侵犯公民个人信息罪中“个人信息”的分类与认定

77

“情节严重”作为侵犯公民个人信息罪中的定罪情节,是判断罪与非罪的前提,而“情节严重”之判断,主要依赖不同类型下“个人信息”的涉案数量是否达到相应标准。因此,本文围绕本罪中“个人信息”的不同类型进行阐述,以针对不同类型给出相应解释与认定方式,并提供一个逻辑清晰的入罪判断标准。

“个人信息”如何解释?

关于个人信息的解释,目前学界的主流观点采“识别说”,其主张不是所有的信息都可以通过刑法进行规制,而是重点强调信息自身的“可识别性”特征。它根据定义将公民的个人信息分为两种:直接信息和间接信息,直接信息是指通过某一信息指向某个特定公民,从而确定该公民身份的唯一性信息,比如指纹、身份证号码等,而间接信息是指必须通过多个不同个人信息相互结合的方式识别特定公民,范围界限比较模糊,比如姓名、年龄、兴趣爱好、工作经历等。

“个人信息”的分类

《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条第1款明确规定,个人信息存在3种分类:
第一类信息是行踪轨迹信息、通信信息、征信信息、财产信息,此类信息与公民人身、财产安全直接相关,根据最高法关于侵犯公民个人信息刑事案件解释的理解与适用一文,一类信息仅限于上述四类信息,不允许扩大范围。
第二类信息是住宿信息、通信记录、健康生理信息、交易信息等其他影响人身、财产安全的个人信息,此类信息也与人身、财产安全直接相关,但重要程度要弱于行踪轨迹信息、通信内容、征信信息、财产信息。对“其他可能影响人身、财产安全的公民个人信息”的把握,应当确保所适用的公民个人信息涉及人身、财产安全,且与“住宿信息、通信记录、健康生理信息、交易信息”在重要程度上具有相当性。
第三类信息是除前两类之外的其他个人信息。

不同类型个人信息下的立案标准

根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条规定,本文对立案标准整合后给出如下判断方式,便于读者迅速掌握:
侵犯公民个人信息罪立案标准.jpg

不同“个人信息”的类型辨析

一、生物识别信息的认定
(一)“个人信息”是否包含生物识别信息
答案是包含。参照最高人民检察院发布5件依法惩治侵犯公民个人信息犯罪典型案例之二:李某侵犯公民个人信息案,该案典型意义中如此表述:“人脸信息是具有不可更改性和唯一性的生物识别信息。人脸识别技术给生活带来便利的同时,也容易被犯罪分子窃取利用或者制作合成,破解人脸识别验证程序,侵害隐私、名誉和财产。生活中,要谨慎下载使用“颜值检测”等“趣味”软件,防范个人信息泄露,造成合法权益受损。”由此可见,侵犯生物识别信息的行为已受到刑事司法实务的规制。侵公罪的“个人信息”应当包含生物识别信息。
(二)生物识别信息如何归类?
本文认为应当归类到第二类个人信息中“其他可能影响人身、财产安全的公民个人信息”,且需注意与健康生理信息的区分。生物识别信息与健康生理信息的定义截然不同,后者是用以反映个人身体机能以及器官功能的相关信息,包括医生开出的诊治记录和本人身体健康状况,而生物识别信息反映的是人出身即拥有的生理和行为特征,包括指纹、人脸、虹膜、笔迹等。
与身体健康信息不同,生物识别信息可在支付应用中可被当作密码,与公民人身、财产安全密切关联,本文认为,为均衡刑法的谦抑性与刑法适用的与时俱进,对于生物识别信息,按照第二类信息认定较为恰当,同时,由于刑事司法实务中对于生物识别信息归类并无先前判例佐证,此处仅为作者分析探讨观点。
二、账号密码的认定
账号密码是个人信息交叉重合的重点领域。在电子支付成为主流的当下,支付宝、微信等账号密码不仅能包含一系列交易记录,且可以完全反映出特定自然人的行踪轨迹,且账户中还有钱包功能,与财产信息直接关联。
具体而言,如何判断账号密码这类信息,需要多方面的考量,并不能简单归入哪一类特殊信息。具体来说,需要结合其关联账户属性、账户密码用途等具体情况进行归类,对于与公民人身、财产安全直接相关的,可认定为一类信息;对于其他社交平台的账号密码,若可用于登录后直接查询住宿信息、通信记录、健康生理信息、交易信息的,可认定为二类信息。对于其他账号密码,可按照第三类个人信息认定。
目前,对于《解释》的适用仍然存在问题,例如通信内容与通信记录的区分,QQ账号内包含大量通信内容,但实务中对QQ账号密码按照“通信记录信息”,即二类信息予以认定,如(2020)闽08刑终1号判决书中,将QQ账号密码认定为二类个人信息。
三、“个人信息“是否涵盖已公开的个人信息
尽管学术上对该问题进行详尽分析,并指出一般情况下对已公开的个人信息进行处理的,不构成犯罪。但在最高人民法院审判委员会讨论通过 2022年12月26日发布的指导性案例194号——熊昌恒等侵犯公民个人信息案中,生效裁判认为,被告人违法处理已公开的个人信息并从中获利,违背了该信息公开的目的或者明显改变其用途,该信息被进一步利用后危及个人的人身或财产安全,情节特别严重,其行为构成侵犯公民个人信息罪,考虑到该案例的存在,保守起见,本文认为“个人信息”涵盖已公开的个人信息,但在具体适用上,应主要适用于获取后进一步非法处理该信息、用于非法用途的行为。
四、“死人”的信息是否属于“个人信息”
本文认为,在法律框架中,公民通常被定义为具有完整法律权利和义务的自然人。根据这一定义,只有活着的自然人才能被视为公民,因为只有他们能够继续进行生命活动。死者,由于不再具备生命功能,自然也就无法享有生命权或被认为是公民。然而,这并不意味着死者的个人信息便得不到法律保护。《民法典》第994条明确了死者姓名、名誉和隐私的保护权,而《个人信息保护法》第49条在此基础上,特别规定了对死者个人信息的处理方式。这表明,若死者的个人信息遭受侵害,其近亲属有权向法院提起民事诉讼以求赔偿。
此外,法律作为一种广泛适用的规范,旨在应对普遍现象或具有普遍可能性的问题。如果某种行为虽然对社会秩序构成威胁但极为罕见,通常不会被界定为刑事犯罪。侵犯个人信息的犯罪行为往往是出于盈利的动机,如通过获取个人信息来进行产品推销、诈骗或绑架等犯罪活动。死者的个人信息对这类目的无法起到促进作用,因此侵犯死者个人信息的行为极为罕见,不宜由刑法处理。

引用法律文件


《刑法》第二百五十三条之一 违反国家有关规定,向他人出售或者提供公民个人信息情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。

《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(一类信息)
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(二类信息)
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;(三类信息)
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(二)造成重大经济损失或者恶劣社会影响的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。

参考文献


[1]窦豆. 侵犯公民个人信息罪“情节严重”认定标准研究[D].华东政法大学,2023.DOI:10.27150/d.cnki.ghdzc.2023.000540.
[2]方思琪.侵犯公民个人信息罪的司法适用[D].华东政法大学,2023.DOI:10.27150/d.cnki.ghdzc.2023.000792.

参考判例


1闽08刑终1号 黄亮亮、谢金明、饶健龙等侵犯公民个人信息罪二审刑事判决书
[2] 指导性案例192号:李开祥侵犯公民个人信息刑事附带民事公益诉讼案
[3] 指导性案例194号:熊昌恒等侵犯公民个人信息案