【发布部门】最高人民检察院【发文字号】高检发侦监字[2018]13号【发布日期】2018.11.09【实施日期】2018.11.09【效力级别】司法解释性质文件
根据《中华人民共和国刑法》第二百五十三条之一的规定,侵犯公民个人信息罪是指违反国家有关规定,向他人出售、提供公民个人信息,或者通过窃取等方法非法获取公民个人信息,情节严重的行为。结合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)(以下简称《解释》),办理侵犯公民个人信息案件,应当特别注意以下问题:一是对“公民个人信息”的审查认定;二是对“违反国家有关规定”的审查认定;三是对“非法获取”的审查认定;四是对“情节严重”和“情节特别严重”的审查认定;五是对关联犯罪的审查认定。
一、审查证据的基本要求
(一)审查逮捕
1.有证据证明发生了侵犯公民个人信息犯罪事实
(1)证明侵犯公民个人信息案件发生
主要证据包括:报案登记、受案登记、立案决定书、破案经过、证人证言、被害人陈述、犯罪嫌疑人供述和辩解以及证人、被害人提供的短信、微信或QQ截图等电子数据。
(2)证明被侵犯对象系公民个人信息
主要证据包括:扣押物品清单、勘验检查笔录、电子数据、司法鉴定意见及公民信息查询结果说明、被害人陈述、被害人提供的原始信息资料和对比资料等。
2.有证据证明侵犯公民个人信息行为是犯罪嫌疑人实施的
(1)证明违反国家有关规定的证据:犯罪嫌疑人关于所从事的职业的供述、其所在公司的工商注册资料、公司出具的犯罪嫌疑人职责范围说明、劳动合同、保密协议及公司领导、同事关于犯罪嫌疑人职责范围的证言等。
(2)证明出售、提供行为的证据:远程勘验笔录及QQ、微信等即时通讯工具聊天记录、论坛、贴吧、电子邮件、手机短信记录等电子数据,证明犯罪嫌疑人通过上述途径向他人出售、提供、交换公民个人信息的情况。公民个人信息贩卖者、提供者、担保交易人及购买者、收受者的证言或供述,相关银行账户明细、第三方支付平台账户明细,证明出售公民个人信息违法所得情况。此外,如果犯罪嫌疑人系通过信息网络发布方式提供公民个人信息,证明该行为的证据还包括远程勘验笔录、扣押笔录、扣押物品清单、对手机、电脑存储介质、云盘、FTP等的司法鉴定意见等。
(3)证明犯罪嫌疑人或公民个人信息购买者、收受者控制涉案信息的证据:搜查笔录、扣押笔录、扣押物品清单,对手机、电脑存储介质等的司法鉴定意见等,证实储存有公民个人信息的电脑、手机、U盘或者移动硬盘、云盘、FTP等介质与犯罪嫌疑人或公民个人信息购买者、收受者的关系。犯罪嫌疑人供述、辨认笔录及证人证言等,证实犯罪嫌疑人或公民个人信息购买者、收受者所有或实际控制、使用涉案存储介质。
(4)证明涉案公民个人信息真实性的证据:被害人陈述、被害人提供的原始信息资料、公安机关或相关单位出具的涉案公民个人信息与权威数据库内信息同一性的比对说明。针对批量的涉案公民个人信息的真实性问题,根据《解释》精神,可以根据查获的数量直接认定,但有证据证明信息不真实或重复的除外。
(5)证明违反国家规定,通过窃取、购买、收受、交换等方式非法获取公民个人信息的证据:主要证据与上述以出售、提供方式侵犯公民个人信息行为的证据基本相同。针对窃取的方式如通过技术手段非法获取公民个人信息的行为,需证明犯罪嫌疑人实施上述行为,除被害人陈述、犯罪嫌疑人供述和辩解外,还包括侦查机关从被害公司数据库中发现入侵电脑IP地址情况、从犯罪嫌疑人电脑中提取的侵入被害公司数据的痕迹等现场勘验检查笔录,以及涉案程序(木马)的司法鉴定意见等。
3.有证据证明犯罪嫌疑人具有侵犯公民个人信息的主观故意
(1)证明犯罪嫌疑人明知没有获取、提供公民个人信息的法律依据或资格,主要证据包括:犯罪嫌疑人的身份证明、犯罪嫌疑人关于所从事职业的供述、其所在公司的工商资料和营业范围、公司关于犯罪嫌疑人的职责范围说明、公司主要负责人的证人证言等。
(2)证明犯罪嫌疑人积极实施窃取、出售、提供、购买、交换、收受公民个人信息的行为,主要证据除了证人证言、犯罪嫌疑人供述和辩解外,还包括远程勘验笔录、手机短信记录、即时通讯工具聊天记录、电子数据司法鉴定意见、银行账户明细、第三方支付平台账户明细等。
4.有证据证明“情节严重”或“情节特别严重”
(1)公民个人信息购买者或收受者的证言或供述。
(2)公民个人信息购买、收受公司工作人员利用公民个人信息进行电话或短信推销、商务调查等经营性活动后出具的证言或供述。
(3)公民个人信息购买者或者收受者利用所获信息从事违法犯罪活动后出具的证言或供述。
(4)远程勘验笔录、电子数据司法鉴定意见书、最高人民检察院或公安部指定的机构对电子数据涉及的专门性问题出具的报告、公民个人信息资料等。证明犯罪嫌疑人通过即时通讯工具、电子邮箱、论坛、贴吧、手机等向他人出售、提供、购买、交换、收受公民个人信息的情况。
(5)银行账户明细、第三方支付平台账户明细。
(6)死亡证明、伤情鉴定意见、医院诊断记录、经济损失鉴定意见、相关案件起诉书、判决书等。
(二)审查起诉
除审查逮捕阶段证据审查基本要求之外,对侵犯公民个人信息案件的审查起诉工作还应坚持“犯罪事实清楚,证据确实、充分”的标准,保证定罪量刑的事实都有证据证明;据以定案的证据均经法定程序查证属实;综合全案证据,对所认定的事实已排除合理怀疑。
1.有确实充分的证据证明发生了侵犯公民个人信息犯罪事实。该证据与审查逮捕的证据类型相同。
2.有确实充分的证据证明侵犯公民个人信息行为是犯罪嫌疑人实施的
(1)对于证明犯罪行为是犯罪嫌疑人实施的证据审查,需要结合《解释》精神,准确把握对“违反国家有关规定”“出售、提供行为”“窃取或以其他方法”的认定。
(2)对证明违反国家有关规定的证据审查,需要明确国家有关规定的具体内容,违反法律、行政法规、部门规章有关公民个人信息保护规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。
(3)对证明出售、提供行为的证据审查,应当明确“出售、提供”包括在履职或提供服务的过程中将合法持有的公民个人信息出售或者提供给他人的行为:向特定人提供、通过信息网络或者其他途径发布公民个人信息、未经被收集者同意,将合法收集的公民个人信息(经过处理无法识别特定个人且不能复原的除外)向他人提供的,均属于刑法第二百五十三条之一规定的“提供公民个人信息”。应当全面审查犯罪嫌疑人所出售提供公民个人信息的来源、途经与去向,对相关供述、物证、书证、证人证言、被害人陈述、电子数据等证据种类进行综合审查,针对使用信息网络进行犯罪活动的,需要结合专业知识,根据证明该行为的远程勘验笔录、扣押笔录、扣押物品清单、电子存储介质、网络存储介质等的司法鉴定意见进行审查。
(4)对证明通过窃取或以其他非法方法获取公民个人信息等方式非法获取公民个人信息的证据审查,应当明确“以其他方法获取公民个人信息”包括购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的行为。
针对窃取行为,如通过信息网络窃取公民个人信息,则应当结合犯罪嫌疑人供述、证人证言、被害人陈述,着重审查证明犯罪嫌疑人侵入信息网络、数据库时的IP地址、MAC地址、侵入工具、侵入痕迹等内容的现场勘验检查笔录以及涉案程序(木马)的司法鉴定意见等。
针对购买、收受、交换行为,应当全面审查购买、收受、交换公民个人信息的来源、途经、去向,结合犯罪嫌疑人供述和辩解、辨认笔录、证人证言等证据,对搜查笔录、扣押笔录、扣押物品清单、涉案电子存储介质等司法鉴定意见进行审查,明确上述证据同犯罪嫌疑人或公民个人信息购买、收受、交换者之间的关系。
针对履行职责、提供服务过程中收集公民个人信息的行为,应当审查证明犯罪嫌疑人所从事职业及其所负职责的证据,结合法律、行政法规、部门规章等国家有关公民个人信息保护的规定,明确犯罪嫌疑人的行为属于违反国家有关规定,以其他方法非法获取公民个人信息的行为。
(5)对证明涉案公民个人信息真实性证据的审查,应当着重审查被害人陈述、被害人提供的原始信息资料、公安机关或其他相关单位出具的涉案公民个人信息与权威数据库内信息同一性的对比说明。对批量的涉案公民个人信息的真实性问题,根据《解释》精神,可以根据查获的数量直接认定,但有证据证明信息不真实或重复的除外。
3.有确实充分的证据证明犯罪嫌疑人具有侵犯公民个人信息的主观故意
(1)对证明犯罪嫌疑人主观故意的证据审查,应当综合审查犯罪嫌疑人的身份证明、犯罪嫌疑人关于所从事职业的供述、其所在公司的工商资料和营业范围、公司关于犯罪嫌疑人的职责范围说明、公司主要负责人的证人证言等,结合国家公民个人信息保护的相关规定,夯实犯罪嫌疑人在实施犯罪时的主观明知。
(2)对证明犯罪嫌疑人积极实施窃取或者以其他方法非法获取公民个人信息行为的证据审查,应当结合犯罪嫌疑人供述、证人证言,着重审查远程勘验笔录、手机短信记录、即时通讯工具聊天记录、电子数据司法鉴定意见、银行账户明细、第三方支付平台账户明细等,明确犯罪嫌疑人在实施犯罪时的积极作为。
4.有确实充分的证据证明“情节严重”或“情节特别严重”。该证据与审查逮捕的证据类型相同。
二、需要特别注意的问题
在侵犯公民个人信息案件审查逮捕、审查起诉中,要根据相关法律、司法解释等规定,结合在案证据,重点注意以下问题:
(一)对“公民个人信息”的审查认定
根据《解释》的规定,公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。经过处理无法识别特定自然人且不能复原的信息,虽然也可能反映自然人活动情况,但与特定自然人无直接关联,不属于公民个人信息的范畴。
对于企业工商登记等信息中所包含的手机、电话号码等信息,应当明确该号码的用途。对由公司购买、使用的手机、电话号码等信息,不属于个人信息的范畴,从而严格区分“手机、电话号码等由公司购买,归公司使用”与“公司经办人在工商登记等活动中登记个人电话、手机号码”两种不同情形。
(二)对“违反国家有关规定”的审查认定
《中华人民共和国刑法修正案(九)》将原第二百五十三条之一的“违反国家规定”修改为“违反国家有关规定”,后者的范围明显更广。根据刑法第九十六条的规定,“国家规定”仅限于全国人大及其常委会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。而“国家有关规定”还包括部门规章,这些规定散见于金融、电信、交通、教育、医疗、统计、邮政等领域的法律、行政法规或部门规章中。
(三)对“非法获取”的审查认定
在窃取或者以其他方法非法获取公民个人信息的行为中,需要着重把握“其他方法”的范围问题。“其他方法”,是指“窃取”以外,与窃取行为具有同等危害性的方法,其中,购买是最常见的非法获取手段。侵犯公民个人信息犯罪作为电信网络诈骗的上游犯罪,诈骗分子往往先通过网络向他人购买公民个人信息,然后自己直接用于诈骗或转发给其他同伙用于诈骗,诈骗分子购买公民个人信息的行为属于非法获取行为,其同伙接收公民个人信息的行为明显也属于非法获取行为。同时,一些房产中介、物业管理公司、保险公司、担保公司的业务员往往与同行通过QQ、微信群互相交换各自掌握的客户信息,这种交换行为也属于非法获取行为。此外,行为人在履行职责、提供服务过程中,违反国家有关规定,未经他人同意收集公民个人信息,或者收集与提供的服务无关的公民个人信息的,也属于非法获取公民个人信息的行为。
(四)对“情节严重”和“情节特别严重”的审查认定
1.关于“情节严重”的具体认定标准,根据《解释》第五条第一款的规定,主要涉及五个方面:
(1)信息类型和数量。①行踪轨迹信息、通信内容、征信信息、财产信息,此类信息与公民人身、财产安全直接相关,数量标准为五十条以上,且仅限于上述四类信息,不允许扩大范围。对于财产信息,既包括银行、第三方支付平台、证券期货等金融服务账户的身份认证信息(一组确认用户操作权限的数据,包括账号、口令、密码、数字证书等),也包括存款、房产、车辆等财产状况信息。②住宿信息、通信记录、健康生理信息、交易信息等可能影响公民人身、财产安全的信息,数量标准为五百条以上,此类信息也与人身、财产安全直接相关,但重要程度要弱于行踪轨迹信息、通信内容、征信信息、财产信息。对“其他可能影响人身、财产安全的公民个人信息”的把握,应当确保所适用的公民个人信息涉及人身、财产安全,且与“住宿信息、通信记录、健康生理信息、交易信息”在重要程度上具有相当性。③除上述两类信息以外的其他公民个人信息,数量标准为五千条以上。
(2)违法所得数额。对于违法所得,可直接以犯罪嫌疑人出售公民个人信息的收入予以认定,不必扣减其购买信息的犯罪成本。同时,在审查认定违法所得数额过程中,应当以查获的银行交易记录、第三方支付平台交易记录、聊天记录、犯罪嫌疑人供述、证人证言综合予以认定,对于犯罪嫌疑人无法说明合法来源的用于专门实施侵犯公民个人信息犯罪的银行账户或第三方支付平台账户内资金收入,可综合全案证据认定为违法所得。
(3)信息用途。公民个人信息被他人用于违法犯罪活动的,不要求他人的行为必须构成犯罪,只要行为人明知他人非法获取公民个人信息用于违法犯罪活动即可。
(4)主体身份。如果行为人系将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的,涉案信息数量、违法所得数额只要达到一般主体的一半,即可认为“情节严重”。
(5)主观恶性。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的,即可认为“情节严重”。
2.关于“情节特别严重”的认定标准,根据《解释》,主要分为两类:一是信息数量、违法所得数额标准。二是信息用途引发的严重后果,其中造成人身伤亡、经济损失、恶劣社会影响等后果,需要审查认定侵犯公民个人信息的行为与严重后果间存在因果关系。
对于涉案公民个人信息数量的认定,根据《解释》第十一条,非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算;向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算;对批量出售、提供公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。在实践中,如犯罪嫌疑人多次获取同一条公民个人信息,一般认定为一条,不重复累计;但获取的该公民个人信息内容发生了变化的除外。
对于涉案公民个人信息的数量、社会危害性等因素的审查,应当结合刑法第二百五十三条和《解释》的规定进行综合审查。涉案公民个人信息数量极少,但造成被害人死亡等严重后果的,应审查犯罪嫌疑人行为与该后果之间的因果关系,符合条件的,可以认定为实施《解释》第五条第一款第十项“其他情节严重的情形”的行为,造成被害人死亡等严重后果,从而认定为“情节特别严重”。如涉案公民个人信息数量较多,但犯罪嫌疑人仅仅获取而未向他人出售或提供,则可以在认定相关犯罪事实的基础上,审查该行为是否符合《解释》第五条第一款第三、四、五、六、九项及第二款第三项的情形,符合条件的,可以分别认定为“情节严重”“情节特别严重”。
此外,针对为合法经营活动而购买、收受公民个人信息的行为,在适用《解释》第六条的定罪量刑标准时须满足三个条件:一是为了合法经营活动,对此可以综合全案证据认定,但主要应当由犯罪嫌疑人一方提供相关证据;二是限于普通公民个人信息,即不包括可能影响人身、财产安全的敏感信息;三是信息没有再流出扩散,即行为方式限于购买、收受。如果将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准应当适用《解释》第五条的规定。
(五)对关联犯罪的审查认定
对于侵犯公民个人信息犯罪与电信网络诈骗犯罪相交织的案件,应严格按照《最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》(法发〔2016〕32号)的规定进行审查认定,即通过认真审查非法获取、出售、提供公民个人信息的犯罪嫌疑人对电信网络诈骗犯罪的参与程度,结合能够证实其认知能力的学历文化、聊天记录、通话频率、获取固定报酬还是参与电信网络诈骗犯罪分成等证据,分析判断其是否属于诈骗共同犯罪、是否应该数罪并罚。
根据《解释》第八条的规定,设立用于实施出售、提供或者非法获取公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪;同时构成侵犯公民个人信息罪的,应当认定为侵犯公民个人信息罪。
对于违反国家有关规定,采用技术手段非法侵入合法存储公民个人信息的单位数据库窃取公民个人信息的行为,也符合刑法第二百八十五条第二款非法获取计算机信息系统数据罪的客观特征,同时触犯侵犯公民个人信息罪和非法获取计算机信息系统数据罪的,应择一重罪论处。
此外,针对公安民警在履行职责过程中,违反国家有关规定,查询、提供公民个人信息的情形,应当认定为“违反国家有关规定,将在履行职责或者提供服务过程中以其他方法非法获取或提供公民个人信息”。但同时,应当审查犯罪嫌疑人除该行为之外有无其他行为侵害其他法益,从而对可能存在的其他犯罪予以准确认定。
三、社会危险性及羁押必要性审查
(一)审查逮捕
1.犯罪动机:一是出售牟利;二是用于经营活动;三是用于违法犯罪活动。犯罪动机表明犯罪嫌疑人主观恶性,也能证明犯罪嫌疑人是否可能实施新的犯罪。
2.犯罪情节。犯罪嫌疑人的行为直接反映其人身危险性。具有下列情节的侵犯公民个人信息犯罪,能够证实犯罪嫌疑人主观恶性和人身危险性较大,实施新的犯罪的可能性也较大,可以认为具有较大的社会危险性:一是犯罪持续时间较长、多次实施侵犯公民个人信息犯罪的;二是被侵犯的公民个人信息数量或违法所得巨大的;三是利用公民个人信息进行违法犯罪活动的;四是犯罪手段行为本身具有违法性或者破坏性,即犯罪手段恶劣的,如骗取、窃取公民个人信息,采取胁迫、植入木马程序侵入他人计算机系统等方式非法获取信息。
犯罪嫌疑人实施侵犯公民个人信息犯罪,不属于“情节特别严重”,系初犯,全部退赃,并确有悔罪表现的,可以认定社会危险性较小,没有逮捕必要。
(二)审查起诉
在审查起诉阶段,要结合侦查阶段取得的事实证据,进一步引导侦查机关加大捕后侦查力度,及时审查新证据。在羁押期限届满前对全案进行综合审查,对于未达到逮捕证明标准的,撤销原逮捕决定。
经羁押必要性审查,发现犯罪嫌疑人具有下列情形之一的,应当向办案机关提出释放或者变更强制措施的建议:
1.案件证据发生重大变化,没有证据证明有犯罪事实或者犯罪行为系犯罪嫌疑人、被告人所为的。
2.案件事实或者情节发生变化,犯罪嫌疑人、被告人可能被判处拘役、管制、独立适用附加刑、免予刑事处罚或者判决无罪的。
3.继续羁押犯罪嫌疑人、被告人,羁押期限将超过依法可能判处的刑期的。
4.案件事实基本查清,证据已经收集固定,符合取保候审或者监视居住条件的。
经羁押必要性审查,发现犯罪嫌疑人、被告人具有下列情形之一,且具有悔罪表现,不予羁押不致发生社会危险性的,可以向办案机关提出释放或者变更强制措施的建议:
1.预备犯或者中止犯;共同犯罪中的从犯或者胁从犯。
2.主观恶性较小的初犯。
3.系未成年人或者年满七十五周岁的人。
4.与被害方依法自愿达成和解协议,且已经履行或者提供担保的。
5.患有严重疾病、生活不能自理的。
6.系怀孕或者正在哺乳自己婴儿的妇女。
7.系生活不能自理的人的唯一扶养人。
8.可能被判处一年以下有期徒刑或者宣告缓刑的。
9.其他不需要继续羁押犯罪嫌疑人、被告人的情形。 |