三、非法收集公民个人信息的处理_最高人民法院、最高人民检察院侵犯公民个人信息罪司法解释理解与适用-QQ阅读男生都市网

书名：最高人民法院、最高人民检察院侵犯公民个人信息罪司法解释理解与适用
作者名：喻海松
本章字数：2241字
更新时间：2021-09-18 14:51:57

三、非法收集公民个人信息的处理

《网络安全法》第四十一条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”“网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”违反上述规定，未经他人同意收集公民个人信息，或者收集与提供的服务无关的公民个人信息的，应当认定为“非法获取公民个人信息”。以此为基础，《解释》第四条专门明确，违反国家有关规定，在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

[1]例如，安徽合肥警方在一个案件中查获多达120G的公民个人信息。该案中，从事企业人员交流培训工作的李某为扩大招生生源，通过互联网查找各地企业负责人的个人信息。李某在网上发现了王某搭建的贩卖个人信息的网站，通过王某介绍，李某发现自己手中掌握的信息也是一种“财富”。于是，两人约定“互换”手中掌握的公民个人信息。参见《合肥侦破侵犯公民个人信息案三十七起查获信息数据两亿余条》，载《法制日报》2016年12月2日第8版。

[2]杜明兴、杜明龙侵犯公民个人信息案也涉及公民个人信息交换的情形。被告人杜明兴、杜明龙加入涉及个人信息交换买卖的QQ群，通过购买、交换等方式获取大量公民个人信息，再在群里发布广告招揽买家。2015年11月至2016年3月，杜明兴向他人购买或者交换车主信息等公民个人信息28万余条，向他人出售关于期货、基金、车主、信用卡等公民个人信息42万余条；杜明龙向他人购买杭州地区新生儿及其父母信息等公民个人信息3万余条，向他人出售车主信息、小区业主信息等公民个人信息近40万条。江苏省南京市鼓楼区人民法院判决认为：被告人杜明兴、杜明龙违反国家有关规定，向他人出售或者以非法方法获取公民个人信息，情节严重，其行为已构成侵犯公民个人信息罪。综合考虑被告人坦白、退赃等情节，以侵犯公民个人信息罪判处被告人杜明兴有期徒刑一年四个月，罚金人民币一万元；被告人杜明龙有期徒刑一年二个月，罚金人民币一万元。该判决已发生法律效力。

[3]肖凡、周浩等侵犯公民个人信息案即是适例。被告人肖凡、周浩预谋窃取邮局内部的公民个人信息进行出售牟利，共同出资购买了黑客软件。2016年5月至2016年6月，二人通过黑客软件侵入邮局内网，在邮局内网窃取邮局内部的公民个人信息103257条，并将窃取的公民个人信息全部出售给被告人李晓波。后李晓波将购买的公民个人信息出售给被告人王丽元40000条，王丽元又将购买到的公民个人信息出售给被告人宋晓波30000条。内蒙古自治区赤峰市红山区人民法院判决认为：被告人肖凡、周浩通过黑客手段窃取公民个人信息并非法出售，李晓波、王丽元、宋晓波通过购买方式非法获取公民个人信息，其行为均已构成侵犯公民个人信息罪。据此，以侵犯公民个人信息罪判处被告人肖凡、周浩、李晓波各有期徒刑二年，并处罚金人民币五万元；被告人王丽元有期徒刑一年，并处罚金人民币三万元；被告人宋晓波有期徒刑六个月，并处罚金人民币三万元。该判决已发生法律效力。

[4]又如张某某、姚某某侵犯公民个人信息案。2015年6月，被告人张某某在登录浏览“魅力惠”购物网站时发现，通过修改该网站网购订单号可以查看到包含用户姓名、手机号、住址等内容的订单信息。为谋取利益，张某某委托他人针对上述网站漏洞编制批量扒取数据的恶意程序，在未经网站授权的情况下，进入该网站后台管理系统，从中非法获取客户订单信息12503条，通过QQ等联络方法将上述客户信息分数次卖给被告人姚某某，获利人民币5359元。被告人姚某某购得上述订单信息后，又在网络上分别加价倒卖从中牟利。2016年3月29日，法院以侵犯公民个人信息罪，判处被告人张某某有期徒刑一年九个月，罚金人民币五万元；被告人姚某某有期徒刑一年六个月，罚金人民币二万元。

[5]实际上，侵犯公民个人信息犯罪大致表现为如下形式：（1）从源头非法获取个人信息，一般又可以分为两种：一是黑客通过入侵计算机信息系统非法获取；二是员工利用职务之便，将自己掌握的信息进行非法贩卖；（2）通过居间买卖个人信息进行牟利；（3）利用个人信息实施违法犯罪行为；（4）进行个人信息非法互换交易。参见《保护公民个人信息亟须综合治理本报专访公安部网络安全保卫局有关负责人》，载《人民公安报》2016年9月26日第4版。

[6]早在《刑法修正案（九）》之前，针对刑法第二百五十三条之一规定的“非法”获取公民个人信息，有论者从“公民个人信息”是“个人法益”且具有“超个人法益属性”的角度出发，主张“非法”无需根据前置的配套法律法规进行认定，无需等待我国公民个人信息保护法等类似的法律法规出台后才能确定，除依法强制公民提供公民个人信息的情形之外，凡是未经公民个人明示或者默示之同意而获取公民个人信息的，均属于“非法”获取。参见曲新久：《论侵犯公民个人信息犯罪的超个人法益属性》，载《人民检察》2015年第11期。本书认为，按照通行观点，侵犯公民个人信息罪属于行政犯而非自然犯，故而认定其行为的违法性宜以相应前置规定为基础。当然，在具体案件涉及的获取公民个人信息行为是否系“非法”的判断上，对判断依据“国家有关规定”可以作相对灵活的把握，只要有一般性规定即可，而不应要求专门性规定。

[7]参见叶琦：《基于特定身份非法获取公民个人信息构成非法获取公民个人信息罪》，载《人民司法》2014年第20期。