【201524027】侵犯公民个人信息犯罪的构罪要素
文/曹燕飞 顾建兵
【裁判要旨】
结合当前严厉打击侵犯公民个人信息犯罪的刑事政策,应当对出售、非法提供公民个人信息罪和非法获取公民个人信息罪作扩大解释。只要行为人所在单位的性质决定其能够较为系统地接触和获取公民信息,就属本罪单位之列;只要行为人无正当事由,没有获取公民个人信息的法律、法规依据或资格而获取的,就属非法获取。
□案号 一审:(2015)崇刑初字第0058号
【案情】
公诉机关:江苏省南通市崇川区人民检察院。
被告人:沈辉、余晖映、薛天煜、蔡志峰、徐加辉。
被告单位:南通安莱装饰装潢工程有限公司(以下简称安莱公司)、南通天弘网络科技有限公司(以下简称天弘公司)。
江苏省南通市崇川区人民法院经审理查明:被告人沈辉系南通市全通房产信息咨询网络有限公司职员。
2012年10月至2013年12月间,被告单位安莱公司的法定代表人余晖映为拓展公司业务,经介绍认识被告人沈辉,沈辉利用帮助南通市房产管理局信息中心维护房产销售系统的便利,私自导出该系统中的公民个人房产信息,并以电子邮件的方式向余晖映非法提供上述信息22993条。2013年3月至2013年12月间,被告人薛天煜利用其安莱公司工作人员的身份,通过在余晖映电脑上安装“灰鸽子”软件,窃取该电脑中存储的公民个人房产信息26460条。2013年3月至2013年8月间,被告单位天弘公司的合伙人蔡志峰、徐加辉为拓展公司业务,共向被告人薛天煜购买上述公民个人房产信息17900条,被告人薛天煜牟利1万元。
2014年1月8日,公安机关将被告人薛天煜、蔡志峰抓获。在抓获薛天煜时,被告人余晖映主动要求跟随公安民警到公安机关接受调查。1月9日,公安机关将被告人沈辉抓获。
1月10日,被告人徐加辉主动到公安机关投案。归案后,被告人沈辉如实供述了非法提供公民个人信息的犯罪事实,被告人余晖映、薛天煜、蔡志峰、徐加辉如实供述了非法获取公民个人信息的犯罪事实。
公诉机关以被告人沈辉构成非法提供公民个人信息罪,被告单位安莱公司、天弘公司,被告人余晖映、薛天煜、蔡志峰、徐加辉均构成非法获取公民个人信息罪提起公诉。
被告人余晖映的辩护人提出:被告人余晖映犯罪情节相对较轻,获取的公民信息种类较少,社会危害性较小,且被告人余晖映系初犯和偶犯,有自首情节,可从轻或减轻处罚,可单独适用罚金。
被告人徐加辉的辩护人提出:被告人徐加辉通过购买而非窃取的方式获取公民个人信息,没有谋取非法利益,主观恶性小,情节轻微,属从犯,且有自首情节,建议法院从轻、减轻处罚,或者免于刑事处罚。
【审判】
南通市崇川区人民法院审理认为:被告人沈辉利用帮助南通市房产管理局信息中心维护房产销售系统的便利,私自导出该系统中的公民个人房产信息,非法提供给他人,情节严重,其行为已构成非法提供公民个人信息罪;被告单位安莱公司、天弘公司,被告人薛天煜分别通过收受、购买、窃取等手段非法获取公民个人信息,情节严重,其行为均已构成非法获取公民个人信息罪;被告人余晖映是被告单位安莱公司直接负责的主管人员,被告人蔡志峰是被告单位天弘公司直接负责的主管人员,被告人徐加辉是被告单位天弘公司的直接责任人员,非法获取公民个人信息,情节严重,其行为亦均已构成非法获取公民个人信息罪。被告人余晖映犯罪后主动向公安机关投案,并如实供述犯罪事实,被告单位安莱公司、被告人余晖映是自首,依法可以从轻处罚;被告人徐加辉犯罪后主动向公安机关投案,并如实供述犯罪事实,系自首,依法可以从轻处罚;被告人沈辉、被告人薛天煜、被告单位天弘公司直接负责的主管人员蔡志峰归案后,如实供述犯罪事实,对被告人沈辉、薛天煜、蔡志峰、被告单位天弘公司依法可以从轻处罚。
崇川区法院依法作出一审判决:
对被告人沈辉以非法提供公民个人信息罪,判处有期徒刑9个月,缓刑1年,并处罚金1.5万元。被告人薛天煜、余晖映、蔡志峰、徐加辉均构成非法获取公民个人信息罪,判处薛天煜有期徒刑1年,缓刑2年,并处罚金1.5万元;判处余晖映拘役4个月,缓刑5个月,并处罚金1.5万元;判处蔡志峰拘役4个月,缓刑5个月,并处罚金1万元;判处徐加辉拘役2个月,并处罚金1万元。对被告单位安莱公司、天弘公司以非法获取公民个人信息罪,分别判处罚金3万元和2万元。
一审判决后,各被告人、被告单位均未提出上诉,该判决已生效。
【评析】
随着互联网技术的快速发展,侵犯公民个人信息的违法犯罪活动亦层出不穷。鉴于此,2009年2月28日通过的刑法修正案(七),首次在刑法规范中增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪,确立了对公民个人信息给予全面保护的立法精神。但总体上,该罪状表述仍显简略、模糊,以致司法实践中困惑较多。就本案而言,主要涉及刑法保护的公民个人信息的范畴,出售、非法提供公民个人信息罪的犯罪主体,购买、受赠等中性行为能否评价为非法获取,以及情节严重的判断标准四个方面的问题。
一、刑法所保护的公民个人信息应当具有私人专属性和价值重要性两方面特性
关于公民个人信息的范围,理论和实务界争论较大,概括来说有以下几种:一是认为公民个人信息是指能够实现对公民个人情况的识别,被非法利用时可能对公民个人生活和安宁构成损害和威胁的信息;二是认为公民个人信息有本人不希望扩散、具有保护价值的属性,该信息一旦扩散,将可能对公民权利造成损害,具有私密性;三是认为公民个人信息就是以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。综合上述观点,基本可归纳出公民个人信息的两个基本特征:一是私人专属性,即其与公民个人的身份紧密相关,既可以是反映其生理特征的信息,也可以是反映其社会特征的信息;二是价值重要性,即公民的诸多个人信息关乎公民的人格、尊严,甚至影响其财产权利、人身安全。但公民个人信息不能等同于公民个人的隐私,即便个人信息已经通过网络或者其他方式予以公开,仍有可能成为刑法第二百五十三条所规定之犯罪侵犯的对象。就本案而言,房管部门房产销售系统中的房产信息是与公民个人存在紧密关联性并可以识别为专属于特定个人的信息,其关乎个人人身、财产安全,应当属于公民个人信息。
二、出售、非法提供公民个人信息罪的犯罪主体是一般主体
刑法第二百五十三条第一款对刑法保护的公民个人信息进行了来源条件的界定,列举了“国家机关或者金融、电信、交通、教育、医疗等单位”,法律条文中“等”字的表述就给予司法机关一定自由裁量空间。结合刑法条文的目的解释和整体性解释方法,从本罪所在的章节来看,其被置于侵犯公民人身权利、民主权利罪一章,保护的法益乃是公民个人的信息安全。在公民现实生活中,除了金融、电信、交通、教育、医疗等单位之外,诸如网络购物、物流快递、房产、保险等服务性行业,与社会公众也具有紧密的联系,这些单位掌握着大量的公民个人信息。由于此类单位在公民个人信息保护方面存在漏洞,某种程度上也成为违法犯罪分子重点觊觎的对象。就此而言,如果仅仅将刑法对公民个人信息的保护限定在金融、电信、交通等刑法所明确列举的单位,势必不利于对公民人身权利的保护,也违背了刑法当初设定本罪打击非法获取公民个人信息、侵害公民人身权利行为的立法目的。故对于出售、非法提供公民个人信息罪的主体,只要行为人所在单位的性质决定其能够较为系统地接触和获取到公民信息的,就属于本罪的单位之列,而不必限于国家机关等公权力机关。本案被告人沈辉虽然不具有国家机关或其他公权力单位工作人员的身份,但其利用帮助南通市房产管理局信息中心维护房产销售系统的便利,私自导出该系统中的公民个人房产信息,正是利用了工作便利获取并向他人提供公民个人信息,其作为犯罪主体的身份是适格的。
三、购买、获赠或收受的行为能够被评价为非法获取
刑法第二百五十三条之一第二款将非法获取公民个人信息罪的实行行为规定为“窃取或者以其他方法非法获取上述信息”。对此有观点认为,窃取即秘密取走,其本身就是一种非法手段,故其他方法应当与窃取具有同质性,也必须是非法的,比如诈骗。相反,对那些自身不具非法性或比较中性的方法,由于其与窃取不具有同质性,就不应当认为是非法获取,如本案被告人蔡志峰、徐加辉的购买行为、被告人余晖映的获赠、收受行为等。由于我国没有出台专门的个人信息保护法,没有明确将公民个人信息规定为禁止买卖和互易的商品,也不能认定该买卖或互易的手段本身就具有违法性,但如此一来,就可能无法给予刑法上的评价,这样处理显然不符合刑法全面保护公民个人信息的立法目的。从实践来看,倒卖公民个人信息违法呈常态,已经初步形成了犯罪产业链,并成为诈骗、敲诈勒索甚至绑架等诸多下游犯罪的诱因和源头。如果对这类行为不予刑法规制,显然让人无法接受。笔者认为,本罪的非法并非就获取手段或方法行为的性质而言,而是指行为人的获取行为无正当化事由,在本质上是非法的,亦即行为人没有获取他人信息的法律、法规依据或资格而获取相关个人信息的,就可能构成犯罪。事实上,即便从立法经验来看,现有刑法体系内,“窃取”也多与“收买”相提并论。如刑法第一百一十条规定:“为境外的机构、组织、人员窃取、刺探、收买、非法提供国家机密或者情报的”,刑法第一百七十七条第二款规定:“窃取、收买或者非法提供他人信用卡信息资料的”,故将“购买”、“收受”等中性行为解释为“非法获取”亦有刑法体系上的支持。就本案而言,被告人余晖映通过人情关系从被告人沈辉处获赠、收受公民个人信息,被告人徐加辉、蔡志峰向被告人薛天煜购买公民个人信息,其取得显然不具法律上的授权,违背了公民的意愿,应当认定属于以其他方法非法获取的范畴。
四、情节严重应结合行为人的主观恶性和法益的受侵害程度综合判断
情节严重是侵犯公民个人信息犯罪的客观构成要件,也是区分罪与非罪的重要标准之一。目前就该问题尚无立法或司法上的解释,从学理解释的角度来看,目前基本达成的共识是:情节严重一般包括出售、非法获取、提供公民个人信息数量较多、获利数额较大以及公民个人信息被非法提供、出售给他人后,给公民造成了经济上的损失,或者严重影响到公民个人正常生活,或者被用于进行违法犯罪活动等情形。在笔者看来,判断情节严重,应结合行为人的主观恶性和对法益的侵害程度予以综合把握。
就本案而言,可做如下具体分析:
1.在犯罪动机上,根据各被告人的供述,被告人薛天煜的犯罪动机主要是为了牟利,而被告人余晖映、蔡志峰、徐加辉称自己只是为了扩大业务方便。笔者认为,出于牟利目的而非法获取信息的行为与因日常生活和工作需要而非法获取信息的行为相比,前者主观恶性明显要大,且信息的传播范围要更广,故情节更为严重。
2.在犯罪手段上,被告人薛天煜通过安装软件的方式秘密窃取,被告人余晖映、蔡志峰、徐加辉则分别通过获赠、购买的方式获取。一般而言,如果手段行为本身具有违法性或破坏性,较之一般的购买、互易信息行为当然具有更大危害。
3.在信息类型上,本案所涉公民个人信息是与公民个人密切相关的、其不愿该信息被特定人群以外的其他人群所知悉的信息,即属于公民的隐私信息。该类信息如果泄露,较之一般信息,后果更为恶劣,故情节亦更为严重。
4.在信息数量上,本案被告人非法提供、非法获取的信息都在17000条以上,数量巨大。对信息数量上的认定,还可参考2011年9月1日两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条对非法获取计算机信息系统数据或者非法控制计算机信息系统罪的情节严重所作出的解释,“获取支付计算、证券交易、期货交易等网络金融服务的身份认证信息10组以上的;获取前述信息以外的身份认证信息500组以上的”。
5.在犯罪后果上,被告人薛天煜将信息转卖他人,既扩大了信息的传播,亦放任了他人对该信息所有者可能造成的危害,如被用于下游违法犯罪活动,将更加严重侵害信息所有人的人身、财产安全,行为危害性较大。被告人余晖映等人将个人信息自己存留或为自己扩大业务使用,虽然亦侵害了信息所有者的信息安全,但比被告人薛天煜行为危害性更小。故综合考虑各被告人的犯罪动机、手段、犯罪涉及信息的类型和数量以及犯罪的危害后果,符合刑法有关情节严重的犯罪构成要件,应当承担刑事责任。同时,考虑到各被告人各自具体的犯罪情节还不尽相同,犯罪的危害也有所区别,故在量刑上,对各被告人分别处以拘役2个月至有期徒刑1年不等的刑罚,对被告单位分别判处相应的罚金。
(作者单位:江苏省南通市崇川区人民法院江苏省南通市中级人民法院)
|