侵犯公民个人信息的刑事法律责任————解析两高“关于办理侵犯公民个人信息刑事案件适用法律若干问题的
2017-05-13 07:43:32
  • 0
  • 0
  • 4
  • 0

                                                                                             王春晖

      近年来,侵犯公民个人信息犯罪处于高发态势,犯罪涉案利益链条长,团伙内外勾结,犯罪手法逐步升级且更趋隐蔽,受害群体已覆盖各行各业、各个年龄阶段,给人民群众造成了巨大的财产损失和精神恐慌,已经成为严重侵害公民人身权利的社会公害。仅2016年,全国公安机关共侦破网络侵犯公民个人信息案件数量达2100多起,查获公民个人信息500多亿条,抓获的犯罪嫌疑人5000多人,其中属于各行业的内鬼450多人。在侵犯公民个人信息犯罪的案件中,不仅涉及专门为电信网络诈骗分子非法提供个人信息的上游团伙,还涉及金融、通信、快递、教育、医疗等行业中的内鬼,这些内鬼已经成为实施侵犯公民个人信息犯罪的重要主体。目前,侵犯公民个人信息犯罪从非法收集、提供窃取到交易、交换等各个环节已近形成了完整的犯罪利益产业链,且此类犯罪还进一步扩散蔓延。

      为依法惩治侵犯公民个人信息犯罪活动,保护公民个人信息安全和合法权益,最高人民法院和最高人民检察院(以下称:“两高”)在广泛调查研究和反复研究论证的基础上,根据我国刑法和刑事诉讼法的有关规定制定和发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下称:《司法解释》),这是“两高”首次就打击侵犯公民个人信息犯罪联合出台的司法解释,司法解释对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题进行了全面系统规定。

       一、关于司法解释的效力

       按照《立法法》的规定,司法解释属法律解释的一种 ,是国家最高司法机关在适用法律、法规的过程中,对如何具体应用法律、法规的问题所作的解释。 在司法实践中,司法解释主要有三类,第一类是最高人民法院对于审判工作中如何具体应用法律的问题所作的审判解释;第二类是最高人民检察院对于检察工作中的如何具体应用法律的问题所作的检察解释;第三类是最高人民法院和最高人民检察院对具体应用法律的共性问题所作的联合解释。本文涉及的《司法解释》属于第三类。

      司法解释是我国法律解释的重要内容,它在法学实践和法学理论发展中发挥着不可低估的作用。应该指出,司法解释是在法律存在漏洞和法律规定的比较原则和笼统的情况下,对法律的补充,具有填补漏洞的作用。法律漏洞的产生主要基于三个原因:一是立法者对所涉案型未予考虑或考虑得不够周详;二是社会现象和科技发展的日新月异,现行环境及其价值判断不断的发生变化,特别是网络与信息技术进步带来的变化,使原有法律规定对现实不相适应;三是立法者对于认识不成熟的问题不做规定,而有意让最高司法机关来逐步完成。

      根据我国《立法法》的规定,法律解释权属于全国人民代表大会常务委员会,最高司法机关可以向全国人民代表大会常务委员会提出法律解释要求。在我国,司法解释已成为保障法律正确适用的重要手段,是司法经验的高度结晶,具有法律效力。同时司法解释也成为了我国重要法律渊源,并在我国法律体系中占据着十分重要的地位。

      二、《司法解释》就侵犯公民个人信息犯罪对刑法条文进行了扩充解释

    为了打击愈日益猖獗的侵犯公民个人信息的违法犯罪行为,2009年出台的《刑法修正案(七)》首次将出售、非法提供、非法获取公民个人信息的行为认定为犯罪,为保护公民个人信息奠定了刑法基础。由于《刑法修正案(七)》规定的非法获取公民个人信息犯罪的主体仅限于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,犯罪主体和侵犯个人信息行为的范围太窄。2015年出台的《刑法修正案(九)》对本罪条文进行了修改,正式设立了“侵犯公民个人信息罪”,并扩大了犯罪主体和侵犯个人信息行为的范围。但在司法实践中, 《刑法》第二百五十三条之一中的“公民个人信息”没有确定法定范围以及“情节严重”、“情节特别严重”等定罪量刑标准尚不明确,条款中的“违反国家有关规定”内容含混等,致使司法实践中的法律适用问题存在很大争议,亟需通过司法解释予以明确。

    《司法解释》是对《刑法》第二百五十三条之一的扩充,属法律解释中的扩充解释,扩充解释是指当法律条文的字面过于狭窄,不足以表现立法意图、体现社会需要时,对法律条文所作的宽于其文字含义的解释。比如对《刑法》第二百五十三条之一规定“违反国家有关规定”,《司法解释》对“国家有关规定“扩充为违反法律、行政法规、部门规章有关公民个人信息保护的有关规定;再如《刑法》第二百五十三条之一第三款规定,窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。《司法解释》对“以其他方法非法获取”扩充解释为“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息”等。

     鉴于侵犯公民个人信息案件定罪量刑的标准主要依据的是公民个人信息数量,《司法解释》专门扩充规定了数量计算的规则,如《司法解释》规定:“非法获取了他人拨打电话的记录五十条,将其出售给同一人或者单位的,应当认定为侵犯公民个人信息五十条。”“ 非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。”“向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。”等

       三、《司法解释》确定了“公民个人信息”的范围

    《司法解释》第一条规定,刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。我国《网络安全法》第七十六条对“个人信息”的含义专门进行了文意解释,即个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。可见,《司法解释》确定的“公民个人信息”范围不但包括了《网络安全法》确定的“个人信息”的全部内容,而且还增加了公民个人的“账号密码、财产状况、行踪轨迹”等隐私内容。

     笔者认为,从《司法解释》确定的公民个人信保护范围看,《司法解释》重点涉及的是公民个人的隐私信息,这类个人信息的特征是与公共利益、他人利益无关的,为当事人不愿意他人知道或他人不便知道的私人信息,当事人不愿意他人干涉或他人不便干涉的私人活动,当事人不愿意他人侵入或他人不便侵入的私人空间。对此,《全国人民代表大会常务委员会关于加强网络信息保护的决定》第一条明确规定,国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。

      四、《司法解释》关于“情节严重”和“情节特别严重”的认定标准

    根据《刑法》第二百五十三条之一关于“侵犯公民个人信息罪”的定罪与量刑的规定,“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”可见,构成“侵犯公民个人信息罪”的要件为“情节严重”。司法实践中对“情节严重”的判断主要集中在信息类型、信息数量、信息用途、营利数额、犯罪主体等五个方面,为此《司法解释》在总结司法实践的基础上,依照侵犯公民个人信息的信息类型和数量,违法所得数额、信息的用途、行为人的主体身份以及是否属于屡教不改等要素,将“情节严重”设置了十项认定标准(包括一项兜底条款):(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;(七)违法所得五千元以上的;(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;(十)其他情节严重的情形。

       《司法解释》根据侵犯公民信息犯罪的危害后果,确定了实施第五条第一款规定的行为,具有下列四种情形之一的,将认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;(二)造成重大经济损失或者恶劣社会影响的;(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;(四)其他情节特别严重的情形。

       五、为合法经营活动而非法购买、收受公民个人信息将构成“情节严重”的犯罪

      目前,一些些商业机构为了经营活动公开非法购买和收受公民的个人信息,且具有明显的经济目的,这些行为违反了合法、正当、必要的法定原则,侵犯了公民的信息权和隐私权。对此,《司法解释》第六条明确规定,为合法经营活动而非法购买、收受本解释第五条第一款第三项(非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的)和第四项(非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的)规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:(一)利用非法购买、收受的公民个人信息获利五万元以上的;(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;(三)其他情节严重的情形。如果将购买、收受的公民个人信息在非法出售或者提供给他人,定罪量刑标准适用《司法解释》第五条的规定。

     《司法解释》明确了对侵犯公民个人信息犯罪的单位刑事责任,我国刑法对单位犯罪在绝大部分情况下采取两罚制,一是对单位的罚金,二是对直接责任人的刑罚。《司法解释》在两罚制中,对单位是判处罚金,判处罚金采取无限额罚金制,即对罚金的数额未作规定;对直接负责的主管人员和直接责任人员是判处刑罚。《司法解释》第七条规定,对单位触犯刑法第二百五十三条之一规定之罪的,依照对相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。

      六、设立网站侵犯个人信息将构成非法利用信息网络罪

    《司法解释》对《刑法》中的非法利用信息网络罪也进行了扩充解释,《刑法》第二百八十七条之一规定,利用信息网络实施下列行为之一,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金:(一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;(二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;(三)为实施诈骗等违法犯罪活动发布信息的。

      网络时代,侵犯个人信息和实施通讯信息网络诈骗是两大主要新型网络违法犯罪类型,其中违法犯罪活动的网站和通讯群组以及利用网络发布与实施诈骗是上述两大犯罪的两个终端。我国《网络安全法》第四十六条有针对性的设定了两项禁止性规定,一是任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组;二是不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。对此,《司法解释》第八条规定,设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。

      七、网络运营者拒不履行管理义务将触犯刑法

     目前,一些网络运营者和其他商业机构对个人信息的收集、使用、加工、传输,已经到了公开化、常态化、系统化阶段,但是有不少网络运营者是因为履行职责或者提供服务的需要获取公民的个人信息,这些网络运营商掌握了海量的公民个人信息,一旦泄露将造成恶劣社会影响和严重危害后果。我国《网络安全法》第四十五条明确规定,依法负有网络安全监督管理职责的部门及其工作人员,对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。该条重点强调了对个人信息私权的保护。

    刑法修正案(九)专门设定了一个新的罪名“拒不履行信息网络安全管理义务罪”,《刑法》第二百八十六条之一规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。《司法解释》第九条进一步明确,网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。

     《刑法》第二百八十六条之一与《司法解释》第九条在“个人信息”的表述上略有不同,前者使用了“用户信息“,后者则确定为“用户的公民个人信息”。笔者认为,尽管“用户信息”与“公民个人信息”存在交叉,但《司法解释》使用了“公民个人信息”的表述更为准确。事实上,用户信息应该是指用户在接受网络服务提供者的服务过程中被采集、存储、传输的信息,这类信息不仅包括了公民个人的姓名、身份证件号码、通信通讯联系方式、住址等自然信息,也包括了公民个人的账号密码、行踪轨迹、交易记录、浏览记录、通信记录、位置记录等,这些信息均涉及公民个人的隐私信息。关于“造成严重后果”,《司法解释》没有做出明确解释,我以为可以参照《司法解释》第五条的内容,从泄露信息的数量、涉及的用户数量、造成的损失数额等三个方面认定是否致使用户信息泄露达到“造成严重后果”的程度。 至于“拒不改正”,应当包含两种情形,一是监管部门责令采取改正措施,而网络服务提供者不采取改正措施的行为;二是虽然采取了改正措施但仍然没有达到监管部门要求的预期结果和目标。

        “两高”的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》是办理侵犯公民个人信息刑事案件的司法经验的高度结晶,具有法律效力,每个公民、法人和其他组织都必须给与高度重视和尊重,认真学习与领会,并努力在实际工作中加以贯彻。在此,笔者告诫:任何组织和个人均不得非法获取、出售或者提供公民的个人信息,尤其告诫网络服务的经营者教育自己的员工:遵守规则、公平竞争、依法经营、远离犯罪。

最新文章
相关阅读