分享

侵犯公民个人信息罪的实践与思考

 一丁书屋311 2016-12-31

 

来源:中国法学网

原创:李玉萍    中国应用法学研究所研究员


摘要:侵犯公民个人信息行为不仅危害公民的信息安全,而且容易引发多种下游犯罪,严重威胁公民个人安全和社会管理秩序。《刑法修正案(九)》加大了对侵犯公民个人信息犯罪行为的打击力度,但是在法律适用时仍遇到诸多问题。有效惩治和预防侵犯公民个人信息犯罪,需要在了解信息化背景下网络犯罪基本特征的基础上,规范侵犯公民个人信息罪的法律适用,探索海量犯罪信息的认证模式。

关键词:侵犯公民个人信息罪,网络犯罪,法律适用,认证模式

近年来,随着我国经济社会的快速发展和信息网络的广泛普及,通过网络出售、非法提供和非法获取公民个人信息的违法犯罪现象日益突出,导致公民权利遭受侵害,社会管理难度升级,同时又成为电信诈骗、网络诈骗以及滋扰型“软暴力”等信息犯罪的根源。基于此,继2009年《刑法修正案(七)》(以下简称“刑七”)中增设“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”后,2015年通过的《刑法修正案(九)》(以下简称“刑九”)对上述规定作了修正,将原有的两个罪名统一为“侵犯公民个人信息罪”,并扩大了犯罪主体范围,提高了法定刑,规定了从重处罚的情形。本文以“中国裁判文书网”上能够检索到的“侵犯公民个人信息罪”裁判文书为主要研究对象,结合地方法院审理个案的情形,总结归纳当前阶段人民法院在审判此类案件中遇到的问题,尝试分析导致上述问题的原因,并在此基础上提出改进建议。

一、实践考察:侵犯公民个人信息罪的实行状况

截至2016年6月26日,中国裁判文书网上可以查阅到的、案由包括“侵犯公民个人信息罪”的裁判文书共有74份。其中,第二审法院的裁判文书6份,第一审法院的裁判文书68份;2015年形成的裁判文书18份,2016年形成的裁判文书56份。这些裁判文书分别来自13个省份,按文书数量由高到低排列为:福建(22份)、上海市(9份)、广东(8份)、浙江(6份)、河南(6份)、湖北(5份)、山东(5份)、河北(4份)、湖南(3份)、北京市(3份)、四川、云南和江西各1份。通过研究上述裁判文书可以管窥现阶段地方法院适用“侵犯公民个人信息罪”的基本情况。

(一)关于“公民个人信息”的认定及其适用

1.公民个人信息的范畴

目前,各地法院认定的公民个人信息范围非常广泛,包括公民身份信息、车辆信息、房产信息、手机定位信息、护照信息、旅馆业旅客入住信息、乘客数据信息、淘宝买家信息、公司客户(会员)信息、学生信息、新出生婴儿信息、残疾人信息、精神病人信息以及已故人员家属信息等。

2.非法获取公民个人信息的手段

在司法实践中,行为人获取公民个人信息的方式多样,主要是通过网络非法获取。其中,有的是从商家、商场、短信群发平台等处获得,有的是从互联网、QQ群、微信群及淘宝网购买,有的是通过QQ群下载,有的是通过交换方式获得,有的则是通过侵入他人计算机信息系统获取,还有的是使用民警的数字证书在公安内部网络上非法查询并获得公民个人信息。

3.行为人获取信息后的用途

在实践中,行为人获取公民个人信息后的处置方式多样,有的是用做商业用途(如推广公司业务或者推销公司产),有的是直接出售牟利或者为他人推广业务进而牟利,有的是用来在网站虚假注册,以骗取网站相关优惠,有的则是用来直接从事诸如诈骗等违法犯罪活动,还有的是将信息提供给其他人从事违法犯罪活动。此外,也有个别裁判文书中并未说明行为人获取信息后如何使用。

(二)关于侵犯公民个人信息罪的入罪标准及罪名适用

1.入罪标准

在我国,侵犯公民个人信息行为只有达到“情节严重”程度的,才能入罪。从现有裁判文书来看,司法机关在认定“情节严重”时主要考虑以下因素。一是涉案公民个人信息的数量。这是绝大多数裁判文书所采用的认定犯罪标准。具体到个案而言,涉案公民个人信息的数量从54条到5112470条不等。二是行为人非法获利的数额。有的判决书中并未明确涉案的公民个人信息数量,而是将被告人非法处置公民个人信息后所获得的利益作为(如出售个人信息获利等)定罪的依据。三是信息数量+非法获利数额,即行为人既实施了侵犯公民个人信息的行为,又通过与信息有关联的行为非法获取利益。此时,司法机关会综合考虑信息数量和获利情形作出判决。

2.罪名的适用

根据现有的裁判文书可以发现,对于侵犯公民个人信息行为,地方法院在定罪时会遇到以下情况。一是对于发生在“刑九”实行前的侵犯公民个人信息行为,大部分法院是按照“刑九”中的“侵犯公民个人信息罪”定罪处罚,也有按照“刑七”中的“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”定罪处罚。二是对于利用非法获取的公民个人信息实施诈骗等犯罪行为的,大部分法院认为分别构成“侵犯公民个人信息罪”和“诈骗罪”,按照数罪并罚原则进行处罚,也有法院认为诈骗行为与侵犯公民个人信息行为属于牵连关系,按照诈骗罪定罪处罚。三是对于侵入计算机信息系统获取公民个人信息的行为,有的法院适用侵犯公民个人信息罪,有的法院则适用非法获取计算机信息系统数据罪。

(三)关于侵犯公民个人信息罪的刑罚适用

综观现有的74份裁判文书可以发现,当前关于侵犯公民个人信息罪的量刑有一个显著特点,即所有案件均是在3年以下有期徒刑或拘役的量刑档次中适用刑罚,尚未有按照3年以上有期徒刑量刑档次处罚的案例,即尚未有认定侵犯公民个人信息“情节特别严重”的案件。具体而言,在上述74份裁判文书中,除三起案件不涉及量刑外,在其他71起案件中,一起案件的被告人被免于刑事处罚,一起案件的被告人被单处罚金刑,其他案件的被告人则被判处有期徒刑或者拘役,并处罚金。

二、问题探究:影响侵犯公民个人信息罪实施的突出问题

(一)定罪方面的问题

1.入罪标准不统一

我国《刑法》规定,构成侵犯公民个人信息罪要达到“情节严重”的标准,但是对于何为“情节严重”,现有立法和司法解释都未作出规定,由此导致各地法院在认定标准上的不统一。其中,在有的案件中,被告人非法获取的公民个人信息只有几十条甚至是几条,被判定罪并获刑;而在有的案件中,被告人非法获取公民个人信息的数量超过百条,却免于刑事处罚。

2.罪名适用存在争议

侵犯公民个人信息罪是“刑九”中新出现的罪名,该罪名涵盖、修正了之前“刑七”中的“非法提供、出售公民个人信息罪”和“非法获取公民个人信息罪”。在司法实践中,对于犯罪行为发生在“刑九”之前,而案件审理时“刑九”已经实行的案件,是适用新罪名还是原有罪名进行裁判各地做法不一。又如,随着计算机的普及和信息技术的快速发展,公民个人信息已经成为下游网络犯罪的重要源头,被誉为“百罪之源”。通过查阅裁判文书也可以发现,相当一部分被告人在非法获取公民个人信息后,或是直接利用这些信息从事违法犯罪活动(如拨打诈骗电话,骗取受害人钱财),或是将这些信息提供给违法犯罪分子实施其他犯罪。在上述情形下,对被告人定一罪还是数罪,各地做法不一。此外,根据现有立法规定,当行为人采用侵入他人计算机信息系统的方式“非法获取”他人计算机中存储的公民个人信息数据时,是按照“非法获取计算机信息系统数据罪”还是“侵犯公民个人信息罪”进行处罚,也存在不同做法。

(二)量刑方面的问题

1.整体上量刑偏轻

在上述74份裁判文书中,有的案件中被告人非法获取的公民个人信息达到几十万甚至及几百万,有的被告人还利用非法获取的公民个人信息从事其他犯罪活动,但所有案件均在“三年以下有期徒刑或者拘役”的法定刑档次内量刑(其中判刑最重的是“有期徒刑二年,缓刑二年”),未见有判决适用“三年以上有期徒刑”的法定刑档次。

如果说“类案量刑不均衡”是所有刑事案件都可能面临的问题,那么侵犯公民个人信息犯罪的量刑整体偏轻这一问题则具有特别之处,因为从立法旨意和当前的社会需求来看,现有的刑事政策并不鼓励或者倡导对此类案件在整体上从轻处罚。通过分析比较现有的裁判文书,并结合司法实践中审判人员的反馈可以发现,导致此类案件从轻处罚的主要原因在于,审判人员对案件事实认定及其反映出的社会危害性的不“确信”。例如,在上海市浦东新区法院审理的梁某某侵犯公民个人信息一案中,被告人通过互联网非法买入公民个人信息3万余条,而经查证属于公民个人真实信息的只有100条以上,据此法院依法判处被告人拘役五个月,缓刑五个月,罚金人民币一千元。而在其他案件中,审判人员并没有查明涉案的公民个人信息中有多少属于“真实的公民个人信息”,因而难以准确评估此类不法行为的社会危害性,进而在量刑问题上有所保留。

2.类案之间量刑不均衡

其一,被告人非法获取信息后用于本公司业务推广类案件的量刑差异。例如,在北京市海淀区人民法院审理的魏某侵犯公民个人信息一案中,被告人非法获取公民个人信息2万余条用于推广公司业务,被判处拘役6个月,缓刑1年,罚金人民币10000元;而在上海市宝山区人民法院审理的杨某侵犯公民个人信息一案中,被告人非法获取信息1000条,被判处拘役6个月,并处罚金人民币5000元;在上海市宝山区人民法院审理的陈某侵犯公民个人信息一案中,被告人非法获取信息5万余条,则被判处有期徒刑8个月,缓刑1年,并处罚金人民币5000元。 

其二,被告人非法获取信息后用于欺诈类违法犯罪案件的量刑差异。例如,在江西省新余市人民法院审理的鄢某某、王某某侵犯公民个人信息一案中,被告人非法获取信息19600条并用于欺诈推销,仅仅被判处罚金人民币1万元;而在福建省安溪县人民法院审理的易某侵犯公民个人信息一案中,被告人非法获取信息13439条用于拨打诈骗电话,却被判处有期徒刑6个月,缓刑1年,并处罚金人民币2500元。

(三)事实认定方面的问题

信息技术的发展带来了信息数量的海量化问题,也导致侵犯公民个人信息罪中的“公民个人信息”呈现出海量化现象,涉案的公民个人信息数量动辄几万、几百万甚至上亿,如何识别上述信息以及如何查证涉案信息的真实性已经成为困扰司法机关的一个问题。在现有的74份裁判文书中,只有上海市浦东区人民法院审理的梁某某一案中查证了涉案的公民个人真实信息数量,而在其他案件中,涉案的公民个人信息是否真实存在、是否重复等,公安司法机关均未进行核实。

在网络环境中,导致涉案公民个人信息数量认定难的原因是多方面的。一方面,由于网络的高存储性和信息的高聚集性,网络犯罪的对象呈现出广泛性和不确定性特点,对司法机关而言,由于信息数量庞大,对信息内容的真实有效性一一进行核实并不现实。司法实践中一般是随机挑选若干信息进行核实,从而推定全部信息为真。另一方面,只要海量信息中存在一个虚假信息,对海量信息整体认定的真实性就会存疑。当抽取的信息被认定虚假后,其他信息是否需要一一筛查,需要使用何种核实方式才能得出有说服力的结果,在司法实践中仍然无解。

三、司法应对:信息化时代侵犯公民个人信息罪的惩治与预防

(一)信息化时代侵犯公民个人信息犯罪的特点

2016年6月,中国互联网协会和12321网络不良与垃圾信息举报受理中心发布了《2016年中国网民权益保护调查报告》。报告显示,54%的网民认为个人信息泄漏情况严重,84%的网民曾亲身感受到由于个人信息泄露带来的不良影响,37%的网民因网络诈骗而遭受经济损失;在2015年下半年至2016年上半年一年时间内,我国网民因垃圾信息、诈骗信息、个人信息泄漏等遭受的经济损失高达915亿元。该报告从一个侧面反映出当前侵犯公民个人信息犯罪的严重态势,也揭示了网络环境下此类犯罪的基本特征。

1.犯罪行为隐蔽,作案成本低

随着信息化时代的到来,大量的侵犯公民个人信息犯罪发生在网络空间中,不受时间、地点的限制,而且行为人通常是利用虚拟的身份实施违法犯罪行为,导致这类犯罪很难被察觉。同时,由于侵犯公民个人信息犯罪的行为模式主要是非法获取、提供或者出售,而这些行为只需要简单的设备如一部手机或者一台电脑就可以实施,因而作案成本极低。

2.犯罪对象不特定,且难以计量

与传统犯罪相比,侵犯公民个人信息罪的犯罪对象具有以下特点:一是犯罪对象模糊,即行为人在实施犯罪时,其犯罪指向的对象并不特定,属于典型的针对“不特定陌生人的犯罪”;二是犯罪对象具有无限性和不可计量性,通过网络获得的犯罪对象数量巨大,超越了传统犯罪对象的数量概念,因而难以具体量化;三是犯罪对象的不完全感知性,即绝大部分被害人并不知道也无从知道自己的个人信息受到了侵害。

3.犯罪高发,危害后果难以估量

随着网络的迅猛发展,侵犯公民个人信息犯罪也呈现出高发、多发态势,不仅直接导致公民个人信息泄露,威胁到公民人身、财产安全和隐私权,而且常常被用于实施其他犯罪,造成严重的社会危害。

(二)统一侵犯公民个人信息罪的法律适用

1.明确“公民个人信息”的范畴

“公民个人信息”既是侵犯个人信息罪的犯罪对象,也是信息主体合法权利的载体。当前理论界关于“公民个人信息”的内涵尚未达成共识,主要有“身份识别说”、“隐私权利说”、“价值重要性说”和“关联说”,实务部门的做法也并不统一。 

本文认为,从有效保护公民权利的立场出发,对个人信息的范围不宜限制过窄。从这个角度看,“身份识别说”和“隐私权利说”都存在一定缺憾。应考虑与相关法律的协调一致。关于公民个人信息的范围,全国人民代表大会常务委员会2012年通过的《关于加强网络信息保护的决定》1条做了如下规定:国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息”。据此可以看出,国家保护的公民个人信息包括“能够识别公民个人身份的信息”以及“涉及公民个人隐私的信息”。

基于此,最高人民法院、最高人民检察院、公安部于2013年发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》中规定,公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。上述关于公民个人信息的界定,无论在理论还是实践层面都具有合理性,可以以此来处理司法实践中的相关问题。

2.明确“情节严重”的认定标准

“情节严重”是入罪的条件,如何理解和把握“情节严重”,理论界认识不一。有学者认为,应当根据涉案公民个人信息的数量、违法所得、造成他人人身安全和财产损失的程度、社会负面影响等进行判断。有学者则认为,应当依据涉案信息的数量、个人信息的重要程度、违法获取信息的次数以及对公民及社会的影响力进行判断。也有学者认为,应当从交易金额、信息份数、侵权次数、信息用途、对被害人的影响、对社会的影响等方面进行综合判断。还有学者认为,“情节严重”一般是指大量出售公民个人信息,多次出售公民个人信息,出售公民个人信息获利数额较大,以及公民个人信息被他人使用后,给公民造成了经济上的重大损失或者严重影响到公民个人的正常生活等情况。 

综合上述学者观点,结合司法实践的具体情况,并参考最高人民法院之前对有关犯罪“情节严重”的解释,本文认为,可以从以下方面考虑侵犯公民个人信息罪中的“情节严重”问题。

一是涉案公民个人信息的数量。如果涉案信息数量较大的,可以认定为“情节严重”。

二是是侵犯公民个人信息的次数。侵害行为的次数反映了行为人的主观恶性程度,如果行为人多次实施侵犯公民个人信息行为,则可以认定为“情节严重”。

三违法所得的数额。在司法实践中,很多侵犯公民个人信息的行为是以牟利为目的的,在此种情形下,如果行为人违法所得数额较大,则可以认定为情节严重。

四是行为的危害后果。危害后果是犯罪行为社会危害性的直接体现,如果侵犯公民个人信息的行为造成了严重危害(如造成受害人人身伤害或者死亡,造成重大经济损失、恶劣社会影响等),应当视为情节严重。

3.关联行为的罪名认定

在信息网络时代,侵犯公民个人信息的行为常常与其他不法行为发生关联,在确定具体罪名的适用时,以下情形值得关注。 

其一,“刑九”生效前相关行为的罪名适用。由于“刑九”将“刑七”中规定的“出售、提供公民个人信息罪”“非法获取公民个人信息罪”修正为“侵犯公民个人信息罪”,由此导致地方法院在适用罪名上出现混乱。本文认为,关于“刑九”生效前侵犯公民个人信息行为的罪名认定,根据刑法“从旧兼从轻”原则,原则上应适用“刑七”的规定,只有在“刑九”规定的刑罚较轻时,才能适用“刑九”规定的罪名。 

其二,与下游犯罪的关系。行为人非法获取公民个人信息后,又将这些信息用于实施其他犯罪的情形下,是定一罪还是数罪并罚,理论和实践部门均存在争议。对此,本文认为,在法无明文规定按照数罪处理的情况下,应当遵循刑法中关于牵连犯的要求,从一重罪进行处罚,即当行为人通过非法获取公民个人信息实施其他犯罪时,获取公民个人信息行为就成为其他犯罪的手段行为,此时虽然行为人实施了两个行为,但是仍应按照从一重罪处罚原则定罪量刑。 

其三,非法获取公民个人电子信息行为的定性。根据《关于加强网络信息保护的决定》的有关规定,国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息,违反这一规定非法获取公民个人电子信息的行为,无疑属于《刑法》253条之一规定的非法获取公民个人信息罪。但是,由于公民个人的电子信息往往表现为计算机信息系统数据,因此当行为人违反规定侵入计算机信息系统或者采取其他手段,获取该计算机信息系统中存储、处理或者传输的涉及能够识别公民个人身份和涉及公民个人隐私的电子信息,该行为就同时符合侵犯公民个人信息罪和非法获取计算机信息系统数据罪的构成要件,但由于事实上只有一个犯罪行为,因而属于想象竞合犯,应当从一重罪处断。

(三)探索海量案件信息的认证模式

1.海量案件信息的认定方法

在网络犯罪中,犯罪信息的海量化导致传统的犯罪计量方法不可能实现。为解决事实认定问题,实务部门开始尝试采用“等约计量”的方式作为认定个人信息的标准。这种方式的一个重要特点就是选取一定数量的犯罪信息作为样本,并以此评估全部犯罪信息。在采用“等约计量”方法时,样本的选取量和选取方法至关重要,否则很容易造成抽样结果出现抽样选择性偏误。为保障案件信息的真实性,在采用抽样审查方法评估犯罪信息时应注意以下事项:一是建立海量化犯罪信息的证据抽样审查机制,二是统一抽样审查证据标准的操作规范和技术标准,三是鉴定意见中应当列明证据的似然率评估结果,四是对于采用模糊计量方式计算后,按照经验法则判断,计量结果与实际实施犯罪数量存在偏差的,应当做有利于被告人的认定。

2.海量案件信息认定的程序保障

首先,要保证调查取证的合法性。对于此类案件,应以侦查机关作为取证主体,被害单位或者被害人自行取证的,应当严格依据法定程序进行。其次,为保证审查的科学性,应当聘请专业的电子物证鉴定中心而非仅由侦查部门对涉案信息进行统计。最后,应保障被告人的知情权和辩护权。对于犯罪信息海量化的案件,被告人往往不知道司法机关是否使用了抽样审查方法以及如何进行的抽样审查,因而也无从对抽样审查的程序和鉴定意见提出异议。对此,应当保证犯罪嫌疑人、被告人对证据审查的知情权,如果其对鉴定意见有意见的,可以申请重新鉴定。

“刑九”第17条是关于该罪的规定,“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”;“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚”;“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚”;“单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”

  • 为便于排版,省去原文注释 

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。请注意甄别内容中的联系方式、诱导购买等信息,谨防诈骗。如发现有害或侵权内容,请点击一键举报。
    转藏 分享 献花(0

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多