陈兵
CHENBING
刑事审判庭
普通犯罪(快审)
审判团队审判长
三级高级法官
法学硕士
近年来,随着信息网络技术的不断进步和大数据产业的蓬勃发展,涉及公民个人信息的违法犯罪活动日益高发。
涉公民个人信息类刑事案件是指,与公民个人信息的收集、存储、使用、传输、删除等相关的犯罪活动。此类案件涉及公民个人信息黑灰产业链的诸多环节,与传统刑事案件相比,呈现行为类型多样化、隐蔽化,信息形态变异化、杂糅化,行为目的扩张化等新特征,司法实践中存在诸多争议。为准确适用法律,实现罪刑均衡,彰显司法权威,现结合典型案例,对涉公民个人信息类刑事案件的审理思路和裁判要点进行梳理、提炼和总结。
目录
01
典型案例
02
涉公民个人信息类刑事案件的审理难点
03
涉公民个人信息类刑事案件的审理思路和裁判要点
04
其他需要说明的问题
PART 01
典型案例
案例一:涉及信息类别认定
被告人王某利用其使用的公钥基础设施(PKI)开通了交通管理综合运用平台查询权限,并使用某即时通讯软件将查询到的车辆信息拍照出售,共计1100余条。审理中,控辩双方对于车辆信息属于一般信息还是财产信息产生分歧,法院经审理后认定为一般信息。
案例二:涉及涉案信息数量认定
被告人方某违反公司规定,制作虚假服务合同,欺骗公司审核通过后,违规向陈某出售公司信息发布账号,供陈某用于下载求职者简历。经统计,涉案虚假合同中简历可下载数量为52000余条,实际下载数量为46000余条。审理中,辩护人提出应当以实际下载数量作为涉案公民个人信息数量,法院最后以可下载数量作为定案依据。
案例三:涉及获取行为的罪名选择
被告人廖某通过运行某平台营销软件,将从他人处购买的大量邮箱账号和密码输入该软件,对登录系统实施“撞库”行为,以获取有效的账号和密码。该案起诉罪名为侵犯公民个人信息罪,法院认定廖某构成非法获取计算机信息系统数据罪。
案例四:涉及关联犯罪的罪数认定
被告人谭某利用从他人处购买的大量支付平台账号注册线上店铺,雇佣他人以销售麻将机作弊器的名义,通过线下交易,诱骗640余人采用线上支付及货到付款的方式支付货款,后又不发货或发假货,共造成69名被害人被骗共计28万余元。法院对谭某以侵犯公民个人信息罪与诈骗罪数罪并罚。
案例五:涉及主体身份认定
被告人李某利用担任交警辅警的工作便利,使用民警数字证书查询并对外提供车辆信息,公诉机关认为其系“将履行职责过程中获得的公民个人信息出售”,应当从重处罚,但法院未予认定。
PART 02
涉公民个人信息类
刑事案件的审理难点
侵犯公民个人信息罪系涉公民个人信息类刑事案件的核心罪名,相关案件的审理难点多围绕该罪产生。
(一)信息类别判断难
最高法、最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)根据对公民人身、财产安全的重要程度,将公民个人信息分为三个层次,具体可称之为敏感信息、重要信息和一般信息,并规定了不同的入罪标准。
但司法实践中,在对具体信息进行归类时,依然存在诸多疑难与争议:如敏感信息中的财产信息概念较为宽泛,交易信息、业主信息、车辆登记信息等均可纳入,但前述信息在与公民人身、财产安全关联程度上又难以与同属敏感信息的行踪轨迹、通信内容、征信信息相等同,如何归类存在分歧;又如较为常见的小区业主信息,除被认定为敏感信息及一般信息外,还有观点认为属于重要信息。
(二)信息数量认定分歧大
信息网络社会中,涉案公民个人信息往往数量庞大,相关交易大多通过邮件、网盘等线上方式进行,经常出现交易双方达成协议后,卖家已经将全部信息交付,而买家仅下载部分信息的情形。此时,在确定作为定案依据的公民个人信息数量时,以交付数量还是以实际下载数量为起算基准,对被告人的刑罚裁量有着直接影响,有时甚至会涉及罪与非罪,实践中对此亦有不同理解。
(三)获取行为罪名选择难
大数据时代,公民个人信息绝大部分都是以电子数据的方式储存于计算机信息系统中。而根据《刑法》第285条第2款,违反国家规定,侵入计算机信息系统或者采用其他技术手段,获取计算机信息系统中存储、处理或者传输的数据,情节严重的,构成非法获取计算机信息系统数据罪。因此,当行为人非法获取储存于计算机信息系统中的公民个人信息时,其行为将同时涉嫌侵犯公民个人信息罪与非法获取计算机信息系统数据罪。此时,如何选择罪名,存在一定争议。
(四)关联犯罪罪数判断难
司法实践中,行为人先非法获取公民个人信息,再使用获取的相关信息从事其他违法犯罪活动的情况较为常见。该类案件中,当涉案的公民个人信息数量与下游关联犯罪受害者数量差异巨大时,获取行为与下游犯罪活动的关系与传统刑法牵连犯理论中的手段与目的行为并不完全相同,此时,应从一重罪论处,还是数罪并罚,观点分歧较大。
(五)适用特殊身份犯有争议
《刑法》第253条之一第2款规定,“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚”,确定了“特殊身份犯从重处罚原则”,对于该款表述中的“履行职责或者提供服务过程中获得”如何进行具体理解与适用,实务中存在不同意见,导致量刑差异。
PART 03
涉公民个人信息类
刑事案件的审理思路和裁判要点
审理侵犯公民个人信息类案件时,首先应当明确涉案公民个人信息的类型及数量;其次应当查明相关行为模式,准确判断罪数;最后应当确认行为人身份及其他量刑情节,合理确定刑罚。
(一)公民个人信息归类的总体思路
审理具体案件时,可根据涉案公民个人信息的内容构成及指向性特征等,紧扣《解释》规定,结合立法意旨,准确进行归类:
(1)敏感信息的主要内容为行踪轨迹、通信内容、征信和财产状况四类。
其中,行踪轨迹、通信内容、征信信息较为明确,对于财产状况的判断需紧扣与特定公民紧密关联,直接涉及人身安全和财产安全,被非法获取、出售或者提供后,可直接用于绑架、诈骗、敲诈勒索等关联犯罪,重要性与敏感度极高。
(2)重要信息则涉及住宿、健康生理、交易情况、通信记录及其他信息内容可能影响人身、财产安全的。
其特征为与公民人身安全和财产安全直接相关,但在重要程度上弱于敏感信息,经过加工、分析后,可被用于“精准”诈骗等违法犯罪活动等。
(3)一般信息在内容上并无特别限制,认定关键在于可识别性,信息内容不能识别自然人身份或反映自然人活动情况的,不能认定为《刑法》所保护的公民个人信息。
值得注意的是,2021年颁布施行的《个人信息保护法》规定,生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人等个人信息均属于敏感信息。该规定中的“敏感信息”与刑法意义上的敏感信息有所区别:行踪轨迹自不待言,金融账户亦可归入财产信息;生物识别、宗教信仰、特定身份、医疗健康以及不满十四周岁未成年人等个人信息,在相关司法解释修订前,应当与住宿信息、通信记录等一样,属于重要信息,非法获取、出售或提供达到500条以上,即构成情节严重。
(二)几类易混淆的公民个人信息之明晰
第一,财产信息与交易信息的区分
交易信息是指能够揭示交易双方、标的及价格等方面的信息,指向的是特定物品的变动状况,与反映特定公民财产现状的财产信息存在着明显区别。以房产网签信息为例,其反映的是公民买卖标的房产的相关细节,但公民是否实际持有该房产,之后是否又有交易等均无从判断,显然应当归入交易信息。
第二,车辆信息、产调信息、业主信息的认定
上述三类个人信息依附于特定财产,属于“由物到人”,实践中多以批量形式出现,行为人获取后多用于推销业务等活动,即便存在相关下游犯罪,也是针对特定物品,难以据之直接针对特定公民开展违法犯罪活动,原则上不宜认定为财产信息。但如行为人针对特定公民,获取其名下的车辆、产调信息等,结合实际使用情况等,相关信息依然有被认定为财产信息的可能性。
如案例一中,被告人王某批量查询车辆信息并出售,购买人的目的则是向车主进行推销活动,呈现出“由车到人”的轨迹特征。综合上述情况,应当将该案中的车辆信息认定为一般信息。
第三,不同账号信息的归类
账号大体可分为非实名认证类及实名认证类,非实名认证类账号包括论坛账号、部分游戏账号、手机APP应用账号等,一般不需要提供身份证号码及进行人脸识别等实名认证流程,不能实现支付、借贷等金融功能以及进行其他与线下工作生活密切相关的活动,即便绑定手机号码,也难以锁定到具体个人,不宜认定为个人信息;实名认证类账号是指支付平台、即时通讯软件等依附于公民个人身份和信用的账号,有着严格的实名认证要求。与之相适应,公民能够通过实名认证类账号进行绝大部分的经济社会活动,与公民的人身和财产安全息息相关。实名认证类账号内信息内容往往有姓名、手机号码、身份证号、银行卡信息、征信信息等等,其广泛性、复杂性决定了实名认证类账号不能被归入内容被严格限定的敏感信息。
但有鉴于该类账号在公民个人工作与生活中极为重要,一旦失控,无疑会极大影响公民的人身、财产安全,应当归入其他可能影响公民人身、财产安全的重要信息。
(三)核实涉案公民个人信息数量
确认涉案公民个人信息类型后,还需统计、核实不同信息的数量。
原则上,涉案信息为500条以下的敏感信息或重要信息,需逐一审查;涉案信息数量达到500条以上的,可在严格剔除重复信息和无效、错误信息后,以抽样方法鉴真,需确保底线入罪条件的证据确实、充分;涉案信息数量达到50000条以上的,则可根据批量数据的推定规则,以查获的信息数量直接以概数认定,再辅以抽样核实,必要时可以电子软件抓取的方法进行,以排除人为因素干扰。需注意的是,非法获取公民个人信息后又出售或者提供的,不重复计算;向不同单位或者个人分别出售、提供同一公民个人信息的,累计计算。
至于交付量和下载量以何为准,由于刑法规定侵犯公民个人信息罪保护的是公民的相关信息权利及背后的人身、财产安全,行为人只要通过邮件、网盘等方式将公民个人信息进行交付,相关信息就已经处于失控状态,权利已经受到侵害,人身、财产安全已经受到威胁。并且,根据主客观相一致原则,行为人主观上有出售故意,客观上交付信息完成交易,即已构成犯罪。因此,应以交付量作为起算基准。
如案例二中,涉案虚假合同内包含的简历数量为52000余条,实际下载数量为46000余条,两者中应该以交易数量即52000余条作为定案依据。
(四)准确认定非法获取公民个人信息行为
非法获取公民个人信息包括窃取以及以其他方法非法获取。其中,以其他方法非法获取公民个人信息主要是指,违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息或者在履行职责、提供服务过程中收集公民个人信息,要求实现对信息的实际控制;“国家有关规定”则包括法律、行政法规、部门规章等。若行为人主张自己获取行为合法的,应当提供相关证明或授权文件等。
行为人的行为同时涉嫌侵犯公民个人信息罪与非法获取计算机信息系统数据罪时,可从以下几方面加以区分:
一是相关数据或信息的来源,是否确属计算机信息系统中储存、运输、处理的数据。如仅仅是通过计算机信息系统对系统外数据的真实性、有效性进行验证等,可排除非法获取计算机信息系统数据罪。
二是行为手段。两罪中的行为违反的国家规定并不相同,非法获取计算机信息系统数据罪中的国家规定不包括部门规章,且对获取的方式并无限制,而侵犯公民个人信息罪则要求以下载、复制等方式实现对信息的实际控制。
三是法益侵害。涉案账号密码若没有针对个人人身、财产等信息的识别特性,只能实现对相关计算机信息系统的掌控、使用等,则应当归入计算机信息系统数据的范畴。如电子邮箱、即时通讯的账号密码因直接关联到个人,可作为个人信息保护;如计算机信息系统登录口令、管理员权限口令,因其法益关联性主要归于计算机信息系统安全,可作为计算机信息系统数据保护。
四是行为目的。由于公民个人信息被非法获取、出售后被用于违法犯罪的可能,是刑法保护公民个人信息的重要考量,因此还可从行为人获取相关信息数据目的及实际使用情况进一步进行辅助判断。如获取者无意知道信息主体身份,获取目的在于通过系统认证,而非进行定向诈骗等违法犯罪活动,则应归属于计算机信息系统数据。
如审查后发现两者确实存在竞合,例如行为人获取的是包含实名认证信息的特定计算机信息系统管理员账号、密码等,因非法获取计算机信息系统数据罪保护的法益为计算机信息系统的安全稳定,而侵犯公民个人信息罪保护的法益为公民的个人信息安全。两者并非一般法与特别法的关系,属于想象竞合,应从一重罪论处。无论是从信息数量还是从违法所得数额看,非法获取计算机信息系统数据罪的定罪量刑标准均更低,系重罪,应优先予以适用。
如案例三中,被告人廖某对某平台登录系统实施“撞库”行为,表面上是侵入计算机信息系统并对数据进行处理,但本质上并未获取计算机信息系统中储存、运输、处理的数据,而是利用登录系统对廖某自身所持有数据的有效性进行甄别,因此,廖某不构成非法获取计算机信息系统数据罪。有鉴于涉案账号和密码具有对公民人身、财产等进行识别的特性,对廖某应以侵犯公民个人信息罪论处。
(五)审查出售、提供、使用公民个人信息等行为
行为人获取公民个人信息后,往往伴随着出售、提供、使用等后续行为。
“非法提供”是指,违反国家有关规定,向特定人提供或通过信息网络等途径进行发布,但经过处理无法识别特定个人且不能复原的除外。
“出售”广义上也是一种提供。如有证据证明行为人出售、提供的公民个人信息又被他人用于违法犯罪活动的,包括出售或者提供行踪轨迹信息后被他人用于犯罪,以及知道或者应当知道他人利用公民个人信息实施犯罪,仍然向其出售或者提供的,直接以侵犯公民个人信息罪论处。如出售者和提供者与下游犯罪行为人存在意思联络或共同故意的,则构成共同犯罪,此种情况属于想象竞合犯,应视下游犯罪的具体罪名,择一重罪处罚。
行为人非法获取公民个人信息的主要目的是牟取相应利益,具体方式包括转手牟利、推销商品等,但也不乏利用获取的信息进行违法犯罪活动的情况,如拨打诈骗电话、非法集资、敲诈勒索等。对以下游违法犯罪活动为目的而非法获取公民个人信息的,如两者均构成犯罪,属于牵连犯,应择一重罪处罚;但如被用于实施下游犯罪的公民个人信息数量相对获取总量占比较低,本着充分评价原则,则应数罪并罚。
如案例四中,被告人谭某非法获取大量支付平台账号用于注册线上店铺,在案证据显示,其获取的信息中仅有一小部分成功实现诈骗。谭某获取账号的行为与诈骗结果并无牵连关系,以一罪论处不能完整评价谭某行为的社会危害性,依法应予数罪并罚。
(六)审查行为人是否具有特殊主体身份
《刑法》第253条之一第2款规定“特殊主体从重处罚”,针对的是履行职责或者提供服务过程中获得公民个人信息的单位及其工作人员。因上述主体均具有获取公民个人信息的便利及途径,应当负有更高的保护公民个人信息不被泄露的责任。具体适用时应重视以下几个方面:
第一,“职责”分为职务和责任,职务一般来源于指定或委派等,责任则是一种义务,取决于职务的性质。因此,要审查行为人的职务特点,并据此进一步分析其获取公民个人信息是否基于职务便利。如案例五中,被告人李某职务为辅警,负责辅助民警工作,在工作中一般可以接触到民警的数字身份证书。然而辅警并非在编民警,没有登录公安系统的身份资格,更没有接触乃至于获取系统中公民个人信息的权限,即李某提供给他人的并非是在履行职责过程中获得的公民个人信息,不应从重处罚。
第二,所谓提供服务过程中获得的公民个人信息,是指在经营活动中公民基于获取服务的需求以及对经营者合理妥善保管自己信息的信任,而将个人信息提供给经营者。经营者对其获取的公民个人信息负有妥善保管义务并无异议,但相关保管责任人一旦被调换岗位或离职,导致其不再具有查询、获取或使用在服务中获取的公民个人信息权限的,则不再负有前述义务,不适用特殊主体从重处罚原则。
认定提供服务过程中获得,还需考察行为人获取公民个人信息的目的是否在于为客户提供服务,如行为人不具有提供相应服务的资质或在案证据能够证明其获取目的不在于提供服务,而是另有所图,同样不能认定特殊主体身份。
随着《数据安全法》《个人信息保护法》等前置法的日益完善及信息网络社会的迅猛发展,公民个人信息的类型、重要程度及被侵犯方式等势必会不断变化,相关审理思路也需要紧跟法律及司法解释的修改与更新而及时调整。
会员登录关闭
注册会员关闭