侵犯公民个人信息罪在实务中是怎么认定的?
作者:赖琛琛(“办案人”公号)
侵犯公民个人信息罪,09年通过刑法修正案七加入了我国刑法,15年刑修九又进行了大改。修改后的这个罪名最高刑期达到了7年,同时犯罪主体也改成了一般主体:也就是说普通人,都可能涉嫌这个罪名。
倒卖客户个人信息的房屋中介、从网上购买潜在客户联系方式的各行业销售人员,甚至于掌握客户财产信息的银行工作人员、可以查询到公民个人信息的公安机关民警等等,都可能成为这个罪名的犯罪主体。
从办案实务来看,这一类案件的数量近年来呈快速上升趋势。以下谈几点办案实务中的认识:
一、实务中如何认定“公民个人信息”
两高于17年5月的司法解释中,对公民个人信息的定义进行了明确。简单来说,公民个人信息就是可以用来识别特定自然人身份或者活动情况的各种信息。司法解释列举了姓名、身份证号码、联系方式、住址、账号密码、财产情况、行踪轨迹等。
从两高发布的一些典型案例以及实务中的案件来看,涉及到的公民个人信息主要有:母婴、快递行业的客户个人信息、网络的订单信息、公安机关内网的公民个人信息、银行客户的个人信息、酒店行业的住宿信息。
应当说,公民个人信息的保护范围还是比较大的,但是必须满足可识别性、隐私性这两个条件。可识别性是指,该信息可以用来识别特定的某个人。隐私性是指,该信息是信息主体不愿意公开,不愿意提供给他人的。
侵犯公民个人信息罪保护的法益是公民个人信息的自由和安全,在案件审查中除了审查信息是否符合识别性和隐私性的特征以外,还要注意,对于信息主体约定信息可以公开和法律规定可以公开的情形应当排除在犯罪之外。
二、常见的行为方式
刑法法条中的侵犯公民个人信息的行为方式包括非法获取、违反国家有关规定出售、提供等等。此处的“国家有关规定”,司法解释明确仅限于法律、行政法规、部门规章等国家层面的规定,因此地方性法规应当排除在外。
最高人民法院、最高人民检察院于2017年一共发布了13个典型案例,其中涉及到的行为方式主要有:
1、以“调查公司”的名义向他人出售公民个人信息,包括个人户籍、车辆档案、手机定位、个人征信、旅馆住宿等各类公民个人信息。
2、利用银行工作人员的权限在银行专用网络内,非法查询公民个人银行征信信息用于出售。
3、购买学生信息用于出售
4、买卖大量含有公民姓名、收货地址、手机号码等内容的网购订单信息
5、通过黑客软件侵入邮局内网,在邮局内网窃取邮局内部的公民个人信息用于出售
6、加入涉及个人信息交换买卖的QQ群,通过购买、交换等方式获取大量公民个人信息,再在群里发布广告招揽买家
7、一家为全国4500多家酒店提供网络服务的公司因系统存在安全漏洞,致使全国高达2000万条宾馆住宿记录泄露。犯罪嫌疑人非法下载上述住宿信息后用于出售。
8、民警利用其在派出所工作的职务之便,使用已调离的前所长的数字证书查询公安系统内公民个人信息用于出售。
三、如何确定信息的条数
17年的司法解释中确定了对于不同的个人信息种类,采用不同的条数限制。其中行踪轨迹信息、通信内容、征信信息、财产信息50条以上构罪,住宿信息、通信记录、健康生理信息、交易信息等可能影响人身财产安全的信息需要500条,其他种类的信息5000条以上。那么实务中一般是如何认定信息的条数的呢?
从实践来看,涉案的公民个人信息一般数量较大,犯罪嫌疑人一般通过电子数据形式打包进行发送,不排除少数情况下存在信息重复,比如针对同一信息对象并存“姓名+住址”“姓名+电话号码”“姓名+身份证号”等数条信息,但要求做到完全去重较为困难。另外,对于信息的真实性也难以一一核实。假如要求公安机关的侦查人员一个个打电话联系权利人核实公民个人信息的做法,明显不合适。基于此,司法解释规定:对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
在实务中,查获的信息数据一般以电子证据形式居多,公安机关一般会交鉴定机构予以鉴定。但在案件审查中,还是应当对鉴定意见的鉴定过程进行严格审查。比如很多鉴定机构会采用关键词检索的方式去确定信息的条数,但事实上根据个案情况的不同,采用这种方式得到的数字并不能作为最后认定的信息条数。尤其是审查逮捕阶段的办案人员,应当对涉案信息进行大致的清点,确定信息条数在立案标准以上,才予以认定。