最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例
推动形成个人信息保护
多元共治新格局
近日,最高人民检察院发布5件依法惩治侵犯公民个人信息犯罪典型案例。记者了解到,该批典型案例涵盖了对公民征信信息、生物识别信息、行踪轨迹信息、健康生理信息等不同类型个人信息的全面保护,体现了检察机关依法从严惩治侵犯公民个人信息犯罪的政策导向。
记者注意到,该批典型案例对司法办案中涉及个人信息的有关法律适用问题进行了重申或明确。比如,案例一明确,对客观上无法排重计算所涉个人信息数量的,可以通过确定违法所得数额作为定罪量刑的事实依据。案例二明确,对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
信息数量、违法所得数额是侵犯公民个人信息罪定罪量刑的重要依据。其中之一达到司法解释规定的标准,即可认定为“情节严重”或者“情节特别严重”,按照侵犯公民个人信息罪定罪量刑。如果二者分别属于不同的量刑幅度的,可以按照处罚较重的量刑幅度处理。
党的二十大明确指出要“加强个人信息保护”。近年来,全国检察机关强化履职担当,不断加强对公民个人信息的司法保护。2019年至今年10月,全国检察机关共批准逮捕涉嫌侵犯公民个人信息犯罪嫌疑人1.3万余人,提起公诉2.8万余人。
最高检第一检察厅负责人表示,民法典第四编第六章专章规定了“隐私权和个人信息的保护”。2021年11月1日颁布施行的个人信息保护法完善了个人信息保护的法律体系。在司法实践中,涉及信息类型的界定、刑事处罚标准的确定,以及庞杂的信息数量核查等问题,仍亟需加强指导。通过该批典型案例的选编、发布,以期促进个人信息保护相关法律深入贯彻实施,为检察办案提供指导。下一步,检察机关要进一步强化履职,结合打击治理电信网络诈骗犯罪等深挖关联犯罪,加强对上游信息采集、提供、倒卖等环节犯罪行为的全链条打击,对公民个人信息的信息类型以及刑事处罚标准加强研究,协同推进个人信息保护刑事检察和公益诉讼检察一体化办案,促进平台、行业完善内部管控,推动形成个人信息保护多元共治新格局。
关于印发检察机关依法惩治 侵犯公民个人信息犯罪 典型案例的通知 各省、自治区、直辖市人民检察院,解放军军事检察院,新疆生产建设兵团人民检察院: 最高人民检察院
近年来,全国检察机关坚持以习近平新时代中国特色社会主义思想为指导,依法能动履职,切实加强对公民个人信息的司法保护。2019年至2022年10月,共批准逮捕涉嫌侵犯公民个人信息犯罪嫌疑人1.3万余人,提起公诉2.8万余人,有力保护了被害人的合法权益。为深入学习贯彻党的二十大精神,全面贯彻习近平法治思想,积极回应社会关切,切实加强公民个人信息保护,加强办案指导,持续推动《中华人民共和国个人信息保护法》贯彻实施,最高人民检察院选编了“解某某、辛某某等人侵犯公民个人信息案”等5件检察机关依法惩治侵犯公民个人信息犯罪典型案例,现印发你们,供参考借鉴。
本批典型案例有以下特点:一是体现了依法从严惩治侵犯公民个人信息犯罪的政策导向,注重全面打击上下游犯罪。如案例三中,天津检察机关通过加强检警协作,深挖上下游犯罪,从窃取信息的源头到出售末端全面排查、精准打击,彻底斩断犯罪链条。二是体现了对公民个人信息的全面保护。个人信息内涵丰富,民法典、个人信息保护法专门进行了定义。本批案例涵盖了对公民征信信息、生物识别信息、行踪轨迹信息、健康生理信息等不同类型信息的全面保护。三是强调发挥指导检察办案的作用。如案例一提出,对客观上无法排重计算信息数量的,可以通过确定违法所得数额作为定罪量刑的事实依据。案例二提出,对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。对信息的真实性,可以采取抽样方式进行验证。四是强调法治宣传教育和促进诉源治理。通过发布典型案例,提醒广大人民群众提高自我保护意识,谨防个人信息泄露。如案例二中被告人将开发的窃取被害人照片的软件伪装成“颜值检测”软件,迷惑性极强,只要用户下载打开使用就会造成个人信息的泄露。针对行业“内鬼”泄露公民个人信息案件中反映出的管理漏洞和内部监管机制不到位等问题,检察机关通过制发检察建议,督促相关单位履行监管职责,完善管理制度,预防和杜绝泄露公民个人信息问题的发生。
下一步,各级检察机关要进一步强化履职,结合打击治理电信网络诈骗犯罪等深挖关联犯罪,加强对上游信息采集、提供、倒卖等环节犯罪行为全链条打击,加强对公民个人信息“信息类型”和刑事处罚标准的研究,充分发挥检察监督职能优势,协同推进个人信息保护刑事检察和公益诉讼检察一体化办案,促进平台、行业完善内部管控,推动形成个人信息保护多元共治新格局。
2022年12月2日
检察机关依法惩治
侵犯公民个人信息犯罪典型案例
案例一 解某某、辛某某等人 侵犯公民个人信息案
【关键词】
侵犯公民个人信息 征信信息 信息数量 违法所得数额
【基本案情】
被告人解某某,北京某信息咨询有限公司法定代表人。
被告人辛某某,北京某信息咨询有限公司股东。
被告人吴某某、郝某、李某某等基本情况略。
该公司2015年7月成立后,最初主要是网络商业推广,后公司出现亏损。解某某、辛某某便决定出售公民信息牟利。2018年1月至2019年6月,解某某、辛某某雇佣吴某某、郝某、李某某等50余人通过在网上刊登贷款广告、在公司的“点有钱”微信公众号设置贷款广告链接,吸引有贷款需求的人填写“姓名、手机号、有无本地社保和公积金、有无负债、房产和车辆持有状况、工资收入、有无保险、征信情况、借款需求、还款周期”等信息。获取上述信息后,解某某、辛某某指使员工将上述信息上传到公司开发的“点有钱”App,再通过在微信群搜集、在“点有钱”微信公众号发放广告,获取银行、金融公司信贷员的姓名和手机号。通过与信贷员联系,吸引他们在App注册充值。信贷员充值后,解某某、辛某某等人在未经信息权利人同意的情况下,将信息以每条30元至150元的价格出售给信贷员。通过出售上述信息,解某某、辛某某等人违法所得共计450余万元。
2019年6月,公安机关立案侦查,将解某某、辛某某等人抓获,从网站后台提取到公民个人信息共计31万余条。
【检察机关履职过程】
(一)审查逮捕
检察官召开联席会议研讨案件
2019年8月5日,北京市昌平区人民检察院以涉嫌侵犯公民个人信息罪对解某某等人批准逮捕。批捕后,检察机关建议公安机关围绕涉案公民个人信息的内容、数量、是否属于单位犯罪等问题进一步侦查。
(二)审查起诉
2019年12月30日,公安机关将解某某等人移送审查起诉。检察机关审查认为,2017年底,解某某、辛某某决定实施犯罪,招募员工,收集、出售公民信息,除此之外公司并无其他合法经营活动,依法应以自然人犯罪论处。由于存放数据的服务器域名过期未续费导致原始信息被删除,通过后台提取的信息包含“*”,客观上无法对具体信息条数排重计算。于是,检察机关通过审查银行流水、业绩单等电子证据等认定每名被告人的违法所得均超过5万元,属于“情节特别严重”。在共同犯罪中,解某某、辛某某起主要作用,系主犯;其余被告人系被雇佣,在犯罪中分工合作,实施信息上传、筛选、销售等,起次要作用,系从犯。经释法说理,解某某、辛某某等人均自愿认罪认罚。
2020年6月24日,昌平区人民检察院以解某某、辛某某等人涉嫌侵犯公民个人信息罪提起公诉。
(三)指控与证明犯罪
2020年9月16日,昌平区人民法院依法公开审理。
庭审中,被告人对指控的事实与罪名均无异议。但有的辩护人提出,一是本案属于单位犯罪。二是信息数量没有排重,故数量认定不准确。三是指控的违法所得包含了公司其他合法经营所得,该部分不应当作为犯罪金额。
公诉人答辩指出,一是谢某某、辛某某成立公司后,虽然最初是合法经营,但公司出现亏损后,自2017年底就预谋收集、出售公民信息,并招募员工等,2018年以后除实施收集、出售公民信息犯罪活动以外,并无其他合法经营。根据《最高人民法院关于审理单位犯罪案件具体应用法律有关问题的解释》的规定,公司、企业、事业单位设立后,以实施犯罪为主要活动的,不以单位犯罪论处。二是本案在客观上无法实现信息排重,但有确实、充分的证据可以证实各被告人违法所得数额均在5万元以上。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的规定,信息数量、违法所得数额中某一项达到刑事追诉标准,即构成侵犯公民个人信息罪。本案虽然无法确定信息数量,但可以证实被告人违法所得数额达到5万元以上,属于“情节特别严重”。三是被告人供述、公司银行流水、业绩单及各被告人之间的微信聊天记录等证据可以证实谢某某、辛某某自2018年1月以后除出售公民个人信息外并无其他合法经营活动,所以指控的金额均系犯罪所得。
(四)裁判结果
2020年12月11日,昌平区人民法院采纳检察机关指控意见和量刑建议,以侵犯公民个人信息罪判处解某某、辛某某等被告人有期徒刑三年六个月至一年四个月不等,并处罚金。
【典型意义】
(一)非法获取、出售征信信息,情节严重的,应以侵犯公民个人信息罪依法惩处。个人征信信息属于公民个人信息,包括个人基本信息、个人信贷交易信息,以及反映个人信用状况的其他信息。具有非法获取、出售征信信息50条以上,或者违法所得5000元以上情形之一的,属于“情节严重”,依法应以侵犯公民个人信息罪定罪处罚。数量或者数额达到上述规定标准十倍以上的,属于“情节特别严重”,依法应处三年以上七年以下有期徒刑,并处罚金。
(二)对客观上无法排重计算信息数量的,可以通过确定违法所得数额作为定罪量刑的事实依据。信息数量、违法所得数额是侵犯公民个人信息罪定罪量刑的重要依据。其中之一达到司法解释规定的标准,即可认定为“情节严重”或者“情节特别严重”,按照侵犯公民个人信息罪定罪量刑。如果二者分别属于不同的量刑幅度的,可以按照处罚较重的量刑幅度处理。
(三)提高自我保护意识,防止个人信息泄露。征信信息全面反映个人信贷状况,与公民人身、财产安全直接相关,被泄露后容易成为电信网络诈骗、套路贷等违法犯罪活动的被害人。生活中,要注意选择正规的金融机构贷款,不随意点击不明贷款链接,不轻易透露个人财产状况,谨防信息泄露。
案例二
李某侵犯公民个人信息案
【关键词】
侵犯公民个人信息 人脸信息 生物识别信息 信息数量
【基本案情】
被告人李某,某网络科技有限公司软件开发人员。
2020年6月至9月,李某制作了一款可以窃取安装者手机内的照片的软件。当手机用户下载安装该软件打开使用时,软件就会自动获取手机相册的照片并且上传到李某搭建的服务器后台。李某将该软件发布在暗网某论坛售卖,截至2021年2月9日,共卖得网站虚拟币30$。后李某为炫耀技术、满足虚荣心,又将该软件伪装成“颜值检测”软件,发布在某论坛供网友免费下载安装,以此方式窃取安装者手机相册照片1751张。其中,含有人脸信息、姓名、身份证号码、联系方式、家庭住址等100余条公民个人信息。
2020年9月,李某又用虚拟币在该暗网的论坛购买“社工库资料”并转存于网盘。2021年2月,李某为炫耀自己的能力,明知“社工库资料”含有户籍信息、车主信息等,仍将网盘链接分享到“业主交流”QQ群(150名成员)。经去除无效数据、合并去重后,该“社工库资料”包含公民个人信息共计8100余万条。
2021年3月9日,公安机关将李某抓获。经侦查,因“社工库资料”内容庞大且存储于境外网盘,未查到有人下载使用。
【检察机关履职过程】
(一)审查逮捕
2021年3月26日,公安机关对李某提请批准逮捕。上海市奉贤区人民检察院审查认为,李某非法获取并在QQ群内提供8100余万条公民个人信息,信息数量巨大,符合“情节特别严重”的规定,且李某利用“颜值检测”软件窃取“人脸信息”等事实需继续侦查,本案存在毁灭证据的可能,遂于4月2日批准逮捕。
(二)审查起诉
2021年5月28日,公安机关将该案移送审查起诉。奉贤区人民检察院审查认为,李某非法获取并提供公民个人信息,已涉嫌侵犯公民个人信息罪,且信息数量符合“情节特别严重”的规定,鉴于李某主观上没有出售牟利的目的,客观上未造成信息传播、扩散,且系初犯,自愿认罪认罚,8月10日,奉贤区人民检察院以李某涉嫌侵犯公民个人信息罪提起公诉,提出有期徒刑三年,缓刑三年的量刑建议。
(三)指控与证明犯罪
公诉人在庭审中指控犯罪
2021年8月23日,奉贤区人民法院依法公开审理。
庭审中,辩护人提出,一是本案未对涉案8100余万条信息的真实性核实确认,数量认定依据不足。二是被告人到案后如实供述自己利用黑客软件窃取照片的事实,还主动交代公安机关未掌握的在暗网非法购买公民个人信息并分享至QQ群的事实,对于该事实应当认定为自首。
公诉人答辩指出,一是司法鉴定机构去除无效信息,合并去重进行鉴定,鉴定出有效个人信息8100余万条,信息数量客观、真实,符合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定的对批量公民个人信息具体数量的认定规则,且公安机关抽样验证,随机抽取部分个人信息进行核实,能够确认涉案个人信息的真实性。二是公安机关抓获李某前已掌握其在暗网非法购买公民个人信息并分享到QQ群的事实,与其利用黑客软件窃取照片的行为属同种罪行,依法不能认定为自首。
(四)裁判结果
奉贤区人民法院审理认为,李某具有坦白情节,且自愿认罪认罚,对其依法从宽处理,以侵犯公民个人信息罪判处李某有期徒刑三年,缓刑三年,并处罚金。
【典型意义】
(一)对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。侵犯公民个人信息犯罪中,涉案信息动辄上万乃至数十万条,在海量信息状态下,对信息逐一核实在客观上较难实现。所以,实践中允许适用推定规则,即根据查获的数量直接认定,但这不意味着举证责任倒置,对通过技术手段可以去重的,应当作去重处理,排除重复的信息。对信息的真实性,可以采取抽样方式进行验证。
(二)人脸信息是具有不可更改性和唯一性的生物识别信息。人脸识别技术给生活带来便利的同时,也容易被犯罪分子窃取利用或者制作合成,破解人脸识别验证程序,侵害隐私、名誉和财产。生活中,要谨慎下载使用“颜值检测”等“趣味”软件,防范个人信息泄露,造成合法权益受损。
案例三 谢某、李某甲等人 侵犯公民个人信息案
【关键词】
侵犯公民个人信息 全链条打击 宽严相济 诉源治理
【基本案情】
被告人谢某,无业。
被告人李某甲,无业。
被告人李某乙、张某、刘某甲、高某、刘某乙等基本情况略。
2020年,某公司针对新型农村社会养老保险(简称“新农保”)研发了一款具备快速注册和人脸识别功能的App。谢某获悉后,联系该公司表示可免费承接认证操作业务。2021年4月至7月,谢某先后组织杨某等10人前往吉林、辽宁多地农村,使用该App对参保村民进行认证。
其间,天津市宁河区的李某甲、李某乙等人与谢某联系,向谢某提供事先已经批量注册的百家号“白号”(未实名认证),由谢某等人借“新农保”认证之机采集村民姓名、身份证号码和人脸信息,将上述“白号”激活为具备发布功能和商业营销价值的实名认证账号,再向李某甲、李某乙等人出售。
通过此种方式,李某甲、李某乙从谢某处购得账号1.9万余个,连同从张某、刘某甲等人处非法获取的其他账号,在宁河区又向高某、刘某乙等20余人出售。高某、刘某乙等人将所得账号再出售或者批量运营,致使包含公民个人信息的实名账号被多次转卖,被用于运营收益等。
2021年7月至11月,上述人员被陆续抓获。经查,李某甲违法所得70余万元,谢某等11人违法所得共计31余万元,李某乙、刘某甲等26人违法所得数千元至10余万元不等。
【检察机关履职过程】
(一)引导侦查
应公安机关商请,天津市宁河区人民检察院提出犯罪嫌疑人的行为涉嫌侵犯公民个人信息罪,建议围绕信息获取方式、数量、流向、违法所得等收集证据,固定关键电子证据防止灭失。公安机关及时开展侦查,排查控制了其他上下游涉案人员,同步扣押手机、电脑等作案工具。
(二)审查逮捕
公安机关将谢某、李某甲等29人提请批准逮捕。宁河区人民检察院审查认为,上述犯罪嫌疑人在主观恶性、犯罪层级、违法所得数额等方面存在较大差异,应区分处理。审查后,对谢某等直接窃取公民个人信息的犯罪团伙成员,李某甲等专门从事网络账号灰产的购买者及其他情节较重、违法所得数额较高的犯罪嫌疑人依法作出批捕决定;对情节较轻、违法所得数额较低的中末端购买者,评估社会危险性后作出不批捕决定。根据这一标准,公安机关对后续拟提请批准逮捕的9名犯罪嫌疑人采取了非羁押强制措施。批捕后,检察机关制发继续侦查提纲,建议公安机关继续深挖上下游犯罪。
(三)审查起诉
2021年10月29日、12月10日,公安机关陆续将谢某、李某甲等38人移送审查起诉。宁河区人民检察院全面审查案件事实、证据,开展认罪认罚和追赃工作。审查后,检察机关对窃取信息源头的主犯、与谢某直接联络的始端购买者李某甲、李某乙等9人依法起诉并建议判处实刑;对团伙从犯、销售环节赚取差价及仅有购买行为的27名中末端人员,结合情节、获利、退赃情况依法起诉并建议判处缓刑;对犯罪情节轻微,依法不需要判处刑罚的1名未成年犯罪嫌疑人,1名在校就读的大学生犯罪嫌疑人作出相对不起诉处理。上述38名犯罪嫌疑人均认罪认罚,退赃共计100余万元。
(四)指控与证明犯罪
2021年12月14日、2022年3月9日,宁河区人民检察院陆续将谢某、李某甲等36人提起公诉。
庭审中,各被告人均当庭认罪认罚。李某甲的辩护人提出,被告人系先买入后卖出的行为,计算违法所得时应将购买信息的费用作为成本扣减。
公诉人答辩指出,违法所得是犯罪分子因实施违法犯罪活动而取得的全部财产。根据《检察机关办理侵犯公民个人信息案件指引》的规定,对于违法所得,直接以被告人出售公民个人信息的收入予以认定,不必扣减其购买信息的犯罪成本。
(五)裁判结果
2022年6月8日、21日,宁河区人民法院采纳检察机关全部指控事实和量刑建议,认定谢某、李某甲等36人构成侵犯公民个人信息罪,对谢某、李某甲等9人分别判处有期徒刑四年至二年不等,并处罚金,对李某乙等27人分别判处有期徒刑三年至六个月不等,适用缓刑,并处罚金。
(六)综合治理
检察机关向有关职能部门送达检察建议
对办案中发现的社保认证工作的管理漏洞,宁河区人民检察院向有关职能部门制发检察建议,建议规范“新农保”认证工作流程和保密规定,加强委托合作方的资质审核及转委托监督,加强个人信息保护法治宣传。
【典型意义】
(一)从严惩处,全面打击上下游犯罪。侵犯公民个人信息犯罪往往呈现链条化、产业化特征,严重影响人民群众安全感,对“上游窃取信息—中间购买加工—下游运营获利”的链条式犯罪,通过加强检警协作,深挖上下游犯罪,从窃取源头到出售末端,全面排查、精准打击,彻底斩断犯罪链条。
(二)区分情形、区别对待,落实宽严相济刑事政策。对犯罪嫌疑人众多的侵犯公民个人信息犯罪,要结合犯罪嫌疑人在共同犯罪中的地位、作用、主观恶性、犯罪情节等,依法区分主从犯,分类处理。对主犯、“职业惯犯”以及利用未成年人实施犯罪的,要依法从严处理,当捕则捕,当诉则诉,并建议从严判处实刑。对认罪认罚、积极退赃退赔,初犯、偶犯,作用较小、获利较少的从犯,要依法从宽处理,采取非羁押措施,依法不起诉或者建议判处缓刑。
(三)延伸职能,注重诉源治理。检察机关在办案中,要注意分析案件反映出的问题,加强与相关职能部门沟通,通过检察建议等方式提示风险、督促改进,及时堵塞社会治理漏洞,促进形成保护公民个人信息的合力。
案例四 陈某甲、于某、陈某乙 侵犯公民个人信息案
【关键词】
侵犯公民个人信息 行踪轨迹信息 情节特别严重
【基本案情】
被告人陈某甲,无业。
被告人于某,无业。
被告人陈某乙,无业。
2018年,陈某甲了解到“私家侦探”获利高。2020年,陈某甲决定从事“私家侦探”活动,后在网上发布信息,称可找人、查人,并注册了昵称为“专业商务调查”的微信号承揽业务。2020年12月,闵某(另案处理)通过网络搜索,联系到陈某甲,要求陈某甲寻找其离家出走的妻子郭某,并将郭某的姓名、照片、手机号码等提供给陈某甲。陈某甲于2021年1月、3月将郭某的手机号码交给他人(网络用名,正在进一步侦查确认),由该人获得郭某的手机定位后反馈给陈某甲。陈某甲则伙同于某等人在山西省吕梁市柳林县采取蹲点守候的方式,确认了郭某的具体位置,并向闵某提供。
2021年6月,闵某再次联系陈某甲要求帮助寻找其妻子。6月17日,陈某甲又采取上述方法获得了郭某的手机定位信息、快递地址信息。6月18日,陈某甲与于某、陈某乙三人驾车到达山西省吕梁市柳林县,与闵某一起蹲点守候到6月23日。后被害人郭某出现后,陈某甲等三人驾车离开。当日13时左右,闵某将郭某杀害。
经查,闵某先后支付陈某甲39500元。陈某甲分给于某9000元、分给陈某乙6000元。
【检察机关履职过程】
(一)审查逮捕
检察机关与公安机关召开案件分析会
山西省柳林县人民检察院在审查逮捕闵某涉嫌故意杀人案时,发现陈某甲、于某、陈某乙虽然不能认定为闵某故意杀人罪的共犯,但涉嫌侵犯公民个人信息犯罪,遂建议公安机关立案侦查。后公安机关以陈某甲、于某、陈某乙涉嫌侵犯公民个人信息罪提请批准逮捕。
2021年8月5日,柳林县人民检察院审查认为,陈某甲、于某、陈某乙出售公民行踪轨迹信息,被他人用于犯罪,造成被害人死亡的严重后果,属于侵犯公民个人信息“情节特别严重”,依法对三人作出批捕决定。批捕后,检察机关制发继续侦查提纲,建议公安机关进一步梳理闵某给陈某甲的转账证据,继续查找其他犯罪嫌疑人。
(二)审查起诉
2021年9月22日,公安机关将该案移送审查起诉。其间,陈某甲、于某的家属对被害人家属进行了赔偿,被害人家属对二人表示谅解。三人均认罪认罚,在辩护人见证下自愿签署具结书。检察机关根据被告人在犯罪中的地位、作用,认定陈某甲在共同犯罪中起主要作用,系主犯;于某、陈某乙在共同犯罪中起次要、辅助作用,系从犯。10月22日,检察机关将三名被告人以涉嫌侵犯公民个人信息罪提起公诉,并提出量刑建议。
(三)指控与证明犯罪
2021年12月16日,柳林县人民法院公开开庭审理。
审理期间,陈某乙对被害人家属进行了赔偿。三名被告人及辩护人对检察机关指控的事实、罪名均无异议。陈某甲的辩护人提出,被害人家属已谅解,陈某甲自愿认罪认罚,建议从轻处罚,并适用缓刑。
公诉人答辩指出,被告人通过采用手机定位、查看快递信息、蹲点守候等手段非法获取被害人郭某的个人信息并提供给闵某,闵某据此信息将被害人郭某找到并杀害。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的规定,出售或者提供行踪轨迹信息,被他人用于犯罪的,应当认定为“情节严重”;造成被害人死亡的,应当认定为“情节特别严重”。本案被告人陈某甲即属于“情节特别严重”的情形,依法应判处三年以上七年以下有期徒刑,虽然认罪认罚,可以依法从宽处理,但仍应判处三年以上有期徒刑,不符合适用缓刑的条件。
(四)裁判结果
2021年12月25日,柳林县人民法院采纳检察机关指控事实和量刑建议,认定三名被告人构成侵犯公民个人信息罪,判处陈某甲、于某、陈某乙有期徒刑三年至一年三个月不等,并处罚金。
【典型意义】
(一)非法获取、出售或者提供行踪轨迹信息,构成犯罪的,应当依法从严惩处。行踪轨迹信息属于公民个人信息。行为人出售或者提供行踪轨迹信息,被他人用于犯罪的,应认定为“情节严重”,依法构成侵犯公民个人信息罪。实施前述行为,造成被害人死亡等严重后果的,属于侵犯公民个人信息罪“情节特别严重”,依法应判处三年以上七年以下有期徒刑。
(二)强化行踪轨迹信息保护意识,维护自身安全。行踪轨迹信息可以直接定位特定自然人的具体位置,与公民的生命、健康、财产、隐私等息息相关。犯罪分子通过窃取、非法提供行踪轨迹信息谋取不法利益,严重危害公民人身、财产安全和社会管理秩序。生活中,要注意提高对快递地址、手机号码、定位信息等个人信息的保护意识和安全防范意识,防止被不法分子窃取利用。
案例五 韦某、吴某甲、吴某乙 侵犯公民个人信息案
【关键词】
侵犯公民个人信息 行业“内鬼” 健康生理信息 诉源治理
【基本案情】
被告人韦某,某医院产科主管护师。
被告人吴某甲、吴某乙,二人均系保健按摩中心个体经营者。
吴某甲、吴某乙在广西南宁市江南区经营一家保健按摩中心,主要是向产妇提供服务。为扩大客源,吴某甲向南宁市某医院产科主管护师韦某提出,由韦某提供产妇信息,并承诺每发展一名客户就给韦某50元或60元报酬,若客户后续办卡消费则另外向韦某支付10%的提成。
2018年至2020年6月,韦某便以写论文需要数据为由,通过欺骗有权限的同事登录该医院“护士站”系统查询产妇信息后拍照发给自己,或者自行通过科室办公电脑查询该医院“桂妇儿”系统产妇信息后拍照,不定期将上述产妇信息照片通过微信发给吴某甲,吴某甲、吴某乙则利用上述信息安排员工通过电话联系产妇发展客户。
经查,韦某向吴某甲、吴某乙出售包括产妇姓名、家庭住址、电话号码、分娩日期、分娩方式等在内的产妇健康生理信息500余条。
【检察机关履职过程】
(一)审查逮捕
2020年7月10日,公安机关对韦某、吴某甲、吴某乙提请批准逮捕。广西南宁青秀区人民检察院审查认为,韦某、吴某甲、吴某乙涉嫌侵犯公民个人信息罪,可能判处徒刑以上刑罚,因部分事实需进一步查证,不采取逮捕措施可能导致证据被毁灭,遂作出批捕决定。
(二)审查起诉
检察官与公安人员梳理研判案件证据
2020年9月11日,公安机关将该案移送审查起诉。10月12日,青秀区人民检察院将该案移送有管辖权的江南区人民检察院审查起诉。检察机关通过梳理韦某获取产妇健康生理信息的渠道、交易方式等,认定韦某非法获取、出售产妇公民个人信息数量500余条,依法应予定罪处罚。而且,韦某将其在履职过程中获得的信息出售给他人,依法应从重处罚。经释法说理,韦某等三人均认罪认罚,在辩护人见证下自愿签署具结书。10月26日,江南区人民检察院对韦某、吴某甲、吴某乙以侵犯公民个人信息罪提起公诉。
(三)指控与证明犯罪
2020年11月12日,江南区人民法院依法公开审理。
审理期间,韦某主动退赔违法所得。韦某、吴某甲及辩护人提出,涉案公民个人信息大部分隐私性不高,且未被用于其他违法犯罪活动;吴某乙及辩护人提出,吴某乙没有直接参与获取产妇信息,是从犯的辩护意见。
公诉人答辩指出,涉案信息不仅有产妇姓名、家庭住址、电话号码等一般信息,还涉及分娩日期、分娩方式等隐私信息,敏感程度高,韦某将在履职或者提供服务过程中获得的信息出售给他人,不仅侵害孕产妇的个人权益,还危害了整个医疗体系的信用,依法应从重处罚。吴某乙虽未直接参与获取信息,但与吴某甲共同出资购买信息,并用于经营活动,在共同犯罪中起主要作用,系主犯,应当按照其所参与的全部犯罪处罚。
(四)裁判结果
2020年12月16日,江南区人民法院采纳检察机关的指控事实和意见,认定韦某、吴某甲、吴某乙犯侵犯公民个人信息罪,分别判处韦某、吴某甲、吴某乙有期徒刑十个月,缓刑两年至有期徒刑六个月不等,并处罚金。
(五)综合治理
针对涉案医院对公民个人信息管理不善、对从业人员纪律约束不强、法治教育不足等问题,江南区人民检察院制发检察建议,促进涉案医院倒查信息安全管理状况,完善患者信息安全管理措施与制度,从源头防范公民个人信息泄露。
【典型意义】
(一)依法打击“行业”内鬼内外勾连出售公民个人信息犯罪活动。产妇分娩信息等是医院在开展医疗活动过程中掌握的公民健康生理信息。对于医护人员将其在履行职责或者提供服务中获得的产妇健康生理信息出售或者提供给他人的行为,构成犯罪的,应依法予以打击。对下游非法获取公民个人信息的犯罪也应依法打击,实现全链条惩处。
(二)通过检察建议促进诉源治理。行业“内鬼”泄露公民个人信息,反映出部分重点领域公民个人信息管理存在漏洞,内部监管机制不到位,相关从业人员法律意识淡薄。检察机关办案中应通过制发检察建议,督促医疗单位履行监管职责,完善对患者健康生理信息的安全管理制度,预防和杜绝泄露公民个人信息问题的发生。