日前,最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号,以下简称《解释》),自2017年6月1日起施行。《解释》的公布施行,对于强化公民个人信息的刑事保护,维护个人信息安全和其他合法权益,必将发挥重要作用。为便于司法实践中正确理解和适用,现就《解释》的制定背景、起草中的主要考虑和主要内容介绍如下。
一、《解释》的制定背景与经过
随着信息化建设的推进,信息资源成为重要的生产要素和社会财富。而在各类信息中,个人信息的价值日益凸显,成为数字经济最重要的元素之一。与之同时,个人信息泄露问题严重,个人信息安全成为一个全社会高度关注的问题。为保护公民个人信息,2009年2月28日起施行的《刑法修正案(七)》增设了刑法第二百五十三条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。《刑法修正案(七)》施行以来,各级公检法机关正确适用法律,准确认定事实,坚决依法惩处侵犯公民个人信息犯罪活动。2009年2月至2015年10月,全国法院新收出售、非法提供公民个人信息、非法获取公民个人信息刑事案件988起,审结969起,生效判决人数1415人。其中,新收出售、非法提供公民个人信息刑事案件101件,审结98件,生效判决人数142人;新收非法获取公民个人信息刑事案件887件,审结871件,生效判决人数1273人。
近年来,侵犯公民个人信息犯罪仍处于高发态势,不仅严重危害公民个人信息安全,而且与电信网络诈骗等犯罪存在密切关联,甚至与绑架、敲诈勒索等犯罪活动相结合,社会危害日益突出。为切实加大对公民个人信息的刑法保护力度,《刑法修正案(九)》对刑法第二百五十三条之一作出修改完善:一是扩大犯罪主体的范围,规定任何单位和个人违反国家有关规定,获取、出售或者提供公民个人信息,情节严重的,都构成犯罪;二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚;三是提升法定刑配置水平,增加规定“处三年以上七年以下有期徒刑,并处罚金”。修改后,“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。《刑法修正案(九)》施行以来,各级公检法机关依据修改后刑法的规定,继续保持对侵犯公民个人信息犯罪的高压态势,实现案件量显著增长。2015年11月至2016年12月,全国法院新收侵犯公民个人信息刑事案件(含出售、非法提供公民个人信息、非法获取公民个人信息刑事案件)495件,审结464件,生效判决人数697人。
与此同时,司法实践反映,侵犯公民个人信息罪的具体定罪量刑标准尚不明确,一些法律适用问题存在争议,需要通过司法解释作出规定。为确保法律准确、统一适用,依法严厉惩治、有效防范侵犯公民个人信息犯罪,最高人民法院会同最高人民检察院,在公安部等有关部门的大力支持下,经深入调查研究、广泛征求意见,起草了《解释》。2017年3月20日最高人民法院审判委员会第1712次会议、2017年4月26日最高人民检察院第十二届检察委员会第63次会议审议通过了《解释》。
二、《解释》起草中的主要考虑
为确保《解释》的内容科学合理,能够适应形势发展、满足实践需要,在起草过程中,着重注意把握了以下几点:
第一,贯彻刑法修改精神,强化对公民个人信息的刑法保护。当前,侵犯公民个人信息犯罪呈高发多发态势,涉及的个人信息数量越来越大、类型越来越多。特别是,不少涉案公民个人信息事关他人财产乃至人身安全,如行踪轨迹、财产信息等敏感信息。基于当前侵犯公民个人信息犯罪的态势,根据修法精神,《解释》相关条文彰显了对侵犯公民个人信息犯罪的严惩立场,以加强对公民个人信息的刑法保护,有效维护公民的人身、财产安全和生活安宁。
第二,坚持问题导向,有效解决司法实务问题。从调研情况来看,对侵犯公民个人信息犯罪尚存在不少争议问题,亟需通过司法解释加以明确。例如,“公民个人信息”的内涵与外延,“出售或者提供公民个人信息”“非法获取公民个人信息”的理解,“情节严重”“情节特别严重”的把握,等等。基于此,《解释》相关条文以办理侵犯公民个人信息刑事案件存在的问题为基础,结合司法实际,作了明确规定。
第三,坚持安全与发展并重,兼顾个人信息保护与大数据发展的需要。在全球信息化快速发展的大背景下,大数据已成为国家重要的基础性战略资源,正引领新一轮科技创新。在大数据和云计算时代,包括个人信息在内的数据,只有充分地流动、共享、交易,才能实现集聚与规模效应,最大程度地发挥价值。但是,在数据流动、交易过程中如何保护公民个人信息的安全,避免个人信息扩散失控,也是必须面对的问题。实际上,公民个人信息的保护与大数据发展和信息社会的建设并不矛盾,二者之间的平衡点就在现行法律框架。质言之,大数据的发展应依法进行,信息社会须建立在依法保护个人信息的基础上,只有包括个人信息在内的数据在法律保护下安全迅速地收集和流通,才能真正推动我国信息产业的发展。因此,《解释》在刑法和《网络安全法》确立的框架范围内,兼顾公民个人信息保护与大数据产业发展的关系,确保在公民个人信息安全的前提下为大数据发展和信息化建设提供有力刑事司法保护。
三、《解释》的主要内容
《解释》结合当前侵犯公民个人信息犯罪的特点和司法实践反映的问题,依照刑法、刑事诉讼法的规定,对侵犯公民个人信息罪的定罪量刑标准和相关法律适用问题作了全面、系统的规定。《解释》共十三个条文,大致可以归纳为如下十个方面的问题:
(一)“公民个人信息”的范围
目前,我国关于个人信息的界定,最为权威的当属《网络安全法》的规定。《网络安全法》第七十六条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。” 经研究认为,《网络安全法》将“个人信息”界定为“能够识别自然人个人身份的各种信息”,显然使用的是广义的“身份识别信息”的概念,即既包括狭义的身份识别信息(能够识别出特定自然人身份的信息),也包括体现特定自然人活动情况的信息。例如,从实践来看,行踪轨迹信息系事关人身安全的高度敏感信息,无疑应纳入法律保护范围,且应当重点保护。但是,行踪轨迹信息明显难以纳入狭义的“身份识别信息”的范畴。如果认为《网络安全法》将此类信息排除在“个人信息”的范围外,恐难以为一般人所认同,也不符合保护公民个人信息的立法精神。合理的解释应当是,《网络安全法》是广义上使用“身份识别信息”这一概念,亦即也包括个人活动情况信息在内。基于此,《解释》第一条在上述规定的基础上,进一步明确“公民个人信息”包括身份识别信息和活动情况信息,规定:“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
此外,根据《解释》第一条的规定,关于“公民个人信息”的外延,有以下几个具体问题值得注意:(1)“公民个人信息”,既包括中国公民的个人信息,也包括外国公民和其他无国籍人的个人信息。(2)公民个人信息须与特定自然人关联。这是公民个人信息所具有的关键属性。因此,经过处理无法识别特定个人且不能复原的信息,虽然也可能反映自然人活动情况,但与特定自然人无直接关联,不能成为公民个人信息的范畴。对于与特定自然人关联,可以是识别特定自然人身份,也可以是反映特定自然人活动情况。需要注意的是,无论是识别特定自然人身份,还是反映特定自然人活动情况,都应当是能够单独或者与其他信息结合所具有的功能。例如,身份证号与公民个人身份一一对应,可以单独识别公民个人身份;而工作单位、家庭住址等无法单独识别公民个人身份,需要同其他信息结合才能识别公民个人身份。但是,上述两类信息无疑都属于公民个人信息的范畴。(3)与特定自然人关联的账号密码属于“公民个人信息”。对于“账号密码”能否纳入“公民个人信息”的范围,存在不同认识。经研究认为,当前账号密码往往绑定身份证号、手机号码等特定信息,即使未绑定,非法获取账号密码后往往也会引发侵犯财产甚至人身的违法犯罪。因此,《解释》第一条明确将“账号密码”列为“公民个人信息”的范围。
(二)“违反国家有关规定”的认定
《刑法修正案(九)》将侵犯公民个人信息罪的前提要件由“违反国家规定”修改为“违反国家有关规定”。根据修法精神,《解释》第二条规定:“违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的‘违反国家有关规定’。”具体而言,该条将 “国家有关规定”明确限于法律、行政法规、部门规章等国家层面的规定,不包括地方性法规等非国家层面的规定。
(三)非法“提供公民个人信息”的认定
根据刑法第二百五十三条之一第一款、第二款的规定,违反国家有关规定,向他人非法出售或者提供公民个人信息,是侵犯公民个人信息罪的客观行为方式之一。从司法适用的角度,以下两个问题值得关注:
1.“提供”的认定。向特定人提供公民个人信息,属于“提供”公民个人信息,对此不存在疑义。但是,对于通过信息网络或者其他途径发布公民个人信息,是否属于“提供公民个人信息”,存在不同认识。经研究认为,通过信息网络或者其他途径发布公民个人信息,实际是向不特定多数人提供公民个人信息,向特定人提供公民个人信息的行为属于“提供”,基于“举轻明重”的法理,前者更应当认定为“提供”。基于此,《解释》第三条第一款规定:“向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的‘提供公民个人信息’。”
2.合法收集公民个人信息后非法提供的认定。基于大数据发展的现实需要,《网络安全法》在法律层面为个人信息交易和流动留有一定空间,第四十四条规定任何个人和组织“不得非法出售或者非法向他人提供个人信息”,即不仅允许合法提供公民个人信息,而且为合法出售公民个人信息留有空间。而且,《网络安全法》第四十二条第一款进一步明确了合法提供公民个人信息的情形,规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”据此,经得被收集者同意,以及匿名化处理(剔除个人关联),是合法提供公民个人信息的两种情形,不能纳入刑事规制范围。基于此,《解释》第三条第二款规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外。”当然,这里只是明确此种情形属于“提供公民个人信息”,是否构成侵犯公民个人信息罪,还需要根据“违反国家有关规定”等要件作进一步判断。
郜云律师,毕业于云南大学法学院,持有法律职业资格A证。曾就职于法院,现为云南滇西北律师事务所高级合伙人。郜云律师待人热情真诚,善于沟通交流,做事认真负责,法学理论功底扎实,办案经验丰富。擅长刑事辩护、合同纠纷、损害赔偿、法律文书写作等业务。尤其对刑事辩护领域深有研究,多次成功地让无罪的人不受冤枉,让罪轻的人不被重判。从业多年来,素以勤勉尽责、专业高效著称,通过精准地把握案件争议所在,为当事人提供切实可行的解决方案,给予当事人正确的法律引导,降低当事人的法律风险,维护当事人的合法权益。
(四)“非法获取公民个人信息”的认定
根据刑法第二百五十三条之一第三款的规定,窃取或者以其他方法非法获取公民个人信息是侵犯公民个人信息罪的客观行为方式之一。具体而言,以下几个问题值得关注:
1.购买公民个人信息的处理。从实践来看,非法获取公民个人信息的方式主要表现为购买、收受、交换和侵入计算机信息系统或者采用其他技术手段。对于“购买公民个人信息”是否属于“以其他方法非法获取公民个人信息”,存在不同认识。有意见认为,“其他方法”应当限于与“窃取”危害性相当的方式(如抢夺),不宜将“购买”包括在内。经研究认为,其一,刑法第二百五十三条之一第三款并未明确排除“购买”方法,且非法购买公民个人信息当然属于非法获取公民个人信息的情形。其二,从实践来看,当前非法获取公民个人信息的方式主要表现为非法购买,如排除此种方式,则会大幅限缩侵犯公民个人信息罪的适用范围。其三,不少侵犯公民个人信息犯罪案件,购买往往是后续出售、提供的前端环节,没有购买就没有后续的出售、提供。基于上述考虑,《解释》第四条明确规定:“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的‘以其他方法非法获取公民个人信息’。”
2.获取公民个人信息行为“非法”的判断。对于获取公民个人信息,刑法第二百五十三条之一第三款将罪状直接表述为“非法获取”。基于体系解释的原理,对此处的“非法”,应当以是否违反国家有关规定作为判断标准。
3.非法收集公民个人信息的处理。《网络安全法》第四十一条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”违反上述规定,未经他人同意收集公民个人信息,或者收集与提供的服务无关的公民个人信息的,应当认定为“非法获取公民个人信息”。以此为基础,《解释》第四条专门明确,违反国家有关规定,在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
(五)侵犯公民个人信息罪的
定罪
