4.4 个人信息保护法规
您可以在百度里搜索“网络安全法和网络安全等级保护2 艾草文学(www.321553.xyz)”查找最新章节!
4.4 个人信息保护法规
4.4.1 网络安全法
当下,侵犯个人信息、电信网络诈骗等违法犯罪活动多发,其中“违法犯罪活动的网站和通讯群组”和“利用电信网络发布与实施诈骗”是两大“终端”。《网络安全法》有针对性地规定:任何个人和组织不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布与实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动有关的信息。这两项规定对保护公民网络空间的合法权益、打击网络违法犯罪具有重要意义,也充分体现了我国网络安全立法“以民为本、立法为民”的核心理念。纵观《网络安全法》法律条款,基本大法的保护是全方位的。
1.信息采集许可
《网络安全法》规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
随着网络安全基本大法的实施,各地各行业随后会出台系列配套关于个人信心保护的规定、规则。
2.个人信息保护
在保护义务上规定,网络运营者不得泄露、篡改、毁损其收集的个人信息,应当采取技术措施和其他必要措施,确保其收集的个人信息安全;防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
同时,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
3.个人信息使用
网络运营者使用个人信息,应当遵循合法、正当、必要的原则,公开使用规则,明示使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得提供服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理保存的个人信息。
4.用户实名制
互联网给经济社会发展带来巨大红利的同时,也引发了网络谣言这一“副作用”。但是,网络空间不是法外之地,加快网络空间法制化建设,是落实中央全面依法治国战略部署,加强和改进网络管理工作的要求。《网络安全法》规定,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通信等服务时,应当要求用户提供真实身份信息。
这规定了网络运营者必须履行的义务,核心是实名制。实名制最大程度地实现了信息的真实性、可靠性,成为国家网络安全的一个重要基础,同时能有效预防和打击网上散布谣言、制造恐慌和恶意侵害他人名誉等网络犯罪活动。不过,网络运营者获取用户的信息后,绝不是想干什么就干什么。比如《网络安全法》明确,网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定等。
5.个人信息删除权和更正权
个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
6.执法权限
在执法权限上规定,依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
7.举报通道
在举报通道上规定,网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报等。
8.违法处置
《网络安全法》强调了网络运营者等维护个人信息安全的“主体责任”:网络运营者、网络产品或者服务的提供者违反规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处100万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
4.4.2 两院关于侵犯公民个人信息入刑的主要内容
2017年3月20日最高人民法院审判委员会第1712次会议、2017年4月26日最高人民检察院第十二届检察委员会第 63 次会议通过《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),为依法惩治侵犯公民个人信息犯罪活动,保护公民个人信息安全和合法权益奠定了刑法支持。意味着一旦侵犯公民个人信息,则会受到刑事处罚。
《解释》自2017年6月1日起施行,其主要内容有10项。
1.明确了“公民个人信息”的范围
基于全面保护公民个人信息的现实需要,《解释》第一条规定“公民个人信息”包括身份识别信息和活动情况信息,即“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
2.明确了非法“提供公民个人信息”的认定标准
根据刑法第二百五十三条之一的规定,违反国家有关规定,向他人出售或者提供公民个人信息,是侵犯公民个人信息罪的客观行为方式之一。针对司法实践的情况,《解释》第三条对非法“提供公民个人信息”的认定作了进一步明确。
一是“提供”的认定。在“人肉搜索”案件中,行为人未经权利人同意即将其身份、照片、姓名、生活细节等个人信息公布于众,影响其正常的工作、生活秩序,危害严重。更有甚者,一些行为人恶意利用泄露的个人信息进行各类违法犯罪活动。经研究认为,通过信息网络或者其他途径予以发布,实际是向不特定多数人提供公民个人信息,向特定人提供公民个人信息的行为属于“提供”,基于“举轻明重”的法理,前者更应当认定为“提供”。基于此,《解释》规定,“向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的‘提供公民个人信息’。”
二是合法收集公民个人信息后非法提供的认定。根据《网络安全法》的规定,经得被收集者同意,以及做匿名化处理(剔除个人关联),是合法提供公民个人信息的两种情形。基于此,《解释》规定,“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外。”
3.明确了“非法获取公民个人信息”的认定标准
根据刑法第二百五十三条之一的规定,窃取或者以其他方法非法获取公民个人信息,是侵犯公民个人信息罪的客观行为方式之一。根据司法实践的情况,《解释》第四条对“非法获取公民个人信息”的认定作了进一步明确。
一是规定“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息”的,属于“非法获取公民个人信息”。
二是根据《网络安全法》规定的收集、使用个人信息的规则,明确违反国家有关规定,“在履行职责、提供服务过程中收集公民个人信息”的,属于“非法获取公民个人信息”。
4.明确了侵犯公民个人信息罪的定罪量刑标准
侵犯公民个人信息罪的入罪要件为“情节严重”。根据法律精神,结合司法实践,《解释》第五条第一款设十项对“情节严重”的认定标准作了明确规定,大致涉及如下五方面:
一是信息类型和数量。公民个人信息的类型繁多,行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、交易信息等公民个人敏感信息涉及人身安全和财产安全,被非法获取、出售或者提供后极易引发绑架、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。基于不同类型公民个人信息的重要程度,《解释》分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准,以体现罪责刑相适应。
二是违法所得数额。出售或者非法提供公民个人信息往往是为了牟利,基于此,《解释》将违法所得五千元以上的规定为“情节严重”。
三是信息用途。被非法获取、出售或者提供的公民个人信息,用途存在不同,对权利人的侵害程度也会存在差异。基于此,《解释》将“非法获取、出售或者提供行踪轨迹信息,被他人用于犯罪”“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供”规定为“情节严重”。
四是主体身份。公民个人信息泄露案件不少系内部人员作案,诸多公民个人信息买卖案件也可以见到“内鬼”参与的“影子”。为切实加大对此类行为的惩治力度,《解释》明确,“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人”的,认定“情节严重”的数量、数额标准减半计算。
五是前科情况。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的,行为人屡教不改、主观恶性大,《解释》将其也规定为“情节严重”。
在此基础上,《解释》第五条第二款对侵犯公民个人信息罪的“情节特别严重”的认定标准,即“处三年以上七年以下有期徒刑”量刑档次的适用标准作了明确,主要涉及如下两方面:
一是数量数额标准。根据信息类型不同,非法获取、出售或者提供公民个人信息“五百条以上”“五千条以上”“五万条以上”,或者违法所得五万元以上的,即属“情节特别严重”。
二是严重后果。《解释》将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”“造成重大经济损失或者恶劣社会影响”规定为“情节特别严重”。
5.明确了为合法经营活动而非法购买、收受公民个人信息的定罪量刑标准
从实践来看,非法购买、收受公民个人信息从事广告推销等活动的情形较为普遍。为贯彻体现宽严相济刑事政策,《解释》第六条专门针对此种情形设置了入罪标准,规定为合法经营活动而非法购买、收受敏感信息以外的公民个人信息,具有下列情形之一的,应当认定为“情节严重”:
(一)利用非法购买、收受的公民个人信息获利五万元以上的;
(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;
(三)其他情节严重的情形。
6.明确了设立网站、通讯群组侵犯公民个人信息行为的定性
实践中,一些行为人建立网站、通讯群组供他人进行公民个人信息交换、流转、销售,以非法牟利。根据刑法第二百八十七条之一的规定,设立用于实施违法犯罪活动的网站、通讯群组,情节严重的,构成非法利用信息网络罪。
经研究认为,供他人实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组实际上属于“用于实施违法犯罪活动的网站、通讯群组”。因此,《解释》第八条规定:“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。”
7.明确了拒不履行公民个人信息安全管理义务行为的处理
当前,不少网络运营者因为履行职责或者提供服务的需要,掌握着海量公民个人信息,这些信息一旦泄露将造成恶劣社会影响和严重危害后果。对此,《网络安全法》明确了网络信息安全的责任主体,确立了“谁收集,谁负责”的基本原则。其中,第四十条明确规定,“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”为进一步促使网络服务提供者切实履行个人信息安全保护义务,《解释》第九条规定:“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。”
8.明确了侵犯公民个人信息犯罪认罪认罚从宽处理规则
为充分发挥刑法的威慑和教育功能,促使侵犯公民个人信息犯罪行为人积极认罪悔罪,《解释》第十条专门规定,“实施侵犯公民个人信息犯罪,不属于‘情节特别严重’,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。”
9.明确了涉案公民个人信息的数量计算规则
针对公民个人信息数量“计算难”的实际问题,《解释》第十一条专门规定了数量计算规则。具体而言:
一是公民个人信息的条数计算。《解释》规定,“非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。”“向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。”
二是批量公民个人信息的数量认定规则。为方便司法实务操作,《解释》规定,“对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。”
10.明确了侵犯公民个人信息犯罪的罚金刑适用规则
侵犯公民个人信息犯罪具有明显的牟利性,行为人实施该类犯罪主要是为了牟取非法利益。因此,有必要加大财产刑的适用力度,让行为人在经济上得不偿失,进而剥夺其再次实施此类犯罪的经济能力。基于此,《解释》第十二条规定,“对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。”
4.4.3 两院关于侵犯公民个人信息入刑的规定
1.刑法第二百五十三条
“侵犯公民个人信息罪”是指违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
2.刑法第二百八十六条
“拒不履行信息网络安全管理义务罪”是指,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
3.刑法第二百八十七条
“非法利用信息网络罪”是指,利用信息网络实施下列行为之一,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金:
(一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;
(二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;
(三)为实施诈骗等违法犯罪活动发布信息的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
4.刑法解释说明
公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
违反国家有关规定,是指违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。
向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。
未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
5.情节严重程度界定
非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。
对应为合法经营活动而非法购买、收受的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)利用非法购买、收受的公民个人信息获利五万元以上的;
(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;
(三)其他情节严重的情形。
6.情节特别严重程度界定
在情节严重的基础上,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(二)造成重大经济损失或者恶劣社会影响的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。
4.4.4 侵犯公民个人信息犯罪典型案例
① 邵保明等侵犯公民个人信息案,非法出售户籍信息、手机定位、住宿记录等个人信息,构成侵犯公民个人信息罪。
② 韩世杰、旷源鸿、韩文华等侵犯公民个人信息案,非法查询征信信息牟利,构成侵犯公民个人信息罪。
③ 周滨城等侵犯公民个人信息案,非法购买学生信息出售牟利,构成侵犯公民个人信息罪。
④ 夏拂晓侵犯公民个人信息案,非法买卖网购订单信息,构成侵犯公民个人信息罪。
⑤ 肖凡、周浩等侵犯公民个人信息案,利用黑客手段窃取公民个人信息出售牟利,构成侵犯公民个人信息罪。
⑥ 杜明兴、杜明龙侵犯公民个人信息案,通过互联网非法购买、交换、出售公民个人信息,构成侵犯公民个人信息罪。
⑦ 丁亚光侵犯公民个人信息案,非法提供近2000万条住宿记录供他人查询牟利,构成侵犯公民个人信息罪“情节特别严重”。 网络安全法和网络安全等级保护2