文
*熊律师
《个人信息保护法》深度解读系列往期文章:
个人信息的概念与判断个人信息主体的权利和救济
一、引言
个人信息保护的首部专门法律《个人信息保护法》,于年11月1日起实施。该法第71条规定:“违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。”违反《个人信息保护法》的规定,进入刑事“领地”,最有可能涉嫌的犯罪是“侵犯公民个人信息罪”。本文对该罪的来源、入罪条件、刑事处罚等刑法适用相关问题,予以详细梳理。
二、侵犯公民个人信息罪的渊源
为保护公民个人信息,年2月28日起施行的《刑法修正案(七)》增设了刑法第条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪两个罪名,这是首次直接对侵害公民个人信息的违法行为进行刑罚治理。
为加大对公民个人信息的保护力度,年11月1日起施行的《刑法修正案(九)》对刑法第条之一作出修改完善:一是扩大犯罪主体的范围,规定任何单位和个人违反国家有关规定,获取、出售或者提供公民个人信息,情节严重的,都构成犯罪,而不限于“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”;二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚;三是加重法定刑,增加规定“情节特别严重的,处三年以上七年以下有期徒刑,并处罚金;四是对个别词语进行调整,如删除‘非法提供’中‘非法’二字的限定,在“违反国家规定”中增加“有关”二字,即形成“违反国家有关规定”。修改后,“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。
三、侵犯公民个人信息罪的入罪标准
根据《刑法》第条之一的规定,侵犯公民个人信息罪,是指违反国家有关规定,向他人出售、提供公民个人信息,情节严重的行为,以及窃取或者以其他方法非法获取公民个人信息的行为。由此,侵犯公民个人信息罪的客观行为方式,包括如下四种:
违反国家有关规定,向他人出售公民个人信息,情节严重的行为;
违反国家有关规定,向他人提供公民个人信息,情节严重的行为;
窃取公民个人信息的行为;
以其他方法非法获取公民个人信息的行为。
简言之,侵犯公民个人信息犯罪涉及出售、提供、窃取、非法获取四种行为,其中前两种,不仅有“行为方式”的限定,而且有“法律禁止性规定”为前提和行为程度上的要求,后两种因行为本身即具有非法性,仅表现为“行为方式”。下面对四种行为进行详细说明。
(一)关于“违反国家有关规定”
“违反国家有关规定”是“出售”“提供”行为的前提条件,是在原“违反国家规定”基础上修改而成的。根据《刑法》第96条规定,“国家规定”是指违反全国人大及其常委会制定的法律、决定,国务院制定的行*法规、规定的行*措施、发布的决定和命令。而“国家有关规定”显然范围更大,根据《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第2条规定,违反法律、行*法规、部门规章有关公民个人信息保护的规定,应当认定为“违反国家有关规定”,也就是扩大到了“部门规章”,同时又仅限定于法律、行*法规、部门规章三个层面,不包括地方性法规等非国家层面的规定,也不包括国家标准、地方标准等非法律规范中的规定。
随着国家保护公民个人信息保护体系的建立和逐渐完善,国家关于公民个人信息保护的有关规定具体是指:
关于公民个人信息保护的法律,主要包括:
1、《全国人民代表大会常务委员会关于加强网络信息保护的决定》
第3条规定:“网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。”
第10条规定:“国家机关及其工作人员对在履行职责中知悉的公民个人电子信息应当予以保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。”
2、《民法典》
第条规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”
第条规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
征得该自然人或者其监护人同意,但是法律、行*法规另有规定的除外;
公开处理信息的规则;
明示处理信息的目的、方式和范围;
不违反法律、行*法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”
第条规定:“信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。”
第条规定:“国家机关、承担行*职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”
3、《网络安全法》
第42条规定:“未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”
第44条规定:“任何个人和组织不得窃取或者以其他非法方法获取个人信息,不得非法出售或者非法向他人提供个人信息。”
第45条规定:“依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。”
4、《数据安全法》
第38条规定:“国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行*法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。”
5、《个人信息保护法》
第10条规定:“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。”
第23条规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。”
第36条规定:“国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。”
第38条规定:“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
依照本法第四十条的规定通过国家网信部门组织的安全评估;
按照国家网信部门的规定经专业机构进行个人信息保护认证;
按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
法律、行*法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。”
第39条规定:“个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。”
第40条规定:“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行*法规和国家网信部门规定可以不进行安全评估的,从其规定。”
第41条规定:“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。”
第55条规定:“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
处理敏感个人信息;
利用个人信息进行自动化决策;
委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
向境外提供个人信息;
其他对个人权益有重大影响的个人信息处理活动。”
6、《消费者权益保护法》
第29条规定:“经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。”
关于公民个人信息保护的行*法规,主要包括:
1、《地图管理条例》
第35条:“互联网地图服务单位收集、使用用户个人信息的,应当明示收集、使用信息的目的、方式和范围,并经用户同意。
互联网地图服务单位需要收集、使用用户个人信息的,应当公开收集、使用规则,不得泄露、篡改、出售或者非法向他人提供用户的个人信息。
互联网地图服务单位应当采取技术措施和其他必要措施,防止用户的个人信息泄露、丢失。”
2、《征信业管理条例》
第13条:“采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行*法规规定公开的信息除外。
企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。”
第14条:“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行*法规规定禁止采集的其他个人信息。
征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是,征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意的除外。”
第18条:“向征信机构查询个人信息的,应当取得信息主体本人的书面同意并约定用途。但是,法律规定可以不经同意查询的除外。
征信机构不得违反前款规定提供个人信息。”
第20条:“信息使用者应当按照与个人信息主体约定的用途使用个人信息,不得用作约定以外的用途,不得未经个人信息主体同意向第三方提供。”
关于公民个人信息保护的部门规章,主要包括:
1、工业和信息化部年日公布的《规范互联网信息服务市场秩序若干规定》(第11条、12条);
2、工业和信息化部年7月16日公布施行的《电信和互联网用户个人信息保护规定》;
3、国家互联网信息办公室年10月1日公布实施的《儿童个人信息网络保护规定》;
4、中国人民银行年8月18日公布的《个人信用信息基础数据库管理暂行办法》。
(二)关于提供公民个人信息
这主要包括两种:一是向特定人提供公民个人信息;二是通过信息网络或者其他途径发布公民个人信息,即向不特定多数人提供公民个人信息。这里仅仅限定的是“提供”,而没有限定来源是否合法、提供行为本身是否合法。在判断时,需要依据前述“违反国家有关规定”来分析。如果没有违反国家有关规定,即合法的提供公民个人信息,则不具有非法性,不在刑法调整之列。比如,提供前征得了个人信息被收集者的同意,或者提供了个人的已进行匿名化处理、无法再识别特定个人且不能复原的信息。
(三)关于窃取或非法获取公民个人信息
在实践中,主要表现为以购买、收受、交换和侵入计算机信息系统或者采取其他技术手段的方式获取,其中:购买是最常见的非法获取手段,如电信诈骗中,诈骗分子为实施犯罪而购买公民个人信息,房产中介、物业管理公司、保险公司、担保公司的业务员与同行通过QQ、