刑法上公民个人信息的司法认定
在司法实践中,对于概念和原则的把握必然有一定的差异性,需要具体情况具体讨论。在本部分,笔者对一般个人信息的认定进行总结归纳,并对一些存在争议的情况进行分析。
(一)公民个人信息可识别性的认定
“可识别性是指个人信息能够直接或者间接地指向确定的主体。”经过上文中的讨论,根据《网络安全法》和《2017年解释》对公民个人信息的定义,我们能够得出,“识别性”是公民个人信息的核心属性,解释第3条第2款印证了这一观点。对于能够单独识别特定自然人的个人信息,往往比较容易判断,而对于需要与其他信息结合来间接识别特定自然人身份或反映特定自然人活动情况的信息,往往是个案中控辩双方争议的焦点,也是本罪的认定中最为复杂的问题。面对实践中的具体案情,对于部分关联信息是否可以认定为“公民个人信息”时,可从行为人主观目、信息对特定自然人的人身和财产安全的重要程度和信息需要结合的其他信息的程度三个方面综合分析加以判断。
以此案为例:某地一医药代表为了对医生给予用药回扣,非法获取了某医院某科室有关病床的病床号、病情和药品使用情况。此案中所涉及的非法获取的信息不宜纳入刑法中“公民个人信息”的范畴。首先,从行为人主观目的上看,并没有识别到特定自然人的目的,而仅仅是为了获取用药情况;其次,从以上信息对病人的人身安全、财产安全以及生活安宁的重要性上来看,行为人获取以上信息并不会对病人权益造成侵犯;最后,从这些信息需要与其他信息结合的程度来看,病床号、用药情况等信息并不能直接识别到个人,需要结合病人的身份证号等才能起到直接识别的作用。所以,此案中的涉案信息不属于刑法所保护的“公民个人信息”。
(二)敏感个人信息的认定
《2017年解释》第五条根据信息的重要程度、敏感程度,即信息对公民人身、财产安全的影响程度,将“公民个人信息”分为三类,并设置了不同的定罪量刑标准。
类别
列举
“情节严重”标准
(非法获取、出售或提供)
“情节特别严重“标准(非法获取、出售或提供)
特别敏感信息
踪轨迹信息、通信内容、征信信息、财产信息
五十条以上
五百条以上
敏感信息
住宿记录、通信记录、健康生理信息、交易信息
五百条以上
五千条以上
其他信息
五千条以上
五万条以上
图表 3
但是在司法实践中,仍存在对标准适用的争议,主要表现在对敏感个人信息的认定。
1.如何把握“行踪轨迹信息”的范围
行踪轨迹信息敏感程度极高,一旦信息主体的行踪轨迹信息被非法利用,可能会对权利人的人身安全造成紧迫的威胁。《2017年解释》中对于行踪轨迹信息入罪标准的规定是最低的:“非法获取、出售或者提供行踪轨迹信息50以上”的,即构成犯罪。由于《2017年解释》中对行踪轨迹信息规定了极低的入罪标准,所以司法认定时应对其范围做严格把控,应将其范围限制在能直接定位特定自然人具体位置的信息,如车辆轨迹信息和GPS定位信息等。实践中,信息的交易价格也可以作为判定其是否属于“行踪轨迹信息”的参考,因为行踪轨迹信息的价格通常最为昂贵。
对于行为人获取他人车票信息后判断出他人的行踪的情况,载于车票的信息不宜被认定为《2017年解释》所规定的“行踪轨迹信息”,因为该信息只能让行为人知道信息主体大概的活动轨迹,并不能对其进行准确定位。
2.如何把握“财产信息”的范围
财产信息是指房产、存款等能够反映公民个人财产状况的信息。对于财产信息的判断,可以从两方面进行把握:一是要综合考量主客观因素,因为犯罪应是主客观相统一的结果;而是考虑到敏感个人信息的入罪门槛已经极低,实践中应严格把握其范围。
以此案为例:行为人为了推销车辆保险,从车辆管理机构非法获取了车主姓名、电话、车型等信息。此案中的信息不宜认定为“财产信息”。因为行为人的主观目的不是侵犯信息主体的人身、财产安全,最多只会对行为人的生活安宁带来一定的影响,因而应适用非敏感公民个人信息的入罪标准。
(三)不宜纳入本罪保护对象的公开的个人信息的认定
信息主体已经公开的个人信息是否属于 “公民个人信息”的范畴,理论界存在观点分歧。笔者认为,“公民个人信息”不以隐私性为必要特征,因为《2017年解释》第1条并为采用“涉及个人隐私信息”的表述,而是以识别性作为判断标准。因此,信息的公开与否并不影响其是否可以被认定为“公民个人信息”。
对于权利人主动公开的个人信息,行为人获取相关信息的行为显然合法,且其后出售、提供的行为,当前也不宜认定为犯罪。理由如下:第一,在我国的立法和司法中,曾以“隐私性”作为界定公民个人信息的核心属性,可见公民个人信息在一定程度上是从隐私权中分离出来的权利,所以侵犯公民个人信息罪侧重于对公民隐私和生活安宁的保护。权利人之所以自愿甚至主动公开其个人信息,说明这部分信息即便被获取、出售,也通常不会对其个人隐私和生活安宁造成侵犯,因此不应纳入刑法保护范围内;第二,根据刑法第253条之一的规定,向他人出售或提供公民个人信息,只有在违反国家有关规定的前提下才构成犯罪。对于已经公开的公民个人信息,行为人获取后向他人出售或提供的行为在我国缺乏相关法律规定的情况下,应推定为存在权利人的概括同意,不需要二次授权,也就是说不应认定行为人对获取的已经由权利人公开的个人信息的出售和提供行为系“违法国家有关规定”。第三,在我国个人信息保护机制尚未健全、侵犯公民个人信息犯罪高发的背景下,应将实践中较为多发的侵犯权利人未公开的个人信息的案件作为打击的重点。
对于权利人被动公开的个人信息,行为人获取相关信息的行为可以认定为合法,但如果后续的出售或提供行为违背了权利人意愿,侵犯到了其个人隐私和生活安宁,或是对权利人人身安全、财产安全造成了威胁,则应根据实际情况以侵犯公民个人信息罪论处。
对于权利人被动公开的个人信息,行为人对相关信息的获取一般来说是合法的,但是获取信息之后的出售、提供行为如果对信息主体的人身安全、财产安全或是私生活安宁造成了侵犯,且信息主体对其相关个人信息有强烈保护意愿,则应据其情节认定为侵犯公民个人信息犯罪。
泄露个人信息不存在非法或合法一说。只要泄露你个人的信息给你造成重大损失的,可以向法院起诉。如果没造成骚扰可以报警。如果没啥影响,就算了吧。
首先民事赔偿,然后再追究刑事拘留。
非法泄露个人信息要承担法律责任,后果严重的要受法律制裁。
现行刑法规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”