【珠海律师、珠海法律咨询、珠海律师事务所、京师律所、京师珠海】
文 | 黄熊律师
《个人信息保护法》深度解读系列往期文章:
个人信息的概念与判断
个人信息主体的权利和救济
一、引言
个人信息保护的首部专门法律《个人信息保护法》,于2021年11月1日起实施。该法第71条规定:“违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。”违反《个人信息保护法》的规定,进入刑事“领地”,最有可能涉嫌的犯罪是“侵犯公民个人信息罪”。本文对该罪的来源、入罪条件、刑事处罚等刑法适用相关问题,予以详细梳理。
二、侵犯公民个人信息罪的渊源
为保护公民个人信息,2009年2月28日起施行的《刑法修正案(七)》增设了刑法第253条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪两个罪名,这是首次直接对侵害公民个人信息的违法行为进行刑罚治理。
为加大对公民个人信息的保护力度,2015年11月1日起施行的《刑法修正案(九)》对刑法第253条之一作出修改完善:一是扩大犯罪主体的范围,规定任何单位和个人违反国家有关规定,获取、出售或者提供公民个人信息,情节严重的,都构成犯罪,而不限于“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”;二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚;三是加重法定刑,增加规定“情节特别严重的,处三年以上七年以下有期徒刑,并处罚金;四是对个别词语进行调整,如删除‘非法提供’中‘非法’二字的限定,在“违反国家规定”中增加“有关”二字,即形成“违反国家有关规定”。修改后,“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。
三、侵犯公民个人信息罪的入罪标准
根据《刑法》第253条之一的规定,侵犯公民个人信息罪,是指违反国家有关规定,向他人出售、提供公民个人信息,情节严重的行为,以及窃取或者以其他方法非法获取公民个人信息的行为。由此,侵犯公民个人信息罪的客观行为方式,包括如下四种:
- 违反国家有关规定,向他人出售公民个人信息,情节严重的行为;
- 违反国家有关规定,向他人提供公民个人信息,情节严重的行为;
- 窃取公民个人信息的行为;
- 以其他方法非法获取公民个人信息的行为。
简言之,侵犯公民个人信息犯罪涉及出售、提供、窃取、非法获取四种行为,其中前两种,不仅有“行为方式”的限定,而且有“法律禁止性规定”为前提和行为程度上的要求,后两种因行为本身即具有非法性,仅表现为“行为方式”。下面对四种行为进行详细说明。
(一)关于“违反国家有关规定”
“违反国家有关规定”是“出售”“提供”行为的前提条件,是在原“违反国家规定”基础上修改而成的。根据《刑法》第96条规定,“国家规定”是指违反全国人大及其常委会制定的法律、决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。而“国家有关规定”显然范围更大,根据《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第2条规定,违反法律、行政法规、部门规章有关公民个人信息保护的规定,应当认定为“违反国家有关规定”,也就是扩大到了“部门规章”,同时又仅限定于法律、行政法规、部门规章三个层面,不包括地方性法规等非国家层面的规定,也不包括国家标准、地方标准等非法律规范中的规定。
随着国家保护公民个人信息保护体系的建立和逐渐完善,国家关于公民个人信息保护的有关规定具体是指:
关于公民个人信息保护的法律,主要包括:
1、《全国人民代表大会常务委员会关于加强网络信息保护的决定》
第3条规定:“网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。”
第10条规定:“国家机关及其工作人员对在履行职责中知悉的公民个人电子信息应当予以保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。”
2、《民法典》
第111条规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”
第1035条规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
- 征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
- 公开处理信息的规则;
- 明示处理信息的目的、方式和范围;
- 不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”
第1038条规定:“信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。”
第1039条规定:“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”
3、《网络安全法》
第42条规定:“未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”
第44条规定:“任何个人和组织不得窃取或者以其他非法方法获取个人信息,不得非法出售或者非法向他人提供个人信息。”
第45条规定:“依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。”
4、《数据安全法》
第38条规定:“国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。”
5、《个人信息保护法》
第10条规定:“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。”
第23条规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。”
第36条规定:“国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。”
第38条规定:“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
- 依照本法第四十条的规定通过国家网信部门组织的安全评估;
- 按照国家网信部门的规定经专业机构进行个人信息保护认证;
- 按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
- 法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。”
第39条规定:“个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。”
第40条规定:“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”
第41条规定:“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。”
第55条规定:“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
- 处理敏感个人信息;
- 利用个人信息进行自动化决策;
- 委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
- 向境外提供个人信息;
- 其他对个人权益有重大影响的个人信息处理活动。”
6、《消费者权益保护法》
第29条规定:“经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。”
关于公民个人信息保护的行政法规,主要包括:
1、《地图管理条例》
第35条:“互联网地图服务单位收集、使用用户个人信息的,应当明示收集、使用信息的目的、方式和范围,并经用户同意。
互联网地图服务单位需要收集、使用用户个人信息的,应当公开收集、使用规则,不得泄露、篡改、出售或者非法向他人提供用户的个人信息。
互联网地图服务单位应当采取技术措施和其他必要措施,防止用户的个人信息泄露、丢失。”
2、《征信业管理条例》
第13条:“采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。
企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。”
第14条:“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。
征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是,征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意的除外。”
第18条:“向征信机构查询个人信息的,应当取得信息主体本人的书面同意并约定用途。但是,法律规定可以不经同意查询的除外。
征信机构不得违反前款规定提供个人信息。”
第20条:“信息使用者应当按照与个人信息主体约定的用途使用个人信息,不得用作约定以外的用途,不得未经个人信息主体同意向第三方提供。”
关于公民个人信息保护的部门规章,主要包括:
1、工业和信息化部2011年1229日公布的《规范互联网信息服务市场秩序若干规定》(第11条、12条);
2、工业和信息化部2013年7月16日公布施行的《电信和互联网用户个人信息保护规定》;
3、国家互联网信息办公室2019年10月1日公布实施的《儿童个人信息网络保护规定》;
4、中国人民银行2005年8月18日公布的《个人信用信息基础数据库管理暂行办法》。
(二)关于提供公民个人信息
这主要包括两种:一是向特定人提供公民个人信息;二是通过信息网络或者其他途径发布公民个人信息,即向不特定多数人提供公民个人信息。这里仅仅限定的是“提供”,而没有限定来源是否合法、提供行为本身是否合法。在判断时,需要依据前述“违反国家有关规定”来分析。如果没有违反国家有关规定,即合法的提供公民个人信息,则不具有非法性,不在刑法调整之列。比如,提供前征得了个人信息被收集者的同意,或者提供了个人的已进行匿名化处理、无法再识别特定个人且不能复原的信息。
(三)关于窃取或非法获取公民个人信息
在实践中,主要表现为以购买、收受、交换和侵入计算机信息系统或者采取其他技术手段的方式获取,其中:购买是最常见的非法获取手段,如电信诈骗中,诈骗分子为实施犯罪而购买公民个人信息,房产中介、物业管理公司、保险公司、担保公司的业务员与同行通过QQ、微信群互相交换各自掌握的客户信息,也属于非法获取行为。同时,根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息形式案件适用法律若干问题的解释》第4条规定,违反国家有关规定,在履行职责、提供服务过程中收集公民个人信息的,属于以其他方法获取公民个人信息。这包括未经他人同意收集公民个人信息,也包括收集与提供的服务无关的公民个人信息。
(四)关于情节严重
根据刑法第253条之一的规定,非法获取、出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。可见,侵犯公民个人信息罪系“情节犯”,“情节严重”是入罪条件,而非加重因素。
那么何为“情节严重”?根据《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条的规定,非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为“情节严重”:
- 出售或者提供行踪轨迹信息,被他人用于犯罪的;
- 知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
- 非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
- 非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
- 非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
- 数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
- 违法所得五千元以上的;
- 将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
- 曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
- 其他情节严重的情形。
上述10种“情节严重”的情形,看似复杂,实际有迹可循,其是按照一定的标准进行列举的:
一是信息类型和数量。从上述列举的内容看,个人信息的信息类型可划分为三类:一是高度敏感信息,这些信息一旦泄露,将很大可能导致人身财产安全受到威胁,在前述情节严重的情形中,包括行踪轨迹信息、通信内容、征信信息、财产信息四类信息。鉴于这些入罪标准门槛较低,司法适用中不得再通过等外解释予以扩大,四类信息中的前三类较为把握,对于财产信息,通常既包括银行账户、第三方支付结算账户、证券期货等金融服务账户的身份认证信息,也包括存款、房产等财产状况信息。二是重要敏感信息,这些信息一旦泄露有可能影响人身、财产安全,比如住宿信息、通信记录、健康生理信息、交易信息等。这里的“等”在司法实务中,可以做等外解释,与前述第一类的严格封闭性不同。三是上述两类信息之外的其他信息。这三类信息在构成犯罪上,分别对应的“情节严重”的数量是50、500、5000条以上。即上述列举中的第(三)、(四)、(五)三种情形。此外,现实犯罪中,信息类型并非单一,往往混杂多种个人信息类型,在考虑情节严重时,不能因分别未达到各自条件而否定犯罪,如果“数量未达到上述标准,但按相应比例合计达到有关数量标准”情形,也规定为“情节严重”。
这里要说明的一个问题是如何计算个人信息的条数。一人的数个个人信息,作为一条公民个人信息,当争议不大。但针对同一对象非法获取公民信息后又出售或者提供的情形,以及向不同单位或者个人分别出售、提供同一公民个人信息的情形,根据《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第11条规定,前者不重复计算,后者累积计算。此外,对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
二是违法所得数额。侵犯公民个人信息罪虽然未要求以营利为目的,但出售或者非法提供、窃取等的目的往往是牟利,以违法所得来衡量情节轻重,有利于遏制该类犯罪。司法解释将“情节严重”的界线确定为5000元。即前述列举中的第(七)项情形。
三是信息用途。出售、非法提供、窃取公民个人信息,通常并非单纯占有,而是另有他途:如果将涉案的公民个人信息用于实施其他犯罪活动,使权利人的人身、财产安全陷入高风险状态或者造成实质危害的,比如,行踪轨迹信息,可直接认定为“情节严重”,此情况下,不用考虑嫌疑人的主观心理状态到底是知道还是不知道,如果是行踪归集信息之外,则应当要求犯罪嫌疑人具有主观上的故意,即知道或者应当知道他人利用公民个人信息实施犯罪。即前述列举的第(一)项、(二)项情形。
四是主体身份。根据《刑法》第253条之一的规定,如果是将在履行职责或者提供服务过程中获得的公民个人信息予以出售、非法提供,将从重处罚。“从重处罚”的前提是构成犯罪,这类特殊主体在涉案信息数量、违法所得数额达到前述一般主体的一半,即认为情节严重。如果达到一般主体的标准,即相对于一般主体而言可实现从重处罚。这是前述列举中的第(八)项。
五是主观恶性。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的,行为人屡罚屡犯,主观恶性大。这里对再犯并无个人信息数量、类型的要求,即可认定为“情节严重”。
侵犯公民个人信息罪作为情节犯,在属于“情节严重”的情况下,即构成犯罪。如果情节特别严重,则属于加重型。那么何为“情节特别严重”?根据《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第6条规定,实施前款规定的行为,具有下列情形之一的,应当认定为情节特别严重:
- 造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
- 造成重大经济损失或者恶劣社会影响的;
- 数量或者数额达到前款第三项至第八项规定标准十倍以上的;
- 其他情节特别严重的情形。
从上述列举内容看,“情节特别严重”的情形包括两个标准:一是数量数额标准。基于司法实践中侵犯公民个人信息犯罪涉案的公民个人信息数量相差悬殊,跨度从几千条到几十万条(甚至更大数量)不等,将“情节特别严重”和“情节严重”之间的数量数额标准设置为十倍而非五倍的倍数关系。二是严重后果。从实践来看,非法获取、出售或者提供公民个人信息,对于个人而言,可能造成人身伤亡、经济损失等后果;对于社会而言,可能引发社会恐慌,造成恶劣社会影响。基于此,将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的”“造成重大经济损失或者恶劣社会影响的”规定为“情节特别严重”。
四、与侵犯公民个人信息犯罪关联的犯罪
与侵犯公民个人信息犯罪相关联的犯罪,最多的可能是涉及如下四个犯罪,即诈骗罪、非法利用信息网络罪、非法获取计算机信息系统数据罪,以及拒不履行信息网络安全管理义务罪。
对于诈骗罪,主要是由于侵犯公民个人信息犯罪与电信网络诈骗犯罪相交织。这种情况下,要认真审查非法获取、出售、提供公民个人信息的犯罪嫌疑人对电信网络诈骗犯罪的参与程度,集合能够证实其认知能力的学历文化、聊天记录、通话频率、获取固定报酬还是参与电信网络诈骗犯罪分成等证据,分析判断其是否属于诈骗共同犯罪。
对于非法利用信息网络罪,根据《刑法》第287条之一规定,设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。针对个人信息,如果设立用于实施出售、提供或者非法获取公民个人信息违法犯罪活动的网站、通讯群组,情节严重,既可能构成非法利用信息网络罪,也可能同时也触犯了侵犯公民个人信息罪的,应当择重罪处罚,即认定为侵犯公民个人信息罪。
对于非法获取计算机信息系统数据罪,根据《刑法》第285条规定,违反国家规定,侵入国家事务、国防建设、尖端科学技术领域之外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的,处三年以下有期徒刑或拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。针对个人信息,如果技术手段非法侵入合法存储公民个人信息的单位数据库窃取公民个人信息的行为,则既可能构成非法获取计算机信息系统数据罪,也可能同时触犯侵犯公民个人信息罪,应择一重罪论处。
对于拒不履行信息网络安全管理义务罪,根据《刑法》第286条规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户信息泄露,造成严重后果的,构成拒不履行信息网络安全管理义务罪。此情形不符合侵犯公民个人信息罪的客观行为特征,不构成侵犯公民个人信息罪。但是,该罪的设立完善了公民个人信息保护链条,是落实网络安全法确立的“谁收集、谁负责”原则的体现。网络运营者对收集的用户信息严格保密,便能防止用户个人信息的扩散。
五、侵犯公民个人信息犯罪的量刑
侵犯公民个人信息罪的量刑,有两个档次:一是在情节严重的情况下,处三年以下有期徒刑或者拘役,并处或者单处罚金;二是在情节特别严重的情况下,处三年以上七年以下有期徒刑,并处罚金。
从上述法定刑看,对侵犯公民个人信息罪的被告人,至少是应当有罚金刑的。主要的原因是侵犯公民个人信息犯罪具有明显的牟利性,行为人实施该类犯罪主要是为了谋取非法利益。通过适用财产性来剥夺被告人再次实施此类犯罪的经济能力。对于罚金的数额,如何确定?根据《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第12条的规定,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人前科情况、认罪悔罪态度等,确定罚金数额。但通常罚金数额是违法所得的一倍以上五倍以下。
此外,上述定罪量刑是在构成犯罪的情况下的“法定刑”,实际情况则可能在上述基础上,出现从重从宽处罚等情形。
(1)从重情形。根据《刑法》第253条之一的规定,违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
(2)从宽情形。在审查起诉或审理进行量刑过程中,对于虽然实施了侵犯公民个人信息犯罪,但不属于情节特别严重,行为人系初犯,全部退赃,并确有悔罪表现的,根据《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第10条规定,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。
律师简介
黄熊律师 京师律所IP诉讼法律事务部主任
黄熊律师,京师律所合伙人律师、京师律所新联会常务副会长,北京互联网法院、广州互联网法院特邀调解员、中国中小企业协会调解中心调解律师、法治网优秀合作律师、北京市律师协会第十一届专利法律委员会委员、北京市朝阳区律师协会知识产权委员会委员、中央电视台CCTV公益律师、CCTV“十大人气律师”;为阿里巴巴、华为、360、腾讯、网易、搜狗、锤子科技、国家电网系统、国电能源研究院等一大批知名公司提供全项或知识产权专项法律服务;撰写理论或实务探讨文章数十篇,被国家知识产权局、专利复审委网站、各大法律公众号以及各类专业期刊、报纸持续登载,广受好评。
核心业务领域:知识产权、合同、侵权、劳动以及婚姻家事等民商事领域,集团诉讼、行政诉讼以及重点刑事案件。
