根据这次司法解释和网络安全法的规定予以严厉打击。三是对整个利益链条进行打击。刚才我介绍侵犯公民个人信息犯罪的泛滥很大一个原因是各个环节分工合作、利益共享,使得这类犯罪蔓延。下步我们将会对整个利益链条进行完整打击,包括购买、收售、交易、帮助建立平台,通讯群组等等,要深挖各类犯罪的相关利益链条。谢谢。



最高人民检察院法律政策研究室副主任缐杰

答记者问


[澎湃新闻记者]:

我们注意到《解释》第五条规定了侵犯公民个人信息罪的定罪量刑标准,其中明确了信息数量可以按相应比例计算。请问司法机关在办案中怎样来具体处理的。


[缐杰]:

从2009年《刑法修正案(七)》增设了刑法第253条之一的规定以来,应当说侵犯公民个人信息犯罪的定罪定刑标准一直都没有明确。相关的法律问题也存在不同的认识,地方司法机关纷纷建议两高就定罪量刑标准做出明确规定。考虑到2015年《刑法修正案(九)》对253条之一进行了修改,同时也考虑到地方司法机关的实践需要,《解释》第5条对刑法修正案九施行后,侵犯公民个人信息罪的定罪量刑标准给予了明确,应当说定罪量刑标准的确立有利于法律的统一、准确实施。同时对严厉打击侵犯公民个人信息罪提供了有力的法律武器。刚才颜茂昆主任向大家通报了《解释》的相关情况,特别是对侵犯公民个人信息罪的定罪量刑标准进行了全面的介绍,在此我从检察机关对案件立案追诉的角度,针对刚才记者朋友提出的问题,着重对信息比例合计问题进行说明。根据《解释》第五条第一款第六项规定,非法获取、提供或者出售公民个人信息的数量没有达到第三项至第五项规定标准的,但是按照比例合计折算以后达到相关标准的,也应当立案追诉。大家知道,近年来司法机关查办的案件涉及的公民个人信息都是各种类型混杂的,既包括第五条第一款第三项当中的公民个人敏感信息,也可能包括第五条第一款第四项当中的其他可能影响公民人身安全、财产安全的重要信息。当然,也有可能包括第五条第一款第五项当中规定的公民的普通个人信息。办案部门对于查获的公民个人信息,首先应当分类进行分析,如果每一个类型相对应的公民个人信息都没有达到第三项、第四项、第五项规定的50条、500条、5000条标准的,就需要进行比例折算,按照1、10、100的倍比关系,合计达到上述标准之一的,就应当追究刑事责任。比如在查办案件过程中,查获了涉及公民轨迹信息、通信内容、征信信息、财产信息等敏感信息20条,查获了涉及公民住宿信息,还有通信记录、健康生理信息等其他的可能影响公民人身安全或者财产安全的重要信息350条,这两类信息都不够第三项、第四项规定的50条和500条的标准,就按照《解释》的规定,按照1和10倍比关系进行折算,350条重要信息折算成35条公民的敏感信息,这样两项合计55条,也就达到了第五条第一款第三项规定的50条的追诉标准,应当追诉。当然,也可以将20条敏感信息按照相应的1和10的倍比关系进行折算,折算为200条重要的公民个人信息,两项合计550条,同样达到了《解释》当中规定的第五条第一款第四项当中规定的500条的标准,追究刑事责任。谢谢。

 

[人民法院报记者]:

我想请问缐主任一个问题,近年来查办的侵犯公民个人信息犯罪案件来看,涉案信息的数量动辄上万条、甚至数十万条。请问司法机关在办案时是如何认定信息数量的,《解释》是如何考虑的?

 

[缐杰]:

谢谢这位记者朋友的提问。应当说公民个人信息数量,是侵犯公民个人信息案件定罪量刑的一个重要依据,从实践情况来看,公民个人信息泄露常常是数万条,几十万条,也有的是以兆计算,应当说量是非常大的。怎样科学合理的确定信息数量,应当说也是一直困扰基层司法部门的一个老大难的问题。为指导司法实践,增强《解释》的可操作性,《解释》的第十一条明确规定了信息数量的计算规则,大致有四项内容:一是什么是一条信息,二是不重复计算,三是重复计算,四是查重的问题。一条信息的问题,就是对同一条信息当中涉及公民个人信息有多项内容的,比如家庭住址、电话号码、身份证号码等等,这样的信息无论是司法机关还是普通的大众,都普遍认为是一条信息,对此基本没有什么异议,所以司法解释也尊重了司法实际和公众的认知,对此没有过多的强调。不重复计算,对非法获取以后又提供,或者是出售给同一人的,这种情况下我们认为不能重复计算,举个简单的例子,比如非法获取了他人电话记录信息50条,然后又将非法获取的50条信息出售给同一个人的,我们认为这就是侵犯公民个人信息50条,不能说既获取了50条又出售50条,是100条,这是不能重复计算的。重复计算,就是将非法获取的公民个人信息出售或者提供给不同的人,比如提供给两个人,我们认为应该累计计算,认定侵犯公民个人信息的数量100条,这是重复计算的。关于去重的问题,涉案信息中数量非常庞大,可能存在着信息重复的情况,大家都知道,针对同一个对象,可能并存着姓名加电话号码、姓名加身份证号码、姓名加住址等等信息。从司法实践来看,做到完全的去重是有一定难度的。为了便于办案部门的实际操作,特别是突出对侵犯公民个人信息犯罪的依法严惩,《解释》明确规定,对批量公民个人信息的条数,根据查获的数量直接认定。当然,也允许根据在案证据排除不真实或者是重复的信息。谢谢。



最高人民法院研究室主任颜茂昆

答记者问


[中央电视台记者]:

我想请问颜主任一个问题,现在以互联网为代表的信息技术迅猛发展,巨量的人信息数据日渐成为具有重大价值的生产要素。可以说,个人信息数据的利用是大数据发展的应有之义,但客观来讲,又对公民个人信息安全来说又带来了挑战。请问《解释》如何处理个人信息保护与大数据发展的需要之间的关系?谢谢。


[颜茂昆]:

大家都知道,现在全球信息化快速发展,大数据已经成为一个国家的重大基础性战略资源,正在引领新一代科技创新。在大数据、云计算时代,包括个人信息在内的数据,只有通过流动、共享甚至交易才能够实现集聚效益和规模效益,才能充分发挥这些数据的社会价值、经济价值。与此同时,在数据的流动和交易过程中,极易产生个人信息扩散、失控的危险,就是说在大数据时代,个人信息安全面临着严重的挑战。这是一个问题的两方面。如何处理大数据发展的现实需要与保护公民个人信息之间的关系,我认为有两个关键词:一是兼顾,二是平衡。所谓兼顾,就是在发展大数据的同时,必须依法保护公民个人的信息安全,因为公民个人的信息安全是一项基本权利。如果没有个人信息安全,大数据的发展就会面临一个失控的风险,只有包括个人信息在内的数据在法律的保护下,安全迅速的收集和流通,才能够真正的推动我国信息产业的可持续发展,也就是在发展大数据的同时,要注重保护公民个人的信息安全。所谓平衡,就是在两者之间寻求一个结合点和平衡点,找到一个两全其美的办法,既不妨碍大数据的发展,又不危及公民个人信息安全。在这方面,网络安全法其实已经做了一些规定,在法律层面为个人信息交易和流动保留了一定的空间。比如说网络安全法规定,网络运营者不得泄露、篡改、毁损其收集的个人信息,未经被收集者同意,不得向他人提供个人信息,但是经过处理无法识别特定个人且不能复原的除外。这个规定是要严格保护公民个人信息,对网络运营者提出要求,但是同时也为数据提供留下了一些空间,比如未经被收集者同意,比如对信息进行匿名化处理。所以,《解释》实际上也遵循了这一立法的精神,规定未经被收集者同意,将合法收集的公民信息向他人提供的属于非法提供公民个人信息,但是经过处理无法识别特定个人且不能复原的除外。《解释》与网络安全法立法规定的立法精神是一致的。总之,《解释》的相关规定致力于寻求个人信息保护与大数据发展之间的平衡点,在确保公民个人信息安全的前提下,为大数据发展和信息化建设提供司法保障。谢谢。


[中国国际广播电台记者]:

请问颜主任《解释》在从严惩治侵犯公民个人信息犯罪上有哪些考虑?


[颜茂昆]:

大家知道,公民个人信息安全关系到千家万户,关系到每一个人。个人信息遭到了泄露,对每个人的人身安全、财产安全都是有危险的,所以这个问题社会各界高度关注。特别是近几年来,随着互联网的发展,侵犯公民个人信息犯罪案件的数量呈大幅增长的趋势,每个人的信息安全都受到严重的威胁,涉案个人信息的数量可以达到几百万、几千万条,甚至上亿条,这里面可能就有我们在座的个人信息,所以对这个问题应当高度重视。2015年《刑法修正案(九)》对刑法的相关规定做出修改,贯彻的修法精神也是从严惩处,刚才我在介绍时提到,比如提高法定最高刑等。《解释》实际上也是遵循从严惩处的精神,体现在四个方面:一是从严设置定罪量刑标准。不管是《刑法修正案(九)》,还是2009年的《刑法修正案(七)》都规定了构成公民个人信息犯罪须达到“情节严重”的程度。到底什么叫做“情节严重”,“情节严重”包括哪些情形,《解释》作了明确,按照信息的类型、数量、用途、主体等,设定了不同的入罪标准。其中,对于一些高度敏感信息,比如行踪信息,财产信息,通话内容等,将入罪标准设定为50条。对于一般敏感信息和其他信息,按照信息的重要程度,分别设置了500条、5000条的入罪标准。入罪门槛应该说是比较低的。二是重点打击源头,对内部人员侵犯公民个人信息犯罪是从严惩处。《刑法修正案(七)》规定的出售、非法提供公民个人信息罪,其主体是特殊主体,限于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,但是《刑法修正案(九)》扩大了犯罪主体的范围,也就是任何单位和个人都可以构成侵犯公民个人信息罪。同时,明确规定将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供的,从重处罚的。对此,《解释》明确规定,特殊主体侵犯公民个人信息,定罪量刑标准比一般人更低,比如一般人提供50条高度敏感信息入罪,如果是从事金融、电信、医疗等部门的人员提供履行职责或者提供服务过程中获得的高度敏感信息的,25条就够了,也就是减半处理,这体现了对内部人员侵犯公民个人信息犯罪从重处罚的精神。三是在刑法适用上,做到自由刑和财产刑并用。《刑法修正案(九)》规定构成侵犯公民个人信息罪,一般处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。如何判处罚金,《解释》规定,一般是按照违法所得的一倍以上五倍以下判处罚金。这也体现了从严的精神。四是对关联犯罪的惩处作了明确。与侵犯公民个人信息罪相关联犯罪的有两个。第一个关联犯罪是非法利用信息网络罪。刚才我介绍了,对设立网站、设立通讯群组用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的,情节严重的,以非法利用信息网络的定罪。第二个关联犯罪是拒不履行信息网络安全管理义务罪。这个罪的主体是网络服务提供者,《解释》规定,网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照拒不履行信息网络安全管理义务罪追究刑事责任。总之,《解释》通过以上几个方面对侵犯公民个人信息犯罪体现从严惩处的精神。谢谢。

 

[光明日报记者]:

实践中,关于“公民个人信息”的范围存在一定争议。请问《解释》是如何界定“公民个人信息”的?


[颜茂昆]:

《解释》第一条对“公民个人信息”作了界定,既有概括性的规定,就是以电子或者其他方式记录的,能够单独或者与其他信息结合,识别特定自然人身份,或者反映特定自然人活动情况的各种信息。具体而言,包括两类信息:一是识别特定自然人身份的信息,比如姓名、身份证号码。二是反映特定自然人活动情况的信息,比如行踪轨迹信息。此外,《解释》还作了例举性的规定,明确公民个人信息包括“姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。对于例举以外的个人信息,当然还有很多,司法实践中要根据《解释》第一条的规定,把握“公民个人信息”的要件特征,准确作出判断。谢谢。



网站声明:深圳张磊律师网以学习交流为目的,整合政府官网及互联网相关知识,包括但不限于知识、案例、范本和法规等。如果涉及版权、商誉等问题,请提交问题、链接及权属信息,我们将第一时间核实后根据相关法律规定及时给予处理。本文仅供交流学习,若侵犯到您的权益,敬请告知删除。

2021

09/27

顶部

  • 简单便捷

    足不出户咨询律师

  • 金牌服务

    一对一专属顾问7*24小时金牌服务

  • 信息保密

    个人信息安全有保障

  • 电话咨询

    快速通话,高效解答

  • 热线:137-5100-6692(微信同号)

    地址:广东省深圳市福田区深南大道1003号大中华国际金融中心A座7层701室

    Copyright © 2020 深圳市法商法务咨询有限公司 版权所有粤ICP备2020092935号

    粤公网安备 44030602005839号

    分享-微信 ×