【201832013】侵犯公民个人信息罪司法疑难之案解
文/喻海松
近年来,侵犯公民个人信息犯罪呈高发态势。人民法院充分发挥审判职能,依据刑法和相关规定,审理了一大批侵犯公民个人信息刑事案件。由于侵犯公民个人信息犯罪系新类型犯罪,且前置法律法规相对不足,此类案件的审判出现了一些疑难问题,亟待解决。本期刊登的赵海军等侵犯公民个人信息案,苏讨米信用卡诈骗、侵犯公民个人信息案和韩明等侵犯公民个人信息案即是例证。
一、前置规定不足与司法适用疑难
现代社会,各国都将个人信息保护置于重要地位,不少国家对公民个人信息的保护都有专门立法。我国迄今尚未制定完整、统一的个人信息保护法律,但相关法律、行政法规、部门规范性文件先后对公民个人信息的收集、使用、加工、传输等环节作出相应规定,有关司法解释和规范性文件进一步明确了非法收集使用、加工、传输个人信息和非法买卖、提供或者公开个人信息的民事责任乃至刑事责任追究问题。[1]整体而言,我国公民个人信息保护相关规定的发展脉络呈现出刑法先行的状况。通常认为,刑法是其他部门法的保障法,刑法的相关规定(特别是行政犯)应有其他部门法的规定作为前置条件。然而,由于各种原因,关于公民个人信息保护专门法律未能出台,对网络公民个人信息保护作出集中规定的网络安全法也迟至2017年6月1日起才开始施行。与之同时,非法获取、出售、提供公民个人信息的违法犯罪日趋普遍,危害日益严重。在此背景之下,刑法主动作为,率先封住底线,已是必然。立法机关于2009年通过刑法修正案(七)先行增设了侵犯公民个人信息的专门犯罪,并于2015年通过刑法修正案(九)作出较大幅度的修改完善。2017年5月,最高人民法院、最高人民检察院联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号,以下简称《解释》),在明确侵犯公民个人信息犯罪定罪量刑标准的基础上,对有关法律适用问题作了专门规定。
可以说,刑法先于其他部门法明确了侵犯公民个人信息犯罪的界限,通过刑法积极适用防止侵犯公民个人信息违法犯罪持续蔓延,为系统治理奠定了基础。但是,由于刑法先行,作为行政犯的侵犯公民个人信息罪的前置行政法律依据欠缺或者规定不明,必然会导致相关刑事案件的审判面临不少难题。应该说,《解释》对侵犯公民个人信息罪的司法适用疑难问题作了针对性规定,对于统一司法适用发挥了重要作用。目前,审判实践中仍然存在的疑难问题,特别是《解释》适用中进一步出现的疑难问题,主要是由于个人信息前置规定不足带来的问题。本期刊登的三篇案例所涉及的审判疑难问题,不少即属此类。从个案处理的角度,相关法院应当准确把握法律精神,妥善作出处理;但是,从长远而言,相关法律法规应当加大供给力度,特别是公民个人信息保护法宜对相关问题作出具体明确规定,以为相关刑事案件的顺利处理提供依据。
二、公民个人公开信息案件的处理
如何妥当把握公民个人信息的范围,直接影响到侵犯公民个人信息罪在司法实践中的正确适用。为统一司法适用,《解释》第1条在相关规定的基础上,明确规定:“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”然而,由于相关行政法律法规对公民个人信息的内涵和外延缺乏进一步的详细规定,当前审判实践中对公民个人信息的认定仍然存在争议,集中表现为公民个人信息的主体是否限于中国公民、公民个人信息是否包括公开信息、公民个人信息的关联程度如何判定等三个方面的问题。赵海军等侵犯公民个人信息案,就涉及公民个人信息的范围问题,即公开的工商企业登记信息是否是公民个人信息,这也是本案审理的实质争议所在。
概览域外数据信息法律保护模式,美国主要采取隐私权保护模式,以隐私权为基础,通过大量判例逐步构建起了一套保护制度。而欧盟关于数据信息的保护,则是从法律上将数据信息视为人格权的延伸。[2]但是,“国际社会对个人信息的保护目的远超隐私利益,是在全面的个人基本权利意义上设计个人数据保护规则的”。[3]对于个人隐私的范围本身存在不同认识,但通常认为,个人信息与个人隐私之间虽有交叉但亦有区别。《解释》第1条没有采用“涉及个人隐私信息”的表述,而是表述为“反映特定自然人活动情况的各种信息”。因此,公民个人信息不要求具有个人隐私的特征。即便相关信息已经公开,不属于个人隐私的范畴,但仍有可能成为公民个人信息。然而,相关公民个人信息既然已经公开,获取行为无疑是合法的,但后续出售、提供的行为是否合法,是否可能构成侵犯公民个人信息罪,则在司法实践中存在争议。笔者主张不应一概而论,宜区分情况作出处理。
其一,对于权利人自愿公开甚至主动公开的公民个人信息,行为人获取相关信息后出售、提供的行为,目前不宜以侵犯公民个人信息罪论处。主要考虑如下:(1)关于公民个人信息的权利属性,存在不同看法。但一般认为,公民个人信息一定程度上是从隐私权中分离出来的权利。特别是在我国,以往对公民个人信息的界定直接采用了“涉及个人隐私”的表述。全国人民代表大会常务委员会《关于加强网络信息保护的决定》一条第一款明确规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”最高人民法院、最高人民检察院、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字〔2013〕12号)也明确规定,公民个人信息包括“能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。因此,侵犯公民个人信息罪所保护法益的重要方面应当为隐私和生活安宁。由于行为人自愿公开甚至主动公开相关个人信息,将其获取后并出售或者提供的行为,通常不会对权利人的隐私和生活安宁造成侵犯,不宜适用侵犯公民个人信息罪。特别是,有些情形下行为人希望相关信息传播,如涉及公民个人信息的广告信息,将其认定为犯罪明显违背一般人的认知。(2)根据刑法第二百五十三条之一的规定,向他人出售或者提供公民个人信息构成侵犯公民个人信息罪,须以违反国家有关规定为前提。为稳妥起见,对于相关情形追究刑事责任,应当进一步审查出售、提供行为是否违反法律、行政法规、部门规章的禁止性规定。根据《解释》第3条第2款的规定,将合法收集的公民个人信息向他人提供的,属于提供公民个人信息,但此种情形是否构成侵犯公民个人信息罪,还需要进一步判断是否违反国家有关规定。对于权利人自愿公开甚至主动公开的公民个人信息,经整理后(未形成新的信息内容)向他人提供的行为,是否可以推定被收集者存在概括同意,从而无须就出售或者提供行为再次获得被收集者同意,实践中存在不同认识。笔者认为,关于公开公民个人信息获取后出售或者提供的行为,是否需要权利人二次授权,目前我国相应的法律法规和部门规章缺乏明确规定。在此背景下,除相关权利人明确要求或者推定要求二次授权的外,宜认为存在概括同意,不宜对收集后出售或者提供的行为要求二次授权,也就不应认为行为人出售或者提供公民个人信息的行为系违反国家有关规定。(3)当前,我国侵犯公民个人信息违法犯罪泛滥,公民个人信息保护水平整体不高。在此背景下,对侵犯公民个人信息罪的适用应当主要以涉侵犯未公开的公民个人信息案件为重点,切实加大对公民个人信息的保护水平。否则,由于涉出售或者提供公开公民个人信息的案件侦办难度相对较小,公安机关可能以此类案件为打击重点,反而会造成对未公开的公民个人信息刑事保护的不力,长此以往,可能会偏离侵犯公民个人信息罪的立法旨趣和修法精神。
其二,对于行为人非自愿公开或者非主动公开的公民个人信息,行为人获取相关信息后出售、提供的行为,可以根据情况以侵犯公民个人信息罪论处。实践中,有些公开信息并非权利人自愿公开,如个人信息被他人通过信息网络或者其他途径发布;有些信息并非权利人主动公开,如有关部门为救济、救助或者奖励而公示的公民个人信息;有些信息的扩散并非权利人的意愿,如权利人发现个人信息被收集后主动要求行为人删除。上述情形中,获取相关信息的行为可以认定为合法,但后续的出售或者提供行为明显违背了权利人意愿,对其个人隐私和生活安宁造成侵犯,对其中情节严重的行为完全可以适用侵犯公民个人信息罪予以惩治。
就赵海军等侵犯公民个人信息案而言,法院认为,公开的个人信息也可以成为侵犯公民个人信息罪的行为对象。本案中,部分工商企业信息中包含有法定代表人姓名、联系电话等内容,该部分信息可以在国家企业信用信息公示系统中查询,确实已不具有私密性,但是,上述信息相结合完全能够识别到特定自然人,属于公民个人信息。而国家企业信用信息公示系统通过合法渠道收集工商企业信息并进行网络公开,其设立目的是方便民众查询以确认企业信息是否真实有效。可见,权利人同意的内容应该仅限于在该系统公开,而不包括同意其他人收集其信息并提供给他人。因此,行为人可以通过国家企业信用信息公示系统来查询收集相关信息供自己使用,但如果被告人未征得被收集者同意,在未进行匿名处理的情况下提供给他人的,应当认定为非法提供公民个人信息。据此,法院以侵犯公民个人信息罪对被告人赵海军等判处相应刑罚。从个案处理的角度而言,上述论理较为充分细致,但鉴于此类案件具有相当普遍性,未来的公民个人信息保护法和相关法律法规宜对公民个人公开信息的问题作出明确规定,以便于相关案件的处理。
三、公民个人敏感信息的认定
基于不同类型公民个人信息的重要程度,《解释》第5条分别设置了50条以上、500条以上、5000条以上的入罪标准。从司法实践来看,在具体案件中仍然存在对于相关数量标准适用的争议,集中表现为敏感信息的认定问题。苏讨米信用卡诈骗、侵犯公民个人信息案就涉及敏感信息的问题,即财产信息的认定。
在讨论具体案例之前,有必要强调的是,对于侵犯公民个人敏感信息的行为之所以设置不同于一般公民个人信息的入罪标准,就在于敏感信息涉及人身安全和财产安全,其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。这是认定公民个人敏感信息应当考量的关键因素。而且,总体而言,鉴于涉敏感信息的案件入罪门槛低,司法实务宜采用相对严格适用的立场,以适当控制打击面。
行踪轨迹信息、通信内容、征信信息、财产信息与人身安全、财产安全直接相关,系高度敏感信息,故《解释》第5条第1款第(3)项将入罪标准设置为50条以上。需要注意的是,鉴于本项规定的入罪标准门槛较低,故此处严格限缩所涉公民个人信息的类型,仅限于行踪轨迹信息、通信内容、征信信息、财产信息四类信息,不允许司法适用中再通过等外解释予以扩大。对于行踪轨迹信息、通信内容、征信信息,司法实践中在认定上不存在争议。对于财产信息,可以根据案件具体情况把握:既包括银行账户、第三方支付结算账户、证券期货等金融服务账户的身份认证信息(一组确认用户操作权限的数据,包括账号、口令、密码、数字证书等),也包括存款、房产等财产状况信息。具体就苏讨米信用卡诈骗、侵犯公民个人信息案而言,法院认为,被告人苏讨米非法获取的公民个人信息包含姓名、身份证号码、手机号码、银行卡卡号、密码等。这些信息可以具体反映出特定信息主体的存款余额、可透支金额等财产状况,具有明确的指向性,属于公民个人信息中的财产信息。故而,认定其构成侵犯公民个人信息罪,且属于情节特别严重。
此外,《解释》未对侵犯公民个人信息罪的罪数处断规则作出明确规定,对此审判实践中应当根据罪数理论,综合案件具体情况作出妥当处理。就本案而言,被告人苏讨米非法获取并向他人提供公民个人信息,构成侵犯公民个人信息罪;伙同他人以网上消费形式盗刷被害人银行卡,属冒用他人信用卡,构成信用卡诈骗罪。需要注意的是,最高人民法院、最高人民检察院、公安部《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》(法发〔2016〕32号)规定:“使用非法获取的公民个人信息,实施电信网络诈骗犯罪行为,构成数罪的,应当依法予以并罚。”参照上述规定的精神,对于侵犯公民个人信息进而实施信用卡诈骗,构成数罪的,宜实行数罪并罚。故而,法院最终判决被告人苏讨米犯信用卡诈骗罪和侵犯公民个人信息罪,数罪并罚,决定执行有期徒刑14年,并处罚金12万元。
四、公民个人信息的数量计算
韩明等侵犯公民个人信息案涉及公民个人信息的数量计算问题。本案的审判在《解释》施行前,法院根据案件具体情况,综合上海市疾病预防控制中心每月更新的新生婴儿信息与被告人韩明、张金峰、范霞萍等人交易的时间计算涉案公民个人信息数量,并在慎重审查被告人、辩护人所提意见的基础上作了相应处理,最终对数量作出认定。应该说,上述数量计算方法,与《解释》第11条规定的涉案公民个人信息数量计算规则,特别是第三款确立的批量公民个人信息的数量认定规则相比,其精神是相一致的。
从实践来看,除公民个人敏感信息外,涉案的公民个人信息动辄上万条甚至数十万条。此类案件中,不排除少数情况下存在信息重复,如针对同一对象并存“姓名+住址”“姓名+电话号码”“姓名+身份证号”等数条信息,但要求做到完全去重较为困难。此外,对于信息的真实性也难以一一核实。个别案件中,要求办案机关电话联系权利人核实公民个人信息的做法,明显不合适。基于此,《解释》第11条第3款规定:“对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。”对此,有两个问题需要准确把握:第一,对于敏感公民个人信息不宜适用《解释》第11条第3款的规定,而应当逐一认定。主要考虑如下:(1)从司法实践来看,一般公民个人信息的价格相对较低,甚至不会按条计价,故要求逐一认定不具有可操作性;而公民个人敏感信息价格较高,通常按条计价,逐条认定不存在难题。(2)涉敏感信息的案件入罪标准较低,50条或者500条即达到入罪标准。因此,对于此类案件要求逐一认定敏感信息的数量,对于确保定罪量刑的准确,完全必要。第二,推定规则并不意味着举证责任倒置,公诉机关仍然承担对公民个人信息数量的举证责任。基于此,对于批量公民个人信息仍然应当要求作去重处理,对于明显重复的信息应当予以排除。这从技术角度并不存在难题,且对于确保案件的质量大有裨益。
[1]喻海松编著:《侵犯公民个人信息罪司法解释理解与适用》,中国法制出版社2018年版,第141-144页。
[2]来小鹏:“数据信息法律保护模式思考”,载《中国审判》2017年第3期。
[3]高富平:“法律应如何保护个人信息”,载《中国审判》2017年第3期。
(作者单位:最高人民法院)
|