最高法法官:侵犯公民个人信息罪的数量计算规则和量刑标准解释
涉案公民个人信息的数量计算规则
作者:喻海松
【解释条文】
第十一条非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。
向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。
对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
【条文主旨】
针对公民个人信息数量“计算难”的实际问题,《解释》第十一条专门规定了数量计算规则,特别是第三款确立了批量公民个人信息的数量认定规则。这对于方便司法实务操作,便利相关案件的办理,具有重要意义。
【条文释义】
一、公民个人信息的条数计算
关于公民个人信息的条数计算,特别是同一条信息涉及家庭住址、银行卡信息、电话号码等多类别个人信息,如果是按照一条公民个人信息来交易的,则往往会认定为一条公民个人信息。对此问题,实践中并无太大争议。但是,如果将这一规则在司法解释中明确规定,又可能会限缩司法裁量空间,难以兼顾复杂情况。故而,《解释》对此问题未作专门规定,实践中可以沿用上述做法,综合考虑实践交易规则和习惯,准确认定公民个人信息的条数。需要注意的是,有些情形下“一条”公民个人信息应当理解为“一组”公民个人信息。例如,公民个人的银行账户、支付结算账户、证券期货等金融服务账户的身份认证信息,应当理解为一组确认用户操作权限的数据,包括账号、口令、密码、数字证书等,而非单个数据。
对于实践中存在的针对同一对象非法获取公民信息后又出售或者提供的情形,则明显不宜先计算非法获取的公民个人信息数量、再计算出售或者提供的公民个人信息数量,故《解释》第十一条第一款规定:“非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。”此外,考虑到公民个人信息可能被重复出售或者提供,其社会危害性明显不同于向他人出售或者提供一次的情形,故而,《解释》第十一条第二款规定:“向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。”
二、批量公民个人信息的数量认定
从实践来看,除公民个人敏感信息外,涉案的公民个人信息动辄上万条甚至数十万条。此类案件中,不排除少数情况下存在信息重复,如针对同一对象并存“姓名+住址”“姓名+电话号码”“姓名+身份证号”等数条信息,但要求做到完全去重较为困难。此外,对于信息的真实性也难以一一核实。个别案件中,要求办案机关电话联系权利人核实公民个人信息的做法,明显不合适。有论者从体系解释、认识错误、法益等角度出发,认为侵犯公民个人信息罪的对象应当是真实的个人信息;从实体法与程序法的关系出发,认为公诉机关应当举证证明个人信息是真实的个人信息。以此为基础,对“逐一认定个人信息是否真实会消耗过多的司法资源”的观点进行批驳。参见叶小琴、赵忠东:《侵犯公民个人信息罪对象应当是真实的个人信息》,载《人民法院报》2017年2月15日第6版。本书认为,立足理论层面,抽象而言,上述观点无疑是合理的。但是,立足于实务层面,对于证据规则的具体应用无疑应当兼顾各类犯罪的具体情况。对于敏感公民个人信息,由于入罪门槛较低,实践中逐一核实信息的真实性,并无困难,实践中完全可以做到;但是对于其他公民个人信息、特别是在海量状态之下,要求逐一核实信息的真实性,实践中难以做到,故应允许适用推定规则。逐一核实信息的真实性,与运用推定规则认定信息的真实性,应当都是证明个人信息真实性的合适方法,只是基于案件实际情况作出的不同选择罢了。而且,推定规则的适用,并不意味着背离刑事诉讼的证据规则,更不意味着举证责任的转移。对此问题已有诸多论者加以阐释,兹不赘言。基于此,《解释》第十一条第三款规定:“对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。”需要注意的是,推定规则并不意味着举证责任的倒置,公诉机关仍然承担对公民个人信息数量的举证责任。基于此,对于批量公民个人信息仍然应当要求作去重处理,对于明显重复的信息应当予以排除。这从技术角度并不存在难题,且对于确保案件的质量大有裨益。
此外,需要强调的是,对于公民个人敏感信息不宜适用《解释》第十一条第三款的规定,而应当逐一认定。主要考虑如下:(1)从司法实践来看,一般公民个人信息的价格相对较低,甚至不会按条计价,故要求逐一认定不具有可操作性;而公民个人敏感信息价格通常较高,通常按条计价,逐条认定不存在难题。(2)涉敏感信息的案件入罪标准较低,五十条或者五百条即达到入罪标准。为此,对于此类案件要求逐一认定敏感信息的数量,对于确保定罪量刑的准确,完全必要。
侵犯公民个人信息定罪量刑标准的全面解释
作者:喻海松
最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释【2017】10号):第五条非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(二)造成重大经济损失或者恶劣社会影响的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。
第六条为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)利用非法购买、收受的公民个人信息获利五万元以上的;
(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;
(三)其他情节严重的情形。
实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。
第七条单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。
对上述定罪量刑标准的具体认定
一、“情节严重”的认定标准
(一)关于信息数量的标准
1、区分信息类型设置差异数量标准。侵犯公民个人信息罪的对象为公民个人信息,以公民个人信息的数量作为量化的标准,最能直接反映该罪的社会危害性。因此,应当根据非法获取、出售或者提供的公民个人信息数量设定入罪标准。实践中,公民个人信息的类型繁多,重要程度难以等量齐观。特别是,各类公民个人信息背后关联的法益存在较大差异,公民个人敏感信息涉及人身安全和财产安全,其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。因此,基于不同类型公民个人信息的重要程度,《解释》分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准,以实现罪责刑相适应。具体而言:
一是非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息。
韩世杰、旷源鸿、韩文华等侵犯公民个人信息案即是适例。2015年9月3日至4日,被告人韩世杰、旷源鸿、韩文华利用连光辉(湖北省巴东县农村商业银行沿渡河支行征信查询员)的征信查询ID号、密码及被告人李冲、耿健美(洛阳银行郑州东风路支行客户经理)提供的洛阳银行郑州东风路支行的银行专用网络,在该行附近使用电脑非法查询公民个人银行征信信息3万余条。2015年9月5日至6日,被告人韩世杰、旷源鸿、韩文华利用连光辉的征信查询ID号、密码及被告人李楠、卢惠生(德州银行滨州金廷支行行长)提供的德州银行滨州分行的银行专用网络,在该行南面的停车场内,使用电脑分两次非法查询公民个人银行征信信息2万余条。2015年9月8日,被告人韩世杰、旷源鸿、韩文华利用李涛(江苏省淮安市农村商业银行徐溜支行职工)的银行征信查询ID号及密码及被告人李楠、卢惠生提供的德州银行滨州分行专用网络,在该行南面的停车场内,使用电脑非法查询公民个人银行征信信息近3万条。被告人韩亮、邓佳勇获得征信查询ID号、密码并非法提供给被告人韩世杰等人使用,双方通过被告人陈莎莎中转租金、传递密码。被告人韩世杰、旷源鸿、韩文华将查询获得的上述公民个人银行征信信息出售给他人,向被告人韩亮、李冲、李楠支付了相关费用。湖北省巴东县人民法院判决认为:被告人韩世杰、旷源鸿、韩文华、韩亮、邓佳勇、李楠、陈莎莎、卢惠生、李冲、耿健美违反国家有关规定,非法获取公民个人信息出售牟利,情节严重,其行为已构成侵犯公民个人信息罪。综合考虑被告人自首、坦白、积极退赃等情节,以侵犯公民个人信息罪判处被告人韩世杰有期徒刑一年六个月,并处罚金人民币二万元;被告人旷源鸿有期徒刑一年三个月,并处罚金人民币二万元;被告人韩文华处有期徒刑一年二个月,并处罚金人民币一万元;被告人韩亮有期徒刑一年,并处罚金人民币一万元;以及其他各被告人相应有期徒刑、拘役和罚金。该判决已发生法律效力。、财产信息五十条以上的。行踪轨迹信息、通信内容、征信信息、财产信息与人身安全、财产安全直接相关,系高度敏感信息,《解释》第五条第一款第三项将入罪标准设置为“五十条以上”。需要注意的是,鉴于本项规定的入罪标准门槛较低,故此处严格限缩所涉公民个人信息的类型,仅限于行踪轨迹信息、通信内容、征信信息、财产信息四类信息,不允许司法适用中再通过等外解释予以扩大。对于行踪轨迹信息、通信内容、征信信息,司法实践中在认定上不存在争议。对于财产信息,可以根据案件具体情况把握:既包括银行账户、第三方支付结算账户、证券期货等金融服务账户的身份认证信息(一组确认用户操作权限的数据,包括账号、口令、密码、数字证书等),也包括存款、房产等财产状况信息。
二是非法获取、出售或者提供住宿信息。
丁亚光侵犯公民个人信息案就是适例。2013年底,一家为全国4500多家酒店提供网络服务的公司因系统存在安全漏洞,致使全国高达2000万条宾馆住宿记录泄露。2015年初至2016年6月,被告人丁亚光通过在不法网站下载的方式,非法获取宾馆住宿记录等公民个人信息,并上传至自己开办的“嗅密码”网站。该网站除了能够查询住宿记录外,还提供用户QQ、部分论坛账号及密码找回功能。其中住宿记录共有将近二千万条,用户经注册成为会员后,可以在网页“开房查询”栏目项下,以输入关键字姓名或身份证号的方式查询网站数据库中宾馆住宿记录(显示姓名、身份证号、手机号码、地址、住宿时间等信息)。丁亚光自2015年5月份左右开始对该网站采取注册会员方式收取费用60元/人,到2016年1月份上调到120元/人。2015年11月1日至2016年6月23日,“嗅密码”网站共有查询记录49698条,收取会员费19144092元。浙江省乐清市人民法院判决认为:被告人丁亚光非法获取住宿记录等公民个人信息后通过网站提供查询服务牟利,供查询的公民个人信息近二千万条,其行为已经构成侵犯公民个人信息罪,且属于“情节特别严重”。综合考虑退赃等情节,以侵犯公民个人信息罪判处被告人丁亚光有期徒刑三年,并处罚金人民币二万元。该判决已发生法律效力。、通信记录、健康生理信息、交易信息夏拂晓侵犯公民个人信息案即是适例。2015年10月至2016年7月,被告人夏拂晓买卖大量含有公民姓名、收货地址、手机号码等内容的网购订单信息,非法获利约5万元。被告人夏拂晓在归案后如实供述自己的罪行。浙江省绍兴市柯桥区人民法院判决认为:被告人夏拂晓违反国家有关规定,非法获取公民个人信息并向他人出售,情节严重,其行为已构成侵犯公民个人信息罪。综合考虑全案情节,以侵犯公民个人信息罪判处被告人夏拂晓有期徒刑二年,并处罚金人民币二千元。该判决已发生法律效力。等其他可能影响人身、财产安全的公民个人信息五百条以上的。上述公民个人信息虽然在重要程度上不及行踪轨迹信息、通信内容、征信信息、财产信息,但也与人身安全、财产安全直接相关,往往被用于精准诈骗等违法犯罪活动。基于此,《解释》第五条第一款第四项将入罪标准设置为“五百条以上”。需要注意的是,本项规定有“等其他可能影响人身、财产安全的公民个人信息”的表述,司法实践中可以根据具体情况作等外解释,但应当确保所适用的公民个人信息涉及人身、财产安全,且与“住宿信息、通信记录、健康生理信息、交易信息”在重要程度上具有相当性。
三是非法获取、出售或者提供一般公民个人信息五千条以上的。
从实践来看,除前述公民个人敏感信息外,出售、提供公民个人信息往往数量较大,动辄数万条甚至数十万条,在不少案件中甚至将公民个人信息编辑为电子文档后按兆出售。因此,不少地方对出售、提供公民个人信息的入罪掌握在数量五千条以上,基本上可以满足严厉打击此类犯罪的需要,且给行政处罚留有一定空间。当然,各地关于侵犯公民个人犯罪的数量入罪标准相差较大。例如,北方某市把握的标准是,出售、非法提供公民个人信息数量是500条,非法获取公民个人信息数量1000条;西南某市把握的标准是,出售公民个人信息数量无论条数多少,一律刑事拘留;华东某市把握的标准是,出售、非法提供公民个人信息5000条以上,非法获取10000条以上。基于此,《解释》第五条第一款第五项将非法获取、出售或者提供公民个人信息五千条以上的规定为“情节严重”。
此外,鉴于实践中存在混杂公民个人信息的情形,邵保明等侵犯公民个人信息案即涉及多种类型的公民个人信息。2016年初,被告人邵保明、康旭、王杰、陆洪阳分别以“大叔调查公司”的名义向他人出售公民个人信息,被告人倪江鸿不久后参与。五被告人通过在微信朋友圈发布出售个人户籍、车辆档案、手机定位、个人征信、旅馆住宿等各类公民个人信息的广告的方式寻找客户,接单后通过微信向上家购买信息或让其他被告人帮忙向上家购买信息后加价出售,每单收取10元至1000余元不等的费用。经查,被告人邵保明获利人民币26000元,被告人康旭获利人民币8000元,被告人倪江鸿、王杰、陆洪阳各获利人民币5000元。浙江省东阳市人民法院判决认为:被告人邵保明、康旭、倪江鸿、王杰、陆洪阳单独或伙同他人,违反国家有关规定,向他人出售公民个人信息,情节严重,其行为均已构成侵犯公民个人信息罪。综合考虑被告人的坦白、退赃等情节,以侵犯公民个人信息罪判处被告人邵保明有期徒刑一年三个月,并处罚金人民币八千元;被告人康旭有期徒刑一年,并处罚金人民币四千元;被告人倪江鸿、王杰、陆洪阳各有期徒刑十个月,并处罚金人民币二千元。该判决已发生法律效力。,《解释》第五条第一款第六项将“数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的”情形规定为“情节严重”。
2、公民个人敏感信息的具体认定。如前所述,基于不同类型公民个人信息的重要程度,《解释》第五条分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准。从司法实践来看,在具体案件中仍然存在对于相关数量标准适用的争议,集中表现为敏感信息的认定问题。有必要强调的是,对于侵犯公民个人敏感信息的行为之所以设置不同于一般公民个人信息的入罪标准,就在于敏感信息涉及人身安全和财产安全,其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。这是认定公民个人敏感信息应当考量的关键因素。
例如,行为人设立钓鱼网站,获取他人的12306账户名和密码,进而获取了他人的火车票信息。火车票载明了姓名、车次、时间、起始站点等信息。该案例的主要争议问题在于如何把握“行踪轨迹信息”的范围。从实践来看,行踪轨迹信息系直接涉及人身安全的公民个人信息,敏感程度最高。从交易价格来看,行踪轨迹信息通常是最为昂贵的信息类型。因此,《解释》第五条明确规定非法获取、出售或者提供行踪轨迹信息五十条以上的,即构成犯罪。鉴于行踪轨迹信息的入罪标准已极低,实践中宜严格把握其范围,只宜理解为GPS定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息。对于虽然也涉及公民个人轨迹的其他信息,通常不宜纳入其中。实践中不妨以信息的交易价格情况作为参考,判断是否可以纳入“行踪轨迹信息”的范畴。就上述案例而言,行为人获取他人火车票信息后,可以根据火车票载明的信息判断出他人的行踪情况,但根据前述原则,不宜将其认定为《解释》所称的“行踪轨迹信息”。
又如,行为人从车辆管理机构工作人员处非法购买车辆信息,具体涉及车主、车辆型号、发动机号、联系电话等信息。行为人购买上述信息后,拨打车主电话推销车辆保险。该案例的主要争议问题在于如何把握“财产信息”的范围。财产信息包括存款、房产等财产状况信息,对此应无疑义。本案中,行为人获取的车辆信息已较为具体,通常认定为“财产信息”亦无不当。但是,综合考虑本案的具体情况,本书还是主张将相关信息不认定为《解释》所称的“财产信息”。主要考虑如下:(1)如前所述,鉴于涉敏感信息的案件入罪门槛低,应当采用严格适用的立场,以控制打击面。(2)犯罪应当是主客观相统一的产物,坚持主客观相统一原则是刑法适用的基本要求。本案中,行为人获取的车辆相关信息确实较为具体,符合“财产信息”的一般特征,但行为人的主观目的就是为了推销车辆保险,并非用于实施针对人身或者财产的侵害行为,故对其适用一般公民个人信息的入罪标准更为妥当。
(二)关于违法所得数额的标准
出售或者非法提供公民个人信息往往是为了牟利,故应当以违法所得作为认定“情节严重”的情形之一。从司法实践来看,一般公民个人信息的价格相对较低,甚至不会按条计价,徐某某被害案涉及的公民个人信息交易即是例证。 2016年6月,犯罪嫌疑人杜某某通过渗透反序列关键字查询,发现山东省教育厅网站存有漏洞,遂通过上传木马提升权限的方式,窃取64万余条考生信息。陈某某与杜某某通过QQ群认识,以“2000元/1个市”的价格按地市购买数据,直至案发。据统计,陈某某先后11次从杜某某处购买10万余条山东省高考考生数据,共计花费14100元。周滨城等侵犯公民个人信息案亦是适例。2016年4月,被告人周滨城向他人购买浙江省学生信息193万余条。后被告人周滨城将其中100万余条嘉兴、绍兴地区的学生信息以6万余元的价格出售给被告人陈利青,将45655条嘉兴地区的学生信息以3500元的价格出售给被告人刘亚、陈俊、周红云,将7214条平湖地区的学生信息以1400元的价格出售,将2320条平湖地区的学生信息以500元的价格出售,共计非法获利65400元。此外,2016年4月,被告人刘亚、陈俊、周红云以3000元的价格向他人购买嘉兴地区学生信息25068条。浙江省平湖市人民法院判决认为:被告人周滨城、陈利青、刘亚、陈俊、周红云违反国家有关规定,向他人出售或者以购买的方法非法获取公民个人信息,数量分别为193万余条、100万余条、7万余条、7万余条、7万余条,其行为均已构成侵犯公民个人信息罪。综合考虑被告人自首、坦白等情节,以侵犯公民个人信息罪判处被告人周滨城有期徒刑一年十一个月,并处罚金人民币四万元;被告人陈利青有期徒刑十一个月,并处罚金人民币十万元;被告人刘亚、陈俊、周红云有期徒刑九个月至七个月不等、缓刑一年,并处罚金人民币五千元至四千元不等。该判决已发生法律效力。;而公民个人敏感信息价格通常较高,通常按条计价,特别是行踪轨迹信息可以谓之为最为昂贵的信息类型例如,内蒙古奈曼公安机关侦破一起侵犯公民个人信息案,发现了一份交易“价格表”。在各类信息中,尤以手机定位数据最为昂贵,价格表显示,联通定位200元/次,移动定位350元/次,电信定位价格最高,达到400元/次。手机定位服务包括卫星图和平面图,定位精度在几十米至几百米范围之内。参见《内蒙古奈曼破获一起公民个人信息被侵犯案各类信息中手机定位数据最为昂贵》,载《法制日报》2016年10月20日第8版。而据山东菏泽警方向记者展示的一份中间商的“价格表”,联通定位270元/次,电信定位450元/次,移动定位580元/次。手机定位服务甚至可以“包天”“包月”,平均下来,一天的价格在两三千元左右,包括卫星图和平面图,定位精度在几十米至几百米之内。参见《斩断上游:山东警方破获侵犯公民个人信息大案》,载《人民公安报》2016年9月26日第4版。。考虑到各项规定之间的均衡,《解释》第五条第一款第七项将违法所得五千元以上的规定为“情节严重”。
从司法实践来看,具体案件中对“违法所得”的认定存在较大争议。例如,行为人花费五千元购买公民个人信息,进而进行了加工整理。此后,行为人将上述公民个人信息以八千元的价格出售给他人。该案例的主要争议问题在于违法所得是否需要扣除成本的问题。这并非侵犯公民个人信息犯罪所特有的问题,在其他刑事案件中同样存在。对此,有观点认为违法所得应当扣除五千元的购买成本,即认定为三千元;有观点则认为违法所得不应当扣除五千元的购买成本,即认定为八千元。本书赞同后一种观点,即对于此处的“违法所得”不应扣除成本。主要考虑如下:(1)刑法中的“违法所得”,一般是指犯罪分子因实施违法犯罪活动而取得的全部财物。本案中,行为人非法出售公民个人信息,获得了八千元的对价,将其认定为违法所得,并无不妥。(2)从以往司法解释、规范性文件的规定来看,对于实践中需要资质的经营活动,行为人由于缺乏资质而构成非法经营罪等犯罪的,通常会区分“违法所得数额”与“非法经营数额”。此种情形下,自然不应将二者混同,对于违法所得数额的认定当然应当扣除成本。然而,对于实践中根本不允许存在的活动,构成相应犯罪的,通常只有“违法所得”而非“非法经营数额”的标准。对于后一种情形,则不应当再扣除成本。非法出售、提供公民个人信息即是适例,其本身就是法律所禁止从事的活动,不存在合法经营的情形,故《解释》只设置了“违法所得”标准。按照上述原则,对于此处的“违法所得”不应再扣除成本。
(三)关于信息用途的标准
通常而言,非法获取公民个人信息,绝不仅是为了占有,而是有特定用途、甚至用于违法犯罪。可以说,非法获取、出售或者提供公民个人信息,不仅严重危害公民的信息安全,而且极易引发多种犯罪,成为电信诈骗、网络诈骗以及滋扰型“软暴力”等新型犯罪的根源,甚至与绑架、敲诈勒索、暴力追债等犯罪活动相结合。例如,2015年11月以来,犯罪嫌疑人匡某、唐某通过非法渠道获取大量公民身份证及银行征信报告,纠集颜某、韦某等人利用上述征信报告信息伪造信用卡申请材料。随后,招募刘某、邓某等十余名办卡人员,指使其流窜至上海、杭州、广州、西安、武汉、重庆等地,向多家银行网点递交上述虚假申请材料骗领信用卡。该团伙收到银行核发的信用卡后,即通过银行自助语音开卡服务激活信用卡,再利用作案专用POS机刷取卡内资金,后由颜某、韦某等人通过ATM机取现赃款。至案发,该团伙共骗领银行卡300余张,被盗刷资金达400余万元。参见《个人信息泄露正为罪犯“开后门”》,载《青年报》2016年9月15日第7版。因此,此类行为引发的后果的严重程度,是认定“情节严重”与否的重要标准。被非法获取、出售或者提供的公民个人信息,用途存在不同,对权利人的侵害程度也会存在差异。如果涉案的公民个人信息被用于实施其他犯罪活动,使权利人的人身、财产安全陷入高风险状态或者造成实质危害的,对此应当直接认定为“情节严重”或者“情节特别严重”,以刑事手段加以规制;而如果涉案公民个人信息未被用于犯罪活动,则社会危害性相对较小,不宜直接以此作为刑事规制的依据。基于此,《解释》第五条第一款第二项将“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的”规定为“情节严重”。需要注意的是,实践中行为人明知出售或者提供的公民个人信息用于实施诈骗、非法拘禁等犯罪,仍然予以提供。但是,由于各种原因,对于后续获取公民个人信息的行为人实施的犯罪未能查实。例如,苏某多次以应聘网店运维的名义,将各网店存储的消费者公民个人信息出售给下游实施退款诈骗的犯罪分子。本案中,苏某对所出售的信息用于实施诈骗在主观上系明知,但其并不掌握购买者的身份,也无法联系到购买者,故下游犯罪事实无法查证。本书认为,对于苏某的行为应当认为符合《解释》第五条第一款第二项的规定。申言之,构成该项规定,除了下游犯罪查获的情形外,也包括通过在案证据认定出售或者提供者在主观上“知道或者应当知道他人利用公民个人信息事实犯罪”而予以出售或者提供,但未能查获下游犯罪的情形。从司法实践来看,行踪轨迹信息是最为敏感的公民个人信息。非法获取、出售或者提供该类信息,行为人主观上对可能被用于犯罪存在概括认识,《解释》第五条第一款第一项直接将“非法获取、出售或者提供行踪轨迹信息,被他人用于犯罪的”规定为“情节严重”,无须再具体判断主观上是否知道或者应当知道涉案信息被用于犯罪。
(四)关于主体身份的标准
据统计,公民个人信息的泄露案件中八成是来自于内部人员作案。参见《调查显示:个人信息泄露八成源于内部作案》,载《中国青年报》2012年4月19日第3版。诸多涉及公民个人信息买卖的案件中大多都可以见到“内部”人员参与的“影子”。国家机关或者金融、电信、交通、教育、医疗等单位的工作人员将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,是侵犯公民个人信息违法犯罪泛滥的重要原因所在。例如,2016年5月,山东菏泽警方成功破获一起网络侵犯公民个人信息大案,共查扣受侵犯公民个人信息200余万条,涉案资金达500余万元,抓获犯罪嫌疑人29名,其中包括22名中间商和7名“内鬼”(一手数据源头)。从此案中打掉的“内鬼”来看,相关部门、企事业单位自身在公民个人信息安全监管方面存在的漏洞令人触目惊心。犯罪嫌疑人甄某,系某商业银行客户经理,利用职务之便,以每条20元至40元的价格,长期向中间商提供个人征信信息以及本银行的客户资料,包括身份证号、信誉、卡号、开户日期、余额、名下账户数量等,可以跨区域查询,覆盖全国;犯罪嫌疑人陈某,系某通信公司软件工程师,利用职务之便私下向中间商贩卖数据库密码,使其能够直接访问数据库中全国范围内的手机定位、开户信息等数据;犯罪嫌疑人王某,系某快递公司苏州某仓库管理员,利用其掌握的系统账号,以每条数十元的价格,向中间商提供全国快递信息,包括收件人地址、电话等信息。参见《斩断上游:山东警方破获侵犯公民个人信息大案》,载《人民公安报》2016年9月26日第4版。
又如,2015年9月至2016年4月,被告人籍某某身为派出所民警,利用其在派出所工作的职务之便,使用已调离的前所长段某某的数字证书查询公安系统内公民个人信息3670余条,并通过微信向被告人李某某出售公民个人信息,非法获利共计19840元;被告人李某某将从籍某某处购买的公民个人信息出售给他人,非法获利42185元。2017年3月9日,河北省赵县人民法院分别以犯侵犯公民个人信息罪判处被告人籍某某、李某某有期徒刑一年,并处罚金五千元。
再如,2014年初至2016年7月,上海市疾控中心工作人员韩某利用其工作便利,登录系统查询并窃取上海疾控中心每月更新的全市新生婴儿信息共计30余万条,然后通过下属同事张某之手层层专卖非法牟利。上海市浦东新区人民法院以侵犯公民个人信息罪作出一审判决,对参与窃取、出售、收买的韩某、张某、范某、李某、黄某、王某、吴某、龚某8名被告人,分别判处有期徒刑二年三个月至七个月不等,罚金5000元至2000元不等。参见《上海新生婴儿信息贩卖案一审宣判2名原疾控中心工作人员及其他6名被告人获刑》,载《人民法院报》2017年2月10日第3版。
由于上述情形往往发生在公民个人信息交易的最初阶段,涉案信息的数量往往较少、价格相对低廉。此种情形下,如果不设置特殊标准,往往难以对此类源头行为予以刑事惩治。基于此,为贯彻落实刑法第二百五十三条之一第二款“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚”的规定,《解释》第五条第一款第八项对将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的情形认定为“情节严重”设置了特殊标准,规定此种情形下出售或者提供公民个人信息,认定“情节严重”的数量、数额标准减半计算。当然,对于此种情形,不宜再根据刑法第二百五十三条之一第二款的规定从重处罚,以免重复评价。
(五)关于主观恶性的标准
曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的,行为人屡罚屡犯、主观恶性大。故而,《解释》第五条第一款第九项将此种情形规定为“情节严重”。
二、“情节特别严重”的认定标准
《解释》第五条第二款主要从两个角度规定了“情节特别严重”的情形:
一是数量数额标准。基于司法实践中侵犯公民个人信息犯罪涉案的公民个人信息数量相差悬殊,跨度从几千条到几十万条(甚至更大数量)不等,将“情节特别严重”和“情节严重”之间的数量数额标准设置为十倍而非五倍的倍数关系。有论者通过对数据库收录的纯正网络犯罪的判决书进行全样本分析,指出司法解释设定的标准,不符合计算机犯罪的特点;只有当把“情节特别严重”的认定标准上调10~20倍以上,即数量或数额达到司法解释认定较大的50~100倍以上,才可以达到案件数量分布的正金字塔结构。参见石亚淙:《网络时代的刑法面孔——“网络犯罪的刑事立法与刑事司法前沿问题”学术研讨会综述》,载《人民检察》2016年第15期。实际上,传统犯罪的法定刑升档要件与基本要件之间的数量数额基本为三倍或者五倍的倍数关系,这一倍数设置惯例确实可能存在不适应网络犯罪态势的问题,在未来的司法实践中有必要作出调整。
二是严重后果标准。从实践来看,非法获取、出售或者提供公民个人信息,可能对个人造成危害,如造成人身伤亡、经济损失等。而且,公民个人信息除了具有的身份和经济价值之外,还具有一定的社会价值和战略价值。因此,非法获取、出售或者提供公民个人信息,也可能引发社会恐慌、造成恶劣社会影响,甚至因为信息泄露而危害国家安全。基于此,将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的”“造成重大经济损失或者恶劣社会影响的”规定为“情节特别严重”。
三、为合法经营活动购买、收受公民个人信息定罪量刑的特殊标准
从实践来看,购买、收受公民个人信息从事广告推销等活动的情形较为普遍。为了秉持刑法的谦抑性,体现宽严相济,《解释》第六条第一款规定:“为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的‘情节严重’:(一)利用非法购买、收受的公民个人信息获利五万元以上的;(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;(三)其他情节严重的情形。”这是《解释》针对为合法经营活动而购买、收受公民个人信息的行为设置的专门的定罪量刑标准。而且,考虑到此类行为社会危害性不大,即使构成犯罪,通常也不需要升档量刑,故只规定了“情节严重”的具体情形。
需要注意的是,适用该定罪量刑标准须满足三个条件:一是为了合法经营活动,对此可以综合全案证据认定,但主要应当由被告方提供相关证据;二是限于一般公民个人信息,即不包括可能影响人身、财产安全的敏感信息;三是信息没有再流出扩散,即行为方式限于购买、收受。根据《解释》第六条第二款的规定,如果将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准应当适用《解释》第五条的规定。对此应当注意的是,为了合法经营活动交换公民个人信息的,由于在获取信息的同时造成了信息扩散,不符合前述三个要件,定罪量刑标准亦应适用《解释》第五条的规定。
从司法实践来看,具体案件中对“获利”的认定存在较大争议。例如,行为人合法开办企业后,为了进行广告推销,花费五千元购买电话号码等个人信息。至案发时,行为人开办的企业收入十万元。该案例的主要争议问题在于获利数额是否需要扣除成本的问题。本书主张,对于《解释》第六条规定的“获利”数额不宜与第五条规定的“违法所得”数额混为一谈,前者应当扣除成本。主要考虑如下:
(1)《解释》第六条之所以对为合法经营活动购买、收受公民个人信息规定定罪量刑的特殊标准,就在于该类情形较为普遍,且社会危害性相对较小,故在具体适用刑法时应秉持谦抑,体现宽严相济。因此,在适用“利用非法购买、收受的公民个人信息获利五万元以上”规定时,自然应当体现控制打击面的精神。
(2)实践中,合法经营活动的获利情况十分复杂,有利用非法购买、收受的公民个人信息的因素,也有行为人合法经营的因素。在此背景下,自然应扣除成本计算获利数额。
四、侵犯公民个人信息单位犯罪的定罪量刑标准
根据刑法第二百五十三条之一第四款的规定,单位可以成为侵犯公民个人信息罪的主体。为切实加大对单位侵犯公民个人信息犯罪的惩治力度,《解释》第七条明确了单位实施侵犯公民个人信息犯罪的,适用自然人犯罪的定罪量刑标准,规定:“单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。”
来源:刑事实务
选自《侵犯公民个人信息罪司法解释理解与适用》书籍,喻海松编著(最高人民法院研究室法官)
推荐阅读
2.谁动了我的个人信息?——揭开网络侵犯公民个人信息黑色利益链