一、公民个人信息的范围
根据《办理侵犯公民个人信息案件解释》第1条的规定,刑法意义上的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。关于“公民个人信息”的外延,有以下几个具体问题值得进一步探讨。
(一)公民个人公开信息的处理
概览域外数据信息法律保护模式,美国主要采取隐私权保护模式,以隐私权为基础,通过大量判例逐步构建起了一套保护制度;欧盟关于数据信息的保护,则是从法律上将数据信息视为人格权的延伸。但是,“国际社会对个人信息的保护目的远超隐私利益,是在全面的个人基本权利意义上设计个人数据保护规则的”。对于“个人隐私”的范围本身存在不同认识,但通常认为,个人信息与个人隐私之间虽有交叉但亦有区别。《办理侵犯公民个人信息案件解释》第1条没有采用“涉及个人隐私信息”的表述,而是表述为“反映特定自然人活动情况的各种信息”。因此,公民个人信息不要求具有个人隐私的特征,即便相关信息已经公开,不属于个人隐私的范畴,但仍有可能成为“公民个人信息”。然而,相关公民个人信息既然已经公开,获取行为无疑是合法的,但后续出售、提供的行为是否合法,是否构成侵犯公民个人信息罪,则在司法实践中存在争议。例如,行为人从商贸网站和政府部门公开的企业信息网上搜集企业公开发布的信息,包括公司的名称、产品、经营行业、注册信息和公司法定代表人、联系人的姓名、职务、联系方式等。行为人将上述信息存入数据库,供他人付费查询使用。该类案例的主要争议就在于公民个人公开信息是否属于《刑法》第253条之一规定的“公民个人信息”的范畴,非法获取、出售、提供此类公民个人信息的,是否构成侵犯公民个人信息罪?我们主张不应一概而论,宜分情况作出处理。第一,对于自行公开的或者其他已经合法公开的个人信息,行为人获取相关信息后出售、提供的行为,一般不宜以侵犯公民个人信息罪论处。对于公开的个人信息,由于信息已经处于公开状况,获取无须征得同意,对此应无疑义。但是,在获取相关公开信息后进而提供的行为,是否需要取得“二次授权”(在获取相关信息后,提供相关信息需要告知同意),则存在较大争议。可以说,《民法典》为这一争议问题作了明晰,即否定“二次授权”的规则。《民法典》第1036条规定:“处理个人信息,有下列情形之一的,行为人不承担民事责任:……(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外……”《个人信息保护法》第13条、第27条亦有类似规定。据此,对公开的个人信息的合理处理可以推定自然人概括同意,即除了“该自然人明确拒绝或者处理该信息侵害其重大利益的”情形外,不需要通知和征得该自然人或者其监护人同意。在处理相关刑事案件时,对于未通知并征得自然人同意而获取、提供公开的个人信息的案件,只要行为人的获取、提供行为处于“合理”限度之内,除证明该自然人明确拒绝或者相关获取、提供行为侵害了该自然人的重大利益的外,应当认为相关获取、提供的行为属于合法行为,不属于“违反国家有关规定”获取、提供公民个人信息的行为,更不应当认定为构成侵犯公民个人信息罪。此外,对于《民法典》第1036条第2项规定的“合理处理”的认定,应当采用相对宽泛的理解。原则上,只要法律、法规没有明确禁止的处理行为,均可以认定为“合理处理”,至少不能认定为犯罪。例如,2015年8月13日至9月12日,被告人王某先后6次将包含个人姓名、电话等内容的涉案信息出售和提供给杨某,共计66832条,获利人民币100.2元。2015年11月9日、12月28日,王某先后2次将包含个人姓名、电话等内容的涉案信息出售和提供给杨某,共计5410条,获利人民币30元。上述信息资料共计72242条,共计获利人民币130.2元。2016年3月至4月,王某与方某(另案处理)多次交换各自掌握的大量信息资料,其中王某发给方某的信息共计154440条,方某发给王某的信息共计84822条。以上信息合计31万余条。根据信息的外在表现形式,涉案的31万余条信息资料可分为以下两类:第一类是标注为“通讯录”“参会表”“报名表”“酒店客户总表”“优质客户资源”“邀约客户名称”“客户信息”“物业信息”“车主”“分析表”等字样的信息,总计9.2万余条。第二类是包含法定代表人(联系人)姓名、手机号码的“企业信息”,经统计,王某出售、提供给杨某的此类“企业信息”,共计69511条;王某提供给方某的此类“企业信息”,共计144765条;王某从方某处获取的此类“企业信息”,共计4996条;以上三项合计21.9万余条。王某当庭供称相关信息均来源于公开商业网站。为核实王某的说法,经随机抽取6条,王某当场向审判人员、公诉人演示了登录阿里巴巴、百度、天眼查、自助贸易网、中国供应商网、材料网等网站查询企业信息、商贸信息,除1家公司网页显示“注销状态”,其余网页均能显示法定代表人或联系人的手机号码。由此,可以判断第二类信息应当来源于公开的商业网站,属于公开信息的范畴。法院认为,在相关信息已经合法对外公开的情况下,要求行为人的收集、整理、交换等行为仍需得到“被收集者同意”过于苛刻也不合理。在认定侵犯公民个人信息罪所涉及的信息数量时,涉案的第二类信息不应被计入在内。据此,扣除该类信息数量,应认定涉及犯罪的公民个人信息为9.2万余条(按前述分类的第一类信息计算)。①应该说,王某在相关网站下载该类信息的行为,属于获取公开信息,进而提供的行为,尚属于“合理处理”的范畴,并未侵犯权利人重大利益,且相关权利人并未明确拒绝,故不需要权利人“二次授权”。可见,该案虽然系2019年作出判决,但所把握的精神与《民法典》《个人信息保护法》对公开信息的相关规定是一致的。第二,对于非法公开的个人信息,行为人获取相关信息后出售、提供的行为,可以根据情况以侵犯公民个人信息罪论处。实践中,有些公开信息并非权利人自愿公开,如个人信息被他人通过信息网络或者其他途径发布;有些信息的扩散并非权利人的意愿,如权利人发现个人信息被收集后主动要求行为人删除。上述情形中,获取相关信息的行为可以认定为合法,但后续的出售或者提供行为明显违背了权利人的意愿,对其生活安宁造成侵犯,对其中情节严重的行为完全可以适用侵犯公民个人信息罪予以惩治。
(二)公民个人部分关联信息的认定
公民个人信息须与特定自然人关联,这是公民个人信息所具有的关键属性。因此,经过处理无法识别特定个人且不能复原的信息,虽然也可能反映自然人活动情况,但与特定自然人无直接关联,不能成为公民个人信息的范畴。对于与特定自然人的关联,可以是识别特定自然人身份,也可以是反映特定自然人活动情况。需要注意的是,无论是识别特定自然人身份,还是反映特定自然人活动情况,都应当是能够单独或者与其他信息结合所具有的功能。例如,身份证号与公民个人身份一一对应,可以单独识别公民个人身份;而工作单位、家庭住址等无法单独识别公民个人身份,需要同其他信息结合才能识别公民个人身份。但是,上述两类信息无疑都属于公民个人信息的范畴。
对于不能单独识别特定自然人身份或者反映特定自然人活动情况的部分关联信息中的哪些信息可以纳入公民个人信息的范畴,即公民个人信息所要求的可识别程度,实践中又存在不同认识。例如,行为人系医药代表,出于对医生给予回扣的目的,从医院计算机运维部门非法获取了有关病人使用其负责销售的药品情况。相关信息只涉及相关病人的病床号(相应病床由特定医生负责)和使用特定药品情况,无病人姓名、身份证号等其他个人信息。该案例的主要争议问题在于如何认定公民个人信息的可识别性。我们主张,在司法适用中具体判断部分关联信息是否可以认定为公民个人信息时,可以从信息本身的重要程度、需要结合其他信息的程度、行为人主观目的等三个方面加以判断。具体而言:(1)信息本身的重要程度。如果涉案的信息与人身安全、财产安全密切相关,敏感程度较高,则对于此类信息在认定是否属于“公民个人信息”时,可以采取相对从宽的标准。(2)需要结合其他信息的程度。如果涉案信息本身与特定自然人的身份、活动情况关联程度高,需要结合的其他信息相对较少,则认定为公民个人信息的可能性较大;反之,如果需要结合的其他信息过多,则认定为公民个人信息的可能性较小。(3)行为人主观目的。如果行为人主观上获取涉案信息就不需要识别特定自然人身份或者反映特定自然人活动情况,则此类部分关联信息原则上不宜认定为公民个人信息。按照以上原则,上述案件所涉信息不宜纳入公民个人信息的范畴。主要考虑如下:该案涉及的病床号、用药情况等信息本身与权利人的人身安全、财产安全关联不大,敏感性程度较低,将其认定为公民个人信息宜从严把握;该案涉及的病床号、用药情况等信息无法直接识别特定自然人,需要结合姓名等其他重要个人信息或者较多其他个人信息才能识别特定自然人;从行为人的主观目的来看,其就是想获取特定病床号的用药情况,至于该病床所关联的具体自然人并非其主观所追求的。
(三)公民个人账号密码的属性
对于账号密码能否纳入公民个人信息的范围,存在不同认识。经研究认为,实际上,当前账号密码往往绑定身份证号、手机号码等特定信息,即使未绑定特定信息,非法获取账号密码后也可以实施进一步的侵犯财产甚至人身权益的行为。故而,将账号密码列入公民个人信息,有利于保护公民个人信息安全和合法权益。基于此,《办理侵犯公民个人信息案件解释》第1条明确将账号密码列入公民个人信息的范围。顺带提及的是,对于IP地址、设备ID等信息①和cookie信息②是否属于公民个人信息,存在较大的争议。以cookie信息为例,用户的cookie信息反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但对于其是否属于公民个人信息存在不同认识:一种观点认为,这些信息无法确定具体的信息归属主体,其终端是浏览器,没有定向识别使用该浏览器的网络用户身份。而且,如果将这些信息纳入公民个人信息的范畴,将使得精准广告业务被完全禁止,不符合产业发展趋势。另一种观点认为,浏览器背后是特定用户,且多数浏览器终端是由特定用户长期使用,故这些信息实际上能够识别用户身份的特征,而且精准广告投放的目标也是针对浏览器背后的用户,故这些信息应当被纳入公民个人信息的范畴。对于上述问题,我们主张不作一概而论,应当根据案件具体情况作出判断。申言之,应当根据公民个人信息所具有的“识别特定自然人身份或者反映特定自然人活动情况”这一关键属性,对上述信息是否属于公民个人信息作出判断。
二、侵犯公民个人信息罪入罪标准的把握
《办理侵犯公民个人信息案件解释》第5条第1款从以下五个方面对侵犯公民个人信息罪的入罪标准“情节严重”作出明确。
(一)信息类型与数量
侵犯公民个人信息罪的对象为公民个人信息,以公民个人信息的数量作为量化的标准,最能直接反映该罪的社会危害性。因此,应当根据非法获取、出售或者提供的公民个人信息数量设定入罪标准。实践中,公民个人信息的类型繁多,重要程度难以等量齐观。特别是,各类公民个人信息背后关联的法益存在较大差异,公民个人敏感信息涉及人身安全和财产安全,其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。因此,基于不同类型公民个人信息的重要程度,《办理侵犯公民个人信息案件解释》分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准,以实现罪责刑相适应。具体而言:一是非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息①、财产信息50条以上的。行踪轨迹信息、通信内容、征信信息、财产信息与人身安全、财产安全直接相关,系高度敏感信息,《办理侵犯公民个人信息案件解释》第5条第1款第3项将入罪标准设置为“五十条以上”。需要注意的是,鉴于本项规定的入罪标准门槛较低,故此处严格限缩所涉公民个人信息的类型,仅限于行踪轨迹信息、通信内容、征信信息、财产信息四类信息,不允许司法适用中再通过等外解释予以扩大。对于行踪轨迹信息、通信内容、征信信息,司法实践中在认定上不存在争议。对于财产信息,可以根据案件具体情况把握:既包括银行账户、第三方支付结算账户、证券期货等金融服务账户的身份认证信息(一组确认用户操作权限的数据,包括账号、口令、密码、数字证书等),也包括存款、房产等财产状况信息。二是非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上的。上述公民个人信息虽然在重要程度上不及行踪轨迹信息、通信内容、征信信息、财产信息,但也与人身安全、财产安全直接相关,往往被用于精准诈骗等违法犯罪活动。基于此,《办理侵犯公民个人信息案件解释》第5条第1款第4项将入罪标准设置为“五百条以上”。需要注意的是,该项规定有“等其他可能影响人身、财产安全的公民个人信息”的表述,司法实践中可以根据具体情况等作解释,但应当确保所适用的公民个人信息涉及人身、财产安全,且与“住宿信息、通信记录、健康生理信息、交易信息”在重要程度上具有相当性。三是非法获取、出售或者提供一般公民个人信息5000条以上的。从实践来看,除前述公民个人敏感信息外,出售、提供公民个人信息往往数量较大,动辄数万条甚至数十万条,在不少案件中甚至将公民个人信息编辑为电子文档后按兆出售。因此,不少地方对出售、提供公民个人信息的入罪标准掌握在数量5000条以上,基本上可以满足严厉打击此类犯罪的需要,且给行政处罚留有一定空间。基于此,《办理侵犯公民个人信息案件解释》第5条第1款第5项将非法获取、出售或者提供公民个人信息5000条以上的规定为“情节严重”。此外,鉴于实践中存在混杂公民个人信息的情形,《办理侵犯公民个人信息案件解释》第5条第1款第6项将“数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的”情形规定为“情节严重”。在此,有必要讨论敏感公民个人信息的具体认定问题。如前所述,基于不同类型公民个人信息的重要程度,《办理侵犯公民个人信息案件解释》第5条分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准。从司法实践来看,在具体案件中仍然存在对于相关数量标准适用的争议,集中表现为敏感信息的认定问题。有必要强调的是,对于侵犯公民个人敏感信息的行为之所以设置不同于一般公民个人信息的入罪标准,就在于敏感信息涉及人身安全和财产安全,其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。这是认定公民个人敏感信息应当考量的关键因素。就行踪轨迹信息的认定而言,实践中宜严格把握其范围,限定为手机定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息。行踪轨迹信息不等于涉及轨迹的信息,而应当理解为涉及轨迹的实时信息。广义上而言,涉及轨迹的信息范围较宽。例如,行为人设立钓鱼网站,获取他人的12306账户名和密码,进而获取了他人的火车票信息。火车票载明了姓名、车次、时间、起始站点等信息。行为人获取他人火车票信息后,可以根据火车票载明的信息判断出他人的行踪情况,但是,相关轨迹信息并非实时信息,故应当排除在行踪轨迹信息的范围之外。而且,通常而言,敏感信息特别是高度敏感信息的交易价格要远远高于一般公民个人信息。从实践来看,行踪轨迹信息直接涉及人身安全,敏感程度最高,就交易价格而言通常是最为昂贵的信息类型。与之类似,涉案信息的获取渠道也是判断敏感信息的重要因素。由于敏感信息直接涉及公民个人人身安全和财产安全,敏感程度高,获取的途径相对困难。对于可以批量获取的信息,由于获取相对容易,认定为敏感信息应当特别慎重。就财产信息的认定而言,财产信息不等于涉财产信息,判断关键在于相关信息是否直接涉及人身财产安全。例如,2017年6月至2018年2月,被告人卢某某在担任沈阳市住宅小区管理办公室维修资金管理科副科长期间,在沈阳市沈河区房地产大厦多次将掌握的购房人交纳住房维修基金等相关信息(包含房屋坐落地址、门牌号、小区名称、购买人姓名和电话、房屋面积)共计64792条卖给杨某某,获利15000余元。后相关信息被倒卖获利和用于装修公司的经营活动。二审法院针对抗诉机关提出“房产属于财产,房产信息应为财产信息,本案所涉信息应属于财产信息”的抗诉理由,提出“虽然本案的信息涉及房产面积,但没有涉及房产的交易价格、交易方式、资金来源、贷款情况、共有人情况、房产抵押和担保情况等涉及房屋财产属性的内容,不足以反映特定人的财产状况”,并不会直接影响财产安全,不应纳入财产信息的范畴。
需要注意的是,必要时,对于财产信息的判断,可以结合信息获取渠道、交易价格、信息流向等因素加以考量。例如,行为人从车辆管理机构工作人员处非法购买车辆信息,具体涉及车主、车辆型号、发动机号、联系电话等信息。行为人购买上述信息后,拨打车主电话推销车辆保险。该案例的主要争议问题在于如何把握财产信息的范围。财产信息包括存款、房产等财产状况信息,对此应无疑义。本案中,行为人获取的车辆信息已较为具体,通常认定为财产信息亦无不当。但是,综合考虑本案的具体情况,我们还是主张将相关信息不认定为《办理侵犯公民个人信息案件解释》所称的“财产信息”。主要考虑如下:其一,如前所述,鉴于涉敏感信息的案件入罪门槛低,应当采用严格适用的立场,以控制打击面。其二,犯罪应当是主客观相统一的产物,坚持主客观相统一原则是刑法适用的基本要求。本案中,行为人获取的车辆相关信息确实较为具体,符合财产信息的一般特征,但行为人的主观目的就是推销车辆保险,并非用于实施针对人身或者财产的侵害行为,故对其适用一般公民个人信息的入罪标准更为妥当。
(二)违法所得数额
出售或者非法提供公民个人信息往往是为了牟利,故应当以违法所得作为认定“情节严重”的情形之一。从司法实践来看, 一般公民个人信息的价格相对较低,甚至不会按条计价;而公民个人敏感信息价格通常较高,一般按条计价,特别是行踪轨迹信息可以谓之最为昂贵的信息类型。考虑到各项规定之间的均衡,《办理侵犯公民个人信息案件解释》第5条第1款第7项将违法所得5000元以上规定为“情节严重”。
(三)信息用途
通常而言,非法获取公民个人信息,绝不仅是为了占有,而是有特定用途,甚至用于违法犯罪。可以说,出售或者提供公民个人信息,不仅严重危害公民的信息安全,而且极易引发多种犯罪,成为电信诈骗、网络诈骗以及滋扰型软暴力等新型犯罪的根源,甚至与绑架、敲诈勒索、暴力追债等犯罪活动相结合。因此,此类行为引发的后果的严重程度,是认定“情节严重”与否的重要标准。被非法获取、出售或者提供的公民个人信息,用途存在不同,对权利人的侵害程度也会存在差异。如果涉案的公民个人信息被用于实施其他犯罪活动,使权利人的人身、财产安全陷人高风险状态或者造成实质危害的,对此应当直接认定为“情节严重”或者“情节特别严重”,以刑事手段加以规制;而如果涉案公民个人信息未被用于犯罪活动,则社会危害性相对较小,不宜直接以此作为刑事规制的依据。基于此,《办理侵犯公民个人信息案件解释》第5条第1款第2项将“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的”规定为“情节严重”。从司法实践来看,行踪轨迹信息是最为敏感的公民个人信息。非法获取、出售或者提供该类信息,行为人主观上对信息可能被用于犯罪存在概括认识,《办理侵犯公民个人信息案件解释》第5条第1款第1项直接将“出售或者提供行踪轨迹信息,被他人用于犯罪的”规定为“情节严重”,无须再具体判断主观上是否知道或者应当知道涉案信息被用于犯罪。
(四)主体身份
据统计,公民个人信息的泄露案件中八成是内部人员作案。涉及公民个人信息买卖的案件中大多可以见到内部人员参与的影子。国家机关或者金融、电信、交通、教育、医疗等单位的工作人员将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,是侵犯公民个人信息违法犯罪泛滥的重要原因。例如,2016年5月,山东菏泽警方成功破获一起网络侵犯公民个人信息大案,共查扣受侵犯公民个人信息200余万条,涉案资金达500余万元,抓获犯罪嫌疑人29名,其中包括22名中间商和7名“内鬼”(一手数据源头)。从此案中打掉的“内鬼”来看,相关部门、企事业单位自身在公民个人信息安全监管方面存在的漏洞令人触目惊心。犯罪嫌疑人甄某系某商业银行客户经理,利用职务之便,以每条20元至40元的价格,长期向中间商提供个人征信信息以及本银行的客户资料,包括身份证号、信誉、卡号、开户日期、余额、名下账户数量等,可以跨区域查询,覆盖全国;犯罪嫌疑人陈某系某通信公司软件工程师,利用职务之便私下向中间商贩卖数据库密码,使其能够直接访问数据库中全国范围内的手机定位、开户信息等数据;犯罪嫌疑人王某系某快递公司苏州某仓库管理员,利用其掌握的系统账号,以每条数十元的价格,向中间商提供全国快递信息,包括收件人地址、电话等信息。由于上述情形往往发生在公民个人信息交易的最初阶段,涉案信息的数量往往较少、价格相对低廉。此种情形下,如果不设置特殊标准,往往难以对此类源头行为予以刑事惩治。基于此,为贯彻落实《刑法》第253条之一第2款“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚”的规定,《办理侵犯公民个人信息案件解释》第5条第1款第8项对“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人”的情形认定为“情节严重”设置了特殊标准,规定此种情形下出售或者提供公民个人信息,认定“情节严重”的数量、数额标准减半计算。当然,对于此种情形,不宜再根据《刑法》第253条之一第2款的规定从重处罚,以免重复评价。
(五)主观恶性
曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的,行为人屡罚屡犯、主观恶性大。故而,《办理侵犯公民个人信息案件解释》第5条第1款第9项将此种情形规定为“情节严重”。
三、侵犯公民个人信息罪升档量刑标准的把握
根据《刑法》第253条之一的规定,侵犯公民个人信息罪,情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。可见,“情节特别严重”是侵犯公民个人信息罪升档量刑的法定依据。《办理侵犯公民个人信息案件解释》第5条第2款主要从两个角度规定了“情节特别严重”的情形。一是数量数额标准。基于司法实践中侵犯公民个人信息犯罪涉案的公民个人信息数量悬殊,跨度从几千条到几十万条(甚至更大数量)不等,将“情节特别严重”和“情节严重”之间的数量数额标准设置为10倍而非5倍的倍数关系。二是严重后果。从实践来看,非法获取、出售或者提供公民个人信息,可能对个人造成危害,如造成人身伤亡、经济损失等。而且,公民个人信息除了具有身份和经济价值之外,还具有一定的社会价值和战略价值。因此,非法获取、出售或者提供公民个人信息,也可能引发社会恐慌、造成恶劣社会影响,甚至因为信息泄露而危害国家安全。基于此,将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的”和“造成重大经济损失或者恶劣社会影响的”规定为“情节特别严重”。此外,需要注意的是,根据《刑法》第253条之一第4款的规定,单位可以成为侵犯公民个人信息罪的主体。为切实加大对单位侵犯公民个人信息犯罪的惩治力度,《办理侵犯公民个人信息案件解释》第7条明确了单位实施侵犯公民个人信息犯罪的,适用自然人犯罪的定罪量刑标准,该条规定:“单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。”
四、为合法经营活动而购买、收受公民个人信息行为定罪量刑的特殊标准
从实践来看,购买、收受公民个人信息从事广告推销等活动的情形较为普遍。为了秉持刑法的谦抑性,体现宽严相济刑事政策精神,《办理侵犯公民个人信息案件解释》第6条第1款规定,为合法经营活动而非法购买、收受本解释第5条第1款第3项、第4项规定以外的公民个人信息,具有下列情形之一的,应当认定为《刑法》第253条之一规定的“情节严重”:(1)利用非法购买、收受的公民个人信息获利5万元以上的;(2)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;(3)其他情节严重的情形。这是《办理侵犯公民个人信息案件解释》针对为合法经营活动而非法购买、收受公民个人信息的行为设置的专门的定罪量刑标准。而且,考虑到此类行为社会危害性不大,即使构成犯罪,通常也不需要升档量刑,故只规定了“情节严重”的具体情形。需要注意的是,适用该定罪量刑标准须满足三个条件:一是为了合法经营活动,对此可以综合全案证据认定,但主要应当由被告方提供相关证据;二是限于一般公民个人信息,即不包括可能影响人身、财产安全的敏感信息;三是信息没有再流出扩散,即行为方式限于购买、收受。根据《办理侵犯公民个人信息案件解释》第6条第2款的规定,如果将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准应当适用《办理侵犯公民个人信息案件解释》第5条的规定。对此应当注意的是,为了合法经营活动交换公民个人信息的,由于在获取信息的同时造成了信息扩散,不符合前述三个要件,定罪量刑标准亦应适用《办理侵犯公民个人信息案件解释》第5条的规定。从司法实践来看,具体案件中对“获利”的认定存在较大争议。例如,行为人合法开办企业后,为了进行广告推销,花费5000元购买电话号码等个人信息。至案发时,行为人开办的企业收入10万元。该案例的主要争议问题在于获利数额是否需要扣除成本的问题。我们主张应当扣除成本。主要考虑如下:(1)《办理侵犯公民个人信息案件解释》第6条之所以对为合法经营活动而非法购买、收受公民个人信息规定定罪量刑的特殊标准,就在于该类情形较为普遍,且社会危害性相对较小,故在具体适用刑法时应秉持谦抑,体现宽严相济。因此,在适用“利用非法购买、收受的公民个人信息获利5万元以上的”规定时,自然应当体现控制打击面的精神。(2)实践中,合法经营活动的获利情况十分复杂,有利用非法购买、收受的公民个人信息的因素,也有行为人合法经营的因素。在此背景下,自然不宜不扣除成本计算获利数额。