(二)違反國家有關規(guī)定的認定
《刑法修正案(九)》將侵犯公民個人信息罪的前提要件由“違反國家規(guī)定”修改為“違反國家有關規(guī)定”�。 “違反國家有關規(guī)定”不同于“違反國家規(guī)定”,前者的范圍更為寬泛�����。據此���,《解釋》第二條將“國家有關規(guī)定”解釋為法律����、行政法規(guī)��、部門規(guī)章有關公民個人信息保護的規(guī)定�,特指國家層面的涉及公民個人信息管理方面的規(guī)定,不包括地方性法規(guī)等非國家層面的規(guī)定�。
(三)非法“提供公民個人信息”的認定
《解釋》第三條第一款規(guī)定,向特定人提供公民個人信息�����,以及通過信息網絡或者其他途徑發(fā)布公民個人信息的�����,應當認定為刑法第二百五十三條之一規(guī)定的“提供公民個人信息”。理由是:向特定人提供公民個人信息的�,屬于一對一的“提供”;通過信息網絡或者其他途徑發(fā)布公民個人信息的�,實際是向社會不特定多數人提供公民個人信息,屬于一對“多”的“提供”�����。
《解釋》第三條第二款明確�,未經被收集者同意,將合法收集的公民個人信息向他人提供的�����,屬于刑法第二百五十三條之一規(guī)定的“提供公民個人信息”��,但是經過處理無法識別特定個人且不能復原的除外����。主要理由是,根據《中華人民共和國網絡安全法》第四十二條���、第四十四條的規(guī)定,法律層面是允許合法的個人信息交易和流動的,對于未違反國家有關規(guī)定����,經得被收集者同意,將合法收集的公民個人信息提供給他人的����,不能納入刑事打擊范圍。經過處理無法識別特定個人且不能復原的信息�,由于已經不具備“公民個人信息”與特定人的關聯性和識別性的屬性,提供這類信息的��,也不能作為犯罪處理�。
對于 “人肉搜索”案件,行為人未經他人同意�����,將其姓名����、身份信息、住址等個人信息公布于眾��,影響其正常的工作����、生活秩序的�,如果達到“情節(jié)嚴重”的標準�,可以按照本條的規(guī)定定罪處罰。
(四)“非法獲取公民個人信息”的認定
刑法第二百五十三條之一的定�����,竊取或者以其他方法非法獲取公民個人信息的�,是侵犯公民個人信息罪的客觀行為表現方式之一?���!督忉尅返谒臈l規(guī)定,違反國家有關規(guī)定��,通過購買��、收受����、交換等方式獲取公民個人信息,或者在履行職責�、提供服務過程中收集公民個人信息的,屬于 “以其他方法非法獲取公民個人信息”�。具體包括:1.購買�、收受����、交換等方式���。2.在履行職責或者提供服務過程中����,違反國家有關規(guī)定收集公民個人信息的方式��。理由是《中華人民共和國網絡安全法》第四十一條規(guī)定���,“網絡運營者不得收集與其提供的服務無關的個人信息���,不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集��、使用個人信息”�。
對于獲取公民個人信息是否“非法”,應當結合刑法第二百五十三條之一的整體條文考慮���,以是否違反國家有關規(guī)定作為判斷標準�����。
(五)侵犯公民個人信息罪的定罪量刑標準
規(guī)定入罪標準的幾點考慮
《解釋》主要考慮六方面的因素���,即侵犯個人信息的數量�����、信息類型����、信息的用途�����、違法所得數額����、主體身份和行為人的主觀惡性。
“情節(jié)嚴重”的具體認定標準
第五條第一款列舉了非法獲取���、出售或者提供公民個人信息“情節(jié)嚴重”的十項情形����。其中:
(1)第一項“出售或者提供行蹤軌跡信息,被他人用于犯罪的”���。辦案時�����,只需證明這類信息被他人用于犯罪,不必再具體判斷行為人主觀上是否知道或者應當知道涉案信息用于犯罪���。同時出售或者提供這類信息�����,不論數量多少���,即使只有一條行蹤軌跡信息,也應當追究刑事責任���。
(2)第二項“知道或者應當知道他人利用公民個人信息實施犯罪�,向其出售或者提供的”���?����?赡鼙凰死脤嵤┓缸锏墓駛€人信息�,雖然未被用于犯罪,但公民的人身和財產安全面臨即被侵害的現實威脅�。出售或者提供這類信息的,不需要有信息數量的限制���。但應當注意有證據證明行為人主觀上知道或者應當知道他人利用這類信息實施犯罪�����。
(3)第三項“非法獲取��、出售或者提供行蹤軌跡信息����、通信內容����、征信信息、財產信息五十條以上的”�。辦案時只要查實涉案五十條的,即應當立案追訴?�!拔迨畻l”標準僅限于上述四種信息����,不允許實踐中再通過“等”外解釋予以擴大適用。
(4)第四項“非法獲取����、出售或者提供住宿信息、通信記錄����、健康生理信息����、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的”�。 “五百條”標準主要適用于上述類別的可能影響公民人身財產安全的信息,辦案時可以根據案件具體情況�,對該項沒有列舉但可能影響人身、財產安全的信息��,適用此標準���。涉案信息應與上述列舉的四種信息在重要程度上具有相當性�����。
(5)第五項“非法獲取����、出售或者提供第三項、第四項規(guī)定以外的公民個人信息五千條以上的”����。除公民個人敏感信息和影響人身、財產安全的公民個人信息外����,涉案信息還包括姓名等一般性信息,對此類信息適用“五千條”標準����。
(6)第六項“數量未達到第三項至第五項規(guī)定標準,但是按相應比例合計達到有關數量標準的”�。對于涉案信息各類型混雜的,如果每一相應類型的公民個人信息數量均沒有達到第三項��、第四項����、第五項規(guī)定的“五十條”“五百條”“五千條”入罪標準的�,需要進行比例折算�,按照一、十��、一百的倍比關系����,合計達到上述標準之一的,即應當追究刑事責任����。
(7)第七項“違法所得五千元以上的”。辦案時�,在對信息類型和用途難以界定的情況下�����,可以根據違法所得數額認定“情節(jié)嚴重”��。
(8)第八項“將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人���,數量或者數額達到第三項至第七項規(guī)定標準一半以上的”���。此處履行職責或者提供服務的人員��,不限于國家工作人員���,還包括金融、電信��、交通�、教育、醫(yī)療等單位的工作人員�;按此標準定罪處罰的,不應再根據刑法第二百五十三條之一第二款的規(guī)定從重處罰���。
“情節(jié)特別嚴重”的認定標準
根據刑法第二百五十三條之一的規(guī)定����,非法獲取�、出售或者提供公民個人信息,情節(jié)特別嚴重的�,處三年以上七年以下有期徒刑,并處罰金����?����!督忉尅返谖鍡l第二款明確了“情節(jié)特別嚴重”的具體情形���。第一項“造成被害人死亡、重傷�����、精神失?���;蛘弑唤壖艿葒乐睾蠊摹保坏诙棥霸斐芍卮蠼洕鷵p失或者惡劣社會影響的”從侵犯公民個人信息犯罪造成的嚴重后果方面作出規(guī)定���。第三項“數量或者數額達到前款第三項至第八項規(guī)定標準十倍以上的”從侵犯公民個人信息犯罪涉及的數量和數額方面作出規(guī)定��。司法實踐中侵犯公民個人信息犯罪涉案的公民個人信息數量相差懸殊�����,從幾千條到幾十萬條(甚至更大數量)不等的情況,故將“情節(jié)特別嚴重”和“情節(jié)嚴重”之間的數量數額標準設置為十倍的倍數關系�。
為合法經營活動購買�、收受公民個人信息定罪量刑的特殊標準
第六條第一款列舉了為合法經營活動而非法購買���、收受第五條第一款第三項���、第四項規(guī)定以外的公民個人信息“情節(jié)嚴重”的三項情形。相比較第五條第一款的規(guī)定����,第六條第一款屬于非法獲取公民個人信息“情節(jié)嚴重”的特別規(guī)定。
(1)第一項“利用非法購買����、收受的公民個人信息獲利五萬元以上的”,與第五條第一款第七項規(guī)定的“違法所得五千元以上的”有所區(qū)別��,主要考慮購買��、收受公民個人信息是非法的��,但經營活動是合法的��,對經營所得不能認定為違法所得��,宜以獲利數額計算�����,參考非法經營罪的入罪數額標準,規(guī)定為五萬元����。
(2)第二項“曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰,又購買�、收受公民個人信息的”,與第五條第一款第九項有所區(qū)別��,僅規(guī)制非法購買�、收受公民個人信息行為。
(3)第三項“其他情節(jié)嚴重的情形”是兜底條款��,實踐中應該嚴格適用�����。
在適用《解釋》第六條時應當把握:
(1)第六條針對的是為合法經營活動而非法購買��、收受公民個人信息的行為�����,此類行為主觀目的是為了合法經營活動�,社會危害性不大,即使構成犯罪��,通常也不需要升檔處理�,所以《解釋》僅規(guī)定了“情節(jié)嚴重”的具體情形。
(2)關于 “為合法經營活動”的認定��,主要由被告方提供相關證據�,結合案件具體情況作出綜合審查判斷。
(3)此類涉案信息僅限于一般信息���,不包括可能影響公民人身財產安全的信息�。
(4)此類行為的客觀表現方式僅限于購買����、收受,如果將購買��、收受的公民個人信息非法出售或者提供的����,根據第六條第二款的規(guī)定,定罪量刑標準適用第五條的規(guī)定����。
(5)第六條沒有明確“交換”這一非法獲取公民個人信息的行為表現方式�。主要考慮是����,交換信息相比較購買、收受信息���,是雙方對向提供��、收受信息行為�,性質比“購買���、收受”更為惡劣����,對為合法經營活動而非法交換信息的�����,應當按照第五條的定罪量刑標準定罪處罰����。
單位犯罪的定罪量刑標準
為加大對單位侵犯公民個人信息犯罪的懲治力度,《解釋》第七條明確,單位犯刑法第二百五十三條之一規(guī)定之罪的��,依照解釋規(guī)定的相應自然人犯罪的定罪量刑標準�����,對直接負責的主管人員和其他直接責任人員定罪處罰����,并對單位判處罰金����。
(六)認罪認罰從寬處理
2016年9月,全國人大常委會授權“兩高”在部分地區(qū)開展刑事案件認罪認罰從寬制度試點工作��。為貫徹落實認罪認罰從寬精神�����,《解釋》第十條對侵犯公民個人信息犯罪的從寬處罰作出規(guī)定��,實施侵犯公民個人信息犯罪���,不屬于‘情節(jié)特別嚴重’��,行為人系初犯����,全部退贓,并確有悔罪表現的�����,可以認定為情節(jié)輕微��,不起訴或者免予刑事處罰�;確有必要判處刑罰的,應當從寬處罰����。需要注意的是,本條只適用于侵犯公民個人信息犯罪“情節(jié)特別嚴重”標準以下的情形��,對于達到“情節(jié)特別嚴重”標準的����,不能適用本條規(guī)定予以從寬處罰。
(七)設立網站�����、通訊群組行為的認定
實踐中,一些行為人通過建立網站���、通訊群組供他人進行公民個人信息交換�、流轉��、銷售�,以賺取服務費用�。普通網民能夠在網站查詢他人賬號和密碼,甚至公開兜售公民個人信息�。此類網站存儲、流轉公民個人信息量巨大���,但網站建立者�、直接負責的管理者未直接接觸公民個人信息����,不少情形下難以按照侵犯公民個人信息罪定罪處罰。但根據刑法第二百八十七條之一的規(guī)定��,設立用于實施違法犯罪活動的網站���、通訊群組����,情節(jié)嚴重的,構成非法利用信息網絡罪��。對于供他人實施非法獲取�����、出售或者提供公民個人信息違法犯罪活動的網站��、通訊群組實際上屬于“用于實施違法犯罪活動的網站�、通訊群組”。因此��,《解釋》第八條規(guī)定,設立用于實施非法獲取、出售或者提供公民個人信息違法犯罪活動的網站���、通訊群組���,情節(jié)嚴重的�,應當依照刑法第二百八十七條之一的規(guī)定��,以非法利用信息網絡罪定罪處罰��;同時構成侵犯公民個人信息罪的,依照侵犯公民個人信息罪定罪處罰���。
(八)拒不履行公民個人信息安全管理義務行為的處理
實踐中�����,一些單位或個人因為履行職責或者提供服務的需要�����,掌握大量公民個人信息����,這些信息一旦泄露將造成惡劣社會影響和嚴重危害后果�����。為了促進網絡運營者采取切實有效的措施加強對公民個人信息的保護���,《網絡安全法》確立了“誰收集,誰負責”的原則��,第四十條明確規(guī)定:“網絡運營者應當對其收集的用戶信息嚴格保密����,并建立健全用戶信息保護制度���。”因此����,網絡服務提供者不履行法律、行政法規(guī)規(guī)定的信息網絡安全管理義務�����,致使用戶的公民個人信息泄露的����,雖難以按照侵犯公民個人信息罪定罪處罰,但根據《刑法修正案(九)》增加規(guī)定的第二百八十六條之一的規(guī)定��,可能構成拒不履行信息網絡安全管理義務罪����。因此,《解釋》第九條規(guī)定����,網絡服務提供者拒不履行法律�����、行政法規(guī)規(guī)定的信息網絡安全管理義務�����,經監(jiān)管部門責令采取改正措施而拒不改正���,致使用戶的公民個人信息泄露,造成嚴重后果的�,應當依照刑法第二百八十六條之一的規(guī)定,以拒不履行信息網絡安全管理義務罪定罪處罰�����。
(九)涉案公民個人信息的數量計算規(guī)則
公民個人信息數量是侵犯公民個人信息犯罪案件定罪量刑標準的主要依據�����?����!督忉尅返谑粭l明確���,非法獲取公民個人信息后又出售或者提供的�����,公民個人信息的條數不重復計算�。向不同單位或者個人分別出售���、提供同一公民個人信息的����,公民個人信息的條數累計計算�。對批量公民個人信息的條數,根據查獲的數量直接認定���,但是有證據證明信息不真實或者重復的除外�。
對于同一條信息中涉及多個公民個人信息的�,如家庭住址、銀行卡信息����、電話號碼等,可以認定為一條公民個人信息��。由于這一問題實踐中認識較為統(tǒng)一,《解釋》沒有再次著重強調����。
非法獲取公民個人信息后又出售或者提供給同一對象的,不宜先計算非法獲取的信息數量�,再計算出售或者提供的信息數量,此種情形下數量不重復計算�。比如,非法獲取了他人撥打電話的記錄五十條���,將其出售給同一人或者單位的�����,應當認定為侵犯公民個人信息五十條�。
公民個人信息向不同對象分別出售����、提供的,屬于重復出售或者提供個人信息�����,社會危害性較一次性出售或提供危害性更大��,數量應累計計算�����。比如����,非法獲取了他人撥打電話的記錄五十條,將其出售給兩個人或者單位的����,應當認定為侵犯公民個人信息一百條。
涉案的公民個人信息上萬條甚至更多的�����,可能存在信息重復的情況�,比如,針對同一對象可能并存“姓名+住址”“姓名+電話號碼”“姓名+身份證號”等數條信息����,但要求做到完全去重較為困難。為便于辦案部門實際操作�����,突出對侵犯公民個人信息犯罪的從嚴懲治,《解釋》明確對批量公民個人信息的數量根據查獲的數量直接認定�����,但允許根據在案證據排除不真實或者重復的信息���。
(十)罰金刑適用規(guī)則
對于侵犯公民個人信息犯罪���,應當綜合考慮犯罪的危害程度、犯罪的違法所得數額以及被告人的前科情況����、認罪悔罪態(tài)度等,依法判處罰金����。罰金數額一般在違法所得的一倍以上五倍以下。
