最高侵犯公民個人信息解釋是什麼?
侵犯公民個人信息罪,是指通過竊取或者以其他方法非法獲取公民個人信息。
《刑法》第253條規定,違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
(一)“公民個人信息”的範圍
目前,我國關於個人信息的界定,最為權威的當屬《網絡安全法》的規定。《網絡安全法》第七十六條規定:“個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”經研究認為,《網絡安全法》將“個人信息”界定為“能夠識別自然人個人身份的各種信息”,顯然使用的是廣義的“身份識別信息”的概念,即既包括狹義的身份識別信息(能夠識別出特定自然人身份的信息),也包括體現特定自然人活動情況的信息。例如,從實踐來看,行蹤軌跡信息系事關人身安全的高度敏感信息,無疑應納入法律保護範圍,且應當重點保護。但是,行蹤軌跡信息明顯難以納入狹義的“身份識別信息”的範疇。如果認為《網絡安全法》將此類信息排除在“個人信息”的範圍外,恐難以為一般人所認同,也不符合保護公民個人信息的立法精神。合理的解釋應當是,《網絡安全法》是廣義上使用“身份識別信息”這一概念,亦即也包括個人活動情況信息在內。
“公民個人信息”包括身份識別信息和活動情況信息,規定:“《刑法》第二百五十三條之一規定的‘公民個人信息’,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯繫方式、住址、賬號密碼、財產狀況、行蹤軌跡等。”
關於“公民個人信息”的外延,有以下幾個具體問題值得注意:
(1)“公民個人信息”,既包括中國公民的個人信息,也包括外國公民和其他無國籍人的個人信息。
(2)公民個人信息須與特定自然人關聯。這是公民個人信息所具有的關鍵屬性。因此,經過處理無法識別特定個人且不能復原的信息,雖然也可能反映自然人活動情況,但與特定自然人無直接關聯,不能成為公民個人信息的範疇。對於與特定自然人關聯,可以是識別特定自然人身份,也可以是反映特定自然人活動情況。需要注意的是,無論是識別特定自然人身份,還是反映特定自然人活動情況,都應當是能夠單獨或者與其他信息結合所具有的功能。
例如,身份證號與公民個人身份一一對應,可以單獨識別公民個人身份;而工作單位、家庭住址等無法單獨識別公民個人身份,需要同其他信息結合才能識別公民個人身份。但是,上述兩類信息無疑都屬於公民個人信息的範疇。
(3)與特定自然人關聯的賬號密碼屬於“公民個人信息”。對於“賬號密碼”能否納入“公民個人信息”的範圍,存在不同認識。經研究認為,當前賬號密碼往往綁定身份證號、手機號碼等特定信息,即使未綁定,非法獲取賬號密碼後往往也會引發侵犯財產甚至人身的違法犯罪。因此,《解釋》第一條明確將“賬號密碼”列為“公民個人信息”的範圍。
(二)“違反國家有關規定”的認定
《刑法修正案(九)》將侵犯公民個人信息罪的前提要件由“違反國家規定”修改為“違反國家有關規定”。根據修法精神,《解釋》第二條規定:“違反法律、行政法規、部門規章有關公民個人信息保護的規定的,應當認定為刑法第二百五十三條之一規定的‘違反國家有關規定’。”具體而言,該條將“國家有關規定”明確限於法律、行政法規、部門規章等國家層面的規定,不包括地方性法規等非國家層面的規定。
(三)非法“提供公民個人信息”的認定
根據《刑法》第二百五十三條之一第一款、第二款的規定,違反國家有關規定,向他人非法出售或者提供公民個人信息,是侵犯公民個人信息罪的客觀行為方式之一。從司法適用的角度,以下兩個問題值得關注:
1.“提供”的認定。向特定人提供公民個人信息,屬於“提供”公民個人信息,對此不存在疑義。但是,對於通過信息網絡或者其他途徑發佈公民個人信息,是否屬於“提供公民個人信息”,存在不同認識。經研究認為,通過信息網絡或者其他途徑發佈公民個人信息,實際是向不特定多數人提供公民個人信息,向特定人提供公民個人信息的行為屬於“提供”,基於“舉輕明重”的法理,前者更應當認定為“提供”。向特定人提供公民個人信息,以及通過信息網絡或者其他途徑發佈公民個人信息的,應當認定為刑法第二百五十三條之一規定的‘提供公民個人信息’。
2.合法收集公民個人信息後非法提供的認定。基於大數據發展的現實需要,《網絡安全法》在法律層面為個人信息交易和流動留有一定空間,第四十四條規定任何個人和組織“不得非法出售或者非法向他人提供個人信息”,即不僅允許合法提供公民個人信息,而且為合法出售公民個人信息留有空間。而且,《網絡安全法》第四十二條第一款進一步明確了合法提供公民個人信息的情形,規定:“網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。”據此,經得被收集者同意,以及匿名化處理(剔除個人關聯),是合法提供公民個人信息的兩種情形,不能納入刑事規制範圍。基於此,未經被收集者同意,將合法收集的公民個人信息向他人提供的,屬於《刑法》第二百五十三條之一規定的‘提供公民個人信息’,但是經過處理無法識別特定個人且不能復原的除外。當然,這裏只是明確此種情形屬於“提供公民個人信息”,是否構成侵犯公民個人信息罪,還需要根據“違反國家有關規定”等要件作進一步判斷。
(四)“非法獲取公民個人信息”的認定
根據刑法第二百五十三條之一第三款的規定,竊取或者以其他方法非法獲取公民個人信息是侵犯公民個人信息罪的客觀行為方式之一。具體而言,以下幾個問題值得關注:
1.購買公民個人信息的處理。從實踐來看,非法獲取公民個人信息的方式主要表現為購買、收受、交換和侵入計算機信息系統或者採用其他技術手段。對於“購買公民個人信息”是否屬於“以其他方法非法獲取公民個人信息”,存在不同認識。有意見認為,“其他方法”應當限於與“竊取”危害性相當的方式(如搶奪),不宜將“購買”包括在內。經研究認為,其一,刑法第二百五十三條之一第三款並未明確排除“購買”方法,且非法購買公民個人信息當然屬於非法獲取公民個人信息的情形。其二,從實踐來看,當前非法獲取公民個人信息的方式主要表現為非法購買,如排除此種方式,則會大幅限縮侵犯公民個人信息罪的適用範圍。其三,不少侵犯公民個人信息犯罪案件,購買往往是後續出售、提供的前端環節,沒有購買就沒有後續的出售、提供。違反國家有關規定,通過購買、收受、交換等方式獲取公民個人信息,或者在履行職責、提供服務過程中收集公民個人信息的,屬於刑法第二百五十三條之一第三款規定的‘以其他方法非法獲取公民個人信息’。
2.獲取公民個人信息行為“非法”的判斷。對於獲取公民個人信息,刑法第二百五十三條之一第三款將罪狀直接表述為“非法獲取”。基於體系解釋的原理,對此處的“非法”,應當以是否違反國家有關規定作為判斷標準。
3.非法收集公民個人信息的處理。《網絡安全法》第四十一條規定:“網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。”“網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用户的約定,處理其保存的個人信息。”違反上述規定,未經他人同意收集公民個人信息,或者收集與提供的服務無關的公民個人信息的,應當認定為“非法獲取公民個人信息”。違反國家有關規定,在履行職責、提供服務過程中收集公民個人信息的,屬於《刑法》第二百五十三條之一第三款規定的“以其他方法非法獲取公民個人信息”。
我國的法律法規是嚴厲的打擊違法犯罪的行為的,尤其是犯罪行為人的犯罪行為嚴重侵犯了我國的公民的人身權益或者是財產權益的,都是需要按照法律法規的規定嚴厲的處罰的。
