【202402012】《熊昌恒等侵犯公民个人信息案》的理解与参照——社交媒体账号中已公开个人信息的刑法保护限度
文/蒋玲玲;王跃华
为了正确理解和准确参照适用第194号指导性案例,现对该指导性案例的选编过程、裁判要点、参照适用等有关情况予以解释、论证和说明。
一、案例选编过程
本案由江西省丰城市人民法院一审并作出生效判决,江西省高级人民法院作为备选指导性案例向最高人民法院案例指导工作办公室推荐。2022年9月29日,最高法院研究室召开案例专业会议讨论,与会专家学者、刑事专业法官等代表多数同意推荐该案例作为指导性案例。11月11日,该案例经最高法院刑专会第443次会议讨论,同意作为指导性案例。12月26日,最高法院以法〔2022〕265号文件将该案例编入第35批指导性案例予以发布。
二、本案例的相关情况
(一)基本案情
2020年6月份,被告人熊昌恒邀集被告人熊昌林、熊恭浪、熊昌强一起从事贩卖载有公民个人信息可用于社交活动的成品微信号的经营活动,因缺乏经验,在此期间获利较少。为谋取更多利益,2020年9月底,被告人熊昌恒、熊昌林、熊恭浪、熊昌强共同出资在网上购买了一款名叫“微骑兵”的软件(一款基于电脑版微信运行拥有多开、多号智能群发、加人、拉群、退群、清粉的营销软件),用于非法添加微信好友,并制作成品微信号予以贩卖。2020年10月份,被告人熊昌恒的朋友秦英斌(在逃)投入5万元(占股百分之四十),熊昌恒投入2万元(占股百分之二十),被告人熊昌林、熊恭浪、熊昌强分别投入一定数量的电脑及手机(分别占股百分之十),被告人范佳聪未投资(占股百分之五),另百分之五的股份收益用于公司日常开支。后结伙共同购置办公桌、电脑、二手手机等物品,租赁丰城市河洲街道物华路玲珑阁楼,挂牌成立了丰城市昌文贸易公司。由秦英斌负责对外采购空白微信号、销售成品微信号;被告人熊昌恒负责公司内部管理,并负责聘请公司员工;被告人熊昌林、熊恭浪、熊昌强、范佳聪与聘请的公司员工均直接参与,用“微骑兵”软件非法制作成品微信号。制作好的成品微信号通过秦英斌高价卖出,从中非法获取利益。
2021年1月,被告人熊昌恒、熊昌林、熊恭浪、熊昌强、范佳聪与秦英斌结伙,在贩卖成品微信号的同时,通过网上购买的方式,非法获取他人求职信息(含姓名、性别、电话号码等公民个人基本身份信息)后,将求职人员的信息分发给公司工作人员。以员工每添加到一名求职人员的微信号,赚约10元不等佣金的奖励方法,让员工谎称自己是“公共科技传媒”的工作人员,并通过事先准备好的话术,以刷单兼职为理由,让求职者添加“导师”的微信,招揽被害人进群,致使部分被害人上当受骗。
经营期间,被告人熊昌恒、熊昌林、熊恭浪、熊昌强、范佳聪与秦英斌在支付工资及相关开支后,其获得的分红款共计20余万元,按各自所占股份份额予以分配。具体获利数额如下:被告人熊昌恒5.8万余元,被告人熊昌林2.9万余元、被告人熊恭浪2.9万余元、被告人熊昌强2.9万余元、被告人范佳聪1.45万余元。
(二)裁判结果
丰城市法院于2021年9月23日以(2021)赣0981刑初376号刑事判决,认定被告人熊昌恒犯侵犯公民个人信息罪,判处有期徒刑3年2个月,并处罚金10万元;被告人熊昌林犯侵犯公民个人信息罪,判处有期徒刑1年10个月,并处罚金6万元;被告人熊恭浪犯侵犯公民个人信息罪,判处有期徒刑1年10个月,并处罚金6万元;被告人熊昌强犯侵犯公民个人信息罪,判处有期徒刑1年10个月,并处罚金6万元;被告人范佳聪犯侵犯公民个人信息罪,判处有期徒刑10个月,并处罚金3万元(已缴纳);被告人范佳聪退缴的违法所得1.45万元予以没收,依法上缴国库;继续追缴被告人熊昌恒的违法所得5.8万元、被告人熊昌林的违法所得2.9万元、被告人熊恭浪的违法所得2.9万元、被告人熊昌强的违法所得2.9万元予以没收,依法上缴国库;扣押的手机予以没收,由扣押机关依法处理。
大数据时代中各类主体对于数据收集、挖掘和利用的强烈需求,集中体现为对公开数据的抓取、加工等处理和利用。从审判实践看,侵犯公民个人信息罪中的个人信息范围如何限定已然成为首要的难题。由于对数据分析与使用能力随着技术的发展而不断提升,这使得个人信息的内涵与外延不可避免地具有开放性与动态性,并且总体上会呈现日益扩张的态势。该案例专门针对社交媒体的应用场景,特别明确了违反国家有关规定,购买微信等社交媒体账号后,非法制作带有公民个人信息的社交媒体账号出售、提供给他人,情节严重的,属于刑法第二百五十三条之一第一款规定的“违反国家有关规定,向他人出售或者提供公民个人信息”行为。在社交媒体领域生态结构日趋复杂的当下,公民个人信息受侵犯的风险更为突出。该案例有助于在涉及社交媒体账号信息流转的特殊场景中,为司法机关提供有效的裁判指引,进而精准界定符合侵犯公民个人信息罪的典型行为样态。
三、裁判要点的理解与说明
该指导性案例的裁判要点确认:1.违反国家有关规定,购买已注册但未使用的微信账号等社交媒体账号,通过具有智能群发、添加好友、建立讨论群组等功能的营销软件,非法制作带有公民个人信息可用于社交活动的微信账号等社交媒体账号出售、提供给他人,情节严重的,属于刑法第二百五十三条之一第一款规定的“违反国家有关规定,向他人出售或者提供公民个人信息”行为,构成侵犯公民个人信息罪。2.未经公民本人同意,或未具备具有法律授权等个人信息保护法规定的理由,通过购买、收受、交换等方式获取在一定范围内已公开的公民个人信息进行非法利用,改变了公民公开个人信息的范围、目的和用途,不属于法律规定的合理处理,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”行为,情节严重的,构成侵犯公民个人信息罪。
现围绕与该裁判要点相关的问题逐一解释和说明如下:
该案例一方面确认未经公民本人同意或具有法律授权等个人信息保护法规定的理由,通过购买、收受、交换等方式获取在一定范围内已公开的公民个人信息进行非法利用,改变了公民公开个人信息的范围、目的和用途,不属于法律规定的合理处理,从而明确了处理已公开个人信息的合法与非法界线,建立了刑法与民法典、个人信息保护法之间制度性呼应的桥梁;另一方面认定案件中的此等行为属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”行为,情节严重的,构成侵犯公民个人信息罪,从而明确了此种情形的入罪门槛,亦表明了已公开个人信息刑法保护的特别实现方式。
(一)关于个人信息认定标准的判别
最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第1条规定:公民个人信息是指,以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。而个人信息保护法第四条第一款规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,但不包括匿名化处理后的信息。从《解释》中的定义可知,个人信息必须具备能够与特定自然人相关联的根本属性,通过情节要件来间接地解决个人信息范围的限定问题。而个人信息保护法中的定义要求已识别或可识别的自然人,同样要求自然人与信息之间具有关联性,[1]二者虽有不同,但是落脚点都将个人信息的根本属性放在可识别性这一特征上。可见,我国现行立法和司法解释主要以识别性为标准勾画个人信息的法定范围。可识别性是公民个人信息的最核心和本质的特征,在世界不同国家的立法中关于公民个人信息的定义亦如此,德国规定为“任何关于一个已识别的或者可识别的个人的私人或者具体状况的信息”,英国为“可以识别在世个人的数据”,法国为“通过一项或多项个人特有因素被直接或间接识别的自然人相关的任何信息”。[2]判别微信号等社交媒体账号是否属于公民个人信息范畴,关键在于判断其是否能够单独或者与其他信息相结合识别特定自然人身份或者反映特定自然人活动情况。根据国家互联网信息办公室于2014年8月7日发布实施的《即时通信工具公众信息服务发展管理暂行规定》第二条第二款,本规定所称即时通信工具,是指基于互联网面向终端使用者提供即时信息交流服务的应用。本规定所称公众信息服务,是指通过即时通信工具的公众账号及其他形式向公众发布信息的活动。即时通信工具服务提供者应当按照“后台实名、前台自愿”的原则,要求即时通信工具服务使用者通过真实身份信息认证后注册账号。由于目前我国对移动电话、银行卡均采用实名制,而微信号通常与个人移动电话、银行卡绑定,均能指定特定个人,已经进行实名认证的微信用户与公民个人身份一一对应,与身份认证资料结合即可识别公民个人身份。
本指导性案例中,与手机号实名、银行卡绑定的微信号,属于公民个人信息范畴,目前我国对微信、移动电话均采用实名制,而微信号通常与个人移动电话绑定,均能指定特定个人。未经授权不当获取载有公民个人信息的微信号的,属于刑法第二百五十三条之一第三款规定的“窃取或者以其他方法非法获取公民个人信息的”行为。被告人将收集到的含有他人个人信息的微信号转卖的行为具有刑法意义上处罚的必要性和合理性,被告人辩解其出售的实名认证微信号无法看到姓名和身份证号,不能识别特定自然人,而未侵犯公民个人信息的抗辩理由不能成立。
(二)关于对社交媒体账号再处理违法性的判断
对某一行为进行入罪规制的前提是该行为具备刑事违法性。德国刑法学家李斯特将行为的违法性分成两种:一种是违反法律的明文规定,称为形式上的违法;另一种是某一行为本身具有社会危害性,其是否违反法律条文的明文规定在所不问,称之为实质上的违法。法律不仅仅要保护国家,真正要捍卫和保护的是社会的和谐稳定。[3]何秉松教授也论述应受刑罚惩罚性和社会危害性在决定犯罪中是密不可分的两个本质性概念。[4]行为人在未告知被害人可能获取其个人信息的情况下,违法采集、获取公民个人信息的,违背了知情同意原则,尤其是隐瞒获取个人信息的真实意图,滥用信息技术,在被害人对信息处理行为不知情的情况下,欺骗他人同意后非法获取公民个人信息的行为,与个人信息保护法第十三条所规定的知情同意原则相抵触,具有刑法所要求的非法性。[5]
对于“窃取或者以其他方式非法获取”,无论是窃取还是以其他方式非法获取,其核心都突出了行为的非法性,其行为方式本身就为法律所禁止,其获取公民个人信息的行为缺乏合法性基础,具有实质违法性。公民个人信息与公民密切相关,被侵犯是一种抽象危险犯罪,必然导致公民的人身、财产、隐私等权利面临威胁,虽然这种威胁较为缓和,但其社会危害性显而易见。[6]侵犯公民个人信息罪的行为方式包括非法获取、出售和提供,对于收集已公开个人信息之后又有后续提供、出售行为性质的判断,要看后续行为是否属于合理处理的范围。如果处理者的个人信息处理活动超出了合理范围,违反了个人信息保护法等法律规定,就侵犯了信息主体的个人信息权益。无论是主动公开还是被动公开,任何个人信息的公开都具有特定的目的或用途,如果信息处理者对已公开个人信息的处理违背了最初公开的目的,就侵犯了信息自决权。
本指导性案例中,被告人利用信息技术便利长期、大量非法收集他人含有个人信息的微信号,擅自向他人出售或提供,使依法、依规公开个人信息的用户始终面临着广告推销、恶意电话骚扰甚至电信诈骗的实质风险,危及个体原本享有的私域自主权利和人身、财产安全。结合个人信息保护法第十七条的规定,行为人未告知被害人能获取其个人信息的情况下,违法采集、获取公民个人信息,隐瞒获取个人信息的真实意图,滥用信息技术,获取、出售他人在微信号中公开的个人信息,导致被害人在法益处分目的上发生错误的,行为人欺骗他人同意后非法获取公民个人信息,被害人的承诺理应无效,无法阻却行为的违法性,更不能推断合法公开个人信息的行为视为自然人放弃所享有的个人信息权益,行为人仍可构成侵犯公民个人信息罪。
(三)关于本罪与前置法规定的合理范围处理的关系
判断处理已公开个人信息行为的刑法性质,关键在于处理行为是否符合前置法的规定。民法典第九百九十条规定了人格权的合理使用情形,个人信息保护法在强调不得非法买卖、提供或者公开他人个人信息的同时,特别针对已公开个人信息,规定“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外”。可见,前置法以合理范围内的处理为准则,划定了我国有关已公开个人信息保护的法律基线,体现了个人信息权益保护与个人信息合理利用的立法目的。因此,解释“合理处理”,要兼顾个人信息保护与利用。
从个人信息保护法的现实状况和立法目的来看,合理处理的边界范围应该严格限定,防止个人信息被无序、非法收集与利用。信息使用者处理已公开个人信息行为,既要合乎已公开个人信息最初公开时的目的或用途,也要符合目的限制原则,还应满足其收集行为、处理行为的正当性,在合理范围之内且不能损害个人信息权益。其中目的限制原则的具体内涵为信息使用者在处理已公开个人信息时必须有明确特定的目的。同时,该目的不得与个人最初公开信息的目的相悖离。在界定最初目的时,人民法院需综合考量个人信息公开时的具体社会语境以及信息主体的合理期待等因素。
本指导性案例中,判断被告人的处理行为是否合理,取决于引发的影响能否为用户所接受,或是否符合用户的合理预期。被告人未经公民本人同意或具有法律授权等个人信息保护法规定的理由,通过购买、收受、交换等方式获取在一定范围内已公开的公民个人信息进行非法利用,改变了公民公开个人信息的范围、目的和用途,其再次利用行为违背了微信用户的合理预期,与其公开个人信息的目的相抵触,超出了初始公开目的的范围,不符合信息主体的合理期待,[7]不属于法律规定的合理处理,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”行为。由此,本案例明确了处理已公开个人信息的合法与非法界线,建立了刑法与个人信息保护法之间制度性呼应的桥梁。
四、参照适用时应注意的问题
在审理相关案件参照适用本指导性案例时须注意:认定与特定自然人关联的社交媒体账号(即时通信工具账号)属于公民个人信息,实质上是对公民个人信息保护外延的界定。当前该类账号通常与身份证号码、手机号码、银行卡账号等特定信息绑定,与司法解释中规定的账号密码性质相同,通常能与公民个人一一对应。即使未绑定,非法获取账号也会使得公民的人身、财产、隐私等权利面临威胁。
因此,在审判实践中,违反国家有关规定,通过购买、收受、交换等方式获取与特定自然人关联的社交媒体账号等信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”的行为,应认定为侵犯公民个人信息罪。而关于通过上述方法获取的社交媒体账号合理处理范围的界定,要立足于法秩序统一性的要求,对民法典、个人信息保护法等前置法进行合理解读,以明确处理社交媒体账号信息的合法与非法界线,除“以相应公民明确拒绝或者处理该信息侵害其重大利益”两种不属于合理处理的列举情形之外,还包括其他情形,如未经公民本人同意,或未具备具有法律授权等个人信息保护法规定的理由,通过购买、收受、交换等方式获取在一定范围内已公开个人信息的社交媒体账号进行非法利用,改变公开个人信息的适用范围、目的和用途。
【注释】
执笔人:江西省宜春市中级人民法院 蒋玲玲
江西省丰城市人民法院 王跃华
编审人:最高人民法院案例指导工作办公室 张华锋
[1]刘宪权、何阳阳:“《个人信息保护法》视角下侵犯公民个人信息罪要件的调整”,载《华南师范大学学报(社会科学版)》2022年第1期。
[2]赵忠东:“可识别性是公民个人信息的根本特性”,载2018年7月8日《检察日报》。
[3]李斯特(德):《德国刑法教科书(修订译本)》,徐久生译,法律出版社2006年版,第200页。
[4]何秉松:《刑法教科书》,中国法制出版社2003年版,第35页。
[5]张勇:“APP个人信息的刑法保护:以知情同意为视角”,载《法学》2020年第8期。
[6]参见(2018)川0725刑初18号刑事判决书。
[7]刘晓春:“已公开个人信息保护和利用的规则建构”,载《环球法律评论》2022年第2期。
|