图①:检察官在分析涉案数据。
图②:检察官与公安机关办案人员研判案件证据。
公民征信信息、生物识别信息、行踪轨迹信息、健康生理信息……大数据时代,如何加强对不同类型个人信息的全面保护,成为公众最为关心的问题之一。
从网络安全法施行到民法典的颁布实施,从数据安全法出台到专门的个人信息保护法施行,以及刑法修正案(九)的出台,我国对个人信息保护的法律制度逐步完善。
在司法办案中,人脸信息是否属于刑法保护的公民个人信息?如何准确认定公民个人信息的类型,依法惩治侵犯公民个人信息犯罪?记者对此进行了采访。
厘清内涵依法审查认定
在数据价值逐利的驱动下,一些医疗机构从业人员利用职务之便,非法收集并出售公民个人信息。广西壮族自治区南宁市江南区检察院第一检察部主任王春华就办理了一起发生在医疗领域侵犯公民个人信息的犯罪案件。
吴某甲、吴某乙在南宁市江南区经营一家保健按摩中心,业务范围主要是向产妇提供催乳服务。为发展扩大客源,吴某甲向南宁市某医院产科主管护师韦某提出,由韦某向保健按摩中心提供产妇信息,并承诺每发展一名客户就给韦某50元或60元报酬,若客户后续办卡消费,则另外再支付10%的提成。
医护人员将在履职过程中获得的产妇健康生理信息出售或者提供给他人的行为,应如何认定?“《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《解释》)第五条,将健康生理信息认定为属于其他可能影响人身、财产安全的公民个人信息。民法典第一千零三十四条第二款,将健康信息纳入公民个人信息保护的范畴之内。个人信息保护法在认定公民个人信息时,将具有可识别性及隐私性作为定义公民个人信息考虑的重要因素。”王春华表示,“韦某向保健按摩中心提供的产妇信息,除涉及产妇姓名、家庭住址、电话号码等能够识别特定自然人身份的各种信息外,还涉及产妇分娩日期、分娩方式等生理健康信息,这些信息具有可识别性及高度隐私性,属于刑法保护的公民个人信息。”
如今,“刷脸”在日常生活中愈发常见,人脸信息是否属于刑法保护的公民个人信息?上海市奉贤区检察院第一检察部检察官陈磊凤在办理一起案件时就曾遇到这样的问题。
李某将制作的一款自动窃取安装者手机相册照片的“黑客软件”,发在网上进行售卖,后将该软件伪装成“颜值检测”软件,共窃取安装者手机相册照片1751张,部分照片含有人脸信息、姓名、身份证号码、联系方式、家庭住址等100余条公民个人信息。李某还购买了“XX库资料”,明知这些资料含有户籍信息、房产信息、车辆信息、贷款信息、QQ账号注册信息等内容,仍将网盘链接分享至QQ群。
“《解释》未明确列举人脸信息为公民个人信息,但民法典、个人信息保护法对个人信息进行了界定,并通过列举的方式明确了生物识别信息属于个人信息。”陈磊凤介绍说,人脸信息具有极高的可识别性,能够与其他信息结合识别特定自然人的身份,符合公民个人信息的实质特征,属于刑法保护的公民个人信息。行为人未经权利人许可,利用黑客技术窃取人脸信息,情节严重,应以侵犯公民个人信息罪追究刑事责任。
个人信息保护体系愈发完善
2021年11月1日,我国首部专门针对个人信息保护的系统性、综合性法律——个人信息保护法正式实施。但这并非我国对个人信息保护立法的开端,对侵害公民个人信息的违法行为开始进行刑罚治理,要追溯至2009年。
自2009年2月28日起施行的刑法修正案(七),增设了刑法第二百五十三条之一,规定了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个罪名。
为加大对公民个人信息的保护力度,2015年11月1日起施行的刑法修正案(九),对刑法第二百五十三条之一内容作出修改完善,包括扩大犯罪主体的范围、加重法定刑等。此外,刑法修正案(九)还将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,并扩大了单位犯罪认定范围。
这一修改,被认为十分必要。以扩大单位犯罪认定范围为例,司法实践中,有些单位在提供服务的过程中需要收集和使用个人信息。对在这一过程中出现的侵犯公民个人信息犯罪行为如何认定犯罪主体,成为司法机关办理此类案件的难点之一。
北京市昌平区检察院办理的解某、辛某等人侵犯公民个人信息案,对于准确界定犯罪主体是自然人还是单位,或许可以给同类案件办理提供一些参考。
2015年,北京某信息咨询有限公司注册成立,主营业务为网络商业推广。2017年底,因经营出现亏损,公司负责人解某、辛某决定实施业务转型,将公司业务变更为出售征信类公民个人信息。
“起初,该公司并非为从事违法犯罪活动而设立,有合法业务。从2017年底开始,解某、辛某招募员工,收集、出售公民个人信息,除此以外,该公司并无其他合法经营活动。虽然该公司从2015年至2017年有过正常经营活动,但从一个相对确定的时间开始就以实施犯罪为主要活动,不再从事正当经营活动的,应当认定为‘公司设立后以实施犯罪为主要活动’。因此,该案不属于单位犯罪,而应依法以自然人犯罪论处。”昌平区检察院第一检察部办案检察官介绍说。
为了对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作出较为全面、系统的规定,2017年,“两高”联合出台《解释》。《解释》根据不同类型公民个人信息的重要程度,明确了不同的认定标准。比如,对于行踪轨迹信息、通信内容、征信信息、财产信息,非法获取、出售或者提供50条以上即算“情节严重”;对于住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息,认定标准是非法获取、出售或者提供500条以上;对于其他公民个人信息,认定标准为5000条以上。
在办理解某、辛某等人侵犯公民个人信息案中,办案检察官从涉案公司的网站后台提取出公民个人信息共计31万余条(未排重)。经审查,该公司出售的公民个人信息包括姓名、手机号码、有无本地社保和公积金、有无负债、房产和车辆持有状况、工资收入、有无保险、征信情况、借款需求、还款周期等内容。这些信息是否属于《解释》规定的50条入罪敏感信息中的征信信息?
“涉案的这些公民个人信息都能明确反映出公民个人的还款能力、贷款意向,与个人的信用贷款直接相关。同时,根据该案的犯罪模式,涉案人员通过刊登贷款广告、设置贷款广告链接等方式,吸引有贷款需求的人填写上述与个人信用贷款直接相关的信息,他们收集的主要是有贷款需求人群的个人信息,其客户即售卖信息的对象主要是信贷公司信贷员,客户购买信息的目的是推销贷款。因此,从信息的内容和犯罪模式两方面来分析,应当认定涉案的公民个人信息为敏感信息中的征信信息。”该案办案检察官向记者解释。
日新月异的生动检察实践
大数据时代,信息技术持续创新,互联网应用日新月异。保护公民个人信息,离不开大数据赋能。北京市海淀区检察院第二检察部检察官助理郭树正在接受记者采访时,讲述了其办理的一起技术人员离职后窃取公司数据的犯罪案件。
龚某曾任北京赢某通软件技术有限公司(下称“赢某通公司”)运维总监,2019年8月30日离职。龚某离职后利用原公司最高技术权限,于2019年至2020年多次登录赢某通公司服务器,下载存储在服务器中包含客户信息的电子文档数据。经统计,涉案客户资料数据共计28万余组。
“公安机关以龚某涉嫌破坏计算机信息系统罪提请批准逮捕。我们经审查认为,龚某的目的与行为均是为了获取赢某通公司的客户数据,且该公司服务器的功能没有因龚某的行为而损坏,故难以认定为破坏计算机信息系统罪。我们考虑了龚某是否构成其他犯罪的问题,比如赢某通公司保存的客户数据从某些层面上而言是他们公司的商业秘密,但是这些客户数据却无法认定具体价值,所以也不符合侵犯商业秘密罪的立案标准。最终,我们以涉嫌侵犯公民个人信息罪对龚某作出批准逮捕决定。”郭树正表示,起诉后,法院经审理采纳了检察机关的指控意见,判处龚某有期徒刑四年三个月,并处罚金4万元。
网络科技类犯罪案件中,犯罪嫌疑人大多具有技术背景,且反侦查意识较强,如果办案检察官不具备相关专业知识或缺乏技术辅助,面对犯罪嫌疑人提出的看似合理的技术性辩解,难免会陷入被动。比如,龚某在庭审前坚持辩称,涉案客户数据是其离职前备份并于离职后拷贝到个人笔记本电脑里的。
“对此,我们会同检察技术人员开展了针对性调查工作,发现龚某涉案笔记本电脑中存在U盘设备插拔记录的时间段为2019年9月6日至2020年4月9日,此后插拔记录显示设备多为移动硬盘,而非U盘。此外,经过对105个涉案文档进行分析发现,91个文档中包括了赢某通公司于2019年8月30日以后生成的数据,这直接证明了涉案信息并非龚某在赢某通公司任职期间所获取。”郭树正说。
数据显示,2019年至2022年10月,全国检察机关共批准逮捕涉嫌侵犯公民个人信息罪犯罪嫌疑人1.3万余人,起诉2.8万余人。
最高检第一检察厅负责人表示,今后将加强对公民个人信息类型和刑事处罚标准的研究,推进完善个人信息保护法律体系。完善检察机关刑事检察和公益诉讼检察部门之间的线索移送、同步介入、人员协作、会商研判机制,协同推进个人信息保护刑事检察和公益诉讼检察一体化办案,推动形成个人信息保护多元共治新格局。加强与行业主管部门和行业协会沟通,推动建立健全个人信息保护常态化机制,在全社会全行业营造保护公民个人信息的良好环境。
延伸阅读——侵犯公民个人信息犯罪相关典型案例见今日八版