1、1侵犯公民个人信息罪的前世、今生和未来从徐玉玉案说开去一、侵犯公民个人信息罪的由来及演变二、侵犯公民个人信息罪的定义和犯罪构成三、盘点近年来发生的侵犯公民个人信息罪案件四、公民防止个人信息被泄露的方法及救济途径五、受侵犯公民个人信息罪影响将要消亡的职业在开始今天的讲课之前,我们先来做过调查,好不好?认为自己的个人信息没有被泄露过的,请举个手。好,看来大家都遭受过个人信息泄露之苦。我们再来调查一下,听说过徐玉玉案的请举个手,好,看来大家都知道这个案件。既然大家都知道,那我就不讲案件的过程了,就讲这个案件的判决结果。2017 年 7 月 19 日,徐玉玉被骗案一审宣判,诈骗徐玉玉的主犯被判处无期徒
2、刑,并处没收全部个人财产。后不服,上诉,2017 年 9 月 15 日, 山东省高级人民法院二审维持原判。而侵入山东教育网获取高考考生信息的黑客,于 2017 年 8 月 24 日被一审法院以侵犯公民个人信息罪被判处有期徒刑 6 年,并处罚金 6 万。判决宣判后,被告没有上诉,判决生效。一、侵犯公民个人信息罪的由来及演变1979 年刑法第 149 条2“隐匿、毁弃或者非法开拆他人信件,侵犯公民通信自由权利,情节严重的,处一年以下有期徒刑或者拘役。 ”1997 年 10 月 1 日施行刑法第 252 条“隐匿、毁弃或者非法开拆他人信件,侵犯公民通信自由权利,情节严重的,处一年以下有期徒刑或者拘役
3、。 ”第 253 条“邮政工作人员私自开拆或者隐匿、毁弃邮件、电报的,处二年以下有期徒刑或者拘役。犯前款罪而窃取财物的,依照本法第二百六十四条的规定定罪从重处罚。 ”2009 年 2 月 28 日施行的刑法修正案七的第 7 条“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定
4、处罚。 ”2015 年 11 月 1 日施行的刑法修正案九第 17 条“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。“违反国家有关规定,将在履行职责或者提供服务过程中获得3的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。“单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。 ”我们来看这几个法律条文,可以发现一些很有趣的变化。第一个是法律条文内容的变化
5、。79 年刑法只有一条规定侵犯通信自由罪,97 年刑法变成了两个条文,252 条继续规定侵犯通信自由罪,增加 253 条规定邮政人员私自开拆、隐匿、毁弃邮件、电报罪,也就是说,同样一种行为,不同的人去实施,触犯的是不同的罪名。刑法修正案七,是在 253 条上增加 253 条之一,规定了特定人员出售、非法提供公民个人信息,一般人员非法获取公民个人信息都是犯罪,增加规定单位犯罪。刑法修正案九,又在刑法修正案七的基础上,增加规定从重情节,使得内容更详细、完备,有层次感。我国刑法对公民个人信息的规定,也是一个从简单到完善的变化过程。第二个是犯罪主体的变化。79 年刑法对犯罪主体是没有限制的,一般主体即
6、可,也就是只要达到了犯罪责任年龄,能够辨认或控制自己行为能力的自然人,就能够成为本罪的犯罪主体。497 年刑法就是特殊主体,将犯罪主体限制为“邮政工作人员” ,刑法修正案七对犯罪主体有了放宽,但还是作了限制“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员” ,刑法修正案九对犯罪主体完全没有了限制。1979 年到 2015 年,经过 36 年的发展,刑法对犯罪主体的规定,从不限制到限制,再到放宽限制,又回到了原点,最后归结于不限制。而且,从刑法修正案七开始,单位可以成为犯罪主体。因此,自然人和单位都可以成为侵犯公民个人信息罪的主体。第三个是罪名的变化,79 年刑法 149 条罪名是侵犯
7、通信自由罪,97 年刑法就变成了两个罪名,252 条还是侵犯通信自由罪,253 条罪名是:私自开拆、隐匿、毁弃邮件、电报罪,刑法修正案七的罪名是:出售、非法提供公民个人信息罪;非法获取公民个人信息罪,刑法修正案九的罪名是:侵犯公民个人信息罪。这个罪名也是体现了简单到复杂,再到简单的一个变化过程。第四个是刑罚的变化。79 年刑法最高刑期是一年以下有期徒刑或拘役,97 年刑法最高刑期是二年以下有期徒刑或拘役,刑法修正案七最高刑期是三年以下有期徒刑或拘役,增加了财产刑,可以并处或单处罚金,刑法修正案九最高刑期是七年以下有期徒刑或拘役,三年以上刑期的要同时并处罚金。从这个变化来看,我国刑法对侵犯公民个
8、人信息的行为处罚是越来越重。从我国的刑法发展趋势来看,死刑的罪名是越来越少,但普通犯罪的刑罚是在逐步加重。这其实是反映了立法者的一个矛盾心态,越来越希望通过严刑峻法来5治理社会,但又不希望背上这个名声。二、侵犯公民个人信息罪的定义和犯罪构成要讲清楚这个问题,就先要弄清楚几个基本概念。首先要了解什么叫公民个人信息。最早提到公民个人信息的是中华人民共和国身份证法 (2003年 6 月 28 日通过,2004 年 1 月 1 日实施)第六条第三款规定:“公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密。 ”第十九条规定:“人民警察有下列行为之一的,根据情节
9、轻重,依法给予行政处分;构成犯罪的,依法追究刑事责任:(五)泄露因制作、发放、查验、扣押居民身份证而知悉的公民个人信息,侵害公民合法权益的。 ”中华人民共和国护照法 (2006 年 4 月 29 日通过,2007 年 1月 1 日实施)第十二条第三款规定:“护照签发机关及其工作人员对因制作、签发护照而知悉的公民个人信息,应当予以保密。 ”第二十条规定:“护照签发机关工作人员在办理护照过程中有下列行为之一的,依法给予行政处分;构成犯罪的,依法追究刑事责任:(五)泄露因制作、签发护照而知悉的公民个人信息,侵害公民合法权益的” 。从这两部法律来看,公民个人信息主要是指公民的姓名、年龄、住址、身份证号
10、码、血型、婚姻状况、职业等身份识别信息。除此之外,对公民个人信息的规定则散见于各种行政法规、规6章或者司法解释中,但和身份证法 、 护照法一样,都没有对公民个人信息给出一个完整的定义。所以根本不知道公民个人信息到底包含哪些内容。直到中国人民银行颁布并于 2005 年 10 月 1 日施行的个人信用信息基础数据库管理暂行办法出台,在这个办法的第四条有这样的规定:“本办法所称个人信用信息包括个人基本信息、个人信贷交易信息以及反映个人信用状况的其他信息。前款所称个人基本信息是指自然人身份识别信息、职业和居住地址等信息;个人信贷交易信息是指商业银行提供的自然人在个人贷款、贷记卡、准贷记卡、担保等信用活
11、动中形成的交易记录;反映个人信用状况的其他信息是指除信贷交易信息之外的反映个人信用状况的相关信息。 ”这个办法把公民个人信息分为基本信息、信贷信息和信用信息。虽然这是个银行业的规章,但它把公民个人信息的外延给扩大了。2013 年 4 月 25 日,两高一部发布关于依法惩处侵害公民个人信息犯罪活动的通知 ,其中规定:“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。 ”2016 年 8 月,发生了徐玉玉案件,激发了全社会对公民个人信息泄露的关注,这一系列泄露公民个人信息的案件,2016
12、年 11 月7 日颁布中华人民共和国网络安全法 ,其中第 76 条规定:“个7人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”2017 年 5 月 8 日最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释出台,并于2017 年 6 月 1 日实施。这个解释的第一条明确规定了公民个人信息的范围:“指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯
13、联系方式、住址、账号密码、财产状况、行踪轨迹等。 ”对比这两部法律,我们可以看到,采用的是概括加列举的方式定义公民个人信息,首先是对现实当中常见、多发案例加以总结;其次是考虑到公众对个人信息保护的专业性认识有限,列举的方式便于理解和掌握司法解释的精神。但这两部法律对个人信息的概括和列举都是不完全一致的,虽然两者都用了等字,从法律层级来看,网络安全法是大于两高的司法解释的。但很明显可以看出,两高的司法解释中对个人信息的规定增加了:“反映特定自然人活动情况的各种信息” ,列举的内容远远大于网络安全法,它增加了账号密码、财产状况、行踪轨迹。从两高的司法解释来看,公民个人信息包含识别信息及活动信息。明
14、白了公民个人信息的定义,再来讨论侵犯公民个人信息罪就8好理解多了。讨论一个罪名,一般用的四要件说,就是犯罪主体、犯罪客体、犯罪主观方面、犯罪客观方面,当然了还有一个张明楷的三阶层说:该当性,违法性和有责性,最近又有一种理论是两要件说。因此,今天在这里,还是用传统的四要件说来分析。在前面讲过侵犯公民个人信息罪的主体是一般主体,包括自然人和单位。它的主观方面就只能是故意,过失不构成本罪。哪些行为可以构成本罪呢?刑法修正案九规定了四种行为:出售、提供、窃取、其他方法非法获取。出售就是卖信息,这是最常见的一种行为,根据北京市法院的统计,办理的涉及公民个人信息的刑事案件中,公民个人信息,最便宜的是每条半
15、分钱 ,就贵的是每条 5.7 元,出售这些信息获利最多的 30 万元。提供,指的是免费给,根据两高关于公民个人信息的司法解释,有两种情况属于提供:“向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的” ;“未经被收集者同意,将合法收集的公民个人信息向他人提供的” 。前些年,一些热点事件出来后,经常会看到对当事人进行“人肉搜索” , “人肉搜索”指通过集中许多网民的力量去搜索信息和资源的一种方式,它包括利用互联网的机器搜索引擎(如百度等)及利用各网民在日常生活中所能掌握的信息来进行收集信息的一种方式。不管是搜索引擎还是通过知情人得到的他人的公民个人信息,9如果在网络上发布,
16、就是侵犯公民个人信息罪的“提供” 。但是,如果在公民个人信息上作了一些处理,比如说在脸、身份证号码、电话号码等关键信息上打了马赛克,使得不能看到全部信息,无法识别特定个人,通过技术手段也没办法复原。那么这种方法就不会构成提供。窃取,现在比较常见的是利用黑客技术获得计算机信息系统中的数据或信息,当然普通的偷窃行为,也能构成窃取。其他方法非法获取,指的是通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息。那么是不是只要实施了这四种行为都能构成犯罪呢?也不是,还必须符合违反“国家规定” ,违反国家规定,实施了这四种行为才算。那么什么是国家规定呢?根据两高的司法
17、解释,指的是违反法律、行政法规、部门规章有关公民个人信息保护的规定。而根据我国刑法第 96 条的规定:“本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令” 。因此,根据刑法的规定,国家规定只能是法律和行政法规。最高人民法院关于准确理解和适用刑法中“国家规定”的有关问题的通知法发 (2011)155 号,也明确规定“对于违反地方性法规、部门规章的行为,不得认定为违反国家规定 ”。这个通知也明确:国家规定不包括地方性法规、部门规章,到目前为止,10这份通知仍然有效。但最高人民法院、最高人民检察院关于办理侵犯公民个人
18、信息刑事案件适用法律若干问题的解释对刑法中的“国家规定”作了扩张解释,明确了包括部门规章。这就出现了法条打架的现象。这个解释这样规定,会带来什么变化,现在还不知道。你规定了部门规章可以是国家规定,那么同一层级的地方性法规是不是国家规定呢?比如说实践中争议较大的非法经营罪,也是要有违反国家规定才能构成。那么根据这个解释,能不能在非法经营罪定罪时,也把部门规章列进去呢?内蒙古被告王力军收购玉米案,开始以非法经营罪被判刑,并处罚金,后来最高院指令再审被判无罪。这里面涉及一个问题,以国务院名义公布的是行政法规,以国务院部委名义公布的是部门规章,那么国务院授权各部委制定的到底算行政法规还是部门规章呢?有
19、观点说是行政法规,也有观点说算部门规章。工商所调查发现王力军在未办理粮食收购许可证和工商营业执照的情况下收粮,将案件移送警方,警方侦查后以涉嫌犯非法经营罪将案件移交检方,随后检方向法院提起公诉。而办理粮食收购许可证依据的 2004 年 7 月 9 日国家粮食局、国家工商行政管理总局印发的粮食收购资格审核管理暂行办法 (国粮政2004121 号) ,很显然这是一个部门规章。2016 年 9 月 14 日,国家粮食局修改了这个办法 ,收购粮食就再也不需要办证了。构成侵犯公民个人信息罪还有一个条件:情节严重。什么是情11节严重?一般的罪名,最常见的就是数量、金额。侵犯公民个人信息罪也是这样。这个司法
20、解释把公民的个人信息分为三个等级,一等信息只要 50 条就是情节严重,能够被追究刑事责任,而二等信息要有 500 条,三等信息要有 5000 条,才能被追究刑事责任。所谓一等信息,当然是对一个人最敏感、最重要的信息,也是最有可能识别一个人身份的信息,被不法分子侵害后,对公民个人的伤害或造成的损失也是最大的,这些信息包括行踪轨迹信息、通信内容、征信信息、财产信息。二等信息包括住宿信息、通信记录、健康生理信息、交易信息等可能影响人身、财产安全的公民个人信息。除了一、二等信息外,其余的都是三等信息。这是一个数量标准,当然还会有一个数量标准,违法所得 5000 元以上,利用非法购买、收受的公民三等个人
21、信息获利五万元以上,都是情节严重,可以被追究刑事责任。为了加大对内鬼的打击力度,这个司法解释有一个特别规定:“将在履行职责或提供服务过程中获得的公民个人信息出售或者提供给他人的” ,数量或金额标准减半,也就是说只要 25 条一等信息或者违法所得金额只要 2500 元,就能被追究刑事责任。除了数量和金额外,如果出售或者提供行踪轨迹信息,被他人用于犯罪的,知道或者应当知道他人利用公民个人信息实施犯罪的,也是情节严重。如果因为侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,再次非法获取、出售、提供、非法购买、收受公民个人信息的,也是情节严重。如果是一条公民个人信息被出售或提供给多人的,该怎么计算
22、12数量呢?很简单,有几个人就算几份,同一个公民的 10 条一等个人信息,被卖给 5 个人,那就是 50 条一等信息,会被追究刑事责任。如果出售的公民个人信息中一等、二等、三等信息都有,但每一种信息都达不到追究刑事责任的数量,那又该怎么算呢?比如说一等信息 20 条,二等信息 350 条,两者单独都不能被追究刑事责任,那就按比例计算,把二等信息换算成 35 条一等信息,这样就有 55 条一等信息,可以被追究刑事责任。三、盘点近年来发生的侵犯公民个人信息罪案件最高人民法院在公布关于办理侵犯公民个人信息刑事案件适用法律若干问题的解的同时,也公布了七起典型案例。这七个案例被告实施的行为分别是:非法出
23、售户籍信息、手机定位、住宿记录等个人信息;非法查询征信信息牟利;非法购买学生信息出售牟利; 非法买卖网购订单信息; 利用黑客手段窃取公民个人信息出售牟利;通过互联网非法购买、交换、出售公民个人信息;非法提供近二千万条住宿记录供他人查询牟利。一、邵保明等侵犯公民个人信息案非法出售户籍信息、手机定位、住宿记录等个人信息,构成侵犯公民个人信息罪(一)基本案情2016 年初,被告人邵保明、康旭、王杰、陆洪阳分别以“大叔调查公司”的名义向他人出售公民个人信息,被告人倪江鸿不久后13参与。五被告人通过在微信朋友圈发布出售个人户籍、车辆档案、手机定位、个人征信、旅馆住宿等各类公民个人信息的广告的方式寻找客户
24、,接单后通过微信向上家购买信息或让其他被告人帮忙向上家购买信息后加价出售,每单收取 10 元至 1000 余元不等的费用。经查,被告人邵保明获利人民币 26000 元,被告人康旭获利人民币8000 元,被告人倪江鸿、王杰、陆洪阳各获利人民币 5000 元。(二)裁判结果浙江省东阳市人民法院判决认为:被告人邵保明、康旭、倪江鸿、王杰、陆洪阳单独或伙同他人,违反国家有关规定,向他人出售公民个人信息,情节严重,其行为均已构成侵犯公民个人信息罪。综合考虑被告人的坦白、退赃等情节,以侵犯公民个人信息罪判处被告人邵保明有期徒刑一年三个月,并处罚金人民币八千元;被告人康旭有期徒刑一年,并处罚金人民币四千元;
25、被告人倪江鸿、王杰、陆洪阳各有期徒刑十个月,并处罚金人民币二千元。该判决已发生法律效力。二、韩世杰、旷源鸿、韩文华等侵犯公民个人信息案非法查询征信信息牟利,构成侵犯公民个人信息罪2015 年 9 月 3 日至 4 日,被告人韩世杰、旷源鸿、韩文华利用连光辉(湖北省巴东县农村商业银行沿渡河支行征信查询员)的征信查询 ID 号、密码及被告人李冲、耿健美(洛阳银行郑州东风路支行客户经理)提供的洛阳银行郑州东风路支行的银行专用网络,在该行附近使用电脑非法查询公民个人银行征信信息 3 万余条。142015 年 9 月 5 日至 6 日,被告人韩世杰、旷源鸿、韩文华利用连光辉的征信查询 ID 号、密码及被
26、告人李楠、卢惠生(德州银行滨州金廷支行行长)提供的德州银行滨州分行的银行专用网络,在该行南面的停车场内,使用电脑分两次非法查询公民个人银行征信信息 2 万余条。2015 年 9 月 8 日,被告人韩世杰、旷源鸿、韩文华利用李涛(江苏省淮安市农村商业银行徐溜支行职工)的银行征信查询 ID 号及密码及被告人李楠、卢惠生提供的德州银行滨州分行专用网络,在该行南面的停车场内,使用电脑非法查询公民个人银行征信信息近 3 万条。被告人韩亮、邓佳勇获得征信查询 ID 号、密码并非法提供给被告人韩世杰等人使用,双方通过被告人陈莎莎中转租金、传递密码。被告人韩世杰、旷源鸿、韩文华将查询获得的上述公民个人银行征信
27、信息出售给他人,向被告人韩亮、李冲、李楠支付了相关费用。湖北省巴东县人民法院判决认为:被告人韩世杰、旷源鸿、韩文华、韩亮、邓佳勇、李楠、陈莎莎、卢惠生、李冲、耿健美违反国家有关规定,非法获取公民个人信息出售牟利,情节严重,其行为已构成侵犯公民个人信息罪。综合考虑被告人自首、坦白、积极退赃等情节,以侵犯公民个人信息罪判处被告人韩世杰有期徒刑一年六个月,并处罚金人民币二万元;被告人旷源鸿有期徒刑一年三个月,并处罚金人民币二万元;被告人韩文华处有期徒刑一年二个月,并处罚金人民币一万元;被告人韩亮有期徒刑一年,并处罚金15人民币一万元;以及其他各被告人相应有期徒刑、拘役和罚金。该判决已发生法律效力。三
28、、周滨城等侵犯公民个人信息案非法购买学生信息出售牟利,构成侵犯公民个人信息罪2016 年 4 月,被告人周滨城向他人购买浙江省学生信息 193 万余条。后被告人周滨城将其中 100 万余条嘉兴、绍兴地区的学生信息以 6 万余元的价格出售给被告人陈利青,将 45655 条嘉兴地区的学生信息以 3500 元的价格出售给被告人刘亚、陈俊、周红云,将7214 条平湖地区的学生信息以 1400 元的价格出售,将 2320 条平湖地区的学生信息以 500 元的价格出售,共计非法获利 65400 元。此外,2016 年 4 月,被告人刘亚、陈俊、周红云以 3000 元的价格向他人购买嘉兴地区学生信息 250
29、68 条。浙江省平湖市人民法院判决认为:被告人周滨城、陈利青、刘亚、陈俊、周红云违反国家有关规定,向他人出售或者以购买的方法非法获取公民个人信息,数量分别为 193 万余条、100 万余条、7万余条、7 万余条、7 万余条,其行为均已构成侵犯公民个人信息罪。综合考虑被告人自首、坦白等情节,以侵犯公民个人信息罪判处被告人周滨城有期徒刑一年十一个月,并处罚金人民币四万元;被告人陈利青有期徒刑十一个月,并处罚金人民币十万元;被告人刘亚、陈俊、周红云有期徒刑九个月至七个月不等、缓刑一年,并处罚金人民币五千元至四千元不等。该判决已发生法律效力。四、夏拂晓侵犯公民个人信息案16非法买卖网购订单信息,构成侵
30、犯公民个人信息罪2015 年 10 月至 2016 年 7 月,被告人夏拂晓买卖大量含有公民姓名、收货地址、手机号码等内容的网购订单信息,非法获利约 5万元。被告人夏拂晓在归案后如实供述自己的罪行。浙江省绍兴市柯桥区人民法院判决认为:被告人夏拂晓违反国家有关规定,非法获取公民个人信息并向他人出售,情节严重,其行为已构成侵犯公民个人信息罪。综合考虑全案情节,以侵犯公民个人信息罪判处被告人夏拂晓有期徒刑二年,并处罚金人民币二千元。该判决已发生法律效力。五、肖凡、周浩等侵犯公民个人信息案利用黑客手段窃取公民个人信息出售牟利,构成侵犯公民个人信息罪被告人肖凡、周浩预谋窃取邮局内部的公民个人信息进行出售
31、牟利,共同出资购买了黑客软件。2016 年 5 月至 2016 年 6 月,二人通过黑客软件侵入邮局内网,在邮局内网窃取邮局内部的公民个人信息 103257 条,并将窃取的公民个人信息全部出售给被告人李晓波。后李晓波将购买的公民个人信息出售给被告人王丽元 40000 条,王丽元又将购买到的公民个人信息出售给被告人宋晓波 30000 条。内蒙古自治区赤峰市红山区人民法院判决认为:被告人肖凡、周浩通过黑客手段窃取公民个人信息并非法出售,李晓波、王丽元、宋晓波通过购买方式非法获取公民个人信息,其行为均已构成侵犯公民个人信息罪。据此,以侵犯公民个人信息罪判处被告人肖凡、17周浩、李晓波各有期徒刑二年,
32、并处罚金人民币五万元;被告人王丽元有期徒刑一年,并处罚金人民币三万元;被告人宋晓波有期徒刑六个月,并处罚金人民币三万元。该判决已发生法律效力。六、杜明兴、杜明龙侵犯公民个人信息案通过互联网非法购买、交换、出售公民个人信息,构成侵犯公民个人信息罪被告人杜明兴、杜明龙加入涉及个人信息交换买卖的 QQ 群,通过购买、交换等方式获取大量公民个人信息,再在群里发布广告招揽买家。2015 年 11 月至 2016 年 3 月,杜明兴向他人购买或者交换车主信息等公民个人信息 28 万余条,向他人出售关于期货、基金、车主、信用卡等公民个人信息 42 万余条;杜明龙向他人购买杭州地区新生儿及其父母信息等公民个人
33、信息 3 万余条,向他人出售车主信息、小区业主信息等公民个人信息近 40 万条。江苏省南京市鼓楼区人民法院判决认为:被告人杜明兴、杜明龙违反国家有关规定,向他人出售或者以非法方法获取公民个人信息,情节严重,其行为已构成侵犯公民个人信息罪。综合考虑被告人坦白、退赃等情节,以侵犯公民个人信息罪判处被告人杜明兴、杜明龙各有期徒刑一年四个月,罚金人民币一万元;被告人有期徒刑一年二个月,罚金人民币一万元。该判决已发生法律效力。七、丁亚光侵犯公民个人信息案非法提供近二千万条住宿记录供他人查询牟利,构成侵犯公民个人信息罪“情节特别严重”182013 年底,一家为全国 4500 多家酒店提供网络服务的公司因系
34、统存在安全漏洞,致使全国高达 2000 万条宾馆住宿记录泄露。2015 年初至 2016 年 6 月,被告人丁亚光通过在不法网站下载的方式,非法获取宾馆住宿记录等公民个人信息,并上传至自己开办的“嗅密码”网站。该网站除了能够查询住宿记录外,还提供用户QQ、部分论坛账号及密码找回功能。其中住宿记录共有将近二千万条,用户经注册成为会员后,可以在网页“开房查询”栏目项下,以输入关键字姓名或身份证号的方式查询网站数据库中宾馆住宿记录(显示姓名、身份证号、手机号码、地址、住宿时间等信息) 。丁亚光自 2015 年 5 月份左右开始对该网站采取注册会员方式收取费用60 元/人,到 2016 年 1 月份上
35、调到 120 元/人。2015 年 11 月 1 日至2016 年 6 月 23 日, “嗅密码”网站共有查询记录 49698 条,收取会员费 191440.92 元。浙江省乐清市人民法院判决认为:被告人丁亚光非法获取住宿记录等公民个人信息后通过网站提供查询服务牟利,供查询的公民个人信息近二千万条,其行为已经构成侵犯公民个人信息罪,且属于“情节特别严重” 。综合考虑退赃等情节,以侵犯公民个人信息罪判处被告人丁亚光有期徒刑三年,并处罚金人民币二万元。该判决已发生法律效力。最高人民检察院同时也公布了六起典型案例:国家工作人员利用职务便利非法获取公民个人信息;利用恶意程序批量非法获取网19站用户个人
36、信息;非法获取公民个人信息后,实施电信网络诈骗;提供服务过程中获得个人信息出售;单位侵犯公民个人信息;特殊主体在履行职责过程中获得公民个人信息出售。典型案例一:韩某等侵犯公民个人信息案国家工作人员利用职务便利非法获取公民个人信息出售,构成侵犯公民个人信息罪的,应当从重处罚一、基本案情2014 年初至 2016 年 7 月期间,上海市疾病预防控制中心工作人员韩某利用其工作便利,进入他人账户窃取上海市疾病预防控制中心每月更新的全市新生婴儿信息(每月约 1 万余条) ,并出售给黄浦区疾病预防控制中心工作人员张某某,再由张某某转卖给被告人范某某。直至案发,韩某、张某某、范某某非法获取新生婴儿信息共计
37、30 万余条。2015 年初至 2016 年 7 月期间,范某某通过李某向王某某、黄某出售上海新生婴儿信息共计 25 万余条。2015 年 6、7 月,吴某某从王某某经营管理的大犀鸟公司内秘密窃取 7 万余条上海新生婴儿信息。2015 年 5 月至 2016 年 7 月期间,龚某某通过微信、QQ 等联系方式,向吴某某出售新生婴儿信息 8 千余条,另分别向孙某某、夏某某二人出售新生儿信息共计 7 千余条。上海市浦东新区人民检察院于 2016 年 8 月 18 日以韩某等 8 人涉嫌侵犯公民个人信息罪批准逮捕,11 月 25 日提起公诉。2017 年2 月 8 日,上海市浦东新区人民法院以侵犯公民
38、个人信息罪分别判20处韩某等 8 人有期徒刑七个月至两年三个月不等。二、典型意义随着信息化社会的到来,个人信息的重要性日益凸显,侵犯公民个人信息获取经济利益的现象逐渐增多,相关灰色产业链已初现雏形,其中国家工作人员利用职务便利非法获取公民个人信息社会影响尤其恶劣。本案涉及国家工作人员与销售商勾结,买卖婴儿信息数量达几十万条,给家庭生活造成困扰,案件引发社会关注。检察机关认真办理该案,取得了较好的法律效果和社会效果。一是有力监督,有效追诉。浦东新区检察院在办理案件过程中,派员提前介入,会同公安机关从获取公民个人信息的数量、方式、来源、动机及后果等方面进行全面考量。在审查逮捕过程中,发现孙某某、夏
39、某某等人的行为已涉嫌侵犯公民个人信息罪,遂向公安机关发出直接移送审查起诉建议书。二是制发检察建议,延伸办案效果。针对国家工作人员利用职务便利窃取公民个人信息的情况,浦东新区检察院向上海市疾病预防控制中心发出检察建议,要求其从系统账号密码专人专用、使用留痕,签订岗位保密协议,建立事后备查制度等方面进行整改完善,上海市疾病预防控制中心收函后立即采取相应措施进行整改,并将相关整改落实情况由专人至区检察院进行通报,以防止类似事件再次发生。典型案例二:张某某、姚某某侵犯公民个人信息案利用恶意程序批量非法获取网站用户个人信息的,构成侵犯公民个人信息罪21一、基本案情2015 年 6 月,被告人张某某在登录
40、浏览“魅力惠”购物网站时发现,通过修改该网站网购订单号可以查看到包含用户姓名、手机号、住址等内容的订单信息。为谋取利益,张某某委托他人针对上述网站漏洞编制批量扒取数据的恶意程序,在未经网站授权的情况下,进入该网站后台管理系统,从中非法获取客户订单信息 12503条,通过 QQ 等联络方法将上述客户信息分数次卖给被告人姚某某,获利人民币 5359 元。被告人姚某某购得上述订单信息后,又在网络上分别加价倒卖从中牟利。上海市黄浦区人民检察院于 2015 年 9 月 30 日以涉嫌非法获取公民个人信息罪对张某某批准逮捕,于 10 月 20 日以证据不足对姚某某不批准逮捕,并要求公安机关补充侦查。此案提
41、起公诉后,2016 年 3 月 29 日,黄浦区人民法院以侵犯公民个人信息罪,判处张某某有期徒刑一年九个月,罚金人民币五万元,判处姚某某有期徒刑一年六个月,罚金人民币二万元。二、典型意义本案通过网络实施侵犯公民个人信息犯罪,在远程、非接触的状态下跨省区、多地域完成,作案手段技术含量高,涉案人员关系松散,特别是犯罪活动涉及的电子证据源中电脑、QQ、移动存储介质、手机、银行卡等证据的数据提取、固定、转化和验证等给案件取证工作带来一定困难,增加了检察机关在案件审查逮捕中的工作难度。22检察机关从多个方面加强案件指导和审查,确保案件质量和监督效果。一是注重引导案件侦查,确保取证工作扎实到位。鉴于案件系
42、当地首例以黑客手段窃取公民个人信息的案件,公安机关立案后即商请检察机关提前介入,检察机关高度重视,会同公安机关刑侦、网安等部门商讨案情、引导侦查。检察机关就捕前侦查取证方向、证据标准规定、所涉罪名法律适用等问题与公安机关进行详细分析沟通,有效提升案件侦办的效率和质量。如针对犯罪嫌疑人主要犯罪手法系利用恶意程序批量扒取网站用户信息的手段,检察机关对所涉现场勘验检查、远程勘验记录、电子证据检查、作案工具扣押等环节的取证要点与规范要求予以明确,确保证据收集工作的合法性和有效性。二是严格案件证据审查,确保核心证据固定。本案证据体系中,认定犯罪事实的核心证据之一系犯罪嫌疑人非法获取公民身份信息的电子数据
43、。如果该核心证据缺失,即使犯罪嫌疑人作有罪供述亦难以定罪处罚。犯罪嫌疑人姚某某移送审查逮捕过程中,检察机关对电子数据仔细比对后发现,有关姚某某非法获取公民数据信息情况的鉴定意见存在重大瑕疵,难以作为定案依据,需重新鉴定,故综合案件证据情况,对姚某某作存疑不捕决定,同时向公安机关说明不捕理由并提出五条补侦建议。公安机关根据上述要求逐一进行补侦,待证据达到要求后移送起诉,后法院对姚某某作出有罪判决。三是重视后续跟踪指导,确保案件质量过硬。加强不捕案件补侦工作的指导监督。姚某某案中鉴定意见存在重大瑕疵,检察机关在该案补充侦查过程中多次与鉴定人员联系沟通,重23新梳理证据情况,明确相关鉴定要求,及时修
44、正证据瑕疵问题。加强捕诉联动交流。检察机关侦查监督部门与公诉部门围绕案件定性、证据认定、涉案情节等疑难问题进行充分沟通,形成统一意见。庭审中,公诉人运用充分证据指控犯罪,张某某、姚某某均供认指控事实,庭审效果良好。典型案例三:章某某等诈骗、侵犯公民个人信息案非法获取公民个人信息后,实施电信网络诈骗等犯罪,构成数罪的,依法予以并罚一、基本案情2016 年初,被告人章某某到广东省河源市租住源城区建设大道德欣豪庭 C2 栋 1201 室,准备手机等作案工具并通过互联网非法购买公民个人信息 12555 条。2016 年 3 月至 4 月间,被告人章某某先后雇佣被告人汪某某等三人在该租房内,通过拨打章某
45、某事先从网上购买的学生个人信息上的家长联系电话,冒充“学校教务处” 、“教育局”工作人员,以获取国家教育补贴款为由,诱骗学生家长持银行卡到 ATM 机上转账至章某某掌控的银行账户,从中获取钱财。至被查获时,共拨打诈骗电话 4392 人次,骗取 116200 元。2016 年4 月期间,被告人章某某还伙同他人利用同样的手段实施诈骗行为,至被查获时,共拨打诈骗电话 807 人次,骗取他人钱财近 3000 元。福建省安溪县人民检察院于 2016 年 6 月 3 日以涉嫌诈骗罪、侵犯公民个人信息罪对章某某、汪某某等人批准逮捕。此案提起公诉后,2016 年 12 月 14 日,安溪县人民法院作出一审判决
46、,以诈骗罪、24侵犯公民个人信息罪判处被告人章某某有期徒刑五年,并处罚金人民币三万八千元;其他 3 名被告人以诈骗罪分别被判处一年至二年九个月不等有期徒刑,并处罚金。二、典型意义随着现代通讯技术和互联网技术的快速发展,公民个人信息极易泄露。公民个人信息通过信息网络传播、交易,往往被不法分子大量窃取、利用,催生电信网络诈骗等关联犯罪,严重威胁公民人身安全、财产安全和社会管理秩序。打击利用互联网出售、提供、非法获取公民个人信息等侵犯公民个人信息犯罪,切断其与电信网络诈骗等犯罪的犯罪链条,从源头上预防和减少犯罪发生,具有重要意义。本案中章某某等人通过百度及 QQ 向他人购买学生个人信息,拨打学生家长
47、电话,先后冒充学校及教育局工作人员,以领取学生助学补助金为幌子,骗取钱财,不仅侵犯了学生及学生家长的个人信息和财产安全,还破坏了学校的正常教学秩序和教育系统声誉,社会危害极大。本案的查处震慑了利用互联网侵犯公民个人信息犯罪,也有力地打击了电信网络诈骗犯罪,取得了良好的法律效果和社会效果。典型案例 4郭某某侵犯公民个人信息案将在提供服务过程中获得的公民个人信息出售、提供给他人的,构成侵犯公民个人信息罪一、基本案情252015 年 3 月至 2016 年 9 月 1 日间,被告人郭某某利用其原在某信息技术服务公司工作的便利和通过 QQ 群交换等途径,非法获取楼盘业主、公司企业法定代表人及股民等的姓
48、名、电话、住址及工作单位等各类公民个人信息共计 185203 条,上传存储于“腾讯微云”其个人账户内。后通过 QQ 群发布信息,将上述非法获取的公民个人信息出售给他人,从中非法获利人民币 4000 元。厦门市思明区人民检察院于 2016 年 9 月 30 日以涉嫌侵犯公民个人信息罪对郭某某批准逮捕。12 月 30 日,以侵犯公民个人信息罪向厦门市思明区人民法院提起公诉。2017 年 1 月 11 日,厦门市思明区人民法院以犯侵犯公民个人信息罪判处被告人郭某某有期徒刑七个月,并处罚金两千元。二、典型意义当前,除行政管理机关和金融、电信、交通等单位接触大量的公民个人信息外,宾馆、快递等服务行业在提
49、供服务的过程中,也会获取大量的公民个人信息。单位、公司的个别员工为了获取非法利益,违反职业道德和保密义务,将在工作中获得的公民个人信息资料出售或提供给他人,对公民的人身、财产安全及正常工作生活造成了严重威胁,应依法严惩。本案被告人郭某某原在某信息技术服务有限公司工作,该公司的业务主要是推广 400 电话服务。郭在工作中接触和获取大量包含公民姓名、所在公司、联系电话等信息,辞职后将工作中获取的公民个人信息上传至个人网络储存空间,利用 QQ 等社交软件与他人交换这些公民个人信息,并出售牟利。被告26人郭某某出售、提供履职、服务过程中获得的公民个人信息,具有更大的社会危害性,应当从严惩处。本案的处理有力地打击了将在履行职责、提供服务过程中获得的公民个人信息出售、提供给他人的犯罪行为。典型案例五:鲁某等侵犯公民个人信息案单位实施侵犯公民个人信息犯罪的,依法追究单位和相关责任人员的刑事责任一、基本案情自 2014 年以来,犯罪嫌疑人鲁某利用网络 QQ 群寻找出售公民个人信息的网友,向王某等人购买大量公民个人信息,通过 QQ 传输信息、支付宝转账、银行转账等方式进行交易。鲁某将获取的公民信息,按照类别通过 QQ 卖给一些电话促销人员,其中卖给王乙 8 万余条,非法获利 6 万余元。犯罪嫌疑人王甲通过 QQ 向他人
