本罪的保护法益是公民个人信息权或者公民个人信息自决权。《刑法》保护公民个人信息,本质是为了保护公民个人的人身、财产权。本罪的实行行为是出售、提供、非法获取3种。凡是与自然人有关的信息,都可谓公民个人信息。就出售、提供而言,只要他人已经知悉公民个人信息,就成立犯罪既遂。就非法获取而言,只要行为人已经取得或者掌握了公民个人信息,就成立犯罪既遂。应将《刑法》第253条之一第3款作为独立罪名对待,其定罪量刑标准,应当比出售、提供公民个人信息的行为相对高一些。向他人提供电话号码,但没有其他信息的,不能构成侵犯公民个人信息罪。公民自愿提供同意他人使用的信息,不属于本罪的行为对象。将曾经受过刑事处罚与行政处罚认定为“情节严重”与“情节特别严重”的司法解释规定,混淆了预防要素与不法要素。成立《刑法》第253条之一的第2、3款的犯罪,也要求情节严重。违反部门规章,不属于“违反国家有关规定”。公民一天中详细的行踪轨迹信息,应为多条信息。非法获取公民个人信息后又出售或者提供给他人,成立包括的一罪。非法获取公民个人信息后实施诈骗,可能数罪并罚。
第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
1.侵犯公民个人信息罪的保护法益是什么?
本罪是侵犯公民人身权利的犯罪,其所保护的法益是公民个人信息权。所谓个人信息权,具体包括3个方面的内容:一是个人信息不被不正当收集、采集的权利;二是个人信息不被扩散的权利;三是个人信息不被滥用的权利。公民个人信息权,也可谓公民个人信息自决权。而所谓的信息自决权,是指个人依照法律控制自己的个人信息并决定是否被收集和利用的权利。公民个人信息自决权产生于一般人格权的基础之上,仍属于人身权利的范畴。当然,也可以认为公民个人信息权或者公民个人信息自决权,只是阻挡层法益,背后层法益是公民的人身、财产权。或者说,《刑法》保护公民个人信息,本质是为了保护公民个人的人身、财产权。
2.侵犯公民个人信息罪的实行行为是什么?
本罪的构成要件行为包括3种类型,实行行为是出售、提供、非法获取。
第一种行为类型是,违反国家有关规定,向他人出售或者提供公民个人信息。出售其实也是提供的一种方式。凡是使他人可以知悉公民个人信息的行为,都属于提供。
第二种行为类型是,违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人。例如银行、网络服务商、电信服务商工作人员在提供服务过程中获得的公民个人信息,都属于这一类型下的公民个人信息。行为人将这些公民个人信息出售或者提供给他人的,成立侵犯公民个人信息罪。
第三种类型是,窃取或者以其他方法非法获取公民个人信息。“窃取”其实也是非法获取的一种方式。凡是非法获取公民个人信息的行为,如购入、夺取、骗取等,都属于“以其他方法非法获取”。例如,行为人冒充司法工作人员,欺骗国家机关或者电信、金融、交通、教育、医疗等单位的工作人员,让他人向自己提供公民个人信息的行为,就属于这种类型。
3.何谓《刑法》意义上的公民个人信息?
《网络安全法》第76条第5项规定,“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。2017年最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息解释》)指出,公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。2020年颁布的《民法典》第1034条第2款规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。2021年8月20日公布的《个人信息保护法》第4条第1款规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
应该说,从法益保护角度来讲,凡是与自然人有关的信息,都是公民个人信息。除了上述规定所列举的信息外,公民个人信息还包括婚姻状况、工作单位、学历、履历等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料,以及公民生理状态、遗传特征、经济状况、电话通话清单、个人具体行踪等。但是,“公民”并不包括单位和死者。例如,在一些网络平台上可以查询企业的工商信息、诉讼信息等,这些都属于单位的信息,不是公民个人信息。
4.侵犯公民个人信息罪的既遂如何判断?
本罪的实行行为是出售、提供、非法获取3种。就出售、提供而言,只要他人已经知悉公民个人信息,就成立犯罪既遂。就非法获取而言,只要行为人已经取得或者掌握了公民个人信息,就成立犯罪既遂。
5.《刑法》第253条之一第3款应否作为独立的罪名对待?
《刑法》第253条之一第1款和第2款规定的行为方式是出售、提供,而第3款规定的行为方式是非法获取。应该说,非法获取明显不同于出售、提供,正如购买不同于出售、收买不同于拐卖、行贿不同于受贿一样。非法获取公民个人信息,对于公民个人信息而言,只具有抽象危险,而出售、提供,可谓实害。因此,理想的做法是将第3款作为独立的罪名对待,如“非法获取公民个人信息罪”,规定相对较低的法定刑,或者设置相对较高的入罪门槛。在立法和罪名不能改变的情况下,非法获取公民个人信息行为的定罪量刑标准,应当比出售、提供公民个人信息的行为相对高一些。
6.向他人提供电话号码,但没有其他信息的,能否构成侵犯公民个人信息罪?
应该说,并不是任何一项单独信息,都属于公民个人信息。另外,除了考虑个人信息的公共属性,还需要依据一般人的观念进行判断。例如,行为人对外公布全国所有民法学专业的博士生的姓名或者民法学教授、博导的姓名,就不可能构成本罪。
只要是能识别公民身份等方面的相对重要的信息,就可以成为公民个人信息。例如,“姓名+家庭住址”“姓名+手机号码”“姓名+身份证号码”“姓名+银行卡号”“姓名+行踪轨迹”“姓名+存款信息”等,都属于《刑法》保护的公民个人信息。但一般来说,“姓名+毕业院校”“姓名+职务”“姓名+性别”“姓名+年龄”“姓名+学历”等,难以成为《刑法》保护的公民个人信息。不过,如果是“姓名+多项不重要的信息”,也可能被综合评价为《刑法》保护的公民个人信息。
如果行为人只是提供了1000个手机号码,但没有提供相应的姓名,也没有提供其他可以识别身份的信息,那这些信息就不是公民个人信息,行为人不构成侵犯公民个人信息罪。
7.公民自愿提供同意他人使用的信息,是否属于本罪的行为对象?
案1:客户张三向小额贷款公司借款,公司不能确定张三提供的身份证是否真实,于是要求张三手持身份证拍照,也向张三说明了他们要将其身份证上的相关信息和该照片提交给有关公司、部门,以检验身份证的真伪,张三当场表示同意。之后,小额贷款公司将上述个人信息提交给相关公司,相关公司又将上述信息提供给有关部门,有关部门人员依法根据上述信息调取张三身份证的存档照片(没有其他信息),并在对照片进行网格化处理后将其交给相关公司,相关公司再交给小额贷款公司,由小额贷款公司自己判断身份证的真伪。
在该案中,身份证及其相关信息与照片,都是张三自愿提供并同意他人使用的,除此之外只有一张网格照片,只能就网格照片本身判断相关人员的行为是否构成侵犯公民个人信息罪。由于在网格照片中没有其他信息,不能认定为侵犯公民个人信息罪。
在这样的案件中,不能认定相关人员非法提供了公民个人的姓名、身份证号、照片等信息,因为公民个人同意他人使用的必须除外。换言之,公民个人自愿提供同意他人使用的个人信息,不是侵犯公民个人信息罪的对象。当然,如果相关人员超出公民同意的范围使用上述信息,则构成侵犯公民个人信息罪。
8.对于将曾经受过刑事处罚与行政处罚认定为“情节严重”与“情节特别严重”的司法解释规定,有无疑问?
曾经受过刑事处罚与行政处罚,这是反映再犯罪可能性大小即特殊预防必要性大小的预防要素,不是反映不法程度的要素。而“情节严重”与“情节特别严重”均是客观方面的反映法益侵害程度的要素,也就是不法要素。很显然,这种司法解释规定因混淆了预防要素与不法要素,而殊有不当。
9.成立《刑法》第253条之一的第2、3款的犯罪是否要求情节严重?
《刑法》第253条之一第2款规定“依照前款的规定从重处罚”,第3款规定“依照第一款的规定处罚”。
值得注意的是,2009年《刑法修正案(七)》在增设本罪时曾规定“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚”,而2015年《刑法修正案(九)》在修改第253条之一第3款时删除了“情节严重”的要求。能否认为,非法获取公民个人信息成立犯罪不要求“情节严重”?
应该说,无论《刑法》第253条之一第2款还是第3款,都不只是单纯法定刑的援引,还是第1款犯罪成立条件的援引,即成立第2、3款的犯罪,也要求“情节严重”。只有这样理解,处理才能协调。
10.违反部门规章,是否属于“违反国家有关规定”?
之所以《刑法修正案(九)》将《刑法修正案(七)》中关于本罪的《刑法》第253条之一第1款的“违反国家规定”修改为“违反国家有关规定”,是因为当时国家有关个人信息保护的立法还很不完善,所以试图将违反“部门规章”纳入违反“规定”的范畴。但现在《个人信息保护法》已经出台,应当将“违反国家有关规定”限缩解释为“违反国家规定”,即不应认为“违反国家有关规定”包括违反部门规章的规定。质言之,虽然二者的表述不同,但难以认为二者的范围也不同。
11.公民在一天中详细的行踪轨迹,算一条信息还是多条信息?
对本罪的构成要件与“情节严重”的解释不能过于严格,换言之,不要试图限制本罪的成立范围,相关刑法条文已经限制了其成立范围。例如,《个人信息解释》第5条第1款第3项规定非法获取、出售或者提供行踪轨迹信息、通信信息、征信信息、财产信息50条以上的,属于情节严重。问题在于如何认定行踪轨迹信息条数。例如,一个北大教授,早上七点半从蓝旗营家里出发,八点到办公室写书1小时,九点到教学楼上3节课,十二点到教工食堂吃饭,十二点半回办公室午睡半小时,午睡起来后在办公室写书3个小时,下午四点去操场跑步1小时,五点到食堂吃饭,然后回办公室继续写书到晚上十点,最后回蓝旗营家里睡觉。如果行为人向他人提供这位北大教授行踪轨迹,应认定提供了1条还是10条公民个人信息?答案是应该认定为10条,而不是1条。另外,不能要求行踪轨迹很具体,大体的行踪轨迹也包括在内,如行为人提供的信息是某人半年内都一直待在北京,这当然属于行踪轨迹信息。
12.非法获取公民个人信息后又出售或者提供给他人的,应罚一罪还是数罪并罚?
非法获取公民个人信息后又出售或者提供给他人,因为仅侵害了一个法益,所以成立包括的一罪,以侵犯公民个人信息罪一罪定罪处罚即可。
13.非法获取公民个人信息后利用其实施诈骗,应罚一罪还是数罪并罚?
虽然一般可能认为非法获取公民个人信息后利用其实施诈骗属于牵连犯,但行为人往往会一次性非法获取大量的公民个人信息,然后利用所非法获取的部分信息实施诈骗,侵害了两个法益,所以应以侵犯公民个人信息罪与诈骗罪实行数罪并罚。
