风海网 > 杂谈 > 正文

​侵犯公民个人信息罪的司法认定和量刑标准

2023-12-07 18:10 来源:风海网 点击:

侵犯公民个人信息罪的司法认定和量刑标准

【案例引入】:

2020年4月至2020年6月期间,被告人李某某找到被告人赵某、周某商议,借给客户办理手机卡之机,利用客户身份信息多办理几张手机卡。被告人李某某给赵某、周某提供空白的手机卡,办理成功后,李某某将多办理的手机卡收走,并给被告人赵某支付每张手机卡25元的好处费,再由赵某分配给被告人周某。被告人赵某、周某共同商议,二人无论分别办理多少张手机卡,好处费均平均分配。截至案发前,被告人赵某、周某共办理手机卡1000余张,被告人李某某将从赵某、周某处获得的手机卡用于“猫池”(猫池是一种使用手机SIM卡的设备,可以群发短信、接收验证码,为不法分子提供发送诈骗短信等服务)使用或出售给他人,从中获利11万元后,分给被告人赵某好处费24530元,被告人赵某将其中的12400元好处费分给被告人周某。

一审法院判处被告人李某某犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币3万元;被告人周某犯侵犯公民个人信息罪,判处有期徒刑六个月,并处罚金人民币1万元;被告人赵某犯侵犯公民个人信息罪,判处有期徒刑九个月,缓刑一年,并处罚金人民币1万元。宣判后,被告人李某某不服原审判决上诉,二审法院经对该案进行全面审查,裁定驳回上诉,维持原判。

公民个人信息泄露案件多发,已成为公众的“痛点”。一些公民在开展网络活动时缺乏个人信息保护意识,不加甄别便在网络上填写个人信息,造成了个人信息泄露。

一、何为侵犯公民个人信息罪

侵犯公民个人信息罪,是指违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的行为,以及窃取或者以其他方法非法获取公民个人信息的行为。

为了保护信息社会中公民个人信息的安全以及公民生活安宁,《刑法修正案(七)》增设了《刑法》第253条之一,司法解释确定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。《刑法修正案(九)》修改补充了本条,司法解释将罪名统一设定为一个概括性更强的罪名。

侵犯公民个人信息罪是一个罪名、两个构成要件类型。所以,本罪之实行行为包括两类:①违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的行为;②窃取或者以其他方法非法获取公民个人信息的行为。《刑法》第253条之一第1、3款分别规定了以上两种行为类型。

二、第一种行为类型

违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的行为,为第一种行为类型。

(一)构成要件

“公民”指称任何人,无论是具有中国国籍的公民还是外国人、无国籍人,均属于刑法保护的权利主体。当代信息社会,公民个人信息不仅直接关系到个人信息安全与生活安宁,而且关系到社会公共利益、国家安全乃至信息主权,所以,刑法使用“公民个人信息”而没有直接规定为“个人信息”或者“他人的个人信息”,其意义在于表明“个人信息”主要是指具有中国国籍的中国“公民”的个人信息,但是又不限于中国公民,还包括生活在中国或者通过互联网与中国政府机关、公司、企业、社会组织以及公民个人发生联系的外国人以及无国籍人的个人信息。

“公民个人信息”,是指个人身份信息和隐私信息两大类。依据《网络安全法》第76条第1款的规定,所谓个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物信息、住址、电话号码等。“等”表示列举未尽,“包括但不限于”更加明确了这一点。

《网络安全法》强调公民个人信息为自然人“个人身份”信息,依据其具体规定,此种“个人身份信息”可以广义解释为“身份识别信息”,可以涵括识别公民身份的隐私信息,但是难以扩张至全部个人隐私信息。2017年5月8日《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定:“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”依据司法解释的这一规定,公民个人信息既包括识别“自然人身份”的信息,包括“反映特定自然人活动情况的各种信息”最为重要的是“行动轨迹”信息。行动轨迹既包括特定自然人身体活动轨迹,还包括手机轨迹、住宿轨迹等。自然人“个人活动情况信息”大多数情况下属于个人隐私信息,但是又不限于隐私信息,还包括公开活动的信息。当然,行动轨迹信息广义上可以单独或者与其他信息结合识别公民身份,广义上也可以归入身份信息范围。“账号密码”与特定自然人密切关联,常常还绑定身份证号、手机号码等特定个人信息,具有识别公民个人身份的作用,所以司法解释将其归入公民个人信息范围。

“财产状况”,既不属于身份信息,也不属于“个人活动情况信息”,大致上可以归入“隐私信息”的范围,司法解释似乎不是基于“隐私信息”概念将“财产信息”纳入“公民个人信息”范围,因为“财产信息”以及“健康信息”等与其他信息结合可以“识别”公民个人身份,属于“身份识别信息”,而且属于直接或者间接地涉及公民财产和人身安全的敏感信息。可见,上述司法解释基本上以《网络安全法》的规定为基础解释“公民个人信息”,既有清晰的列举,又有一定的模糊处理。我们认为,刑法规定“侵犯公民个人信息罪”并不能仅仅以(网络安全法》为前置法,揭示“公民个人信息”的含义,还应当考虑《全国人大常委会关于加强网络信息保护的决定》的有关规定。根据《全国人大常委会关于加强网络信息保护的决定》的规定,能够单独或者与其他信息结合识别公民个人身份的隐私信息,主要是财产状况、生理及健康状况、公民活动情况的行踪轨迹信息等个人信息,属于公民个人信息。

所谓“向他人出售”,是指向他人提供公民个人信息并获得报酬。依据上述司法解释,向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为“提供公民个人信息”。收集公民个人信息后,未经被收集者同意,向他人提供的,属于“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。

(二)量刑标准

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条规定,具有下列情形之一的,应当认定为“情节严重”:①出售或者提供行踪轨迹信息,被他人用于犯罪的;②知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;③非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的;④非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上的;⑤非法获取、出售或者提供第3项、第4项规定以外的公民个人信息5000条以上的;⑥数量未达到第3~5项规定标准,但是按相应比例合计达到有关数量标准的;⑦违法所得5000元以上的;⑧将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第3~7项规定标准一半以上的;⑨曾因侵犯公民个人信息受过刑事处罚或者2年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;⑩其他情节严重的情形。

第6条还规定:“为合法经营活动而非法购买、收受本解释第5条第1款第3项、第4项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第253条之一规定的“情节严重”:①利用非法购买、收受的公民个人信息获利5万元以上的;②曾因侵犯公民个人信息受过刑事处罚或者2年内受过行政处罚,又非法购买、收受公民个人信息的;③其他情节严重的情形。实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第5条的规定。”依据上述规定,司法解释是将公民个人信息大致上区分为高度敏高信息(包括行踪轨迹信息、通信内容、征信信息、财产信息等四种)、可能影响人身、财产安全的敏感信息(包括住宿信息、通信记录、健康生理信息、交易信息等)以及其他一般个人信息。

依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。

三、第二种行为类型

“窃取或者以其他方法非法获取公民个人信息”的行为,以侵犯公民信息罪论处。这是第二类侵犯公民个人信息罪的行为类型。

(一)构成要件

“窃取”,是指秘密窃取。“窃取”本身即表明违法性,故无需“非法”修饰。“以其他方法非法获取”之选择性要件的关键构成要素是“非法”而不是“获取”的具体方式。原则上讲,除了依法强制公民提供个人信息的情形之外,凡是未经公民个人明示或者默示之同意而获取公民个人信息的,均属于“非法”获取。“非法”不需前置的配套法律法规。公民个人信息权是公民个人自决权范围内的个人权利,这决定了“合法”与“非法”可以从整个法律体系(主要是宪法、刑事诉讼法、刑法)中获取,这就是公民是否“同意”。刑法直接规定了“窃取”方式,除此之外,还包括通过购买、收受、交换等方式,以及利用通信技术手段侵入计算机信息系统。例如,侵入公民个人手机端,获取公民电子活动轨迹、生活隐私信息等,属于“以其他方式非法获取公民个人信息”。总之,“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于《刑法》第253条之一第3款规定的“以其他方法非法获取公民个人信息””。公民个人信息无需公民个人采取保密措施,均属于刑法保护的范围,当然,公民个人自愿公开的除外。

一般来说,能够通过互联网公开渠道搜索到的公民个人信息不属于刑法保护的范围。但是,以获取公民隐私为目的,通过互联网公开渠道购买、征集公民个人信息的,属于“非法获取”;当然,公开征集、汇总公民个人犯罪、侵权、违约之诚信状况信息以及向他人提供此类信息的,是否也属于“非法获取”尚需要进一步研究。非法获取公民个人信息,还是与非法提供公民个人信息相对应的一种行为,故意从非法提供者那里取得公民个人信息的,是非法获取。因为“非法获取”要件的关键构成要素在于“非法”而不在于“获取”及其方式,所以,任何人非法拥有并散布众多公民的个人信息,而无合法辩护理由的,可以推定为“非法获取”。

(二)量刑标准

《刑法》第253条之一第3款规定:“窃取或者以其他方法非法获取公民个人信息的,依照第1款的规定处罚。”显而易见,这种类型的侵犯公民个人信息行为,构成犯罪的,并不以“情节严重”为必要。也就是说,不以“情节严重”为构成要件。当然,“情节严重”到与“情节特别严重的”相当的,应当适用“处3年以上7年以下有期徒刑,并处罚金”之法定量刑幅度。但是,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条“有意无意”地将第二种类型的侵犯公民个人信息罪视为以“情节严重”为构成要件,以“情节特别严重”为加重构成要件,并非十分妥当。当然,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条所列举规定的各种具体情节,除了第3~5项规定的50条、500条、5000条比较“宽大”外,倒是没有太大问题,均可直接适用,从而作为认定非法获取公民个人信息行为构成犯罪的“情节”。

四、侵犯公民个人信息罪十大典型案例

2022年7月,浙江高院发布了侵犯公民个人信息犯罪十大典型案例。随着信息科技的飞速发展和大数据时代的全面开启,侵犯公民个人信息的违法行为持续增加,如何保护个人信息安全已经成为社会关注的焦点。

(一)服务性行业成为信息泄露的重灾区

案例中有6起案例涉及物业公司、保险公司、摄影工作室、通讯公司员工及移动终端维修、销售人员等盗取用户个人信息。物业、房产、保险、快递、外卖、宾馆住宿、手机通信等服务行业,在提供服务的过程中,有机会广泛接触大量用户个人信息。个别公司或员工为牟取个人利益,视职业道德和保密义务如无物,利用工作便利,非法获取、出售个人信息,使得这些服务行业成为个人信息泄露的重灾区。

【案例1】

被告人王某某、陈某某等10人均系物业公司、房产公司员工。2018年至2019年,王某某等10人各自将日常工作中收集、获取的杭州市部分小区的业主信息(包括姓名、房号、电话号码和房产面积),出售给杭州某装饰工程公司市场部总监杨某某、王某某等10人,共计获利23500元。

王某某等10人因侵犯公民个人信息罪被判处有期徒刑三年至一年六个月不等,均宣告缓刑,并处相应罚金;违法所得款予以没收,上缴国库。

【案例2】

2020年12月至2021年7月,被告人唐某利用在某通信公司担任营销员之便,获取客户实名激活后的手机卡,并未经过客户同意将手机号及验证码售卖给他人,共计获利14360.79元。归案后,被告人唐某如实供述自己的罪行,退缴违法所得。

唐某因侵犯公民个人信息罪被判处有期徒刑十个月,缓刑一年四个月,并处相应罚金。

(二)学生信息成为倒卖牟利的“抢手货”

案例中有3起案例涉及盗窃出售学生信息,更有甚者专门成立公司收集学生及家长信息并倒卖。案例中细致到包含学生年级班级、薄弱科目等内容的个人信息,以每条12元的价格卖给各地教育培训机构,沦为其精准推销的工具。未成年人各类信息被不法分子利用,造成的社会后果将更为十分严重。

【案例3】

2020年4月,被告人叶某某联系浙江某教育科技有限公司员工卢某某交换公民个人信息。叶某某将“总名单”“小年龄段”“小年龄名单”三份文件提供给卢某某。卢某某经公司法定代表人谢某某同意,将“三年级”“四年级”的文件提供给叶某某,“三年级”文件内有61所学校小学三年级学生信息9943条,“四年级”文件内有13所学校学生信息1348条。同年11月,卢某某又将44142条公民个人信息提供给谢某某。

各被告人因侵犯公民个人信息罪被判处有期徒刑三年九个月至二年四个月,缓刑三年不等,并处相应罚金。

【案例4】

2019年9月至2021年4月,被告人江某某与他人合伙或单独出资,先后设立丽水某诚信息技术有限公司等4家信息技术公司,召集并指使多名公司员工潜入学生家长微信群,冒充教育培训机构老师,发送虚假信息。通过让学生家长点击带有设定内容的链接,收集家长的手机号、学生姓名、年级、薄弱科目等信息,并将信息数据存储在“金数据”网站内,由江某某通过丽水某泰信息技术有限公司或以每条信息12元左右的价格售卖给深圳、北京等地的教育培训机构,从中牟利。

江某某因侵犯公民个人信息罪被判处有期徒刑三年,并处相应罚金。

(三)窃取隐私手段翻新隐蔽性强

在十大案例中,不法分子以开发外挂软件非法侵入他人计算机信息系统、借助境外软件、冒充教培机构人员混入班级群等方式手段非法获取、买卖个人隐私,花样百出、隐蔽性强,可谓是无所不用其极,让普通民众防不胜防。

【案例5】

2020年5月至2020年12月,被告人任某某伙同被告人黄某,通过被告人孙某某开发的“终端查预缴0903”外挂软件,链接到中国移动公司网站,非法窃取中国移动公司客户个人信息,包括客户姓名及业务订单等内容。之后,黄某将窃取的个人信息50561条交给任某某,任某某将信息下发给公司员工,让员工开展业务,获利数万元。后任某某通过下发业务的形式让黄某获利2万余元。期间,被告人李某某伙同黄某利用同款软件,以同样方式获取公民个人信息401100条,李某某给黄某3000元好处费。被告人孙某某通过提供同款软件,从黄某处共获得好处费11700元。另查实,2017年左右,被告人孙某某通过编写程序软件,伪造用户ID的方式,从“格格家购物平台”爬取了65877条的公民个人信息,包括公民的姓名、电话、住址等。

任某某、黄某、孙某某等人因侵犯公民个人信息罪,被判处有期徒刑三年,缓刑三年至四年,并处不等罚金。违法所得款予以没收,上缴国库。

通过对十大侵犯公民个人信息罪案例的分析,能够看出,公民个人信息遭到多样方式的窃取和出卖,不仅侵害了公民个人信息安全,更给其生活造成困扰,给人身、财产安全带来了隐患和威胁,进而影响整个社会的安宁稳定。近年来,《刑法修正案(九)》、《民法典》以及《个人信息保护法》等,都在不断加强对个人信息的保护力度。在日常生活中,个人信息的保护不仅要依靠公民提升个人隐私保护意识,掌握必备的隐私保护技能,更重要的是,要依靠国家层面的立法推动、政府部门的有效监管、行业的约束内控,最终形成全链条、无死角的个人信息安全保护体系。