【条文释义】
一、“情节严重”的认定标准
(一)关于信息数量的标准
1.区分信息类型设置差异数量标准。侵犯公民个人信息罪的对象为公民个人信息,以公民个人信息的数量作为量化的标准,最能直接反映该罪的社会危害性。因此,应当根据非法获取、出售或者提供的公民个人信息数量设定入罪标准。实践中,公民个人信息的类型繁多,重要程度难以等量齐观。特别是,各类公民个人信息背后关联的法益存在较大差异,公民个人敏感信息涉及人身安全和财产安全,其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。因此,基于不同类型公民个人信息的重要程度,《解释》分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准,以实现罪责刑相适应。具体而言:
一是非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息[1]、财产信息五十条以上的。行踪轨迹信息、通信内容、征信信息、财产信息与人身安全、财产安全直接相关,系高度敏感信息,《解释》第五条第一款第三项将入罪标准设置为“五十条以上”。需要注意的是,鉴于本项规定的入罪标准门槛较低,故此处严格限缩所涉公民个人信息的类型,仅限于行踪轨迹信息、通信内容、征信信息、财产信息四类信息,不允许司法适用中再通过等外解释予以扩大。对于行踪轨迹信息、通信内容、征信信息,司法实践中在认定上不存在争议。对于财产信息,可以根据案件具体情况把握:既包括银行账户、第三方支付结算账户、证券期货等金融服务账户的身份认证信息(一组确认用户操作权限的数据,包括账号、口令、密码、数字证书等),也包括存款、房产等财产状况信息。
二是非法获取、出售或者提供住宿信息[2]、通信记录、健康生理信息、交易信息[3]等其他可能影响人身、财产安全的公民个人信息五百条以上的。上述公民个人信息虽然在重要程度上不及行踪轨迹信息、通信内容、征信信息、财产信息,但也与人身安全、财产安全直接相关,往往被用于精准诈骗等违法犯罪活动。基于此,《解释》第五条第一款第四项将入罪标准设置为“五百条以上”。需要注意的是,本项规定有“等其他可能影响人身、财产安全的公民个人信息”的表述,司法实践中可以根据具体情况作等外解释,但应当确保所适用的公民个人信息涉及人身、财产安全,且与“住宿信息、通信记录、健康生理信息、交易信息”在重要程度上具有相当性。
三是非法获取、出售或者提供一般公民个人信息五千条以上的。从实践来看,除前述公民个人敏感信息外,出售、提供公民个人信息往往数量较大,动辄数万条甚至数十万条,在不少案件中甚至将公民个人信息编辑为电子文档后按兆出售。因此,不少地方对出售、提供公民个人信息的入罪掌握在数量五千条以上,基本上可以满足严厉打击此类犯罪的需要,且给行政处罚留有一定空间。[4]基于此,《解释》第五条第一款第五项将非法获取、出售或者提供公民个人信息五千条以上的规定为“情节严重”。
此外,鉴于实践中存在混杂公民个人信息的情形[5],《解释》第五条第一款第六项将“数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的”情形规定为“情节严重”。
2.公民个人敏感信息的具体认定。如前所述,基于不同类型公民个人信息的重要程度,《解释》第五条分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准。从司法实践来看,在具体案件中仍然存在对于相关数量标准适用的争议,集中表现为敏感信息的认定问题。有必要强调的是,对于侵犯公民个人敏感信息的行为之所以设置不同于一般公民个人信息的入罪标准,就在于敏感信息涉及人身安全和财产安全,其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。这是认定公民个人敏感信息应当考量的关键因素。
例如,行为人设立钓鱼网站,获取他人的12306账户名和密码,进而获取了他人的火车票信息。火车票载明了姓名、车次、时间、起始站点等信息。该案例的主要争议问题在于如何把握“行踪轨迹信息”的范围。从实践来看,行踪轨迹信息系直接涉及人身安全的公民个人信息,敏感程度最高。从交易价格来看,行踪轨迹信息通常是最为昂贵的信息类型。因此,《解释》第五条明确规定非法获取、出售或者提供行踪轨迹信息五十条以上的,即构成犯罪。鉴于行踪轨迹信息的入罪标准已极低,实践中宜严格把握其范围,只宜理解为GPS定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息。对于虽然也涉及公民个人轨迹的其他信息,通常不宜纳入其中。实践中不妨以信息的交易价格情况作为参考,判断是否可以纳入“行踪轨迹信息”的范畴。就上述案例而言,行为人获取他人火车票信息后,可以根据火车票载明的信息判断出他人的行踪情况,但根据前述原则,不宜将其认定为《解释》所称的“行踪轨迹信息”。
又如,行为人从车辆管理机构工作人员处非法购买车辆信息,具体涉及车主、车辆型号、发动机号、联系电话等信息。行为人购买上述信息后,拨打车主电话推销车辆保险。该案例的主要争议问题在于如何把握“财产信息”的范围。财产信息包括存款、房产等财产状况信息,对此应无疑义。本案中,行为人获取的车辆信息已较为具体,通常认定为“财产信息”亦无不当。但是,综合考虑本案的具体情况,本书还是主张将相关信息不认定为《解释》所称的“财产信息”。主要考虑如下:(1)如前所述,鉴于涉敏感信息的案件入罪门槛低,应当采用严格适用的立场,以控制打击面。(2)犯罪应当是主客观相统一的产物,坚持主客观相统一原则是刑法适用的基本要求。本案中,行为人获取的车辆相关信息确实较为具体,符合“财产信息”的一般特征,但行为人的主观目的就是为了推销车辆保险,并非用于实施针对人身或者财产的侵害行为,故对其适用一般公民个人信息的入罪标准更为妥当。
(二)关于违法所得数额的标准
出售或者非法提供公民个人信息往往是为了牟利,故应当以违法所得作为认定“情节严重”的情形之一。从司法实践来看,一般公民个人信息的价格相对较低,甚至不会按条计价[6][7];而公民个人敏感信息价格通常较高,通常按条计价,特别是行踪轨迹信息可以谓之为最为昂贵的信息类型[8]。考虑到各项规定之间的均衡,《解释》第五条第一款第七项将违法所得五千元以上的规定为“情节严重”。
从司法实践来看,具体案件中对“违法所得”的认定存在较大争议。例如,行为人花费五千元购买公民个人信息,进而进行了加工整理。此后,行为人将上述公民个人信息以八千元的价格出售给他人。该案例的主要争议问题在于违法所得是否需要扣除成本的问题。这并非侵犯公民个人信息犯罪所特有的问题,在其他刑事案件中同样存在。对此,有观点认为违法所得应当扣除五千元的购买成本,即认定为三千元;有观点则认为违法所得不应当扣除五千元的购买成本,即认定为八千元。本书赞同后一种观点,即对于此处的“违法所得”不应扣除成本。主要考虑如下:(1)刑法中的“违法所得”,一般是指犯罪分子因实施违法犯罪活动而取得的全部财物。本案中,行为人非法出售公民个人信息,获得了八千元的对价,将其认定为违法所得,并无不妥。(2)从以往司法解释、规范性文件的规定来看,对于实践中需要资质的经营活动,行为人由于缺乏资质而构成非法经营罪等犯罪的,通常会区分“违法所得数额”与“非法经营数额”。此种情形下,自然不应将二者混同,对于违法所得数额的认定当然应当扣除成本。然而,对于实践中根本不允许存在的活动,构成相应犯罪的,通常只有“违法所得”而非“非法经营数额”的标准。对于后一种情形,则不应当再扣除成本。非法出售、提供公民个人信息即是适例,其本身就是法律所禁止从事的活动,不存在合法经营的情形,故《解释》只设置了“违法所得”标准。按照上述原则,对于此处的“违法所得”不应再扣除成本。
(三)关于信息用途的标准
通常而言,非法获取公民个人信息,绝不仅是为了占有,而是有特定用途、甚至用于违法犯罪。可以说,非法获取、出售或者提供公民个人信息,不仅严重危害公民的信息安全,而且极易引发多种犯罪,成为电信诈骗、网络诈骗以及滋扰型“软暴力”等新型犯罪的根源,甚至与绑架、敲诈勒索、暴力追债等犯罪活动相结合。[9]因此,此类行为引发的后果的严重程度,是认定“情节严重”与否的重要标准。被非法获取、出售或者提供的公民个人信息,用途存在不同,对权利人的侵害程度也会存在差异。如果涉案的公民个人信息被用于实施其他犯罪活动,使权利人的人身、财产安全陷入高风险状态或者造成实质危害的,对此应当直接认定为“情节严重”或者“情节特别严重”,以刑事手段加以规制;而如果涉案公民个人信息未被用于犯罪活动,则社会危害性相对较小,不宜直接以此作为刑事规制的依据。基于此,《解释》第五条第一款第二项将“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的”规定为“情节严重”。[10]从司法实践来看,行踪轨迹信息是最为敏感的公民个人信息。非法获取、出售或者提供该类信息,行为人主观上对可能被用于犯罪存在概括认识,《解释》第五条第一款第一项直接将“非法获取、出售或者提供行踪轨迹信息,被他人用于犯罪的”规定为“情节严重”,无须再具体判断主观上是否知道或者应当知道涉案信息被用于犯罪。
(四)关于主体身份的标准
据统计,公民个人信息的泄露案件中八成是来自于内部人员作案。[11]诸多涉及公民个人信息买卖的案件中大多都可以见到“内部”人员参与的“影子”。国家机关或者金融、电信、交通、教育、医疗等单位的工作人员将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,是侵犯公民个人信息违法犯罪泛滥的重要原因所在。例如,2016年5月,山东菏泽警方成功破获一起网络侵犯公民个人信息大案,共查扣受侵犯公民个人信息200余万条,涉案资金达500余万元,抓获犯罪嫌疑人29名,其中包括22名中间商和7名“内鬼”(一手数据源头)。从此案中打掉的“内鬼”来看,相关部门、企事业单位自身在公民个人信息安全监管方面存在的漏洞令人触目惊心。犯罪嫌疑人甄某,系某商业银行客户经理,利用职务之便,以每条20元至40元的价格,长期向中间商提供个人征信信息以及本银行的客户资料,包括身份证号、信誉、卡号、开户日期、余额、名下账户数量等,可以跨区域查询,覆盖全国;犯罪嫌疑人陈某,系某通信公司软件工程师,利用职务之便私下向中间商贩卖数据库密码,使其能够直接访问数据库中全国范围内的手机定位、开户信息等数据;犯罪嫌疑人王某,系某快递公司苏州某仓库管理员,利用其掌握的系统账号,以每条数十元的价格,向中间商提供全国快递信息,包括收件人地址、电话等信息。[12]
又如,2015年9月至2016年4月,被告人籍某某身为派出所民警,利用其在派出所工作的职务之便,使用已调离的前所长段某某的数字证书查询公安系统内公民个人信息3670余条,并通过微信向被告人李某某出售公民个人信息,非法获利共计19840元;被告人李某某将从籍某某处购买的公民个人信息出售给他人,非法获利42185元。2017年3月9日,河北省赵县人民法院分别以犯侵犯公民个人信息罪判处被告人籍某某、李某某有期徒刑一年,并处罚金五千元。
再如,2014年初至2016年7月,上海市疾控中心工作人员韩某利用其工作便利,登录系统查询并窃取上海疾控中心每月更新的全市新生婴儿信息共计30余万条,然后通过下属同事张某之手层层专卖非法牟利。上海市浦东新区人民法院以侵犯公民个人信息罪作出一审判决,对参与窃取、出售、收买的韩某、张某、范某、李某、黄某、王某、吴某、龚某8名被告人,分别判处有期徒刑二年三个月至七个月不等,罚金5000元至2000元不等。[13]
由于上述情形往往发生在公民个人信息交易的最初阶段,涉案信息的数量往往较少、价格相对低廉。此种情形下,如果不设置特殊标准,往往难以对此类源头行为予以刑事惩治。基于此,为贯彻落实刑法第二百五十三条之一第二款“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚”的规定,《解释》第五条第一款第八项对将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的情形认定为“情节严重”设置了特殊标准,规定此种情形下出售或者提供公民个人信息,认定“情节严重”的数量、数额标准减半计算。当然,对于此种情形,不宜再根据刑法第二百五十三条之一第二款的规定从重处罚,以免重复评价。
(五)关于主观恶性的标准
曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的,行为人屡罚屡犯、主观恶性大。故而,《解释》第五条第一款第九项将此种情形规定为“情节严重”。