时间:2022-12-22 03:02:19来源:法律常识
一导语
在信息化时代,公民个人信息成为主要的生产要素,其价值也日益凸显。然而,伴随着公民个人信息的采集、存储、处理、使用等技术的发展,公民个人信息被泄露、被滥用的风险也大大增加。围绕公民个人信息的非法获取、出售、非法提供、非法利用等行为形成了侵犯公民个人信息的黑灰产业链。黑灰产业链以违法犯罪行为人的分工合作形成上游、中游、下游产业链,而侵犯公民个人信息违法犯罪则居于上游,由此滋生出电信诈骗、金融诈骗、敲诈勒索、非法拘禁、绑架甚至故意杀人等违法犯罪。
二公民个人信息的范围
(一)关于公民个人信息的外延
由于对隐私信息存在不同认识,对“公民个人信息”的界定回避了这一概念,将其定义为能够“识别自然人个人身份”的各种信息。此处显然使用的是广义的“身份识别信息”的概念,既包括狭义的身份识别信息(能够识别出特定自然人身份的信息),也包括体现特定自然人活动的信息(司法实践中常见的住宿记录、行踪轨迹信息等)。
(二)关于公民个人公开信息案件的处理
公民个人信息不要求具有个人隐私的特征。即便相关信息已经公开,不属于个人隐私的范畴,但仍有可能成为“公民个人信息”。(行为人从商贸网站和政府部门公开的企业信息网上搜集企业公开发布的信息,包括公司的名称、产品、经营行业、注册信息和公司法定代表人、联系人的姓名、职务、联系方式等。行为人将上述信息存入数据库,供他人付费查询使用。) 该所涉及的自然人相关信息,虽然已经公开,不再具有隐私信息的特征,但仍然属于公民个人信息的范畴。
(三)关于公民个人部分关联信息的认定
公民个人信息须与特定自然人关联,这是公民个人信息所具有的关键属性。需要注意的是,与特定自然人的关联,无论是识别特定自然人身份,还是反映特定自然人活动情况,都应当是能够单独或者与其他信息结合所具有的功能。例如,身份证号与公民个人身份一一对应,可以单独识别公民个人身份;而实践中常见的工作单位、家庭住址等公民个人信息,则通常难以单独识别公民个人身份,需要同其他信息结合才能识别公民个人身份。司法实务中的疑难问题是,对于不能单独识别特定自然人身份或者反映特定自然人的活动情况的部分关联信息中的哪些信息可以纳入“公民个人信息”的范畴,即公民个人信息所要求的可识别程度(与其他信息结合可以识别特定自然人的部分关联信息,无疑不能全部纳入“公民个人信息”的范畴。因为在大数据时代,就理论上而言,任何信息与其他足够多的信息相结合都可以识别特定自然人身份或者反映特定自然人的活动情况。所以,必须为可以纳入“公民个人信息”范畴的部分关联信息划定界限)。
(四)关于IP 地址、设备ID 等信息
[软件收集的用户终端数据一般分为三类:第一类是系统信息,即终端计算机操作系统和硬件系统的配置信息,包括用户的IP 地址、设备ID 等信息(被收集后可以用于精准广告投放);第二类是软件信息,即用户下载、购买和使用各种应用软件所涉及的信息,如杀毒软件对用户访问的网站进行云调查、对用户计算机上的新文件(包括下载、传输、拷贝等)进行自动扫描获取的信息;第三类是个人信息,即在使用中需要输入的姓名、地址等信息。目前,存在争议的主要是前两类信息]和cookie信息等电子信息的归属。这一问题在实践中存在较大争议。以cookie信息为例,用户的cookie信息反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但是否属于公民个人信息存在不同认识。对于上述问题,本评注主张不作一概而论,应当根据案件具体情况作出判断。申言之,应当根据公民个人信息所有具有的“识别特定自然人身份或者反映特定自然人活动情况”这一关键属性,对上述信息是否属于公民个人信息作出判断。
三定罪量刑标准
基于不同类型公民个人信息的重要程度,《解释》分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准。对于侵犯公民个人敏感信息的行为之所以设置不同于一般公民个人信息的入罪标准,就在于敏感信息涉及人身安全和财产安全,其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。这是认定公民个人敏感信息应当考量的关键因素。整体而言,对于公民个人敏感信息的认定宜从严把握,严格限制其范围。对于行踪轨迹信息,只宜理解为手机定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息。行踪轨迹信息不等于涉及轨迹的信息,而应当理解为涉及轨迹的实时信息。广义上而言,涉及轨迹的信息范围较宽。(行为人设立钓鱼网站,获取他人的12306 账户名和密码,进而获取了他人的火车票信息,载明了姓名、车次、时间、起始站点等信息) 行为人获取他人火车票信息后,可以根据火车票载明的信息判断出他人的行踪情况,但是,相关轨迹信息并非实时信息,故应当排除在行踪轨迹信息的范围之外。
而且,通常而言,敏感信息、特别是高度敏感信息的交易价格要远远高于一般公民个人信息。从实践来看,行踪轨迹信息直接涉及人身安全,敏感程度最高,就交易价格而言通常是最为昂贵的信息类型。与之类似,涉案信息的获取渠道也是判断敏感信息的重要因素。由于敏感信息直接涉及公民个人人身安全和财产安全,敏感程度高,获取的途径相对困难。对于可以批量获取的信息,由于获取相对容易,认定为敏感信息应当特别慎重。与行踪轨迹信息的认定类似,“财产信息”亦不等于“涉财产信息”,判断的关键为是否危及人身财产安全,辅之以信息获取渠道、交易价格、信息流向等考量因素。(行为人从车辆管理机构工作人员处非法购买车辆信息,具体涉及车主、车辆型号、发动机号、联系电话等信息。行为人购买上述信息后,拨打车主电话推销车辆保险)行为人获取的车辆相关信息确实较为具体,符合“财产信息”的一般特征,但行为人的主观目的就是为了推销车辆保险,并非用于实施针对人身或者财产的侵害行为,按照本评注的见解,对其适用一般公民个人信息的入罪标准更为妥当。同理,对于房地产中介等将房产信息非法提供给装修公司,主要用于推销业务,不太可能涉及侵犯人身、财产权利的,通常也不宜将相关信息纳入“财产信息”范畴。
四非法持有和使用的处理
(1)将自己掌握的公民个人信息(包括合法、非法获取的公民个人信息)非法使用的行为,不能直接依据《刑法》第二百五十三条之一的规定入罪,但并不意味着不能予以刑事惩治:如果行为人所掌握的公民个人信息系窃取或者以其他方法非法获取的,可以对非法获取行为适用侵犯公民个人信息罪;如果非法使用所掌握公民个人信息,实施诈骗、敲诈勒索等其他犯罪行为的,可以依据其他犯罪论处。
(2)《刑法》第二百五十三条之一只是将非法获取、出售、提供公民个人信息的行为入罪,对于实践中业已出现的非法持有大量公民个人信息案件,如果根据在案证据,适当运用推定规则,证明涉案公民个人信息系非法获取或者用于非法出售、提供的,则可以适用侵犯公民个人信息罪定罪处罚。
五数量计算
(一)关于公民个人信息的条数计算,司法解释未作专门规定。实践中可以综合考虑实践交易规则和习惯,准确认定公民个人信息的条数。例如,同一条信息涉及家庭住址、银行卡信息、电话号码等多类别个人信息,如果是按照一条公民个人信息来交易的,则往往会认定为一条公民个人信息。实际上,刑参第741号案例也主张对公民个人信息的数量认定按照实际情况区别对待、妥当计算。此外,有些情形下“一条”公民个人信息应当理解为“一组”公民个人信息。例如,公民个人的银行账户、支付结算帐户、证券期货等金融服务账户的身份认证信息,应当理解为一组确认用户操作权限的数据,包括账号、口令、密码、数字证书等,而非单个数据。
(二)针对同一对象非法获取公民信息后又出售或者提供,以及向不同对象出售或者提供公民个人信息的数量计算规则,应当分别按照《解释》第十一条第一款、第二款的规定处理。
(三)对批量公民个人信息的条数,可以按照《解释》第十一条第一款、第二款的规定认定,但是仍然应当要求作去重处理,对于明显重复的信息应当予以排除。此外,需要强调的是,对于敏感公民个人信息不宜适用该款规定,而应当逐一认定。主要考虑如下:其一,从司法实践来看,一般公民个人信息的价格相对较低,甚至不会按条计价,故要求逐一认定不具有可操作性;而公民个人敏感信息价格通常较高,通常按条计价,逐条认定不存在难题。其二,涉敏感信息的案件入罪标准较低,五十条或者五百条即达到入罪标准。为此,对于此类案件要求逐一认定敏感信息的数量,对于确保定罪量刑的准确,完全必要。
声 明
本文仅为学习交流之用。所有案情、数据等素材均来自公开信息。如有侵权,速速联系。任何仅依照本文的全部或部分内容而做出的行为或不行为而造成任何后果的,皆由行为人自行负担。如需专业法律意见,建议向具有相关资质的专业人士寻求咨询或帮助。