作者简介
侵犯公民个人信息罪专题入库参考案例编写小组:最高人民法院研究室喻海松、贾玉慧、师晓东负责统筹,联合最高人民法院刑三庭翟超、魏海欢、王肃之,以及辽宁省沈阳市中级人民法院韩宇川、上海市虹口区人民法院施月玲、江苏省苏州市姑苏区人民法院张捷、浙江省宁波市海曙区人民法院江岚、浙江省乐清市人民法院朱文协、山东省滨州市中级人民法院张诗卿、湖南省醴陵市人民法院陈茜静共同完成。最高人民法院实习生程子洳、何胜男协助对相关案例作了梳理。
编者按
2024年2月27日,人民法院案例库正式上线并面向社会开放。建设人民法院案例库,是进一步完善中国特色案例制度的重要举措,是最高人民法院推出的新的“公共法律服务产品”。
人民法院案例库收录最高人民法院发布的指导性案例和经最高人民法院审核入库的参考案例,供各级人民法院和社会公众查询、使用、学习、研究。人民法院案例库动态更新,目前已经超过4000件,覆盖刑事、民事、行政、国家赔偿、执行5大案件类型,涉及18个审判业务条线。
《最高人民法院关于案例指导工作的规定》(法发〔2010〕51号)第7条规定:“最高人民法院发布的指导性案例,各级人民法院审判类似案例时应当参照。”《人民法院案例库建设运行工作规程》(法〔2024〕92号)第19条规定:“各级人民法院审理案件时,应当检索人民法院案例库,严格依照法律和司法解释、规范性文件,并参考入库类似案例作出裁判。”据此,与其他案例明显不同,人民法院案例库收录的指导性案例和参考案例,各级人民法院审理案件时应当参照/参考。尽管入库案例不能作为裁判依据,但可以将类似案例的裁判理由、裁判要旨作为本案裁判考量、理由参引。
为进一步做深做实应用法学研究,便于司法实践中正确理解和准确参考入库案例,《中国应用法学》自2024年第4期起开设“入库参考案例专题解读”专栏,以专题形式精选入库参考案例,邀请案例编写者撰写解读文章,对所涉裁判要旨和有关法律适用疑难问题进行解析探讨。本期围绕侵犯公民个人信息罪专题,选取七篇入库参考案例,邀请最高人民法院研究室、刑三庭和地方法院的法官进行解读。
*因篇幅限制,注释等有删减,如需引用请参见期刊原文。
侵犯公民个人信息罪专题入库参考案例解读
文|入库参考案例编写小组
(本文刊载于《中国应用法学》2024年第5期)
文 章 目 录
引言
一、侵犯公民个人信息罪专题入库参考案例的编选背景
二、侵犯公民个人信息罪专题入库参考案例的编选理念
三、侵犯公民个人信息罪专题部分入库参考案例解读
(一)王某侵犯公民个人信息案
(二)邱某某侵犯公民个人信息案
(三)钱某勇、王某春等侵犯公民个人信息案
(四)刘某某侵犯公民个人信息案
(五)赵某岗侵犯公民个人信息案
附件:侵犯公民个人信息罪专题部分入库参考案例(7篇)
引 言
在互联网时代,非法买卖个人信息泛滥,由此滋生的电信诈骗、网络诈骗、敲诈勒索、绑架和非法讨债等违法犯罪屡打不绝,社会危害严重,群众反响强烈。为依法惩治侵犯公民个人信息犯罪及其关联犯罪,切实维护人民群众个人信息安全和其他合法权益,人民法院案例库围绕侵犯公民个人信息犯罪专门收录了21件入库案例,包括4件指导性案例和17件参考案例(截至2024年9月29日)。上述入库案例严格依照刑法和司法解释的规定,全面准确贯彻宽严相济刑事政策,进一步统一侵犯公民个人信息罪类案裁判尺度。相关指导性案例,已有专门理解与参照对外发表。基于此,现就本专题参考案例的编选背景、主要考虑作一概述,并选取其中7件代表性案例加以阐释。
一、侵犯公民个人信息罪专题入库参考案例的编选背景
1997年《刑法》没有针对侵犯公民个人信息直接规定相应罪名。为保护公民的个人信息安全,2009年《刑法修正案(七)》增加《刑法》第253条之一,将非法获取、出售、提供公民个人信息的行为纳入刑事打击的范围,规定“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。2015年《刑法修正案(九)》对《刑法》第253条之一作出修改完善,扩大犯罪主体的范围,提升法定刑配置水平,明确从重处罚情形,并将上述罪名整合为统一的“侵犯公民个人信息罪”。
为明确侵犯公民个人信息罪的定罪量刑标准,进一步统一法律适用,2017年5月,最高人民法院、最高人民检察院联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号,以下简称《解释》)。《解释》贯彻刑法修改精神,彰显了对侵犯公民个人信息犯罪的严惩立场,以加强对公民个人信息的刑法保护,有效维护公民的人身财产安全和生活安宁。特别是,《解释》坚持问题导向,对“公民个人信息”的内涵与外延、“出售或者提供公民个人信息”和“非法获取公民个人信息”的理解、“情节严重”和“情节特别严重”的把握等办案实践中存在的争议问题作了统一规定。
各级人民法院严格依照《刑法》第253条之一和《解释》的有关规定,坚决依法惩处侵犯公民个人信息犯罪活动,取得明显成效。然而,随着案件具体办理的深入,在《解释》适用之中又出现了一些争议问题,有些来自于司法解释条文本身,有些则来自于司法解释之外。而注重围绕疑难、复杂、争议问题编选案例,促进法律正确、统一适用,正是人民法院案例库重要功能之一。在近年来侵犯公民个人信息罪办案实践出现新问题、新情况的背景之下,应当直面司法实务疑难争议问题,发挥案例“快”的优势,通过编发入库案例及时为类案裁判提供指引。基于此,最高人民法院刑三庭、研究室及时选取了17件侵犯公民个人信息罪案例,作为参考案例收录入人民法院案例库,以切实发挥其指导审判、服务社会的功能。
二、侵犯公民个人信息罪专题入库参考案例的编选理念
综观人民法院案例库收录的17件侵犯公民个人信息罪专题参考案例,可以发现其编选有特定考量,蕴含着特定理念,对此应当在具体案件审理之中加以妥当把握。具体而言:
一是坚持宽严相济,确保罪刑均衡。办理侵犯公民个人信息刑事案件,应当全面准确贯彻宽严相济刑事政策,根据案件的具体情节,实行区别对待,做到该宽则宽,当严则严,罚当其罪。对此,本专题参考案例严格依照《刑法》第253条之一和《解释》的有关规定,彰显严厉惩治侵犯公民个人信息犯罪的基本立场。而且,就关联犯罪而言,刘某某侵犯公民个人信息案(入库编号:2024-18-1-207-008)通过明确侵犯公民个人信息罪的适用,彰显严惩网络暴力犯罪的基本立场。与之同时,针对司法实践中业已出现的不当扩大适用敏感信息定罪量刑标准的倾向,无论是邱某某侵犯公民个人信息案(入库编号:2024-18-1-207-006)对行踪轨迹信息的认定,还是钱某勇、王某春等侵犯公民个人信息案(入库编号:2024-18-1-207-004)和卢某某侵犯公民个人信息案(入库编号:2024-18-1-207-005)对财产信息的认定,均要求准确把握直接涉及人身财产安全这一核心要件,避免适用的泛化。
二是坚持问题导向,细化法律适用标准。如前所述,随着时间推移,对于侵犯公民个人信息罪的法律适用,实践中存在一定认识分歧,亟需统一对《刑法》第253条之一和《解释》有关条文的理解和把握。对此,刘某某侵犯公民个人信息案(入库编号:2024-18-1-207-008)明确了侵犯公民个人信息罪入罪标准兜底项的适用规则,赵某岗侵犯公民个人信息案(入库编号:2024-03-1-207-001)和丁某光侵犯公民个人信息案(入库编号:2024-04-1-207-003)细化批量个人信息的数量计算规则,明确相关规则只适用于数量众多的一般信息的情形,以及如何具体去除重复和不真实的信息。此外,王某侵犯公民个人信息案(入库编号:2024-18-1-207-003)和丁某光侵犯公民个人信息案(入库编号:2024-04-1-207-003)针对的涉公开信息案件的处理,邱某某侵犯公民个人信息案(入库编号:2024-18-1-207-006)、钱某勇、王某春等侵犯公民个人信息案(入库编号:2024-18-1-207-004)、卢某某侵犯公民个人信息案(入库编号:2024-18-1-207-005)针对的敏感信息的认定,均亦系司法实践中长期争论的问题。可以说,本专题入库参考案例针对困扰司法实践的突出问题,细化明确相关规定,有利于进一步统一司法裁判尺度,促进法律统一正确适用。
三是坚持综合治理,顺畅行刑衔接。2024年4月30日,最高人民法院召开的刑事审判工作视频会议,强调要加强刑行衔接,由重事后处罚向事前监管预防转变。就个人信息保护而言,“重打击、轻管理”的局面必须破除。对此,侵犯公民个人信息案件应当坚持惩治与预防相结合,进一步做好行刑有序衔接,强化体系治理、综合治理,从源头上预防和减少侵犯公民个人信息行为发生。对此,王某侵犯公民个人信息案(入库编号:2024-18-1-207-003)和丁某光侵犯公民个人信息案(入库编号:2024-04-1-207-003)明确对出售、提供公开个人信息的行为是否构成侵犯公民个人信息罪不应一概而论,而应依据前置法否定“二次授权”的要求区分案件具体情况作出妥当处理。如此,相关规则实现了与《民法典》《个人信息保护法》等前置法的法秩序统一,有利于落实个人信息民事、行政、刑事全方位保护体系,推进个人信息违法犯罪的系统治理。
三、侵犯公民个人信息罪专题部分入库参考案例解读
人民法院案例库围绕侵犯公民个人信息罪收录的17件参考案例,在现有规定的基础上,提出了具有类案参考、指引作用的裁判规则,对具体办案实践中法律适用疑难问题明确了处理原则。限于篇幅,在此仅选取其中具有代表性的7件入库参考案例,对其裁判要旨加以阐释与解读。
(一)涉公开个人信息案件的处理规则:王某侵犯公民个人信息案(入库编号:2024-18-1-207-003)和丁某光侵犯公民个人信息案(入库编号:2024-04-1-207-003)
本两个参考案例对获取公开个人信息后出售、提供行为的定性规则作了明确,为类似案件裁判提供明确指引。
1.前置法健全与涉公开个人信息案件处理争议的厘清
我国在公民个人信息保护领域采取“刑法先行”的立法推进模式:刑法先于其他部门法明确了公民个人信息犯罪的界限,而后才有对个人信息保护作出集中规定的《网络安全法》《个人信息保护法》等前置法律。由于缺乏前置法的相关规定,侵犯公民个人信息罪的司法适用存在相当争议。其中,公开个人信息案件的处理规则就是例证。
对于公开的个人信息,由于信息已经处于公开状况,获取无须征得同意,对此应无疑义;但是,在获取相关公开信息后进而提供的行为,是否需要取得“二次授权”(在获取相关信息后,提供相关信息需要告知同意),则存在较大争议。由于缺乏前置法的明确规定,在刑事案件处理之中,对于所涉行为是否属于非法出售、提供公民个人信息,亦是争议不断。
《民法典》为上述争议问题作了明晰,即否定“二次授权”的规则。《民法典》第1036条规定:“处理个人信息,有下列情形之一的,行为人不承担民事责任:……(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外……”据此,对公开个人信息的合理处理可以推定自然人概括同意,即除了“该自然人明确拒绝或者处理该信息侵害其重大利益的”情形外,不需要通知和征得该自然人或者其监护人同意。在处理相关刑事案件时,对于未通知并征得自然人同意而获取、提供公开个人信息的案件,只要行为人的获取、提供行为处于“合理”限度之内,除证明该自然人明确拒绝或者相关获取、提供行为侵害了该自然人的重大利益的外,应当认为相关获取、提供的行为属于合法行为,不属于“违反国家有关规定”获取、提供公民个人信息的行为,更不应当认定为构成侵犯公民个人信息罪。
2.涉公开个人信息案件的处理规则
基于法秩序统一原则,本两个参考案例明确对出售、提供公开个人信息的行为是否构成侵犯公民个人信息罪,不应一概而论,宜区分情况作出处理:
一是对于自行公开的或者其他已经合法公开的个人信息,行为人获取相关信息后出售、提供的行为,一般不宜以侵犯公民个人信息罪论处。在前置法已经否定“二次授权”规则的前提下,对公开的个人信息的合理处理可以推定自然人概括同意,即除了“该自然人明确拒绝或者处理该信息侵害其重大利益的”情形外,不需要通知和征得该自然人或者其监护人同意。在处理相关刑事案件时,对于未通知并征得自然人同意而获取、提供公开的个人信息的案件,只要行为人的获取、提供行为处于“合理”限度之内,除证明该自然人明确拒绝或者相关获取、提供行为侵害了该自然人的重大利益的外,应当认为相关获取、提供的行为属于合法行为,不属于“违反国家有关规定”获取、提供公民个人信息的行为,更不应当认定为侵犯公民个人信息罪。就王某侵犯公民个人信息案(入库编号:2024-18-1-207-003)而言,涉案信息大致可以分为两类:第一类是标注为“通讯录”“参会表”“报名表”“酒店客户总表”“优质客户资源”“邀约客户名称”“客户信息”“物业信息”“车主”“分析表”等字样的信息,总计9.2万余条。第二类是包含法定代表人(联系人)姓名、手机号码的信息,总计21.9万余条。被告人王某当庭供称第二类信息均来源于公开商业网站。为核实王某的说法,经随机抽取6条,王某当场向审判人员、公诉人演示了登录阿里巴巴、百度、天眼查、自助贸易网、中国供应商网、材料网等网站查询企业信息、商贸信息,除1家公司网页显示“注销状态”,其余网页均能显示法定代表人或联系人的手机号码。由此,可以判断第二类信息应当来源于公开的商业网站,属于公开信息的范畴。尽管当时《民法典》《个人信息保护法》尚未颁布施行,但裁判法院亦认为,在相关信息已经合法对外公开的情况下,要求行为人的收集、整理、交换等行为仍需得到“被收集者同意”的要求过于苛刻,也不合理。故而,在认定侵犯公民个人信息罪所涉及的信息数量时,涉案的第二类信息不应被计入在内。据此,扣除该类信息数量,应认定涉及犯罪的公民个人信息为9.2万余条(即限于第一类信息)。可见,本案虽然系2019年作出的判决,但所把握的精神与《民法典》《个人信息保护法》对公开信息的相关规定是一致的。
在此基础上,本参考案例的裁判要旨对公开信息案件的处理规则作了进一步明确,提出:“对于自行公开的或者其他已经合法公开的个人信息,行为人获取相关信息后出售、提供的行为,一般不宜以侵犯公民个人信息罪论处。”
二是对于非法公开的个人信息,行为人获取相关信息后出售、提供的行为,可以根据情况以侵犯公民个人信息罪论处。实践中,有些公开信息并非权利人自愿公开,如个人信息被他人通过信息网络或者其他途径发布;有些信息的扩散并非权利人的意愿,如权利人发现个人信息被收集后主动要求行为人删除。上述情形中,获取相关信息的行为可以认定为合法,但后续的出售或者提供行为明显违背了权利人的意愿,对其生活安宁造成侵犯,对其中情节严重的行为完全可以适用侵犯公民个人信息罪予以惩治。
就丁某光侵犯公民个人信息案(入库编号:2024-04-1-207-003)而言,相关宾馆住宿记录等公民个人信息已经在互联网泄露,属于公开信息的范畴。但是,上述信息并非依法定事由公开或者权利人自行公开,而是由于系统漏洞被泄露,具有非法公开的性质。由此,对于被告人丁某光获取住宿记录等公民个人信息后通过网站提供查询服务牟利的行为,应当认定为侵犯公民个人信息罪。
在此基础上,本参考案例的裁判要旨对公开信息案件的处理规则作了进一步明确,提出:“对于因信息泄露等原因被非法公开的公民个人信息,行为人获取后向他人出售或者提供,情节严重的,依法以侵犯公民个人信息罪论处。”
(二)行踪轨迹信息的认定规则:邱某某侵犯公民个人信息案(入库编号2024-18-1-207-006)
本参考案例在《解释》第5条第1款第三项规定的基础上,对行踪轨迹信息的认定规则作了进一步细化,为类似案件裁判提供明确指引。
1.差异化定罪量刑标准与行踪轨迹信息的认定争议
侵犯公民个人信息罪的对象为公民个人信息,以公民个人信息的数量作为量化的标准,最能直接反映该罪的社会危害性。因此,应当根据非法获取、出售或者提供的公民个人信息数量设定入罪标准。实践中,公民个人信息的类型繁多,重要程度难以等量齐观。特别是,各类公民个人信息背后关联的法益存在较大差异,公民个人敏感信息涉及人身安全和财产安全,其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。因此,基于不同类型公民个人信息的重要程度,《解释》第5条设置了差异化的入罪标准,特别是对高度敏感信息、敏感信息分别设置了“五十条”“五百条”的入罪标准和“五百条”“五千条”的升档量刑标准,远低于其他个人信息案件的定罪量刑标准。
这虽然符合罪责刑相适应原则的要求,但也客观带来了对于相关数量标准适用的争议,集中表现为敏感信息的认定问题。特别是,由于非法获取、出售或者提供行踪轨迹信息50条以上即构成侵犯公民个人信息罪,500条以上即属于侵犯公民个人信息罪“情节特别严重”,对于此类信息的归属往往存在争议。
2.行踪轨迹信息的认定规则
关于《解释》第5条第1款第三项中所称的“行踪轨迹信息”,实践认定时,宜严格把握其范围,限定为手机定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的实时信息。具体而言:
其一,行踪轨迹信息认定的核心标准是直接涉及人身财产安全。有必要强调的是,对于侵犯公民个人敏感信息的行为之所以设置不同于一般公民个人信息的入罪标准,就在于敏感信息涉及人身安全和财产安全,其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。这是认定公民个人敏感信息应当考量的关键因素,在行踪轨迹信息的认定之中自然要注意把握。
本案中,被告人邱某某购买车载GPS定位器,分别安装在二被害人的私家汽车上,以此掌握被害人的行踪轨迹,进行长期跟踪。显然,所涉个人信息可直接涉及人身财产安全,故法院将其认定为行踪轨迹信息。
在此基础上,本参考案例的裁判要旨之一明确对行踪轨迹信息的认定应当坚持直接涉及人身财产安全的实质考量,提出:“《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第5条中的‘行踪轨迹信息’系能够实时反映相关人员的轨迹状况且与人身安全直接相关的高度敏感信息。侵害上述个人信息的入罪标准为‘五十条以上’,升档量刑标准为‘五百条以上’。”
其二,行踪轨迹信息只宜理解为GPS定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息。就行踪轨迹信息而言,由于其能够实时反映相关人员的轨迹状况,与人身安全直接相关,故设置了“五十条”“五百条”这一极低的定罪量刑标准。由此出发,对于行踪轨迹信息的认定,整体应当持审慎态度,坚持限制解释的基本立场,原则上只限于可以直接定位特定自然人具体坐标的信息。对于虽然也涉及公民个人轨迹的其他信息,通常不宜纳入其中。
本案中,被告人邱某某获取的车载GPS定位信息可以直接定位特定自然人具体坐标的信息,故法院将其认定为行踪轨迹信息。在此基础上,本参考案例的裁判要旨之二明确对行踪轨迹信息的认定应当限定在特定坐标信息,提出:“对于行踪轨迹信息的认定,原则上只宜理解为GPS定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息……”
其三,行踪轨迹信息不等于涉及轨迹的信息,而应当理解为涉及轨迹的实时信息。广义上而言,涉及轨迹的信息范围较宽。例如,行为人设立钓鱼网站,获取他人的12306账户名和密码,进而获取了他人的火车票信息。火车票载明了姓名、车次、时间、起始站点等信息,当然涉及行为人的轨迹。行为人获取他人火车票信息后,可以根据火车票载明的信息判断出他人的行踪情况,但是,相关轨迹信息并非实时信息,故应当排除在行踪轨迹信息的范围之外。
本案中,被告人邱某某通过手机下载相关App软件,接收GPS定位器实时上传的数据,以此实时掌握被害人的行踪轨迹。显然,所涉个人信息则属于实时信息的范畴,故法院将其认定为行踪轨迹信息。在此基础上,本参考案例的裁判要旨之二亦明确对行踪轨迹信息的认定应当坚持实时性的标准,提出:“……行踪轨迹信息不等于涉及轨迹的信息,而应当理解为涉及轨迹的实时信息。”
(三)财产信息的认定规则:钱某勇、王某春等侵犯公民个人信息案(入库编号:2024-18-1-207-004)和卢某某侵犯公民个人信息案(入库编号:2024-18-1-207-005)
本两个参考案例在《解释》第5条第1款第三项规定的基础上,对财产信息的认定规则作了进一步细化,为类似案件裁判提供明确指引。
1.财产信息认定的核心考量因素
财产信息与财产安全直接相关,系高度敏感信息,《解释》第5条第1款第三项将入罪标准设置为“五十条以上”,升档量刑标准设置为“五百条以上”。财产信息既包括银行帐户、第三方支付结算帐户、证券期货等金融服务账户的身份认证信息(一组确认用户操作权限的数据,包括账号、口令、密码、数字证书等),也包括存款、房产、车辆等财产状况信息。
在司法实践中,由于涉财产信息的范围较广,宜否一律纳入“财产信息”的范畴,则存在不同认识。司法实践之中,包含楼盘名称、楼栋、房屋面积、业主姓名、手机号等内容的楼盘业主信息无疑都涉及财产内容,但应否均认定为“财产信息”,则存在不同认识。对此,应当以财产信息的设定缘由为基础,结合相关因素加以妥当把握,作出准确判断。
2.财产信息认定的考量规则
本两个参考案例明确对财产信息整体应当秉持严格适用的立场。对此判断的关键为是否直接涉及人身财产安全,辅之以信息获取渠道、交易价格、信息流向等考量因素。具体而言:
其一,判断涉案房产信息是否属于“财产信息”的范畴,关键在于准确把握“财产信息”等敏感信息的设定缘由。对于侵犯公民个人敏感信息的行为之所以设置不同于一般公民个人信息的入罪标准,就在于敏感信息涉及人身安全和财产安全,其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。这是认定公民个人敏感信息应当考量的关键因素。
就卢某某侵犯公民个人信息案(入库编号:2024-18-1-207-005)而言,二审法院针对抗诉机关提出“房产属于财产,房产信息应为财产信息,本案所涉信息应属于财产信息”的抗诉理由,提出“虽然本案的信息涉及房产面积,但没有涉及房产的交易价格、交易方式、资金来源、贷款情况、共有人情况、房产抵押、担保情况等涉及房屋财产属性的内容,不足以反映特定人的财产状况”,并不会直接影响财产安全,不应纳入“财产信息”的范畴。与之不同,就钱某勇、王某春等侵犯公民个人信息案(入库编号:2024-18-1-207-004)而言,涉案公民个人信息为“公民个人房屋权籍调查信息”,直接来源于银行房屋信息系统,属于直接反映财产状况的信息,可以纳入“财产信息”的范畴。
在此基础上,钱某勇、王某春等侵犯公民个人信息案(入库编号:2024-18-1-207-004)的裁判要旨之一明确:“财产信息与财产安全直接相关,系高度敏感信息……”卢某某侵犯公民个人信息案(入库编号:2024-18-1-207-005)的裁判要旨之一明确:“房产信息是否属于侵犯公民个人信息犯罪中的财产信息不应一概而论。判断房产信息是否属于本罪中的财产信息,关键在于该信息是否直接涉及公民个人人身财产安全。”
其二,判断涉案房产信息是否属于“财产信息”的范畴,应当结合信息获取渠道和交易价格考量。
司法实践中,作为佐证,可以将信息交易价格作为敏感信息判断的辅助因素。通常而言,敏感信息、特别是高度敏感信息的交易价格要远远高于一般公民个人信息。就钱某勇、王某春等侵犯公民个人信息案(入库编号:2024-18-1-207-004)而言,涉案个人信息的初始交易价格达到每条15元,后续交易价格更是高达每条35元、50元。而就卢某某侵犯公民个人信息案(入库编号:2024-18-1-207-005)而言,涉案信息的交易价格则远远低于此。由此考量,对于前者的涉案个人信息认定为财产信息这一敏感信息的范畴,也更为妥当。
与之类似,涉案信息的获取渠道也是判断敏感信息的重要因素。一般而言,由于敏感信息直接涉及公民个人人身安全和财产安全,敏感程度高,获取的途径相对困难。就此而言,钱某勇、王某春等侵犯公民个人信息案(入库编号:2024-18-1-207-004)中的个人信息系从银行房屋信息系统获取,获取难度较大,准确性高,认定为财产信息等敏感信息的可能性更大。
在此基础上,钱某勇、王某春等侵犯公民个人信息案(入库编号:2024-18-1-207-004)的裁判要旨之三明确可以结合信息获取渠道和交易价格作为财产信息认定的辅助因素,提出:“判断涉案信息是否属于‘财产信息’的范畴,可以结合信息获取渠道和交易价格考量。司法实践中,作为佐证,可以将信息交易价格作为敏感信息判断的辅助因素。通常而言,敏感信息、特别是高度敏感信息的交易价格要远远高于一般公民个人信息。”
其三,判断涉案房产信息是否属于“财产信息”范畴,应当综合考量涉案信息的流向。犯罪应当是主客观相统一的产物,坚持主客观相统一原则是刑法适用的基本要求。对于涉案个人信息是否属于财产信息存在不同认识的,可以结合信息后续流向作进一步判断。
就卢某某侵犯公民个人信息案(入库编号:2024-18-1-207-005)而言,涉案楼盘业主信息的流向较为明确,被倒卖获利或者用于装修公司的经营活动。对此,法院裁判亦提出:“本案所涉信息是从管理房屋维修基金事务的工作机构处获得,虽然信息的数量巨大,但每条信息的具体内容并不多,可被他人利用的信息内容主要是业主的联系方式,而实际后果也证明该信息只是被装修公司用于联系客户推广业务所用,尚不能对特定人员产生人身、财产安全的现实危害。”这实际上就是坚持主客观相统一原则,以信息流向作为信息类型归属的重要判断因素。
在此基础上,卢某某侵犯公民个人信息案(入库编号:2024-18-1-207-005)的裁判要旨之二明确以信息流向作为信息类型归属的重要判断因素,提出:“判断涉案房产信息是否属于‘财产信息’的范畴,应当坚持主客观相统一原则,以信息流向作为信息类型归属的重要判断因素。涉案房产信息被房屋中介公司、装修公司工作人员购买,用于业务推广的,通常不会直接影响人身财产安全,一般不宜认定为财产信息。”
(四)网络暴力型公开个人信息行为的定性规则:刘某某侵犯公民个人信息案(入库编号:2024-18-1-207-008)
本参考案例在《解释》第3条、第5条规定的基础上,对网络暴力型公开个人信息行为的定性规则作了细化,为类似案件裁判提供明确指引。
1.网络暴力型公开个人信息行为的定性规则
网络暴力滋生蔓延,贬损他人人格,损害他人名誉,侵犯他人合法权益,亟需加以规制。由于《刑法》未针对网络暴力犯罪专设罪名,根据罪刑法定原则的要求,对于网络暴力行为只能区分不同环节和具体情形,依法适用相应罪名。其中,侵犯公民个人信息罪就是网络暴力犯罪可能适用的罪名之一。
人肉搜索是网络暴力的重要环节之一。可以说,网络暴力的次生损害也大多来源于“人肉搜索”等方式对个人信息的无序攫取和非法公开。特别是,在网络上非法公开他人信息,极易使相关个体直接成为海量网络言论的标靶,进而遭受网络暴力的侵害,还有可能便利线上暴力转化为线下的滋扰、伤害,直接侵害他人人身财产权益。根据《刑法》第253条之一的规定,违反国家有关规定,向他人非法出售或者提供公民个人信息,是侵犯公民个人信息罪的客观行为方式之一。向特定人提供公民个人信息,属于“提供”公民个人信息,对此不存在疑义。而通过信息网络或者其他途径发布公民个人信息,则是向不特定多数人提供公民个人信息,向特定人提供公民个人信息的行为属于“提供”,基于“举轻明重”的法理,前者更应当认定为“提供”。基于此,《解释》第3条第1款规定:“向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的‘提供公民个人信息’。”
本案中,被告人刘某某违反国家有关规定,非法获取公民个人信息并通过网络账号发布,就是通过信息网络发布公民个人信息的行为,故法院依法认定为《刑法》第253条之一规定的“提供公民个人信息”,以侵犯公民个人信息罪论处。
在此基础上,本参考案例的裁判要旨之一进一步明确了网络暴力型公开个人信息行为的定性规则,提出:“对于通过‘人肉搜索’‘开盒’等方式,在网络上非法曝光他人隐私、发布公民个人信息等网络暴力行为,可以依法适用侵犯公民个人信息罪的规定。”
2.侵犯公民个人信息罪入罪标准兜底项的适用规则
根据《刑法》第253条之一的规定,侵犯公民个人信息罪系情节犯,以“情节严重”作为入罪门槛。为统一司法适用,《解释》第5条第1款从信息数量、违法所得数额、信息用途、主体身份、主观恶性等多个视角对“情节严重”的认定情形作了明确,具体包括九项具体情形和一个兜底项“其他情节严重的情形”。
对于司法解释设置兜底条款,目前尚存在不同认识。但鉴于司法实践情形十分复杂,无论司法解释对具体情形的列举多么详细具体,都可能有所遗漏,故设置兜底条款成为当前的通例。但毫无疑问,对兜底条款应当持慎用态度,不能泛化适用。一方面,既要大胆适用兜底条款,避免其在司法实践成为“摆设”;另一方面,又要严格把握,对于所涉情形不属于所列各项具体情形的,可以进一步衡量所涉行为的社会危害程度是否与所列各项具体情形具有相当性,从而决定是否适用兜底条款。
本案中,被告人刘某某为泄愤报复网络主播王某,从他人处购买王某及其父母的姓名、年龄、住址、身份证号码、照片等个人信息,并通过网络账号发布。所涉行为并未直接符合《解释》第5条第1款所列举的九项具体情形,故有必要进一步判断是否有必要适用兜底项。具体而言:其一,从信息类型来看,涉案个人信息较为重要,直接涉及他人隐私、甚至高度私密信息。其二,从行为方式来看,刘某某不仅利用所涉信息编造侮辱信息后通过网络发布,还利用网络账号大量添加被害人王某粉丝,以私信发送王某照片等个人身份信息,并扬言要蹲点杀害王某。其三,从引发后果来看,不仅造成被害人王某重大经济损失,还严重影响其生活。经综合考量,法院认为符合《解释》第5条第1款第十项规定的“其他情节严重的情形”,构成侵犯公民个人信息罪。
在此基础上,本参考案例的裁判要旨之二进一步明确了侵犯公民个人信息罪入罪标准兜底项的适用规则,提出:“对于兜底项,应当综合行为动机、方式、危害及信息类型等情节考量,准确判断所涉情形是否与所列举的九项具体情形具有相当性,从而妥当决定应否适用。”
(五)批量个人信息的数量计算规则:赵某岗侵犯公民个人信息案(入库编号:2024-03-1-207-001)和丁某光侵犯公民个人信息案(入库编号:2024-04-1-207-003)
本两个参考案例在《解释》第11条第3款规定的基础上,对侵犯公民个人信息罪中批量公民个人信息的条数计算规则作了进一步细化和明确,为类似案件裁判提供指引。
1.批量公民个人信息条数计算规则的确定
从实践来看,除公民个人敏感信息外,涉案公民个人信息的条数动辄数以万计。此类案件中,不排除少数情况下存在信息重复,如针对同一对象并存“姓名+住址”“姓名+电话号码”“姓名+身份证号”等数条信息,但要求做到完全去重较为困难。此外,对于信息的真实性也难以逐一核实。对此,理论上,有观点主张逐一认定个人信息;而司法实践中,亦有个别案件中要求办案机关电话联系权利人核实公民个人信息的情形。
基于实践操作的考量,对于敏感公民个人信息,由于入罪门槛和升档量刑标准较低,逐一核实信息并无困难;但是,对于一般公民个人信息而言,涉案个人信息往往处于海量状态,要求逐一核实信息并不现实。故而,在所涉情形之下,应当允许推定规则的运用,即根据查获的数量进行推定。基于此,《解释》第11条第3款规定:“对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。”
2.批量公民个人信息条数计算规则的具体适用
结合司法实践反映的情况,本两个参考案例对批量公民个人信息条数计算规则的具体适用作了进一步细化。具体而言:
其一,推定规则只能适用于数量众多的一般公民个人信息的情形。对于敏感公民个人信息不宜适用《解释》第11条第3款的规定,而应当逐一认定。主要考虑:第一,实践中一般公民个人信息的价格相对较低,甚至不会按条计价,故要求逐一认定不具有可操作性。由此,才允许例外适用推定规则。而敏感信息价格通常较高,一般按条计价,逐条认定不存在困难。第二,涉敏感信息的案件入罪标准较低,50条或者500条即达到入罪标准。为此,对于此类案件要求逐一认定敏感信息的数量,确保定罪量刑的准确性,完全必要。
就赵某岗侵犯公民个人信息案(入库编号:2024-03-1-207-001)而言,涉案信息系机动车、驾驶人信息,属于一般公民个人信息的范畴,且涉案个人信息的数量数以万计,故可以适用《解释》第11条第3款的推定规则。基于此,法院依据推定规则直接认定涉案个人信息的数量。
在此基础上,本参考案例的裁判要旨之一进一步提出:“对于敏感公民个人信息以外的一般公民个人信息的条数,如果涉案信息数量巨大的,可以依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第11条第3款的规定,根据查获的数量直接认定。”
其二,适用推定规则仍应排除不真实或者重复的信息。推定得出的是一种高度盖然性的结论,故必须为例外情形的解决留有适当空间。就批量公民个人信息条数而言,通过推定查获的信息都是真实的和未重复的,故允许根据查获的数量直接认定,但客观上可能存在“信息不真实或者重复的”情形。故而,这一推定规则的适用,仍然应当有例外规则。基于此,《解释》第11条第三款作了但书规定。
对此,就“但是有证据证明信息不真实或者重复的除外”规定的适用,还需要注意两个具体问题:(1)对于批量公民个人信息仍然应当排除不真实的信息,并在此基础上作去重处理,去除重复的信息。对此,从技术角度并不存在难题,且对于保证案件的质量大有裨益。(2)但书适用的举证责任并不必然由辩方承担,而应当根据案件的具体情况妥当把握,既可以是控辩双方对此提出意见,也可以是法院依职权查证。
就赵某岗侵犯公民个人信息案(入库编号:2024-03-1-207-001)而言,被告人赵某岗非法获取的公民个人信息数量存有重复、无效等情形,一审法院在未扣除无效信息和重复信息的情况下认定赵某岗查询数据64770条,属于“情节特别严重”。对此,在赵某岗提出上诉后,检察机关出庭检察员亦提出“……对赵某岗非法查询公民个人信息的条数认定有误,建议二审依法改判”的意见。
二审查明,赵某岗查询数据64770条,其中无效记录3369条;经公安机关重新核实,有效记录61401条,去除重复记录后为44456条。故二审依法认定赵某岗的行为属于“情节严重”而非属于“情节特别严重”,依法予以改判。在此基础上,本参考案例的裁判要旨之二进一步明确:“适用《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第11条第3款的规定计算批量公民个人信息的条数,应当排除不真实的信息,并在此基础上作去重处理,去除重复的信息。对于‘信息不真实或者重复的’情形,既可以是控辩双方提出证据,也可以由法院依职权查明。”
此外,对于可能存在重复或者无效信息的批量公民个人信息,逐一核实当然是可以采用的方法。但由于所针对的信息本身系海量信息,亦可能无法对重复或者无效信息进行逐一核实。故而,此种情形下应当允许采用抽样验证的方式进行核实。
就丁某光侵犯公民个人信息案(入库编号:2024-04-1-207-003)而言,网站涉及的住宿记录近2000万条,针对被告人丁某光及其辩护人提出的存在重复信息的问题,确实无法做到逐一核实。基于此,侦查机关采取随机抽取信息进行核实的方式是可取的,也为法院所认可。在此基础上,本参考案例的裁判要旨之二进一步明确了抽样验证规则,提出:“对于可能存在重复的批量公民个人信息,确因客观条件限制无法逐一验证的,可以进行抽样验证。”
附件:侵犯公民个人信息罪专题部分入库参考案例(7篇)
入库编号
2024-18-1-207-003
王某侵犯公民个人信息案
——公开信息的刑法保护规则
关键词 刑事 侵犯公民个人信息罪 公开信息 自行公开 同意
基本案情
2015年8月13日至9月12日,被告人王某先后6次将包含个人姓名、电话等内容的涉案信息出售和提供给杨某,共计66832条。2015年11月9日、12月28日,王某先后2次将包含个人姓名、电话等内容的涉案信息出售和提供给杨某,共计5410条。
2016年3月至4月,被告人王某与方某(另案处理)多次交换各自掌握的大量信息资料,其中王某发给方某的信息共计154440条,方某发给王某的信息共计84822条。
以上信息合计31万余条。根据信息的外在表现形式,涉案信息资料可分为以下两类:第一类是标注为“通讯录”“参会表”“报名表”“酒店客户总表”“优质客户资源”“邀约客户名称”“客户信息”“物业信息”“车主”“分析表”等字样的信息,总计9.2万余条。第二类是包含法定代表人(联系人)姓名、手机号码的信息,经统计,王某出售、提供给杨某的此类信息共计69511条;王某提供给方某的此类信息共计144765条;王某从方某处获取的此类信息共计4996条;以上三项合计21.9万余条。
江苏省苏州市姑苏区人民法院于2019年12月27日作出(2018)苏0508刑初40号刑事判决:被告人王某犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑四年,并处罚金人民币一千元。宣判后,没有上诉、抗诉,判决已发生法律效力。
裁判理由
法院生效裁判认为,本案的争议焦点在于涉案的第二类信息的性质认定。被告人王某当庭供称相关信息均来源于公开商业网站。为核实王某的说法,经随机抽取6条,王某当场向审判人员、公诉人演示了登录阿里巴巴、百度、天眼查、自助贸易网、中国供应商网、材料网等网站查询企业信息、商贸信息,除1家公司网页显示“注销状态”,其余网页均能显示法定代表人或联系人的手机号码。由此,可以判断第二类信息应当来源于公开的商业网站,属于公开信息的范畴。在相关信息已经合法对外公开的情况下,要求行为人的收集、整理、交换等行为仍需得到“被收集者同意”的要求过于苛刻,也不合理。在认定侵犯公民个人信息罪所涉及的信息数量时,涉案的第二类信息不应被计入在内。据此,扣除该类信息数量,认定涉及犯罪的公民个人信息数量为9.2万余条(即按前述分类的第一类信息计算)。经综合考虑全案情节,法院依法作出如上裁判。
裁判要旨
民法典第一千零三十六条规定:“处理个人信息,有下列情形之一的,行为人不承担民事责任:……(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外……”(个人信息保护法第13条、第27条有类似规定)据此,对公开的个人信息的合理处理可以推定自然人概括同意,即除了“该自然人明确拒绝或者处理该信息侵害其重大利益的”情形外,不需要通知和征得该自然人或者其监护人同意。故而,对于自行公开的或者其他已经合法公开的个人信息,行为人获取相关信息后出售、提供的行为,一般不宜以侵犯公民个人信息罪论处。本案虽系2019年作出的判决,但所把握的精神与《民法典》《个人信息保护法》对公开信息的相关规定是一致的。
关联索引
《中华人民共和国刑法》第253条之一
《中华人民共和国民法典》第1036条
《中华人民共和国个人信息保护法》第13条、第27条
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第5条
一审:江苏省苏州市姑苏区人民法院(2018)苏0508刑初40号刑事判决(2019年12月27日)
入库编号
2024-04-1-207-003
丁某光侵犯公民个人信息案
——获取非法公开的住宿记录并供他人查询牟利行为的定性规则
关键词 刑事 侵犯公民个人信息罪 公开信息 非法公开 抽样验证
基本案情
2013年底,一家为全国4500多家酒店提供网络服务的公司因系统存在安全漏洞,致使高达2000万条宾馆住宿记录泄露。2015年初至2016年6月,被告人丁某光在不法网站获取上述非法公开的宾馆住宿记录等公民个人信息,并上传至自己开办的“嗅密码”网站。该网站除了能够查询宾馆住宿记录外,还提供用户QQ、部分论坛账号及密码找回功能。其中,宾馆住宿信息近2000万条。用户经注册成为会员后,可以在该网站网页“开房查询”栏目项下,通过输入关键字姓名或者身份证号的方式查询网站数据库中宾馆住宿信息。上述住宿信息包括入住人的姓名、身份证号、手机号码、地址、住宿时间等个人信息。丁某光自2015年5月开始对该网站实行会员制,收取每位会员费用人民币60元(币种下同),到2016年1月将会员费用上调到120元。2015年11月至2016年6月,“嗅密码”网站开房记录查询次数近5万条,丁某光在此期间共收取会员费用19万余元。案发后,丁某光退出全部违法所得。
另,被告人丁某光及其辩护人提出,虽然网站涉及的开房信息近2000万条,但存在重复性信息,应当对重复的信息数量予以扣减。经查,因案涉公民个人信息数量巨大,公安机关从服务器中下载公民个人信息分包数据后,在其中5个随机分包中各选取2条记录共10个身份证号码在“嗅密码”上进行查询,均只出现一条唯一的记录,并无重复记录出现,以证明案涉近2000万条公民个人信息系经过去重后的数量。
浙江省乐清市人民法院于2017年3月27日作出(2016)浙0382刑初2332号刑事判决:被告人丁某光犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币二万元。宣判后,没有上诉、抗诉,判决已发生法律效力。
裁判理由
法院生效裁判认为:被告人丁某光获取非法公开的住宿记录等公民个人信息后,通过网站提供查询服务牟利方式向他人出售,且出售的公民个人信息近2000万条,情节特别严重,其行为已经构成侵犯公民个人信息罪。尽管相关宾馆住宿记录等公民个人信息已经在互联网泄露,属于公开信息的范畴,但上述信息的公开并非权利人自行公开或者由于其他法定事由公开,而是因系统漏洞被泄露的非法公开。丁某光获取上述公民个人信息后,通过网站提供查询服务牟利的行为,应当认定为侵犯公民个人信息罪。综合本案犯罪事实、情节、危害后果及被告人认罪悔罪表现,法院依法作出如上裁判。
裁判要旨
1.对于因信息泄露等原因被非法公开的公民个人信息,行为人获取后向他人出售或者提供,情节严重的,依法以侵犯公民个人信息罪论处。
2.对于可能存在重复的批量公民个人信息,确因客观条件限制无法逐一验证的,可以进行抽样验证。
关联索引
《中华人民共和国刑法》第253条之一
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第5条、第11条
一审:浙江省乐清市人民法院(2016)浙0382刑初2332号刑事判决(2017年3月27日)
入库编号
2024-18-1-207-006
邱某某侵犯公民个人信息案
——行踪轨迹信息的认定规则
关键词 刑事 侵犯公民个人信息罪 高度敏感信息 行踪轨迹信息 车辆定位信息
基本案情
2020年4月,被告人邱某某找到乡政府领导胡某某和董某某,欲让二人同意其在承包的土地上非法开采塘渣,被明确拒绝。同年5月底至7月11日,邱某某从网上购买了3个车载GPS定位器,分别安装在胡某某和董某某的私家汽车上,同时通过手机下载相关App软件用于接收GPS定位器实时上传的数据,以此掌握二被害人的行踪轨迹,进行长期跟踪。邱某某利用上述手段非法获取胡某某和董某某的行踪轨迹信息共计347条。
浙江省宁波市海曙区人民法院于2021年7月15日作出(2021)浙0203刑初653号刑事判决:被告人邱某某犯侵犯公民个人信息罪,判处有期徒刑一年,缓刑一年六个月,并处罚金人民币六千元。宣判后,没有上诉、抗诉,判决已发生法律效力。
裁判理由
法院生效裁判认为,通过安装车载GPS定位器所获取的定位信息属于行踪轨迹信息,故对被告人邱某某非法获取公民个人信息的行为应当适用《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第5条第1款第三项的标准,即入罪标准设置为“五十条以上”。故而,邱某某的行为构成侵犯公民个人信息罪。经综合考虑全案情节,故法院依法作出如上裁判。
裁判要旨
1.行踪轨迹信息能够实时反映相关人员的轨迹状况,与人身安全直接相关,系高度敏感信息,故《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第5条将入罪标准设置为“五十条以上”,升档量刑标准设置为“五百条以上”。
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第5条中的‘行踪轨迹信息’系能够实时反映相关人员的轨迹状况且与人身安全直接相关的高度敏感信息。侵害上述个人信息的入罪标准为‘五十条以上’,升档量刑标准为‘五百条以上’。
2.对于行踪轨迹信息的认定,原则上只宜理解为GPS定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息。而且,行踪轨迹信息不等于涉及轨迹的信息,而应当理解为涉及轨迹的实时信息。
关联索引
《中华人民共和国刑法》第253条之一
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第5条
一审:浙江省宁波市海曙区人民法院(2021)浙0203刑初653号刑事判决(2021年7月15日)
入库编号
2024-18-1-207-004
钱某勇、王某春等侵犯公民个人信息案
——公民个人房屋权籍调查信息的属性归属规则
关键词 刑事 侵犯公民个人信息罪 高度敏感信息 财产信息 公民个人房屋权籍调查信息
基本案情
被告人钱某勇于2016年12月起至2017年12月,利用其在银行工作的职务便利,通过银行房屋信息系统查询公民个人房屋权籍调查信息,后通过微信以每条人民币15元(币种下同)的价格卖给被告人王某春。王某春将上述信息以每条35元的价格转手卖给被告人唐某靓。唐某靓又将从王某春处得到的公民个人房屋权籍调查信息以每条50元的价格卖给胡某(已判决)。经查,钱某勇向王某春发送的包含公民个人房屋权籍调查信息图片文件共计1075个;王某春向唐某靓发送的包含公民个人房屋权籍调查信息图片文件共计94个;唐某靓向胡某发送的包含公民个人房屋权籍调查信息图片文件共计70个。
上海市虹口区人民法院于2018年7月27日作出(2018)沪0109刑初535号刑事判决:被告人钱某勇犯侵犯公民个人信息罪,判处有期徒刑三年三个月,并处罚金人民币三万元;被告人王某春犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币一万元;对被告人唐某靓犯侵犯公民个人信息罪,判处有期徒刑一年,缓刑一年,并处罚金人民币六千元。宣判后,王某春提出上诉。上海市第二中级人民法院于2018年9月12日作出(2018)沪02刑终961号刑事裁定,驳回上诉,维持原判。
裁判理由
法院生效裁判认为,本案中包含的公民个人房屋权籍调查信息属于财产信息,故对所涉行为应当适用《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第五条第1款第三项的入罪标准和相应升档量刑标准。被告人钱某勇身为金融机构的工作人员,违反国家有关规定,将履行职责过程中获得的公民个人信息出售给他人,情节特别严重;被告人王某春、唐某靓违反国家有关规定,非法获取公民个人信息后向他人出售,其中王某春情节特别严重,唐某靓情节严重,其行为均已构成侵犯公民个人信息罪。经综合考虑全案情节,法院依法作出如上裁判。
裁判要旨
1.财产信息与财产安全直接相关,系高度敏感信息,故《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第五条将入罪标准设置为“五十条以上”,升档量刑标准设置为“五百条以上”。
2.房产信息是否属于侵犯公民个人信息犯罪中的财产信息不应一概而论。判断房产信息是否属于财产信息,关键在于该信息是否直接涉及公民个人人身财产安全。“公民个人房屋权籍调查信息”直接来源于银行房屋信息系统,属于直接反映财产状况的信息,涉及财产安全,可以纳入“财产信息”的范畴。
3.判断涉案信息是否属于“财产信息”的范畴,可以结合信息获取渠道和交易价格考量。司法实践中,作为佐证,可以将信息交易价格作为敏感信息判断的辅助因素。通常而言,敏感信息、特别是高度敏感信息的交易价格要远远高于一般公民个人信息。
关联索引
《中华人民共和国刑法》第253条之一
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第5条
一审:上海市虹口区人民法院(2018)沪0109刑初535号刑事判决(2018年7月27日)
二审:上海市第二中级人民法院(2018)沪02刑终961号刑事裁定(2018年9月12日)
入库编号
2024-18-1-207-005
卢某某侵犯公民个人信息案
——房产信息的属性归属规则
关键词 刑事 侵犯公民个人信息罪 高度敏感信息 财产信息 房产信息
基本案情
2017年6月至2018年2月期间,被告人卢某某利用从事房屋维修基金管理事务的便利,多次将其掌握的购房人交纳住房维修基金等相关信息(包含房屋坐落地址、门牌号、小区名称、购买人姓名和电话、房屋面积)共计64792条卖给他人,获利人民币15000余元。后相关信息被倒卖获利和用于装修公司的经营活动。
辽宁省沈阳市于洪区人民法院于2018年11月26日作出(2018)辽0114刑初547号刑事判决,认为本案中包含房屋坐落地址、门牌号、小区名称、购买人姓名和电话、房屋面积的信息属于一般公民个人信息,以侵犯公民个人信息罪判处被告人卢某某有期徒刑三年,并处罚金人民币三万元。宣判后,辽宁省沈阳市于洪区人民检察院提出抗诉,认为本案所涉信息应属于财产信息;卢某某提出上诉,认为原判量刑过重,其可适用缓刑。辽宁省沈阳市中级人民法院于2019年1月15日作出(2018)辽01刑终686号刑事裁定,驳回抗诉和上诉,维持原判。
裁判理由
法院生效裁判认为,公民个人信息中的财产信息并非只是财产状况的信息,须以直接涉及人身财产安全作为要件。针对抗诉机关提出“房产属于财产,房产信息应为财产信息,本案所涉信息应属于财产信息”的抗诉理由,法院提出“虽然本案的信息涉及房产面积,但没有涉及房产的交易价格、交易方式、资金来源、贷款情况、共有人情况、房产抵押、担保情况等涉及房屋财产属性的内容,不足以反映特定人的财产状况”,并不会直接影响财产安全,不应纳入“财产信息”的范畴。本案所涉信息是从管理房屋维修基金事务的工作机构处获得,虽然信息的数量巨大,但每条信息的具体内容并不多,可被他人利用的信息内容主要是业主的联系方式,而实际后果也证明该信息只是被装修公司用于联系客户推广业务所用,尚不能对特定人员产生人身、财产安全的现实危害。被告人卢某某违反国家有关规定,向他人出售其在履行职责过程中获得的公民个人信息,依法应从重处罚;同时其出售的信息达6万余条,已达到“情节特别严重”的程度,对其不应适用缓刑。故一、二审法院依法作出如上裁判。
裁判要旨
1.房产信息是否属于侵犯公民个人信息犯罪中的财产信息不应一概而论。判断房产信息是否属于本罪中的财产信息,关键在于该信息是否直接涉及公民个人人身财产安全。
2.判断涉案房产信息是否属于“财产信息”的范畴,应当坚持主客观相统一原则,以信息流向作为信息类型归属的重要判断因素。涉案房产信息被房屋中介公司、装修公司工作人员购买,用于业务推广的,通常不会直接影响人身财产安全,一般不宜认定为财产信息。
关联索引
《中华人民共和国刑法》第253条之一
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第5条
一审:辽宁省沈阳市于洪区人民法院(2018)辽0114刑初547号刑事判决(2018年11月26日)
二审:辽宁省沈阳市中级人民法院(2018)辽01刑终686号刑事裁定(2019年1月15日)
入库编号
2024-18-1-207-008
刘某某侵犯公民个人信息案
——网络暴力型公开个人信息行为的定性规则
关键词 刑事 侵犯公民个人信息罪 网络暴力 公开个人信息
基本案情
2019年1月至5月间,被告人刘某某为泄愤报复网络主播王某(系化名),从他人处购买王某及其父母的姓名、年龄、住址、身份证号码、照片等个人信息。刘某某编辑上述照片等信息并添加诅咒文字后,通过几十个网络账号多次发布,称“王某的身份证号,大家拿去借网贷”,相关网络贴文的阅读量达1万余次,引起大量负面评论。刘某某还利用网络账号大量添加王某的粉丝,以私信发送王某照片等个人身份信息,并扬言要蹲点杀害王某。王某2019年4、5月间直播收入减少4万余元,大量粉丝对其取消关注。
湖南省醴陵市人民法院于2019年11月18日作出(2019)湘0281刑初291号刑事判决:被告人刘某某犯侵犯公民个人信息罪,判处有期徒刑十个月,缓刑一年,并处罚金人民币二万元。宣判后,没有上诉、抗诉,判决已发生法律效力。
裁判理由
法院生效裁判认为:被告人刘某某违反国家有关规定,非法获取公民个人信息并通过网络账号发布,经综合考虑信息类型、行为方式,以及造成被害人王某重大经济损失和生活受到严重影响等情节,依法认定为《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第5条第1款第十项规定的“其他情节严重的情形”,构成侵犯公民个人信息罪。刘某某归案后,如实供述自己的犯罪事实,依法可以从轻处罚。刘某某系初犯,犯罪情节较轻,有悔罪表现,结合社区矫正调查评估意见,可以适用缓刑。经综合刘某某犯罪事实、性质、情节和对社会的危害程度,法院依法作出如上裁判。
裁判要旨
1.向不特定多数人发布公民个人信息,情节严重,符合刑法第二百五十三条之一规定的,构成侵犯公民个人信息罪。司法实践中,对于通过“人肉搜索”“开盒”等方式,在网络上非法曝光他人隐私、发布公民个人信息等网络暴力行为,可以依法适用侵犯公民个人信息罪的规定。
2.《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第五条第一款对侵犯公民个人信息罪的入罪标准“情节严重”规定了九项具体情形和一个兜底项“其他情节严重的情形”。对于兜底项,应当综合行为动机、方式、危害及信息类型等情节考量,准确判断所涉情形是否与所列举的九项具体情形具有相当性,从而妥当决定应否适用。
关联索引
《中华人民共和国刑法》第253条之一
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第3条、第5条
一审:湖南省醴陵市人民法院(2019)湘0281刑初291号刑事判决(2019年11月18日)
入库编号
2024-03-1-207-001
赵某岗侵犯公民个人信息案
——批量公民个人信息的认定规则
关键词 刑事 侵犯公民个人信息罪 批量公民个人信息 不真实的信息 重复的信息
基本案情
“XX交警内部号”系某市公安局交警部门开发的一款便于正式在编民警在工作中查询机动车信息和驾驶人信息的微信企业号平台。被告人赵某岗从事代办审车及销售保险业务,于2016年3月8日从该市某县公安局交警大队辅警杜某某处索要了交警大队在编民警常某的手机号码和微信号,并冒充杜某某添加常某为微信好友。后赵某岗使用其微信号关注“XX交警内部号”,并输入常某的手机号码,后赵某岗又假冒杜某某之名向常某索要了验证码成功关注“XX交警内部号”并注册登记,由此获得查询车辆和驾驶人信息的权限。赵某岗为方便自己开展业务,先后在该平台查询了大量机动车、驾驶人信息,并将具有查询权限的微信账号、密码告知游某雪、王某涛、王某富等人查询驾驶人、驾驶证及机动车信息,从中非法获利。自2016年3月23日至2017年6月29日,赵某岗冒用民警常某手机号注册授权登记的微信号在“XX交警内部号”查询数据记录共计64770条。
山东省无棣县人民法院于2019年11月20日作出(2019)鲁1623刑初182号刑事判决,认定被告人赵某岗犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币五千元。宣判后,被告人赵某岗提出上诉。二审查明,赵某岗查询数据64770条,其中无效记录3369条;经公安机关重新核实,有效记录61401条,去除重复记录后为44456条。山东省滨州市中级人民法院于2020年3月30日作出(2020)鲁16刑终21号刑事判决,改判被告人赵某岗有期徒刑二年六个月,并处罚金人民币五千元。
裁判理由
法院生效判决认为,被告人赵某岗违反国家有关规定,非法获取、使用公民个人信息,情节严重,其行为已构成侵犯公民个人信息罪。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第十一条第三款的规定,本案中赵某岗非法获取的公民个人信息数量存有重复、无效等情形,一审法院在未扣除无效信息和重复信息的情况下认定赵某岗的罪行“情节特别严重”属于认定事实错误,依法予以纠正。本案二审期间,公安机关经去除重复处理后认定赵某岗的有效查询记录为4万余条,客观真实,依法予以确认。故二审法院依法作出如上判决。
裁判要旨
1.对于敏感公民个人信息以外的一般公民个人信息的条数,如果涉案信息数量巨大的,可以依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第十一条第三款的规定,根据查获的数量直接认定。
2.适用《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第十一条第三款的规定计算批量公民个人信息的条数,应当排除不真实的信息,并在此基础上作去重处理,去除重复的信息。对于“信息不真实或者重复的”情形,既可以是控辩双方提出证据,也可以由法院依职权查明。
关联索引
《中华人民共和国刑法》第253条之一
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第11条
一审:山东省无棣县人民法院(2019)鲁1623刑初182号刑事判决(2019年11月20日)
二审:山东省滨州市中级人民法院(2020)鲁16刑终21号刑事判决(2020年3月30日)
●民法典侵权责任编司法解释关联规定对照表
●最高人民法院发布涉产品质量典型案例
●关于彩礼与恋爱赠与的区分认定
●最高人民法院发布《关于适用〈中华人民共和国民法典〉侵权责任编的解释(一)》
声明:本文转载自“中国应用法学”微信公众号,在此致谢!
编辑:朱 琳
排版:张馨叶
审核:刘 畅