随着科学技术的快速发展,各式各样的网络平台和软件不断兴起,科学技术在给公民带来方便与乐趣的同时,也隐藏了不小的风险。大家都在逐渐变为“透明人”,个人信息安全成为一个重大隐患。近年来此类案件不断增多,《中华人民共和国刑法修正案(九)》将原第二百五十三条之一的“违反国家规定”修改为“违反国家有关规定”,将范围扩大,降低了其罪的入罪门槛,在司法辩护中有一定的挑战性。
一、侵犯公民个人信息罪相关法律规定
2015年,《刑法修正案(九)》正式颁布实施,将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”统一纳入“侵犯公民个人信息罪”中。2017年,“两高”颁布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,进一步细化了个人信息的定义、种类和量刑标准,为司法实践提供了指引。2021年,《个人信息保护法》颁布实施,对个人信息的内涵、分类和侵犯个人信息方式进行了更加系统和详细的划分,并将个人信息保护纳入公益诉讼。
【侵犯公民个人信息罪】
《中华人民共和国刑法》第二百五十三条之一 【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
公民个人信息的概念界定
《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
定罪量刑标准
当行为人违反国家有关规定,对公民个人信息实施了上述行为,还需至少达到“情节严重”的定罪标准,才会构成“侵犯公民个人信息罪”。具体而言,该罪分为两个量刑档次:情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
二、司法实践案例
通过“威科先行”平台检索“侵犯公民个人信息罪”,显示相关裁判文书共17750篇,2016年~2022年各年案件数如图,呈现出逐步上升而后下降的趋势,2020年达到峰值,近两年来大幅度下降。
近年来,案件数和涉案人数逐年减少,其罪多为单位犯罪,通过对裁判文书的研究发现,其罪在司法实践中的难点多为:公民个人信息的分类标准边界较为模糊、是否成立犯罪存在争议,同时共同犯罪的认定存在困难等。
案例一:【指导性案例】(2020)沪0109刑初957号
【基本案情】
2019年6月至2020年2月间,被告人闻巍(时任上海XX有限公司运营总监)经事先联系,与微信、QQ名为“发乐”“来立中”“我怕冷风吹”等人约定,以人民币6元/张的价格为上述人员批量注册激活该公司“爱球钱包”APP应用的“中银通·魔方元”联名预付费卡,并从上述人员处通过微信、QQ获得百度网盘分享链接的方式获取公民个人信息(公民身份证正反面照片),由朱旭东从该网盘链接中下载至移动硬盘内,交由中银通工作人员用于批量注册激活。被告人朱旭东在闻巍离职后以同样方式进行公民个人信息的交易
2019年12月,被告人张江涛通过其所在的QQ群向他人购买公民个人信息数据并转存在其百度网盘账号内,同时将数据分多次转卖给张某,分多次收取费用共计人民币19,600元。
经核实,从闻巍“ErnieGullit”网盘内清点公民个人信息(公民身份证正反面照片)一万余组,从朱旭东“zhuxudn”网盘内清点公民个人信息(公民身份证正反面照片)三千余组,从张某分享给朱旭东的网盘内清点公民个人信息(公民身份证正反面照片)为41,654组,从张江涛的网盘内清点公民个人信息为60,101组。
【裁判结果】
一、被告人闻巍犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币一万元。
二、被告人朱旭东犯侵犯公民个人信息罪,判处有期徒刑三年三个月,并处罚金人民币一万元。
三、被告人张江涛犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币二万元。
四、违法所得及作案工具予以追缴没收。
【法院认为】
被告人闻巍、朱旭东、张江涛违反国家有关规定,非法获取或出售公民个人信息,情节特别严重,其行为均应当以侵犯公民个人信息罪追究其刑事责任。本案部分犯罪事实系单位犯罪,其中被告人闻巍、朱旭东在各自所参与的部分犯罪中系直接责任人员。本案部分犯罪事实又系共同犯罪,被告人闻巍、朱旭东在各自所参与的部分的犯罪中均起主要作用,不宜区分主从犯。
(一)、关于本案公民个人信息的种类问题
经查,《解释》第五条第四项中所规定的信息种类往往与人身安全、财产安全直接相关,往往被用于各类违法犯罪活动,因而《解释》第四项将入罪标准设置为“五百条以上”,翻档标准设置为“五千条以上”。需要注意的是,本项规定有“等其他可能影响人身、财产安全的公民个人信息”的表述,司法实践中完全可以根据具体情况作等外解释,但应当确保所适用的公民个人信息涉及人身、财产安全,且与“住宿信息、通信记录、健康生理信息、交易信息”在重要性程度上具有相当性。
(二)、被告人闻巍在共同犯罪中的作用
经查,被告人闻巍作为上海XX有限公司运营总监,代表好体公司与B公司谈妥联名预付费卡推广业务后,为快速完成公司业绩指标,获取工资奖金,在明知“发乐”“来立中”“我怕冷风吹”等人作为“信息黄牛”大量办卡目的在于通过虚假交易骗取中国A公司优惠补贴的情形下,仍伙同朱旭东积极获取该些“信息黄牛”非法提供的批量公民个人信息,并以6元/张的价格为上述“信息黄牛”批量注册激活相关预付费卡,社会危害性大,综观其犯罪行为表现,对本案其所参与部分的单位犯罪和共同犯罪结果的促成起了直接、关键作用,故理应认定为主犯。故被告人闻巍的辩护人提出的被告人闻巍应认定为从犯的辩护意见与事实和法律不符,本院不予采纳。
案例二:(2018)沪0116刑初839号
【基本案情】
2016年1月至2017年10月期间,被告人柯某某创建及经营管理“房利帮”网站,主要通过从房产中介人员处有偿获取本市二手房出租、出售房源信息,或者安排公司员工从微信群、其他网站等获取部分房源信息,并对信息的准确性进行核实后,将房源信息以会员套餐方式提供给“房利帮”网站会员付费查询使用,被告人柯某某以此获利。期间,房产中介人员向“房利帮”网站上传房源信息时未事先取得信息权利人即房东的同意及授权,被告人柯某某在获取房源信息时也未对信息的合法性进行审查,并在安排公司员工通过电话向房东核实信息过程中,存在冒充其他中介(包括知名中介)名义进行核实的情况,未如实告知“房利帮”网站的真实身份及使用信息的方式、目的等并取得房东的同意、授权。至案发,被告人柯某某共获取房源信息30余万条,并通过收取会员套餐费方式获利人民币150余万元。
【裁判结果】
一、被告人闻巍犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币一万元。
二、被告人朱旭东犯侵犯公民个人信息罪,判处有期徒刑三年三个月,并处罚金人民币一万元。
三、被告人张江涛犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币二万元。
四、违法所得及作案工具予以追缴没收。
【法院认为】
被告人柯某某非法获取、出售公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪。被告人柯某某到案后能如实供述自己主要犯罪事实,可以从轻处罚。综合本案犯罪事实、性质、情节及社会危害性,对被告人柯某某可适用缓刑。
案例三:【典型案例】李某侵犯公民个人信息案
2020年6月至9月,李某制作了一款可以窃取安装者手机内的照片的软件。当手机用户下载安装该软件打开使用时,软件就会自动获取手机相册的照片并且上传到李某搭建的服务器后台。李某将该软件发布在暗网某论坛售卖,截至2021年2月9日,共卖得网站虚拟币30$。后李某为炫耀技术、满足虚荣心,又将该软件伪装成“颜值检测”软件,发布在某论坛供网友免费下载安装,以此方式窃取安装者手机相册照片1751张。其中,含有人脸信息、姓名、身份证号码、联系方式、家庭住址等100余条公民个人信息。
2020年9月,李某又用虚拟币在该暗网的论坛购买“社工库资料”并转存于网盘。2021年2月,李某为炫耀自己的能力,明知“社工库资料”含有户籍信息、车主信息等,仍将网盘链接分享到“业主交流”QQ群(150名成员)。经去除无效数据、合并去重后,该“社工库资料”包含公民个人信息共计8100余万条。
【裁判结果】
奉贤区人民法院审理认为,李某具有坦白情节,且自愿认罪认罚,对其依法从宽处理,以侵犯公民个人信息罪判处李某有期徒刑三年,缓刑三年,并处罚金。
【典型意义】
(一)对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。侵犯公民个人信息犯罪中,涉案信息动辄上万乃至数十万条,在海量信息状态下,对信息逐一核实在客观上较难实现。所以,实践中允许适用推定规则,即根据查获的数量直接认定,但这不意味着举证责任倒置,对通过技术手段可以去重的,应当作去重处理,排除重复的信息。对信息的真实性,可以采取抽样方式进行验证。
(二)人脸信息是具有不可更改性和唯一性的生物识别信息。人脸识别技术给生活带来便利的同时,也容易被犯罪分子窃取利用或者制作合成,破解人脸识别验证程序,侵害隐私、名誉和财产。生活中,要谨慎下载使用“颜值检测”等“趣味”软件,防范个人信息泄露,造成合法权益受损。
三、辩点分析
在审查认定违法所得数额过程中,会以查获的银行交易记录、第三方支付平台交易记录、聊天记录、行为人供述、证人证言综合予以认定,对于行为人无法说明合法来源的用于专门实施侵犯公民个人信息犯罪的银行账户或第三方支付平台账户内资金收入,会综合全案证据认定为违法所得。
对于违法所得,是直接以行为人出售公民个人信息的收入予以认定,不扣减其购买信息的犯罪成本。
(一)行为人非法所得的数额未达立案标准,行为人的行为没有违反国家有关规定且提供信息数量没有达到五千条以上的,其行为不构成犯罪。事实不清,证据不足,无法证明犯罪事实。
(二)主观方面:行为人主观上缺乏犯罪故意。
在司法实践中,可从当事人主观意图上进行辩护。具体可以参考情节显著轻微,危害不大,涉案信息数量少,或在共同犯罪中起次要作用,系从犯获利少,具有退赃、坦白、认罪认罚情节等。
若不属于情节严重,可结合行为人全部退赃,并确有悔罪表现等,进行免予起诉辩护或是免予刑事处罚的量刑辩护
四、刑事风险防范与化解
2021年施行的《中华人民共和国个人信息保护法》填补了个人信息保护专门性立法的缺位,这有助于进一步理解侵犯公民个人信息罪的保护法益,同时也为国内企业进行收集个人信息合规建设提供了重要的指引作用,有助于规范企业的经营管理活动。
平台方
对于企业来说,可以对用户个人信息进行分类保护,根据《个人信息保护法》第五十一条之规定,个人信息的保护,是企业内部管理的基本要求。此前,《数据安全法》第十九条要求国家根据数据在经济社会发展中的重要程度,以及对国家安全、公共利益或者公民、组织合法权益造成的危害程度,实行数据分级分类保护。目前,相关部委指导性文件和标准为企业内部开展个人信息分级分类管理提供了很好的思路。比如《工业数据分类分级指南(试行)》提出了对工业数据的分类和分级标准;《证券期货业数据分类分级指引》综合影响对象、范围、程度三要素对数据定级;《个人金融信息保护技术规范》对个人金融信息进行了分类分级等。
同时可以从自身的实际业务和经营出发,建立内部的个人信息分类机制,严格区分敏感个人信息和一般个人信息,按照个人信息的内容、价值和安全风险制定不同的级别。需要注意的是,对个人信息进行分类分级后,企业仍需采取一系列配套措施实现个人信息的安全管理。包括制定个人信息分类的制度、操作指引,尤其是确定更新机制;设置个人信息分类分级的负责机构和岗位,明确职责,引入培训、考核机制等;明确个人信息共享、授权使用等流动过程的合规要求。
签署岗位保密协议。在与员工签订的劳动合同中,明确个人信息安全及保密相关的义务,同时加强对员工进行有效的合规培训,引入考核机制;系统账号密码专人专用。对员工处理信息权限分级管理,对录入、访问、更新、维护权限进行区别,与个人信息分级相匹配,保证专人专用;个人信息处理工作留痕。建立日志管理,严格监控操作过程;建立事前评估机制,完善个人信息泄露的补救机制,建立责任追究制度。
律师团队介绍
陈志华
海华永泰高级合伙人(有限权益)
陈志华律师自2005年1月起从事律师工作,致力于:企业常年法律服务,主要服务内容为:公司制度建设、合同审核、协助员工管理、协助对外商业谈判等;企业股权架构设计;企业经济诉讼;企业劳动仲裁/诉讼;专利无效/侵权代理;商标流程代理;商业秘密、专利、商标、不正当竞争维权代理。
李 瑾
海华永泰刑事业务委秘书长
南京大学法学学士,复旦大学刑法学硕士。2005年首次执业,在律师事务所担任专职律师,为多家外资企业提供常年法律顾问、公司新设、分立、合并、股权变更、转让、重组项目等法律服务。2007年从事审判工作。2020年6月辞去公职,加入海华永泰律师事务所。
崔雯兰
律 师
2019年1月毕业于华东理工大学,经济法硕士学位。主要执业领域为民商事争议解决、常年法律顾问、知识产权代理、劳动争议处理等业务。
王田田
律师助理
2022年6月毕业于华东理工大学,知识产权第二学士学位。致力于知识产权及民商事方向的法律服务与研究。(海华文)