2017年3月20日最高人民法院审判委员会第1712次会议、2017年4月26日最高人民检察院第十二届检察委员会第63次会议通过,自2017年6月1日起施行。
为依法惩治侵犯公民个人信息犯罪活动,保护公民个人信息安全和合法权益,根据《中华人民共和国刑法》《中华人民共和国刑事诉讼法》的有关规定,现就办理此类刑事案件适用法律的若干问题解释如下:
第一条刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
第二条违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。
第三条向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。
未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
第四条违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
第五条非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
第六条为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)利用非法购买、收受的公民个人信息获利五万元以上的;
(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;
实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。
第七条单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。
第八条设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。
第九条网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。
第十条实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。
第十一条非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。
向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。
对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
第十二条对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。
随着信息化建设的推进,信息资源成为重要的生产要素和社会财富。与此同时,个人信息泄露问题严重,个人信息安全成为一个全社会高度关注的问题。为保护公民个人信息,2009年2月28日起施行的《刑法修正案(七)》增设了刑法第二百五十三条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。《刑法修正案(七)》施行后,从2009年2月至2015年10月,全国法院共审结出售、非法提供公民个人信息、非法获取公民个人信息刑事案件969起,生效判决人数1415人。
近年来,侵犯公民个人信息犯罪仍处于高发态势,而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势,社会危害更加严重。为加大对公民个人信息的保护力度,2015年11月1日起施行的《刑法修正案(九)》对刑法第二百五十三条之一作出修改完善:一是扩大犯罪主体的范围,规定任何单位和个人违反国家有关规定,获取、出售或者提供公民个人信息,情节严重的,都构成犯罪;二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚;三是加重法定刑,增加规定“情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。修改后,“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。《刑法修正案(九)》施行以来,各级公检法机关依据修改后的刑法规定,严肃惩处侵犯公民个人信息犯罪,案件数量显著增长。2015年11月至2016年12月,全国法院新收侵犯公民个人信息刑事案件495件,审结464件,生效判决人数697人。
在查办案件过程中,有意见反映,侵犯公民个人信息罪的定罪量刑标准较为原则,不易把握;另有一些法律适用问题存在认识分歧,影响了案件办理。鉴此,为保障法律正确、统一适用,依法严厉惩治、有效防范侵犯公民个人信息犯罪,最高人民法院会同最高人民检察院,在公安部等有关部门的大力支持下,经深入调查研究、广泛征求意见、反复论证完善,制定了本《解释》。
《解释》根据法律规定和立法精神,对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。制定本《解释》,是人民法院、人民检察院充分发挥刑事司法职能,积极回应人民群众关切,加大对涉民生犯罪惩治力度的一项重要举措。《解释》的公布施行,对于强化公民个人信息的保护,维护人民群众个人信息安全以及财产、人身权益,必将发挥重要作用。
(一)明确了“公民个人信息”的范围。基于全面保护公民个人信息的现实需要,《解释》第一条规定“公民个人信息”包括身份识别信息和活动情况信息,即“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
(二)明确了非法“提供公民个人信息”的认定标准。根据刑法第二百五十三条之一的规定,违反国家有关规定,向他人出售或者提供公民个人信息,是侵犯公民个人信息罪的客观行为方式之一。针对司法实践的情况,《解释》第三条对非法“提供公民个人信息”的认定作了进一步明确。具体而言:一是“提供”的认定。在“人肉搜索”案件中,行为人未经权利人同意即将其身份、照片、姓名、生活细节等个人信息公布于众,影响其正常的工作、生活秩序,危害严重。更有甚者,一些行为人恶意利用泄露的个人信息进行各类违法犯罪活动。经研究认为,通过信息网络或者其他途径予以发布,实际是向不特定多数人提供公民个人信息,向特定人提供公民个人信息的行为属于“提供”,基于“举轻明重”的法理,前者更应当认定为“提供”。基于此,《解释》规定:“向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的‘提供公民个人信息’。”二是合法收集公民个人信息后非法提供的认定。根据《网络安全法》的规定,经得被收集者同意,以及做匿名化处理(剔除个人关联),是合法提供公民个人信息的两种情形。基于此,《解释》规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外。”
(三)明确了“非法获取公民个人信息”的认定标准。根据刑法第二百五十三条之一的规定,窃取或者以其他方法非法获取公民个人信息,是侵犯公民个人信息罪的客观行为方式之一。根据司法实践的情况,《解释》第四条对“非法获取公民个人信息”的认定作了进一步明确。一是规定“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息”的,属于“非法获取公民个人信息”。二是根据《网络安全法》规定的收集、使用个人信息的规则,明确违反国家有关规定,“在履行职责、提供服务过程中收集公民个人信息”的,属于“非法获取公民个人信息”。
(四)明确了侵犯公民个人信息罪的定罪量刑标准。侵犯公民个人信息罪的入罪要件为“情节严重”。根据法律精神,结合司法实践,《解释》第五条第一款设十项对“情节严重”的认定标准作了明确规定,大致涉及如下五个方面:一是信息类型和数量。公民个人信息的类型繁多,行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、交易信息等公民个人敏感信息涉及人身安全和财产安全,被非法获取、出售或者提供后极易引发绑架、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。基于不同类型公民个人信息的重要程度,《解释》分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准,以体现罪责刑相适应。二是违法所得数额。出售或者非法提供公民个人信息往往是为了牟利,基于此,《解释》将违法所得五千元以上的规定为“情节严重”。三是信息用途。被非法获取、出售或者提供的公民个人信息,用途存在不同,对权利人的侵害程度也会存在差异。基于此,《解释》将“非法获取、出售或者提供行踪轨迹信息,被他人用于犯罪”“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供”规定为“情节严重”。四是主体身份。公民个人信息泄露案件不少系内部人员作案,诸多公民个人信息买卖案件也可以见到“内鬼”参与的“影子”。为切实加大对此类行为的惩治力度,《解释》明确,“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人”的,认定“情节严重”的数量、数额标准减半计算。五是前科情况。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的,行为人屡教不改、主观恶性大,《解释》将其也规定为“情节严重”。
在此基础上,《解释》第五条第二款对侵犯公民个人信息罪的“情节特别严重”的认定标准,也即“处三年以上七年以下有期徒刑”量刑档次的适用标准作了明确,主要涉及如下两个方面:一是数量数额标准。根据信息类型不同,非法获取、出售或者提供公民个人信息“五百条以上”“五千条以上”“五万条以上”,或者违法所得五万元以上的,即属“情节特别严重”。二是严重后果。《解释》将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”“造成重大经济损失或者恶劣社会影响”规定为“情节特别严重”。
(五)明确了为合法经营活动而非法购买、收受公民个人信息的定罪量刑标准。从实践来看,非法购买、收受公民个人信息从事广告推销等活动的情形较为普遍。为贯彻体现宽严相济刑事政策,《解释》第六条专门针对此种情形设置了入罪标准,规定为合法经营活动而非法购买、收受敏感信息以外的公民个人信息,具有下列情形之一的,应当认定为“情节严重”:(1)利用非法购买、收受的公民个人信息获利五万元以上的;(2)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;(3)其他情节严重的情形。
(六)明确了设立网站、通讯群组侵犯公民个人信息行为的定性。实践中,一些行为人建立网站、通讯群组供他人进行公民个人信息交换、流转、销售,以非法牟利。根据刑法第二百八十七条之一的规定,设立用于实施违法犯罪活动的网站、通讯群组,情节严重的,构成非法利用信息网络罪。经研究认为,供他人实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组实际上属于“用于实施违法犯罪活动的网站、通讯群组”。因此,《解释》第八条规定:“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。”
(七)明确了拒不履行公民个人信息安全管理义务行为的处理。当前,不少网络运营者因为履行职责或者提供服务的需要,掌握着海量公民个人信息,这些信息一旦泄露将造成恶劣社会影响和严重危害后果。对此,《网络安全法》明确了网络信息安全的责任主体,确立了“谁收集,谁负责”的基本原则。其中,第四十条明确规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”为进一步促使网络服务提供者切实履行个人信息安全保护义务,《解释》第九条规定:“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。”
(八)明确了侵犯公民个人信息犯罪认罪认罚从宽处理规则。为充分发挥刑法的威慑和教育功能,促使侵犯公民个人信息犯罪行为人积极认罪悔罪,《解释》第十条专门规定:“实施侵犯公民个人信息犯罪,不属于‘情节特别严重’,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。”
(九)明确了涉案公民个人信息的数量计算规则。针对公民个人信息数量“计算难”的实际问题,《解释》第十一条专门规定了数量计算规则。具体而言:一是公民个人信息的条数计算。《解释》规定:“非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。”“向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。”二是批量公民个人信息的数量认定规则。为方便司法实务操作,《解释》规定:“对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。”
(十)明确了侵犯公民个人信息犯罪的罚金刑适用规则。侵犯公民个人信息犯罪具有明显的牟利性,行为人实施该类犯罪主要是为了牟取非法利益。因此,有必要加大财产刑的适用力度,让行为人在经济上得不偿失,进而剥夺其再次实施此类犯罪的经济能力。基于此,《解释》第十二条规定:“对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。”
第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
第二百八十六条之一【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
第二百八十七条之一【非法利用信息网络罪】利用信息网络实施下列行为之一,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金:
(一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;
(二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。