刑法第253条之一规定,违反国家规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处罚金或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第一条规定,“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等;第五条规定,非法获取、出售或者提供行踪轨迹信息、财产信息等以外的公民个人信息5000条以上的,应当认定为“情节严重”,数量达到前款规定标准10倍以上的,应当认定为“情节特别严重”。由于司法解释根据非法获取、出售或者提供的公民个人信息类型、数量分别设置了不同的量刑幅度,因此该类案件的争议焦点多为涉案公民个人信息类型、数量的认定。
结合本案证据,本案非法获取的公民个人信息包括姓名、身份证号码、手机号、紧急联系人、户籍所在地等,上述信息并不属于行踪轨迹信息、财产信息、通信信息等个人信息,而属于一般公民个人信息。根据司法解释的规定,非法获取普通公民个人信息5000条以上才达到情节严重的标准,5万条以上才达到情节特别严重的标准。
在司法实践中,经常出现非法获取批量公民个人信息的情况,如果逐一核实信息的真实性和可识别性,将消耗大量司法资源,也不利于刑事诉讼程序的顺利开展,因此《解释》第11条规定,对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。本案中,从被告人手机、电脑中提取到包括姓名、手机号、身份证号码等公民个人信息多达30余万条,对于其中明显无效、错误的公民个人信息,比如手机号码10位数或12位数、身份证号码位数不对等,应认为不属于侵犯公民个人信息罪的保护对象,在计算公民个人信息数量时,应当予以剔除。剔除无效、错误信息后,根据手机号码排重后有11万余条公民个人信息,再筛除不属于姓名的代称(例如小王、李女士等),最后认定非法获取公民个人信息9万余条。
检察机关以陈某某、吴某某涉嫌侵犯公民个人信息罪,情节特别严重,向朝阳区法院提起公诉。法院采纳了检察机关的指控事实、罪名及量刑建议,以侵犯公民个人信息罪分别判处陈某某、吴某某有期徒刑三年至三年六个月不等,并处罚金3万元至4万元不等。
把握公民个人信息类型认定重点
本案中,剔除无效、错误信息并排除重复项后,被告人非法获取公民个人信息的数量被认定为9万余条,且均为以5000条为入罪标准的一般个人信息,此数量已远远超出《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)所规定数额巨大的标准,故在量刑上并无争议点。
但在实际办案过程中可能会出现这样一种情况:犯罪嫌疑人非法获取、出售或者提供的公民个人信息为4920条,其中一般个人信息4500条(5000条为情节严重标准,如身份证号、手机号等),敏感个人信息400条(500条为情节严重标准,如住宿信息、通信记录等),特别敏感个人信息20条(50条为情节严重标准,如通信内容、财产信息等)。在此种情况下,以上每一种类型个人信息数量,以及整体总数量均不满足情节严重的标准,但由于其中涉及到住宿信息、财产信息等与人民群众人身、财产安全密切相关的信息,此种行为的社会危害性远远大于一般个人信息5000条入罪标准的犯罪行为。
对此,《解释》第5条第6款明确规定:数量未达到第3款至第5款规定标准,但是按相应比例合计达到有关数量标准的,应当认定为刑法第253条之一规定的“情节严重”。结合《解释》第5条第1款第3项至第5项规定,入罪标准分为“特别敏感个人信息50条”“敏感个人信息500条”“一般个人信息5000条”三档,并且呈现1∶10∶100的比例。根据上述规定,上述列举案例按比例折算,犯罪嫌疑人非法获取、出售或者提供个人信息均换算为一般个人信息,按照一般个人信息数量进行量刑。按照相应比例合计达到有关数量标准的方式进行计算,并参照其进行量刑,可更好地实现罪刑相适应的刑法基本原则,也能有效打击侵犯公民个人信息的犯罪行为。
除《解释》外,在《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》中,对按相应比例合计的计算方式也有明确规定,其中“拒不履行信息网络安全管理义务,具有下列情形之一的,应当认定为刑法第286条之一第一款第一项规定的‘致使违法信息大量传播’:(一)致使传播违法视频文件二百个以上的;(二)致使传播违法视频文件以外的其他违法信息二千个以上的;(三)致使传播违法信息,数量虽未达到第一项、第二项规定标准,但是按相应比例折算合计达到有关数量标准的”。
类型认定的关键是个人信息的敏感程度
本案犯罪事实清晰,因此重点在于确定量刑建议。而量刑建议中的核心要素之一即是认定涉案公民个人信息的类型。2017年6月1日施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,在就何种情形应当认定为刑法第253条之一规定的“情节严重”作出解释时,事实上将个人信息类型划定为三个档次。第一档50条:行踪轨迹信息、通信内容、征信信息、财产信息;第二档500条:住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息;第三档5000条:其他类型的个人信息。
上述三个档次的划分,是从执法和司法实践中总结提炼而来,根据的是个人信息的敏感程度。即将生效的个人信息保护法同样根据敏感程度将个人信息划分为一般个人信息和敏感个人信息。后者是指“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”对于敏感个人信息,个人信息保护法要求“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理”。对照来看,司法解释中的第一和第二档同属于个人信息保护法中的敏感个人信息。
一般和敏感的区分,也为域外的个人信息保护相关法律所普遍采纳。例如欧盟《通用数据保护条例》(GDPR)定义了特殊类型的个人数据,将种族、民族、政治观点、宗教和哲学信仰,或工会成员身份、基因数据、生物识别数据、健康数据、性取向或性经历有关的数据涵盖于其中。对于特殊类型个人数据,GDPR采取了原则上禁止、例外情形才允许的路径。
究其根本,区分敏感程度并配予梯度性的前置保护要求和事后刑事责任,目的在于为个人诸多的合法权益提供不同程度的法律保护。本案中,虽然被爬取数据的App为金融类App,但被爬取的数据类型并不涉及征信、财产、交易等信息,检察官遵循司法解释的规定,准确地认定了量刑中应当考虑的个人信息类型。杭州市西湖区/拱墅区/余杭区刑事辩护律师咨询服务中心www.yhlawfirm.cn