中伦观点 | 侵犯公民个人信息罪的案例分析报告
近年来,侵犯公民个人信息犯罪呈高发态势,公安部接连开展专项行动打击此类犯罪。此外,今年5月,最高法和最高院发布了相关司法解释,细化了侵犯公民个人信息犯罪的定罪量刑标准等问题。本文对侵犯公民个人信息罪案件进行了统计汇总,并从典型案例入手简要分析了此类案件的司法实践情况。
一、侵犯公民个人信息罪的由来
2009年2月28日,《刑法修正案(七)》增设了刑法第253条之一,规定了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。
2015年11月1日,《刑法修正案(九)》对刑法第253条之一作出修订,包括将犯罪主体的范围从“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”扩大到任何主体,并将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合成“侵犯公民个人信息罪”。
2017年5月9日,最高人民法院、最高人民检察院发布了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“《解释》”),就侵犯公民个人信息罪的若干法律适用问题做出解释。
二、侵犯公民个人信息罪的案例统计
截至2017年7月25日,我们在无讼案例上检索到以侵犯公民个人信息罪为案由的刑事裁判文书共计1433件,其地域分布和年份分布如下:
注:截至2017年7月25日,2017年案件数量已达到253件。
上图可见,侵犯公民个人信息罪的案件数量大体上呈逐年上升趋势,且主要分布在东南沿海地区。
三、典型案例
1两高发布的典型案例
2017年5月,最高法和最高检就侵犯公民个人信息罪发布典型案例共计13件。
从犯罪主体来看,13件案例全部被认定为自然人犯罪,无单位犯罪情形。其中,部分案件涉及利用职务之便实施犯罪,如利用自身作为银行职员、派出所民警可接触公民的征信信息等个人信息之便,非法将公民个人信息提供或出售给他人。
从信息内容来看,包括个人征信信息、户籍信息、行踪信息、网购订单信息、财产信息、新生儿信息和学生信息等。
从非法获取信息的方式来看,包括通过黑客软件窃取、利用系统漏洞窃取、向他人购买和交换等方式。
2《解释》在司法实践中的应用
截至目前,笔者检索到8件引用《解释》的裁判文书,主要涉及对刑法第253条之一规定的“情节严重”的认定方法(《解释》第五条[1])、对该罪不起诉、免于处罚、从宽处罚的认定标准(《解释》第十条[2])以及罚金数额的认定标准(《解释》第十二条[3])。
在(2017)鲁1102刑初71号案件中,法院根据《解释》第五条第一款第五项规定的“非法获取、出售或者提供除第三项、第四项规定以外的公民个人信息五千条以上”的情形,认定张某某非法出售47681条个人信息的行为构成“情节严重”,且由于该数量接近第五条第二款第三项规定的“数量或者数额达到前款第三项至第八项规定标准十倍以上”的“情节特别严重”情形,又考虑到第十条有关不起诉、从宽处罚的规定,法院最终认定虽然被告人的行为不属于情节特别严重,行为人系初犯,且有悔罪表现,但由于涉案信息数量接近‘情节特别严重’的情形,不宜免予刑事处罚,决定对其从宽处罚。
关于《解释》的溯及力问题,《解释》自2017年6月1日起施行,根据相关规定[4],对于2017年6月1日前发生的行为且2017年6月1日后尚未处理或者正在处理的,此类案件应适用《解释》。
3单位犯罪的认定
法院在认定是否构成单位犯罪时,主要考虑两点:
一方面,是否为了单位的利益。比如,行为目的是否系为公司经营,例如推广业务和妨碍公司竞争对手等。
另一方面,是否体现了单位的意志。在大部分被认定为单位犯罪的案件中,行为主体往往是单位高管和项目负责人。
值得注意的是,法院在判断犯罪行为是否体现了单位意志时,一个重要的考量因素是该单位是否明令禁止员工从事侵犯公民个人信息的行为,并对员工进行相应的合规培训。
在(2016)甘0102刑初605号案件中,法院认定,涉案员工所在的某跨国公司的公司政策、员工行为规范和证人证言等证据证明被告人在明知法律法规以及公司禁止性规定的情况下,为完成工作业绩,贿买医务人员获取公民个人信息的行为并非该跨国公司单位意志的体现,因此不属于单位犯罪。
由此可见,企业应注重加强日常合规建设,包括:完善公司内部文件和制度建设,明令禁止员工从事侵犯公民个人信息等活动;定期对相关员工进行合规培训,增强员工合规意识;要求员工签署承诺函等文件,证明其已经理解并接受了公司的相关规定,并承诺不会违反。公司还需保存好相关书面记录。
注:
[1] 《解释》第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(二)造成重大经济损失或者恶劣社会影响的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。
[2] 《解释》 第十条 实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。
[3] 《解释》 第十二条 对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。
[4] 《最高人民法院、最高人民检察院关于适用刑事司法解释时间效力问题的规定》(高检发释字〔2001〕5号)第二条规定“对于司法解释实施前发生的行为,行为时没有相关司法解释,司法解释施行后尚未处理或者正在处理的案件,依照司法解释的规定办理”。
特别声明:
以上所刊登的文章仅代表作者本人观点,不得视为北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
作者简介:
合伙人 上海办公室
业务领域:合规/政府监管,诉讼仲裁,公司/外商直接投资
王珊 律师
上海办公室 争议解决部
刘雅文 律师
上海办公室 争议解决部
作者往期文章推荐: