中伦观点 | 重点条款梳理:《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
2017年5月9日
,最高人民法院和最高人民检察院联合发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称“《解释》”)。这是两高首次就侵犯公民个人信息犯罪的具体定罪量刑标准出台司法解释,并且呈现出从严惩处的态度。《解释》中的部分条款明显可以看出系与《网络安全法》相衔接。笔者根据自身理解,将重点条款作如下梳理:
《解释》第1条
明确了“公民个人信息”的范围,不仅包括身份识别信息,还包括活动情况信息,即“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。
《解释》第3条
明确将非法提供经合法收集的公民个人信息的行为入罪。在提供公民个人信息之前,应取得被收集者的同意,或对信息进行匿名化处理。熟悉《网络安全法》的会发现,本条系以《网络安全法》第42条为基础。
《解释》第5条
列举了刑法第253条之一规定的“情节严重”的具体情形,即侵犯公民个人信息犯罪的入罪标准,主要以信息数量和违法所得数额为依据。比如,区分不同类型的公民个人信息,《解释》分别以50条、500条和5000条为标准认定“情节严重”。具体而言,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的,住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上的,或者其他公民个人信息5000条以上的,应认定为“情节严重”。另,违法所得5000元以上的,亦应认定为“情节严重”。
此外,第5条还列举了“情节特别严重”的情形。比如,前述信息数量和违法所得数额10倍以上的应认定为“情节特别严重”。而“情节特别严重”的情形应适用《刑法修正案(九)》增加的量刑档次“处三年以上七年以下有期徒刑,并处罚金”。
《解释》单列第9条
进一步明确对网络服务提供者履行个人信息安全保全义务的要求,即“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚”。
《解释》第12条
明确了罚金标准,即“罚金数额一般在违法所得的一倍以上五倍以下”。
关于《解释》的适用时点,《解释》虽自2017年6月1日起施行,但根据相关法律规定,对于《解释》施行前发生、《解释》施行后尚未处理完毕的行为,都将适用《解释》。
公安部有关人员在发布会上称,公安部从去年开始在全国公安机关组织了为期两年的打击侵犯公民个人信息的专项行动。这与我们此前了解到的信息一致。本次司法解释降低了行业人员的入罪标准。结合客户的反馈,可以预测,相关部门将以行业内鬼为线索和起点,深挖公民个人信息犯罪网络和利益链条。
全文附后:
最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释
(2017年3月20日最高人民法院审判委员会第1712次会议、2017年4月26日最高人民检察院第十二届检察委员会第63次会议通过,自2017年6月1日起施行)
为依法惩治侵犯公民个人信息犯罪活动,保护公民个人信息安全和合法权益,根据《中华人民共和国刑法》《中华人民共和国刑事诉讼法》的有关规定,现就办理此类刑事案件适用法律的若干问题解释如下:
第一条
刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
第二条
违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。
第三条
向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。
未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
第四条
违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
第五条
非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(二)造成重大经济损失或者恶劣社会影响的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。
第六条
为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)利用非法购买、收受的公民个人信息获利五万元以上的;
(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;
(三)其他情节严重的情形。
实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。
第七条
单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。
第八条
设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。
第九条
网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。
第十条
实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。
第十一条
非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。
向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。
对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
第十二条
对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。
第十三条
本解释自2017年6月1日起施行。
作者简介:
合伙人 上海办公室
业务领域:合规/政府监管,诉讼仲裁,公司/外商直接投资
王珊 律师
上海办公室 争议解决部
作者往期文章推荐: