当前位置: 首页 / 政务公开 / 法规文件 / 政策解读

2017最高院最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》及最高法、最高检《理解与适用》

执法监督支队

浏览量:

打印

关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释

为依法惩治侵犯公民个人信息犯罪活动,保护公民个人信息安全和合法权益,根据《中华人民共和国刑法》《中华人民共和国刑事诉讼法》的有关规定,现就办理此类刑事案件适用法律的若干问题解释如下:第一条刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。第二条违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。第三条向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。第四条违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。第五条非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;(七)违法所得五千元以上的;(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;(十)其他情节严重的情形。实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;(二)造成重大经济损失或者恶劣社会影响的;(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;(四)其他情节特别严重的情形。第六条为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:(一)利用非法购买、收受的公民个人信息获利五万元以上的;(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;(三)其他情节严重的情形。实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。第七条单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。第八条设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。第九条网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。第十条实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。第十一条非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。第十二条对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。第十三条本解释自2017年6月1日起施行。

《关于办理侵犯公民个人信息

刑事案件适用法律

若干问题的解释》的理解与适用(内容略)

《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》理解与适用 

最高人民检察院法律政策研究室

  最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),分别经2017年3月20日最高人民法院审判委员会第1712次会议、2017年4月26日最高人民检察院第十二届检察委员会第63次会议通过,于2017年5月9日对外公布,自2017年6月1日起施行。为便于司法工作人员正确理解和适用《解释》的相关规定,现对《解释》解读如下。

  一、《解释》的制定背景及过程

  随着我国经济社会的快速发展和信息网络的高速流通,公民个人信息越来越凸显其重要价值。为保护公民隐私和正常的工作、生活不受侵害和干扰,2009年2月28日起施行的刑法修正案(七)增设了刑法第二百五十三条之一,将国家机关等单位在履行职责或者提供服务过程中获得的公民个人信息出售、非法提供给他人的行为,以及窃取、非法获取公民个人信息的行为规定为犯罪。近年来,出售、非法提供和非法获取公民个人信息犯罪出现了一些新情况,利用公民个人信息实施电信网络诈骗、滋扰型“软暴力”等违法犯罪活动时有发生,甚至与杀人、绑架等严重刑事犯罪相关联,危害公民人身财产安全,影响社会稳定。2015年11月1日起施行的刑法修正案(九)对刑法第二百五十三条之一作了修改:一是扩大了犯罪主体的范围,将违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的行为规定为犯罪;二是规定将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚;三是提升法定刑配置,增加规定“情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。2015年11月1日起施行的最高人民法院、最高人民检察院《关于执行〈中华人民共和国刑法〉确定罪名的补充规定(六)》取消出售、非法提供公民个人信息罪和非法获取公民个人信息罪罪名,整合为“侵犯公民个人信息罪”。

  刑法修正案(九)施行以来,全国检察机关不断加大对侵犯公民个人信息犯罪的惩处力度,依法查办了一大批刑事案件。2015年11月至2017年5月,全国检察机关依法批准逮捕侵犯公民个人信息犯罪案件1385件2514人,审查起诉侵犯公民个人信息犯罪案件1030件2409人,为保护公民个人信息,保障广大人民群众合法权益发挥了重要的积极作用。与之同时,由于侵犯公民个人信息犯罪涉及范围广泛,信息类型复杂多样,侵犯公民个人信息罪的具体定罪量刑标准尚不明确,一些法律适用问题存在争议,亟须出台司法解释,统一法律适用标准。

  鉴于立法和司法实践遇到的新情况和新问题,2016年初,最高人民检察院法律政策研究室与最高人民法院研究室共同启动了侵犯公民个人信息罪司法解释的起草工作。9月,在对辽宁、江苏等地方进行前期调研的基础上,起草了解释初稿。11月,与最高人民法院研究室共同召开座谈会,听取公安部和腾讯、阿里巴巴、奇虎360等互联网企业对解释稿的意见。12月,征求了公安部和最高人民检察院有关内设机构、各省级检察院的意见;会同最高人民法院研究室召开专家论证会,听取专家学者意见。根据征求意见情况,对解释稿作了修改完善,报送全国人大常委会法工委征求意见。在综合各方面意见的基础上,经反复研究修改,形成送审稿。最高人民法院审判委员会审议并原则通过送审稿后,最高人民检察院法律政策研究室商最高人民法院研究室对送审稿作了进一步研究修改,提交最高人民检察院检察委员会审议通过。

  二、《解释》的主要内容

  从当前司法实践看,办理侵犯公民个人信息犯罪案件,主要存在以下问题:一是亟须对公民个人信息的范围作出界定,以统一认识;二是亟须对侵犯公民个人信息罪的定罪量刑标准予以明确,以准确适用法律;三是亟须对公民个人信息的数量计算等其他法律适用问题作出规定,以提升打击实效。《解释》共十三条,针对办理侵犯公民个人信息犯罪案件批准逮捕、审查起诉以及刑事审判过程中存在的突出法律适用问题,主要规定了以下几个方面的内容:(1)公民个人信息的范围;(2)刑法第二百五十三条之一规定的“违反国家有关规定”的认定;(3)刑法第二百五十三条之一规定的“提供公民个人信息”“以其他方法非法获取公民个人信息”的认定;(4)侵犯公民个人信息罪的定罪量刑标准;(5)侵犯公民个人信息相关犯罪的处理;(6)侵犯公民个人信息犯罪认罪认罚的从宽处理;(7)侵犯公民个人信息犯罪案件的信息数量计算规则;(8)侵犯公民个人信息犯罪的罚金刑适用。

  (一)“公民个人信息”的范围

  2016年11月7日通过的网络安全法第七十六条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”这是目前我国对个人信息最权威的法律界定。《解释》第一条以上述规定为基础,明确刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

  需要说明的是,对于行踪轨迹等反映特定自然人活动情况的信息能否属于“公民个人信息”的内涵,曾存在不同认识。为统一司法适用,该条规定将反映特定自然人活动情况的信息明确涵括在“公民个人信息”的范围之内。主要考虑到网络安全法主要是从网络信息安全的角度对个人信息作出规定,与刑法第二百五十三条之一的立法目的不完全一致。行踪轨迹等反映特定自然人活动情况的信息属于关系公民人身、财产安全的高度敏感信息,如果将此类信息明确排除在刑法规定的“公民个人信息”范围之外,不符合刑法保护公民个人信息的立法精神,也不利于有效保障公民个人合法权益。此外,我国个人信息安全的法律保护将会进一步完善,相关信息安全和个人信息保护规范将会逐步出台,为使《解释》的规定与今后相关法律法规和技术规范保持一定的协调性,有必要明确反映特定自然人活动的信息属于“公民个人信息”的范畴。

  该条对典型的或者实践中较为常见的几类信息作了列举。实践中需要注意,一是该条对公民个人信息的外延没有全部列举,实践中公民个人信息不限于该条列明的几类信息。《解释》起草过程中,有意见提出增加“工作单位、学历、职务、职称、婚姻状况、奖惩、家庭成员、指纹、DNA、车牌、购物、QQ、电子邮箱等网上登录账号、密码信息”等内容。经研究认为,公民个人信息最根本的特征在于能够识别个人身份或者体现个人活动,在《解释》中把具体的公民个人信息全部列明不太可能,也不具有司法可操作性。二是与特定自然人关联的“账号密码”属于“公民个人信息”。当前账号密码往往绑定身份证号、手机号码等特定信息,非法获取账号密码后可以进一步实施侵犯公民人身、财产安全的行为,将“账号密码”列明为“公民个人信息”,有利于保护公民个人信息安全和合法权益。三是“公民个人信息”既包括中国公民的个人信息,也包括外国公民和其他无国籍人的个人信息。

  (二)“违反国家有关规定”的认定

  刑法修正案(九)将侵犯公民个人信息罪的前提要件由“违反国家规定”修改为“违反国家有关规定”。根据刑法的修改,《解释》第二条将“国家有关规定”解释为法律、行政法规、部门规章有关公民个人信息保护的规定,特指国家层面的涉及公民个人信息管理方面的规定,不包括地方性法规等非国家层面的规定。《解释》研究论证过程中,有意见提出,“违反国家有关规定”与“违反国家规定”并无差异,且网络安全法对个人信息作了较为全面的规定,将来还有公民个人信息的专门法律,没有必要明确此问题。经研究认为,“违反国家有关规定”不同于“违反国家规定”,前者的范围更为宽泛,这也是刑法修正案(九)根据实践需要对刑法第二百五十三条之一作出修改的考虑之一。目前,我国尚未制定专门的公民个人信息保护法,但一些法律、法规、部门规章对特定领域公民个人信息的保护作出了专门规定。考虑到立法实际情况和办案急需,《解释》对“国家有关规定”的范围予以明确。

  (三)“提供公民个人信息”的认定

  根据刑法第二百五十三条之一的规定,违反国家有关规定,向他人提供公民个人信息,情节严重的,构成侵犯公民个人信息罪。“提供公民个人信息”是侵犯公民个人信息犯罪的客观行为表现方式之一。《解释》第三条明确了“提供公民个人信息”的认定。第一款规定,向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。需要注意的,一是向特定人提供公民个人信息的,属于一对一的“提供”,是较为典型的“提供”行为,司法实践中较易认定。二是通过信息网络或者其他途径发布公民个人信息的,是否属于“提供”,尚存争议。经研究认为,通过信息网络或者其他途径发布公民个人信息,实际是向社会不特定多数人提供公民个人信息,属于一对“多”的“提供”,相比较一对一的“提供”,举轻以明重,更应当认定为“提供”。

  第二款根据网络安全法的相关规定和大数据发展的社会现实,明确未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。根据网络安全法第四十二条规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”第四十四条规定:“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”可以认为,法律层面是允许合法的个人信息交易和流动的,对于未违反国家有关规定,经得被收集者同意,将合法收集的公民个人信息提供给他人的,不能纳入刑事打击范围。另外,经过处理无法识别特定个人且不能复原的信息,由于已经不具备“公民个人信息”与特定人的关联性和识别性的属性,提供这类信息的,当然也不能作为犯罪处理。

  需要注意的是,对于实践中较为关注的“人肉搜索”案件,行为人未经他人同意,将其姓名、身份信息、住址等个人信息公布于众,影响其正常的工作、生活秩序的,如果达到“情节严重”的标准,可以按照该条的规定定罪处罚。

  (四)“以其他方法非法获取公民个人信息”的认定

  根据刑法第二百五十三条之一的规定,窃取或者以其他方法非法获取公民个人信息的,是侵犯公民个人信息罪的客观行为表现方式之一。“窃取”即是非法的秘密获取,无需对其再作进一步明确。《解释》第四条对“以其他方法非法获取公民个人信息”作出规定,即违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。具体包括两种情况:一是总结实际案例,对非法获取公民个人信息的主要表现形式,即购买、收受、交换等方式,予以明确。二是参照网络安全法第四十一条“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息”的规定,特别明确在履行职责或者提供服务过程中,违反国家有关规定收集公民个人信息的,属于“以其他方法非法获取公民个人信息”。

  需要注意的是,如何认定获取公民个人信息的“非法”,应当结合刑法第二百五十三条之一的整体条文考虑,以是否违反国家有关规定作为判断标准。

  (五)侵犯公民个人信息罪“情节严重”的认定标准

  根据刑法第二百五十三条之一的规定,违反国家有关规定,出售、提供或者非法获取公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。《解释》第五条第一款和第六条第一款明确了侵犯公民个人信息罪“情节严重”的具体情形。

  1.第五条第一款列举了非法获取、出售或者提供公民个人信息“情节严重”的十项情形。

(1)第一项“出售或者提供行踪轨迹信息,被他人用于犯罪的”。行踪轨迹信息是最为敏感的公民个人信息,侵犯这类信息,行为人知道或者应当知道信息可能被用于犯罪。办案时,一是只需证明这类信息被他人用于犯罪,不必再具体判断行为人主观上是否知道或者应当知道涉案信息用于犯罪;二是出售或者提供这类信息,不论数量多少,即使只有一条行踪轨迹信息,也应当追究刑事责任。

(2)第二项“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的”。可能被他人利用实施犯罪的公民个人信息,虽然未被用于犯罪,但公民的人身和财产安全面临即被侵害的现实威胁。出售或者提供这类信息的,不需要有信息数量的限制,但应当注意有证据证明行为人主观上知道或者应当知道他人利用这类信息实施犯罪。

(3)第三项“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的”。行踪轨迹信息、通信内容、征信信息、财产信息对公民的人身和财产安全最为重要。办案时只要查实涉案五十条的,即应当立案追诉。需要注意的是,“五十条”标准仅限于上述四种信息,不允许实践中再通过等外解释予以扩大适用。

(4)第四项“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的”。住宿信息、通信记录、健康生理信息、交易信息等在重要程度上略低于行踪轨迹信息、通信内容、征信信息、财产信息,但与公民人身和财产安全直接相关。“五百条”标准主要适用于上述类别的可能影响公民人身财产安全的信息,办案时可以根据案件具体情况,对该项没有列举,但可能影响人身、财产安全的信息适用此标准。需要注意的是,涉案信息应与上述列举的四种信息在重要程度上具有相当性。

(5)第五项“非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的”。除公民个人敏感信息和影响人身、财产安全的公民个人信息外,涉案信息还包括姓名等一般性信息,对此类信息适用“五千条”标准。

(6)第六项“数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的”。涉案信息往往是各类型混杂的,办案时需要对信息进行分类分析,如果每一相应类型的公民个人信息数量均没有达到第三项、第四项、第五项规定的“五十条”“五百条”“五千条”入罪标准的,需要进行比例折算,按照一、十、一百的倍比关系,合计达到上述标准之一的,即应当追究刑事责任。

(7)第七项“违法所得五千元以上的”。从查获的信息情况来看,一般公民个人信息价格较低,但公民个人敏感信息的价格通常在每条数十元以上。办案时,在对信息类型和用途难以界定的情况下,根据违法所得数额认定“情节严重”,具有较强的实践操作性。

(8)第八项“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的”。办案时需要注意,一是履行职责或者提供服务的人员,不限于国家工作人员,还包括金融、电信、交通、教育、医疗等单位的工作人员;二是按此标准定罪处罚的,不宜再根据刑法第二百五十三条之一第二款的规定从重处罚。

(9)第九项“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的”。此种情形下,行为人屡罚屡犯,主观恶性较大。办案时,须着重考察犯罪嫌疑人的前科情况。

(10)第十项“其他情节严重的情形”。此项是兜底条款,对于前述九项情形以外,确需追究刑事责任的,可以考虑适用此项。

  2.第六条第一款列举了为合法经营活动而非法购买、收受第五条第一款第三项、第四项规定以外的公民个人信息“情节严重”的三项情形。相比较第五条第一款的规定,第六条第一款属于非法获取公民个人信息“情节严重”的特别规定。

(1)第一项“利用非法购买、收受的公民个人信息获利五万元以上的”,与第五条第一款第七项规定的“违法所得五千元以上的”有所区别,主要考虑购买、收受公民个人信息是非法的,但经营活动是合法的,对经营所得不能认定为违法所得,宜以获利数额计算,参考非法经营罪的入罪数额标准,规定为五万元

(2)第二项“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的”,与第五条第一款第九项有所区别,仅规制非法购买、收受公民个人信息的行为。

(3)第三项“其他情节严重的情形”是兜底条款,实践中应该严格适用。

  需要注意的,一是第六条针对为合法经营活动而非法购买、收受公民个人信息的行为,设置了特殊的定罪量刑标准。考虑到此类行为主观目的是为了合法经营活动,社会危害性不大,即使构成犯罪,通常也不需要升档处理,所以仅规定了“情节严重”的具体情形。二是“为合法经营活动”的认定,主要由被告方提供相关证据,结合案件具体情况作出综合审查判断。三是此类涉案信息仅限于一般信息,不包括可能影响公民人身财产安全的信息。四是此类行为的客观表现方式仅限于购买、收受,如果将购买、收受的公民个人信息非法出售或者提供的,根据第六条第二款的规定,定罪量刑标准适用第五条的规定。五是第六条没有明确“交换”这一非法获取公民个人信息的行为表现方式,主要考虑交换信息相比较购买、收受信息,是双方对向提供、收受信息行为,性质比“购买、收受”更为恶劣,对为合法经营活动而非法交换信息的,应当按照第五条的定罪量刑标准定罪处罚。

  (六)侵犯公民个人信息罪“情节特别严重”的认定标准

  根据刑法第二百五十三条之一的规定,非法获取、出售或者提供公民个人信息,情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。《解释》第五条第二款明确了“情节特别严重”的具体情形,解决了对侵犯公民个人信息数量巨大或者造成严重后果等情形,无法升档处罚的问题。第一项“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的”,第二项“造成重大经济损失或者恶劣社会影响的”,从侵犯公民个人信息犯罪造成的严重后果方面作出规定。非法获取、出售或者提供公民个人信息,对于公民个人,可能造成人身伤亡、精神失常、重大经济损失等后果;对于社会,可能造成恶劣社会影响。第三项“数量或者数额达到前款第三项至第八项规定标准十倍以上的”,从侵犯公民个人信息犯罪涉及的数量和数额方面作出规定。根据司法实践中侵犯公民个人信息犯罪涉案的公民个人信息数量相差悬殊,从几千条到几十万条(甚至更大数量)不等的情况,“情节特别严重”和“情节严重”之间的数量数额标准设置为十倍的倍数关系。

  (七)侵犯公民个人信息单位犯罪的定罪量刑标准

  根据刑法第二百五十三条之一第四款的规定,单位犯侵犯公民个人信息罪的,对单位判处罚金,对其直接负责的主管人员和其他直接责任人员按照自然人犯罪的规定定罪处罚。为加大对单位侵犯公民个人信息罪的惩治力度,《解释》第七条明确,单位犯刑法第二百五十三条之一规定之罪的,依照解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。

  (八)侵犯公民个人信息相关犯罪的处理

  《解释》第八条、第九条规定了侵犯公民个人信息可能涉及的相关犯罪的认定和处理。

  1.实践中,一些行为人通过建立网站、通讯群组供他人进行公民个人信息的交换、流转、销售,以赚取服务费用。普通网民能够在网站查询他人账号和密码,甚至公开兜售公民个人信息。此类网站存储、流转公民个人信息量巨大,但网站建立者、直接负责的管理者未直接接触公民个人信息,不少情形下难以按照侵犯公民个人信息罪定罪处罚。经研究认为,根据刑法第二百八十七条之一的规定,设立用于实施违法犯罪活动的网站、通讯群组,情节严重的,构成非法利用信息网络罪。对于供他人实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组实际上属于“用于实施违法犯罪活动的网站、通讯群组”。因此,《解释》第八条规定,设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。

  2.实践中,一些单位或个人因为履行职责或者提供服务的需要,掌握大量公民个人信息,这些信息一旦泄露将造成恶劣社会影响和严重危害后果。为了促进网络运营者采取切实有效的措施加强对公民个人信息的保护,网络安全法确立了“谁收集,谁负责”的原则,第四十条明确规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”经研究认为,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,致使用户的公民个人信息泄露的,因未非法获取、出售、提供公民个人信息,难以按照侵犯公民个人信息罪定罪处罚,但根据刑法修正案(九)增加的第二百八十六条之一的规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户信息泄露,造成严重后果的,构成拒不履行信息网络安全管理义务罪。对于网络服务提供者未落实个人信息保护措施,符合刑法第二百八十六条之一规定的,可能构成拒不履行信息网络安全管理义务罪。因此,《解释》第九条规定,网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。

  (九)侵犯公民个人信息犯罪认罪认罚的从宽处理

  2016年9月,全国人大常委会授权最高人民法院、最高人民检察院在部分地区开展刑事案件认罪认罚从宽制度试点工作。为贯彻落实认罪认罚从宽精神,《解释》第十条对侵犯公民个人信息犯罪的从宽处罚作出规定,实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。需要注意的是,该条只适用于侵犯公民个人信息犯罪“情节特别严重”标准以下的情形,对于达到“情节特别严重”标准的,不能适用该条规定予以从宽处罚。

  (十)侵犯公民个人信息犯罪案件的信息数量计算规则

  公民个人信息数量是侵犯公民个人信息犯罪案件定罪量刑标准的主要依据。实践中,司法机关查获的涉案信息数量动辄上万条、数十万条,甚至以兆计算,怎样科学、合理认定信息数量是办案部门亟须解决的问题。为此,《解释》第十一条明确,非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。

  需要注意的,一是对于同一条信息中涉及多个公民个人信息的,如家庭住址、银行卡信息、电话号码等,可以认定为一条公民个人信息。考虑到这一问题实践中认识较为统一,办案部门也是按此来认定信息数量的,《解释》尊重办案实践,没有再次着重强调。二是非法获取公民个人信息后又出售或者提供给同一对象的,不宜先计算非法获取的信息数量,再计算出售或者提供的信息数量,此种情形下数量不重复计算。比如,非法获取他人拨打电话的记录五十条,将其出售给同一人或者单位的,应当认定为侵犯公民个人信息五十条。三是向不同对象分别出售、提供公民个人信息的,属于重复出售或者提供个人信息,社会危害性较一次性出售或提供危害性更大,数量应累计计算。比如,非法获取他人拨打电话的记录五十条,将其出售给两个人或者单位的,应当认定为侵犯公民个人信息一百条。四是涉案的公民个人信息上万条甚至更多的,可能存在信息重复的情况。比如,针对同一对象可能并存“姓名+住址”“姓名+电话号码”“姓名+身份证号”等数条信息,但要求做到完全去重较为困难。为便于办案部门实际操作,突出对侵犯公民个人信息犯罪的从严惩治,《解释》明确对批量公民个人信息的数量根据查获的数量直接认定,但允许根据在案证据排除不真实或者重复的信息。

  (十一)侵犯公民个人信息犯罪的罚金刑适用

  侵犯公民个人信息犯罪属于侵犯公民人身权利的犯罪,但实践中非法获取、出售或者提供公民个人信息的,大多具有牟利目的。刑法第二百五十三条之一第一款规定了侵犯公民个人信息犯罪并处或者单处罚金;第四款规定单位犯罪的,对单位判处罚金。为严密刑事法网,加大对侵犯公民个人信息犯罪的经济惩罚,《解释》第十二条对侵犯公民个人信息犯罪判处罚金的适用作出规定,对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。

微信公众号