侵犯公民个人信息罪的司法争点解析
——结合四个案例
作者：喻海松（最高人民法院）
来源： 中国法制出版社2018年4月份出版的《最高人民法院、最高人民检察院侵犯公民个人信息罪司法解释理解与适用》
一、敏感公民个人信息的具体认定
基于不同类型公民个人信息的重要程度， 《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号，以下简称《解释》)第5条分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准。从司法实践来看，在具体案件中仍然存在对于相关数量标准适用的争议，集中表现为敏感信息的认定问题。在展开具体案例讨论之前，有必要强调的是，对于侵犯公民个人敏感信息的行为之所以设置不同于一般公民个人信息的入罪标准，就在于敏感信息涉及人身安全和财产安全，其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪，具有更大的社会危害性。[9]这是认定公民个人敏感信息应当考量的关键因素。
[案例1]行为人设立钓鱼网站，获取了他人的12306账户名和密码，进而获取了他人的火车票信息。火车票载明了姓名、车次、时间、起始站点等信息。
案例1的主要争议问题在于如何把握“行踪轨迹信息”的范围。从实践来看，行踪轨迹信息系直接涉及人身安全的公民个人信息，敏感程度最高。从交易价格来看，行踪轨迹信息通常是最为昂贵的信息类型。因此，《解释》第5条明确规定非法获取、出售或者提供行踪轨迹信息50条以上的，即构成犯罪。鉴于行踪轨迹信息的入罪标准已极低，实践中宜严格把握其范围，只宜理解为GPS定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息。对于虽然也涉及公民个人轨迹的其他信息，通常不宜纳入其中。实践中不妨以信息的交易价格情况作为参考，判断是否可以纳入“行踪轨迹信息”的范畴。就案例1而言，行为人获取他人火车票信息后，可以根据火车票载明的信息判断出他人的行踪情况，但根据前述原则，不宜将其认定为《解释》所称的“行踪轨迹信息”。
[案例2]行为人从车辆管理机构工作人员处非法购买车辆信息，具体涉及车主、车辆型号、发动机号、联系电话等信息。行为人购买上述信息后，拨打车主电话推销车辆保险。
案例2的主要争议问题在于如何把握“财产信息”的范围。财产信息包括存款、房产等财产状况信息，对此应无疑义。本案中，行为人获取的车辆信息已较为具体，通常认定为“财产信息”亦无不当。但是，综合考虑本案的具体情况，本书还是主张将相关信息不认为“财产信息”。主要考虑如下。1.如前所述，鉴于涉敏感信息的案件入罪门槛低，应当采用严格适用的立场，以控制打击面。2.犯罪应当是主客观相统一的产物，坚持主客观相统一原则是刑法适用的基本要求。本案中，行为人获取的车辆相关信息确实较为具体，符合“财产信息”的一般特征，但行为人的主观目的就是为了推销车辆保险，并非用于实施针对人身或者财产的侵害行为，故对其适用一般公民个人信息的入罪标准更为妥当。
二、“违法所得”与“获利”的合理界分
鉴于非法出售、提供公民个人信息往往为了牟利，《解释》第5条明确规定违法所得5千元以上的构成“情节严重”；违法所得5万元以上的，构成“情节特别严重”。此外，《解释》第6条针对为合法经营活动购买、收受公民个人信息的情形，专门规定利用非法购买、收受的公民个人信息获利5万元以上的，构成“情节严重”。从司法实践来看，具体案件中对“违法所得”与“获利”的认定存在较大争议。
[案例3]行为人花费5千元购买公民个人信息，进而进行了加工整理。此后，行为人将上述公民个人信息以8千元的价格出售给他人。
案例3的主要争议问题在于违法所得是否需要扣除成本的问题。这非侵犯公民个人信息犯罪所特有的问题，在其他刑事案件中同样存在。对此，有观点认为违法所得应当扣除5千元的购买成本，即认定为3千元；有观点则认为违法所得不应当扣除5千元的购买成本，即认定为8千元。本书赞同后一种观点，即对于此处的“违法所得”不应扣除成本。主要考虑如下。1.刑法中的“违法所得”，一般是指犯罪分子因实施违法犯罪活动而取得的全部财物。本案中，行为人非法出售公民个人信息，获得了8千元的对价，将其认定为违法所得，并无不妥。2.从以往司法解释、规范性文件的规定来看，对于实践中需要资质的经营活动，行为人由于缺乏资质而构成非法经营罪等犯罪的，通常会区分“违法所得数额”与“非法经营数额”。此种情形下，自然不应将二者混同，对于违法所得数额的认定当然应当扣除成本。然而，对于实践中根本不允许存在的活动，构成相应犯罪的，通常只有“违法所得”而非“非法经营数额”的标准。对于后一种情形，则不应当再扣除成本。非法出售、提供公民个人信息即是适例，其本身就是法律所禁止从事的活动，不存在合法经营的情形，故《解释》只设置了“违法所得”标准。按照上述原则，对于此处的“违法所得”不应再扣除成本。
[案例4]行为人合法开办企业后，为了进行广告推销，花费5千元购买电话号码等个人信息。至案发时，行为人开办的企业收入10万元。
案例4的主要争议问题在于获利数额是否需要扣除成本的问题。本书主张，对于《解释》第6条规定的“获利”数额不宜与第5条规定的“违法所得”数额混为一谈，前者应当扣除成本。主要考虑如下。1.《解释》第6条之所以对为合法经营活动购买、收受公民个人信息规定定罪量刑的特殊标准，就在于该类情形较为普遍，且社会危害性相对较小，故在具体适用刑法时应秉持谦抑，体现宽严相济。因此，在适用“利用非法购买、收受的公民个人信息获利五万元以上”规定时，自然应当体现控制打击面的精神。2.实践中，合法经营活动的获利情况十分复杂，有利用非法购买、收受的公民个人信息的因素，也有行为人合法经营的因素。在此背景下，自然不宜不扣除成本计算获利数额。
三、公民个人信息数量计算的细节把握
《解释》第11条明确了涉案公民个人信息的数量计算规则，特别是第3款确立了批量公民个人信息的数量认定规则。这对于方便司法实务操作，便利相关案件的办理发挥了重要作用。但是，从实践情况来看，以下问题值得关注。
第一，一条公民个人信息的认定，应当综合考虑实践交易规则和习惯。例如，一条信息中涉及多个个人信息的，如家庭住址、银行卡信息、电话号码，如果是按照一条公民个人信息来交易的，则往往会认定为一条公民个人信息。由于实践中对此并无太大争议，故《解释》未再专门明确一条公民个人信息的认定规则，实践中可以沿用上述做法。此外，需要注意的是，有些情形下“一条”公民个人信息应当理解为“一组”公民个人信息。例如，公民个人的银行账户、支付结算帐户、证券期货等金融服务账户的身份认证信息，应当理解为一组确认用户操作权限的数据，包括账号、口令、密码、数字证书等，而非单个数据。
第二，对于敏感公民个人信息不宜适用《解释》第11条第3款的规定，而应当逐一认定。主要考虑如下。1.从司法实践来看，一般公民个人信息的价格相对较低，甚至不会按条计价，故要求逐一认定不具有可操作性；而公民个人敏感信息价格通常较高，通常按条计价，逐条认定不存在难题。2.涉敏感信息的案件入罪标准较低，50条或者500条即达到入罪标准。为此，对于此类案件要求逐一认定敏感信息的数量，对于确保定罪量刑的准确，完全必要。
第三，对于批量公民个人信息可以适用《解释》第11条第3款的规定，即根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。需要注意的是，推定规则并不意味着举证责任的倒置，公诉机关仍然承担对公民个人信息数量的举证责任。基于此，对于批量公民个人信息仍然应当要求作去重处理，对于明显重复的信息应当予以排除。这从技术角度并不存在难题，且对于确保案件的质量大有裨益。
陈立彤律师，大成上海办公室高级合伙人，中国律师、美国纽约州律师，荣膺2022年度LEGALBAND客户首选：合规律师15强、入选司法部“全国千名涉外律师人才名单”、入榜钱伯斯、The Legal 500、LEGALBAND等知名榜单。陈立彤律师担任过福特汽车公司亚太区合规总监，现还担任中国企业文化促进会合规管理委员会会长。陈律师同时还是CISO「注册信息安全管理人员」、CIIP「重要信息系统保护人员」。陈立彤律师为全球最大之一搜索引擎公司、汽车整车厂提供全方位的无人驾驶相关法律、合规及数智化服务。
录播｜蔚来数据泄漏遭勒索，企业该如何管控风险和危机
新闻｜通用汽车受黑客攻击 用户信息遭泄露
重磅｜大成发布《2023年全球自动驾驶汽车指南》（英文）
大成律师助力某全球知名整车厂建设无人驾驶系统
大成业绩
数据合规官｜中国网络安全审查技术与认证中心认证培训
陈立彤律师团队邮箱：henry.chen@dentons.cn
数据合规官｜中国网络安全审查技术与认证中心认证培训
《德国信息技术安全法》：网络安全成为了许多公司的强制性义务
拜登将换个角度对抖音、微信下手
中消协通告：扫码点餐会引发合规风险
清理违法违规信息208万余条、下架App520余个……国家网信办“清朗·春节网络环境”行动交出成绩单
四部门联合明确APP获取个人信息范围——《常见类型移动互联网应用程序必要个人信息范围规定》
工信部通报136款侵害用户权益行为APP 逾期不整改将进行处置
无人驾驶系列二：匈牙利自动驾驶产业推进情况
无人驾驶系列一：加拿大自动驾驶产业推进情况
两会及最新指南：医疗数据合规使用
全国政协会议新闻发言人：《个人信息保护法》草案已提请审议
硅谷顶级网安公司被入侵后续 -其投资者红杉资本又遭入侵
APP个人信息保护管理暂行规定将出台，以知情同意和最小必要为基本原则
工信部：APP不整改就下架！业务中断风险最恐怖
数据治理不合规，这家企业IPO被否
买卖公开信息是否入刑？
合法、正当而且必要，App合规缺一不可
《互联网用户公众账号信息服务管理规定》修订- 真实、高质量的信息导向
【直播回顾】监管律所支招，助力APP安心上架！
GDPR下的“consent” PK 中国法下的“同意”
开放银行与个人金融信息安全（一）「实务经验介绍暨往期沙龙回顾」
开放银行与个人金融信息安全（二）「实务经验暨往期沙龙」
开放银行与个人金融信息安全（三）「实务经验暨往期沙龙」
开放银行与个人金融信息安全（四）「实务经验暨往期沙龙」
开放银行与个人金融信息安全（五）「实务经验暨往期沙龙」
网络爬虫与大数据安全「往期沙龙回顾」
我们刚做的这个等保2.0，得分接近90
我们的服务范围包括：
政府调查与刑事辩护：
-行政监管调查应对
-刑事调查应对
-刑事辩护
-政府调查应对
监管分析
结合行业监管要求，对于数据驱动或涉及数据的业务模式或活动进行监管分析，包括：
- 自动驾驶；
- 大数据分析和应用；
- 电商平台（包括跨境电商业务）；
- 智能硬件；
- 网络营销；
- 线上销售保险产品；
- 政务数据的合作和使用。
网络安全等级保护制度
将网络划分为不同的安全保护等级并对其实施不同的保护和监管。网络安全等级保护工作包括以下：
- 定级：确定系统等级
- 备案：向公安机关备案
- 安全建设整改：安全技术建设整改、安全管理建设整改
- 等级保护测评（需要具有网络安全等级保护测评资质的机构进行，并且不能是安全建设整改供应商）；
- 安全自评。
数据自由应用尽职调查（FTA 调查）
指对数据控制者/ 数据处理者获取、存储、流通以及商业应用数据是否可能侵犯数据主体的权利和是否违反其他法律法规的规定而进行的调查和分析。FTA 调查适用于以下情景：
- 以数据资产为标的的交易；
- 包含数据资产的投资并购项目；
- 以数据为纽带的企业间合作项目；
- 基于数据衍生的数据类创业项目；
- 数据企业的自我合规诊断与提升。
差距分析
对现时的数据收集和使用活动进行梳理，生成数据地图，并根据相关法律法规和内部数据治理制度的要求，评估违法违规的数据处理活动，并提出建议，协助实施建议。差距分析可适用于特定的数据处理活动或特定的产品或业务线。
数据影响评估
- 个人隐私影响评估：为涉及个人信息收集和使用的业务开展个人隐私影响评估，出具评估报告，提示风险和建议
- 供应商（上游）评估
- 供应商（下游）评估
- 第三方数据接收方评估
- 第三方数据提供方评估。
数据合规体系建设
为客户建立全面的网络安全和数据治理合规体系制度，包括：
- 《网络安全和数据保护政策》（纲领）
- 《个人信息管理规范》
- 《数据分类分级和权限管理规范》
- 《实现数据主体权利管理规范》
- 《向第三方输出数据管理规范》
- 《从第三方接收数据管理规范》
- 《数据安全事件管理制度》
区块链
- 区块链赋能场景合规评估
- 区块链监管与合规咨询
- 区块链境外监管、合规及商用项目咨询返回搜狐，查看更多
责任编辑：}