2009年2月28日的刑修七新增刑法第253条之一,规定了出售、非法提供公民个人信息罪 和 非法获取公民个人信息罪这两个罪名。至此打开了运用刑事法网保护公民个人信息的开端。

上图是该类案件地域分布图,排名前五的省份分别为上海、浙江、广东、江苏、北京、安徽,该五省的案件总数已经占到全国总数的70%。再以上海为例,该类案件的年度趋势图如下:

侵犯公民个人信息行为入刑已逾10年。其间,司法机关对其打击力度也在不断加大,但此犯罪不但没有减少,反而有愈演愈烈的趋势,甚至有大量侵犯公民个人信息犯罪与电信诈骗、绑架勒索合流,给公民人身财产权利造成更大威胁。

本文旨在结合2017年5月8日,两高发布的《关于侵犯公民个人信息犯罪的最新司法解释》(以下简称“解释”),和司法办案中遇到的具体案例,与对该类案件的办理进行观点展示与实务交流。

核心问题一:什么是公民个人信息?

解释 第一条 刑法第二百五十三条之一规定的“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

争议焦点:用于上网的宽带账号密码是否属于“公民个人信息”?

意见分歧:一种观点认为,《解释》第一条明确指出“公民个人信息”包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。本案中行为人利用不法方式所获取的账号密码属于解释所列举的内容之一。

另一种观点认为,单纯的宽带上网账号和密码仅仅是简单的数字和字母的组合,不具有人身性、身份性,不能认定为“公民个人信息”。

倾向意见:对公民个人信息的理解不能仅关注形式上的列举,更要牢牢把握公民个人信息的本质特征,即单独或与其他信息相结合,能达到识别公民个人的目的。实务中,大量的行为人通过不法手段获取其他公民在网络上所注册使用的账号密码,如QQ号、邮箱账户密码、支付宝账号等,这些账号的共同特点是:除账户本身的数字符号外,账户内往往还记载或者能反映出注册人(或者被注册人)的手机号、身份证号等个人信息,换言之这些账号最终都能指向具体的个人,尤其是2016年7月1日《非银行支付机构网络支付业务管理办法》实施之后,凡是具有支付功能的账号都将要求实名认证后才可以使用(如支付宝账号)。这些经过实名认证的账号具有极强的身份属性,可以理解为《解释》中的“账号密码”。但在本案中,行为人获取是宽带上网账号和密码,这些账号、密码系由随机的数字和字母组成,行为人获取账号密码后,只是获得了宽带的使用权,并无法获知该账号所有人的其他信息,更无法将这些账号与特定公民个人进行对应。因此,对这些账号的非法获取可能涉嫌其它侵犯财产类、破坏计算机信息管理类犯罪,但不属于侵犯公民个人信息罪。

争议焦点:上述信息是否属于公民个人信息?

分歧:一种观点认为,企业法人同时也是自然人,其姓名、工作单位及其电话号码号码属于其个人信息,因而也属于公民个人信息的范畴。

另一种观点认为,企业法人的信息属于企业应当对社会公众公开的工商管理登记信息,个人可以通过工商登记网站对此类信息进行查询,属于应当公开的信息,不能认定为是公民个人信息。

倾向意见:对这种情况的判断,我们需要从立法本意出发进行价值判断。立法保护公民个人的价值基础在于对隐私权保护的强化带来的对个人自由和权益的保护。但是为了维护公共利益,为了保护国家与公共安全,以及保障公众知情权的需要可以对一些公民的个人信息进行披露。依据2014年国务院第号令发布的《企业信息公示暂行条例》,企业信息公示应当真实、及时公开。故企业法人的姓名及其工作单位属于应当公开的范畴。

而对于案件法人的电话号码这一信息,据了解,企业进行工商登记时候需要提供法人电话,但是这一信息在公开网络并无法查询,故在遇到这类案件时,最高检2018年发布的办理此类案件指引提出了一种判断思路:公机公用,私机私用,即对于企业工商登记等信息中所包含的手机、电话号码等信息,应当明确该号码的用途。对由公司购买、使用的手机、电话号码等信息,不属于个人信息的范畴,而“公司经办人在工商登记等活动中登记个人电话、手机号码”则仍然属于个人信息。

争议焦点:对这部分自愿出售的信息是否应当计入犯罪条数?

分歧:一种观点认为,C某并不是从被害人处直接购买信息,被害人出售对象不是C某,并未明示同意C某取得他们的信息,故构成侵犯个人信息犯罪,应当计入总条数。

另一种观点认为:如果有证据证明被害人系主动提供相关信息的,及时不是直接提供给C某,这部分信息也不能计入犯罪条数。

倾向意见:个人信息保护的价值基础在于隐私权,而信息主体的同意,可以被认为是对上述权利的放弃,此时只要信息的使用用途没有超出被收集人的同意范围,即使中间出现转售,甚至信息被用于违法用途,也不宜认定为侵犯公民个人信息犯罪。

核心问题二:如何认定“非法提供”?

解释第三条 向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。

未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。

背景:2016年10月之前,在上海市的普通公民,都可以持本人身份证去不动产登记部门办理一定手续并支付一定费用后即可查询任意地址的房屋产权信息,就是俗称的“拉产调”。2016年10月之后,本市的查询规则进行修改,需要由房东本人,或者与房东进行交易的人持有房东身份证复印件等资料才能进行查询。而本案发生在2016年10月之前。

争议焦点:E的行为是否属于侵犯公民个人信息?

分歧:一种观点认为,现在产调现在已经不能随便调取E将该信息出售的行为构成侵犯公民个人信息犯罪;另一种观点认为,E的行为不构成侵犯个人信息犯罪,因为产调在案发时人人可查,属于公开信息。即使之后行政法规进行了调整,但是法不溯及既往。

倾向意见:E已经构成侵犯公民个人信息犯罪,虽然当时产调信息人人可查,但人人可查,并不代表他就不是公民个人信息,一般房屋的产调上会包含着:房主姓名、房屋地址、大小、面积等情况的信息,作为房东本人,正当情况下是不愿意将上述信息随便予以暴露的。而且也没有法律规定普通人的住房信息应当向社会公开,它和上面所说的企业工商登记信息是不一样的。而E的行为虽然是取得合法,但依然构成侵犯个人信息犯罪,理由就是他违反了提供信息的前提——经过收集者同意。解释第三条第二款明确规定:未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。

核心问题三:如何认定“非法获取”?

解释 第四条 违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

争议焦点:如果涉案信息可以认定为公民个人信息(其实这一点也有争议,我们倾向于认为可以),那么F的行为是否属于非法获取呢?

分歧:一种观点认为,网站对已经注册的手机号码进行提示符合操作要求,使用枚举的手法并不是利用网站本身存在的漏洞,同时也没有突破网站对注册用户信息的保密原则,不具有非法性。反对的观点认为,F使用枚举的方法获取目标客户的手机号码的行为未征得目标客户群体的同意,F以此对目标客户进行商品推销,也给手机号码的所有者造成了一定程度的生活上的困扰,其行为侵犯了公民个人信息罪所保护的公民个人安宁生活的法益,具有社会危害性。

倾向意见:对“非法获取”行为手段的认定要准确把握“违反国家有关规定”这一基本前提。《解释》第二条规定,违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第253条之一规定的“违反国家有关规定”。本案中,F获取信息的行为并未绕过网站设置的保密措施,亦未利用网站漏洞或者采用侵入网站服务器等手法,很难说F的手法违反了现行法律法规的规定,即使给手机号码的持有人造成了一定困扰,但这并不能反过来说明F的手段行为具有非法性。值得注意的是最高检2017年5月16日发布的《六起侵犯公民个人信息犯罪典型案例》中,有一起“张某某、姚某某侵犯公民个人信息案”(其裁判要旨为:利用恶意程序批量非法获取网站用户个人信息的,构成侵犯公民个人信息罪)与本案的行为手段具有一定的类似性,但又存在本质上的不同,主要的区别在于,张某某等人侵犯公民个人信息案件中,系利用的网站自身存在的漏洞,恶意获取信息,可以认为违反了国家有关规定。而本案F的枚举法很难说利用了网站的漏洞,实际上网站即使知道了这个情况,也难以进行修复或改进。

争议焦点:APP过度读取并使用手机用户信息的行为是否构成侵犯公民个人信息犯罪?

分歧:一种观点认为,该行为不属于侵犯公民个人信息,因为APP读取该类信息系经过用户同意的。且并没有将信息转手给他人,仅是用于公司催债使用。而另一种观点认为,该用户同意并非真实用户意思表示,用户若不同意则无法使用APP,虽然信息没有外流,但是通过读取的手机通讯录并给亲友打电话催债的行为,给用户造成了较大的困扰。

倾向意见:依据《网络安全法》及《移动互联网应用程序信息服务管理规定》,移动互联网应用程序提供者应当建立健全用户信息安全保护机制,收集、使用用户个人信息应当遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意。因此本案的关键点就在于是否明示了信息的使用用途,该公司在收集时,是否明示收集的手机通讯录信息将被用于催收债务,如果没有明示,却在收集后用于该用途,则涉嫌违反上述国定,可以被认定为非法获取。

核心问题四:如何认定“情节严重”这一入罪标准?

解释 第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:

 (一)出售或者提供行踪轨迹信息,被他人用于犯罪的;

 (二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;

 (三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;

 (四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;

 (五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;

 (六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;

 (七)违法所得五千元以上的;

 (八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;

 (九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;

 (十)其他情节严重的情形。

争议焦点:记载公民姓名、房屋地址、面积、交易金额的文档系交易信息还是财产信息?

分歧:一种观点认为随着房价不断上涨,许多公民的房产已占其家庭总资产的最高比重,故获取公民购房信息的行为,实际上是掌握了公民的房产状况,应将上述信息认定为财产信息,50条即可入罪。

另一种观点认为,房屋交易信息虽然指向房产,但本质上仍是交易信息,因为交易中仍有可能出现违约、交易中止等情况,房屋交易情况不能直接等同于公民拥有房产的情况,故应当认定为交易信息,500条才可入罪。

倾向意见:房产交易信息虽然包含了公民购买房屋的财产性要素,但是其本质反应的还是交易的过程,在重要程度上弱于财产信息,应当遵循差异化的判断标准,讲其与产调信息等能够体现公民个人的财产状况,且与人身、财产安全直接相关的高度敏感信息区别开来。

解释 第十一条 非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。

 向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。

对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。

争议焦点:在查获大量信息,行为人辩解其中部分信息虚假的情况下,如何认定信息条数?

倾向意见:从实践中看,除少数涉及公民个人敏感信息的案件外,大部分的侵犯公民个人信息类案件涉案信息量都是巨大的,在个案中,要求司法机关对涉案信息的真伪进行逐条核实存在巨大困难。故《解释》第11条对批量公民个人信息条数的计算规则进行了明确:对批量公民个人信息的条数,根据查获的数量直接认定,但是需要注意的,由于来源不明确,或者上家故意提供相同信息以增加信息数量提高交易金额,或者相同行业内多次流转,嫌疑人获得的信息常常出现信息重复的现象,并从信息的第一次搜集到流向社会,会有一定的时间差,有些几年前的信息仍在犯罪分子中间交易,这就不可避免的出现失效信息或者无效信息,而这些信息由于其不能对应到具体公民,也不具有隐私性,所以解释同时规定:但是有证据证明信息不真实或者重复的除外。

在办案过程中,鉴定报告一般仅对被鉴定的电子数据进行数据恢复和固定保全,并出具关于文件大小和字节数的鉴定结论,而对于文件中有多少条信息,一般鉴定报告中是不做描述的。因此,在行为人提出信息不真实、有重复等辩解的前提下,应重点考察行为人提出的辩解是否有一定的依据支撑,而这个支撑依据并不需要达到认定犯罪事实的“确实充分”的程度,只要足以给司法人员形成“有或者无”的内心确信即可。同时司法实务部门还可以通过上下家信息一致性比对、信息数量自动去重、被害人信息真实性抽样核查等方式,对行为人的辩解进行复核验证。

争议焦点:主观上想获得较少数量的公民个人信息,上家打包传送大量公民个人信息的,如何认定入罪条数?

评析:在这种情况下要结合行为人其支付购买信息的费用多少、对所获取的信息的处理方式等来进行综合判定。如果即使行为人主观上辩解不想要这么多信息,但依然支付了全部信息的费用并将所获得全部信息均予以保存并未删除,则能认定其主观上有放任获取超出范围信息的故意。

核心问题五:如何理解合法经营?

解释第六条 为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:

 (一)利用非法购买、收受的公民个人信息获利五万元以上的;

 (二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;

 (三)其他情节严重的情形。

 实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。

争议焦点一:K的行为是否属于“合法经营”?

分歧:一种观点从推销行为的形式出发,认为购买个人信息用于广告推销的行为本身就不属于“合法经营”,因为它违反了《消费者权益保护法》(以下简称“消法”)第二十九条第三款的禁止性规定,即“经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息”,由此案例中中介的推销行为属于违法经营。另一种观点从推销行为的实质出发,认为如果行为人存在夸大宣传、欺骗消费者、逃税等违反行政管理法规的行为,就不能认定其是“合法经营”,不适用《解释》第六条的有关规定。

倾向意见:《解释》中所称的“合法经营”应当是关注行为人购买信息用于开展的业务是否合法,而不是苛求其经营没有任何的违法行为。要将“违法经营”和“经营中的一般违法行为”区分开来。《解释》中的“合法经营”不同于“违法经营”,应当是针对整个公司开展的业务而言的,具体要看行为人(及其所处公司)的经营范围和经营业务的资质、手续等。

争议焦点二:如何理解“合法经营”里的获利?利用非法获取的公民个人信息促成房屋交易所获得的“佣金”是否属于“合法经营”里的“获利”?

倾向意见:把握三个要素:

1、获利不同于违法所得的原则,获利指的是正常经营收入。违法所得不扣除犯罪成本,获利指的是收益扣减成本支出的利润。

2、 “非法购买、收受的公民个人信息”与“合法经营并获利”的具有一定的对应关系。即,需要有一定证据表明,非法获取的公民个人信息与合法经营获利之间存在关联。不能说但凡实施了购买行为,并且公司也盈利超过五万元了,就认定符合入罪条件,要看促成的交易是否是与信息主体相关,或者系通过该信息进行的关联性销售等。

3、罪责行相适应。从立法本意来理解,《解释》第六条系对合法经营者特殊的从宽条款,旨在为一些危害不大的合法经营者找到一条出罪路径。在最高法在解释发布后所做的权威解读中即已经做此理解,最高法研究室对《解释》所著的理解与适用中更是进一步点明其意。从这一本意出发,我们认为适用《解释》第六条入罪的隐含前提是:行为人的行为已经符合了基本条款(如第五条)的定罪标准,即行为人在符合“合法经营”的前提条件下,要同时满足获取信息数量较大且获利5万元以上的才可以考虑入罪。此外在实务中要结合各地不同经济发展水平,综合考虑犯罪危害程度,做到罪责刑相适应。

结束语

随着信息科技的发展和大数据时代的来临,信息的价值将进一步凸显。各行各业都将开展对信息资源的“争夺战”,侵犯公民个人信息类犯罪也将在短时间内依然处于高发的态势,侵犯手段也将“推陈出新”,故该类犯罪在司法实践中认定的难点问题将随着犯罪手法的不断翻新而出现新的变化,而给对该罪名的具体使用留下了进一步的研究空间。

声明:本文来自检姑娘讲故事,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。