[收稿日期]2019-03-06
[作者简介]1.许乃娣(1994—),女,江苏沭阳人,中国政法大学刑事司法学院硕士研究生,研究方向为刑法学;2.肖
飒(1982—),女,山东济南人,北京大成律师事务所律师,硕士。
——
—以北京地区为例许乃娣1,肖飒2
(1.中国政法大学,北京100088;2.北京大成律师事务所,北京122000)
[摘要]近年来,大量的公民个人信息的泄露引发各种问题,轻则接收到各种莫名其妙的推销、骚扰信息,重则引发各类犯罪,例如电信、网络、合同、等犯罪。这些犯罪严重危害社会稳定,公民信息的保护也面临越来越严峻的环境和考验,尤其是在当今数字化的信息时代,如
何有效保护公民个人信息是一个紧迫的社会现实问题。所以,有必要基于案例,分析目前审判实践中该类刑事案件的基本特征以及存在的问题,并加以解决。
[关键词]侵犯;公民个人信息罪;
犯罪;判决[中图分类号]DF624
[文献标识码]A
[文章编号]1009-6566(2019)03-0077-07
一、侵犯公民个人信息罪的立法沿革
为了更加有效地保护公民个人信息的安全,有关国家机关也在不断推进立法工作,以彰显对公民个人信息保护的关注与重视,此点从各种法律文件的出台过程上就可以看出来。
如2009年2月28日,《刑法修正案(七)》在第二百五十三条之后增设出售、非法提供公民个人信息罪和非法获取公民个人信息罪作为第二百五十三条之一,将非法获取、出售、提供公民个人信息的行为纳入刑事规制范围。此条规定:①国家机关或者金融、
电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。②窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。③单位犯
前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
2012年12月28日,全国人大常委会通过《关于加强网络信息保护的决定》,全面规范公民个人
电子信息的保护,确立国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息的原则。规定任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。
2013年10月25日,全国人大常委会通过《关于修改〈中华人民共和国消费者权益保护法〉的决定》,强调消费者享有个人信息依法得到保护的权利,明确经营者收集、使用消费者个人信息的规则,并规定了侵害消费者个人信息的责任追究。
2015年8月29日,全国人大常委会通过
《刑法修正案(九)》,其中修改了刑法第二百五十三条之一,扩大了犯罪主体范围,即将本罪的特殊主体(即国家机关或者金融、电信、交通、教育、医疗等单位的工作人员)改为一般主体,并增设了从重处罚的规定。修改后
“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。条文内
侵害公民个人信息容为:①违反国家有关规定,
向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。②违反国家有关规定,将在履行职
天水行政学院学报2019年第3期(总第117期)
责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。③窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。④单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
2016年11月7日,《网络安全法》规定个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”,明确网络运营者处理个人信息的规则。
2017年3月15日,《民法总则》第一百一十一条明确个人信息受法律保护,确立个人信息的独立民事权利地位。规定了自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
2017年5月8日,两高联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,全面
系统规定侵犯公民个人信息罪的定罪量刑标准和相关法律适用问题。
2018年8月24日,最高人民检察院通过了《检察机关办理侵犯公民个人信息案件指引》,详细规定了在办理侵犯公民个人信息刑事案件时,应注意审查的要素。
二、侵犯公民个人信息罪的基本认定标准
侵犯公民个人信息罪,是刑法修改前的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”的整合。根据《刑法》第二百五十三条之一的规定,侵犯公民个人信息罪,是指违反国家有关规定,向他人出售、提供公民个人信息,或者以窃取及其他方法非法获取公民个人信息,情节严重的行为。
《、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)和《检察机关办理侵犯公民个人信息案件指引》(以下简称《指引》)对侵犯公民个人信息罪的构成要件要素的认定以及适用标准进行了较为明确的规定。
(一)“公民个人信息”的认定
根据该《解释》第一条和第三条的规定,“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证
件号码、通信通讯、住址、账号密码、财产状况、行踪轨迹等。但是经过处理无法识别特定个人且不能复原的信息,则不属于公民个人信息。
对于企业工商登记等信息中所包含的手机、电话号码等信息,应当明确该号码的用途。对由公司购买、使用的手机、电话号码等信息,不属于个人信息的范畴,从而严格区分“手机、电话号码等由公司购买,归公司使用”与“公司经办人在工商登记等活动中登记个人电话、手机号码”两种不同情形。
(二)“违反国家有关规定”的认定
在《刑法修正案(九)》修改前,本罪的前提是“违反国家规定”,后被修改为“违反国家有关规定”,前置法律规范范围明显扩大。根据《刑法》第九十六条,“违反国家规定”是指违反全国人大及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。而“违反国家有关规定”应该还包括部门规章。这些规定散见于金融、电信、交通、教育、医疗、统计、邮政等领域的法律、行政法规或部门规章中。
(三)“情节严重”的认定
根据《解释》第五条第1款的规定,“情节严重”的情形包括以下几个方面:
1.信息类型及数量。①非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以
上的;②非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等可能影响公民人身、财产安全的信息500条以上的;③非法获取、出售或者提供除上述两类信息以外的其他公民个人信息5000条以上的。
2.信息的用途。公民个人信息被他人用于违法犯罪活动的,不要求他人的行为必须构成犯罪,只要行为人明知他人非法获取公民个人信息用于违法犯罪活动即可。
3.主体身份。如果行为人系将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的,涉案信息数量、违法所得数额只要达到一般主体的一半,即可认为“情节严重”。
4.主观恶性。曾因侵犯公民个人信息受过刑事处罚或者2年内受过行政处罚,又非法获取、出售或者提供公民个人信息的,即可认为“情节严重”。
5.违法所得数额。违法所得5000元以上的为情节严重。
此外,针对为合法经营活动而非法购买、收受公
民个人信息(信息是除去行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、通信记录、健康生理信息、交易信息等以外的其他信息)的行为,具有下列情形之一的,应当认定“情节严重”:①利用非法购买、收受的公民个人信息获利5万元以上的;②曾因侵犯公民个人信息受过刑事处罚或者2年内受
过行政处罚,又非法购买、收受公民个人信息的;③其他情节严重的情形。
(四)“情节特别严重”的认定
根据《解释》第五条第2款的规定,“情节特别严重”包括以下几个方面:
1.信息数量及数额。①非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息500条以上的;②非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等可能影响公民人身、财产安全的信息5000条以上的;③非法获取、出售或者提供除上述两类信息以外的其他公民个人信息50000条以上的;④将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的,涉案信息数量、违法所得数额达到一般主体的一半的10倍以上的;⑤违法所得50000元以上的。
2.行为后果。行为造成被害人死亡、重伤、精神失常或者被等严重后果的,或者造成重大经济损失、恶劣社会影响的,为情节特别严重。
三、侵犯公民个人信息刑事案件的基本特征
笔者于Alpha系统上以侵犯公民信息罪为关键词,选择2013年至2018年为时间范围,限定北京地区,共检索到152份裁判文书,其中一审判决126份、二审判决/裁定24份、再审裁定2份。
(一)案件主要集中于海淀、丰台、朝阳及昌平四个区
在北京的一审126个案例中,海淀区(28个)、丰台区(26个)、朝阳区(20个)、昌平区(17个)四个区合计占比约72%,其余的分散于大兴区(9个)、顺义区(6个)、密云区(5个)、东城区(4个)、房山区(3个)、西城区(3个)、平谷区(2个)、延庆区(1个)、石景山区(1个)、通州区(1个)。可见案件主要集中于海淀、丰台、朝阳以及昌平四个区。
(二)以“非法获取”的方式侵犯公民个人信息问题突出
刑法第二百五十三条之一第3款规定了“窃取或者以其他方法非法获取公民个人信息”这一犯罪手段,这里的“其他方法”,是指以购买、收受、交换等方式或者在履行职责、提供服务过程中收集公民个人信息。其中,购买是最常见的非法获取方式,且大多是通过互联网“线上”购买,这与本文统计的数据相符。
在统计的案例中,侵犯公民个人信息罪的犯罪手段主要有以下几种:一是利用职务之便或在提供服务过程中将正当获取的公民个人信息出售或者提供给他人;二是通过互联网以向他人购买或以收受、互换等方式非法获取公民个人信息;三是利用技术手段侵入服务器非法获取公民个人信息;四是通过恶意程序或软件抓取公民个人信息;五是直接出售或者提供公民个人信息。
在一审的126个案件中,犯罪手段大多是以后第二种方式非法获取公民个人信息,占比达63%,主要是通过QQ、邮箱等方式进行交易。还有一种犯罪方式值得关注,那就是利用技术手段非法侵入他人系统或利用恶意程序、软件来非法获取个人信息,这类案件占比15%。随着信息科学技术的不断提高,加上
个人、部分公司企业对信息安全保护的意识薄弱,可能会出现越来越多的依托于新技术手段实施犯罪的案件。例如在“景某某等出售、非法提供公民个人信息案”中,几个被告人就是利用编写的脚本程序侵入竞争对手公司的服务器,窃取该公司客户的公民个人信息。在“余某某非法获取公民个人信息案”中,被告人余某某利用多家考试网站系统漏洞,使用专业软件分别侵入某国际教育公司服务器、某社工招录中心等多家数据库,非法获取报考人员信息三万余条。
还有一种犯罪方式也不容小觑,那就是公司内部有权限获取个人信息的人员,甚至是公职人员将在履行职责或提供服务过程中获取的个人信息出售或者非法提供给他人,这类案件占比达11%。能够接触到个人信息的行业大多是服务行业,比如房产中介、快递物流公司、小区物业、培训机构、保险、
担保
公司等,这些行业的人员需要公民个人信息来推广自己的业务,因此极容易滋生犯罪。
(三)犯罪目的大多是出售牟利、用于、开展业务
在市场经济活动中,各类市场主体对有关信息的了解、掌握是不同的,掌握信息比较充分的人员,往往处于比较有利的地位,而信息贫乏的人员,则处于比较不利的地位。为了争夺有限的市场资源,提高竞争力,那么收集潜在客户的个人信息可以为自己带来潜在的衍生价值。在这些案例中,不少犯罪主体是公司的业务员,甚至是公司的高层管理人员、法定代表人,为了拓展业务,争取客户而通过各种方式获取公民个人信息。在现实生活中,几乎每个手机用户都会收到推销电话,推销内容包括办贷款、买房、买保健品、买收藏品、投资理财等,也时常会收到短信,总会有人“上钩”。也有公职人员、金融机构的员工利用职务的便利将获取的公民个人信息出售给他人来谋取经济利益。例如在“李某某等侵犯公民个人信息案”中,被告人李某某是某地铁站的警务人员,多次受他人指使,违规通过北京市公安局内部系统查询、记录特定公民的个人信息九千余条,用来谋取非法经济利益。
在统计的案例中,行为人获取公民个人信息的用途主要包括以下几种:出售牟利、用于电话推销产品或服务、用于违法犯罪活动、用于开展公司业务。其中,公民个人信息被用于出售牟利的案例占比约32%;用于电话推销产品或服务的案件占比约24%;
用于开展公司业务的案件占比约18%;用于违法犯罪活动的案件占比4%;用于其他用途的案件(包括用于非法经营、合法经营、追讨债务、争夺客户、损害竞争对手商誉等)占比约22%。
四、侵犯公民个人信息刑事案件的判决情况
(一)一审判决情况
1.个人刑期。根据北京市检察院于2018年1月28日所作的工作报告,近五年来共起诉非法获取、出售公民个人信息等犯罪200人。这与我们统计的数据大体吻合。在统计的126个一审刑事判决中,共涉及186名自然人或单位。其中,绝大多数都是自然人犯罪,有169人,单位有4家,直接负责的主管人员有9人,其他直接负责人员有4人。除去4家单位犯罪,还剩182个自然人,从法院对个人判处的刑期来看,被判处缓刑的比例达36%,被判处1年以下(包括1年)有期徒刑(实刑)的比例达31%,被判处1年以上3年以下(包括3年)有期徒刑(实刑)的比例达21%。可见,有多数以上的被告人的刑期都在6个月以上至3年以下有期徒刑(实刑)及缓刑内,其余的刑期分布于拘役、3年以上(不含3年)至7年以下有期徒刑(实刑)以及单处罚金。
这些案例中很多被告人是基于发展公司业务,主观恶性较小,也并没有造成严重的后果,这也许是超过60%的被告人被法院判处的刑期是缓刑或者1年以下有期徒刑(实刑)的原因所在。
2.罚金数额。此外,从刑期分布可以看出,绝大部分被告人都会被并处罚金。据统计,只有3个案例中的被告人没有被判处罚金刑,其余的要么被并处罚金要么被单处罚金。这体现了法律对利用公民个人信息进行谋取非法利益这一行为的否定。在这些被告人中,罚金刑的数额标准也是不一。其中,罚金数额在5000元以下(含5000)的案件比例有58%,超过了一半;5000元至1万元之间的有
25%的比
例,因此大部分罚金数额都是在1万元以下;判处1万元以上罚金的比例较少。
3.审判程序。根据刑事诉讼法的规定,基层人民法院在审理案件时,可以根据案情选择适用简易程序或者普通程序,在2018年的《刑事诉讼法修正案》中,增添了刑事速裁程序,因此,在基层法院的一审程序中,法官可选择适用、速裁程序、简易程序、普通程序进行审理。在研究过程中,笔者发现一个比较明显的现象,就是超六成的法院在审理侵犯公民个人信息罪案件时,在一审中适用的是简易程序,因为案情比较简单,事实清楚、证据充分,也没有很大的争议点。据统计,一审适用简易程序的案例所占比例达62%,且其中大部分都是适用简易程序,实行独任审判;适用刑事速裁程序进行审理的案例占比6%;适用普通程序审理的案例占比32%。
(二)二审判决情况
一审中大部分案件适用的是简易程序和速裁程序,因此这也许是进入二审的侵犯公民个人信息案件并不多的原因。在统计的126个一审刑事判决中,上诉的案件为24个,占比19%。上诉人上诉的理由主要包括以下几种:①事实认定错误;②原判认定的公民个人信息数量不正确;③原判量刑过重。在24份二审判决中,维持原判的有19件,占比约80%;发回重审的有2件,占比8%,理由为事实不清、证据不足;撤回上诉的有2件,占比8%;改判的有1件,占比4%,二审法院考虑到上诉人的行为尚未造成严重后果,犯罪情节较轻,具有认罪、悔罪表现,适用缓刑不致再危害社会,因此改判行为人适用缓刑。
五、判例关注的重点问题
(一)信息数量的认定
根据上文,在上诉的理由中,有一条是对公民个人信息的数量认定有异议。根据司法解释的规定,只有能够识别到特定个人的信息才属于公民个人信息。在公民个人信息数量的认定中,司法机关会排除虚假、重复的信息,电话号码为空号的信息也会被排除。
例如,在“倪某非法获取公民个人信息案”中,被告人倪某是北京某公司的法定代表人,从他人手中非法获取公民个人信息用于公司联系客户推销保健品。经北京信诺司法鉴定所鉴定,被告人倪某计算机硬盘内提取、恢复出的公民个人信息共计590多万条,经排除重复后共计125万多条。最终,法院认定的涉案公民个人信息条数也是排除重复后的数量。
再如“张某侵犯公民个人信息案”,公诉机关指控被告人张某通过互联网多次购买公民个人信息,共计16万余条。被告人认可公诉机关指控的犯罪事实和罪名,但对公民个人信息鉴定的条数提出异议。他认为,应该核实16万多条信息是否均为真实信息,应该排除信息中的空号和虚假号码。后在庭审过程中,公诉机关经法院同意委托检察院司法鉴定中心工作人员对数据进行鉴定。经技术和人工排重、筛选之后得出公民个人信息(同时包含姓名和电话号码)条数为160308条的意见,法院采信了此结果,并据此得出“情节特别严重”的结论,做出了一审判决。后张某对一审判决不服,提出上诉,二审法院驳回其上诉,
维持原判。
(二)影响量刑的因素
2017年4月1日,修订后的《关于常见犯罪的量刑指导意见》(以下简称《意见》)开始实施。意见中对常见量刑情节的适用做了比较明确的规定,在侵犯公民个人信息案件中,法院考虑的
量刑情节主要以下几个方面:
发布评论