律师论著
疫情期间|侵犯公民个人信息罪相关问题探究
来源:云辩护 作者:黄云 李佳恩 日期:2020-02-12 浏览:
前言:当前,面对突如其来的新型冠状病毒肺炎疫情,全国人民同心协力共克时艰。与此同时,为开展有效的疫情防治工作,国家卫健委要求办公楼等场所应当加强对来访人员健康监测和登记等工作,各地方政府以及企事业单位也均对相关人员进行信息的收集、登记,逐一进行排查。如,上海市闵行区江川路街道研发疫情监管防控应用系统,在线采集重点人员信息,并实时管理动态信息;成都市某企业制作信息登记表,对于员工的个人信息、居住地、返程日期、联系方式、接触人员、交通工具、从何处返程等方面信息进行调查收集,并由相关负责人进行数据统计并总体管控。这些举措确实精确、有效地实现了疫情排摸全覆盖,为疫情防治工作提供有效的数据支撑。然而,公民的个人信息安全问题隐患也随之产生。
据《人民日报》报道,1月28日,湖南益阳市多个小区业主微信群出现“关于益阳市第四人民医院报告一例新型冠状病毒感染肺炎病例的调查报告”电子版内容及截图,内容涉及市民章某某及其亲属等11人的个人隐私信息。
无独有偶,江西资溪县也出现类似案例。据资溪县纪委监委通报,1月29日上午,鹤城镇分管卫生工作的副镇长曹某,将与新型冠状病毒感染的肺炎确诊病例陈某密切接触的29人个人信息,梳理制作成电子表后,发给了疫情防控相关责任人员和鹤城镇泸声村民兵连长周某。1月30日下午,周某擅自将该表转发至某个人微信群及他人。不久后,该信息被迅速传播。
因此,本文在认可各级人民政府以及企事业单位有权收集、合理使用相关人员疫情信息的前提下,对于在疫情期间个人泄露公民个人信息的违法情况,从刑法规制的角度探析公民个人信息安全保障的相关问题。
侵犯公民个人信息罪——《中华人民共和国刑法》第二百五十三条之一:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。”
2009年,全国人大常委会通过《刑法修正案(七)》(以下称“刑修(七)”),刑修(七)在《刑法》第二百五十三条之一增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪,首次将公民个人信息纳人刑法保护,进入大众的视野。2015年,全国人大常委会通过《刑法修正案(九)》(以下称“刑修(九)”),刑修(九)又将“出售、非法提供公民个人信息罪”“非法获取公民个人信息罪”调整为“侵犯公民个人信息罪”,对该条文进行系统化完善,将犯罪主体扩大为一般主体,并对特殊主体予以从重处罚,旨在增强打击侵犯公民个人信息犯罪的力度。这些修改及时适应了网络信息化时代犯罪的发展变化趋势,为保护公民的个人权益提供了法律依据。
侵犯公民个人信息罪属于情节犯,在疫情期间,若行为人存在泄露公民个人 信息的违法行为,根据《中华人民共和国治安管理处罚法》的有关规定,应当给予行政处罚。倘若行为人的行为达到入罪的情节标准,涉嫌侵犯公民个人信息罪,则应当追究其刑事责任,若行为人系在履行职责过程中将获得的公民个人信息提供给他人,应当从重处罚。
一、公民“个人信息”的认定标准
最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条:“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
该解释对于公民“个人信息”进行了列举性的规定,然而司法实践中,对于公民“个人信息”的认定则更为复杂、范围更大,许多边缘化的个人信息现行的法律规定还未将其囊括在内,尚处于空白地带,未纳入保护体系之列,对条文的适用造成了困扰,也加大公民个人隐私受到侵犯的现实危险。
我国学者认为,有关个人的信息在一段时间内累积到一定程度,就可以构建出与实际人格为基础的“信息人格”或“数据人格”。即个人信息系个人实际人格的一种投射。
参考台湾地区,《计算机处理个人数据保护法实施细则》中明确规定:“计算机处理个人数据保护法第18条第3款所称已公开之资料,指不特定之第三人得合法取得或知悉之个人资料。”从该规定对“已公开资料”的释义中,反方向窥见台湾地区立法对“个人隐私或者个人未公开信息”的界定。从该规定能够看出,倘若不特定第三人未通过合法手段取得该个人资料,即便该资料已经公开,也应当受到法律保护。
欧洲议会和欧盟理事会“关于个人信息的持有与流动的保护指令”95/46/EC36第2条规定,“‘个人信息’是指任何能够通过身份证号,或者其他与个人物理、生理、精神状态、经济、文化或者社会身份相关的特别因素,直接或间接地识别或者可能识别个人的信息。”“‘对个人信息的处理’是指任何对于个人信息的操作或者一系列操作,无论是否基于收集、记录、组织、存储、转换或变换、咨询、使用、通过传输而披露、向他人传播或为他人提供、阻止、删除或破坏信息的行为。”该欧盟立法定义中,对个人信息区分为“直接识别”与“可能识别”两种认定标准,将具有识别可能性的信息数据同样纳入到公民个人信息的范畴,客观上扩大了公民个人信息的认定范围。
对于疫情期间行为人所非法收受、提供的信息是否属于公民“个人信息”,结合上述学者观点以及其他国家立法,笔者认为,对于公民“个人信息”的认定标准,应当是能单独或是结合多种信息后识别特定自然人身份或反映特定自然人活动情况的信息。因此,“个人信息”应当具备识别化、特定化的特征,从个人信息与主体的联系程度,是否能够实现碎片化数据到核心数据的转化,以判断其是否需要法律保护。而从目前疫情采集个人信息的内容范围看,一般均围绕个人居住地、接触人员、交通工具、从何处返程、家庭背景等方面信息进行调查收集,这些信息与主体联系紧密,一般情况下,符合公民“个人信息”的认定标准。
当然,在认定公民“个人信息”时,还应依据刑法的谦抑性,严格限制刑事领域的司法规范,契合于整个社会的总体价值观,若将公民个人信息的认定范围无所不包的纳入刑法的调整范围,会造成刑罚权的扩张和滥用。
二、侵犯公民个人信息的“数量标准”
最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条规定,“非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的‘情节严重’:(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;(七)违法所得五千元以上的;(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;(十)其他情节严重的情形。
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的‘情节特别严重’:(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;(二)造成重大经济损失或者恶劣社会影响的;(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;(四)其他情节特别严重的情形。”
对于疫情期间侵犯公民信息罪的司法适用和定罪量刑标准,该条文作出了全面性的规定,即根据个人信息性质的不同,分别以“五十条以上”“五百条以上”“五千条以上”和“按相应比例合计达到有关数量标准的”为“情节严重”;将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人”达到前述标准一半以上的为“情节严重”;数量达到前两项标准十倍以上的为“情节特别严重”。
然而,该定罪量刑标准将侵犯个人信息的数量标准与违法所得的数额标准同时融合在内,且该两种定量标准之间并无具体的换算规则,因此,若行为人既未达到适用于五千条以上的数量标准,亦未达到非法获利五千元以上的违法所得数额标准,在具体犯罪定量标准的认定时应当如何将二者进行衔接?
立足于立法的本意与司法解释的精神,并且基于“一事不再罚”的刑法原则,一般情况下,若行为人既未达到适用于五千条以上的数量标准,亦未达到非法获利五千元以上的违法所得数额标准,无论是从数量标准的角度还是数额标准的角度,均已完成刑法对其行为的评价,因此,不构成侵犯公民个人信息罪。
此外,解释规定中个人信息的数量标准皆是以“条”为单位计算,司法实践中,基于刑法谦抑性,对于同一公民的个人身份信息、手机号码、银行卡信息、通讯记录等,一般以“一条”为计。
三、为“合法经营活动”而侵犯公民个人信息的认定标准
最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第六条规定:“为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的‘情节严重’:(一)利用非法购买、收受的公民个人信息获利五万元以上的;(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;(三)其他情节严重的情形。
实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。”
该条款与解释第五条的条款属于特殊条款与一般条款的关系,该条款规定了为“合法经营活动”而收受、购买公民个人信息的法律适用问题,这也是是司法实践中的一个难题。
“合法经营活动”作为一种目的性表述,是判断行为人是否具有主观故意,从而进行定罪量刑的基本要素。何谓“合法经营活动”,目前法律规范并没有给出一个明确的概念,但结合刑法中对于“非法经营罪”的规定,所谓的“合法经营”是指“未违反国家规定”且“不会严重扰乱社会秩序”的经营模式。因此,判断是否为“合法经营活动”的标准在于审查行为人的经营业务范围是否存在违法活动。
在疫情期间,对于行为人非法获取公民个人信息后是否属于“合法经营活动”的界定,如行为人非法获取公民个人信息后仅用于自己持有,未用于其它违法犯罪活动或出售牟利,则可根据解释第六条的规定定罪量刑;但若行为人利用非法获取到的公民个人信息进行出售谋利,甚至用于犯罪,使得这些个人信息的知情范围进一步扩大,则不应当认定为“合法经营活动”。
据《人民日报》报道,1月28日,湖南益阳市多个小区业主微信群出现“关于益阳市第四人民医院报告一例新型冠状病毒感染肺炎病例的调查报告”电子版内容及截图,内容涉及市民章某某及其亲属等11人的个人隐私信息。
无独有偶,江西资溪县也出现类似案例。据资溪县纪委监委通报,1月29日上午,鹤城镇分管卫生工作的副镇长曹某,将与新型冠状病毒感染的肺炎确诊病例陈某密切接触的29人个人信息,梳理制作成电子表后,发给了疫情防控相关责任人员和鹤城镇泸声村民兵连长周某。1月30日下午,周某擅自将该表转发至某个人微信群及他人。不久后,该信息被迅速传播。
因此,本文在认可各级人民政府以及企事业单位有权收集、合理使用相关人员疫情信息的前提下,对于在疫情期间个人泄露公民个人信息的违法情况,从刑法规制的角度探析公民个人信息安全保障的相关问题。
侵犯公民个人信息罪——《中华人民共和国刑法》第二百五十三条之一:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。”
2009年,全国人大常委会通过《刑法修正案(七)》(以下称“刑修(七)”),刑修(七)在《刑法》第二百五十三条之一增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪,首次将公民个人信息纳人刑法保护,进入大众的视野。2015年,全国人大常委会通过《刑法修正案(九)》(以下称“刑修(九)”),刑修(九)又将“出售、非法提供公民个人信息罪”“非法获取公民个人信息罪”调整为“侵犯公民个人信息罪”,对该条文进行系统化完善,将犯罪主体扩大为一般主体,并对特殊主体予以从重处罚,旨在增强打击侵犯公民个人信息犯罪的力度。这些修改及时适应了网络信息化时代犯罪的发展变化趋势,为保护公民的个人权益提供了法律依据。
侵犯公民个人信息罪属于情节犯,在疫情期间,若行为人存在泄露公民个人 信息的违法行为,根据《中华人民共和国治安管理处罚法》的有关规定,应当给予行政处罚。倘若行为人的行为达到入罪的情节标准,涉嫌侵犯公民个人信息罪,则应当追究其刑事责任,若行为人系在履行职责过程中将获得的公民个人信息提供给他人,应当从重处罚。
一、公民“个人信息”的认定标准
最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条:“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
该解释对于公民“个人信息”进行了列举性的规定,然而司法实践中,对于公民“个人信息”的认定则更为复杂、范围更大,许多边缘化的个人信息现行的法律规定还未将其囊括在内,尚处于空白地带,未纳入保护体系之列,对条文的适用造成了困扰,也加大公民个人隐私受到侵犯的现实危险。
我国学者认为,有关个人的信息在一段时间内累积到一定程度,就可以构建出与实际人格为基础的“信息人格”或“数据人格”。即个人信息系个人实际人格的一种投射。
参考台湾地区,《计算机处理个人数据保护法实施细则》中明确规定:“计算机处理个人数据保护法第18条第3款所称已公开之资料,指不特定之第三人得合法取得或知悉之个人资料。”从该规定对“已公开资料”的释义中,反方向窥见台湾地区立法对“个人隐私或者个人未公开信息”的界定。从该规定能够看出,倘若不特定第三人未通过合法手段取得该个人资料,即便该资料已经公开,也应当受到法律保护。
欧洲议会和欧盟理事会“关于个人信息的持有与流动的保护指令”95/46/EC36第2条规定,“‘个人信息’是指任何能够通过身份证号,或者其他与个人物理、生理、精神状态、经济、文化或者社会身份相关的特别因素,直接或间接地识别或者可能识别个人的信息。”“‘对个人信息的处理’是指任何对于个人信息的操作或者一系列操作,无论是否基于收集、记录、组织、存储、转换或变换、咨询、使用、通过传输而披露、向他人传播或为他人提供、阻止、删除或破坏信息的行为。”该欧盟立法定义中,对个人信息区分为“直接识别”与“可能识别”两种认定标准,将具有识别可能性的信息数据同样纳入到公民个人信息的范畴,客观上扩大了公民个人信息的认定范围。
对于疫情期间行为人所非法收受、提供的信息是否属于公民“个人信息”,结合上述学者观点以及其他国家立法,笔者认为,对于公民“个人信息”的认定标准,应当是能单独或是结合多种信息后识别特定自然人身份或反映特定自然人活动情况的信息。因此,“个人信息”应当具备识别化、特定化的特征,从个人信息与主体的联系程度,是否能够实现碎片化数据到核心数据的转化,以判断其是否需要法律保护。而从目前疫情采集个人信息的内容范围看,一般均围绕个人居住地、接触人员、交通工具、从何处返程、家庭背景等方面信息进行调查收集,这些信息与主体联系紧密,一般情况下,符合公民“个人信息”的认定标准。
当然,在认定公民“个人信息”时,还应依据刑法的谦抑性,严格限制刑事领域的司法规范,契合于整个社会的总体价值观,若将公民个人信息的认定范围无所不包的纳入刑法的调整范围,会造成刑罚权的扩张和滥用。
二、侵犯公民个人信息的“数量标准”
最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条规定,“非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的‘情节严重’:(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;(七)违法所得五千元以上的;(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;(十)其他情节严重的情形。
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的‘情节特别严重’:(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;(二)造成重大经济损失或者恶劣社会影响的;(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;(四)其他情节特别严重的情形。”
对于疫情期间侵犯公民信息罪的司法适用和定罪量刑标准,该条文作出了全面性的规定,即根据个人信息性质的不同,分别以“五十条以上”“五百条以上”“五千条以上”和“按相应比例合计达到有关数量标准的”为“情节严重”;将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人”达到前述标准一半以上的为“情节严重”;数量达到前两项标准十倍以上的为“情节特别严重”。
然而,该定罪量刑标准将侵犯个人信息的数量标准与违法所得的数额标准同时融合在内,且该两种定量标准之间并无具体的换算规则,因此,若行为人既未达到适用于五千条以上的数量标准,亦未达到非法获利五千元以上的违法所得数额标准,在具体犯罪定量标准的认定时应当如何将二者进行衔接?
立足于立法的本意与司法解释的精神,并且基于“一事不再罚”的刑法原则,一般情况下,若行为人既未达到适用于五千条以上的数量标准,亦未达到非法获利五千元以上的违法所得数额标准,无论是从数量标准的角度还是数额标准的角度,均已完成刑法对其行为的评价,因此,不构成侵犯公民个人信息罪。
此外,解释规定中个人信息的数量标准皆是以“条”为单位计算,司法实践中,基于刑法谦抑性,对于同一公民的个人身份信息、手机号码、银行卡信息、通讯记录等,一般以“一条”为计。
三、为“合法经营活动”而侵犯公民个人信息的认定标准
最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第六条规定:“为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的‘情节严重’:(一)利用非法购买、收受的公民个人信息获利五万元以上的;(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;(三)其他情节严重的情形。
实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。”
该条款与解释第五条的条款属于特殊条款与一般条款的关系,该条款规定了为“合法经营活动”而收受、购买公民个人信息的法律适用问题,这也是是司法实践中的一个难题。
“合法经营活动”作为一种目的性表述,是判断行为人是否具有主观故意,从而进行定罪量刑的基本要素。何谓“合法经营活动”,目前法律规范并没有给出一个明确的概念,但结合刑法中对于“非法经营罪”的规定,所谓的“合法经营”是指“未违反国家规定”且“不会严重扰乱社会秩序”的经营模式。因此,判断是否为“合法经营活动”的标准在于审查行为人的经营业务范围是否存在违法活动。
在疫情期间,对于行为人非法获取公民个人信息后是否属于“合法经营活动”的界定,如行为人非法获取公民个人信息后仅用于自己持有,未用于其它违法犯罪活动或出售牟利,则可根据解释第六条的规定定罪量刑;但若行为人利用非法获取到的公民个人信息进行出售谋利,甚至用于犯罪,使得这些个人信息的知情范围进一步扩大,则不应当认定为“合法经营活动”。
结语
2月6日,广东省高级人民法院、广东省高级人民检察院发布《关于依法严厉打击新型冠状病毒感染的肺炎疫情防控期间刑事犯罪的通告》,通告中对于新型冠状病毒肺炎疫情期间的刑事责任适用问题进行了更明确、更具体的规范和解释,加大了对危害疫情防控行为的执法司法力度,强化了公共安全保障。与此同时,在这样的特殊时期,每一家企业、每一个社会团体组织、每一位民众都应当严格遵守法律的底线,积极配合,保障疫情防控工作的顺利开展,确保法律得到有效地实施。政府、企业和单位在收集群众信息时,也需要构建信息保护的安全技术措施,避免信息泄露传播。我们相信,若国家、企业以及个人都能够坚守住自己的职责与义务,举国上下万众一心,同舟共济,终将战胜病魔,击退疫情,迎来胜利的曙光。相关文章
- 2020/02/12圳在说法 | 隐瞒疫情发生地行程涉刑责,
- 2019/07/30“经辩南粤行·巡回讲坛”第六场在清远'>“经辩南粤行·巡回讲坛”第六场在清远
- 2019/07/28“经辩南粤行·巡回讲坛”第五场在韶关'>“经辩南粤行·巡回讲坛”第五场在韶关
- 2019/07/21黄云律师被聘为广东省法律援助局法律援
- 2019/07/15深圳市律师协会刑事诉讼法律专业委员会