北京市高级人民法院侵犯公民个人信息犯罪审判白皮书(2018年—2023年)
北京市高级人民法院刑事审判一庭
二〇二三年十一月
目录
前言
一、侵犯公民个人信息犯罪审理情况
二、侵犯公民个人信息犯罪基本特点
三、侵犯公民个人信息犯罪成因分析
四、侵犯公民个人信息犯罪治理对策建议
五、侵犯公民个人信息犯罪典型案例
结语
前言
随着互联网的高速发展和信息化建设不断推进,信息资源成为重要的生产要素和社会财富。而其中个人信息的价值日渐凸显,成为数字经济的主要元素之一。随之而来,个人信息泄露问题日益突出,垃圾短信、骚扰电话层出不穷,个人信息安全与保护引发全社会高度关注。2009年,《刑法修正案(七)》增设第二百五十三条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。2015年,《刑法修正案(九)》将该条修订为侵犯公民个人信息罪。2016年,《网络安全法》制定了网络运营者收集、使用个人信息的规则。2020年,《民法典》进一步明确个人信息的定义和处理原则。2021年,《个人信息保护法》实施,完善了公民个人信息保护体系。
自侵犯公民个人信息的行为入刑以来,北京法院准确认定事实、正确适用法律,依法妥善审结了众多犯罪情节严重、社会影响恶劣的刑事案件。在案件办理过程中,“治理”如何与“治罪”并重的课题也成为法院能动司法的落脚点。北京高院通过对近5年来全市法院审结的侵犯公民个人信息罪案件进行调研统计和实证分析,形成《侵犯公民个人信息犯罪审判白皮书》,以期为社会、行业综合治理提供司法智慧。
一、侵犯公民个人信息犯罪审理情况
1.案件数量呈波动状态,今年有所攀升。自2018年以来,北京法院审结侵犯公民个人信息罪一、二审案件共计229件。图1显示,与2018年相比,2019年全市法院侵犯公民个人信息罪收、结案数量有所上升,后开始下降,2020年和2022年下降幅度尤为明显。从2023年的收案情况来看,案件数量出现反弹,反映出侵犯公民个人信息犯罪多发的态势。
2.刑罚程度整体较轻。自2018年,被判处侵犯公民个人信息罪的被告人共302人。被判处三年以下有期徒刑(含拘役、单处罚金、免于刑事处罚)的被告人人数所占比例约为73.2%;被判处五年以下有期徒刑(含拘役、单处罚金、免于刑事处罚)的被告人人数所占比例约为98.7%,重刑率较低;缓刑适用率基本在14.6%左右,详见表1。被判处罚金在10万元以下的被告人人数所占比例约为83.2%,为大多数。
3.服判息诉情况整体较好。在全市法院已审结的侵犯公民个人信息罪案件中,92.1%的案件被告人当庭表示对犯罪事实和罪名均无异议,大部分案件适用了认罪认罚从宽制度。39%的一审案件适用速裁、简易程序审结,提升诉讼效率的同时服判息诉效果较好。二审案件中,被告人的上诉理由主要集中在行为是否构成犯罪、一审判决量刑过重、涉案公民信息的真实性与数量去重等。
二、侵犯公民个人信息犯罪基本特点
经梳理2018年以来的一、二审刑事案件,并对一审案件进行统计,近五年来全市侵犯公民个人信息犯罪呈现如下特点:
1.涉案公民个人信息类型中有关人身、财产安全的信息占比突出。2017年最高人民法院、最高人民检察院联合出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息案件解释》),其中第5条第1款以列举式的形式将公民个人信息区分为三类,第一类为行踪轨迹信息、通信内容、征信信息、财产信息;第二类为住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息;第三类为除前述类型之外的公民个人信息,入罪标准分别是50条、500条和5000条。前两类信息类型因与公民人身安全、财产安全直接相关,故入罪门槛相对较低。在全市法院已审结的侵犯公民个人信息罪案件中,众多案件所涉信息类型存在多元化特征。
表2显示了已结案件涉及的信息类别及所占比重。①具体而言,上述案件中一半以上的案件主要涉及第三类信息类型;涉及第一类信息的占比为24.6%;涉及第二类信息的占比为9.9%。值得注意的是,有超1/3的涉案信息与公民人身安全、财产安全直接相关。近年来,因上述信息泄露而引发恶性案事件的情况时有发生,不仅侵犯了个案被害人的权益,对社会公众的心理安全感也造成了极大的负面影响,故包含此类信息的侵犯公民个人信息犯罪案件有必要予以关注,防止造成次生风险。
2.涉案信息要素中手机号码、身份证件占比最大。在全市法院已审结的侵犯公民个人信息罪案件当中,涉案信息主要包含了手机号码、身份证件、互联网数据、地址位置四种基本的要素,且大部分案件涉及多种信息要素。
图2显示了具体信息要素有关案件所占的比例。②其中公民手机号码、身份证件号码所占比重最大,合计达77.3%;其次是互联网相关数据,如用户注册信息、浏览检索记录、IP地址等;再次是地址位置,涉案信息大可到地域省份城市,小可精准至具体门牌号。上述各种信息类型及信息要素交叉组合,从而帮助不法分子识别、锁定特定的自然人或某一类人群。
3.涉案公民个人信息的数量规模日渐庞大。近年来,侵犯批量公民个人信息甚至海量信息已成为该类案件中的常态,且案件比例整体呈上升趋势。根据《个人信息案件解释》第5条第二款的规定,涉案信息数量达到各信息类型入罪标准10倍以上的,即侵犯行踪轨迹信息、通信内容、征信信息、财产信息达500条以上;侵犯住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息达5000条以上;侵犯除前述类型之外的公民个人信息达50000条以上,应当认定为情节特别严重。
统计发现,在已结的侵犯公民个人信息罪案件中,除少部分案件依据犯罪所得定案外,九成案件均以信息条数作为定罪量刑的主要依据,具体案件比例详见图3。其中有半数的案件信息数量超过5万条,约1/4的案件信息数量超过50万条,部分案件查获的信息多达数百万条、数千万条。与之相应,储存信息的工具也从传统的U盘、硬盘演变为云盘等容量更大的载体。
4.五成案件的被告人有较为固定的工作单位或职业。经初步统计,在全市已审结的侵犯公民个人信息罪案件中,除45.6%的案件被告人无业外,超过半数的案件被告人供职于公司企业、事业单位,或系其他类型的从业者,案件所占比例依次为50.3%、2.3%、1.8%。③
在这类案件中,公司职员(包括中高级管理层、法人代表)所占比例最大。其中不乏有被告人拥有较高的学历水平和职务职权,供职于大型互联网公司、电商平台、通讯运营商、金融投资企业、保险公司、房产中介、教育机构等等。上述单位通过用户授权获得了处理公民个人信息的合法权限,而部分被告人非法出售这些信息并从中牟利;部分被告人通过各种渠道向他人购买或与他人互换信息以达到拓展业务的目的;部分被告人与外单位人员合谋,“内鬼”负责收集,再由他人负责出售以牟取共同利益;部分被告人离职后将自己在原公司获取的个人信息用于同业竞争、非法经营等活动。
值得注意的是,有一少部分被告人供职于具有社会公共管理、服务性质的事业单位。这类被告人因具有便捷、精准的获取信息的渠道而更易被外部人员“围猎”,帮助查询特定公民的个人信息从而收取好处费或直接按条数出售谋利。虽然上述情况所占比例小,相关信息数量少,但涉案金额相对较大。此类人员接触的个人信息大部分为财产状况、家庭住址等重要、敏感的信息,故一旦泄露危害性也更加严重,社会影响更为恶劣。