公民的个人信息对于我们每个人来说,都是很隐私的,如果万一恶意泄漏或者被买卖都是十分危险的行为。因此,我国就制定了相关的侵犯公民个人信息罪入罪标准,来尽量的避免和减少这种现象的发生。那么,侵犯公民个人信息罪入罪标准都是有哪些呢?一起来了解下一下吧。
随着互联网技术的快速发展,侵犯公民个人信息的违法犯罪活动亦层出不穷。鉴于此,2009年2月28日通过的刑法修正案(七),首次在刑法规范中增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪,确立了对公民个人信息给予全面保护的立法精神。但总体上,该罪状表述仍显简略、模糊,以致司法实践中困惑较多。就本案而言,主要涉及刑法保护的公民个人信息的范畴,出售、非法提供公民个人信息罪的犯罪主体,购买、受赠等中性行为能否评价为非法获取,以及情节严重的判断标准四个方面的问题。
一、刑法所保护的公民个人信息应当具有私人专属性和价值重要性两方面特性
关于公民个人信息的范围,理论和实务界争论较大,概括来说有以下几种:
一是认为公民个人信息是指能够实现对公民个人情况的识别,被非法利用时可能对公民个人生活和安宁构成损害和威胁的信息;
二是认为公民个人信息有本人不希望扩散、具有保护价值的属性,该信息一旦扩散,将可能对公民权利造成损害,具有私密性;
三是认为公民个人信息就是以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。
一是私人专属性,即其与公民个人的身份紧密相关,既可以是反映其生理特征的信息,也可以是反映其社会特征的信息;
二是价值重要性,即公民的诸多个人信息关乎公民的人格、尊严,甚至影响其财产权利、人身安全。但公民个人信息不能等同于公民个人的隐私,即便个人信息已经通过网络或者其他方式予以公开,仍有可能成为刑法第二百五十三条所规定之犯罪侵犯的对象。就本案而言,房管部门房产销售系统中的房产信息是与公民个人存在紧密关联性并可以识别为专属于特定个人的信息,其关乎个人人身、财产安全,应当属于公民个人信息。
刑法第二百五十三条第一款对刑法保护的公民个人信息进行了来源条件的界定,列举了“国家机关或者金融、电信、交通、教育、医疗等单位”,法律条文中“等” 字的表述就给予司法机关一定自由裁量空间。结合刑法条文的目的解释和整体性解释方法,从本罪所在的章节来看,其被置于侵犯公民人身权利、民主权利罪一章,保护的法益乃是公民个人的信息安全。在公民现实生活中,除了金融、电信、交通、教育、医疗等单位之外,诸如网络购物、物流快递、房产、保险等服务性行业,与社会公众也具有紧密的联系,这些单位掌握着大量的公民个人信息。由于此类单位在公民个人信息保护方面存在漏洞,某种程度上也成为违法犯罪分子重点凯觎的对象。
就此而言,如果仅仅将刑法对公民个人信息的保护限定在金融、电信、交通等刑法所明确列举的单位,势必不利于对公民人身权利的保护,也违背了刑法当初设定本罪打击非法获取公民个人信息、侵害公民人身权利行为的立法目的。故对于出售、非法提供公民个人信息罪的主体,只要行为人所在单位的性质决定其能够较为系统地接触和获取到公民信息的,就属于本罪的单位之列,而不必限于国家机关等公权力机关。本案被告人沈辉虽然不具有国家机关或其他公权力单位工作人员的身份,但其利用帮助南通市房产管理局信息中心维护房产销售系统的便利,私自导出该系统中的公民个人房产信息,正是利用了工作便利获取并向他人提供公民个人信息,其作为犯罪主体的身份是适格的。
三、购买、获赠或收受的行为能够被评价为非法获取
刑法第二百五十三条之一第二款将非法获取公民个人信息罪的实行行为规定为“窃取或者以其他方法非法获取上述信息”。对此有观点认为,窃取即秘密取走,其本身就是一种非法手段,故其他方法应当与窃取具有同质性,也必须是非法的,比如诈骗。相反,对那些自身不具非法性或比较中性的方法,由于其与窃取不具有同质性,就不应当认为是非法获取,如本案被告人蔡志峰、徐加辉的购买行为、被告人余晖映的获赠、收受行为等。由于我国没有出台专门的个人信息保护法,没有明确将公民个人信息规定为禁止买卖和互易的商品,也不能认定该买卖或互易的手段本身就具有违法性,但如此一来,就可能无法给予刑法上的评价,这样处理显然不符合刑法全面保护公民个人信息的立法目的。
从实践来看,倒卖公民个人信息违法呈常态,已经初步形成了犯罪产业链,并成为诈骗、敲诈勒索甚至绑架等诸多下游犯罪的诱因和源头。如果对这类行为不予刑法规制,显然让人无法接受。笔者认为,本罪的非法并非就获取手段或方法行为的性质而言,而是指行为人的获取行为无正当化事由,在本质上是非法的,亦即行为人没有获取他人信息的法律、法规依据或资格而获取相关个人信息的,就可能构成犯罪。事实上,即便从立法经验来看,现有刑法体系内,“窃取”也多与“收买”相提并论。
如刑法第一百一十条规定:“为境外的机构、组织、人员窃取、刺探、收买、非法提供国家机密或者情报的”,刑法第一百七十七条第二款规定:“窃取、收买或者非法提供他人信用卡信息资料的”,故将“购买”、“收受”等中性行为解释为“非法获取”亦有刑法体系上的支持。就本案而言,被告人余晖映通过人情关系从被告人沈辉处获赠、收受公民个人信息,被告人徐加辉、蔡志峰向被告人薛天煜购买公民个人信息,其取得显然不具法律上的授权,违背了公民的意愿,应当认定属于以其他方法非法获取的范畴。
四、情节严重应结合行为人的主观恶性和法益的受侵害程度综合判断
情节严重是侵犯公民个人信息犯罪的客观构成要件,也是区分罪与非罪的重要标准之一。目前就该问题尚无立法或司法上的解释,从学理解释的角度来看,目前基本达成的共识是:情节严重一般包括出售、非法获取、提供公民个人信息数量较多、获利数额较大以及公民个人信息被非法提供、出售给他人后,给公民造成了经济上的损失,或者严重影响到公民个人正常生活,或者被用于进行违法犯罪活动等情形。在笔者看来,判断情节严重,应结合行为人的主观恶性和对法益的侵害程度予以综合把握。就本案而言,可做如下具体分析:
1、在犯罪动机上,根据各被告人的供述,被告人薛天煜的犯罪动机主要是为了牟利,而被告人余晖映、蔡志峰、徐加辉称自己只是为了扩大业务方便。笔者认为,出于牟利目的而非法获取信息的行为与因日常生活和工作需要而非法获取信息的行为相比,前者主观恶性明显要大,且信息的传播范围要更广,故情节更为严重。
2、在犯罪手段上,被告人薛天煌通过安装软件的方式秘密窃取,被告人余晖映、蔡志峰、徐加辉则分别通过获赠、购买的方式获取。一般而言,如果手段行为本身具有违法性或破坏性,较之一般的购买、互易信息行为当然具有更大危害。
3、在信息类型上,本案所涉公民个人信息是与公民个人密切相关的、其不愿该信息被特定人群以外的其他人群所知悉的信息,即属于公民的隐私信息。该类信息如果泄露,较之一般信息,后果更为恶劣,故情节亦更为严重。
4、在信息数量上,本案被告人非法提供、非法获取的信息都在17000条以上,数量巨大。对信息数量上的认定,还可参考2011年9月1日两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条对非法获取计算机信息系统数据或者非法控制计算机信息系统罪的情节严重所作出的解释,“获取支付计算、证券交易、期货交易等网络金融服务的身份认证信息10组以上的;获取前述信息以外的身份认证信息500组以上的”。
5、在犯罪后果上,被告人薛天煜将信息转卖他人,既扩大了信息的传播,亦放任了他人对该信息所有者可能造成的危害,如被用于下游违法犯罪活动,将更加严重侵害信息所有人的人身、财产安全,行为危害性较大。被告人余晖映等人将个人信息自己存留或为自己扩大业务使用,虽然亦侵害了信息所有者的信息安全,但比被告人薛天煜行为危害性更小。故综合考虑各被告人的犯罪动机、手段、犯罪涉及信息的类型和数量以及犯罪的危害后果,符合刑法有关情节严重的犯罪构成要件,应当承担刑事责任。同时,考虑到各被告人各自具体的犯罪情节还不尽相同,犯罪的危害也有所区别,故在量刑上,对各被告人分别处以拘役2个月至有期徒刑1年不等的刑罚,对被告单位分别判处相应的罚金。
对于侵犯公民个人信息的行为,我们一般是有一定的认定的标准的,而且关于侵犯公民个人信息罪入罪标准也是有相关的法律规定的,在进行认定的时候,我们可以从犯罪动机是否主要是为了牟利、个人信息是否与公民个人密切相关等方面来进行判断。
延伸阅读:
派出所泄露个人信息构成什么罪
买房时个人信息被泄露怎么办?