地区

刑法第二百五十三条之一【侵犯公民个人信息罪】

来源:m.055110.com   日期:2024-11-21 阅读次数:

《刑法》第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的(5千条/5千元),处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的(5万条/5万元),处三年以上七年以下有期徒刑,并处罚金。

违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。

单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。

由于法律法规司法解释每年都会出现新变化,苏义飞律师将在此网站页面每年更新一次该罪名的刑法理论和量刑标准:

张明楷《刑法学》第六版第1200页:“公民”不包括单位与死者在内。

大体可以肯定的是,并不是任何一项信息就足以单独构成本罪的个人信息。再如,提供100个手机号码,但没有对应的姓名与其他可能识别姓名的信息,不可能成为公民个人信息。

黎宏《刑法学各论》2016年版第270页:必须公开的个人资料不属于本罪的行为对象。譬如,随着政务公开的推进,国家机关工作人员依法公示的个人资料,如家庭住宅、电话号码、子女工作情况、家庭财产等,非属本罪之行为对象。


指导性案例194号熊昌恒等侵犯公民个人信息案:微信不仅作为一种通讯工具,同时还具备社交、支付等功能。微信号和手机实名绑定,与银行卡绑定,和自然人一一对应,故微信号可认为是公民个人信息。

被告人违法处理已公开的个人信息并从中获利,违背了该信息公开的目的或者明显改变其用途,该信息被进一步利用后危及个人的人身或财产安全,情节特别严重,其行为构成侵犯公民个人信息罪。

(2024年)房产信息的属性归属:判断涉案房产信息是否属于“财产信息”的范畴,坚持主客观相统一原则,以信息流向作为信息类型归属的重要判断因素。涉案房产信息被房屋中介公司、装修公司工作人员购买,用于业务推广的,通常不会影响人身财产安全,一般不宜认定为财产信息。

(2024年)公民个人房屋权籍调查信息的属性归属:判断涉案信息是否属于“财产信息”的范畴,可以结合信息获取渠道和交易价格考量。司法实践中,作为佐证,可以将信息交易价格作为敏感信息判断的辅助因素。通常而言,敏感信息、特别是高度敏感信息的交易价格要远远高于一般公民个人信息。

(2024年)公开信息的刑法保护规则:在相关信息已经合法对外公开的情况下,要求行为人的收集、整理、交换等行为仍需得到“被收集者同意”的要求过于苛刻也不合理。

对于自行公开的或者其他已经合法公开的个人信息,行为人获取相关信息后出售、提供的行为,一般不宜以侵犯公民个人信息罪论处。

(2024年)非法买卖网购订单信息的处理:网购订单信息与财产安全直接相关,属于敏感信息的范畴,可以归入《 最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第五条规定的“交易信息”。

(2024年)行踪轨迹信息的认定:对于行踪轨迹信息的认定,原则上只宜理解为GPS定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息。

(2024年)公开个人信息型网络暴力行为的定性:对通过“人肉搜索”“开盒”等方式,在网络上非法曝光他人隐私、发布公民个人信息等网络暴力行为,可以依法适用侵犯公民个人信息罪的规定。

(2024年)张某甲等诈骗案-诈骗罪与关联犯罪的数罪并罚问题:使用非法获取的公民个人信息,实施电信网络诈骗行为,构成数罪的,应当依法予以并罚。

(2024年)杨某石诈骗案-对向电信网络诈骗犯罪提供公民个人信息行为以诈骗罪共犯论处的情形:明知他人实施电信网络诈骗犯罪,向其提供大量公民个人信息的,应当综合主观明知程度、行为手段、获利情况等情节,妥当作出处理,确保罪责刑相适应。对于主观明知程度较高,非法获利数额巨大,提供的公民个人信息对下游电信网络诈骗发挥作用较大,适用侵犯公民个人信息罪不足以罚当其罪的,可以以诈骗罪的共同犯罪论处。

[第1487号]收集并出售、提供他人自愿在公开网站上发布的信息是否构成侵犯公民个人信息罪:在法律、法规没有明确禁止的情况下,认定是否属于“合理处理”,是否“侵害重大利益”,更需要遵循刑法的谦抑性。基于此,在判断相关行为是否属于“合理使用”时,必须以是否严重侵犯信息主体的重大利益为核心,遵循“法无禁止即可行”原则。对“合理处理”的认定,应当采用相对宽泛的理解。原则上,只要法律、法规没有明确禁止的处理行为,均可以认定为合理处理,至少不应认定为犯罪。

即使在民法典、个人信息保护法施行后,对于本案中信息主体出于商业目的自愿公开姓名、电话等个人信息,行为人基于单纯获利目的出售、提供、交换,未对信息主体的人身、财产或人格利益造成具体、重大风险,未违反法律、法规禁止性规定的,亦不应当认定为侵犯公民个人信息罪。

[第719号]互联网平台未经许可转载公开的企业股东信息不构成侵犯公民个人信息罪:互联网是一个开放的平台,如果信息所有者自行或者通过单位将信息公布于网站上,应当推定其同意公开个人信息。作为一个理性的个人,应当能预见信息公开的后果,所以在选择公开的程度和方式时会有所控制,不会将私密性较强的信息公布于网站上。所以,即使这些公开的信息被他人搜索到之后再整理出售, 一方面该行为的危害程度有限,另一方面该行为的后果是信息所有者应当能够预见到的,所以不宜入罪。


(2021年)个人信息保护法

第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。


(2020年)民法典

第一千零三十六条 【处理个人信息免责事由】处理个人信息,有下列情形之一的,行为人不承担民事责任:

(一)在该自然人或者其监护人同意的范围内合理实施的行为;

(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;

(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。


(2024年)最高人民法院、最高人民检察院关于常见犯罪的量刑指导意见(二)(试行)

(三)侵犯公民个人信息罪

 1.构成侵犯公民个人信息罪的,根据下列情形在相应的幅度内确定量刑起点:

(1)犯罪情节严重的,在一年以下有期徒刑、拘役幅度内确定量刑起点。

(2)情节特别严重的,在三年至四年有期徒刑幅度内确定量刑起点。

2.在量刑起点的基础上,根据非法获取、出售或者提供信息数量及类型、违法所得数额、危害后果等其他影响犯罪构成的犯罪事实增加刑罚量,确定基准刑。

3.违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,增加基准刑的10%-30%。

 4.构成侵犯公民个人信息罪的,根据违法所得数额等犯罪情节,综合考虑被告人缴纳罚金的能力,决定罚金数额。

5.构成侵犯公民个人信息罪的,综合考虑非法获取、出售或者提供信息数量及类型、违法所得数额、危害后果、退赃退赔等犯罪事实、量刑情节,以及被告人的主观恶性、人身危险性、认罪悔罪表现等因素,决定缓刑的适用。


(2021年)最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)

五、非法获取、出售、提供具有信息发布、即时通讯、支付结算等功能的互联网账号密码、个人生物识别信息,符合刑法第二百五十三条之一规定的,以侵犯公民个人信息罪追究刑事责任。

对批量前述互联网账号密码、个人生物识别信息的条数,根据查获的数量直接认定,但有证据证明信息不真实或者重复的除外。


(2017年)最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释

第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

  第二条 违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。

  第三条 向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。

  未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。

  第四条 违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

  第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:

  (一)出售或者提供行踪轨迹信息,被他人用于犯罪的;

  (二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;

  (三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;

  (四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;

  (五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;

  (六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;

  (七)违法所得五千元以上的;

  (八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;

  (九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;

  (十)其他情节严重的情形。

  实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:

  (一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;

  (二)造成重大经济损失或者恶劣社会影响的;

  (三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;

  (四)其他情节特别严重的情形。

  第六条 为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:

  (一)利用非法购买、收受的公民个人信息获利五万元以上的;

  (二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;

  (三)其他情节严重的情形。

  实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。

  第七条 单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。

  第八条 设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。

  第九条 网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。

  第十条 实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。

  第十一条 非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。

  向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。

  对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。

  第十二条 对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下


(2023年)最高人民法院、最高人民检察院、公安部关于依法惩治网络暴力违法犯罪的指导意见

4.依法惩治侵犯公民个人信息行为。组织“人肉搜索”,违法收集并向不特定多数人发布公民个人信息,情节严重,符合刑法第二百五十三条之一规定的,以侵犯公民个人信息罪定罪处罚;依照刑法和司法解释规定,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。


(2018年)最高人民检察院关于检察机关办理侵犯公民个人信息案件指引

  一、审查证据的基本要求
  (一)审查逮捕
  1. 有证据证明发生了侵犯公民个人信息犯罪事实
  (1)证明侵犯公民个人信息案件发生
  主要证据包括:报案登记、受案登记、立案决定书、破案经过、证人证言、被害人陈述、犯罪嫌疑人供述和辩解以及证人、被害人提供的短信、微信或QQ截图等电子数据。
  (2)证明被侵犯对象系公民个人信息
  主要证据包括:扣押物品清单、勘验检查笔录、电子数据、司法鉴定意见及公民信息查询结果说明、被害人陈述、被害人提供的原始信息资料和对比资料等。
  2. 有证据证明侵犯公民个人信息行为是犯罪嫌疑人实施的
  (1)证明违反国家有关规定的证据:犯罪嫌疑人关于所从事的职业的供述、其所在公司的工商注册资料、公司出具的犯罪嫌疑人职责范围说明、劳动合同、保密协议及公司领导、同事关于犯罪嫌疑人职责范围的证言等。
  (2)证明出售、提供行为的证据:远程勘验笔录及QQ、微信等即时通讯工具聊天记录、论坛、贴吧、电子邮件、手机短信记录等电子数据,证明犯罪嫌疑人通过上述途径向他人出售、提供、交换公民个人信息的情况。公民个人信息贩卖者、提供者、担保交易人及购买者、收受者的证言或供述,相关银行账户明细、第三方支付平台账户明细,证明出售公民个人信息违法所得情况。此外,如果犯罪嫌疑人系通过信息网络发布方式提供公民个人信息,证明该行为的证据还包括远程勘验笔录、扣押笔录、扣押物品清单、对手机、电脑存储介质、云盘、FTP等的司法鉴定意见等。
  (3)证明犯罪嫌疑人或公民个人信息购买者、收受者控制涉案信息的证据:搜查笔录、扣押笔录、扣押物品清单,对手机、电脑存储介质等的司法鉴定意见等,证实储存有公民个人信息的电脑、手机、U盘或者移动硬盘、云盘、FTP等介质与犯罪嫌疑人或公民个人信息购买者、收受者的关系。犯罪嫌疑人供述、辨认笔录及证人证言等,证实犯罪嫌疑人或公民个人信息购买者、收受者所有或实际控制、使用涉案存储介质。
  (4)证明涉案公民个人信息真实性的证据:被害人陈述、被害人提供的原始信息资料、公安机关或相关单位出具的涉案公民个人信息与权威数据库内信息同一性的比对说明。针对批量的涉案公民个人信息的真实性问题,根据《解释》精神,可以根据查获的数量直接认定,但有证据证明信息不真实或重复的除外。
  (5)证明违反国家规定,通过窃取、购买、收受、交换等方式非法获取公民个人信息的证据:主要证据与上述以出售、提供方式侵犯公民个人信息行为的证据基本相同。针对窃取的方式如通过技术手段非法获取公民个人信息的行为,需证明犯罪嫌疑人实施上述行为,除被害人陈述、犯罪嫌疑人供述和辩解外,还包括侦查机关从被害公司数据库中发现入侵电脑IP地址情况、从犯罪嫌疑人电脑中提取的侵入被害公司数据的痕迹等现场勘验检查笔录,以及涉案程序(木马)的司法鉴定意见等。
  3. 有证据证明犯罪嫌疑人具有侵犯公民个人信息的主观故意
  (1)证明犯罪嫌疑人明知没有获取、提供公民个人信息的法律依据或资格,主要证据包括:犯罪嫌疑人的身份证明、犯罪嫌疑人关于所从事职业的供述、其所在公司的工商资料和营业范围、公司关于犯罪嫌疑人的职责范围说明、公司主要负责人的证人证言等。
  (2)证明犯罪嫌疑人积极实施窃取、出售、提供、购买、交换、收受公民个人信息的行为,主要证据除了证人证言、犯罪嫌疑人供述和辩解外,还包括远程勘验笔录、手机短信记录、即时通讯工具聊天记录、电子数据司法鉴定意见、银行账户明细、第三方支付平台账户明细等。
  4. 有证据证明“情节严重”或“情节特别严重”
  (1)公民个人信息购买者或收受者的证言或供述。
  (2)公民个人信息购买、收受公司工作人员利用公民个人信息进行电话或短信推销、商务调查等经营性活动后出具的证言或供述。
  (3)公民个人信息购买者或者收受者利用所获信息从事违法犯罪活动后出具的证言或供述。
  (4)远程勘验笔录、电子数据司法鉴定意见书、最高人民检察院或公安部指定的机构对电子数据涉及的专门性问题出具的报告、公民个人信息资料等。证明犯罪嫌疑人通过即时通讯工具、电子邮箱、论坛、贴吧、手机等向他人出售、提供、购买、交换、收受公民个人信息的情况。
  (5)银行账户明细、第三方支付平台账户明细。
  (6)死亡证明、伤情鉴定意见、医院诊断记录、经济损失鉴定意见、相关案件起诉书、判决书等。
  (二)审查起诉
  除审查逮捕阶段证据审查基本要求之外,对侵犯公民个人信息案件的审查起诉工作还应坚持“犯罪事实清楚,证据确实、充分”的标准,保证定罪量刑的事实都有证据证明;据以定案的证据均经法定程序查证属实;综合全案证据,对所认定的事实已排除合理怀疑。
  1. 有确实充分的证据证明发生了侵犯公民个人信息犯罪事实。该证据与审查逮捕的证据类型相同。
  2. 有确实充分的证据证明侵犯公民个人信息行为是犯罪嫌疑人实施的
  (1)对于证明犯罪行为是犯罪嫌疑人实施的证据审查,需要结合《解释》精神,准确把握对“违反国家有关规定”“出售、提供行为”“窃取或以其他方法”的认定。
  (2)对证明违反国家有关规定的证据审查,需要明确国家有关规定的具体内容,违反法律、行政法规、部门规章有关公民个人信息保护规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。
  (3)对证明出售、提供行为的证据审查,应当明确“出售、提供”包括在履职或提供服务的过程中将合法持有的公民个人信息出售或者提供给他人的行为:向特定人提供、通过信息网络或者其他途径发布公民个人信息、未经被收集者同意,将合法收集的公民个人信息(经过处理无法识别特定个人且不能复原的除外)向他人提供的,均属于刑法第二百五十三条之一规定的“提供公民个人信息”。应当全面审查犯罪嫌疑人所出售提供公民个人信息的来源、途经与去向,对相关供述、物证、书证、证人证言、被害人陈述、电子数据等证据种类进行综合审查,针对使用信息网络进行犯罪活动的,需要结合专业知识,根据证明该行为的远程勘验笔录、扣押笔录、扣押物品清单、电子存储介质、网络存储介质等的司法鉴定意见进行审查。
  (4)对证明通过窃取或以其他非法方法获取公民个人信息等方式非法获取公民个人信息的证据审查,应当明确“以其他方法获取公民个人信息”包括购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的行为。
  针对窃取行为,如通过信息网络窃取公民个人信息,则应当结合犯罪嫌疑人供述、证人证言、被害人陈述,着重审查证明犯罪嫌疑人侵入信息网络、数据库时的IP地址、MAC地址、侵入工具、侵入痕迹等内容的现场勘验检查笔录以及涉案程序(木马)的司法鉴定意见等。
  针对购买、收受、交换行为,应当全面审查购买、收受、交换公民个人信息的来源、途经、去向,结合犯罪嫌疑人供述和辩解、辨认笔录、证人证言等证据,对搜查笔录、扣押笔录、扣押物品清单、涉案电子存储介质等司法鉴定意见进行审查,明确上述证据同犯罪嫌疑人或公民个人信息购买、收受、交换者之间的关系。
  针对履行职责、提供服务过程中收集公民个人信息的行为,应当审查证明犯罪嫌疑人所从事职业及其所负职责的证据,结合法律、行政法规、部门规章等国家有关公民个人信息保护的规定,明确犯罪嫌疑人的行为属于违反国家有关规定,以其他方法非法获取公民个人信息的行为。
  (5)对证明涉案公民个人信息真实性证据的审查,应当着重审查被害人陈述、被害人提供的原始信息资料、公安机关或其他相关单位出具的涉案公民个人信息与权威数据库内信息同一性的对比说明。对批量的涉案公民个人信息的真实性问题,根据《解释》精神,可以根据查获的数量直接认定,但有证据证明信息不真实或重复的除外。
  3. 有确实充分的证据证明犯罪嫌疑人具有侵犯公民个人信息的主观故意
  (1)对证明犯罪嫌疑人主观故意的证据审查,应当综合审查犯罪嫌疑人的身份证明、犯罪嫌疑人关于所从事职业的供述、其所在公司的工商资料和营业范围、公司关于犯罪嫌疑人的职责范围说明、公司主要负责人的证人证言等,结合国家公民个人信息保护的相关规定,夯实犯罪嫌疑人在实施犯罪时的主观明知。
  (2)对证明犯罪嫌疑人积极实施窃取或者以其他方法非法获取公民个人信息行为的证据审查,应当结合犯罪嫌疑人供述、证人证言,着重审查远程勘验笔录、手机短信记录、即时通讯工具聊天记录、电子数据司法鉴定意见、银行账户明细、第三方支付平台账户明细等,明确犯罪嫌疑人在实施犯罪时的积极作为。
  4. 有确实充分的证据证明“情节严重”或“情节特别严重”。该证据与审查逮捕的证据类型相同。
  二、需要特别注意的问题
  在侵犯公民个人信息案件审查逮捕、审查起诉中,要根据相关法律、司法解释等规定,结合在案证据,重点注意以下问题:
  (一)对“公民个人信息”的审查认定
  根据《解释》的规定,公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。经过处理无法识别特定自然人且不能复原的信息,虽然也可能反映自然人活动情况,但与特定自然人无直接关联,不属于公民个人信息的范畴。
  对于企业工商登记等信息中所包含的手机、电话号码等信息,应当明确该号码的用途。对由公司购买、使用的手机、电话号码等信息,不属于个人信息的范畴,从而严格区分“手机、电话号码等由公司购买,归公司使用”与“公司经办人在工商登记等活动中登记个人电话、手机号码”两种不同情形。

  (二)对“违反国家有关规定”的审查认定
  《中华人民共和国刑法修正案(九)》将原第二百五十三条之一的“违反国家规定”修改为“违反国家有关规定”,后者的范围明显更广。根据刑法第九十六条的规定,“国家规定”仅限于全国人大及其常委会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。而“国家有关规定”还包括部门规章,这些规定散见于金融、电信、交通、教育、医疗、统计、邮政等领域的法律、行政法规或部门规章中。
  (三)对“非法获取”的审查认定
  在窃取或者以其他方法非法获取公民个人信息的行为中,需要着重把握“其他方法”的范围问题。“其他方法”,是指“窃取”以外,与窃取行为具有同等危害性的方法,其中,购买是最常见的非法获取手段。侵犯公民个人信息犯罪作为电信网络诈骗的上游犯罪,诈骗分子往往先通过网络向他人购买公民个人信息,然后自己直接用于诈骗或转发给其他同伙用于诈骗,诈骗分子购买公民个人信息的行为属于非法获取行为,其同伙接收公民个人信息的行为明显也属于非法获取行为。同时,一些房产中介、物业管理公司、保险公司、担保公司的业务员往往与同行通过QQ、微信群互相交换各自掌握的客户信息,这种交换行为也属于非法获取行为。此外,行为人在履行职责、提供服务过程中,违反国家有关规定,未经他人同意收集公民个人信息,或者收集与提供的服务无关的公民个人信息的,也属于非法获取公民个人信息的行为。
  (四)对“情节严重”和“情节特别严重”的审查认定
  1. 关于“情节严重”的具体认定标准,根据《解释》第五条第一款的规定,主要涉及五个方面:
  (1)信息类型和数量。①行踪轨迹信息、通信内容、征信信息、财产信息,此类信息与公民人身、财产安全直接相关,数量标准为五十条以上,且仅限于上述四类信息,不允许扩大范围。对于财产信息,既包括银行、第三方支付平台、证券期货等金融服务账户的身份认证信息(一组确认用户操作权限的数据,包括账号、口令、密码、数字证书等),也包括存款、房产、车辆等财产状况信息。②住宿信息、通信记录、健康生理信息、交易信息等可能影响公民人身、财产安全的信息,数量标准为五百条以上,此类信息也与人身、财产安全直接相关,但重要程度要弱于行踪轨迹信息、通信内容、征信信息、财产信息。对“其他可能影响人身、财产安全的公民个人信息”的把握,应当确保所适用的公民个人信息涉及人身、财产安全,且与“住宿信息、通信记录、健康生理信息、交易信息”在重要程度上具有相当性。③除上述两类信息以外的其他公民个人信息,数量标准为五千条以上。
  (2)违法所得数额。对于违法所得,可直接以犯罪嫌疑人出售公民个人信息的收入予以认定,不必扣减其购买信息的犯罪成本。同时,在审查认定违法所得数额过程中,应当以查获的银行交易记录、第三方支付平台交易记录、聊天记录、犯罪嫌疑人供述、证人证言综合予以认定,对于犯罪嫌疑人无法说明合法来源的用于专门实施侵犯公民个人信息犯罪的银行账户或第三方支付平台账户内资金收入,可综合全案证据认定为违法所得。
  (3)信息用途。公民个人信息被他人用于违法犯罪活动的,不要求他人的行为必须构成犯罪,只要行为人明知他人非法获取公民个人信息用于违法犯罪活动即可。
  (4)主体身份。如果行为人系将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的,涉案信息数量、违法所得数额只要达到一般主体的一半,即可认为“情节严重”。
  (5)主观恶性。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的,即可认为“情节严重”。
  2. 关于“情节特别严重”的认定标准,根据《解释》,主要分为两类:一是信息数量、违法所得数额标准。二是信息用途引发的严重后果,其中造成人身伤亡、经济损失、恶劣社会影响等后果,需要审查认定侵犯公民个人信息的行为与严重后果间存在因果关系。
  对于涉案公民个人信息数量的认定,根据《解释》第十一条,非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算;向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算;对批量出售、提供公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。在实践中,如犯罪嫌疑人多次获取同一条公民个人信息,一般认定为一条,不重复累计;但获取的该公民个人信息内容发生了变化的除外。
  对于涉案公民个人信息的数量、社会危害性等因素的审查,应当结合刑法第二百五十三条和《解释》的规定进行综合审查。涉案公民个人信息数量极少,但造成被害人死亡等严重后果的,应审查犯罪嫌疑人行为与该后果之间的因果关系,符合条件的,可以认定为实施《解释》第五条第一款第十项“其他情节严重的情形”的行为,造成被害人死亡等严重后果,从而认定为“情节特别严重”。如涉案公民个人信息数量较多,但犯罪嫌疑人仅仅获取而未向他人出售或提供,则可以在认定相关犯罪事实的基础上,审查该行为是否符合《解释》第五条第一款第三、四、五、六、九项及第二款第三项的情形,符合条件的,可以分别认定为“情节严重”“情节特别严重”。
  此外,针对为合法经营活动而购买、收受公民个人信息的行为,在适用《解释》第六条的定罪量刑标准时须满足三个条件:一是为了合法经营活动,对此可以综合全案证据认定,但主要应当由犯罪嫌疑人一方提供相关证据;二是限于普通公民个人信息,即不包括可能影响人身、财产安全的敏感信息;三是信息没有再流出扩散,即行为方式限于购买、收受。如果将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准应当适用《解释》第五条的规定。
  (五)对关联犯罪的审查认定
  对于侵犯公民个人信息犯罪与电信网络诈骗犯罪相交织的案件,应严格按照《最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》(法发〔2016〕32号)的规定进行审查认定,即通过认真审查非法获取、出售、提供公民个人信息的犯罪嫌疑人对电信网络诈骗犯罪的参与程度,结合能够证实其认知能力的学历文化、聊天记录、通话频率、获取固定报酬还是参与电信网络诈骗犯罪分成等证据,分析判断其是否属于诈骗共同犯罪、是否应该数罪并罚。
  根据《解释》第八条的规定,设立用于实施出售、提供或者非法获取公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪;同时构成侵犯公民个人信息罪的,应当认定为侵犯公民个人信息罪。
  对于违反国家有关规定,采用技术手段非法侵入合法存储公民个人信息的单位数据库窃取公民个人信息的行为,也符合刑法第二百八十五条第二款非法获取计算机信息系统数据罪的客观特征,同时触犯侵犯公民个人信息罪和非法获取计算机信息系统数据罪的,应择一重罪论处。
  此外,针对公安民警在履行职责过程中,违反国家有关规定,查询、提供公民个人信息的情形,应当认定为“违反国家有关规定,将在履行职责或者提供服务过程中以其他方法非法获取或提供公民个人信息”。但同时,应当审查犯罪嫌疑人除该行为之外有无其他行为侵害其他法益,从而对可能存在的其他犯罪予以准确认定。
  三、社会危险性及羁押必要性审查
  (一)审查逮捕
  1. 犯罪动机:一是出售牟利;二是用于经营活动;三是用于违法犯罪活动。犯罪动机表明犯罪嫌疑人主观恶性,也能证明犯罪嫌疑人是否可能实施新的犯罪。
  2. 犯罪情节。犯罪嫌疑人的行为直接反映其人身危险性。具有下列情节的侵犯公民个人信息犯罪,能够证实犯罪嫌疑人主观恶性和人身危险性较大,实施新的犯罪的可能性也较大,可以认为具有较大的社会危险性:一是犯罪持续时间较长、多次实施侵犯公民个人信息犯罪的;二是被侵犯的公民个人信息数量或违法所得巨大的;三是利用公民个人信息进行违法犯罪活动的;四是犯罪手段行为本身具有违法性或者破坏性,即犯罪手段恶劣的,如骗取、窃取公民个人信息,采取胁迫、植入木马程序侵入他人计算机系统等方式非法获取信息。
  犯罪嫌疑人实施侵犯公民个人信息犯罪,不属于“情节特别严重”,系初犯,全部退赃,并确有悔罪表现的,可以认定社会危险性较小,没有逮捕必要。
  (二)审查起诉
  在审查起诉阶段,要结合侦查阶段取得的事实证据,进一步引导侦查机关加大捕后侦查力度,及时审查新证据。在羁押期限届满前对全案进行综合审查,对于未达到逮捕证明标准的,撤销原逮捕决定。
  经羁押必要性审查,发现犯罪嫌疑人具有下列情形之一的,应当向办案机关提出释放或者变更强制措施的建议:
  1. 案件证据发生重大变化,没有证据证明有犯罪事实或者犯罪行为系犯罪嫌疑人、被告人所为的。
  2. 案件事实或者情节发生变化,犯罪嫌疑人、被告人可能被判处拘役、管制、独立适用附加刑、免予刑事处罚或者判决无罪的。
  3. 继续羁押犯罪嫌疑人、被告人,羁押期限将超过依法可能判处的刑期的。
  4. 案件事实基本查清,证据已经收集固定,符合取保候审或者监视居住条件的。
  经羁押必要性审查,发现犯罪嫌疑人、被告人具有下列情形之一,且具有悔罪表现,不予羁押不致发生社会危险性的,可以向办案机关提出释放或者变更强制措施的建议:
  1. 预备犯或者中止犯;共同犯罪中的从犯或者胁从犯。
  2. 主观恶性较小的初犯。
  3. 系未成年人或者年满七十五周岁的人。
  4. 与被害方依法自愿达成和解协议,且已经履行或者提供担保的。
  5. 患有严重疾病、生活不能自理的。
  6. 系怀孕或者正在哺乳自己婴儿的妇女。
  7. 系生活不能自理的人的唯一扶养人。
  8. 可能被判处一年以下有期徒刑或者宣告缓刑的。
  9. 其他不需要继续羁押犯罪嫌疑人、被告人的情形。


(2019年)最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释

  第一条 提供下列服务的单位和个人,应当认定为刑法第二百八十六条之一第一款规定的“网络服务提供者”:
  (一)网络接入、域名注册解析等信息网络接入、计算、存储、传输服务;
  (二)信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务;
  (三)利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务。
  第二条 刑法第二百八十六条之一第一款规定的“监管部门责令采取改正措施”,是指网信、电信、公安等依照法律、行政法规的规定承担信息网络安全监管职责的部门,以责令整改通知书或者其他文书形式,责令网络服务提供者采取改正措施。
  认定“经监管部门责令采取改正措施而拒不改正”,应当综合考虑监管部门责令改正是否具有法律、行政法规依据,改正措施及期限要求是否明确、合理,网络服务提供者是否具有按照要求采取改正措施的能力等因素进行判断。


(2016年)最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见

三、全面惩处关联犯罪

(二)违反国家有关规定,向他人出售或者提供公民个人信息,窃取或者以其他方法非法获取公民个人信息,符合刑法第二百五十三条之一规定的,以侵犯公民个人信息罪追究刑事责任。

使用非法获取的公民个人信息,实施电信网络诈骗犯罪行为,构成数罪的,应当依法予以并罚。


(2020年)最高人民法院、最高人民检察院、公安部办理跨境赌博犯罪案件若干问题的意见

四、关于跨境赌博关联犯罪的认定

为实施赌博犯罪,非法获取公民个人信息,或者向实施赌博犯罪者出售、提供公民个人信息,构成赌博犯罪共犯,同时构成侵犯公民个人信息罪的,依照处罚较重的规定定罪处罚。


(2021年)最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)

五、非法获取、出售、提供具有信息发布、即时通讯、支付结算等功能的互联网账号密码、个人生物识别信息,符合刑法第二百五十三条之一规定的,以侵犯公民个人信息罪追究刑事责任。

对批量前述互联网账号密码、个人生物识别信息的条数,根据查获的数量直接认定,但有证据证明信息不真实或者重复的除外。

 

(2013年)最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知

二、公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。对于在履行职责或者提供服务过程中,将获得的公民个人信息出售或者非法提供给他人,被他人用以实施犯罪,造成受害人人身伤害或者死亡,或者造成重大经济损失、恶劣社会影响的,或者出售、非法提供公民个人信息数量较大,或者违法所得数额较大的,均应当依法以非法出售、非法提供公民个人信息罪追究刑事责任。对于窃取或者以购买等方法非法获取公民个人信息数量较大,或者违法所得数额较大,或者造成其他严重后果的,应当依法以非法获取公民个人信息罪追究刑事责任。对使用非法获取的个人信息,实施其他犯罪行为,构成数罪的,应当依法予以并罚。单位实施侵害公民个人信息罪的,应当追究直接负责的主管人员和其他直接责任人员的刑事责任。


(2017年)网络安全法

第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。


(2013年)电信和互联网用户个人信息保护规定

第九条 未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。

电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。

电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。

电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。

法律、行政法规对本条第一款至第四款规定的情形另有规定的,从其规定。

第十二条 电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制,公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起十五日内答复投诉人


(2015年)最高人民法院、最高人民检察院关于执行《刑法》确定罪名的补充规定(六)

第二百五十三条之一(《刑法修正案(九)》第十七条)侵犯公民个人信息罪(取消出售、非法提供公民个人信息罪和非法获取公民个人信息罪罪名)


(2015年)刑法修正案(九)

十七、将刑法第二百五十三条之一修改为:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。

单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。


(2009年)刑法修正案(七)

七、在刑法第二百五十三条后增加一条,作为第二百五十三条之一:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。

“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。

“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”


上一篇:刑法第四百零六条【国家机关工作人...

下一篇:刑法第二百五十三条【私自开拆、隐...

合肥律师推荐
相关文章