 陈洁婷 静安区人民检察院侦查监督科检察员 首期上海检察机关青年干部研习班学员 诉讼法学研究生   毫无疑问,随着信息技术的快速发展,在全民互联网时代,个人信息不仅仅代表着身份,更是某种财产权益的象征。 2009年2月28日的刑修七新增刑法第253条之一,规定了出售、非法提供公民个人信息罪 和 非法获取公民个人信息罪 这两个罪名。至此打开了运用刑事法网保护公民个人信息的开端。 侵犯公民个人信息行为入刑八年来,该罪依旧处于高发态势,甚至逐步与电信诈骗、绑架勒索等高危犯罪合流,给公民人身财产权利造成更大威胁。另一方面,我们司法实务部门在办理侵犯个人信息案件时却遇到另一种境遇。 今天我将结合今年5月8日,两高《关于侵犯公民个人信息犯罪的最新司法解释》,用六个案例,与大家一起探讨侵犯公民个人信息犯罪的几个问题。  两高的解释共十三条,可以大致分为四个部分,其中: 第1-4条是对法条中的关键词进行的名词解释。 第5-7条对本罪的定罪量刑标准进行的具体规定。 第8-9条是对本罪与其他罪名发生竞合时的提示性规定。 第10-13条是对“从宽处罚的条件”、“信息数量计算规则”、“罚金刑的适用”、“溯及力”等其它内容进行的规定。 第一,什么是公民个人信息 解释第一条用定义+列举的方式对公民个人信息的内涵和外延进行了规范。这一定义来源于同是今年6月1日开始施行的《网络安全法》(第七十六条),需要注意两个问题: 1-1要注意公民个人信息的外延 依据解释所列举的内容我们看出,不仅包括姓名、身份证号码等“身份识别信息”还包括行踪轨迹“个人活动信息”。 1-2要准确把握公民个人信息的本质特征 即单独或与其他信息结合达到识别公民个人身份的效果。 01 案例1:宽带账号密码是否属于公民个人信息  意见分歧: 一种观点认为,《解释》第一条明确指出“公民个人信息”包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。本案中行为人利用不法方式所获取的账号密码属于解释所列举的内容之一。 另一种观点认为,单纯的宽带上网账号和密码仅仅是简单的数字和字母的组合,不具有人身性、身份性,不能认定为“公民个人信息”。 评析: 我个人认同第二种观点。对公民个人信息的理解不能仅关注形式上的列举,更要牢牢把握公民个人信息的本质特征,即单独或与其他信息相结合,能达到识别公民个人的目的。 实务中,大量的行为人通过不法手段获取其他公民在网络上所注册使用的账号密码,如QQ号、微信号、邮箱号、论坛ID等,这些账号的共同特点是:除账户本身的数字符号外,账户内往往还记载或者能反映出注册人(或者被注册人)的手机号、身份证号等个人信息,换言之这些账号最终都能指向具体的个人,尤其是2016年7月1日《非银行支付机构网络支付业务管理办法》实施之后,凡是具有支付功能的账号都将要求实名认证后才可以使用(如支付宝账号)。这些经过实名认证的账号具有极强的身份属性,可以理解为《解释》中的“账号密码”。 但在本案中,行为人获取是宽带上网账号和密码,这些账号、密码系由随机的数字和字母组成,行为人获取账号密码后,只是获得了宽带的使用权,并无法获知该账号所有人的其他信息,更无法将这些账号与特定公民个人进行对应。因此,对这些账号的非法获取可能涉嫌其它侵犯财产类、破坏计算机信息管理类犯罪,但不属于侵犯公民个人信息罪。 02 案例2: 企业法人信息是否属于公民个人信息  意见分歧: 一种观点认为,企业法人同时也是自然人,其姓名、工作单位及其用于工作的手机号码属于其个人信息,因而也属于公民个人信息的范畴。 另一种观点认为,企业法人的信息属于企业应当对社会公众公开的工商管理登记信息,而这个案件中企业法人的手机号可在相关工程承揽网站上查询获得,应将这些电话认定为法定代表人为了承揽业务所公布的电话,具备自愿公开及招揽业务的性质。因此不能认定为是公民个人信息。 评析: 笔者认同第二个观点。从法益保护的角度出发,侵犯公民个人罪所保护的法益是公民个人的信息安全权与生活秩序安宁权。在现有法律语境下,义务必须遵守,但权利得以放弃。故公民可通过自愿公开等方式,主动放弃对自己部分个人信息的保护权。案例2中B某所获取的信息或者属于当事人必须向社会公开的信息,或者属于自愿公开的信息,不具有违反被收集人意愿的特性,因此不能认定为侵犯公民个人信息的行为。  通过对上述两个案例的分析,笔者认为,对“公民个人信息”应从形式和实质两个层面进行认定。 第一,能够单独或与其他信息相结合,能达到识别公民个人的目的是公民个人信息的形式要求。不能盲目扩大公民个人信息的范畴,偏离识别公民个人这一形式特征。 第二,被收集人未放弃(包括推定未放弃)相关权利是公民个人信息的实质要求。值得注意的是这一判断标准与2017年6月1日施行的《网络安全法》之规定也不谋而合。 但在实践中,对“公民个人信息”进行形式审查容易,但进行实质审查却较为困难——司法机关往往不具备向信息被收集人逐一复核其是否主动公开或愿意公开涉案信息的条件。故在办理该类案件中,司法机关可以从行为人对信息收集的方式、信息内容的隐私程度(一般情况下是否可能通过公开渠道获得)、他人是否可能自愿公开上述信息等具体情节,运用逻辑和经验法则进行综合判断。 《网络安全法》 第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围并经被收集者同意。网络运营者不得收集与其提供服务无关的个人信息。 根据上述规定,对于网络运营者对公民个人信息的收集,可以归纳出如下三个原则:① 明示收集、使用信息的目的、方式、范围;②收集必须经过被收集者同意;③不得收集与提供服务无关的公民个人信息。笔者认为其中必须经过被收集人同意系核心原则。 第二,什么是“非法提供” 公民个人信息 2-1解释列举了两种“提供”信息的手段 ①向特定人提供 ②通过信息网络或者其他途径发布 需要注意的是,基于大数据技术发展的现实需要,解释为合法提供公民个人信息预留了一定的空间。甚至允许出售。 但要符合二个前提条件, ①是合法收集的信息 ②经被收集者同意或经过处理无法识别特定个人且不能复原。  第三,什么是“非法获取” 公民个人信息 解释第四条明确列举了三种非法获取个人信息的方式,即“购买”、“收受”和“交换”。 同时提示在履行职责、提供服务过程中,违规收集公民个人信息的,也属于非法获取。  03 案例3:批量获取公民个人信息的行为是否属于“非法获取”  意见分歧: 对C行为的评价涉及到两个层面问题。 首先,C通过穷举的方法获取的“意向客户”的手机号码是否属于公民个人信息。一种观点认为,C获取的信息仅仅是电话号码,电话号码本身是依据运营商制定的规则排列组合而成的,不能认定为公民个人信息。笔者不认同上述观点,因为C获取的信息系经过筛选的信息,包含了号码所有者所处区位、曾经注册过育儿网站等具有区分性的内容,C也借此推断信息持有者可能处于育儿(或准备育儿)阶段,从而确定其目标用户群体,可以说这些信息具有较强的指向性,可以认定为公民个人信息。 其次,C在有关网站上进行大量枚举、尝试的行为,是否属于“非法获取”?对此充满争议: 一种观点认为,网站对已经注册的手机号码进行提示符合操作要求,使用枚举的手法并不是利用网站本身存在的漏洞,同时也没有突破网站对注册用户信息的保密原则,不具有非法性。 反对的观点认为,C使用枚举的方法获取目标客户的手机号码的行为未征得目标客户群体的同意,C以此对目标客户进行商品推销,也给手机号码的所有者造成了一定程度的生活上的困扰,其行为侵犯了公民个人信息罪所保护的公民个人安宁生活的法益,具有社会危害性,因此对C的行为应评价为侵犯公民个人信息类犯罪。 评析: 司法实务部门在办理侵犯公民个人信息罪案件时经常碰到这种境况,在案证据未能完全反映出行为人手中所掌握的大量公民个人信息的来源,行为人又辩解称其信息系通过公开渠道“合法获取”。如笔者在2015年办理“任某某非法获取公民个人信息案”时,任某某就辩解称其电脑中查获的大量公民个人信息,系其通过“百度”、“谷歌”等网络搜索引擎公开搜索而获得,并通过个人进行加工整理,因时过境迁现已无法复原操作,在无其他反证的情况下,对案件认定一时陷入了僵局。 笔者认为,对“非法获取”行为手段的认定要准确把握“违反国家有关规定”这一基本前提。《解释》第二条规定,违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第253条之一规定的“违反国家有关规定”。 案例3中,C获取信息的行为并未绕过网站设置的保密措施,亦未利用网站漏洞或者采用侵入网站服务器等手法,很难说C的手法违反了现行法律法规的规定,即使给手机号码的持有人造成了一定困扰,但这并不能反过来说明C的手段行为具有非法性。值得注意的是最高检2017年5月16日发布的《六起侵犯公民个人信息犯罪典型案例》中,有一起“张某某、姚某某侵犯公民个人信息案”(其裁判要旨为:利用恶意程序批量非法获取网站用户个人信息的,构成侵犯公民个人信息罪)与本案的行为手段具有一定的类似性,但又存在本质上的不同,主要的区别在于,张某某等人侵犯公民个人信息案件中,系利用的网站自身存在的漏洞,恶意获取信息,可以认为违反了国家有关规定。而本案C的枚举法很难说利用了网站的漏洞,实际上网站即使知道了这个情况,也难以进行修复或改进。 “张某某、姚某某侵犯公民个人信息案”基本案情 2015年6月,被告人张某某在登录浏览“魅力惠”购物网站时发现,通过修改该网站网购订单号可以查看到包含用户姓名、手机号、住址等内容的订单信息。为谋取利益,张某某委托他人针对上述网站漏洞编制批量扒取数据的恶意程序,在未经网站授权的情况下,进入该网站后台管理系统,从中非法获取客户订单信息12503条,通过QQ等联络方法将上述客户信息分数次卖给被告人姚某某,获利人民币5359元。被告人姚某某购得上述订单信息后,又在网络上分别加价倒卖从中牟利。 国家有关规定 《中华人民共和国网络安全法》第二十七条,任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。 第四,信息的用途 通常而言,非法获取个人信息往往不是为了个人占有,而是基于特定用途,不同用途对信息权利人的侵害程度也不同,解释明确两种情况不问数量不问数额可直接入罪: ①提供行踪轨迹信息被他人用于犯罪 ②知道/应当知道他人利用信息实施犯罪而提供 (需要注意的是,对于第一种情况,因为司法实践中行踪轨迹信息最为敏感,故解释推定行为人提供这种信息时,主观上对其可能被用于犯罪存在概括认识,故不需再进行主观上是否明知的判断)  第五,信息数量 解释根据信息的特征,将其分为三类,并分别规定了不同的定罪条数需要注意的是, 第一类的高度敏感信息中,解释仅列举了四种情况,且无“等其他信息的”兜底表述,故对此类信息应当严格把握,不能任意扩大适用范围。 对于第二类中度敏感信息,设置有兜底条款,允许扩大,但需注意应与其所列举信息种类具有相当性。 对于第三类信息,我们在实务中注意也要把握该信息是否符合公民个人信息的本质特征——单独或与其他信息相结合能识别到特定个人。 第六,信息条数计算规则 一是,各个档次的信息可以按比例折算,如10条高度敏感信息,490条中度敏感信息,分别均为到达量刑档次,但是按比例折算后已经达到入罪追诉标准。 二是,同一人的多字段信息认定为一条(来源于对《解释》的理解与适用):如一条信息中包括了电话、姓名、家庭住址、银行卡号等多个字段,按一条信息计。 三是,对同一条信息实施多重行为的累计计算问题,解释认为对同一信息获取又提供的不累计计算,但也指出了例外情况,对同一信息若向不同主体出售、提供同一条信息的则应累计计算。 四是,批量信息的认定规则。 首先,我们明确一个前提,侵犯公民个人信息罪中的“信息”应指的是真实的公民信息。因为从公民个人信息的本质特征来看,本罪的对象必须要是单独或者与其他信息相结合能识别特定个人。如果是虚假的信息,那么就很难说可以起到这样的效果。 从实践中看,除少数涉及公民个人敏感信息的案件外,大部分的侵犯公民个人信息类案件涉案信息量都是巨大的,在个案中,要求司法机关对涉案信息的真伪进行逐条核实存在巨大困难。 故《解释》第11条对批量公民个人信息条数的计算规则进行了明确:对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。但解释中的这句“有证据证实”很值得我们玩味,毕竟刑诉法第49条明确规定:公诉案件中被告人有罪的举证责任由人民检察院承担。 04 案例4:对批量公民个人信息数量的认定 评析: 在办案过程中,碰到行为人提出批量信息中有部分信息系虚假且无法提供其他证据的情况下,能否直接认定,笔者认为《解释》第11条的规定虽然便于实务操作,但与《刑诉法》第49条规定之间存在内生的紧张关系。 此外,实践中,除信息不真实外,信息重复也是常见问题。最高法对《解释》的理解和使用中提到,对公民个人信息条数的计算,如同一条信息中涉及多个个人信息的,认定为一条公民个人信息。推此及彼,对同一犯罪行为人电脑中查获的相同信息若重复计算条数确实在某种程度上看似“有失公允”。 故笔者认为,在行为人提出信息不真实、有重复等辩解的前提下,应重点考察行为人提出的辩解是否有一定的依据支撑,而这个支撑依据并不需要达到认定犯罪事实的“确实充分”的程度,只要足以给司法人员形成“有或者无”的内心确信即可。同时司法实务部门还可以通过上下家信息一致性比对、信息数量自动去重、被害人信息真实性抽样核查等方式,对行为人的辩解进行复核验证。 05 案例5:对只想获取部分信息的主观辩解的审查 评析: 在这种情况下要结合行为人其支付购买信息的费用多少、对所获取的信息的处理方式等来进行综合判定。如果即使行为人主观上辩解不想要这么多信息,但依然支付了全部信息的费用并将所获得全部信息均予以保存并未删除,则能认定其主观上有放任获取超出范围信息的故意。 第七,行为人主体身份、前科劣迹 1、如果行为人是在履职或者提供服务过程中获取到个人信息的特殊主体,则可以将信息数量打五折计算入罪标准。 2、同时,行为人若有侵犯公民个人信息行为的前科劣迹,则反映行为人屡教不改,主观恶性较大,再实施有关行为直接可以入罪。 第八,量刑提升 除定罪门槛之外,第五条还规定了量刑档次问题,指出了四种情况可以认定为“情节特别严重”,从而提升量刑档次。分别是: 1、信息数量或者违法所得数额达到前款规定的10倍。 2、或是造成被害人死亡、重伤、精神失常或者被绑架等严重后果。 3、以及造成重大经济损失或者恶劣社会影响。 第九,特殊从宽标准 这一条也是解释发布到现在争议最大的一条。据不完全统计,实施侵犯公民个人信息犯罪中的行为人占据前三位的职业分别是金融保险从业人员、房产中介以及产品推销员。可见为了合法经营活动而购买公民个人信息的不在少数。为了秉持刑法的谦抑性,《解释》第六条新增“为合法经营而非法活动公民个人信息”这一特殊规定,为该种行为提供了更为宽容的入罪标准。要适用这条标准,需要满足一下条件: 1、必须是用于合法经营活动。 2、信息必须是普通信息,不包括高度和中度敏感信息。 3、获取信息的途径只能是购买、收受而不包括交换等其它手段。(为了合法经营与其他合法经营主体进行信息交换的,属于扩大流出,交换信息相比较购买、收受信息,是双方对向提供、收受信息行为,性质比“购买、收受”更为恶劣,对为合法经营活动而非法交换信息的,应当按照第五条的定罪量刑标准定罪处罚。 4、信息不能再度流出。 5、利用非法购买的公民个人信息获利五万以上。 6、没有因为侵犯公民个人信息犯罪受过行政或者刑事处罚。 06 案例6:对“合法经营活动”的认定 争议焦点一:D的行为是否属于“合法经营”? 一种观点从推销行为的形式出发,认为购买个人信息用于广告推销[1]的行为本身就不属于“合法经营”,因为它违反了《消费者权益保护法》(以下简称“消法”)第二十九条第三款的禁止性规定,即“经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息”,由此案例4中中介的推销行为属于违法经营。 另一种观点从推销行为的实质出发,认为如果行为人存在夸大宣传、欺骗消费者、逃税等违反行政管理法规的行为,就不能认定其是“合法经营”,不适用《解释》第六条的有关规定。 笔者认为,《解释》中所称的“合法经营”应当是关注行为人购买信息用于开展的业务是否合法,而不是苛求其经营没有任何的违法行为。要将“违法经营”和“经营中的一般违法行为”区分开来。 《解释》中的“合法经营”不同于“违法经营”,应当是针对整个公司开展的业务而言的,具体要看行为人(及其所处公司)的经营范围和经营业务的资质、手续等。实际上,实践中许多经营合法业务的公司,也会或多或少存在一些经营中的一般违法行为,如销售商品或者提供服务时存在捆绑销售、夸大宣传、使用格式条款等,包括未经消费者同意而发送商业性信息,这些行为根据《消费者权益保护法》之规定都是违法的,但这是经营中的一般违法行为,并未否定公司业务的合法性,对于“合法经营”认定应回到行为人所开展的经营活动本身是否符合法律规定这一落脚点上。 争议焦点二:利用非法获取的公民个人信息促成房屋交易所获得的“佣金”是否属于“合法经营”里的“获利”? 如上所述,《解释》第六条系对合法经营者特殊的从宽条款,这一理解并非笔者的臆测,在最高法在《发布》后所做的权威解读[2]中即已经做此理解,最高法研究室对《解释》所著的理解与适用中更是进一步点明其意。从这一本意出发,笔者认为适用《解释》第六条入罪的隐含前提是:行为人的行为已经符合了基本条款(如第五条)的定罪标准,即行为人在符合“合法经营”的前提条件下,要同时满足获取信息数量较大且获利5万元以上的才可以考虑入罪[3]。此外在实务中要结合各地不同经济发展水平,综合考虑犯罪危害程度,做到罪责刑相适应。 [1] 向他人推销新建成商品房也是一种广告推销行为。 [2] 2017年5月8日,最高人民法院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》制定背景与主要内容。 [3] 需要注意的是,依据体系解释我们可以读出以下含义:“合法经营”条款的适用限定行为人的行为仅限于“购买”、“收受”等获取手段,排除了依据《解释》第5条第1、2款所规定的“出售或者提供行踪轨迹信息,被他人用于犯罪”,“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供”而入罪的可能性。“合法经营”条款排除了《解释》第5条第3、4款中所列举的信息,并排斥解释第5条第7款“违法所得”的适用。故以“合法经营”条款入罪的情形仅限于购买、收受《解释》第3、4款规定以外的公民个人信息五千条以上的行为。 第十,单位犯罪参照自然人标准 解释第七条提示单位犯罪,对直接负责的主管人员和其他直接责任人员适用自然人的定罪量刑标准处罚。 第十一,竞合提示、其他规定 第8、9条分别对于设立用于侵犯公民个人信息网站的行为、网络服务者拒不履行信息网络安全管理义务导致信息泄露的行为在面临竞合时如何选择罪名的提示。 第10条体现了宽严相济的刑事政策,指出犯本罪可以从宽甚至不起诉、免刑的情形。 第12条是对本罪适用罚金刑的规定 第13条是对生效日期的规定。需要注意的是根据两高对于司法解释时间效力的有关规定,司法解释效力及于刑法的施行期间,亦即犯罪行为发生在6月1日之前的案件,也应当适用本解释。
|
|
|
