法律适用丨最高人民法院法官探析侵犯公民个人信息罪的争议焦点

侵犯公民个人信息罪争议焦点探析  

作者丨喻海松    

单位丨最高人民法院  

  

阅读提示丨自两高联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号以下简称《解释》）于2017年6月1日实施以来，在惩罚侵犯公民个人信息犯罪活动方面有了更具操作化的规定，但司法适用中仍存在一些争议较大的难题。为此，南京刑事节选了最高人民法院喻海松法官《侵犯公民个人信息罪的司法适用态势与争议焦点探析》中对“公民个人信息”的范围、敏感公民个人信息的认定、“违法所得”与“获利”的界分、公民个人信息数量计算等争议问题的探讨分析部分。  

 

一、“公民个人信息”的范围

　　

《解释》第1条规定：“刑法第二百五十三条之一规定的‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”然而，从司法实践来看，在具体案件中仍然存在对于“公民个人信息”认定的争议，集中表现为公民个人信息的主体是否限于中国公民、公民个人信息是否包括公开信息、公民个人信息的关联程度如何判定等3个方面的问题。

　　

[案例1][4]行为人将其从他人手中获取的国外邮箱账号及密码，在互联网上通过微信群对外出售，违法所得达到数万元。经验证，可以正确登陆的邮箱账号密码达到数万组。

　　

案例1的主要争议问题在于，对于刑法第253条之一的“公民个人信息”的主体如何把握，是限于中国公民，还是包括外国公民在内。对此，笔者主张，对“公民个人信息”的主体范围应采取相对宽泛的理解，既包括中国公民的个人信息，也包括外国公民和其他无国籍人的信息。[5]在此，有必要再强调两点：第一，刑法的相关用语，如果对主体有限制的，通常会有明确规定。例如，侮辱国旗、国徽罪对象限制为中国的国旗、国徽，而不包括外国的国旗、国徽，故刑法第299条将对象明确规定为“中华人民共和国国旗、国徽”。因此，由于刑法第253条之一规定的对象为“公民个人信息”，而非“中华人民共和国公民个人信息”，故不应将侵犯公民个人信息罪的对象限制为中国公民的个人信息。第二，对于涉外国公民个人信息的案件，适用我国刑法第253条之一的前提是我国享有刑事管辖权。就案例1而言，行为人实际上是在中华人民共和国领域内实施侵犯外国公民个人信息犯罪，自然应当适用我国刑法第253条之一的规定。

　　

[案例2]行为人从商贸网站和政府部门公开的企业信息网上搜集企业公开发布的信息，包括公司的名称、产品、经营行业、注册信息和公司法定代表人、联系人的姓名、职务、联系方式等。行为人将上述信息存入数据库，供他人付费查询使用。

　　

案例2的主要争议问题在于，公开的公民个人信息是否属于刑法第253条之一规定的“公民个人信息”的范畴，非法获取、出售或者提供此类公民个人信息的，是否构成侵犯公民个人信息罪？对此，笔者认为，《解释》第1条没有采用“涉及个人隐私信息”的表述，而是表述为“反映特定自然人活动情况的各种信息”。因此，公民个人信息不要求具有个人隐私的特征。即便相关信息已经公开，不属于个人隐私的范畴，但仍有可能成为“公民个人信息”。然而，相关公民个人信息既然已经公开，获取行为无疑是合法的，但后续出售、提供的行为是否合法，则不应一概而论，宜区分情况作出处理。

　　

其一，对于权利人自愿公开、甚至主动公开的公民个人信息，行为人获取相关信息后出售、提供的行为，目前不宜以侵犯公民个人信息罪论处。主要考虑如下。1.关于公民个人信息的权利属性，存在不同看法。但一般认为，公民个人信息一定程度上是从隐私权中分离出来的权利。特别是在我国，以往对公民个人信息的界定直接采用了“涉及个人隐私”的表述。[6]因此，侵犯公民个人信息罪所保护法益的重要方面应当为隐私和生活安宁。由于行为人自愿公开、甚至主动公开相关个人信息，将其获取后并出售或者提供的行为，通常不会对权利人的隐私和生活安宁造成侵犯，不宜适用侵犯公民个人信息罪。特别是，有些情形下行为人希望相关信息传播，如涉及公民个人信息的广告信息和商贸信息，将其认定为犯罪明显违背一般人的认知。2.根据刑法第253条之一的规定，向他人出售或者提供公民个人信息构成侵犯公民个人信息罪，须以“违反国家有关规定”为前提。然而，对于权利人自愿公开、甚至主动公开的公民个人信息，经整理后(未形成新的信息内容)向他人提供的行为，是否可以推定被收集者存在概括同意，从而无须就出售或者提供行为再次获得被收集者同意，实践中存在不同认识。笔者认为，关于公开公民个人信息获取后出售或者提供的行为，是否需要权利人“二次授权”，目前我国相应的法律法规和部门规章缺乏明确规定。在此背景下，除相关权利人要求“二次授权”的外，宜推定存在概括同意，不宜对收集后出售或者提供的行为要求“二次授权”，也就不应认为行为人出售或者提供公民个人信息的行为系“违反国家有关规定”。3.当前，我国侵犯公民个人信息违法犯罪泛滥，公民个人信息保护水平整体不高。在此背景下，对侵犯公民个人信息罪的适用应当主要以涉侵犯未公开的公民个人信息案件为重点，切实加大对公民个人信息的刑事保护水平。否则，由于涉出售或者提供公开公民个人信息的案件侦办难度相对较小，公安机关可能以此类案件为打击重点，反而会造成对未公开的公民个人信息刑事保护的不力，长此以往，可能会偏离侵犯公民个人信息罪的立法旨趣和修法精神。

　　

其二，对于行为人非自愿公开或者非主动公开的公民个人信息，行为人获取相关信息后出售、提供的行为，可以根据情况以侵犯公民个人信息罪论处。实践中，有些公开信息并非权利人自愿公开，如个人信息被他人通过信息网络或者其他途径发布；有些信息并非权利人主动公开，如有关部门为救济、救助或者奖励而公示的公民个人信息；有些信息的扩散并非权利人的意愿，如权利人发现个人信息被收集后主动要求行为人删除。上述情形中，获取相关信息的行为可以认定为合法，但后续的出售或者提供行为明显违背了权利人意愿，对其个人隐私和生活安宁造成侵犯，对其中情节严重的行为完全可以适用侵犯公民个人信息罪予以惩治。

　　

[案例3]行为人系医药代表，基于对医生给予回扣的目的，从医院计算机主管处非法获取了有关病床使用其负责销售的药品情况。相关信息只涉及病床号(相应病床由特定医生负责)和使用特定药品情况，无病人姓名、身份证号等其他个人信息。

　　

案例3的主要争议问题在于如何认定公民个人信息的可识别性。根据《解释》第1条的规定，公民个人信息须与特定自然人关联。申言之，可以识别特定自然人身份或者反映特定自然人活动情况，这是公民个人信息所具有的关键属性。因此，经过处理无法识别特定个人且不能复原的信息，虽然也可能反映自然人的活动情况，但与特定自然人无直接关联，不属于公民个人信息的范畴。需要注意的是，除了身份证号等极个别个人信息外，其他个人信息难以与公民个人身份或者活动情况一一对应，无法单独识别特定自然人。因此，无论是识别特定自然人身份，还是反映特定自然人的活动情况，都应当是能够单独或者与其他信息结合所具有的功能。然而，对于不能单独识别特定自然人身份或者反映特定自然人的活动情况的部分关联信息中的哪些可以纳入“公民个人信息”的范畴，[7]即公民个人信息所要求的可识别性程度，实践中又存在不同认识。本案即是适例。对此问题，笔者认为，在司法适用中具体判断部分关联信息是否可以认定为“公民个人信息”时，可以从信息本身的重要程度、需要结合的其他信息的程度、行为人主观目的等3个方面加以判断。[8]按照上述原则，笔者认为案例3所涉信息不宜纳入“公民个人信息”的范畴。主要考虑如下。1.该案涉及的病床号、用药情况等信息本身与权利人的人身安全、财产安全关联不大，敏感性程度较低，将其认定为公民个人信息宜从严把握。2.该案涉及的病床号、用药情况等信息无法直接识别特定自然人，需要结合姓名等其他重要个人信息或者较多其他个人信息才能识别特定自然人。3.从行为人的主观目的来看，其就是想获取特定病床号的用药情况，至于该病床所关联的具体自然人并非其主观所追求的。

　　

二、敏感公民个人信息的具体认定

　　

基于不同类型公民个人信息的重要程度，《解释》第5条分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准。从司法实践来看，在具体案件中仍然存在对于相关数量标准适用的争议，集中表现为敏感信息的认定问题。在展开具体案例讨论之前，有必要强调的是，对于侵犯公民个人敏感信息的行为之所以设置不同于一般公民个人信息的入罪标准，就在于敏感信息涉及人身安全和财产安全，其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪，具有更大的社会危害性。[9]这是认定公民个人敏感信息应当考量的关键因素。

　　

[案例4]行为人设立钓鱼网站，获取了他人的12306账户名和密码，进而获取了他人的火车票信息。火车票载明了姓名、车次、时间、起始站点等信息。

　　

案例4的主要争议问题在于如何把握“行踪轨迹信息”的范围。从实践来看，行踪轨迹信息系直接涉及人身安全的公民个人信息，敏感程度最高。从交易价格来看，行踪轨迹信息通常是最为昂贵的信息类型。[10]因此，《解释》第5条明确规定非法获取、出售或者提供行踪轨迹信息50条以上的，即构成犯罪。鉴于行踪轨迹信息的入罪标准已极低，实践中宜严格把握其范围，只宜理解为GPS定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息。对于虽然也涉及公民个人轨迹的其他信息，通常不宜纳入其中。实践中不妨以信息的交易价格情况作为参考，判断是否可以纳入“行踪轨迹信息”的范畴。就案例4而言，行为人获取他人火车票信息后，可以根据火车票载明的信息判断出他人的行踪情况，但根据前述原则，不宜将其认定为《解释》所称的“行踪轨迹信息”。

　　

[案例5]行为人从车辆管理机构工作人员处非法购买车辆信息，具体涉及车主、车辆型号、发动机号、联系电话等信息。行为人购买上述信息后，拨打车主电话推销车辆保险。

　　

案例5的主要争议问题在于如何把握“财产信息”的范围。财产信息包括存款、房产等财产状况信息，对此应无疑义。本案中，行为人获取的车辆信息已较为具体，通常认定为“财产信息”亦无不当。但是，综合考虑本案的具体情况，笔者还是主张将相关信息不认为“财产信息”。主要考虑如下。1.如前所述，鉴于涉敏感信息的案件入罪门槛低，应当采用严格适用的立场，以控制打击面。2.犯罪应当是主客观相统一的产物，坚持主客观相统一原则是刑法适用的基本要求。本案中，行为人获取的车辆相关信息确实较为具体，符合“财产信息”的一般特征，但行为人的主观目的就是为了推销车辆保险，并非用于实施针对人身或者财产的侵害行为，故对其适用一般公民个人信息的入罪标准更为妥当。

　　

三、“违法所得”与“获利”的合理界分

　　

鉴于非法出售、提供公民个人信息往往为了牟利，《解释》第5条明确规定违法所得5千元以上的构成“情节严重”；违法所得5万元以上的，构成“情节特别严重”。此外，《解释》第6条针对为合法经营活动购买、收受公民个人信息的情形，专门规定利用非法购买、收受的公民个人信息获利5万元以上的，构成“情节严重”。从司法实践来看，具体案件中对“违法所得”与“获利”的认定存在较大争议。

　　

[案例6]行为人花费5千元购买公民个人信息，进而进行了加工整理。此后，行为人将上述公民个人信息以8千元的价格出售给他人。

　　

案例6的主要争议问题在于违法所得是否需要扣除成本的问题。这并非侵犯公民个人信息犯罪所特有的问题，在其他刑事案件中同样存在。对此，有观点认为违法所得应当扣除5千元的购买成本，即认定为3千元；有观点则认为违法所得不应当扣除5千元的购买成本，即认定为8千元。笔者赞同后一种观点，即对于此处的“违法所得”不应扣除成本。主要考虑如下。1.刑法中的“违法所得”，一般是指犯罪分子因实施违法犯罪活动而取得的全部财物。本案中，行为人非法出售公民个人信息，获得了8千元的对价，将其认定为违法所得，并无不妥。2.从以往司法解释、规范性文件的规定来看，对于实践中需要资质的经营活动，行为人由于缺乏资质而构成非法经营罪等犯罪的，通常会区分“违法所得数额”与“非法经营数额”。此种情形下，自然不应将二者混同，对于违法所得数额的认定当然应当扣除成本。然而，对于实践中根本不允许存在的活动，构成相应犯罪的，通常只有“违法所得”而非“非法经营数额”的标准。对于后一种情形，则不应当再扣除成本。非法出售、提供公民个人信息即是适例，其本身就是法律所禁止从事的活动，不存在合法经营的情形，故《解释》只设置了“违法所得”标准。按照上述原则，对于此处的“违法所得”不应再扣除成本。

　　

[案例7]行为人合法开办企业后，为了进行广告推销，花费5千元购买电话号码等个人信息。至案发时，行为人开办的企业收入10万元。

　　

案例7的主要争议问题在于获利数额是否需要扣除成本的问题。笔者主张，对于《解释》第6条规定的“获利”数额不宜与第5条规定的“违法所得”数额混为一谈，前者应当扣除成本。主要考虑如下。1.《解释》第6条之所以对为合法经营活动购买、收受公民个人信息规定定罪量刑的特殊标准，就在于该类情形较为普遍，且社会危害性相对较小，故在具体适用刑法时应秉持谦抑，体现宽严相济。因此，在适用“利用非法购买、收受的公民个人信息获利五万元以上”规定时，自然应当体现控制打击面的精神。2.实践中，合法经营活动的获利情况十分复杂，有利用非法购买、收受的公民个人信息的因素，也有行为人合法经营的因素。在此背景下，自然不宜不扣除成本计算获利数额。

　　

四、公民个人信息数量计算的细节把握

　　

《解释》第11条明确了涉案公民个人信息的数量计算规则，特别是第3款确立了批量公民个人信息的数量认定规则。这对于方便司法实务操作，便利相关案件的办理发挥了重要作用。但是，从实践情况来看，以下问题值得关注。

　　

第一，一条公民个人信息的认定，应当综合考虑实践交易规则和习惯。例如，一条信息中涉及多个个人信息的，如家庭住址、银行卡信息、电话号码，如果是按照一条公民个人信息来交易的，则往往会认定为一条公民个人信息。由于实践中对此并无太大争议，故《解释》未再专门明确一条公民个人信息的认定规则，实践中可以沿用上述做法。此外，需要注意的是，有些情形下“一条”公民个人信息应当理解为“一组”公民个人信息。例如，公民个人的银行账户、支付结算帐户、证券期货等金融服务账户的身份认证信息，应当理解为一组确认用户操作权限的数据，包括账号、口令、密码、数字证书等，而非单个数据。

　　

第二，对于敏感公民个人信息不宜适用《解释》第11条第3款的规定，而应当逐一认定。主要考虑如下。1.从司法实践来看，一般公民个人信息的价格相对较低，甚至不会按条计价，[11]故要求逐一认定不具有可操作性；而公民个人敏感信息价格通常较高，通常按条计价，逐条认定不存在难题。2.涉敏感信息的案件入罪标准较低，50条或者500条即达到入罪标准。为此，对于此类案件要求逐一认定敏感信息的数量，对于确保定罪量刑的准确，完全必要。

　　

第三，对于批量公民个人信息可以适用《解释》第11条第3款的规定，即根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。需要注意的是，推定规则并不意味着举证责任的倒置，公诉机关仍然承担对公民个人信息数量的举证责任。基于此，对于批量公民个人信息仍然应当要求作去重处理，对于明显重复的信息应当予以排除。这从技术角度并不存在难题，且对于确保案件的质量大有裨益。

注释：喻海松，最高人民法院研究室刑事处副处长，法学博士。

[4]需要特别说明的是，本文相关案例系笔者编撰，旨在方便相关法律适用问题的探讨，与司法实践的真实案件并无关联。　　

[5]参见拙文：“侵犯公民个人信息罪司法适用探微”，载《中国应用法学》2017年第4期。

[6]全国人大常委会《关于加强网络信息保护的决定》第1条第1款明确规定：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字〔2013〕12号)也明确规定“公民个人信息”包括“能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。

[7]与其他信息结合可以识别特定自然人的部分关联信息，无疑不能全部纳入“公民个人信息”的范畴。因为在大数据时代，就理论上而言，任何信息与其他足够多的信息相结合都可以识别特定自然人身份或者反映特定自然人的活动情况。所以，必须为可以纳入“公民个人信息”范畴的部分关联信息划定界限。

[8]同注[5]。

[9]参见周加海、邹涛、喻海松：“《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的理解与适用”，载《人民司法》2017年第19期。

[10]例如，据山东菏泽警方向记者展示的一份中间商的“价格表”，联通定位270元/次，电信定位450元/次，移动定位580元/次。手机定位服务甚至可以“包天”“包月”，平均下来，一天的价格在两三千元左右，包括卫星图和平面图，定位精度在几十米至几百米之内。参见“斩断上游：山东警方破获侵犯公民个人信息大案”，载《人民公安报》2016年9月26日第4版。

[11]徐玉玉被害案涉及的公民个人信息交易即是例证。2016年6月，犯罪嫌疑人杜某某通过渗透反序列关健字查询，发现山东省教育厅网站存有漏洞，遂通过上传木马提升权限的方式，窃取64万余条考生信息。陈某某与杜某某通过QQ群认识，陈某某以0.5元/条价格购买了几千条数据，准备用于电信诈骗。后陈文辉与杜某某再次联系并谈妥，以“2000元/1个市”的价格按地市购买数据，直至案发。据统计，陈某某先后11次从杜某某处购买10万余条山东省高考考生数据，共计花费14100元。