为了保护公民的个人信息,我国《刑法修正案(七)》增加了“出售或非法提供公民个人信息罪”和“非法获取公民个人信息罪”作为刑法第二百五十三条之一,《刑法修正案(九)》则将其整合成为了“侵犯公民个人信息罪”。违反个人信息保护法的相关规定侵害个人信息权益的,可能构成此罪;在具体个案中,也有可能构成其他犯罪。
一、侵犯公民个人信息罪
第二百五十三条 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
对于本罪的理解与适用,在解释论上需要探讨如下问题:
第一,公民个人信息的范围。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息刑事案件解释》)第1条规定,公民个人信息“是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”,该定义中的个人信息要件特征包括“识别特定自然人身份”或“反映特定自然人活动情况的各种信息”,前者与网络安全法中的定义相同,而后者则稍有不同。在个人信息保护法出台之后,考虑到其在个人信息保护领域的基本法地位,此处的个人信息定义应采个人信息保护法第4条中的规定。由于本罪的成立以违反国家有关规定为前提,个人信息保护法等前置法关于个人信息范围的规定对于定罪理应产生相应的影响,这是法秩序统一性原理的内在要求。
第二,侵犯公民个人信息罪的三种行为类型:
一是违反国家有关规定,向他人出售或者提供公民个人信息。提供的方式没有限定,凡是使他人可以知悉公民个人信息的行为,均属提供,其中出售最为常见。因此,依据个人信息保护法第25条等条文的规定,非经同意而公开个人信息的,属于违反国家有关规定向不特定人提供公民个人信息。
二是违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人。此处的“获得”是合法获得,但违反了国家有关规定将合法获得的个人信息出售或者提供给他人。如国家机关工作人员将履职过程中获得的公民个人信息出售或者提供给他人,构成本罪。
三是窃取或者以其他方法非法获取公民个人信息。个人信息保护法规定了以同意为基础的个人信息处理规则,并在第13条第2—7项规定了若干例外情形,因此,违反个人信息保护法第13条的规定获取个人信息的行为,均可认定为非法获取。
第三,本罪要求的主观方面为故意,犯罪的动机不影响本罪的构成。因此过失行为不构成本罪。
第四,本罪的犯罪主体包括个人和单位,并且对于单位犯罪的,实行双罚制,即对单位判处罚金,对其直接负责的主管人员和其他直接责任人员,依照本罪相应自然人犯罪的定罪量刑标准规定处罚。
第五,情节严重以及与治安管理处罚的衔接。本罪的三种行为类型均要求情节严重。对于情节严重及情节特别严重的认定,《个人信息刑事案件解释》第5条列举了12种情形,第6条列举了2种情形。
具体而言,是从个人信息的类型及数量、违法所得数额、主观恶性、行为危害性这几个方面对情节严重与否进行认定。需特别指出的是,由于情节严重与否影响本罪是否成立,故应注意与治安管理处罚法的衔接。侵害公民个人信息行为已具备本罪的其他要件,但尚未达到情节严重程度的,应当结合治安管理处罚法的规定,依法认定为“构成违反治安管理行为”并给予治安管理处罚。
第六,其他问题。按照《个人信息刑事案件解释》第2条的规定,违反法律、行政法规、部门规章有关公民个人信息保护的规定的,都应当认定为本罪规定的“违反国家规定”,因此,违反个人信息保护法的相关规定的,必然属于本罪的“违反国家规定”这一构成要件。但需注意的是,本罪包括前述三种类型,因此并非所有违反个人信息保护法相关规定的行为都能构成本罪,而是否构成其他犯罪或受到相关的行政处罚和治安管理处罚,须依据相应的法律法规进行规制。
二、违反个人信息保护法的相关规定构成其他犯罪
除侵犯公民个人信息罪之外,违反个人信息保护法相关规定的行为还有可能构成其他犯罪;构成侵犯公民个人信息罪的,也可能同时构成刑法中的其他犯罪。例如,窃取、收买或者非法提供他人信用卡信息资料的,可能构成刑法第177条之一所规定的窃取、收买、非法提供信用卡信息罪。非法侵入计算机信息系统或者采用其他技术手段,获取其中存储、处理或者传输的数据(此等数据可能承载着个人信息)的,可能构成刑法第285条第2款所规定的非法获取计算机信息系统数据罪。对
于网络服务提供者,不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,符合以下情形之一的,可构成刑法第286条之一所规定的拒不履行信息网络安全管理义务罪:(1)致使违法信息大量传播的;(2)致使用户信息泄露,造成严重后果的;(3)致使刑事案件证据灭失,情节严重的;(4)有其他严重情节的。
同时,违反个人信息保护法的规定,尚未构成上述犯罪的,应当结合治安管理处罚法的规定,依法认定是否“构成违反治安管理行为”。
西安科普网
主管单位:中国反腐败司法研究中心
主办单位:企业廉洁合规研究基地
学术支持:湘潭大学纪检监察研究院
技术支持:湖南红网新媒科技发展有限公司