查看原文
其他

【司法规则提炼及疑难解析】侵犯公民个人信息罪

刑事法典 2022-12-10


 侵犯公民个人信息罪


文章节选自图书《实务刑法评注》

北京大学出版社2022年8月版

转自实务刑事法评注


【刑法条文】

第二百五十三条之一 【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。


违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。


窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。


单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。


【立法沿革】

本条系2009年2月28日起施行的《刑法修正案(七)》第七条增设的规定。


2015 年11月1日起施行的《刑法修正案(九)》第十七条对本条作了修改,主要涉及三个方面:一是扩大犯罪主体的范围,规定任何单位和个人违反国家有关规定,获取、出售或者提供公民个人信息,情节严重的,都构成犯罪;二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚;三是提升法定刑配置水平,增加规定“处三年以上七年以下有期徒刑,并处罚金”。修改后,罪名由“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”。

【相关规定】

《中华人民共和国个人信息保护法》(自2021年11月1日起施行)

第一章 总  则 

  第一条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。

  第二条 自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。

  第三条 在中华人民共和国境内处理自然人个人信息的活动,适用本法。

  在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:

  (一)以向境内自然人提供产品或者服务为目的;

  (二)分析、评估境内自然人的行为;

  (三)法律、行政法规规定的其他情形。

  第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

  个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

  第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。

  第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。

  收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。

  第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。

  第八条 处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。

  第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。

  第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。

  第十一条 国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。

  第十二条 国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。

第二章 个人信息处理规则

第一节 一般规定

  第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:

  (一)取得个人的同意;

  (二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

  (三)为履行法定职责或者法定义务所必需;

  (四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

  (五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

  (六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

  (七)法律、行政法规规定的其他情形。

  依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。

  第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。

  个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。

  第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

  个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

  第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。

  第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:

  (一)个人信息处理者的名称或者姓名和联系方式;

  (二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

  (三)个人行使本法规定权利的方式和程序;

  (四)法律、行政法规规定应当告知的其他事项。

  前款规定事项发生变更的,应当将变更部分告知个人。

  个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。

  第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。

  紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。

  第十九条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。

  第二十条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。

  个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。

  第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。

  受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。

  未经个人信息处理者同意,受托人不得转委托他人处理个人信息。

  第二十二条 个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。

  第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。

  第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。

  通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。

  通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

  第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。

  第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。

 第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。

第二节 敏感个人信息的处理规则

  第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

  只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。

 第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。

第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。

  个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。

 第三十二条 法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。

第三节 国家机关处理个人信息的特别规定

  第三十三条 国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。

第三十四条 国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。

 第三十五条 国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。

 第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。

 第三十七条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息,适用本法关于国家机关处理个人信息的规定。

第三章 个人信息跨境提供的规则

  第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:

  (一)依照本法第四十条的规定通过国家网信部门组织的安全评估;

  (二)按照国家网信部门的规定经专业机构进行个人信息保护认证;

  (三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

  (四)法律、行政法规或者国家网信部门规定的其他条件。

  中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。

  个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

 第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。

第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。

 第四十一条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

 第四十二条 境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。

 第四十三条 任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

第四章 个人在个人信息处理活动中的权利

  第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。

 第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。

  个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。

  个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。

 第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。

  个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。

 第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:

  (一)处理目的已实现、无法实现或者为实现处理目的不再必要;

  (二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;

  (三)个人撤回同意;

  (四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;

  (五)法律、行政法规规定的其他情形。

  法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

 第四十九条 自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。

 第五十条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。

  个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。

第五章 个人信息处理者的义务

  第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:

  (一)制定内部管理制度和操作规程;

  (二)对个人信息实行分类管理;

  (三)采取相应的加密、去标识化等安全技术措施;

  (四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;

  (五)制定并组织实施个人信息安全事件应急预案;

  (六)法律、行政法规规定的其他措施。

  第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。

  个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

 第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:

  (一)处理敏感个人信息;

  (二)利用个人信息进行自动化决策;

  (三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

  (四)向境外提供个人信息;

  (五)其他对个人权益有重大影响的个人信息处理活动。

 第五十六条 个人信息保护影响评估应当包括下列内容:

  (一)个人信息的处理目的、处理方式等是否合法、正当、必要;

  (二)对个人权益的影响及安全风险;

  (三)所采取的保护措施是否合法、有效并与风险程度相适应。

  个人信息保护影响评估报告和处理情况记录应当至少保存三年。

第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:

  (一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;

  (二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;

  (三)个人信息处理者的联系方式。

  个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。

第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:

  (一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;

  (二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;

  (三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;

  (四)定期发布个人信息保护社会责任报告,接受社会监督。

第五十九条 接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。

第六章 履行个人信息保护职责的部门

  第六十条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。

  县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。

  前两款规定的部门统称为履行个人信息保护职责的部门。

第六十一条 履行个人信息保护职责的部门履行下列个人信息保护职责:

  (一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;

  (二)接受、处理与个人信息保护有关的投诉、举报;

  (三)组织对应用程序等个人信息保护情况进行测评,并公布测评结果;

  (四)调查、处理违法个人信息处理活动;

  (五)法律、行政法规规定的其他职责。

第六十二条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:

  (一)制定个人信息保护具体规则、标准;

  (二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;

  (三)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;

  (四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;

  (五)完善个人信息保护投诉、举报工作机制。

第六十三条 履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:

  (一)询问有关当事人,调查与个人信息处理活动有关的情况;

  (二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;

  (三)实施现场检查,对涉嫌违法的个人信息处理活动进行调查;

  (四)检查与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。

  履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻挠。

第六十四条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。

  履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。

第六十五条 任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。

  履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。

第七章 法律责任

  第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

  有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

第六十七条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。

 第六十八条 国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。

  履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。

  第六十九条 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。

  前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。

 第七十条 个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

第七十一条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

第八章 附  则

  第七十二条 自然人因个人或者家庭事务处理个人信息的,不适用本法。

  法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。

第七十三条 本法下列用语的含义:

  (一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

  (二)自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。

  (三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。

  (四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。

第七十四条 本法自2021年11月1日起施行。


《中华人民共和国民法典》(自2021年1月1日起施行,节录)

第一百一十一条 【个人信息受法律保护】自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。

第一千零三十二条 【隐私权】自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。

隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。

第一千零三十三条 【隐私权侵害行为】除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为:

(一)以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;

(二)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;

(三)拍摄、窥视、窃听、公开他人的私密活动;

(四)拍摄、窥视他人身体的私密部位;

(五)处理他人的私密信息;

(六)以其他方式侵害他人的隐私权。

第一千零三十四条 【个人信息的定义】自然人的个人信息受法律保护。

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。

第一千零三十五条 【个人信息处理的原则和条件】处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:

(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;

(二)公开处理信息的规则;

(三)明示处理信息的目的、方式和范围;

(四)不违反法律、行政法规的规定和双方的约定。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

第一千零三十六条 【处理个人信息免责事由】处理个人信息,有下列情形之一的,行为人不承担民事责任:

(一)在该自然人或者其监护人同意的范围内合理实施的行为;

(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;

(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。

第一千零三十七条 【个人信息主体的权利】自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。

自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。

第一千零三十八条 【信息处理者的信息安全保障义务】信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。

信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。

第一千零三十九条 【国家机关、承担行政职能的法定机构及其工作人员的保密义务】国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。


《中华人民共国网络安全法》(自2021年1月1日起施行,节录)

第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。

第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

第四十五条 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。


《中华人民共和国治安管理处罚法》(修正后自2012年10月26日起施行,节录)

第四十二条 有下列行为之一的,处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款:
  (一)写恐吓信或者以其他方法威胁他人人身安全的;
  (二)公然侮辱他人或者捏造事实诽谤他人的;
  (三)捏造事实诬告陷害他人,企图使他人受到刑事追究或者受到治安管理处罚的;
  (四)对证人及其近亲属进行威胁、侮辱、殴打或者打击报复的;
  (五)多次发送淫秽、侮辱、恐吓或者其他信息,干扰他人正常生活的;
  (六)偷窥、偷拍、窃听、散布他人隐私的。


《全国人民代表大会常务委员会关于加强网络信息保护的决定》(自2012年12月28日起施行)

 为了保护网络信息安全,保障公民、法人和其他组织的合法权益,维护国家安全和社会公共利益,特作如下决定:

 一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。

  任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。

 二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。

  网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。

 三、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。

 四、网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。

 五、网络服务提供者应当加强对其用户发布的信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。

六、网络服务提供者为用户办理网站接入服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。

七、任何组织和个人未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。

 八、公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。

九、任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为,有权向有关主管部门举报、控告;接到举报、控告的部门应当依法及时处理。被侵权人可以依法提起诉讼。

十、有关主管部门应当在各自职权范围内依法履行职责,采取技术措施和其他必要措施,防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为。有关主管部门依法履行职责时,网络服务提供者应当予以配合,提供技术支持。

  国家机关及其工作人员对在履行职责中知悉的公民个人电子信息应当予以保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。

十一、对有违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。构成犯罪的,依法追究刑事责任。侵害他人民事权益的,依法承担民事责任。

 十二、本决定自公布之日起施行。


【司法解释】

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10 号,自2017 年6 月1 日起施行)

为依法惩治侵犯公民个人信息犯罪活动,保护公民个人信息安全和合法权益,根据《中华人民共和国刑法》《中华人民共和国刑事诉讼法》的有关规定,现就办理此类刑事案件适用法律的若干问题解释如下:

 第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

第二条 违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。

  第三条 向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。

  未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。

第四条 违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

 第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:

  (一)出售或者提供行踪轨迹信息,被他人用于犯罪的;

  (二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;

  (三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;

  (四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;

  (五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;

  (六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;

  (七)违法所得五千元以上的;

  (八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;

  (九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;

  (十)其他情节严重的情形。

  实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:

  (一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;

  (二)造成重大经济损失或者恶劣社会影响的;

  (三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;

  (四)其他情节特别严重的情形。

第六条 为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:

  (一)利用非法购买、收受的公民个人信息获利五万元以上的;

  (二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;

  (三)其他情节严重的情形。

  实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。

  第七条 单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。

  第八条 设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。

第九条 网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。

  第十条 实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。

第十一条 非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。

  向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。

  对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。

第十二条 对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。

第十三条 本解释自2017年6月1日起施行。





【规范性文件】

《公安部关于公安机关处置信访活动中违法犯罪行为适用法律的指导意见》(公通字〔2013〕25号,节录)

三、对侵犯人身权利、财产权利违法犯罪行为的处理

4.偷窥、偷拍、窃听、散布他人隐私,符合《治安管理处罚法》第四十二条第六项规定的,以侵犯隐私依法予以治安管理处罚;情节严重,符合《刑法》第二百五十三条之一第二款规定的,以非法获取公民个人信息罪(罪名已调整为侵犯公民个人信息罪——本评注注)追究刑事责任。


《最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》(法发〔2016〕32 号,节录)

三、全面惩处关联犯罪

(二)违反国家有关规定,向他人出售或者提供公民个人信息,窃取或者以其他方法非法获取公民个人信息,符合刑法第二百五十三条之一规定的,以侵犯公民个人信息罪追究刑事责任。

  使用非法获取的公民个人信息,实施电信网络诈骗犯罪行为,构成数罪的,应当依法予以并罚。


《最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》(法发〔2021〕22号,节录)

五、非法获取、出售、提供具有信息发布、即时通讯、支付结算等功能的互联网账号密码、个人生物识别信息,符合刑法第二百五十三条之一规定的,以侵犯公民个人信息罪追究刑事责任。

对批量前述互联网账号密码、个人生物识别信息的条数,根据查获的数量直接认定,但有证据证明信息不真实或者重复的除外。


《最高人民法院、最高人民检察院、公安部办理跨境赌博犯罪案件若干问题的意见》(法发〔2021〕22号,节录)

(五)为赌博犯罪提供资金、信用卡、资金结算等服务,构成赌博犯罪共犯,同时构成非法经营罪、妨害信用卡管理罪、窃取、收买、非法提供信用卡信息罪、掩饰、隐瞒犯罪所得、犯罪收益罪等罪的,依照处罚较重的规定定罪处罚。

为网络赌博犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,构成赌博犯罪共犯,同时构成非法利用信息网络罪、帮助信息网络犯罪活动罪等罪的,依照处罚较重的规定定罪处罚。

为实施赌博犯罪,非法获取公民个人信息,或者向实施赌博犯罪者出售、提供公民个人信息,构成赌博犯罪共犯,同时构成侵犯公民个人信息罪的,依照处罚较重的规定定罪处罚。


另,《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字〔2013〕12 号)涉及侵犯公民个人信息犯罪适用法律问题的规定已被法释〔2017〕10 号解释吸收,未予收录。鉴于刑法修正和《最高人民法院、最高人民检察院关于办理扰乱无线电通讯管理秩序等刑事案件适用法律若干问题的解释》(法释〔2017〕11号)发布,《最高人民法院、最高人民检察院、公安部、国家安全部关于依法办理非法生产销售使用“伪基站”设备案件的意见》(公通字〔2014〕13号)未予收录。

【指导性案例】

柯某侵犯公民个人信息案(检例第140 号)

【关键词】

  侵犯公民个人信息 业主房源信息 身份识别 信息主体另行授权

 【要旨】

  业主房源信息是房产交易信息和身份识别信息的组合,包含姓名、通信通讯联系方式、住址、交易价格等内容,属于法律保护的公民个人信息。未经信息主体另行授权,非法获取、出售限定使用范围的业主房源信息,系侵犯公民个人信息的行为,情节严重、构成犯罪的,应当依法追究刑事责任。检察机关办理案件时应当对涉案公民个人信息具体甄别,筛除模糊、无效及重复信息,准确认定侵犯公民个人信息数量。

  【基本案情】

  被告人柯某。

  2016年1月起,柯某开始运营“房利帮”网站并开发同名手机APP,以对外售卖上海市二手房租售房源信息为主营业务。运营期间,柯某对网站会员上传真实业主房源信息进行现金激励,吸引掌握该类信息的房产中介人员(另案处理)注册会员并向网站提供信息,有偿获取了大量包含房屋门牌号码及业主姓名、电话等非公开内容的业主房源信息。

  柯某在获取上述业主房源信息后,安排员工冒充房产中介人员逐一电话联系业主进行核实,将有效的信息以会员套餐形式提供给网站会员付费查询使用。上述员工在联系核实信息过程中亦未如实告知业主获取、使用业主房源信息的情况。

  自2016年1月至案发,柯某通过运营“房利帮”网站共非法获取业主房源信息30余万条,以会员套餐方式出售获利达人民币150余万元。

  上海市公安局金山分局在侦办一起侵犯公民个人信息案时,发现该案犯罪嫌疑人非法出售的部分信息购自“房利帮”网站,根据最高人民法院、最高人民检察院、公安部《关于办理网络犯罪案件适用刑事诉讼法若干问题的意见》的规定,柯某获取的均为上海地区的业主信息,遂对柯某立案侦查。

 【检察履职情况】

  (一)引导侦查取证

  2017年11月17日,金山分局以柯某涉嫌侵犯公民个人信息罪向上海市金山区人民检察院提请批准逮捕。

  11月24日,金山区人民检察院作出批准逮捕决定,并建议公安机关从电子数据、言词证据两方面,针对信息性质和经营模式继续取证。公安机关根据建议,一是调取了完整的运营数据库进行鉴定,确认了信息数量;二是结合“房利帮”网站员工证言,进一步向柯某确认了该公司是由其个人控制经营,以有偿获取、出售个人信息为业,查明本案属自然人犯罪而非单位犯罪。

  (二)审查起诉

  2018年1月19日,金山分局将本案移送审查起诉。经退回补充侦查并完善证据,查清了案件事实。一是对信息数据甄别去重,结合网站的资金支出和柯某供述,进一步明确了有效业主房源信息的数量;二是对相关业主开展随机调查,证实房产中介人员向“房利帮”网站上传信息未经业主事先同意或者另行授权,以及业主在信息泄露后频遭滋扰等情况。

  7月27日,金山区人民检察院以柯某涉嫌侵犯公民个人信息罪提起公诉。

(三)指控与证明犯罪

  2019年1月16日,上海市金山区人民法院依法公开开庭审理本案。审理中,柯某及其辩护人对柯某的业务模式、涉案信息数量等事实问题无异议,但认为柯某的行为不构成犯罪。

  辩护人提出,第一,房源信息是用于房产交易的商用信息,部分信息没有业主实名,不属于刑法保护的公民个人信息;第二,网站的房源信息多由房产中介人员上传,房产中介人员获取该信息时已得到业主许可,系公开信息,网站属合理使用,无须另行授权;第三,网站对信息核实后,将真实房源信息整合,主要向房产中介人员出售,促进房产交易,符合业主意愿和利益。

  公诉人答辩指出,柯某的行为依法构成犯罪。第一,业主房源信息中的门牌号码、业主电话,组合后足以识别特定自然人,且部分信息有业主姓名,符合刑法对公民个人信息的界定;第二,业主委托房产中介时提供姓名、电话等,目的是供相对的房产中介提供服务时联系使用,不能以此视为业主同意或者授权中介对社会公开;第三,柯某安排员工冒充房产中介向业主核实时,仍未如实告知信息获取的途径及用途。而且,该网站并不从事中介业务帮助业主寻找交易对象,只是将公民个人信息用于倒卖牟利。

(四)处理结果

  2019年12月31日,金山区人民法院作出判决,采纳金山区人民检察院指控的犯罪事实和意见,以侵犯公民个人信息罪判处柯某有期徒刑三年,缓刑四年,并处罚金人民币一百六十万元。宣判后,柯某未提出上诉,判决已生效。

 【指导意义】

 (一)包含房产信息和身份识别信息的业主房源信息属于公民个人信息。公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联络方式、住址、账号密码、财产状况、行踪轨迹等。业主房源信息包括房产坐落区域、面积、售租价格等描述房产特征的信息,也包含门牌号码、业主电话、姓名等具有身份识别性的信息,上述信息组合,使业主房源信息符合公民个人信息“识别特定自然人”的规定。上述信息非法流入公共领域存在较大风险。现实生活中,被害人因信息泄露被频繁滋扰,更有大量信息进入黑灰产业链,被用于电信网络诈骗、敲诈勒索等犯罪活动,严重威胁公民人身财产安全、社会公共利益,甚至危及国家信息安全,应当依法惩处。

 (二)获取限定使用范围的信息需信息主体同意、授权。对生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息,进行信息处理须得到信息主体明确同意、授权。对非敏感个人信息,如上述业主电话、姓名等,应当根据具体情况作出不同处理。信息主体自愿、主动向社会完全公开的信息,可以认定同意他人获取,在不侵犯其合法利益的情况下可以合法、合理利用。但限定用途、范围的信息,如仅提供给中介供服务使用的,他人在未经另行授权的情况下,非法获取、出售,情节严重的,应当以侵犯公民个人信息罪追究刑事责任。

 (三)认定公民个人信息数量,应当在全面固定数据基础上有效甄别。侵犯公民个人信息案件中,信息一般以电子数据形式存储,往往数据庞杂、真伪交织、形式多样。检察机关应当把握公民个人信息“可识别特定自然人身份或者反映特定自然人活动情况”的标准,准确提炼出关键性的识别要素,如家庭住址、电话号码、姓名等,对信息数据有效甄别。对包含上述信息的认定为有效的公民个人信息,以准确认定信息数量。

 【相关规定】

  《中华人民共和国刑法》第二百五十三条之一

  《中华人民共和国网络安全法》第四十一条、第四十二条

  《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条、第二条、第三条、第四条、第十一条



【国家标准】

《信息安全技术  个人信息安全规范》(GB/T 35273-2020)

左右滑动查看


【法律适用答复、复函】

《最高人民法院研究室关于侵犯公民个人信息罪有关法律适用问题征求意见的复函》(法研〔2018〕11 号)

最高人民检察院法律政策研究室:

贵室《关于侵犯公民个人信息罪有关法律适用问题的征求意见函》(高检研函字〔2018〕1 号)收悉。经研究,原则赞同刑法第二百五十三条之一规定的“公民个人信息”,既包括中国公民的个人信息,也包括外国公民和其他无国籍人的个人信息。主要考虑:

(1)从刑法用语看,刑法第二百五十三条之一规定的是“公民个人信息”,并未限定为“中华人民共和国公民的个人信息”,因此不应将此处的“公民个人信息”限制为中国公民的个人信息。

(2)从立法精神看,外国人、无国籍人的信息应当同中国公民的信息一样受到刑法的平等保护。

(3)从司法实践看,将外籍人、无国籍人个人信息排除在刑法保护之外,会放纵犯罪。特别是在侵犯公民个人信息犯罪案件所涉及的个人信息既有中国公民的个人信息,也有外国公民、无国籍人的个人信息时,只处罚涉及中国公民个人信息的部分,既不合理,也难操作。


另,鉴于刑法修正和《最高人民法院、最高人民检察院关于办理扰乱无线电通讯管理秩序等刑事案件适用法律若干问题的解释》(法释〔2017〕11号)发布,《最高人民法院研究室关于非法生产、销售、使用“伪基站”行为定性的复函》未予收录。


【办案指引】

《检察机关办理侵犯公民个人信息案件指引》(高检发侦监字〔2018〕13号)

根据《中华人民共和国刑法》第二百五十三条之一的规定,侵犯公民个人信息罪是指违反国家有关规定,向他人出售、提供公民个人信息,或者通过窃取等方法非法获取公民个人信息,情节严重的行为。结合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)(以下简称《解释》),办理侵犯公民个人信息案件,应当特别注意以下问题:一是对“公民个人信息”的审查认定;二是对“违反国家有关规定”的审查认定;三是对“非法获取”的审查认定;四是对“情节严重”和“情节特别严重”的审查认定;五是对关联犯罪的审查认定。

 一、审查证据的基本要求

  (一)审查逮捕

  1. 有证据证明发生了侵犯公民个人信息犯罪事实

  (1)证明侵犯公民个人信息案件发生

  主要证据包括:报案登记、受案登记、立案决定书、破案经过、证人证言、被害人陈述、犯罪嫌疑人供述和辩解以及证人、被害人提供的短信、微信或QQ截图等电子数据。

  (2)证明被侵犯对象系公民个人信息

  主要证据包括:扣押物品清单、勘验检查笔录、电子数据、司法鉴定意见及公民信息查询结果说明、被害人陈述、被害人提供的原始信息资料和对比资料等。

  2. 有证据证明侵犯公民个人信息行为是犯罪嫌疑人实施的

  (1)证明违反国家有关规定的证据:犯罪嫌疑人关于所从事的职业的供述、其所在公司的工商注册资料、公司出具的犯罪嫌疑人职责范围说明、劳动合同、保密协议及公司领导、同事关于犯罪嫌疑人职责范围的证言等。

  (2)证明出售、提供行为的证据:远程勘验笔录及QQ、微信等即时通讯工具聊天记录、论坛、贴吧、电子邮件、手机短信记录等电子数据,证明犯罪嫌疑人通过上述途径向他人出售、提供、交换公民个人信息的情况。公民个人信息贩卖者、提供者、担保交易人及购买者、收受者的证言或供述,相关银行账户明细、第三方支付平台账户明细,证明出售公民个人信息违法所得情况。此外,如果犯罪嫌疑人系通过信息网络发布方式提供公民个人信息,证明该行为的证据还包括远程勘验笔录、扣押笔录、扣押物品清单、对手机、电脑存储介质、云盘、FTP等的司法鉴定意见等。

  (3)证明犯罪嫌疑人或公民个人信息购买者、收受者控制涉案信息的证据:搜查笔录、扣押笔录、扣押物品清单,对手机、电脑存储介质等的司法鉴定意见等,证实储存有公民个人信息的电脑、手机、U盘或者移动硬盘、云盘、FTP等介质与犯罪嫌疑人或公民个人信息购买者、收受者的关系。犯罪嫌疑人供述、辨认笔录及证人证言等,证实犯罪嫌疑人或公民个人信息购买者、收受者所有或实际控制、使用涉案存储介质。

  (4)证明涉案公民个人信息真实性的证据:被害人陈述、被害人提供的原始信息资料、公安机关或相关单位出具的涉案公民个人信息与权威数据库内信息同一性的比对说明。针对批量的涉案公民个人信息的真实性问题,根据《解释》精神,可以根据查获的数量直接认定,但有证据证明信息不真实或重复的除外。

  (5)证明违反国家规定,通过窃取、购买、收受、交换等方式非法获取公民个人信息的证据:主要证据与上述以出售、提供方式侵犯公民个人信息行为的证据基本相同。针对窃取的方式如通过技术手段非法获取公民个人信息的行为,需证明犯罪嫌疑人实施上述行为,除被害人陈述、犯罪嫌疑人供述和辩解外,还包括侦查机关从被害公司数据库中发现入侵电脑IP地址情况、从犯罪嫌疑人电脑中提取的侵入被害公司数据的痕迹等现场勘验检查笔录,以及涉案程序(木马)的司法鉴定意见等。

  3. 有证据证明犯罪嫌疑人具有侵犯公民个人信息的主观故意

  (1)证明犯罪嫌疑人明知没有获取、提供公民个人信息的法律依据或资格,主要证据包括:犯罪嫌疑人的身份证明、犯罪嫌疑人关于所从事职业的供述、其所在公司的工商资料和营业范围、公司关于犯罪嫌疑人的职责范围说明、公司主要负责人的证人证言等。

  (2)证明犯罪嫌疑人积极实施窃取、出售、提供、购买、交换、收受公民个人信息的行为,主要证据除了证人证言、犯罪嫌疑人供述和辩解外,还包括远程勘验笔录、手机短信记录、即时通讯工具聊天记录、电子数据司法鉴定意见、银行账户明细、第三方支付平台账户明细等。

  4. 有证据证明“情节严重”或“情节特别严重”

  (1)公民个人信息购买者或收受者的证言或供述。

  (2)公民个人信息购买、收受公司工作人员利用公民个人信息进行电话或短信推销、商务调查等经营性活动后出具的证言或供述。

  (3)公民个人信息购买者或者收受者利用所获信息从事违法犯罪活动后出具的证言或供述。

  (4)远程勘验笔录、电子数据司法鉴定意见书、最高人民检察院或公安部指定的机构对电子数据涉及的专门性问题出具的报告、公民个人信息资料等。证明犯罪嫌疑人通过即时通讯工具、电子邮箱、论坛、贴吧、手机等向他人出售、提供、购买、交换、收受公民个人信息的情况。

  (5)银行账户明细、第三方支付平台账户明细。

  (6)死亡证明、伤情鉴定意见、医院诊断记录、经济损失鉴定意见、相关案件起诉书、判决书等。

  (二)审查起诉

  除审查逮捕阶段证据审查基本要求之外,对侵犯公民个人信息案件的审查起诉工作还应坚持“犯罪事实清楚,证据确实、充分”的标准,保证定罪量刑的事实都有证据证明;据以定案的证据均经法定程序查证属实;综合全案证据,对所认定的事实已排除合理怀疑。

  1. 有确实充分的证据证明发生了侵犯公民个人信息犯罪事实。该证据与审查逮捕的证据类型相同。

  2. 有确实充分的证据证明侵犯公民个人信息行为是犯罪嫌疑人实施的

  (1)对于证明犯罪行为是犯罪嫌疑人实施的证据审查,需要结合《解释》精神,准确把握对“违反国家有关规定”“出售、提供行为”“窃取或以其他方法”的认定。

  (2)对证明违反国家有关规定的证据审查,需要明确国家有关规定的具体内容,违反法律、行政法规、部门规章有关公民个人信息保护规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。

  (3)对证明出售、提供行为的证据审查,应当明确“出售、提供”包括在履职或提供服务的过程中将合法持有的公民个人信息出售或者提供给他人的行为:向特定人提供、通过信息网络或者其他途径发布公民个人信息、未经被收集者同意,将合法收集的公民个人信息(经过处理无法识别特定个人且不能复原的除外)向他人提供的,均属于刑法第二百五十三条之一规定的“提供公民个人信息”。应当全面审查犯罪嫌疑人所出售提供公民个人信息的来源、途经与去向,对相关供述、物证、书证、证人证言、被害人陈述、电子数据等证据种类进行综合审查,针对使用信息网络进行犯罪活动的,需要结合专业知识,根据证明该行为的远程勘验笔录、扣押笔录、扣押物品清单、电子存储介质、网络存储介质等的司法鉴定意见进行审查。

  (4)对证明通过窃取或以其他非法方法获取公民个人信息等方式非法获取公民个人信息的证据审查,应当明确“以其他方法获取公民个人信息”包括购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的行为。

  针对窃取行为,如通过信息网络窃取公民个人信息,则应当结合犯罪嫌疑人供述、证人证言、被害人陈述,着重审查证明犯罪嫌疑人侵入信息网络、数据库时的IP地址、MAC地址、侵入工具、侵入痕迹等内容的现场勘验检查笔录以及涉案程序(木马)的司法鉴定意见等。

  针对购买、收受、交换行为,应当全面审查购买、收受、交换公民个人信息的来源、途经、去向,结合犯罪嫌疑人供述和辩解、辨认笔录、证人证言等证据,对搜查笔录、扣押笔录、扣押物品清单、涉案电子存储介质等司法鉴定意见进行审查,明确上述证据同犯罪嫌疑人或公民个人信息购买、收受、交换者之间的关系。

  针对履行职责、提供服务过程中收集公民个人信息的行为,应当审查证明犯罪嫌疑人所从事职业及其所负职责的证据,结合法律、行政法规、部门规章等国家有关公民个人信息保护的规定,明确犯罪嫌疑人的行为属于违反国家有关规定,以其他方法非法获取公民个人信息的行为。

  (5)对证明涉案公民个人信息真实性证据的审查,应当着重审查被害人陈述、被害人提供的原始信息资料、公安机关或其他相关单位出具的涉案公民个人信息与权威数据库内信息同一性的对比说明。对批量的涉案公民个人信息的真实性问题,根据《解释》精神,可以根据查获的数量直接认定,但有证据证明信息不真实或重复的除外。

  3. 有确实充分的证据证明犯罪嫌疑人具有侵犯公民个人信息的主观故意

  (1)对证明犯罪嫌疑人主观故意的证据审查,应当综合审查犯罪嫌疑人的身份证明、犯罪嫌疑人关于所从事职业的供述、其所在公司的工商资料和营业范围、公司关于犯罪嫌疑人的职责范围说明、公司主要负责人的证人证言等,结合国家公民个人信息保护的相关规定,夯实犯罪嫌疑人在实施犯罪时的主观明知。

  (2)对证明犯罪嫌疑人积极实施窃取或者以其他方法非法获取公民个人信息行为的证据审查,应当结合犯罪嫌疑人供述、证人证言,着重审查远程勘验笔录、手机短信记录、即时通讯工具聊天记录、电子数据司法鉴定意见、银行账户明细、第三方支付平台账户明细等,明确犯罪嫌疑人在实施犯罪时的积极作为。

  4. 有确实充分的证据证明“情节严重”或“情节特别严重”。该证据与审查逮捕的证据类型相同。 

二、需要特别注意的问题

  在侵犯公民个人信息案件审查逮捕、审查起诉中,要根据相关法律、司法解释等规定,结合在案证据,重点注意以下问题:

  (一)对“公民个人信息”的审查认定

  根据《解释》的规定,公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。经过处理无法识别特定自然人且不能复原的信息,虽然也可能反映自然人活动情况,但与特定自然人无直接关联,不属于公民个人信息的范畴。

  对于企业工商登记等信息中所包含的手机、电话号码等信息,应当明确该号码的用途。对由公司购买、使用的手机、电话号码等信息,不属于个人信息的范畴,从而严格区分“手机、电话号码等由公司购买,归公司使用”与“公司经办人在工商登记等活动中登记个人电话、手机号码”两种不同情形。

  (二)对“违反国家有关规定”的审查认定

  《中华人民共和国刑法修正案(九)》将原第二百五十三条之一的“违反国家规定”修改为“违反国家有关规定”,后者的范围明显更广。根据刑法第九十六条的规定,“国家规定”仅限于全国人大及其常委会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。而“国家有关规定”还包括部门规章,这些规定散见于金融、电信、交通、教育、医疗、统计、邮政等领域的法律、行政法规或部门规章中。

  (三)对“非法获取”的审查认定

  在窃取或者以其他方法非法获取公民个人信息的行为中,需要着重把握“其他方法”的范围问题。“其他方法”,是指“窃取”以外,与窃取行为具有同等危害性的方法,其中,购买是最常见的非法获取手段。侵犯公民个人信息犯罪作为电信网络诈骗的上游犯罪,诈骗分子往往先通过网络向他人购买公民个人信息,然后自己直接用于诈骗或转发给其他同伙用于诈骗,诈骗分子购买公民个人信息的行为属于非法获取行为,其同伙接收公民个人信息的行为明显也属于非法获取行为。同时,一些房产中介、物业管理公司、保险公司、担保公司的业务员往往与同行通过QQ、微信群互相交换各自掌握的客户信息,这种交换行为也属于非法获取行为。此外,行为人在履行职责、提供服务过程中,违反国家有关规定,未经他人同意收集公民个人信息,或者收集与提供的服务无关的公民个人信息的,也属于非法获取公民个人信息的行为。

  (四)对“情节严重”和“情节特别严重”的审查认定

  1. 关于“情节严重”的具体认定标准,根据《解释》第五条第一款的规定,主要涉及五个方面:

  (1)信息类型和数量。①行踪轨迹信息、通信内容、征信信息、财产信息,此类信息与公民人身、财产安全直接相关,数量标准为五十条以上,且仅限于上述四类信息,不允许扩大范围。对于财产信息,既包括银行、第三方支付平台、证券期货等金融服务账户的身份认证信息(一组确认用户操作权限的数据,包括账号、口令、密码、数字证书等),也包括存款、房产、车辆等财产状况信息。②住宿信息、通信记录、健康生理信息、交易信息等可能影响公民人身、财产安全的信息,数量标准为五百条以上,此类信息也与人身、财产安全直接相关,但重要程度要弱于行踪轨迹信息、通信内容、征信信息、财产信息。对“其他可能影响人身、财产安全的公民个人信息”的把握,应当确保所适用的公民个人信息涉及人身、财产安全,且与“住宿信息、通信记录、健康生理信息、交易信息”在重要程度上具有相当性。③除上述两类信息以外的其他公民个人信息,数量标准为五千条以上。

  (2)违法所得数额。对于违法所得,可直接以犯罪嫌疑人出售公民个人信息的收入予以认定,不必扣减其购买信息的犯罪成本。同时,在审查认定违法所得数额过程中,应当以查获的银行交易记录、第三方支付平台交易记录、聊天记录、犯罪嫌疑人供述、证人证言综合予以认定,对于犯罪嫌疑人无法说明合法来源的用于专门实施侵犯公民个人信息犯罪的银行账户或第三方支付平台账户内资金收入,可综合全案证据认定为违法所得。

  (3)信息用途。公民个人信息被他人用于违法犯罪活动的,不要求他人的行为必须构成犯罪,只要行为人明知他人非法获取公民个人信息用于违法犯罪活动即可。

  (4)主体身份。如果行为人系将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的,涉案信息数量、违法所得数额只要达到一般主体的一半,即可认为“情节严重”。

  (5)主观恶性。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的,即可认为“情节严重”。

  2. 关于“情节特别严重”的认定标准,根据《解释》,主要分为两类:一是信息数量、违法所得数额标准。二是信息用途引发的严重后果,其中造成人身伤亡、经济损失、恶劣社会影响等后果,需要审查认定侵犯公民个人信息的行为与严重后果间存在因果关系。

  对于涉案公民个人信息数量的认定,根据《解释》第十一条,非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算;向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算;对批量出售、提供公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。在实践中,如犯罪嫌疑人多次获取同一条公民个人信息,一般认定为一条,不重复累计;但获取的该公民个人信息内容发生了变化的除外。

  对于涉案公民个人信息的数量、社会危害性等因素的审查,应当结合刑法第二百五十三条和《解释》的规定进行综合审查。涉案公民个人信息数量极少,但造成被害人死亡等严重后果的,应审查犯罪嫌疑人行为与该后果之间的因果关系,符合条件的,可以认定为实施《解释》第五条第一款第十项“其他情节严重的情形”的行为,造成被害人死亡等严重后果,从而认定为“情节特别严重”。如涉案公民个人信息数量较多,但犯罪嫌疑人仅仅获取而未向他人出售或提供,则可以在认定相关犯罪事实的基础上,审查该行为是否符合《解释》第五条第一款第三、四、五、六、九项及第二款第三项的情形,符合条件的,可以分别认定为“情节严重”“情节特别严重”。

  此外,针对为合法经营活动而购买、收受公民个人信息的行为,在适用《解释》第六条的定罪量刑标准时须满足三个条件:一是为了合法经营活动,对此可以综合全案证据认定,但主要应当由犯罪嫌疑人一方提供相关证据;二是限于普通公民个人信息,即不包括可能影响人身、财产安全的敏感信息;三是信息没有再流出扩散,即行为方式限于购买、收受。如果将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准应当适用《解释》第五条的规定。

  (五)对关联犯罪的审查认定

  对于侵犯公民个人信息犯罪与电信网络诈骗犯罪相交织的案件,应严格按照《最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》(法发〔2016〕32号)的规定进行审查认定,即通过认真审查非法获取、出售、提供公民个人信息的犯罪嫌疑人对电信网络诈骗犯罪的参与程度,结合能够证实其认知能力的学历文化、聊天记录、通话频率、获取固定报酬还是参与电信网络诈骗犯罪分成等证据,分析判断其是否属于诈骗共同犯罪、是否应该数罪并罚。

  根据《解释》第八条的规定,设立用于实施出售、提供或者非法获取公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪;同时构成侵犯公民个人信息罪的,应当认定为侵犯公民个人信息罪。

  对于违反国家有关规定,采用技术手段非法侵入合法存储公民个人信息的单位数据库窃取公民个人信息的行为,也符合刑法第二百八十五条第二款非法获取计算机信息系统数据罪的客观特征,同时触犯侵犯公民个人信息罪和非法获取计算机信息系统数据罪的,应择一重罪论处。

  此外,针对公安民警在履行职责过程中,违反国家有关规定,查询、提供公民个人信息的情形,应当认定为“违反国家有关规定,将在履行职责或者提供服务过程中以其他方法非法获取或提供公民个人信息”。但同时,应当审查犯罪嫌疑人除该行为之外有无其他行为侵害其他法益,从而对可能存在的其他犯罪予以准确认定。 

 三、社会危险性及羁押必要性审查

  (一)审查逮捕

  1. 犯罪动机:一是出售牟利;二是用于经营活动;三是用于违法犯罪活动。犯罪动机表明犯罪嫌疑人主观恶性,也能证明犯罪嫌疑人是否可能实施新的犯罪。

  2. 犯罪情节。犯罪嫌疑人的行为直接反映其人身危险性。具有下列情节的侵犯公民个人信息犯罪,能够证实犯罪嫌疑人主观恶性和人身危险性较大,实施新的犯罪的可能性也较大,可以认为具有较大的社会危险性:一是犯罪持续时间较长、多次实施侵犯公民个人信息犯罪的;二是被侵犯的公民个人信息数量或违法所得巨大的;三是利用公民个人信息进行违法犯罪活动的;四是犯罪手段行为本身具有违法性或者破坏性,即犯罪手段恶劣的,如骗取、窃取公民个人信息,采取胁迫、植入木马程序侵入他人计算机系统等方式非法获取信息。

  犯罪嫌疑人实施侵犯公民个人信息犯罪,不属于“情节特别严重”,系初犯,全部退赃,并确有悔罪表现的,可以认定社会危险性较小,没有逮捕必要。

  (二)审查起诉

  在审查起诉阶段,要结合侦查阶段取得的事实证据,进一步引导侦查机关加大捕后侦查力度,及时审查新证据。在羁押期限届满前对全案进行综合审查,对于未达到逮捕证明标准的,撤销原逮捕决定。

  经羁押必要性审查,发现犯罪嫌疑人具有下列情形之一的,应当向办案机关提出释放或者变更强制措施的建议:

  1. 案件证据发生重大变化,没有证据证明有犯罪事实或者犯罪行为系犯罪嫌疑人、被告人所为的。

  2. 案件事实或者情节发生变化,犯罪嫌疑人、被告人可能被判处拘役、管制、独立适用附加刑、免予刑事处罚或者判决无罪的。

  3. 继续羁押犯罪嫌疑人、被告人,羁押期限将超过依法可能判处的刑期的。

  4. 案件事实基本查清,证据已经收集固定,符合取保候审或者监视居住条件的。

  经羁押必要性审查,发现犯罪嫌疑人、被告人具有下列情形之一,且具有悔罪表现,不予羁押不致发生社会危险性的,可以向办案机关提出释放或者变更强制措施的建议:

  1. 预备犯或者中止犯;共同犯罪中的从犯或者胁从犯。

  2. 主观恶性较小的初犯。

  3. 系未成年人或者年满七十五周岁的人。

  4. 与被害方依法自愿达成和解协议,且已经履行或者提供担保的。

  5. 患有严重疾病、生活不能自理的。

  6. 系怀孕或者正在哺乳自己婴儿的妇女。

  7. 系生活不能自理的人的唯一扶养人。

  8. 可能被判处一年以下有期徒刑或者宣告缓刑的。

  9. 其他不需要继续羁押犯罪嫌疑人、被告人的情形。 




【刑参案例规则提炼】

谢新冲出售公民个人信息案———手机定位属于刑法保护的“公民个人信息”》(第741 号案例)所涉规则提炼如下:


手机定位信息的数量计算。“如果基于同一个人的申请,在相对固定的时间内(如一周、一个月或者一年)对同一部手机进行连续多次定位,可以计算为一条信息,但量刑时不应仅以一条信息而论,还必须考虑这种连续定位行为的危害性,体现与仅定位一次的区别。如果对手机定位后,经过一段时间再次对同一部手机进行定位,特别是申请定位人不是同一人时,则不宜计算为一条信息,可根据实际定位次数计算信息数量。”(第741号案例)


另,鉴于《刑法修正案(九)》对《刑法》第二百五十三条之一作了修正和法释〔2017〕10 号解释发布,《周建平非法获取公民个人信息案———非法购买公民电话通话清单后又出牟利的,如何定罪处罚》(第612号案例)、《周娟等非法获取公民个人信息案———非法获取大量公民个人信息的行为,如何定罪量刑》(第719 号案例)、《胡某等非法获取公民个人信息案———通过非法跟踪他人行踪所获取的公民日常活动信息是否属于公民个人信息以及如何理解非法获取公民个人信息罪中的“上述信息”“非法获取”以及“情节严重”》(第1009号案例)所涉规则未予提炼。

【司法疑难解析】

1.侵犯公民个人信息罪的对象范围。侵犯公民个人信息罪的对象为公民个人信息。从司法实务反映的情况来看,应当妥善处理如下几个问题:


(1)关于公民个人信息的外延。由于对隐私信息存在不同认识,对“公民个人信息”的界定回避了这一概念,将其定义为能够“识别自然人个人身份”的各种信息。此处显然使用的是广义的“身份识别信息”的概念,既包括狭义的身份识别信息(能够识别出特定自然人身份的信息),也包括体现特定自然人活动的信息(例1: 司法实践中常见的住宿记录、行踪轨迹信息等)。基于此,法释〔2017〕10 号解释第一条明确公民个人信息的外延包括身份识别信息和活动情况信息。


(2)关于公民个人公开信息案件的处理。公民个人信息不要求具有个人隐私的特征。即便相关信息已经公开,不属于个人隐私的范畴,但仍有可能成为“公民个人信息”。(例2:行为人从商贸网站和政府部门公开的企业信息网上搜集企业公开发布的信息,包括公司的名称、产品、经营行业、注册信息和公司法定代表人、联系人的姓名、职务、联系方式等。行为人将上述信息存入数据库,供他人付费查询使用。) 该案所涉及的自然人相关信息,虽然已经公开,不再具有隐私信息的特征,但仍然属于公民个人信息的范畴。然而,相关公民个人信息既然已经公开,获取行为无疑是合法的,但后续出售、提供的行为是否合法,是否构成侵犯公民个人信息罪,本评注主张区分情况处理:


对于自行公开的或者其他已经合法公开的个人信息,行为人获取相关信息后出售、提供的行为,一般不宜以侵犯公民个人信息罪论处。对于公开的个人信息,由于信息已经处于公开状况,获取无须征得同意,对此应无疑义;但是,在获取相关公开信息后进而提供的行为,是否需要取得“二次授权”(即在获取相关信息后,提供相关信息需要告知同意),则存在较大争议。《民法典》为这一争议问题作了明晰,即否定“二次授权”的规则。《民法典》第一千零三十六条规定:“处理个人信息,有下列情形之一的,行为人不承担民事责任:……(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外……”(《个人信息保护法》第十三条、第二十七条有类似规定)据此,对公开的个人信息的合理处理可以推定自然人概括同意,即除了“该自然人明确拒绝或者处理该信息侵害其重大利益的”情形外,不需要通知和征得该自然人或者其监护人同意。在处理相关刑事案件时,对于未通知并征得自然人同意而获取、提供公开的个人信息的案件,只要行为人的获取、提供行为处于“合理”限度之内,除证明该自然人明确拒绝或者相关获取、提供行为侵害了该自然人的重大利益的外,应当认为相关获取、提供的行为属于合法行为,不属于“违反国家有关规定”获取、提供公民个人信息的行为,更不应当认定为构成侵犯公民个人信息罪。此外,对于《民法典》第一千零三十六条第二项规定的“合理处理”的认定,应当采用相对宽泛的理解。原则上,只要法律、法规没有明确禁止的处理行为,均可以认定为“合理处理”,至少不能认定为犯罪。基于此,对例2 中的行为不以侵犯公民个人信息罪论处为宜。


对于非法公开的个人信息,行为人获取相关信息后出售、提供的行为,可以根据情况以侵犯公民个人信息罪论处。实践中,有些公开信息并非权利人自愿公开,如个人信息被他人通过信息网络或者其他途径发布;有些信息的扩散并非权利的人的意愿,如权利人发现个人信息被收集后主动要求行为人删除。上述情形中,获取相关信息的行为可以认定为合法,但后续的出售或者提供行为明显违背了权利人意愿,对其生活安宁造成侵犯,对其中情节严重的行为完全可以适用侵犯公民个人信息罪予以惩治。


(3)关于公民个人部分关联信息的认定。公民个人信息须与特定自然人关联,这是公民个人信息所具有的关键属性。需要注意的是,与特定自然人的关联,无论是识别特定自然人身份,还是反映特定自然人活动情况,都应当是能够单独或者与其他信息结合所具有的功能。例如,身份证号与公民个人身份一一对应,可以单独识别公民个人身份;而实践中常见的工作单位、家庭住址等公民个人信息,则通常难以单独识别公民个人身份,需要同其他信息结合才能识别公民个人身份。司法实务中的疑难问题是,对于不能单独识别特定自然人身份或者反映特定自然人的活动情况的部分关联信息中的哪些信息可以纳入“公民个人信息”的范畴,即公民个人信息所要求的可识别程度(与其他信息结合可以识别特定自然人的部分关联信息,无疑不能全部纳入“公民个人信息”的范畴。因为在大数据时代,就理论上而言,任何信息与其他足够多的信息相结合都可以识别特定自然人身份或者反映特定自然人的活动情况。所以,必须为可以纳入“公民个人信息”范畴的部分关联信息划定界限),实践中存在不同认识。[例3:行为人系医药代表,基于对医生给予回扣的目的,从医院计算机主管处非法获取了有关病床使用其负责销售的药品情况。相关信息只涉及病床号 (相应病床由特定医生负责) 和使用特定药品情况,无病人姓名、身份证号等其他个人信息]本评注主张,在司法适用中具体判断部分关联信息是否可以认定为“公民个人信息”时,可以如下三个方面加以判:A.信息本身的重要程度。如果涉案的信息与人身安全、财产安全密切相关,敏感程度较高,则认定该类信息是否属于“公民个人信息”可以采取相对宽泛的标准。B.需要结合的其他信息的程度。如果涉案信息本身与特定自然人的身份、活动情况关联程度高,需要结合的其他信息相对较少,则认定为“公民个人信息”的可能性较大;反之,如果需要结合的其他信息过多,则认定为“公民个人信息”的可能性较小。C.行为人主观目的。如果行为人主观上获取涉案信息就不需要识别特定自然人身份或者反映特定自然人活动情况,则此类部分关联信息原则上不宜认定为“公民个人信息”。按照以上原则,例3所涉信息不宜纳入“公民个人信息”的范畴。主要考虑如下:该案涉及的病床号、用药情况等信息本身与权利人的人身安全、财产安全关联不大,敏感性程度较低,将其认定为公民个人信息宜从严把握;该案涉及的病床号、用药情况等信息无法直接识别特定自然人,需要结合姓名等其他重要个人信息或者较多其他个人信息才能识别特定自然人;从行为人的主观目的来看,其就是想获取特定病床号的用药情况,至于该病床所关联的具体自然人并非其主观所追求的。


(4)关于IP 地址、设备ID 等信息[软件收集的用户终端数据一般分为三类:第一类是系统信息,即终端计算机操作系统和硬件系统的配置信息,包括用户的IP 地址、设备ID 等信息(被收集后可以用于精准广告投放);第二类是软件信息,即用户下载、购买和使用各种应用软件所涉及的信息,如杀毒软件对用户访问的网站进行云调查、对用户计算机上的新文件(包括下载、传输、拷贝等)进行自动扫描获取的信息;第三类是个人信息,即在使用中需要输入的姓名、地址等信息。目前,存在争议的主要是前两类信息]和cookie信息(cookie 是网站为了辨别用户身份、跟踪而储存在用户本地终端上的数据。网站可以利用cookie 跟踪统计用户访问网站的习惯,记录用户登录信息)等电子信息的归属。这一问题在实践中存在较大争议。以cookie信息为例,用户的cookie信息反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但是否属于公民个人信息存在不同认识。对于上述问题,本评注主张不作一概而论,应当根据案件具体情况作出判断。申言之,应当根据公民个人信息所有具有的“识别特定自然人身份或者反映特定自然人活动情况”这一关键属性,对上述信息是否属于公民个人信息作出判断。

2.侵犯供个人信息罪的定罪量刑标准。法释〔2017〕10号解释第五条至第七条对侵犯公民个人信息罪的定罪量刑标准作了明确。从司法实践适用上述定罪量刑标准的情况来看,本评注主张应当妥当把握公民个人敏感信息的范围。基于不同类型公民个人信息的重要程度,法释〔2017〕10号解释第五条分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准。对于侵犯公民个人敏感信息的行为之所以设置不同于一般公民个人信息的入罪标准,就在于敏感信息涉及人身安全和财产安全,其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。这是认定公民个人敏感信息应当考量的关键因素。整体而言,对于公民个人敏感信息的认定宜从严把握,严格限制其范围。对于行踪轨迹信息,只宜理解为手机定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息。行踪轨迹信息不等于涉及轨迹的信息,而应当理解为涉及轨迹的实时信息。广义上而言,涉及轨迹的信息范围较宽。(例4:行为人设立钓鱼网站,获取他人的12306 账户名和密码,进而获取了他人的火车票信息。火车票载明了姓名、车次、时间、起始站点等信息。) 行为人获取他人火车票信息后,可以根据火车票载明的信息判断出他人的行踪情况,但是,相关轨迹信息并非实时信息,故应当排除在行踪轨迹信息的范围之外。


而且,通常而言,敏感信息、特别是高度敏感信息的交易价格要远远高于一般公民个人信息。从实践来看,行踪轨迹信息直接涉及人身安全,敏感程度最高,就交易价格而言通常是最为昂贵的信息类型。与之类似,涉案信息的获取渠道也是判断敏感信息的重要因素。由于敏感信息直接涉及公民个人人身安全和财产安全,敏感程度高,获取的途径相对困难。对于可以批量获取的信息,由于获取相对容易,认定为敏感信息应当特别慎重。与行踪轨迹信息的认定类似,“财产信息”亦不等于“涉财产信息”,判断的关键为是否危及人身财产安全,辅之以信息获取渠道、交易价格、信息流向等考量因素。(例5:行为人从车辆管理机构工作人员处非法购买车辆信息,具体涉及车主、车辆型号、发动机号、联系电话等信息。行为人购买上述信息后,拨打车主电话推销车辆保险。)行为人获取的车辆相关信息确实较为具体,符合“财产信息”的一般特征,但行为人的主观目的就是为了推销车辆保险,并非用于实施针对人身或者财产的侵害行为,按照本评注的见解,对其适用一般公民个人信息的入罪标准更为妥当。同理,对于房地产中介等将房产信息非法提供给装修公司,主要用于推销业务,不太可能涉及侵犯人身、财产权利的,通常也不宜将相关信息纳入“财产信息”范畴。


3.非法持有和使用公民个人信息的处理。本评注主张:(1)将自己掌握的公民个人信息(包括合法获取或者非法获取的公民个人信息)非法使用的行为,不能直接依据《刑法》第二百五十三条之一的规定入罪,但并不意味着不能依据相关行为的刑事违法程度予以刑事惩治:如果行为人所掌握的公民个人信息系窃取或者以其他方法非法获取的,可以对非法获取行为适用侵犯公民个人信息罪;如果非法使用所掌握公民个人信息,实施诈骗、敲诈勒索等其他犯罪行为的,可以依据其他犯罪论处。(2)《刑法》第二百五十三条之一只是将非法获取、出售、提供公民个人信息的行为入罪,对于实践中业已出现的非法持有大量公民个人信息案件,如果根据在案证据,适当运用推定规则,证明涉案公民个人信息系非法获取或者用于非法出售、提供的,则可以适用侵犯公民个人信息罪定罪处罚。


4.公民个人信息的数量计算。根据法释〔2017〕10 号解释的规定,结合司法实践的情况,本评注主张对涉案公民个人信息的数量应当按照如下规则把握:


(1)公民个人信息的条数计算。关于公民个人信息的条数计算,司法解释未作专门规定。实践中可以综合考虑实践交易规则和习惯,准确认定公民个人信息的条数。例如,同一条信息涉及家庭住址、银行卡信息、电话号码等多类别个人信息,如果是按照一条公民个人信息来交易的,则往往会认定为一条公民个人信息。实际上,刑参第741号案例也主张对公民个人信息的数量认定按照实际情况区别对待、妥当计算。此外,有些情形下“一条”公民个人信息应当理解为“一组”公民个人信息。例如,公民个人的银行账户、支付结算帐户、证券期货等金融服务账户的身份认证信息,应当理解为一组确认用户操作权限的数据,包括账号、口令、密码、数字证书等,而非单个数据。


(2)针对同一对象非法获取公民信息后又出售或者提供,以及向不同对象出售或者提供公民个人信息的数量计算规则,应当分别按照法释〔2017〕10 号解释第十一条第一款、第二款的规定处理。


(3)对批量公民个人信息的条数,可以按照法释〔2017〕10 号解释第十一条第一款、第二款的规定认定,但是仍然应当要求作去重处理,对于明显重复的信息应当予以排除。此外,需要强调的是,对于敏感公民个人信息不宜适用该款规定,而应当逐一认定。主要考虑如下:其一,从司法实践来看,一般公民个人信息的价格相对较低,甚至不会按条计价,故要求逐一认定不具有可操作性;而公民个人敏感信息价格通常较高,通常按条计价,逐条认定不存在难题。其二,涉敏感信息的案件入罪标准较低,五十条或者五百条即达到入罪标准。为此,对于此类案件要求逐一认定敏感信息的数量,对于确保定罪量刑的准确,完全必要。

免责声明:本号所有资料均来源于网络、报刊等公开媒体及书籍,本文仅供参考。如需引用,请以正式文件为准。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存