5月9日,最高人民法院與最高人民檢察院聯合召開新聞發布會,發布《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。《解釋》明確了侵犯公民個人信息罪的定罪量刑標準。司法解釋將于2017年6月1日起實施。
近年來,侵犯公民個人信息犯罪仍處于高發態勢。
對于出售、非法提供公民個人信息罪和非法獲取公民個人信息罪的處罰,《刑法》原條文規定:情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金。也就是說,在《刑法修正案(九)》之前,凡是構成此罪的最高刑期為三年。不過,何為“情節嚴重”?有關侵犯公民個人信息罪的這一入罪要件尚不明晰,缺乏定罪標準,影響案件辦理。此次《解釋》對“情節嚴重”和“情節特別嚴重”作了明確。
《解釋》共十三條,主要包括以下十個方面的內容:
明確了“公民個人信息”的范圍
基于全面保護公民個人信息的現實需要,《解釋》第一條規定“公民個人信息”包括身份識別信息和活動情況信息,即“刑法第二百五十三條之一規定的‘公民個人信息’,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。”
明確了非法“提供公民個人信息”的認定標準
根據刑法第二百五十三條之一的規定,違反國家有關規定,向他人出售或者提供公民個人信息,是侵犯公民個人信息罪的客觀行為方式之一。針對司法實踐的情況,《解釋》第三條對非法“提供公民個人信息”的認定作了進一步明確
具體而言:
(1)“提供”的認定。在“人肉搜索”案件中,行為人未經權利人同意即將其身份、照片、姓名、生活細節等個人信息公布于眾,影響其正常的工作、生活秩序,危害嚴重。更有甚者,一些行為人惡意利用泄露的個人信息進行各類違法犯罪活動。經研究認為,通過信息網絡或者其他途徑予以發布,實際是向不特定多數人提供公民個人信息,向特定人提供公民個人信息的行為屬于“提供”,基于“舉輕明重”的法理,前者更應當認定為“提供”。
基于此,《解釋》規定:“向特定人提供公民個人信息,以及通過信息網絡或者其他途徑發布公民個人信息的,應當認定為刑法第二百五十三條之一規定的‘提供公民個人信息’。”
(2)合法收集公民個人信息后非法提供的認定。根據《網絡安全法》的規定,經得被收集者同意,以及做匿名化處理(剔除個人關聯),是合法提供公民個人信息的兩種情形。
基于此,《解釋》規定:“未經被收集者同意,將合法收集的公民個人信息向他人提供的,屬于刑法第二百五十三條之一規定的‘提供公民個人信息’,但是經過處理無法識別特定個人且不能復原的除外。”
明確了“非法獲取公民個人信息”的認定標準
根據刑法第二百五十三條之一的規定,竊取或者以其他方法非法獲取公民個人信息,是侵犯公民個人信息罪的客觀行為方式之一。根據司法實踐的情況,《解釋》第四條對“非法獲取公民個人信息”的認定作了進一步明確。
(1)規定“違反國家有關規定,通過購買、收受、交換等方式獲取公民個人信息”的,屬于“非法獲取公民個人信息”。
(2)根據《網絡安全法》規定的收集、使用個人信息的規則,明確違反國家有關規定,“在履行職責、提供服務過程中收集公民個人信息”的,屬于“非法獲取公民個人信息”。明確了侵犯公民個人信息罪的定罪量刑標準
情節嚴重
侵犯公民個人信息罪的入罪要件為“情節嚴重”。根據法律精神,結合司法實踐,《解釋》第五條第一款設十項對“情節嚴重”的認定標準作了明確規定,大致涉及如下五個方面:
(1)信息類型和數量。公民個人信息的類型繁多,行蹤軌跡信息、通信內容、征信信息、財產信息、住宿信息、交易信息等公民個人敏感信息涉及人身安全和財產安全,被非法獲取、出售或者提供后極易引發綁架、詐騙、敲詐勒索等關聯犯罪,具有更大的社會危害性。基于不同類型公民個人信息的重要程度,《解釋》分別設置了“五十條以上”“五百條以上”“五千條以上”的入罪標準,以體現罪責刑相適應。
(2)違法所得數額。出售或者非法提供公民個人信息往往是為了牟利,基于此,《解釋》將違法所得五千元以上的規定為“情節嚴重”。
(3)信息用途。被非法獲取、出售或者提供的公民個人信息,用途存在不同,對權利人的侵害程度也會存在差異。基于此,《解釋》將“非法獲取、出售或者提供行蹤軌跡信息,被他人用于犯罪”“知道或者應當知道他人利用公民個人信息實施犯罪,向其出售或者提供”規定為“情節嚴重”。
(4)主體身份。公民個人信息泄露案件不少系內部人員作案,諸多公民個人信息買賣案件也可以見到“內鬼”參與的“影子”。為切實加大對此類行為的懲治力度,《解釋》明確,“將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人”的,認定“情節嚴重”的數量、數額標準減半計算。
(5)前科情況。曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰,又非法獲取、出售或者提供公民個人信息的,行為人屢教不改、主觀惡性大,《解釋》將其也規定為“情節嚴重”。
情節特別嚴重
在此基礎上,《解釋》第五條第二款對侵犯公民個人信息罪的“情節特別嚴重”的認定標準,也即“處三年以上七年以下有期徒刑”量刑檔次的適用標準作了明確,主要涉及如下兩個方面:
(1)數量數額標準。根據信息類型不同,非法獲取、出售或者提供公民個人信息“五百條以上”“五千條以上”“五萬條以上”,或者違法所得五萬元以上的,即屬“情節特別嚴重”。
(2)嚴重后果。《解釋》將“造成被害人死亡、重傷、精神失常或者被綁架等嚴重后果”“造成重大經濟損失或者惡劣社會影響”規定為“情節特別嚴重”。
明確了為合法經營活動而非法購買、收受公民個人信息的定罪量刑標準
從實踐來看,非法購買、收受公民個人信息從事廣告推銷等活動的情形較為普遍。為貫徹體現寬嚴相濟刑事政策,《解釋》第六條專門針對此種情形設置了入罪標準,規定為合法經營活動而非法購買、收受敏感信息以外的公民個人信息,具有下列情形之一的,應當認定為“情節嚴重”:
(1)利用非法購買、收受的公民個人信息獲利五萬元以上的;
(2)曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰,又非法購買、收受公民個人信息的;
(3)其他情節嚴重的情形。明確了設立網站、通訊群組侵犯公民個人信息行為的定性
實踐中,一些行為人建立網站、通訊群組供他人進行公民個人信息交換、流轉、銷售,以非法牟利。
根據刑法第二百八十七條之一的規定,設立用于實施違法犯罪活動的網站、通訊群組,情節嚴重的,構成非法利用信息網絡罪。經研究認為,供他人實施非法獲取、出售或者提供公民個人信息違法犯罪活動的網站、通訊群組實際上屬于“用于實施違法犯罪活動的網站、通訊群組”。
因此,《解釋》第八條規定:“設立用于實施非法獲取、出售或者提供公民個人信息違法犯罪活動的網站、通訊群組,情節嚴重的,應當依照刑法第二百八十七條之一的規定,以非法利用信息網絡罪定罪處罰;同時構成侵犯公民個人信息罪的,依照侵犯公民個人信息罪定罪處罰。”
明確了拒不履行公民個人信息安全管理義務行為的處理
當前,不少網絡運營者因為履行職責或者提供服務的需要,掌握著海量公民個人信息,這些信息一旦泄露將造成惡劣社會影響和嚴重危害后果。對此,《網絡安全法》明確了網絡信息安全的責任主體,確立了“誰收集,誰負責”的基本原則。其中,第四十條明確規定:“網絡運營者應當對其收集的用戶信息嚴格保密,并建立健全用戶信息保護制度。”
為進一步促使網絡服務提供者切實履行個人信息安全保護義務,《解釋》第九條規定:“網絡服務提供者拒不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,致使用戶的公民個人信息泄露,造成嚴重后果的,應當依照刑法第二百八十六條之一的規定,以拒不履行信息網絡安全管理義務罪定罪處罰。”
明確了侵犯公民個人信息犯罪認罪認罰從寬處理規則
為充分發揮刑法的威懾和教育功能,促使侵犯公民個人信息犯罪行為人積極認罪悔罪,《解釋》第十條專門規定:“實施侵犯公民個人信息犯罪,不屬于‘情節特別嚴重’,行為人系初犯,全部退贓,并確有悔罪表現的,可以認定為情節輕微,不起訴或者免予刑事處罰;確有必要判處刑罰的,應當從寬處罰。”明確了涉案公民個人信息的數量
針對公民個人信息數量“計算難”的實際問題,《解釋》第十一條專門規定了數量計算規則。具體而言:
(1)公民個人信息的條數計算。《解釋》規定:“非法獲取公民個人信息后又出售或者提供的,公民個人信息的條數不重復計算。”“向不同單位或者個人分別出售、提供同一公民個人信息的,公民個人信息的條數累計計算。”
(2)批量公民個人信息的數量認定規則。為方便司法實務操作,《解釋》規定:“對批量公民個人信息的條數,根據查獲的數量直接認定,但是有證據證明信息不真實或者重復的除外。”
明確了侵犯公民個人信息犯罪的罰金刑適用規則
侵犯公民個人信息犯罪具有明顯的牟利性,行為人實施該類犯罪主要是為了牟取非法利益。因此,有必要加大財產刑的適用力度,讓行為人在經濟上得不償失,進而剝奪其再次實施此類犯罪的經濟能力。
基于此,《解釋》第十二條規定:“對于侵犯公民個人信息犯罪,應當綜合考慮犯罪的危害程度、犯罪的違法所得數額以及被告人的前科情況、認罪悔罪態度等,依法判處罰金。罰金數額一般在違法所得的一倍以上五倍以下。”
附全文
最高人民法院、最高人民檢察院
關于辦理侵犯公民個人信息刑事案件
適用法律若干問題的解釋
2017年3月20日最高人民法院審判委員會第1712次會議、2017年4月26日最高人民檢察院第十二屆檢察委員會第63次會議通過,自2017年6月1日起施行。
2017年3月20日最高人民法院審判委員會第1712次會議、2017年4月26日最高人民檢察院第十二屆檢察委員會第63次會議通過,自2017年6月1日起施行。
法釋〔2017〕10號
為依法懲治侵犯公民個人信息犯罪活動,保護公民個人信息安全和合法權益,根據《中華人民共和國刑法》《中華人民共和國刑事訴訟法》的有關規定,現就辦理此類刑事案件適用法律的若干問題解釋如下:
第一條 刑法第二百五十三條之一規定的“公民個人信息”,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。
第二條 違反法律、行政法規、部門規章有關公民個人信息保護的規定的,應當認定為刑法第二百五十三條之一規定的“違反國家有關規定”。
第三條 向特定人提供公民個人信息,以及通過信息網絡或者其他途徑發布公民個人信息的,應當認定為刑法第二百五十三條之一規定的“提供公民個人信息”。
未經被收集者同意,將合法收集的公民個人信息向他人提供的,屬于刑法第二百五十三條之一規定的“提供公民個人信息”,但是經過處理無法識別特定個人且不能復原的除外。
第四條 違反國家有關規定,通過購買、收受、交換等方式獲取公民個人信息,或者在履行職責、提供服務過程中收集公民個人信息的,屬于刑法第二百五十三條之一第三款規定的“以其他方法非法獲取公民個人信息”。
第五條 非法獲取、出售或者提供公民個人信息,具有下列情形之一的,應當認定為刑法第二百五十三條之一規定的“情節嚴重”:
(一)出售或者提供行蹤軌跡信息,被他人用于犯罪的;
(二)知道或者應當知道他人利用公民個人信息實施犯罪,向其出售或者提供的;
(三)非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的;
(四)非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的;
(五)非法獲取、出售或者提供第三項、第四項規定以外的公民個人信息五千條以上的;
(六)數量未達到第三項至第五項規定標準,但是按相應比例合計達到有關數量標準的;
(七)違法所得五千元以上的;
(八)將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人,數量或者數額達到第三項至第七項規定標準一半以上的;
(九)曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰,又非法獲取、出售或者提供公民個人信息的;
(十)其他情節嚴重的情形。
實施前款規定的行為,具有下列情形之一的,應當認定為刑法第二百五十三條之一第一款規定的“情節特別嚴重”:
(一)造成被害人死亡、重傷、精神失常或者被綁架等嚴重后果的;
(二)造成重大經濟損失或者惡劣社會影響的;
(三)數量或者數額達到前款第三項至第八項規定標準十倍以上的;
(四)其他情節特別嚴重的情形。
第六條 為合法經營活動而非法購買、收受本解釋第五條第一款第三項、第四項規定以外的公民個人信息,具有下列情形之一的,應當認定為刑法第二百五十三條之一規定的“情節嚴重”:
(一)利用非法購買、收受的公民個人信息獲利五萬元以上的;
(二)曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰,又非法購買、收受公民個人信息的;
(三)其他情節嚴重的情形。
實施前款規定的行為,將購買、收受的公民個人信息非法出售或者提供的,定罪量刑標準適用本解釋第五條的規定。
第七條 單位犯刑法第二百五十三條之一規定之罪的,依照本解釋規定的相應自然人犯罪的定罪量刑標準,對直接負責的主管人員和其他直接責任人員定罪處罰,并對單位判處罰金。
第八條 設立用于實施非法獲取、出售或者提供公民個人信息違法犯罪活動的網站、通訊群組,情節嚴重的,應當依照刑法第二百八十七條之一的規定,以非法利用信息網絡罪定罪處罰;同時構成侵犯公民個人信息罪的,依照侵犯公民個人信息罪定罪處罰。
第九條 網絡服務提供者拒不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,致使用戶的公民個人信息泄露,造成嚴重后果的,應當依照刑法第二百八十六條之一的規定,以拒不履行信息網絡安全管理義務罪定罪處罰。
第十條 實施侵犯公民個人信息犯罪,不屬于“情節特別嚴重”,行為人系初犯,全部退贓,并確有悔罪表現的,可以認定為情節輕微,不起訴或者免予刑事處罰;確有必要判處刑罰的,應當從寬處罰。
第十一條 非法獲取公民個人信息后又出售或者提供的,公民個人信息的條數不重復計算。
向不同單位或者個人分別出售、提供同一公民個人信息的,公民個人信息的條數累計計算。
對批量公民個人信息的條數,根據查獲的數量直接認定,但是有證據證明信息不真實或者重復的除外。
第十二條 對于侵犯公民個人信息犯罪,應當綜合考慮犯罪的危害程度、犯罪的違法所得數額以及被告人的前科情況、認罪悔罪態度等,依法判處罰金。罰金數額一般在違法所得的一倍以上五倍以下。
第十三條 本解釋自2017年6月1日起施行。