三、司法解释及其他规范性文件
(一)《侵犯公民个人信息刑事案件解释》
2017年5月8日,《侵犯公民个人信息刑事案件解释》发布,并于2017年6月1日起正式实施。《侵犯公民个人信息刑事案件解释》就公民个人信息的范围等相关概念的界定和侵犯公民个人信息罪的定罪量刑标准等内容进行了详细规定,对保护公民个人信息安全、企业开展在公民个人信息保护领域的合规管理工作具有重要的指导意义。
1.《侵犯公民个人信息刑事案件解释》的出台背景
随着各类信息价值化、资源化的演变,个人信息泄露问题越发严重。自2009年《刑法修正案(七)》最早对特定群体非法出售、提供公民个人信息进行规制,到2015年《刑法修正案(九)》进一步就侵犯公民个人信息犯罪扩大犯罪主体、加重处罚,侵犯公民个人信息犯罪仍处于高发态势。
为进一步加大对公民个人信息的保护、严厉惩处侵犯公民个人信息的犯罪行为,在结合案件办理中实操问题、法律适用问题的基础上,最高人民法院会同最高人民检察院,在公安部等有关部门的大力支持下,制定出台了《侵犯公民个人信息刑事案件解释》。
2.《侵犯公民个人信息刑事案件解释》的主要内容
《侵犯公民个人信息刑事案件解释》共13条,以下将对其中的重点内容进行简述:
(1)进一步扩大“公民个人信息”的范围
基于实践中个人信息的产生与应用,《侵犯公民个人信息刑事案件解释》在《网络安全法》对“公民个人信息”定义的基础上进行了明确和完善,即公民个人信息“是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。根据该条规定,“公民个人信息”既包括公民的身份识别信息,也包括公民的活动情况信息,如车辆(GPS)信息、手机定位等反映公民个人活动情况的信息,拓宽了公民个人信息被保护的范围。最高人民法院于2017年5月9日公布的侵犯公民个人信息犯罪典型案例之邵某明等侵犯公民个人信息案中明确“手机定位”属于公民个人信息。
(2)进一步明确法律适用范围
《侵犯公民个人信息刑事案件解释》进一步明确了“违反国家有关规定”的“国家有关规定”是指法律、行政法规、部门规章中有关公民个人信息保护的规定。
值得注意的是,《刑法修正案(九)》在对侵犯公民个人信息罪进行修订时,将原条文中的“违反国家规定”修改为“违反国家有关规定”,这是首次在《刑法》条文中使用“违反国家有关规定”的表述。但《刑法》仅对“国家规定”[11]进行了解释,未对“国家有关规定”进行说明。本次解释进一步厘清了“国家有关规定”的法律适用范围,在法律、行政法规之外还纳入了部门规章,符合目前侵犯公民个人信息刑事犯罪的高发现状,也表明司法机关对于该类犯罪处罚力度的加大。
(3)进一步明确犯罪行为方式的认定标准
根据《刑法》第253条之一的规定,违反国家有关规定,“向他人出售或者提供公民个人信息”,“将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的”及“窃取或者以其他方法非法获取公民个人信息”是侵犯公民个人信息罪的行为方式。结合司法实践,《侵犯公民个人信息刑事案件解释》第3条、第4条对非法“提供公民个人信息”“以其他方式非法获取公民个人信息”的认定进行了明确。
(4)进一步明确定罪量刑标准
关于“情节严重”与“情节特别严重”的认定标准,《侵犯公民个人信息刑事案件解释》第5条从个人信息类型和数量、违法所得数额、信息用途、主体身份、前科情况、后果等角度进行细分认定。
值得注意的是,在计算涉案公民个人信息的数量时,《侵犯公民个人信息刑事案件解释》第11条专门规定:
(a)非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。
(b)向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。
(c)对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
(5)厘清关联犯罪的处理
(a)非法利用信息网络罪:根据《刑法》第287条之一的规定,设立用于实施违法犯罪活动的网站、通讯群组,情节严重的,构成非法利用信息网络罪。实质上,供他人实施非法获取、出售或者提供公民个人信息的网站、通讯群组即是用于实施违法犯罪活动的网站、通讯群组。因此,《侵犯公民个人信息刑事案件解释》明确了设立网站、通讯群组侵犯公民个人信息行为如与非法利用信息网络罪发生犯罪竞合,应当依照侵犯公民个人信息罪定罪处罚。
(b)拒不履行信息网络安全管理义务罪:为进一步促使网络服务提供者履行个人信息安全保护义务,《侵犯公民个人信息刑事案件解释》明确网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当以拒不履行信息网络安全管理义务罪定罪处罚。
(6)明确认罪认罚从宽处理规则
为充分发挥刑法的威慑和教育功能,平衡罪与罚,促使犯罪嫌疑人积极认罪悔罪,《侵犯公民个人信息刑事案件解释》规定,实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。
(二)《检察机关办理侵犯公民个人信息案件指引》
2017年3月,公安部对打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动进行部署,联合最高人民检察院开展专项打击整治,严惩与公民个人信息相关的违法犯罪活动。
为加强对办理侵犯个人信息犯罪案件的指导,2018年11月9日,最高人民检察院发布《检察机关办理侵犯公民个人信息案件指引》(高检发侦监字〔2018〕13号)(以下简称《办案指引》),明确了在审查逮捕、审查起诉阶段证据认定的基本要求,入罪标准、法律适用等问题,以及社会危险性与羁押必要性审查等方面的实务问题,统一司法标准。
《办案指引》主要内容如下:
1.审查逮捕、审查起诉阶段证据认定的基本要求
(1)审查逮捕阶段
在侵犯公民个人信息案件的审查逮捕阶段中,应按照以下标准进行证据审查:
(a)是否有证据证明有侵害公民个人信息犯罪事实;
(b)是否有证据证明侵犯公民个人信息行为是犯罪嫌疑人实施的;
(c)是否有证据证明犯罪嫌疑人具有侵犯公民个人信息的主观故意;
(d)是否有证据证明侵害行为能达到“情节严重”或“情节特别严重”的标准。
(2)审查起诉阶段
在侵犯公民个人信息案件的审查起诉中,除审查逮捕阶段的证据之外,应坚持“犯罪事实清楚,证据确实、充分”的标准,对证据进行以下审查:
(a)证据是否充分:保证定罪量刑的事实都有证据证明,包括有充分证据证明存在侵害事实、犯罪嫌疑人实施了该侵害行为、该等行为符合入罪标准、犯罪嫌疑人有侵害的主观故意。
(b)证据是否属实:相关证据均经法定程序查证属实。
(c)是否排除合理怀疑:对所认定的事实已排除合理怀疑。
2.重点问题
(1)对“公民个人信息”的审查认定
《办案指引》明确了两种常见的不属于公民个人信息的情形:
第一,经过处理无法识别特定自然人且不能复原的信息,与特定自然人无直接关联。
第二,由公司购买、归公司使用的手机、电话号码等,不属于个人信息的范畴。但对于企业工商登记等信息中所包含的公司经办人在工商登记等活动中登记的个人电话、手机号码,则属于个人信息。
(2)对“违反国家有关规定”的审查认定
《办案指引》明确《刑法修正案(九)》将原《刑法》第253条之一的“违反国家规定”修改为“违反国家有关规定”是扩大法律适用的范围,其散见于金融、电信、交通、教育、医疗、统计、邮政等领域的法律、行政法规或部门规章中。
(3)对“非法获取”的审查认定
《办案指引》明确购买是最常见的“非法获取”手段。并举例说明,如房产中介、物业管理公司、保险公司、担保公司的业务员在办理业务过程中与同行通过QQ、微信群互相交换各自掌握的客户信息,属于非法获取行为。此外,在职务行为中,违反国家有关规定,未获得授权或越权收集公民个人信息也属于非法获取公民个人信息的行为。
(4)对“情节严重”的审查认定
其中,有关“情节严重”,《办案指引》进一步明确了:
(a)不同个人信息类型所包含的典型信息,如财产信息包括银行、第三方支付平台、证券期货等金融服务账户的身份认证信息,以及存款、房产、车辆等财产状况信息;并规定不允许扩大敏感信息的范围。
(b)违法所得直接以出售公民个人信息的收入予以认定,无法说明合法来源的收入也可认定为违法所得。
(c)将公民个人信息用于违法犯罪活动的,不要求他人的行为必须构成犯罪。
对于涉案公民个人信息数量的认定,《办案指引》明确除非获取的该公民个人信息内容发生了变化,犯罪嫌疑人多次获取同一条公民个人信息,一般认定为一条,不重复累计。
(5)对关联犯罪的审查认定
3.社会危险性及羁押必要性审查
就审查逮捕阶段,《办案指引》规定应分别从犯罪嫌疑人的犯罪动机、主观恶意程度,及犯罪嫌疑人的犯罪情节是否对社会产生危害性(具体从犯罪时间长短、犯罪行为是否严重、后果是否严重等方面对危害性大的情形进行评判[12])等方面进行评估判断是否有羁押必要。
就审查起诉阶段,《办案指引》规定对羁押必要性进行审查,应根据不同情形,作出不同处理:(a)对于未达到逮捕证明标准的,撤销原逮捕决定;(b)对于证据发生重大变化,或案件事实发生重大变化或羁押期限即将超过预计判决期限等情形,应当向办案机关提出释放或者变更强制措施的建议;(c)对于有悔罪表现,没有社会危险性的,可以向办案机关提出释放或者变更强制措施的建议。
(三)《网络犯罪解释》
2019年6月3日最高人民法院审判委员会第1771次会议、9月4日最高人民检察院第十三届检察委员会第二十三次会议通过了《网络犯罪解释》,自2019年11月1日起施行。
1.《网络犯罪解释》的出台背景
自《刑法修正案(九)》增设拒不履行信息网络安全管理义务罪,非法利用信息网络罪和帮助信息网络犯罪活动罪[13]以来,截至2019年9月,全国法院共审理相关网络犯罪案件260件,判决473人。其中,非法利用信息网络刑事案件159件、223人,帮助信息网络犯罪活动刑事案件98件、247人。[14]
为统一网络犯罪的法律适用,有效惩治网络犯罪,最高人民法院、最高人民检察院出台了《网络犯罪解释》,在与现行法律法规的规定保持衔接的情况下,对拒不履行信息网络安全管理义务罪、非法利用信息网络罪和帮助信息网络犯罪活动罪的定罪量刑标准和有关法律适用问题作了更加详细的规定,也更加明确了司法机关对于网络犯罪打早打小、全链条惩治的决心。此外,司法机关还考虑到网络犯罪大量存在再犯的情况,专门在《网络犯罪解释》中规定对拒不履行信息网络安全管理义务、非法利用信息网络、帮助信息网络犯罪活动的罪犯可以依法宣告职业禁止和禁止令,对犯罪分子进行职业约束。
2.《网络犯罪解释》的主要内容
(1)拒不履行信息网络安全管理义务罪
在《网络安全法》等法律法规的基础上,《网络犯罪解释》进一步明确了拒不履行信息网络安全管理罪的入罪标准和相关法律适用问题。
(a)《网络犯罪解释》进一步明确了“网络服务提供者”的范围,网络服务提供者既可以是单位,也可以是个人。具体包括以下三类:
1)网络技术服务提供者:信息网络接入、计算、存储、传输服务提供者;
2)网络内容服务提供者:信息发布、搜索引擎、即时通信、网络支付、网络购物、网络游戏、广告推广、应用商店等信息网络应用服务提供者;
3)网络公共服务提供者:电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务提供者。
(b)《网络犯罪解释》进一步明确了入罪的前提条件,即拒不履行“监管部门责令采取改正措施”的认定标准。
1)“监管部门责令采取改正措施”中“监管部门”,是指网信、电信、公安等依照法律、行政法规的规定承担信息网络安全监管职责的部门。
2)“监管部门责令采取改正措施”中“改正措施”,应当满足责令整改通知书或者其他文书的形式。
3)还应综合其他情形对是否构成拒不履行“监管部门责令采取改正措施”进行认定,如改正措施是否明确、期限要求是否合理、网络服务提供者是否有能力进行改正等。
(c)《网络犯罪解释》对拒不履行信息网络安全管理义务罪不同情形的入罪标准进行了明确,包括“致使违法信息大量传播”“造成严重后果”“情节严重”“其他严重情节”。
(2)非法利用信息网络罪
(a)《网络犯罪解释》进一步明确非法利用信息网络罪的客观行为,包括如下:
1)明确《刑法》第287条之一规定的“违法犯罪”,既包括犯罪行为和属于刑法分则规定的行为类型但尚未构成犯罪的违法行为;
2)明确以实施违法犯罪活动为目的而设立或者设立后主要用于实施违法犯罪活动的网站、通讯群组,应当认定为刑法规定的“用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组”;
3)明确利用信息网络提供信息的链接、截屏、二维码、访问账号密码及其他指引访问服务的,应当认定为刑法规定的“发布信息”。
(b)《网络犯罪解释》明确了非法利用信息网络罪的入罪标准,即“情节严重”的认定标准。《网络犯罪解释》主要从设立网站和通讯群组的数量、发布信息的数量、违法所得数额、前科情况这些方面明确了“情节严重”的认定标准。
(3)帮助信息网络犯罪活动罪
《网络犯罪解释》对帮助信息网络犯罪设置了较低的入罪门槛,是加大对网络犯罪惩治的有力体现。
(a)《网络犯罪解释》明确了帮助信息网络犯罪活动罪的主观明知推定规则。除有相反证据证明之外,以下情形可以认定行为人明知他人利用信息网络实施犯罪:
(b)《网络犯罪解释》明确了“情节严重”入罪标准,具体情形如下:
值得注意的是,如因客观条件无法查证被帮助对象是否犯罪,可以根据帮助者自身情况,在数额达到前述情形2到情形4规定标准五倍以上或造成特别严重后果的情况下,对帮助信息网络犯罪活动的行为人单独入罪。