【202102022】侵犯公民个人信息的范围、种类、数量
文/梁晓峰;周宇波;宋亚君
【裁判要旨】侵犯公民个人信息罪所指的公民个人信息,应当限定涉及个人隐私、被侵犯后将给公民的人身财产安全带来重大风险的信息,司法审查其范围、种类、数量应当严格遵循以下标准:依法公开的企业法定代表人、相关负责人信息不属于公民个人信息;财产信息、交易信息等敏感信息的认定应按照信息本身的属性并结合被告人的主观故意、用途等综合判断认定;对为合法经营而交换的一般公民个人信息是同一信息的,只对行为人向他人提供的一般公民个人信息数量计算为犯罪数量,但若交换的一般公民个人信息系不同信息的,应累计计算数量。
□案号 一审:(2018)渝0103刑初591号
【案情】
公诉机关:重庆市渝中区人民检察院。
被告人:张显楼。
2016年9月至2017年4月期间,被告人张显楼在重庆市融信天下信息技术有限公司(以下简称融信天下公司)担任业务员。为了拓展贷款业务,其通过QQ从他人处非法获取信息79921条,其中包括姓名、业主楼号、住宅套内面积、联系方式等内容的财产信息1940条;包括姓名、身份证号码、贷款记录、联系方式等内容的交易信息588条;包括企业及法人、相关负责人信息73244条;一般公民个人信息4149条。通过QQ提供给他人包括姓名、电话号码等内容的信息278324条,其中包含车主姓名、身份证号码、上户日期、车型、车牌号、车架号、住址、联系方式等内容的财产信息1318条;包括姓名、业主楼号、住宅建筑面积、联系方式等内容的财产信息37条;包括企业及法人、相关负责人信息267580条;一般公民个人信息9389条。2017年4月11日,被告人张显楼被公安机关抓获,其到案后如实供述了上述事实。
【审判】
渝中区人民法院经审理认为,被告人张显楼违反国家有关规定,非法获取、向他人提供公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪。公诉机关指控成立。鉴于被告人张显楼归案后如实供述自己罪行,认罪认罚,且主动交纳罚金,再犯罪危险性较小,依法从轻处罚并宣告缓刑。根据被告人张显楼犯罪的事实、性质、情节和社会危害程度,依照刑法第二百五十三条之一第一款和第三款、第六十七条第三款、第七十二条第一款和第三款、第七十三条第二款和第三款、第五十二条之规定,判处被告人张显楼有期徒刑3年,缓刑4年,并处罚金5000元。法院作出判决后,被告人未上诉,判决已生效。
【评析】
2017年5月8日,最高人民法院、最高人民检察院发布实施《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),对于法院、检察院办理涉及侵犯公民个人信息类犯罪具有很强的指导意义,但因为条文的抽象性、稳定性及解释的滞后性、局限性,在此类案件审理过程中,涉及对《解释》相关条文的理解和适用,在公民个人信息范围、种类以及数量的认定上存有分歧。本案的争议焦点在于:一是企业法定代表人信息是否属于公民个人信息?此问题涉及对《解释》第1条的理解和适用;二是财产信息、交易信息等敏感信息的认定标准?此问题涉及对《解释》第5条、第6条的理解和适用;三是为合法经营活动而交换信息的数量如何认定?此问题除涉及《解释》第5条、第6条外,还涉及对《解释》第11条第1款的理解和适用。
一、企业法定代表人信息不属于公民个人信息
罪刑法定原则不意味着法条主义,需进行刑法教义学上实体逻辑方法的判断,对法条实质内容进行界定。[1]因此,要想认定企业法定代表人信息是否属于公民个人信息,应先对公民个人信息的入罪范围进行实质界定。《解释》第1条规定,刑法第二百五十三条之一规定的公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。由此可知,作为本罪行为对象的公民个人信息具有能够识别特定公民个人身份或者涉及公民个人隐私的特点。[2]虽然《解释》第1条并未采用涉及个人隐私信息的表述,但明确了公民个人信息包括身份识别信息和活动情况信息,关键属性是识别特定自然人身份或者反映特定自然人的活动情况。[3]若仅仅采用文理解释方法无法准确认定公民个人信息,可以借鉴犯罪构成方法,按照主客观相结合的思路,从保护法益、类型划分、主观要素三个方面综合认定。[4]犯罪构成方法作为刑法教义学的重要方法,涉及一个从事实到概念再到类型最后到模型的演变过程,是一种类型化思考。[5]
首先,从保护法益角度出发,公民个人信息被侵犯后将给公民的人身财产安全带来重大风险。客观来讲,该罪的立法设置和司法解释模式兼顾了个人信息的人格属性和财产属性。[6]公民个人信息的判断指违背公民本人真实意思表示且在客观上公开会造成公民个人人身、财产安全隐患的一切信息,[7]而对外公开的企业法定代表人相关信息属于向社会公示范围,并没有违背其本人不予公开的真实意思表示。这类信息的对外公开表明企业法定代表人让渡出部分个人权益,概括同意该信息自由流通,保护价值降低。因此,从保护法益角度来讲,企业法定代表人信息不属于公民个人信息。
其次,从公民个人信息的类型划分来探究不同类型信息的内在属性。《解释》第5条第1款规定了不同种类的信息,各类信息都有其内在属性,要对企业法定代表人信息作出准确认定,需结合企业法定代表人的信息内容与《解释》规定的信息类型来进行综合判断。在公示的企业法定代表人信息中有相当部分仅为法定代表人的姓名和手机号码,它既不同于财产信息、交易信息等敏感信息,又不同于一般公民个人信息,无法识别特定自然人身份或反映特定自然人活动情况,故不应认定为公民个人信息。
再次,从行为人的利用目的来把握其主观意图。虽然公民个人信息的认定作为客体对象认知范畴,但不同目的对法益威胁程度存在本质差异。[8]对违法性的判断,必须审查客观行为与主观认知之间的相互关系,所有不法行为都是在主观意思、意志支配下犯罪人的“作品”。[9]只有基于非法目的的行为才具有刑法意义上的违法性,若行为不是出于非法目的,则不必纳入刑法调整范畴。被告人张显楼非法获取企业法定代表人信息是为了合法经营所需,是为了向企业法定代表人推销贷款业务,它对公民的法益影响程度极低,故不应认定为公民个人信息,不必纳入刑法调整范畴。
本案中,公诉机关指控被告人张显楼非法获取79921条公民个人信息,向他人提供278324条公民个人信息。经审理查明,其非法获取的信息中涉及企业及法人的信息有73244条,向他人提供的信息中涉及企业及法人的信息有267580条,该部分信息应不属于公民个人信息,不予认定为其犯罪数量。
二、财产信息、交易信息等敏感信息的认定标准
《解释》第5条基于不同类型公民个人信息的重要程度以及其被侵犯后可能产生的法律后果的严重程度,分别设置了50条、500条、5000条的入罪标准。非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上即为情节严重;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上即为情节严重。由于信息种类的多样性和信息内容的复杂性,难免存在财产信息、交易信息等敏感信息的认定边界不甚清晰的问题。司法认定应从立法本意出发,结合信息本身属性及行为人的主观意图来进行综合判断。
首先,对敏感信息的认定应考虑立法本意。之所以对侵犯公民财产信息、交易信息等敏感信息的行为设置不同于侵犯一般公民个人信息的入罪标准,就在于敏感信息涉及公民人身财产安全,若被非法获取、提供、出售后极易引发盗窃、诈骗、敲诈勒索等关联犯罪,具有极大的社会危害性。故对公民人身财产安全不具有严重危害性的一般信息不宜认定为敏感信息。
其次,对敏感信息的认定应结合信息本身属性及行为人的主观意图来进行综合判断。财产信息的属性能够反映公民个人的财产状况,包括存款、房产、车辆、股票、证券、基金等信息,但在审判实践中遇到非法获取或向他人提供的车主、车辆型号、发动机号、联系电话等信息,虽然符合财产信息的一般特征,但鉴于敏感信息的案件入罪门槛较低,应坚持主客观相统一原则,采用严格适用的立场,以控制打击面。[10]若行为人主观上并非想利用上述信息实施针对人身或者财产的侵害行为,则将其认定为一般公民个人信息更为合适。
本案中,公诉机关指控的上述信息中包含房产、车辆、贷款等财产信息和交易信息,但综合考虑本案具体情况,被告人张显楼通过交换方式获取前述信息后,拨打电话推销贷款,其主观目的系推销贷款,并非用于实施针对人身或财产的侵害行为,故不应将相关信息认定为《解释》所称的财产信息和交易信息,对其适用一般公民个人信息的入罪标准更为妥当。
三、因合法经营活动交换信息数量的审查认定
交换信息包含着提供与获取两种行为。《解释》第6条第1款规定了为合法经营活动购买、收受公民个人信息定罪量刑的三种特殊标准。显然,信息条数不是定罪的标准,而应以获利、再次犯法、其他情形为准。
首先,《解释》第6条第2款规定了实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第5条的规定。由此可知,为了合法经营活动而交换的一般公民个人信息,只应将行为人非法向他人提供的一般公民个人信息数量计算为犯罪数量,对行为人非法获取一般公民个人信息的行为不予评价,其获取的信息数量不作为定罪依据。而对于提供公民个人信息的行为可适用《解释》第5条的定罪量刑标准,这样处理也符合有利于被告人原则。本案中,被告人张显楼在融信天下公司担任业务员,为了拓展贷款业务非法获取一般公民个人信息4149条,因不符合《解释》第6条第1款规定的入罪标准而不应将获取的数量计入犯罪数额。被告人张显楼在为合法经营活动而获取一般公民个人信息的同时又向他人提供一般公民个人信息9389条,符合《解释》第5条第(5)项规定的情节严重的入罪标准,应计入其犯罪数量。
其次,《解释》第5条第2款第(3)项规定了实施前款规定的行为,数量或者数额达到前款第(3)项至第(8)项规定标准10倍以上的,即为情节特别严重。被告人张显楼非法获取、向他人提供公民个人信息虽是为了合法经营活动,但其获取和提供的公民个人信息中包含了财产信息、交易信息等敏感信息,其中获取和提供的财产信息有3295条,远远超出《解释》第5条第1款第(3)项规定标准的10倍以上,所以属于情节特别严重。
第三,《解释》第11条规定,非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。之所以不重复计算,是因为其获取和提供的公民个人信息属相同种类相同内容的公民个人信息,此种情况下,公民个人信息被获取后又被提供,信息扩散只进行了一次,重复计算信息条数有失公允。即被告人甲非法获取A类公民个人信息X条,后又将该A类X条公民个人信息向他人提供和出售,则被告人甲的犯罪数量为X条,而非X+X条。若获取和提供的公民个人信息属不同种类不同内容的公民个人信息,则公民信息条数应累计计算。即被告人甲非法获取A类公民个人信息X条,后向他人提供和出售B类公民个人信息Y条,则被告人甲的犯罪数量为X+Y条。
综上所述,就公诉机关指控的事实,法院经审理后认为,不应将企业法定代表人信息认定为公民个人信息,对被告人张显楼为合法经营活动而非法获取一般公民个人信息的行为不予评价,只针对其非法获取、提供的财产信息、交易信息等敏感信息的行为予以惩处,于法有据。
【注释】
作者单位:重庆市渝中区人民法院
[1]陈兴良:“刑法教义学的逻辑方法:形式逻辑与实体逻辑”,载《政法论坛》2017年第5期。
[2]张明楷:《刑法学》(第五版),法律出版社2016年版,第921页。
[3]喻海松:“侵犯公民个人信息罪司法适用探微”,载《中国应用法学》2017年第4期。
[4]胡志伟、王信托:“侵犯公民个人信息罪中数量认定规则论要——以100份刑事裁判文书为样本的法教义学分析”,载《司法体制综合配套改革与刑事审判问题研究——全国法院第30届学术讨论会获奖论文集(下)》,人民法院出版社2019年版,第1470页。
[5]陈兴良:“刑法教义学方法论”,载《法学研究》2005年第2期。
[6]于冲:“侵犯公民个人信息罪中‘公民个人信息’的法益属性与入罪边界”,载《政治与法律》2018年第4期。
[7]庄绪龙:“侵犯公民个人信息罪的基本问题——以两高最新颁布的司法解释为视角展开”,载《法律适用》2018年第7期。
[8]喻海松:《侵犯公民个人信息罪司法解释理解与适用》,中国法制出版社2018年版,第41页。
[9]周光权:“行为无价值论与主观违法要素”,载《国家检察官学院学报》2015年第1期。
[10]喻海松:《侵犯公民个人信息罪司法解释理解与适用》,中国法制出版社2018年版,第41页。
|