【刑法原文-侵犯公民个人信息罪】
第二百五十三条之一 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
一、典型案例
(一)基本案情
2016年初,被告人邵保明、康旭、王杰、陆洪阳分别以“大叔调查公司”的名义向他人出售公民个人信息,被告人倪江鸿不久后参与。五被告人通过在微信朋友圈发布出售个人户籍、车辆档案、手机定位、个人征信、旅馆住宿等各类公民个人信息的广告的方式寻找客户,接单后通过微信向上家购买信息或让其他被告人帮忙向上家购买信息后加价出售,每单收取10元至1000余元不等的费用。经查,被告人邵保明获利人民币26000元,被告人康旭获利人民币8000元,被告人倪江鸿、王杰、陆洪阳各获利人民币5000元。
(二)裁判结果
浙江省东阳市人民法院判决认为:被告人邵保明、康旭、倪江鸿、王杰、陆洪阳单独或伙同他人,违反国家有关规定,向他人出售公民个人信息,情节严重,其行为均已构成侵犯公民个人信息罪。综合考虑被告人的坦白、退赃等情节,以侵犯公民个人信息罪判处被告人邵保明有期徒刑一年三个月,并处罚金人民币八千元;被告人康旭有期徒刑一年,并处罚金人民币四千元;被告人倪江鸿、王杰、陆洪阳各有期徒刑十个月,并处罚金人民币二千元。该判决已发生法律效力。
二、“公民个人信息”的范围
第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
【解读】 第一条将公民个人信息分成了能够单独识别特定自然人身份或者反映特定自然人活动情况的信息,和需要与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的信息。举例来说,身份证号、手机号等信息可单独识别特定的自然人,行踪轨迹则可与身份证号、手机位置等信息结合判断特定的自然人身份或其活动情况,均属于个人信息。
司法解释通过列举的方式列举了属于个人信息的种类,但是根据《网络安全法》、《互联网个人信息安全保护指南》规定,个人信息除了“自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”,还包括“通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等”。
公民的个人信息须与特定自然人关联,这是公民个人信息所具有的关键属性。司法解释第三条第二款规定,“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外”,即如果信息收集者将收集并处理(脱敏)后的交易信息、住宿信息等,从这些信息中无法识别或者无法关联特定的自然人且该处理方式无法复原的,该部分信息不属于个人信息。
三、 “提供公民个人信息”的认定
第三条 向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。
未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
【解读】公民个人信息的提供包括着向特定人一对一的提供,也包括着公开在网络、论坛等地方散步个人信息,均应被认定为提供公民个人信息。
2012年全国人大常委会发布的《关于加强网络信息保护的决定》中规定“任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息”,2017年实施的《网络安全法》则将为个人信息的合法出售提供了法律空间,即“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”
基于此背景,在鼓励数据行业发展以及保护个人信息的平衡过程中,司法解释第三条第二款明确,取得被收集人的同意后,收集人可将合法收集的公民个人新向他人提供;或者提供脱敏后无法识别个人的信息或数据。
四、定罪量刑标准
第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(二)造成重大经济损失或者恶劣社会影响的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。
第六条 为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)利用非法购买、收受的公民个人信息获利五万元以上的;
(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;
(三)其他情节严重的情形。
实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。
第七条 单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。
【解读】本部分司法解释明确的是侵犯公民个人信息罪的定罪量刑标准。在定罪量刑阶段,司法机关的认定包括不同的维度,如侵犯的信息是否被用于犯罪、是否为犯罪提供帮助;信息的种类及数量(利用职务或服务犯罪行为数量减半);违法所得或危害后果;多次侵犯公民个人信息的。从定罪量刑标准中可以看出公民的个人信息从泄露或其他形式的侵犯的影响严重程度可分为三类:
第一类是直接影响人身、财产安全的公民个人信息,其中仅包括轨迹信息、通信内容、征信信息、财产信息四类,此部分个人信息与公民的身份及特定活动具有着关联性强,隐私性高,泄露出去而产生的危害性大等特征,因此在定罪量刑期间仅需50条以上即可认定为“情节严重”;
第二类是可能影响人身、财产安全的公民个人信息,包括住宿信息、通信记录、健康生理信息、交易信息等,这类个人信息与公民身份或特定活动关联性较强,若泄露出去仍可能影响公民个人的人身或财产安全,除了司法解释明确列举的四类外,实践中若存在其他类可能影响公民个人的人身或财产安全的信息的,仍按照500条以上的定罪量刑标准来处理;
第三类则是其他公民个人信息,危害性较弱,因此在定罪量刑时数量标准为5000条以上。
需要注意的是,单位作为主体也是侵犯公民个人信息罪的适格主体,定罪量刑标准与自然人一致,若单位构成犯罪,则对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。
五、公民个人信息的计算数量规则
第十一条 非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。
向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。
对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
【解读】公民个人信息的条数计算,例如同一公民的身份证号、手机号码、银行卡信息、征信报告等记录,实践中往往是按照一条公民个人信息来交易,司法实践在认定中也往往会认定为一条公民个人信息,或者被说为“一套”信息,而不是将一个单独的银行卡信息的数据作为一条公民个人信息。
因实践中存在同一公民个人信息被多次出售或者提供的,其社会危害性高于同一链条中上下线的非法获取公民个人信息后有提供的行为,因此司法解释第二款中明确此类情形需累计计算公民个人信息的条数。
