引言
随着数字经济的高速发展和大数据产业的蓬勃兴起,公民个人信息的商业价值日益凸显,围绕个人信息采集、存储、加工、交易形成的产业链规模不断扩大。与此同时,个人信息泄露事件频发,电信网络诈骗、精准营销骚扰、身份盗用等违法犯罪活动层出不穷,严重侵害公民的人身权利和财产安全。在此背景下,《刑法》第253条之一规定的侵犯公民个人信息罪成为打击此类行为的核心刑事法律武器。对于从事大数据业务的企业和从业人员而言,深入理解该罪的构成要件与入罪标准,建立健全数据合规体系,不仅是履行法律义务的要求,更是防范刑事风险的根本保障。
一、法律框架与条文解读
(一)《刑法》第253条之一
根据《中华人民共和国刑法》第253条之一的规定,侵犯公民个人信息罪包含三种行为方式:
第一,非法提供型。 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
第二,特殊主体从重型。 违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。这一条款针对的是金融机构、电信运营商、医疗机构、互联网平台等在业务活动中合法获取公民个人信息的单位和人员,其非法提供行为社会危害性更大,故予以从重处罚。
第三,非法获取型。 窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
(二)核心司法解释
2017年6月1日起施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)是当前办理此类案件最重要的司法解释,对"公民个人信息"的界定、"违反国家有关规定"的认定、"情节严重"和"情节特别严重"的量化标准等核心问题作出了明确规定。
此外,《中华人民共和国个人信息保护法》(2021年11月1日起施行)作为个人信息保护领域的基础性法律,从行政法律层面构建了个人信息处理的合规框架,与刑法形成了有效衔接。该法第71条明确规定,违反本法规定,构成犯罪的,依法追究刑事责任。
二、"公民个人信息"的范围界定
(一)法律定义
根据法释〔2017〕10号司法解释第1条的规定,"公民个人信息"是指以电子或者其他方式记录的,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
该定义揭示了公民个人信息的两个核心特征:可识别性和关联性。可识别性是指该信息能够单独或结合其他信息识别出特定的自然人;关联性是指该信息与特定自然人的活动、状态相关联。
(二)敏感信息与一般信息的区分
司法解释根据信息内容对公民人身权利和财产安全的影响程度,将个人信息划分为三个层级:
第一层级:高度敏感信息。 包括行踪轨迹信息、通信内容、征信信息、财产信息。这类信息一旦泄露,对公民的人身安全和财产安全危害最为直接和严重。例如,行踪轨迹信息的泄露可能导致跟踪、绑架等严重犯罪;通信内容的泄露可能侵害公民的隐私权和通信自由;征信信息和财产信息的泄露则直接威胁公民的财产安全。
第二层级:较敏感信息。 包括住宿信息、通信记录、健康生理信息、交易信息等可能影响人身、财产安全的公民个人信息。这类信息虽然敏感程度略低于第一层级,但同样可能被用于实施诈骗、敲诈勒索等犯罪活动。
第三层级:一般个人信息。 即除上述两类信息之外的其他公民个人信息,如姓名、电话号码、电子邮箱等。这类信息单独使用时危害性相对较小,但在大规模收集和聚合分析后,同样可能对公民权益造成侵害。
三、"违反国家有关规定"的认定
"违反国家有关规定"是侵犯公民个人信息罪的前提条件,也是区分罪与非罪的关键要素。根据司法解释第2条的规定,"违反国家有关规定"是指违反法律、行政法规、部门规章中关于公民个人信息保护的规定。
(一)主要的规范依据
具体而言,"国家有关规定"主要包括以下法律法规:
- 《个人信息保护法》:规定了个人信息处理的基本原则(合法、正当、必要)、知情同意规则、目的限制原则、最小化原则等。
- 《网络安全法》:对网络运营者收集、使用个人信息的规则作出了明确规定,要求公开收集使用规则、明示收集使用信息的目的方式和范围、被收集者同意等。
- 《数据安全法》:从数据安全管理的角度,对包括个人信息在内的数据处理活动提出了合规要求。
- 《民法典》:第1034条至第1039条对个人信息的民事保护作出了系统规定,明确个人信息的处理原则和权利人的权利。
- 相关行政法规和部门规章:如《电信和互联网用户个人信息保护规定》等行业性规范文件。
(二)合法性基础的判断
在司法实践中,判断行为是否"违反国家有关规定",核心在于审查信息收集、使用的合法性基础。根据《个人信息保护法》第13条的规定,处理个人信息应当取得个人的同意,但存在为订立合同所必需、履行法定职责所必需、应对突发公共卫生事件等例外情形。如果企业超出合法性基础的范围,未经同意收集、使用或向第三方提供个人信息,即可能被认定为"违反国家有关规定"。
四、非法获取与非法提供的行为认定
(一)非法获取行为
非法获取公民个人信息的方式多种多样,司法实践中常见的行为方式包括:
1. 技术手段获取。 通过黑客攻击、植入木马程序、网络爬虫等技术手段,侵入计算机信息系统获取公民个人信息。如果同时构成非法获取计算机信息系统数据罪(《刑法》第285条第二款)的,属于想象竞合犯,应从一重罪论处。
2. 购买方式获取。 向信息贩子、数据中介等购买公民个人信息,是实践中最常见的非法获取方式。即使购买者并非用于犯罪目的,但明知是非法提供的个人信息而购买,同样构成非法获取。
3. 交换方式获取。 以信息换信息、以信息换利益等方式,互换公民个人信息。
4. 骗取方式获取。 通过虚假身份、虚假业务等欺骗手段获取公民个人信息。
(二)非法提供行为
非法提供包括出售和提供两种方式。根据司法解释第3条的规定,未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于"提供公民个人信息"。但经过处理无法识别特定个人且不能复原的除外。这一除外规定为企业的数据脱敏处理和匿名化利用留下了合法空间。
值得注意的是,合法提供个人信息必须满足以下条件之一:一是获得信息主体的明确同意;二是属于《个人信息保护法》规定的无需同意的法定例外情形。企业之间以"合作协议""数据共享"等名义进行的个人信息流转,如果缺乏合法基础,同样可能构成非法提供。
五、入罪标准的具体适用
根据法释〔2017〕10号司法解释第5条的规定,非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为"情节严重":
(一)按信息类型区分的数量标准
| 信息类型 | 入罪数量标准(情节严重) | 情节特别严重的数量标准 |
|---|---|---|
| 行踪轨迹信息、通信内容、征信信息、财产信息 | 50条以上 | 500条以上 |
| 住宿信息、通信记录、健康生理信息、交易信息等 | 500条以上 | 5000条以上 |
| 其他一般公民个人信息 | 5000条以上 | 50000条以上 |
(二)其他入罪情形
除数量标准外,具有下列情形之一的,同样构成"情节严重":
- 违法所得五千元以上的。 非法出售、提供公民个人信息获利五千元以上即达到入罪标准。
- 曾受过刑事处罚或行政处罚后又实施的。 曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的,不受信息数量限制,直接入罪。
- 造成严重后果的。 包括造成被害人死亡、重伤、精神失常或者被绑架等严重后果,或者造成重大经济损失或者恶劣社会影响等情形。
- 其他情节严重的情形。 这一兜底条款为司法实践留下了裁量空间,法院可以根据案件的具体情况进行综合判断。
六、大数据企业的刑事风险分析
在数据要素市场化的背景下,大数据企业面临多重刑事风险,值得高度警惕。
(一)数据采集环节的风险
部分大数据企业通过嵌入SDK(软件开发工具包)、设置隐蔽的隐私政策条款、强制捆绑授权等方式,超范围收集与业务无关的公民个人信息。如果未经用户有效同意而收集敏感个人信息,或者收集的信息超出业务必需范围,即可能被认定为"非法获取"。特别是利用网络爬虫技术大规模抓取其他平台用户信息的行为,刑事风险尤为突出。
(二)数据流转环节的风险
企业之间的数据合作、数据交易是数据要素市场的重要组成部分。但如果在数据流转过程中未获得用户的单独同意,或者未对数据进行有效脱敏处理,即向第三方提供包含可识别信息的原始数据,则可能构成"非法提供"。一些企业以"数据服务""精准营销"为名,实质上进行个人信息的倒卖,刑事风险极高。
(三)数据存储与安全管理环节的风险
《个人信息保护法》要求个人信息处理者采取相应的加密、去标识化等安全技术措施。如果企业因安全管理措施不到位,导致大规模个人信息泄露,虽然刑法中尚无专门的"过失泄露公民个人信息罪",但如果在泄露事件中涉及企业管理人员的其他渎职或违法犯罪行为,同样可能引发刑事责任。
(四)行业特定风险
不同行业的企业面临的个人信息保护风险各不相同。金融机构掌握客户的征信信息、财产信息等高度敏感信息;医疗机构掌握患者的健康生理信息;电信运营商掌握用户的通信记录和位置信息;互联网平台掌握用户的消费记录、行为偏好等信息。这些行业的企业一旦发生信息泄露或非法流转,因其掌握信息的敏感程度高、数量大,刑事法律风险远高于一般企业。
七、数据合规建设建议
为有效防范刑事风险,大数据企业应当从以下方面建立健全数据合规体系。
(一)完善制度建设
- 制定内部个人信息保护管理制度和操作规程。 明确个人信息处理的审批流程、权限管理、安全措施等,做到有章可循、违规可追。
- 落实个人信息保护影响评估制度。 在开展可能对个人权益产生重大影响的个人信息处理活动前,应当进行事前评估,评估报告至少保存三年。
- 建立信息安全事件应急响应机制。 发生或者可能发生个人信息泄露、篡改、丢失的,应当立即采取补救措施,并在规定时限内通知履行个人信息保护职责的部门和个人。
(二)规范业务流程
- 严格遵守"知情—同意"原则。 收集个人信息时应当以清晰易懂的方式告知收集目的、方式和范围,获取用户的明确同意。收集敏感个人信息应当取得个人的单独同意。
- 坚持最小必要原则。 收集个人信息的范围和方式应当与处理目的直接相关,不得过度收集。
- 规范第三方数据合作。 在与第三方共享个人信息前,应当进行合规审查,确保共享行为具有合法基础,并签署数据安全协议。
(三)强化技术保障
- 实施分类分级管理。 对不同敏感程度的个人信息采取差异化的保护措施,对高度敏感信息实施最高级别的安全防护。
- 推进数据脱敏和匿名化处理。 在数据分析和共享环节,优先使用经过脱敏处理的数据,降低信息泄露风险。
- 加强访问权限控制。 实施最小权限原则,对接触个人信息的岗位人员进行严格管理和定期审计。
(四)定期合规审计
企业应当定期开展数据合规专项审计,聘请外部法律顾问或合规专家对数据处理活动进行全面审查,及时发现和整改合规漏洞。对于发现的违规行为,应当严肃追究相关人员责任,留存整改记录,以备在面临监管调查或司法程序时作为企业合规建设的证据。
八、辩护要点分析
作为刑事辩护律师,在办理侵犯公民个人信息罪案件时,可以从以下几个层面进行辩护。
(一)客体要件辩护
- 涉案信息是否属于"公民个人信息"。 审查涉案信息是否具有可识别性,能否单独或结合其他信息识别特定自然人。经过有效脱敏、匿名化处理的数据,不再属于公民个人信息的范畴。
- 信息条数的认定是否准确。 审查侦查机关对涉案信息条数的统计方法是否科学、是否存在重复计算、是否已排除无效信息和重复信息。司法实践中,信息条数的认定直接关系到罪与非罪、此罪与彼罪的界定,是辩护的核心要点之一。
(二)客观要件辩护
- 是否存在"违反国家有关规定"的前提。 审查被告人的行为是否确实违反了相关法律法规的规定。如果企业已经履行了告知义务、获得了用户同意、采取了安全措施,则不宜认定为"违反国家有关规定"。
- 信息获取和提供行为是否具有合法性基础。 审查是否存在合法的业务合作背景、是否获得用户的明确授权、信息流转是否符合合同约定和法律规定。
- 是否属于合法的职务行为。 企业工作人员在正常业务范围内按照公司规章制度处理个人信息的行为,如果符合法律法规的要求,不应认定为犯罪。
(三)主观要件辩护
- 是否具有犯罪故意。 侵犯公民个人信息罪是故意犯罪,要求行为人明知自己的行为违反国家有关规定。如果行为人确因对法律法规理解不准确而实施了相关行为,且主观上不具有恶意,可以就主观明知问题进行辩护。
- 是否明知信息的非法来源。 对于购买、接收信息的被告人,应当审查其是否明知信息系非法获取或提供。如果被告人有合理理由相信信息来源合法,则不构成犯罪故意。
(四)量刑情节辩护
- 自首与坦白。 被告人主动投案或者如实供述自己的罪行,可以依法从轻或者减轻处罚。
- 退赃退赔。 积极退缴违法所得、赔偿被害人损失的,可以酌情从轻处罚。
- 初犯偶犯。 对于初犯、偶犯,且涉案信息数量刚达到入罪标准的,可以争取从宽处理。
- 社会危害性较小。 如果涉案信息未实际造成危害后果,或者被告人的行为社会危害性较小的,可以据此提出从轻处罚的辩护意见。
九、结语
在网络信息时代,公民个人信息保护已成为关乎社会公共利益和公民基本权利的重大议题。侵犯公民个人信息罪的设立和适用,体现了国家打击个人信息违法犯罪行为的坚定态度。对于大数据企业和从业人员而言,数据合规不再是可有可无的附加选项,而是企业生存和发展的底线要求。建立健全数据合规体系,不仅是防范刑事风险的现实需要,更是企业社会责任的体现。作为刑事辩护律师,我们既要依法维护当事人的合法权益,也要积极推动企业合规建设,为构建安全有序的数据要素市场贡献力量。
---
免责声明: 本文仅为法律知识分享与学术探讨,不构成具体案件的法律意见。每个案件的具体情况不同,如您面临相关法律问题,建议及时咨询专业律师获取针对性的法律建议。
联系方式:
- 律师: 王吉成律师
- 执业机构: 江西吉泰律师事务所
- 咨询电话: 183-0796-5661
- 微信号: lawyer_wang_zz
- 地址: 江西省吉安市吉州区平园路9号金光道大厦19楼
💡 律师提示:本文仅为法律知识分享,不构成具体案件的法律意见。如您面临具体法律问题,建议及时咨询专业律师获取针对性的法律服务。