麦读实务 | 不刷脸就不能进小区?最高法:违法
作者=何帆 法学博士,司法工作者
来源=《刑法注释书(第二版)》
近年来,随着信息技术飞速发展,人脸识别逐步渗透到人们生活的方方面面。人脸识别技术在诸多领域发挥着巨大作用的同时,也存在被滥用的情况。
一些小区引入人脸识别系统,用“刷脸”代替“刷卡”,最高法有关负责人表示,人脸信息属于敏感个人信息,小区物业对人脸信息的采集、使用必须依法征得业主或者物业使用人的同意。只有业主或者物业使用人自愿同意使用人脸识别,对人脸信息的采集、使用才有了合法性基础。
7月28日,最高人民法院发布司法解释,对人脸识别进行规范。《规定》明确:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”
根据这一规定,小区物业在使用人脸识别门禁系统录入人脸信息时,应当征得业主或者物业使用人的同意,对于不同意的业主或者物业使用人,小区物业应当提供替代性验证方式,不得侵害业主或物业使用人的人格权益和其他合法权益。
《刑法》第253条侵犯公民个人信息罪中就包括了「生物识别信息」,随着最高法《规定》的应用,相信这一条会发挥更好地保护作用。下面是办理侵犯公民个人信息案件必须掌握的法律要点,摘自《刑法注释书(第二版)》。
办理侵犯公民个人信息案件必须掌握的法律要点汇总
【刑法条文】
第二百五十三条之一 【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
【修正前条文】
第二百五十三条之一【出售、非法提供公民个人信息罪】国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
【非法获取公民个人信息罪】窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。
单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
【修正说明】
本条由刑法修正案(七)第七条增设,又经刑法修正案(九)第十七条作出下述修改:一是增加一款作为第一款,规定一般主体违规向他人出售、非法提供公民个人信息的犯罪;二是将原第一款改作第二款,扩大犯罪主体的范围;三是将“违反国家规定”修改为“违反国家有关规定”,同时规定了从重处罚的原则。
【立法·要点注释】
1.“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
2.“违反国家有关规定”,是指违反了有关法律、行政法规、规章等国家层面涉及公民个人信息管理方面的规定,如反洗钱法、商业银行法、居民身份证法、护照法、消费者权益保护法、旅游法、社会保险法、统计法等法律也都有关于公民个人信息保护的规定。
3.“出售”,是指将自己掌握的公民信息卖给他人,自己从中牟利的行为。“非法提供”,是指不应将自己掌握的公民信息提供给他人而予以提供的行为。例如,现实生活中公民安装网络宽带,需将个人的身份证号提供给电信部门,但电信部门要求在复印件上注明“仅供安装宽带使用”,如果电信部门工作人员将公民的身份证号提供给他人的,应当属于非法提供。“情节严重”,是指出售他人信息获利数额较大、出售多人的信息、多次出售他人信息及公民个人信息被他人使用后,给公民造成了经济上的重大损失或者严重影响到公民个人的正常生活等情况。具体情节的认定,应当由司法机关依法根据案件具体情况认定。
4.如果行为人为非法获取公民个人信息而采用了侵犯公民通信自由权利、通信秘密,非法使用窃听、窃照专用器材的手段或者是在实施上述犯罪的过程中同时窃取、获取了公民个人信息的,则可能同时构成本条规定的犯罪和其他罪名,应当根据案件的具体情况从一重罪处罚或者是数罪并罚。
【司法解释】
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号,20170601)
第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
第二条 违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。
第三条 向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。
未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
第四条 违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(二)造成重大经济损失或者恶劣社会影响的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。
第六条 为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)利用非法购买、收受的公民个人信息获利五万元以上的;
(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;
(三)其他情节严重的情形。
实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。
第七条 单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。
第八条 设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。
第九条 网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。
第十条 实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。
第十一条 非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。
向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。
对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
第十二条 对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。
第十三条 本解释自2017年6月1日起施行。
【司法解释·注释】
1.关于“公民个人信息”,有以下几个具体问题值得注意:(1)“公民个人信息”,既包括中国公民的个人信息,也包括外国公民和其他无国籍人的个人信息。(2)公民个人信息须与特定自然人关联。对于与特定自然人关联,可以是识别特定自然人身份,也可以是反映特定自然人活动情况。需要注意的是,无论是识别特定自然人身份,还是反映特定自然人活动情况,都应当是能够单独或者与其他信息结合所具有的功能。例如,身份证号与公民个人身份一一对应,可以单独识别公民个人身份;而工作单位、家庭住址等无法单独识别公民个人身份,需要同其他信息结合才能识别公民个人身份。但是,上述两类信息无疑都属于公民个人信息的范畴。(3)与特定自然人关联的账号密码属于“公民个人信息”。当前账号密码往往绑定身份证号、手机号码等特定信息,即使未绑定,非法获取账号密码后往往也会引发侵犯财产甚至人身的违法犯罪。因此,本解释第一条明确将“账号密码”列为“公民个人信息”的范围。
2.“国家有关规定”明确限于法律、行政法规、部门规章等国家层面的规定,不包括地方性法规等非国家层面的规定。
3.关于为合法经营活动购买、收受公民个人信息行为的定罪量刑标准。适用该标准须满足三个条件:一是为了合法经营活动,对此可以综合全案证据认定,但主要应当由被告方提供相关证据;二是限于普通公民个人信息,即不包括可能影响人身、财产安全的敏感信息;三是信息没有再流出扩散,即行为方式限于购买、收受。为了合法经营活动交换公民个人信息的,由于在获取信息的同时造成了信息扩散,不符合前述三个要件,定罪量刑标准亦应适用本司法解释第五条的规定。
【司法指导文件1】
《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字〔2013〕12号,20130423)
二、正确适用法律,实现法律效果与社会效果的有机统一。
……公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。……对使用非法获取的个人信息,实施其他犯罪行为,构成数罪的,应当依法予以并罚。单位实施侵害公民个人信息罪的,应当追究直接负责的主管人员和其他直接责任人员的刑事责任。要依法加大对财产刑的适用力度,剥夺犯罪分子非法获利和再次犯罪的资本。
【司法指导文件2】
《最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》(法发〔2016〕32号,20161219)
三、全面惩处关联犯罪
(二)违反国家有关规定,向他人出售或者提供公民个人信息,窃取或者以其他方法非法获取公民个人信息,符合刑法第二百五十三条之一规定的,以侵犯公民个人信息罪追究刑事责任。
使用非法获取的公民个人信息,实施电信网络诈骗犯罪行为,构成数罪的,应当依法予以并罚。
【司法指导文件3】
《检察机关办理侵犯公民个人信息案件指引》(高检发侦监字〔2018〕13号,20181109)
根据《中华人民共和国刑法》第二百五十三条之一的规定,侵犯公民个人信息罪是指违反国家有关规定,向他人出售、提供公民个人信息,或者通过窃取等方法非法获取公民个人信息,情节严重的行为。结合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)(以下简称《解释》),办理侵犯公民个人信息案件,应当特别注意以下问题:一是对“公民个人信息”的审查认定;二是对“违反国家有关规定”的审查认定;三是对“非法获取”的审查认定;四是对“情节严重”和“情节特别严重”的审查认定;五是对关联犯罪的审查认定。
一、审查证据的基本要求
(一)审查逮捕
1.有证据证明发生了侵犯公民个人信息犯罪事实
(1)证明侵犯公民个人信息案件发生
主要证据包括:报案登记、受案登记、立案决定书、破案经过、证人证言、被害人陈述、犯罪嫌疑人供述和辩解以及证人、被害人提供的短信、微信或QQ截图等电子数据。
(2)证明被侵犯对象系公民个人信息
主要证据包括:扣押物品清单、勘验检查笔录、电子数据、司法鉴定意见及公民信息查询结果说明、被害人陈述、被害人提供的原始信息资料和对比资料等。
2.有证据证明侵犯公民个人信息行为是犯罪嫌疑人实施的
(1)证明违反国家有关规定的证据:犯罪嫌疑人关于所从事的职业的供述、其所在公司的工商注册资料、公司出具的犯罪嫌疑人职责范围说明、劳动合同、保密协议及公司领导、同事关于犯罪嫌疑人职责范围的证言等。
(2)证明出售、提供行为的证据:远程勘验笔录及QQ、微信等即时通讯工具聊天记录、论坛、贴吧、电子邮件、手机短信记录等电子数据,证明犯罪嫌疑人通过上述途径向他人出售、提供、交换公民个人信息的情况。公民个人信息贩卖者、提供者、担保交易人及购买者、收受者的证言或供述,相关银行账户明细、第三方支付平台账户明细,证明出售公民个人信息违法所得情况。此外,如果犯罪嫌疑人系通过信息网络发布方式提供公民个人信息,证明该行为的证据还包括远程勘验笔录、扣押笔录、扣押物品清单、对手机、电脑存储介质、云盘、FTP等的司法鉴定意见等。
(3)证明犯罪嫌疑人或公民个人信息购买者、收受者控制涉案信息的证据:搜查笔录、扣押笔录、扣押物品清单,对手机、电脑存储介质等的司法鉴定意见等,证实储存有公民个人信息的电脑、手机、U盘或者移动硬盘、云盘、FTP等介质与犯罪嫌疑人或公民个人信息购买者、收受者的关系。犯罪嫌疑人供述、辨认笔录及证人证言等,证实犯罪嫌疑人或公民个人信息购买者、收受者所有或实际控制、使用涉案存储介质。
(4)证明涉案公民个人信息真实性的证据:被害人陈述、被害人提供的原始信息资料、公安机关或相关单位出具的涉案公民个人信息与权威数据库内信息同一性的比对说明。针对批量的涉案公民个人信息的真实性问题,根据《解释》精神,可以根据查获的数量直接认定,但有证据证明信息不真实或重复的除外。
(5)证明违反国家规定,通过窃取、购买、收受、交换等方式非法获取公民个人信息的证据:主要证据与上述以出售、提供方式侵犯公民个人信息行为的证据基本相同。针对窃取的方式如通过技术手段非法获取公民个人信息的行为,需证明犯罪嫌疑人实施上述行为,除被害人陈述、犯罪嫌疑人供述和辩解外,还包括侦查机关从被害公司数据库中发现入侵电脑IP地址情况、从犯罪嫌疑人电脑中提取的侵入被害公司数据的痕迹等现场勘验检查笔录,以及涉案程序(木马)的司法鉴定意见等。
3.有证据证明犯罪嫌疑人具有侵犯公民个人信息的主观故意
(1)证明犯罪嫌疑人明知没有获取、提供公民个人信息的法律依据或资格,主要证据包括:犯罪嫌疑人的身份证明、犯罪嫌疑人关于所从事职业的供述、其所在公司的工商资料和营业范围、公司关于犯罪嫌疑人的职责范围说明、公司主要负责人的证人证言等。
(2)证明犯罪嫌疑人积极实施窃取、出售、提供、购买、交换、收受公民个人信息的行为,主要证据除了证人证言、犯罪嫌疑人供述和辩解外,还包括远程勘验笔录、手机短信记录、即时通讯工具聊天记录、电子数据司法鉴定意见、银行账户明细、第三方支付平台账户明细等。
4.有证据证明“情节严重”或“情节特别严重”
(1)公民个人信息购买者或收受者的证言或供述。
(2)公民个人信息购买、收受公司工作人员利用公民个人信息进行电话或短信推销、商务调查等经营性活动后出具的证言或供述。
(3)公民个人信息购买者或者收受者利用所获信息从事违法犯罪活动后出具的证言或供述。
(4)远程勘验笔录、电子数据司法鉴定意见书、最高人民检察院或公安部指定的机构对电子数据涉及的专门性问题出具的报告、公民个人信息资料等。证明犯罪嫌疑人通过即时通讯工具、电子邮箱、论坛、贴吧、手机等向他人出售、提供、购买、交换、收受公民个人信息的情况。
(5)银行账户明细、第三方支付平台账户明细。
(6)死亡证明、伤情鉴定意见、医院诊断记录、经济损失鉴定意见、相关案件起诉书、判决书等。
(二)审查起诉
除审查逮捕阶段证据审查基本要求之外,对侵犯公民个人信息案件的审查起诉工作还应坚持“犯罪事实清楚,证据确实、充分”的标准,保证定罪量刑的事实都有证据证明;据以定案的证据均经法定程序查证属实;综合全案证据,对所认定的事实已排除合理怀疑。
1.有确实充分的证据证明发生了侵犯公民个人信息犯罪事实。该证据与审查逮捕的证据类型相同。
2.有确实充分的证据证明侵犯公民个人信息行为是犯罪嫌疑人实施的
(1)对于证明犯罪行为是犯罪嫌疑人实施的证据审查,需要结合《解释》精神,准确把握对“违反国家有关规定”“出售、提供行为”“窃取或以其他方法”的认定。
(2)对证明违反国家有关规定的证据审查,需要明确国家有关规定的具体内容,违反法律、行政法规、部门规章有关公民个人信息保护规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。
(3)对证明出售、提供行为的证据审查,应当明确“出售、提供”包括在履职或提供服务的过程中将合法持有的公民个人信息出售或者提供给他人的行为:向特定人提供、通过信息网络或者其他途径发布公民个人信息、未经被收集者同意,将合法收集的公民个人信息(经过处理无法识别特定个人且不能复原的除外)向他人提供的,均属于刑法第二百五十三条之一规定的“提供公民个人信息”。应当全面审查犯罪嫌疑人所出售提供公民个人信息的来源、途经与去向,对相关供述、物证、书证、证人证言、被害人陈述、电子数据等证据种类进行综合审查,针对使用信息网络进行犯罪活动的,需要结合专业知识,根据证明该行为的远程勘验笔录、扣押笔录、扣押物品清单、电子存储介质、网络存储介质等的司法鉴定意见进行审查。
(4)对证明通过窃取或以其他非法方法获取公民个人信息等方式非法获取公民个人信息的证据审查,应当明确“以其他方法获取公民个人信息”包括购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的行为。
针对窃取行为,如通过信息网络窃取公民个人信息,则应当结合犯罪嫌疑人供述、证人证言、被害人陈述,着重审查证明犯罪嫌疑人侵入信息网络、数据库时的IP地址、MAC地址、侵入工具、侵入痕迹等内容的现场勘验检查笔录以及涉案程序(木马)的司法鉴定意见等。
针对购买、收受、交换行为,应当全面审查购买、收受、交换公民个人信息的来源、途经、去向,结合犯罪嫌疑人供述和辩解、辨认笔录、证人证言等证据,对搜查笔录、扣押笔录、扣押物品清单、涉案电子存储介质等司法鉴定意见进行审查,明确上述证据同犯罪嫌疑人或公民个人信息购买、收受、交换者之间的关系。
针对履行职责、提供服务过程中收集公民个人信息的行为,应当审查证明犯罪嫌疑人所从事职业及其所负职责的证据,结合法律、行政法规、部门规章等国家有关公民个人信息保护的规定,明确犯罪嫌疑人的行为属于违反国家有关规定,以其他方法非法获取公民个人信息的行为。
(5)对证明涉案公民个人信息真实性证据的审查,应当着重审查被害人陈述、被害人提供的原始信息资料、公安机关或其他相关单位出具的涉案公民个人信息与权威数据库内信息同一性的对比说明。对批量的涉案公民个人信息的真实性问题,根据《解释》精神,可以根据查获的数量直接认定,但有证据证明信息不真实或重复的除外。
3.有确实充分的证据证明犯罪嫌疑人具有侵犯公民个人信息的主观故意
(1)对证明犯罪嫌疑人主观故意的证据审查,应当综合审查犯罪嫌疑人的身份证明、犯罪嫌疑人关于所从事职业的供述、其所在公司的工商资料和营业范围、公司关于犯罪嫌疑人的职责范围说明、公司主要负责人的证人证言等,结合国家公民个人信息保护的相关规定,夯实犯罪嫌疑人在实施犯罪时的主观明知。
(2)对证明犯罪嫌疑人积极实施窃取或者以其他方法非法获取公民个人信息行为的证据审查,应当结合犯罪嫌疑人供述、证人证言,着重审查远程勘验笔录、手机短信记录、即时通讯工具聊天记录、电子数据司法鉴定意见、银行账户明细、第三方支付平台账户明细等,明确犯罪嫌疑人在实施犯罪时的积极作为。
4.有确实充分的证据证明“情节严重”或“情节特别严重”。该证据与审查逮捕的证据类型相同。
二、需要特别注意的问题
在侵犯公民个人信息案件审查逮捕、审查起诉中,要根据相关法律、司法解释等规定,结合在案证据,重点注意以下问题:
(一)对“公民个人信息”的审查认定
根据《解释》的规定,公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。经过处理无法识别特定自然人且不能复原的信息,虽然也可能反映自然人活动情况,但与特定自然人无直接关联,不属于公民个人信息的范畴。
对于企业工商登记等信息中所包含的手机、电话号码等信息,应当明确该号码的用途。对由公司购买、使用的手机、电话号码等信息,不属于个人信息的范畴,从而严格区分“手机、电话号码等由公司购买,归公司使用”与“公司经办人在工商登记等活动中登记个人电话、手机号码”两种不同情形。
(二)对“违反国家有关规定”的审查认定
《中华人民共和国刑法修正案(九)》将原第二百五十三条之一的“违反国家规定”修改为“违反国家有关规定”,后者的范围明显更广。根据刑法第九十六条的规定,“国家规定”仅限于全国人大及其常委会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。而“国家有关规定”还包括部门规章,这些规定散见于金融、电信、交通、教育、医疗、统计、邮政等领域的法律、行政法规或部门规章中。
(三)对“非法获取”的审查认定
在窃取或者以其他方法非法获取公民个人信息的行为中,需要着重把握“其他方法”的范围问题。“其他方法”,是指“窃取”以外,与窃取行为具有同等危害性的方法,其中,购买是最常见的非法获取手段。侵犯公民个人信息犯罪作为电信网络诈骗的上游犯罪,诈骗分子往往先通过网络向他人购买公民个人信息,然后自己直接用于诈骗或转发给其他同伙用于诈骗,诈骗分子购买公民个人信息的行为属于非法获取行为,其同伙接收公民个人信息的行为明显也属于非法获取行为。同时,一些房产中介、物业管理公司、保险公司、担保公司的业务员往往与同行通过QQ、微信群互相交换各自掌握的客户信息,这种交换行为也属于非法获取行为。此外,行为人在履行职责、提供服务过程中,违反国家有关规定,未经他人同意收集公民个人信息,或者收集与提供的服务无关的公民个人信息的,也属于非法获取公民个人信息的行为。
(四)对“情节严重”和“情节特别严重”的审查认定
1.关于“情节严重”的具体认定标准,根据《解释》第五条第一款的规定,主要涉及五个方面:
(1)信息类型和数量。①行踪轨迹信息、通信内容、征信信息、财产信息,此类信息与公民人身、财产安全直接相关,数量标准为五十条以上,且仅限于上述四类信息,不允许扩大范围。对于财产信息,既包括银行、第三方支付平台、证券期货等金融服务账户的身份认证信息(一组确认用户操作权限的数据,包括账号、口令、密码、数字证书等),也包括存款、房产、车辆等财产状况信息。②住宿信息、通信记录、健康生理信息、交易信息等可能影响公民人身、财产安全的信息,数量标准为五百条以上,此类信息也与人身、财产安全直接相关,但重要程度要弱于行踪轨迹信息、通信内容、征信信息、财产信息。对“其他可能影响人身、财产安全的公民个人信息”的把握,应当确保所适用的公民个人信息涉及人身、财产安全,且与“住宿信息、通信记录、健康生理信息、交易信息”在重要程度上具有相当性。③除上述两类信息以外的其他公民个人信息,数量标准为五千条以上。
(2)违法所得数额。对于违法所得,可直接以犯罪嫌疑人出售公民个人信息的收入予以认定,不必扣减其购买信息的犯罪成本。同时,在审查认定违法所得数额过程中,应当以查获的银行交易记录、第三方支付平台交易记录、聊天记录、犯罪嫌疑人供述、证人证言综合予以认定,对于犯罪嫌疑人无法说明合法来源的用于专门实施侵犯公民个人信息犯罪的银行账户或第三方支付平台账户内资金收入,可综合全案证据认定为违法所得。
(3)信息用途。公民个人信息被他人用于违法犯罪活动的,不要求他人的行为必须构成犯罪,只要行为人明知他人非法获取公民个人信息用于违法犯罪活动即可。
(4)主体身份。如果行为人系将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的,涉案信息数量、违法所得数额只要达到一般主体的一半,即可认为“情节严重”。
(5)主观恶性。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的,即可认为“情节严重”。
2.关于“情节特别严重”的认定标准,根据《解释》,主要分为两类:一是信息数量、违法所得数额标准。二是信息用途引发的严重后果,其中造成人身伤亡、经济损失、恶劣社会影响等后果,需要审查认定侵犯公民个人信息的行为与严重后果间存在因果关系。
对于涉案公民个人信息数量的认定,根据《解释》第十一条,非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算;向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算;对批量出售、提供公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。在实践中,如犯罪嫌疑人多次获取同一条公民个人信息,一般认定为一条,不重复累计;但获取的该公民个人信息内容发生了变化的除外。
对于涉案公民个人信息的数量、社会危害性等因素的审查,应当结合刑法第二百五十三条和《解释》的规定进行综合审查。涉案公民个人信息数量极少,但造成被害人死亡等严重后果的,应审查犯罪嫌疑人行为与该后果之间的因果关系,符合条件的,可以认定为实施《解释》第五条第一款第十项“其他情节严重的情形”的行为,造成被害人死亡等严重后果,从而认定为“情节特别严重”。如涉案公民个人信息数量较多,但犯罪嫌疑人仅仅获取而未向他人出售或提供,则可以在认定相关犯罪事实的基础上,审查该行为是否符合《解释》第五条第一款第三、四、五、六、九项及第二款第三项的情形,符合条件的,可以分别认定为“情节严重”“情节特别严重”。
此外,针对为合法经营活动而购买、收受公民个人信息的行为,在适用《解释》第六条的定罪量刑标准时须满足三个条件:一是为了合法经营活动,对此可以综合全案证据认定,但主要应当由犯罪嫌疑人一方提供相关证据;二是限于普通公民个人信息,即不包括可能影响人身、财产安全的敏感信息;三是信息没有再流出扩散,即行为方式限于购买、收受。如果将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准应当适用《解释》第五条的规定。
(五)对关联犯罪的审查认定
对于侵犯公民个人信息犯罪与电信网络诈骗犯罪相交织的案件,应严格按照《最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》(法发〔2016〕32号)的规定进行审查认定,即通过认真审查非法获取、出售、提供公民个人信息的犯罪嫌疑人对电信网络诈骗犯罪的参与程度,结合能够证实其认知能力的学历文化、聊天记录、通话频率、获取固定报酬还是参与电信网络诈骗犯罪分成等证据,分析判断其是否属于诈骗共同犯罪、是否应该数罪并罚。
根据《解释》第八条的规定,设立用于实施出售、提供或者非法获取公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪;同时构成侵犯公民个人信息罪的,应当认定为侵犯公民个人信息罪。
对于违反国家有关规定,采用技术手段非法侵入合法存储公民个人信息的单位数据库窃取公民个人信息的行为,也符合刑法第二百八十五条第二款非法获取计算机信息系统数据罪的客观特征,同时触犯侵犯公民个人信息罪和非法获取计算机信息系统数据罪的,应择一重罪论处。
此外,针对公安民警在履行职责过程中,违反国家有关规定,查询、提供公民个人信息的情形,应当认定为“违反国家有关规定,将在履行职责或者提供服务过程中以其他方法非法获取或提供公民个人信息”。但同时,应当审查犯罪嫌疑人除该行为之外有无其他行为侵害其他法益,从而对可能存在的其他犯罪予以准确认定。
三、社会危险性及羁押必要性审查
(一)审查逮捕
1.犯罪动机:一是出售牟利;二是用于经营活动;三是用于违法犯罪活动。犯罪动机表明犯罪嫌疑人主观恶性,也能证明犯罪嫌疑人是否可能实施新的犯罪。
2.犯罪情节。犯罪嫌疑人的行为直接反映其人身危险性。具有下列情节的侵犯公民个人信息犯罪,能够证实犯罪嫌疑人主观恶性和人身危险性较大,实施新的犯罪的可能性也较大,可以认为具有较大的社会危险性:一是犯罪持续时间较长、多次实施侵犯公民个人信息犯罪的;二是被侵犯的公民个人信息数量或违法所得巨大的;三是利用公民个人信息进行违法犯罪活动的;四是犯罪手段行为本身具有违法性或者破坏性,即犯罪手段恶劣的,如骗取、窃取公民个人信息,采取胁迫、植入木马程序侵入他人计算机系统等方式非法获取信息。
犯罪嫌疑人实施侵犯公民个人信息犯罪,不属于“情节特别严重”,系初犯,全部退赃,并确有悔罪表现的,可以认定社会危险性较小,没有逮捕必要。
(二)审查起诉
在审查起诉阶段,要结合侦查阶段取得的事实证据,进一步引导侦查机关加大捕后侦查力度,及时审查新证据。在羁押期限届满前对全案进行综合审查,对于未达到逮捕证明标准的,撤销原逮捕决定。
经羁押必要性审查,发现犯罪嫌疑人具有下列情形之一的,应当向办案机关提出释放或者变更强制措施的建议:
1.案件证据发生重大变化,没有证据证明有犯罪事实或者犯罪行为系犯罪嫌疑人、被告人所为的。
2.案件事实或者情节发生变化,犯罪嫌疑人、被告人可能被判处拘役、管制、独立适用附加刑、免予刑事处罚或者判决无罪的。
3.继续羁押犯罪嫌疑人、被告人,羁押期限将超过依法可能判处的刑期的。
4.案件事实基本查清,证据已经收集固定,符合取保候审或者监视居住条件的。
经羁押必要性审查,发现犯罪嫌疑人、被告人具有下列情形之一,且具有悔罪表现,不予羁押不致发生社会危险性的,可以向办案机关提出释放或者变更强制措施的建议:
1.预备犯或者中止犯;共同犯罪中的从犯或者胁从犯。
2.主观恶性较小的初犯。
3.系未成年人或者年满七十五周岁的人。
4.与被害方依法自愿达成和解协议,且已经履行或者提供担保的。
5.患有严重疾病、生活不能自理的。
6.系怀孕或者正在哺乳自己婴儿的妇女。
7.系生活不能自理的人的唯一扶养人。
8.可能被判处一年以下有期徒刑或者宣告缓刑的。
9.其他不需要继续羁押犯罪嫌疑人、被告人的情形。
【公安文件】
《公安部关于公安机关处置信访活动中违法犯罪行为适用法律的指导意见》(公通字〔2013〕25号,20130719)
三、对侵犯人身权利、财产权利违法犯罪行为的处理
4.偷窥、偷拍、窃听、散布他人隐私,符合《治安管理处罚法》第四十二条第六项规定的,以侵犯隐私依法予以治安管理处罚;情节严重,符合《刑法》第二百五十三条之一第二款规定的,以非法获取公民个人信息罪追究刑事责任。
【法院参考案例】
〔参考案例第612号:周建平侵犯公民个人信息案〕非法购买公民电话通话清单后又出售牟利应如何定性?
电话通话清单是电信部门电脑对某一电话主叫或被叫情况、对方电话号码、是否接通及通话时间起止等情况的实时记录,属于刑法第二百五十三条之一罪状中“公民个人信息”的范畴。行为人通过在互联网上发布广告,长时间、大范围地搜集、购买、兜售电话通话清单,应以侵犯公民个人信息罪定罪。
〔参考案例第741号:谢新冲出售公民个人信息案〕〔参考案例第1009号:胡某等非法获取公民个人信息案〕通过非法跟踪他人行踪所获取的公民日常活动信息是否属于公民个人信息?
手机定位属于动态信息,当公民从事某些活动不希望被他人获悉时,因其所处具体位置与其从事的活动具有直接联系,一旦所处位置被他人获悉,其所从事的活动也就相应暴露,从而可能损害其利益。故手机定位属于刑法所保护的“公民个人信息”。
何帆老师的《刑法注释书》(第二版),这是一本集法条、案例、释义、实务要点为一体的刑法工具书,不仅全面搜集了每一罪名的相关法律法规,还对这些文件进行了提炼与解读,简练清楚地指出实务中应该如何适用,提示需要注意的要点。能帮助刑法工作者快速查到并理解,一个问题法律上到底是怎么规定的,非常务实、精炼。