ENGLISH
侵犯公民个人信息罪司法适用的若干问题(上)




3000a8f43e250de33a230ad73662878c.png



2017年6月1日,最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)开始实施,《中华人民共和国网络安全法》(以下简称《网络安全法》)也于同日正式实施。显然,这不是巧合。两部法的共同实施,凸显了互联网时代背景下公民个人信息保护的重大意义,在具体适用上两者实际也紧密关联。


《网络安全法》是刑事法律适用的前置法,属于公民个人信息保护的第一道制度防线,其规定的网络平台对保护公民个人信息的责任,在刑事法律适用中是罪行认定的规范事实基础,因此《刑法》及其司法解释属于公民个人信息保护的第二道制度防线。本文分为(上)(下)篇,以两部法的实施为契机,就侵犯公民个人信息罪的法律文义解析(上)、刑事司法适用的典型情形(下)作出解析,供有关人士参考使用。


《刑法》规定的侵犯公民个人信息罪的司法适用,实质是《刑法》关于侵犯公民个人信息罪的定罪量刑标准与具体证据事实之间寻找最佳匹配度的过程。所以,对侵犯公民个人信息罪的定罪量刑标准的法律文义解析,是首要任务。这里要说明的是,对于罪名认定,笔者始终认为“客观性-违法性-有责性”的三要件构成理论是符合司法规律的。因此,下面对侵犯公民个人信息罪的法律文义解读,也按照这一逻辑顺序展开。


1.jpg

  客观性-侵犯公民个人信息罪的犯罪后果


侵犯公民个人信息的行为造成何种危害后果才会受到刑罚惩罚,两部新法对此作了限制规定。《网络安全法》第42条规定,对于经过处理无法识别特定个人且不能复原的信息,不在保护之列。《解释》更是开宗明义,第一条就界定了“公民个人信息”的范围,即“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”


在此基础上,以《网络安全法》为依据,《解释》也将“经过处理无法识别特定个人且不能复原的信息”予以排除。进一步地,《解释》又将公民个人信息根据其内容重要程度加以区分,《解释》第五条第(三)、(四)、(五)项分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准,标注了三类不同侵害行为的社会危害程度。

                                                                     

2.jpg


                                           违法性-侵犯公民个人信息罪的犯罪行为

 

法律对侵犯公民个人信息行为的规制,是根据公民个人信息的活动机理形成的。每个信息的活动过程基本上可以分三个阶段:形成端、获取端、使用端。如下图:


根据上述活动机理,从《刑法修正案七》,到《刑法修正案九》,再到《解释》,对侵犯公民个人信息行为的规制无一例外都集中于“获取端”和“使用端”两个环节。从法律规定来看,“获取端”的行为方法主要包括“窃取、购买、收受、交换及其他非法收集行为”,“使用端”的行为方法主要包括“出售、提供、发布及其他滥用行为”。为加深对法律规定行为类型的理解,我们可以根据行为发生机理,用数学排列组合的方式加以描述:

根据上述机理,凡存在“非法获取”或者“非法使用”公民个人信息行为的,根据相应的情节标准,都有构成犯罪的可能。具体包括:


1、根据《刑法修正案九》,《刑法》第253条之一第1款规定“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”,即属于D类情形;


第2款“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚”,即属于B类情形,加重处罚;第3款“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚”,即属于C类或D类情形。


2、《解释》在《刑法修正案九》的基础上,对“非法获取”和“非法使用”的含义进一步细化。《解释》第二条明确了“非法”的含义,即“ 违反法律、行政法规、部门规章有关公民个人信息保护的规定的”;《解释》第三条明确了除“出售”和“交换”外,“提供公民个人信息”的方式含义为“向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的”。


《解释》第四条明确了除“窃取”外,“其他方法非法获取”的含义为“违反国家有关规定的购买、收受、交换,以及履行职责、提供服务过程中收集公民个人信息等。”这些规定都是对上述B、C、D三种情形适用标准的细化。


根据《解释》第五条,在侵犯公民个人信息行为的入罪标准上,《解释》明确了该罪“行为犯”的性质,即犯罪既遂是以完成法定危害行为作为条件的。因此,入罪标准主要是各种严重的行为情节,包括:1、行为的间接影响(第5条第1、2项);2、信息条数(第5条第3、4、5、6、8项);3、违法所得或获利金额(第5条第7项、第6条第1项);4、行政处罚次数(第5条第9项)。“情节特别严重”的情形,主要也是围绕“间接影响”和“信息条数”两个标准细化的内容。

3.jpg


                                      有责性-侵犯公民个人信息罪的犯罪故意


侵犯公民个人信息罪的犯罪主观要件是故意,但根据《解释》规定,不同情形的故意内容不完全相同。一般情况下,要求行为人明知自己的行为侵犯公民个人信息,但仍然积极实施,符合该罪的直接故意要件。


据此,《解释》第五条第(一)项规定了“出售或者提供行踪轨迹信息,被他人用于犯罪的”,但并不要求行为人对于“他人用于犯罪”这一后果有预见或明确认识,只要客观上出现“他人利用行踪轨迹信息实施犯罪”这一客观事实,行为就构成犯罪。


但是,对于《解释》第五条第(二)项规定的“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的”,这种情形下没有出现他人实施犯罪的情况,但要求行为人主观上是知道或者应当知道这种情况可能发生的,那么其行为就构成了犯罪,这种情况下犯罪故意的认识内容比一般的故意内容要多一些。


另外,当“非法获取”和“非法使用”公民个人信息的犯罪行为并存、且实施主体不同时,他们将分别构成侵犯公民个人信息罪。这里除双方共谋构成共同犯罪的情况外,分别构成犯罪的主观故意内容是不同的:一个是认识到非法获取信息的后果,一个是认识到非法使用信息的后果,两者之间没有意思上的联络,不具备共同犯罪的故意。

姜先良.webp.jpg

作者简介

姜先良律师,毕业于中国人民公安大学,获法学学士学位和刑法专业硕士学位,曾任北京市第二中级人民法院法官、中央金融企业和世界五百强企业合规高级主管。现任北京市中闻律师事务所合伙人、商业合规与公司治理业务部副主任,主要业务领域:刑事辩护、企业合规和风控、金融不良资产处置。



主要联系人
姜先良
合伙人

手机扫一扫
分享这则新闻