徐玉玉案今日开庭 律师谈新法如何从源头上保护公民信息网络安全

　　轰动全国的徐玉玉电信网络诈骗致死案6月27日上午在山东省临沂市中级法院开庭，被告人陈文辉、郑金锋、黄进春、熊超、陈宝生、郑贤聪、陈福地等犯罪嫌疑人出庭受审。这一案件的审理结果揪动着很多人的心。

　　去年高考结束后，山东省临沂市高考录取新生徐玉玉被不法分子冒充教育、财政部门工作人员，利用通过网络购买的徐玉玉相关信息，诈骗9900元。案发后，徐玉玉因无法承受被骗的压力，伤心欲绝，郁结于心，导致心脏骤停，虽经医院全力抢救，仍不幸离世。

　　表面上徐玉玉因钱财被骗身亡，但背后显而易见的原因是因其个人隐私信息被他人窃取，致使犯罪得逞，在互联网时代这种行为屡见不鲜、频频发生。据媒体报道，仅2016年，山东、广东等地连续发生3起学生遭网络电信诈骗案件，导致受害人猝死或自杀。网络电信诈骗甚嚣尘上，此起彼伏。

　　为解决这类问题，应从源头上净化互联网时代的社会环境，有效保护公民的隐私权。6月1日，最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）开始实施，《中华人民共和国网络安全法》（以下简称《网络安全法》）也于同日正式实施。

　　显然，这不是巧合。两部法的共同实施，凸显了互联网时代背景下公民个人信息保护的重大意义，在具体适用上两者实际也紧密关联。《网络安全法》是刑事法律适用的前置法，是紧随《民法总则》、《侵权责任法》等民事法律后，加强公民个人信息保护的第二道制度防线，其规定的网络平台对保护公民个人信息的责任，在刑事法律适用中是罪行认定的规范事实基础，因此《刑法修正案》及其司法解释属于公民个人信息保护的第三道制度防线。

侵犯公民个人信息罪司法适用之文义解析

　　《刑法》规定的侵犯公民个人信息罪的司法适用，实质是《刑法》关于侵犯公民个人信息罪的定罪量刑标准与具体证据事实之间寻找最佳匹配度的过程。所以，对侵犯公民个人信息罪的定罪量刑标准的法律文义解析，是首要任务。这里要说明的是，对于罪名认定，笔者始终认为“客观性－违法性－有责性”的三要件构成理论是符合司法规律的。因此，下面对侵犯公民个人信息罪的法律文义解析，也按照这一逻辑顺序展开。

1.客观性：危害后果和间接影响

　　侵犯公民个人信息的行为造成何种危害后果才会受到刑罚惩罚，两部新法对此作了限制规定。《网络安全法》第四十二条规定，对于经过处理无法识别特定个人且不能复原的信息，不在保护之列。《解释》更是开宗明义，第一条就界定了“公民个人信息”的范围，即“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信联系方式、住址、账号密码、财产状况、行踪轨迹等”。

　　在此基础上，以《网络安全法》为依据，《解释》也将“经过处理无法识别特定个人且不能复原的信息”予以排除。进一步地，《解释》又将公民个人信息根据其内容重要程度加以区分，《解释》第五条第（三）、（四）、（五）项分别设置了五十条以上、五百条以上、五千条以上的入罪标准，标注了三类不同侵害行为的社会危害程度。

2.违法性：危害行为

　　法律对侵犯公民个人信息行为的规制，是根据公民个人信息的活动机理形成的。每个信息的活动过程基本上可以分三个端：形成端、获取端、使用端。

　　从刑法修正案（七），到刑法修正案（九），再到《解释》，对侵犯公民个人信息行为的规制无一例外都集中于获取端和使用端两个环节。从法律规定来看，获取端的行为方法主要包括“窃取、购买、收受、交换及其他非法收集行为”，使用端的行为方法主要包括“出售、提供、发布及其他滥用行为”。

　　凡存在“非法获取”或者“非法使用”公民个人信息行为的，根据相应的情节标准，都有构成犯罪的可能。

3.有责性：犯罪故意和人身危险性

　　侵犯公民个人信息罪的犯罪主观要件是故意，但根据《解释》规定，不同情形的故意内容不完全相同。一般情况下，要求行为人明知自己的行为侵犯公民个人信息，但仍然积极实施，符合该罪的直接故意要件。据此，《解释》第五条第（一）项规定了“出售或者提供行踪轨迹信息，被他人用于犯罪的”，但并不要求行为人对于“他人用于犯罪”这一后果有预见或明确认识，只要客观上出现“他人利用行踪轨迹信息实施犯罪”这一客观事实，行为就构成犯罪。但是，对于《解释》第五条第（二）项规定的“知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的”，这种情形下没有出现他人实施犯罪的情况，但要求行为人主观上是知道或者应当知道这种情况可能发生的，那么其行为就构成了犯罪，这种情况下犯罪故意的认识内容比一般的故意内容要多一些。

　　这里的“人身危险性”，根据《解释》规定，主要是指“前科情况”“初犯”“认罪悔罪态度”。其中，“前科情况”，是指《解释》第五条第一款第（九）项、第六条第一款第（二）项规定的“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚”；“初犯”和 “认罪悔罪态度”，是根据《解释》第十条规定的情节因素；这一因素直接决定了侵犯公民个人信息行为是否达到“情节特别严重”的程度。同时，《解释》第十二条规定在决定判处罚金数额上，同样应当考虑被告人的前科情况及认罪悔罪态度。

侵犯公民个人信息罪司法适用的典型情形

　　实践中，侵犯公民个人信息情况某种程度上已形成了一条灰色的产业链，在形形色色的网络平台、调查公司、金融理财机构、广告公司、教育机构等主体的业务经营中广泛存在这类非法行为，隐藏着重大刑事犯罪风险。侵犯公民个人信息罪的司法适用，需要特别注意以下几种情形：

1.共犯情形

　　实践中常见的情形包括：一些机构的工作人员借职务之便收集公民个人信息，与外部人员勾结，提供信息牟取非法利益，属于共犯；还有一些网站非法采集公民个人信息后出售给他人，此时它和下游的购买、交换者可能构成共犯。例如，最近报道很火的智联招聘大客户部销售员申某侵犯公民个人信息一案。嫌疑人申某的做案手法就是利用工作便利非法收集用户个人简历信息，他利用智联招聘网站系统的漏洞，在智联招聘的客服李某的帮助下，将该网站15.5万余条个人简历廉价卖给北京某科技公司的人事经理余某。这类案件就是员工“非法利用”客户信息和外部人员“非法购买”个人信息的内外勾结案件。

2.吸收犯情形

　　依据《解释》第六条第二款“实施前款规定的行为，将购买、收受的公民个人信息非法出售或者提供的，定罪量刑标准适用本解释第五条的规定”，在这一情形下，行为人既有非法获取又有非法使用公民个人信息的行为，因《解释》第十一条第一款明确“信息条数是不能重复计算的”，因此获取和使用行为相互被吸收，只能按照一罪来处理，不能数罪并罚。

3.想象竞合犯情形

　　根据《解释》第八条，网站经营者如果设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通信群组，情节严重的，以非法利用信息网络罪定罪处罚。如果这一行为同时构成侵犯公民个人信息罪的，按照刑法“想象竞合犯”的处理原则，按一重罪以“侵犯公民个人信息罪”定罪处罚。

4.牵连犯情形

　　现实中利用非法获取的公民个人信息实施网络电信诈骗、敲诈勒索甚至绑架罪的情况已屡屡发生，这种情况下行为人可能构成两个以上犯罪行为：一是手段犯即侵犯公民个人信息罪，二是结果犯即诈骗罪、敲诈勒索罪或绑架罪，按照刑法牵连犯的处理原则，应按其中的重罪来处理。

5.帮助犯情形

　　帮助犯是其行为客观上对侵犯公民个人信息起到了帮助作用，但与共犯情况不同，它单独构成其他犯罪，《解释》第九条即规定此类情形。网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的个人信息泄露，造成严重后果的，以拒不履行信息网络安全管理义务罪定罪处罚。根据《网络安全法》，网络运营者因大量采集公民个人信息，产生了相应的保管责任和监管义务，依法应当建立健全用户信息保护制度、信息收集使用规则、网络信息安全投诉、举报制度等一系列网络用户信息管理制度。如果违反上述法定义务不履行职责，造成严重后果的，就单独构罪。对于网络运营者是如此，实际上对于正常履行职责或提供服务的教育、医疗、金融等机构同样负有该管理责任。如果这些机构没有履行好相应职责，导致公民个人信息被严重侵犯的，也应被追究相应责任，严重的应受到失职渎职的刑事处罚。

　　这一规定对于互联网运营服务商具有特别重要的意义，它们在隐私权政策的制定上并没有完全引起重视，对于收集到的网站用户的个人信息如何明确取得用户授权，并与第三方实现数据信息共享，这是它们首先要解决的重大合规问题。在近期吵得沸沸扬扬的菜鸟网络与顺丰快递之间的争执事件中，正是反映了这一重要问题，应当引起相关企业的警醒。

加大惩治侵犯公民个人信息行为的重要意义

　　现实中，人们很难短期内感受到《解释》和《网络安全法》的实施对其个人权益保护的重要价值，甚至还会产生质疑，因为生活中侵犯公民个人信息的现象已比比皆是，生活在城市中的人们时常接触到各种骚扰电话、短信或微信，有房产中介的、教育机构的、担保公司的、保险及其他商品销售企业的等等，突出反映了对侵犯公民个人信息行为的惩治力度不够。

　　加大执法力度须以正确认识作为先导。对两部新法重要性和适用紧迫性的认识，应置于网络时代和数字社会的大环境下。在互联网时代，数据信息已成为社会的基本元素，某种程度上个人存在已成为以数据信息为内容的“虚拟存在”，人们的交往更多通过数据信息去彼此感受或被感受。这是科学技术给人类社会带来的实实在在的改变，这种改变是进步还是倒退，取决于基于人类普遍良知进行的立法。如果法律保障了数据信息蕴含的人身权益和财产权益，技术发展就是一种进步。反之，如果技术无限突破个人权利底线，以损害人的自由、尊严和财产作为代价，对于人类而言不啻为一种倒退。

　　有了互联网和大数据技术，人们信用信息的收集变得快速而准确。对各种不诚信的记录，能快速留存、整理和查找，这对于实施信用惩戒、构建诚信社会具有重大价值。但与此同时，个人隐私信息也被大量窃取和非法使用，在互联网技术面前人们毫无隐私可言，完全成了“透明人”，侵害数据信息意味着可能对人们的人身或财产权利的侵犯，所以近年来出现大量网络电信诈骗犯罪，背后都有被害人个人信息被窃取或滥用的原因。

　　正所谓治本抓源头，加强对公民个人信息的法律保护，就是在互联网时代对公民基本权利保护的行动落实。如果能从这一高度认识两部新法实施的重大意义，对于我们加强公民个人信息保护的执法工作将产生强有力的促进，使每个公民都能实实在在地感受到法律所彰显的正义。

　　                                                                                               （文章来源：方圆律政）