原创 上海检察 上海检察
法律沙龙
本期目录
一、哪些公民个人信息属于敏感信息?
二、如何判断是否属于“合法经营”?
三、特殊主体间信息共享行为性质如何认定?
四、批量涉案公民信息的真实性如何核实?
五、侵犯公民个人信息犯罪的防范建议
上海政法学院副教授
时任松江区检察院挂职副检察长
近年来,侵犯公民个人信息犯罪日渐频发,不仅严重危害公民个人信息安全,而且常与诈骗等犯罪存在密切关联,社会危害性日益突出。由于相关法律及司法解释较为原则,认定标准尚不够明确,在具体办案过程中往往面临信息种类与数量认定难、信息真实性核查难、合法经营的判断难等诸多疑难问题。为了更加准确地理解、适用法律,今天我们与各位专家一起,对大数据时代中侵犯公民个人信息罪的司法实务问题进行探讨。
上海政法学院副教授
时任松江区检察院挂职副检察长
不同类型公民个人信息的重要程度不同,2017年5月“两高”在《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第五条中根据公民个人信息的类型不同,分别设置了“五十条” “五百条”和“五千条”的入罪标准,但信息种类丰富多样、千差万别,实践中应如何判断公民个人信息是否属于《解释》第五条第(三)、(四)项规定的敏感信息,特别是财产信息?
法条链接
向下滑动查看更多
《刑法》
第二百五十三条之一 侵犯公民个人信息罪
违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。 窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。 单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(二)造成重大经济损失或者恶劣社会影响的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。
陈 兵
上海市第一中级法院刑庭法官
上海市公安局网安总队警官
财产跟财物是有区别的,财产是一个人财物中比较有价值或者价值比较高的一些东西,这方面的信息往往能够精准地反映出一个人不希望被他人所知的一些隐私情况。犯罪分子可以利用这些信息刻画出一个人的经济水平、生活状况甚至生活轨迹。在互联网管理中有一个“等级保护”的概念,简单说就是国家出台的信息系统分级保护措施,通过技术手段将一旦泄露出去会对国家或者社会产生较大影响的数据保护起来。我们在认定信息类型时也可以参考“等级保护”的划分规定。
雷海峰
时任松江区检察院
第一检察部检察官
华东政法大学教授
博士生导师
我将公民个人信息分为高度敏感信息、敏感信息和一般信息。高度敏感信息就是行踪轨迹、通信内容、征信信息、财产信息四类,在高度敏感信息解释的思路和方法上,我赞同严格限制解释的思路。从法条设计上来看,高度敏感信息一定是与公民强烈的自我保护的心理需求密切相关,比如,一个人对自己名下有几套房子和银行里具体存有多少钱,这两种信息的保护需求程度是不一样的。在理解和适用刑法的过程中,要把握好均衡解释的原则,比如某个案件涉及五百条房产信息,是否可以理解为五百条财产信息呢?对此,我常常以故意伤害罪作为对照:泄露五百条以上财产信息就可以判处三至七年有期徒刑,而同样的量刑幅度,故意伤害需要达到致人重伤的后果。那么两者危害程度是否相当呢?另外还要考虑与高度敏感信息中的另外三类信息是否具有同等性。具体的判断路径,一要考量财产信息的完整性,它是不是一个非常具体和完整的财产信息?是不是能够完整直观地反映出被害人的财产状况?二要考量公众的感受度,对于社会一般民众来说能否认为是高度敏感?三要考量信息的获取难度和可能的用途。
上海政法学院副教授
时任松江区检察院挂职副检察长
《解释》第六条专门针对“为合法经营活动而非法购买、收受公民个人信息”的行为设置了入罪门槛,实践中应该如何准确把握“合法经营”的内涵存在争议。比如房产或贷款等中介为开拓业务而购买、收受公民个人信息的行为,能否认定为“合法经营”?又如无营业执照或者超越营业执照范围进行经营的活动,能否认定为“合法经营”?
法条链接
向下滑动查看更多
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
第六条 为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)利用非法购买、收受的公民个人信息获利五万元以上的;
(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;
(三)其他情节严重的情形。
华东政法大学教授
博士生导师
《解释》第六条规定的是指高度敏感信息和敏感信息以外的其他信息,并且要达到情节严重的程度,比如获利五万元以上或被刑事处罚后再犯的,这种情况下虽然信息数量没有达到五千条,也可以入罪。对“合法经营”的理解,我们要综合考量当前整个社会的管理体制、价值观,我们对公民个人信息的保护与其他西方国家相比还是有差距的,立法的动因主要还是出于“该罪容易引发、滋生其他犯罪”方面的考量。在现实生活中有大量的一般信息被企业作为发展客户、提供服务来用,我的理解是法律没有明令禁止的,既不是违法犯罪活动也不是非法经营,可以理解为合法经营。关于《解释》第六条,我们不能把它完全理解为是提高入罪门槛,它与第五条应该是一种交错保护的关系,如果在非法购买、收受后又非法出售或提供的,还应当根据第五条的定罪量刑标准来适用。
陈 兵
上海市第一中级法院刑庭法官
上海市公安局网安总队警官
以房产中介为例,客户签订合约时不是把信息给中介个人,而是默认给整个机构,机构对客户个人信息的正常使用应该是合法的,但如果该机构将这些信息与其他中介机构进行交换或出售,除非事先得到客户许可,否则肯定是违法的。我们对“合法经营”的判断,离不开对信息使用情况的考察,但随着互联网不断发展,信息使用的范围和方法也越来越多,我们在判断某类信息使用行为是否属于“合法经营”时,不宜限制过严,要充分考虑社会影响和社会危害性,还要考虑营商环境和民营企业保护的问题。
上海政法学院副教授
时任松江区检察院挂职副检察长
信息传输人员之间的关系是否需要考量?特殊主体之间的信息共享行为是否要认定为“非法获取、提供”?比如一些房产中介、保险公司同一经营团队成员,出于团队业务开展需要,往往会把公民个人信息在内部进行流转、共享使用,上述情况下是否能认定为“非法获取、提供”?上述问题的界定和认定,或直接影响罪与非罪,或直接关系刑期跳档与否,需要进一步明确。
上海市公安局网安总队警官
从公安机关办案的角度来讲,主要考虑是否为“同一主体”。如果信息采集的主体和共享的主体是属于同一个单位,一般不认为其属于非法获取。如果是同行业或者是其他的企业,没有经过信息主体本人授权或者许可的,我认为就超出了“同一主体”的概念。这里面容易滋生很多其他类型的违法犯罪问题,如果不进行遏制或者打击,可能会产生更加严重的社会危害或者后果。
陈 兵
上海市第一中级法院刑庭法官
法条链接
向下滑动查看更多
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
第三条 向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
第四条 违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
雷海峰
时任松江区检察院
第一检察部检察官
华东政法大学教授
博士生导师
任何人获得公民个人信息,哪怕是在合法的前提下,都有保密义务。客观上所谓的侵犯公民个人信息就是未经他人同意将信息流转出去,这种行为是违反国家规定的。当然,这里我们要区分行为的违法性和刑法处罚的必要性。从信息保护的角度来看,如果信息提供者对信息的传播、流转存在放任,比如卖房子的人希望更多中介帮助推销,这种情况下就不存在违背意愿的情况;但如果信息提供只是点对点的,不希望被第三人所知,这种情况下就有可能构成非法获取、提供。具体到刚才讲的团队内部非法获取信息的相互提供、交换,从客观行为上看,理解为非法获取、提供是没问题的,但从处罚的必要性角度来看,我也同意要严格把握。
上海政法学院副教授
时任松江区检察院挂职副检察长
《解释》第十一条第三款规定,对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。实践中,“批量”信息如何界定?数量在多少以上的可以界定为“批量”信息?对信息数量临界追诉标准或跳档标准的案件,是否需要对信息真实性进行核实?
法条链接
向下滑动查看更多
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
第十一条 非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。
向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。
对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
陈 兵
上海市第一中级法院刑庭法官
上海市公安局网安总队警官
行踪轨迹等高度敏感信息一般数量不多,要求逐条核实问题不大。但大多数案件涉及的批量公民信息都是几万或者甚至于几百万、几千万、上亿,从实际操作上面来看,逐条核实确实有难度。建议可以参考抽样验证的方法,随机抽取一定数量的样本进行核实,然后再根据抽取样本的比例进行推算。
雷海峰
时任松江区检察院
第一检察部检察官
华东政法大学教授
博士生导师
举证责任的倒置只能由立法规定,不宜由司法解释进行规定,所以信息的真实性问题举证责任还是在公诉机关。从司法成本及风险防范角度考虑,建议公安机关在移送案件时要有一个底线结论,根据不同信息的类型至少保证五十、五百、五千条的真实性,这样就守住了入罪的底线,至于其余的数量则是在量刑中要考虑的问题。关于“批量”我认为不需要界定,只需掌握具体数量的标准。大部分案件中个人信息的数量都是万以上单位计量的,逐一核实既不现实也没有很大的意义。我赞成采取随机抽样的方式来做出一个盖然性的判断,但这个盖然性的判断是建立在确定能够入罪这一前提下的,也就是我前面说的至少要保证达到入罪标准数量的真实性,然后在量刑部分再进行盖然性判断。
上海政法学院副教授
时任松江区检察院挂职副检察长
各位嘉宾既有来自公检法实务部门的专家,也有来自高校从事法学研究的学者,基于侵犯公民个人信息犯罪的发案态势,大家能否为我们提一些防范建议?
上海市公安局网安总队警官
目前很多网络违法犯罪的防范,并不专门针对侵犯公民个人信息罪或网络诈骗罪,而是一个体系化、全面化的防范。公民个人信息涉及社会方方面面,公检法固然要发挥作用,但根源还在于行业规范的成熟和完备以及行业协会的监管和预防。这当中少不了运营商、金融机构、各大银行,还有相关的互联网行业协会、互联网头部企业等,首先要想办法将内部的防范体系建好,把数据资源守好;其次,行业内部的从业人员,从入职培训开始就要加强信息保护意识的培养。
陈 兵
上海市第一中级法院刑庭法官
雷海峰
时任松江区检察院
第一检察部检察官
华东政法大学教授
博士生导师
关于大数据时代公民个人信息的保护,可以从三个方面考虑:一是对于公民自身,我们不能对其期待太高,不能把责任完全推到公民个人身上去;二是对于司法机关,可以通过个案的正向引导作用,培养公民对个人信息保护的意识;三是对于行业规范,相关行业往往可以便捷且大量地获取公民个人信息,是信息的主要泄露源,因此要充分管紧并抓好行业规范这个防范重点。
上海政法学院副教授
时任松江区检察院挂职副检察长
今天各位嘉宾从理论、实践的不同视角,对侵犯公民个人信息罪的相关问题进行了深入分析探讨,为我们今后更好的打击、预防此类犯罪提供了重要启发。感谢各位嘉宾的精彩发言,也感谢各院到场干警。
文稿整理:上海市检察院 祁堃
松江区检察院 陈龙鑫
法律沙龙小贴士
1. 尽量不要在网上发布个人敏感信息;
2. 在网购时要设定支付密码和手机短信验证,以防网络信息被盗取;
3. 在陌生的场所,尽量不要去连接自己不熟悉的WiFi,以防止木马植入手机获取手机里的内容;
4. 安装手机APP时,涉及隐私的功能慎重开启;
5.短信中涉及网址的,在不确定短信发送者时,尽量不要点击。
相关案例
邵保明等侵犯公民个人信息案
(案例来源:2017年最高法发布的侵犯公民个人信息犯罪典型案例)
【要旨】非法出售户籍信息、手机定位、住宿记录等个人信息,构成侵犯公民个人信息罪
【基本案情】2016年初起,被告人邵保明、康旭、王杰、陆洪阳、倪江鸿分别以“大叔调查公司”的名义通过在微信朋友圈发布出售个人户籍、车辆档案、手机定位、个人征信、旅馆住宿等各类公民个人信息的广告的方式寻找客户,接单后通过微信向上家购买信息或让其他被告人帮忙向上家购买信息后加价出售,每单收取10元至1000余元不等的费用。经查,被告人邵保明获利人民币26000元,被告人康旭获利人民币8000元,被告人倪江鸿、王杰、陆洪阳各获利人民币5000元。
【裁判结果】浙江省东阳市人民法院判决认为:被告人邵保明、康旭、倪江鸿、王杰、陆洪阳单独或伙同他人,违反国家有关规定,向他人出售公民个人信息,情节严重,其行为均已构成侵犯公民个人信息罪。综合考虑被告人的坦白、退赃等情节,以侵犯公民个人信息罪判处被告人邵保明等五人有期徒刑十个月至一年三个月不等,并处罚金。该判决已发生法律效力。
夏拂晓侵犯公民个人信息案
(案例来源:2017年最高法发布的侵犯公民个人信息犯罪典型案例)
【要旨】非法买卖网购订单信息,构成侵犯公民个人信息罪
【基本案情】2015年10月至2016年7月,被告人夏拂晓买卖大量含有公民姓名、收货地址、手机号码等内容的网购订单信息,非法获利约5万元。被告人夏拂晓在归案后如实供述自己的罪行。
【裁判结果】浙江省绍兴市柯桥区人民法院判决认为:被告人夏拂晓违反国家有关规定,非法获取公民个人信息并向他人出售,情节严重,其行为已构成侵犯公民个人信息罪。综合考虑全案情节,以侵犯公民个人信息罪判处被告人夏拂晓有期徒刑二年,并处罚金人民币二千元。该判决已发生法律效力。
肖凡、周浩等侵犯公民个人信息案
(案例来源:2017年最高法发布的侵犯公民个人信息犯罪典型案例)
【要旨】利用黑客手段窃取公民个人信息出售牟利,构成侵犯公民个人信息罪
【基本案情】被告人肖凡、周浩预谋窃取邮局内部的公民个人信息进行出售牟利,共同出资购买了黑客软件。2016年5月至2016年6月,二人通过黑客软件侵入邮局内网,在邮局内网窃取邮局内部的公民个人信息103257条,并将窃取的公民个人信息全部出售给被告人李晓波。后李晓波将购买的公民个人信息出售给被告人王丽元40000条,王丽元又将购买到的公民个人信息出售给被告人宋晓波30000条。
【裁判结果】内蒙古自治区赤峰市红山区人民法院判决认为:被告人肖凡、周浩通过黑客手段窃取公民个人信息并非法出售,李晓波、王丽元、宋晓波通过购买方式非法获取公民个人信息,其行为均已构成侵犯公民个人信息罪。据此,以侵犯公民个人信息罪判处被告人肖凡、周浩、李晓波各有期徒刑二年,并处罚金人民币五万元;被告人王丽元、宋晓波相应有期徒刑和罚金。该判决已发生法律效力。
丁亚光侵犯公民个人信息案
(案例来源:2017年最高法发布的侵犯公民个人信息犯罪典型案例)
【要旨】非法提供近二千万条住宿记录供他人查询牟利,构成侵犯公民个人信息罪“情节特别严重”
【基本案情】2013年底,一家为全国4500多家酒店提供网络服务的公司因系统存在安全漏洞,致使全国高达2000万条宾馆住宿记录泄露。2015年初至2016年6月,被告人丁亚光通过在不法网站下载的方式,非法获取宾馆住宿记录等公民个人信息,并上传至自己开办的“嗅密码”网站。该网站除了能够查询住宿记录外,还提供用户QQ、部分论坛账号及密码找回功能。其中住宿记录共有将近二千万条,用户经注册成为会员后,可以在网页“开房查询”栏目项下,以输入关键字姓名或身份证号的方式查询网站数据库中宾馆住宿记录(显示姓名、身份证号、手机号码、地址、住宿时间等信息)。丁亚光自2015年5月份左右开始对该网站采取注册会员方式收取费用60元/人,到2016年1月份上调到120元/人。2015年11月1日至2016年6月23日,“嗅密码”网站共有查询记录49698条,收取会员费191440.92元。
【裁判结果】浙江省乐清市人民法院判决认为:被告人丁亚光非法获取住宿记录等公民个人信息后通过网站提供查询服务牟利,供查询的公民个人信息近二千万条,其行为已经构成侵犯公民个人信息罪,且属于“情节特别严重”。综合考虑退赃等情节,以侵犯公民个人信息罪判处被告人丁亚光有期徒刑三年,并处罚金人民币二万元。该判决已发生法律效力。
杜天禹侵犯公民个人信息案
(案例来源:2019年最高法发布的电信网络诈骗犯罪典型案例)
【要旨】非法侵入招生考试信息平台窃取大量考生个人信息并出卖牟利,构成侵犯公民个人信息罪
【基本案情】被告人杜天禹通过植入木马程序的方式,非法侵入山东省2016年普通高等学校招生考试信息平台网站,取得该网站管理权,非法获取2016年山东省高考考生个人信息64万余条,并向另案被告人陈文辉出售上述信息10万余条,非法获利14100元,陈文辉利用从杜天禹处购得的上述信息,组织多人实施电信诈骗犯罪,拨打诈骗电话共计1万余次,骗取他人钱款20余万元,并造成高考考生徐玉玉死亡。
【裁判结果】法院认为,被告人杜天禹违反国家有关规定,非法获取公民个人信息64万余条,出售公民个人信息10万余条,其行为已构成侵犯公民个人信息罪。被告人杜天禹作为从事信息技术的专业人员,应当知道维护信息网络安全和保护公民个人信息的重要性,但却利用技术专长,非法侵入高等学校招生考试信息平台的网站,窃取考生个人信息并出卖牟利,严重危害网络安全,对他人的人身财产安全造成重大隐患。据此,以侵犯公民个人信息罪判处被告人杜天禹有期徒刑六年,并处罚金人民币六万元。
原标题:《75号咖啡|拿什么保护你,我的个人信息——侵犯公民个人信息罪司法实务问题探析》
