利用被外包至网络安全公司360公司为硬件销售部门提供客户服务的机会,武汉某人力资源服务公司员工赵泽毅私自下载客户订单信息,并将订单信息贩卖给他人。
360公司道德委员会查实后,将赵泽毅扭送公安机关,朝阳区法院今年4月宣判,赵泽毅犯侵犯公民个人信息罪,判处有期徒刑9个月,罚金5000元。
2016年,全国公安机关共侦破网络侵犯公民个人信息案件2100多起,查获公民个人信息500多亿条,抓获犯罪嫌疑人5000多人,其中属于各行业内部的人员450多人。
“过去一年中,我们打击侵犯公民个人信息犯罪在法律适用上还存在一些困难。”公安部网络技术研发中心主任许剑卓说。
由于缺少司法解释,关于“公民个人信息”的界定,以及“情节严重”的标准难以统一,造成难以发挥最大打击效果。(参看本报2016年12月16日报道《剑指侵犯个人信息犯罪 最高法正起草司法解释》。)
5月9日,最高人民法院、最高人民检察院公布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)。《解释》将公民个人信息分为敏感信息、重要信息和普通信息,如果被侵犯数量分别达到50条、500条、5000条的标准,则可能构成犯罪。
对于“内部人”犯罪,《解释》则规定“减半计算”的从重打击。
严惩“内部人”犯罪
“侵犯公民个人信息犯罪已经成为其他各类犯罪的上游犯罪,敲诈勒索、电信诈骗等多数是以非法获取个人信息为前提的。”公安部网络技术研发中心主任许剑卓说。
最高人民法院研究室主任颜茂昆介绍,从2009年2月至2015年10月,全国法院共审结出售、非法提供公民个人信息、非法获取公民个人信息刑事案件969起,生效判决人数1415人。
我国刑法在2009年增设“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。2015年又作了修正,将上述两个罪名统一为“侵犯公民个人信息罪”。
2015年11月至2016年12月,全国法院新收侵犯公民个人信息刑事案件495件,审结464件,生效判决人数697人。可以发现,此类犯罪呈现迅速增长。
值得注意的是,“内部人”作案成为公民个人信息泄露的重要原因。
2015年9月,湖北省巴东县查获了一起非法获取公民银行征信信息案,在这起案件中,银行工作人员参与其中。洛阳银行郑州东风路支行客户经理耿健美、德州银行滨州金廷支行行长卢惠生分别提供了各自银行的专用网络,还有湖北、江苏等地银行职员的征信查询ID号、密码被利用。
许剑卓介绍,从打击情况看,目前造成危害最大的主要是银行、教育、工商、电信、快递、证券、电商各个行业的人员,内部人员把数据泄露出来,成为侵犯公民个人信息的主体。
当前,不少网络运营者因为履行职责或者提供服务的需要,掌握着海量公民个人信息,这些信息一旦泄露将造成严重危害。对此,《网络安全法》第四十条明确规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”
《解释》进一步规定:“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。”
侵犯50条敏感信息即犯罪
《解释》规定上述罪名中的公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
“采用概括加列举的方式定义公民个人信息,首先是对现实当中常见、多发案例加以总结;其次是考虑到公众对个人信息保护的专业性认识有限,列举的方式便于理解和掌握司法解释的精神。”北京师范大学刑事法律科学研究院副教授吴沈括告诉记者。
值得注意的是,《解释》对公民个人信息进行了分类,并分别制定了入罪标准。
对于行踪轨迹信息、通信内容、征信信息、财产信息这些“敏感信息”,非法获取、出售或者提供五十条以上即可构成犯罪。
对于住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息,非法获取、出售或者提供五百条以上即可构成犯罪。
对于上述两项之外的公民个人信息,非法获取、出售或者提供五千条以上即可构成犯罪。
“《解释》明确规定,特殊主体侵犯公民个人信息,定罪量刑标准比一般人更低。比如一般人提供50条高度敏感信息入罪,如果是从事金融、电信、医疗等部门的人员提供履行职责或者提供服务过程中获得的高度敏感信息的,25条就够了,也就是减半处理,这体现了对内部人员侵犯公民个人信息犯罪从重处罚的精神。”颜茂昆说。
《解释》还规定,如果不计算信息数量,违法所得五千元以上也可构成犯罪。
“《解释》有利于法院审理此类案件时统一量刑标准、从严把握刑法法条,在刑事司法网络严密之后,从严打击侵犯公民个人信息犯罪自然是题中之义。”吴沈括说。