北京5月10日电(汤琪)何为“公民个人信息”?怎样算非法“提供公民个人信息”?侵犯公民个人信息如何定罪量刑?
9日上午,最高人民法院、最高人民检察院在北京联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对上述问题给出答案。
图为发布会现场。汤琪 摄
何为“公民个人信息”?
根据刑法第二百五十三条之一规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
那么,哪些信息属于“公民个人信息”?
在发布会上,最高法研究室主任颜茂昆表示,“公民个人信息”,包括身份识别信息和活动情况信息。
具体来说,这份《解释》第一条就明确了,刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
资料图:广东茂名警方打掉一涉5省12市的电诈犯罪团伙。黄海樱 摄
何为非法“提供公民个人信息”?
针对司法实践的情况,《解释》第三条对非法“提供公民个人信息”的认定作了进一步明确。
——关于“提供”的认定
发布会上,颜茂昆表示,在“人肉搜索”案件中,行为人未经权利人同意即将其身份、照片、姓名、生活细节等个人信息公布于众,影响其正常的工作、生活秩序,危害严重。更有甚者,一些行为人恶意利用泄露的个人信息进行各类违法犯罪活动。
颜茂昆称,通过信息网络或者其他途径予以发布,实际是向不特定多数人提供公民个人信息,向特定人提供公民个人信息的行为属于“提供”,基于“举轻明重”的法理,前者更应当认定为“提供”。
基于此,《解释》第三条规定,向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。
——关于合法收集公民个人信息后非法提供的认定
根据《网络安全法》的规定,经得被收集者同意,以及做匿名化处理(剔除个人关联),是合法提供公民个人信息的两种情形。
基于此,《解释》第三条规定,未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
资料图:广东警方成功摧毁多个电信网络诈骗犯罪团伙。图片来源:警方供图
侵犯公民个人信息,如何定罪量刑?
针对上述刑法第二百五十三条之一的规定,《解释》对“情节严重”和“情节特别严重”作出了说明。
——非法出售公民个人信息获利5000元以上即可入罪
《解释》第五条明确,非法获取、出售或者提供公民个人信息,具有下列情形的,应当认定为刑法第二百五十三条之一规定的“情节严重”。
这些情形包括,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;违法所得五千元以上的,等等。
——侵犯公民个人信息 这些情形最高可判7年
《解释》还对侵犯公民个人信息罪的“情节特别严重”的认定标准,也即“处三年以上七年以下有期徒刑”量刑档次的适用标准作了明确。
主要涉及如下两个方面:一是数量数额标准。根据信息类型不同,非法获取、出售或者提供公民个人信息“五百条以上”“五千条以上”“五万条以上”,或者违法所得五万元以上的,即属“情节特别严重”。二是严重后果。《解释》将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”“造成重大经济损失或者恶劣社会影响”规定为“情节特别严重”。
资料图:云南电信诈骗犯罪嫌疑人被抓。钱精明 摄
——非法购买公民个人信息从事广告推销如何判?
从实践来看,非法购买、收受公民个人信息从事广告推销等活动的情形较为普遍。为贯彻体现宽严相济刑事政策,《解释》第六条专门针对此种情形设置了入罪标准。
根据司法解释,为合法经营活动而非法购买、收受敏感信息以外的公民个人信息,具有下列情形之一的,应当认定为“情节严重”:(1)利用非法购买、收受的公民个人信息获利五万元以上的;(2)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;(3)其他情节严重的情形。
——什么情况可以从宽处罚?
此外,颜茂昆表示,《解释》还明确了侵犯公民个人信息犯罪认罪认罚从宽处理规则,为充分发挥刑法的威慑和教育功能,促使侵犯公民个人信息犯罪行为人积极认罪悔罪。
《解释》第十条明确,实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。
资料图:广东茂名警方缴获电信诈骗部分物品。黄海樱 摄
网络运营者泄露个人信息,如何定罪?
颜茂昆介绍,当前,不少网络运营者因为履行职责或者提供服务的需要,掌握着海量公民个人信息,这些信息一旦泄露将造成恶劣社会影响和严重危害后果。
对此,《网络安全法》明确了网络信息安全的责任主体,确立了“谁收集,谁负责”的基本原则。其中,第四十条明确规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
为进一步促使网络服务提供者切实履行个人信息安全保护义务,《解释》第九条规定,网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。
据悉,该司法解释自2017年6月1日起施行。
请输入验证码