最高法发文再提个人信息安全 侵权或按刑法定罪

互联网+ 东东 零壹财经 2017-05-09
今年3月20日最高法审议通过了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)。最高人民法院研究室主任颜茂昆于5月9日上午在新闻发布会上对其进行了背景介绍和解读。

《解释》共十三条,主要包括以下十个方面的内容:

(一)明确了“公民个人信息”的范围。

(二)明确了非法“提供公民个人信息”的认定标准。

(三)明确了“非法获取公民个人信息”的认定标准。

(四)明确了侵犯公民个人信息罪的定罪量刑标准。一是规定“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息”的,属于“非法获取公民个人信息”。二是根据《网络安全法》规定的收集、使用个人信息的规则,明确违反国家有关规定,“在履行职责、提供服务过程中收集公民个人信息”的,属于“非法获取公民个人信息”。

(五)明确了为合法经营活动而非法购买、收受公民个人信息的定罪量刑标准。

(六)明确了设立网站、通讯群组侵犯公民个人信息行为的定性。《解释》第八条规定:“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。”

(七)明确了拒不履行公民个人信息安全管理义务行为的处理。

(八)明确了侵犯公民个人信息犯罪认罪认罚从宽处理规则。

(九)明确了涉案公民个人信息的数量计算规则。

(十)明确了侵犯公民个人信息犯罪的罚金刑适用规则。

此前曾有多家媒体指出互联网行业中存在信息安全问题,先有“中国信用黑名单”网站公开披露几千名逾期借款人的详细信息,后有京东数据泄露12G的用户信息。对于此类情况,在本次发布的《解释》第九条中提到“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。”也就是说,此后由于企业未能及时改正,保证用户个人信息安全而导致泄露的情况都会按照刑法进行定罪处罚。

即将于10月1日生效的民法总则规定,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。刑法也规定,窃取或者非法获取个人信息,违规向他人出售或提供个人信息的,最高可处七年有期徒刑。 

而本次发布的《解释》则是对互金信息安全问题再次敲响了警钟。大成律师事务所肖飒律师认为,互金企业应依照国家质量监督检验检疫总局、国家标准化管理委员会颁布的《信息安全技术 公共及商用服务信息系统个人信息保护指南》、工信部颁布的《电信和互联网用户个人信息保护规定》制定用户信息保护制度。必要时,可以聘用律师制定相关制度以确保合规性。 

同时,保护公民信息制度化既是互金企业经营行为的合规标志,也是互金企业陷入侵犯公民个人信息指控之时的免责证据之一。 

附:

最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释

为依法惩治侵犯公民个人信息犯罪活动,保护公民个人信息安全和合法权益,根据《中华人民共和国刑法》《中华人民共和国刑事诉讼法》的有关规定,现就办理此类刑事案件适用法律的若干问题解释如下:

第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

第二条 违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。

第三条 向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。

未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。

第四条 违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:

(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;

(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;

(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;

(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;

(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;

(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;

(七)违法所得五千元以上的;

(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;

(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;

(十)其他情节严重的情形。


实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:

(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;

(二)造成重大经济损失或者恶劣社会影响的;

(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;

(四)其他情节特别严重的情形。


第六条 为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:

(一)利用非法购买、收受的公民个人信息获利五万元以上的;

(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;

(三)其他情节严重的情形。


实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。

第七条 单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。

第八条 设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。

第九条 网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。

第十条 实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。

第十一条 非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。

向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。

对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。

第十二条 对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。

第十三条 本解释自2017年6月1日起施行。

最高人民法院办公厅秘书一处
2017年5月8日印发

1

相关文章

我来评论

评论“最高法发文再提个人信息安全 侵权或按刑法定罪”

取消 提交 请输入内容!

评论

  • 零壹财经金融科技百人谈

    零壹财经金融科技百人谈

  • 8.24网贷监管办法出台一周年

    8.24网贷监管办法出台一周年

  • 汽车金融新版图

    汽车金融新版图

耗时 150ms