【202402016】《罗文君、瞿小珍侵犯公民个人信息刑事附带民事公益诉讼案》的理解与参照——机验证码属于刑法规定的公民个人信息
文/钟玺波;邓画文;彭钰琰
为了正确理解和准确参照适用第195号指导性案例,现对该指导性案例的选编过程、裁判要点、参照适用等有关情况予以解释、论证和说明。
一、案例编选过程
本案系湖南省株洲市渌口区人民法院一审审理的侵犯公民个人信息刑事附带民事公益诉讼案,该案例由湖南省高级人民法院向最高人民法院案例指导工作办公室推荐。2022年9月29日,最高法院研究室召开案例专业会议讨论,与会专家学者、刑事专业法官等代表多数同意推荐该案例作为指导性案例。11月11日,该案例经最高法院刑专会第443次会议讨论,同意作为指导性案例。12月26日,最高法院以法〔2022〕265号文件将该案例编入第35批指导性案例予以发布。
二、本案例的基本情况
(一)基本案情
2019年12月,被告人罗文君了解到通过获取他人手机号和随机验证码用以注册新的淘宝、京东等APP账号(简称“拉新”)可以赚钱,其便与微信昵称“悠悠141319”(身份不明)、“A我已成年爱谁睡”(身份不明)、“捷京淘”(身份不明)、“胖娥”(身份不明)、“河北黑志伟80后的见证”(身份不明)等专门从事“拉新”的人联系。“悠悠141319”等人在知道罗文君手里有许多学员为电信员工,学员可以直接获取客户的手机号码和随机验证码等资源时,利用罗文君担任电信公司培训老师的便利,约定由罗文君建立、管理、维护微信群,并在群内公布“拉新”的规则、需求和具体价格;学员则根据要求,将非法获取的客户手机号码和随机验证码发送至群内;“悠悠141319”等人根据发送的手机号及验证码注册淘宝、京东APP等新账号。罗文君可对每条成功“拉新”的手机号码信息获取0.2-2元/条报酬;而学员以每条1至13元不等的价格获取报酬,该报酬由罗文君分发或者直接由“悠悠141319”等人按照群内公布的价格发送给学员。
2019年12月至2021年7月期间,被告人罗文君利用株洲联盛通信有限责任公司渌口手机店、中国移动营业厅销售员瞿小珍和谢青、黄英、贺长青(三人均已被行政处罚)等人的职务之便,非法获取并且贩卖被害人彭某某、谭某某等个人信息手机号码和随机验证码给“悠悠141319”等人。其中,被告人罗文君获利1.3万元,被告人瞿小珍获利9266.5元。
案发后,被告人瞿小珍已退缴违法所得9926.5元,罗文君已退缴违法所得1.3万元。被告人罗文君、瞿小珍均如实供述自己的犯罪事实并自愿认罪认罚。
另查明,株洲市渌口区人民检察院于2021年7月22日公告了案件情况,公告期内未有法律规定的机关和有关组织提起民事公益诉讼,即株洲市渌口区人民检察院系提起附带民事公益诉讼的适格主体。
(二)裁判结果
渌口区法院于2021年12月1日以(2021)湘0212刑初149号刑事判决,认定被告人罗文君犯侵犯公民个人信息罪,判处有期徒刑8个月,并处罚金2万元;被告人瞿小珍犯侵犯公民个人信息罪,判处有期徒刑6个月,并处罚金1.5万元;作案工具予以没收,依法处理;二人违法所得予以没收,上缴国库。一审宣判后,没有上诉、抗诉,一审判决已发生法律效力。
三、裁判要点的理解和说明
该指导性案例的裁判要点确认:服务提供者专门发给特定手机号码的数字、字母等单独或者其组合构成的验证码具有独特性、隐秘性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于刑法规定的公民个人信息。行为人将提供服务过程中获得的验证码及对应手机号码出售给他人,情节严重的,依照侵犯公民个人信息罪定罪处罚。
现围绕与该裁判要点相关的问题解释和说明如下:
在网络+大数据背景下,个人信息具有数据商业基本生产资料的特性。手机验证码作为数据时代的新生事物是否属于刑法规定的公民个人信息,系本案的争议焦点。
对于个人信息的权利属性,美国系以隐私权为基础予以定义。隐私权是“在任何情况下,每一个人都有被赋予自己决定自己所有的事情不公之于众的权利,都有不受他人干涉、打扰的权利,并认为用来保护私人著述及其他智力和情感产物的理念”。[1]而1973年的Roe
v. Wade案判决及Whalen v.
Roe案,[2]确定了信息隐私权为个人针对其信息所享有的决定权、支配权和控制权,是个人积极行使之权利,而非消极保护之权利。
德国相关法律认为个人信息的权利属性系个人信息自决权,基于人格权产生。1982年德国人口普查法规定对全国范围内的公民信息进行全面收集,有人提起人口普查法违宪审查诉讼。德国联邦判例认为,个人信息自决权系宪法一般人格权项下的基本权利,“其内容包括个人自主决定价值及尊严,自行决定何时公开个人的生活事实”,[3]因此认定人口普查法存在违宪情况,判决违宪部分无效。
随着大数据时代的发展,在我国,无论是民法典、个人信息保护法对个人信息的保护,还是刑法对于侵犯公民个人信息的惩罚,其中个人信息的权利属性和内涵外延早已超出了传统人格权、隐私权的范畴,而兼具了人格、财产、数据、信息安全等的复合属性。尤其是电子支付、电子交易的兴起和普及,手机号码、手机验证码、人脸识别等新型数据不断涌现,法律对个人信息权利属性的定义应随着时代的变迁不断变化、扩展。
手机验证码作为平台与用户在非面对面式接触、交易时向其实名认证的手机号发送的用以识别真实身份的电子短信,与特定自然人之间具有根本关联性,且看似普通的手机验证码一旦泄露,极易引发后续微信、支付宝等账号的非法注册,成为电信网络诈骗犯罪的温床。本案例确立了手机验证码及与之对应的手机号码在“互联网+”的特殊时代背景下,属于刑法保护的公民个人信息的裁判规则。同时,本案准确把握了刑法规制下侵犯公民个人信息罪的保护限度,在充分保护个人信息安全的同时,保持了刑法的谦抑性,推动了网络数据向安全、共享迈进。
(一)手机验证码与其对应的手机号码属于侵犯公民个人信息罪的犯罪客体
根据刑法第二百五十三条之一和最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)中的规定,侵犯公民个人信息罪,是指违反国家有关规定,向他人出售或者提供公民个人信息,或者将履行职责或提供服务过程中获得的公民个人信息出售或者提供给他人,以及窃取或者以其他方法非法获取公民个人信息,情节严重的行为。而本罪的犯罪对象,即公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯、联系方式、住址、账号密码、财产状况、行踪轨迹等。
验证码系为保护账户安全,防止破解密码且恶意重复操作,区别并验明用户身份的测试程序,一般通过用户向相关平台发出指令,生成随机数字、字母等来进行验证。其产生系因信息系统安全保护的需要,即利用验证码以安全、方便地实现“双因子验证”(Two-factor
verification),从而将用户个人身份一一识别、对应。也就是说,验证码是用于识别用户身份信息的一类系统随机号码,具有独特性、隐秘性,除用户自身外不应该为他人所知。
目前相关的民事和刑事法律中均未对验证码与其对应的手机号是否属于公民个人信息进行认定和列举,但根据《解释》与民法典定义中所阐述的“能够单独或者与其他信息结合识别特定自然人的各种信息”,验证码与其对应手机号码显然属于公民个人信息,因验证码系平台向实名认证的手机号发送的用以识别自然人真实身份的电子短信,系平台与用户在非面对面式接触、交易时认证用户真实身份的唯一桥梁,与特定自然人之间具有根本关联性。[4]根据侵犯公民个人信息罪犯罪客体的概念和内涵,验证码以及与其对应手机号码显然属于个人信息安全的范畴,因为一旦验证码被泄漏,则平台无法识别输入验证码对象的真实身份,信息系统安全将无法保障。此时,验证码关乎用户的人身与财产安全,若验证码被盗用,于平台而言,验证的并非用户本人,用户已丧失真实身份;若涉及支付交易,则极可能对用户造成财产损失。因此,验证码以及与其对应手机号码在大数据时代早已不是随机数字,而是涉及人身、财产安全的用以识别公民身份的个人信息,属于本罪犯罪客体范畴。
(二)侵犯公民个人信息罪的保护限度
1.民法、行政法对于公民个人信息的保护
民法典与公民个人信息相关的规定在人格权编的第六章“隐私权和个人信息保护”中,第一千零三十四条明确规定个人信息为:以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。从民法角度来看,公民个人信息系公民自决权利,[5]即公民有权自主支配和控制,仅当其权利人同意才可公开、处理。若公开未经自然人自愿、主动公开的个人信息,则需承担相应民事责任,如予以删除并赔偿等。行政法对于公民个人信息保护的条文较为散乱,并无专门的行政法律法规、条例予以专门规定,仅在居民身份证法、治安管理处罚法等单行法中有零星条文规范了对公民身份号码等部分公民个人信息的保护。如居民身份证法第十九条规定,国家机关或者金融、电信等服务业工作人员泄漏在履行职责或是提供服务过程中获得的居民身份证中记载的公民个人信息,可处以行政处罚。治安管理处罚法中并未有直接相关保护公民个人信息的条款,但规定了通过破坏计算机信息系统的方式侵犯公民个人信息的处罚。个人信息保护法再次明确了个人信息的定义,同时确立了“告知—同意”为核心的个人信息处理规则。不过,2021年11月实施的个人信息保护法更倾向于对企业、国家机关等单位对数据进行大规模筛选、识别、处理的规制,即使是个人信息处理者也是专业信息处理,而非刑法规制的普通自然人。
2.刑法对公民个人信息保护的规定与谦抑
民事、行政法律均对公民个人信息的保护予以规定,刑事法律作为对违法行为最为严厉的规制手段,应保持对公民个人信息保护的有限性和谦抑性。
一是获取途径的限度以违反国家有关规定为条件。在《解释》出台前,对非法获取之“非法”,学界主要存在两种理解:第一,是否违反了国家有关规定;第二,是否经过权利人同意,即国家标准和公民标准。《解释》出台后,明确违反国家有关规定是入罪的必要条件,经过权利人同意是量刑时的减免事由。[6]刑法第二百五十三条之一规定了侵犯公民个人信息罪的3种行为,第一种是违反国家有关规定,向他人出售或者提供公民个人信息;第二种是违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人;第三种为窃取或者以其他方法非法获取公民个人信息。其中,出售或者提供一定要违反国家规定,反之,出售或者提供国家依法公开或是自然人已主动、自愿公开的个人信息,则不属于侵犯公民个人信息,故构成侵犯公民个人信息罪的大前提为侵犯国家依法保护的、尚未公开的、属于识别特定自然人的公民个人信息。而侵犯方式主要有出售、提供、窃取或是非法获取。无论是何种方式,必然具有非法的属性;与本案事实相关联,出售包含于提供之内,即出售系提供的一种具体方式,只是出售系以营利为目的有偿转让,提供则可以免费。
本案中,被告人罗文君了解到获取他人手机号和随机验证码,注册新的淘宝、京东等APP账号的“拉新”行为可以赚钱,便利用时任营业厅工作人员被告人瞿小珍等人的工作便利,通过建立微信群公布“拉新”的规则、需求和具体价格,该行为属于《解释》第8条规定的设立用于实施出售或者提供公民个人信息违法犯罪活动的通讯群组的行为。罗文君虽未实际操作获取他人手机号及验证码,但实际为整个非法活动的组织者,其通过瞿小珍等人发送的手机号及验证码赚取中间利润,系违反国家规定出售公民个人信息,应当以侵犯公民个人信息罪定罪。瞿小珍等人利用其在营业厅上班的职务便利,根据罗文君的要求,将非法获取的客户手机号码和随机验证码有偿发送给群内上线“悠悠141319”等人,用于注册淘宝、京东APP等新账号,该行为系在提供服务过程中将获得的公民个人信息出售给他人,亦构成侵犯公民个人信息罪。
二是情节程度的把握以情节严重为要件。与其他类型的犯罪构成要件不同,情节犯需将定罪情节概括作为犯罪构成要件的犯罪,[7]刑法明确规定构成本罪必须达到情节严重的程度,故本罪为典型的情节犯。在司法实务中应准确把握《解释》第5条的3种标准。第一种,行踪轨迹信息只要出售或者提供他人犯罪,即构成情节严重,此时应当结合行为人的主观故意,即行为人对于他人实施犯罪是否明知进行综合判断;第二种,根据信息种类和数量认定:如行踪轨迹信息、通信内容、征信信息、财产信息等出售或者提供50条以上即构罪,而出售或者提供住宿信息、通信记录等与公民人身、财产密切相关的信息需要500条以上构罪;其余信息则需要出售或者提供5000条以上。此时应当注重对信息的归类和统计,统一信息计算标准,面对多种类信息可以适当比例合算,以达到罪刑责相适应的效果;第三种,以违法所得为标准,超过5000元以上即构罪。这是一种创新方式,将违法所得作为认定构罪的标准,从而加大对出售公民个人信息的打击力度;而特殊群体在履行职务或是提供服务中将获取的个人信息出售或者提供,则以上数量均减半,通过对特殊行业人员的严厉打击,达到清本溯源减少犯罪的效果。本案中,由于被告人罗文君担心事情泄漏,将微信群中的信息全部删除,导致无法准确计算罗文君和瞿小珍提供公民个人信息的具体数量,但通过微信转账记录可以计算出二被告人的违法所得,罗文君获利高达1.3万元,而瞿小珍作为提供服务工作人员,构罪标准为2500元,其实际获利9266.5元,二被告人获利金额远远超过了侵犯公民个人信息罪的构罪标准,已达到情节严重。
三是保护范围的限缩以前置性法律无法作出适当处罚为衡量依据。数字经济模式下大数据产业飞速发展,“个人信息本身存在个人利益,还包含着与个人信息处理紧密结合的信息使用者的利益和公共利益”。[8]在数据时代,个人信息不仅仅关系个人人身、财产之利益,还驱动着数据时代发展,成为数据商业的基本生产资料。[9]个人信息成为至关重要的社会资源,承载着多元性的数据利益,被广泛用于大数据产业、公共事业等领域,促进了商业交易的效率与商品的流通。而公民个人在数据信息时代,得益于获取信息的渠道和范围的扩张,可以低廉高效地获得交易机会,享受更为便捷的公共服务,因此公民在获取上述利益的同时也负有对个人信息的适当共享予以容忍的义务。因此法律在保护个人信息的同时应当考虑公共利益的发展,刑法不能激进地将所有侵犯个人信息的行为定罪处罚,而是在处以刑罚的同时为大数据发展保留适当空间。在诸多法律对公民个人信息予以定义并对侵犯行为作出处罚时,刑法要配合好前置性法律,当相关法律无法作出适当处罚时才可适用刑法,也即保持刑法的谦抑性。如果刑法对个人信息保护的范围大于前置法,而前置法并不评价为违法行为,则导致刑法存在矫枉过正之嫌。因此,刑法积极导向式的个人信息立法需要保持适度,不可僭越前置法律,对前置法没有规定为违法的行为作为犯罪,而是需要考虑与其他部门法的衔接适应,为了维持个人信息保护与数据应用之间的平衡,在完善个人信息保护罪名体系的同时,避免对大数据产业发展造成禁锢。
同时,刑法的最后性要求,刑法所要制裁的数据应用中侵犯个人信息的行为,应当是具有严重社会危害性、值得动用刑罚处罚的行为。这种谦抑立场的保持有赖于两方面的配合:一方面,完善个人信息保护前置性法律,避免前置法缺位下刑法的被迫介入。另一方面,需要体现出刑法与前置性法律的层次适应,以便实现精准、合理打击个人信息犯罪。侵犯公民个人信息罪对于个人信息范围和犯罪行为的认定,应与前置性法律有所衔接适应,部分不具备高度敏感性的个人信息以及较低危害性的行为,应在前置性法律内部规制。
四、参照适用时应当注意的问题
刑法所保护的公民个人信息为具有可识别性的信息,不具有识别性的个人信息,因与公民个人人身、财产等无法进行对应联系,并非刑法意义上所探讨的个人信息。而可识别性具有模糊化、宽泛化的特点,且因日常生活中个人信息种类纷繁复杂,难以在立法上一一进行罗列,因此对于个人信息可识别性的判断成为实务中的难点。
所谓可识别性的信息,分为直接可识别信息及间接可识别信息。[10]我国受欧盟《一般数据保护条例》之影响,对个人信息的定义借鉴了保护条例的扩张主义,[11]将直接可识别及间接可识别个人信息均囊括在内。直接可识别信息为单独利用该信息即可识别公民个人的信息,该类信息类别较少,仅能提供单一且空洞的识别模式,在实际生活中利用率较低。间接可识别信息指仅依据该资料无法识别个人,但将其与其他资料对照、组合、联结等,即能识别特定个人的信息类型。此类信息更为宽泛,与其他信息一一对应能更为精确识别个人。验证码作为平台向实名认证的手机号发送的用以识别自然人真实身份的电子短信,即平台与用户在非面对面式接触、交易时认证用户真实身份的唯一桥梁,与特定自然人之间具有根本关联性,[12]其属于与特定手机号码相结合,即能够被记录、具有可识别性的公民个人信息,属于间接可识别个人信息的一种。
对于个人信息的可识别性判断,应从以下3个方面来进行把握:首先,限制可识别性的范围。在认定信息的可识别性时,仅对信息本身是否具有直接或者间接可识别性进行判断,一般情况下,不允许根据对信息的衍生、回溯信息的认定,来对信息本身的可识别性进行判断;其次,识别信息的手段应具有合理性,即一般识别需合规,时耗及花费需合理。[13]若不能通过合理手段链接到客户特殊信息数据,即不能认定为可识别个人信息;最后,刑法必须为间接可识别信息划定界限。理论上而言,任何信息与其他足够多的信息相结合都可以识别特定自然人身份或者反映特定自然人的活动情况。基于此,间接可识别信息入罪应当严格把握。对于间接可识别信息应从信息本身的重要程度,即与人身、财产安全是否密切相关,敏感程度是否较高等;需要结合其他信息的比例,即如果需要结合的其他信息过多,则认定为可识别公民个人信息的可能性较小;行为人主观目的。如果行为人主观上获取涉案信息并不需要识别特定自然人身份或者反映特定自然人活动情况,则此类信息原则上不宜被认定为公民个人信息。[14]
【注释】
执笔人:湖南省高级人民法院 钟玺波
湖南省株洲市中级人民法院 邓画文
湖南省株洲市漾口区人民法院 彭钰琰
编审人:最高人民法院案例指导工作办公室 张华锋
[1]阿丽塔·L·艾伦,理查德·C·托克音顿:《美国隐私法:学说、判例与立法》,冯建妹等译,中国民主法制出版社2004年版,第14页。
[2]齐爱民:“美国信息隐私立法透析”,载《时代法学》2005年第2期。
[3]王泽鉴:“人格权的具体化及其保护范围·隐私权篇”,载《比较法研究》2008年第6期。
[4]刘宪权、何阳阳:“《个人信息保护法》视角下侵犯公民个人信息罪要件的调整”,载《华南师范大学学报(社会科学报)》2022年第1期。
[5]王思琦:“民法典时代下侵犯公民个人信息罪的司法认定”,载《上海法学研究》集刊2021年第23卷。
[6]张楚:“集体法益视野下获取公民个人信息行为的入罪限度研究”,载《刑法论丛》2021年第1期。
[7]陈建清、王祯:“侵犯公民个人信息罪行为与情节之认定”,载《政法学刊》2021年第4期。
[8]高富平:“个人信息使用的合法性基础——数据上利益分析视角”,载《比较法研究》2019年第2期。
[9]于冲:“侵犯公民个人信息罪犯罪圈的‘收缩’与除罪化路径——基于个人信息多元化属性的思考”,载《青海社会科学》2021年第1期。
[10]邓建鹏,石立坤:“间接个人信息安全及法律保护”,载《中国信息安全》2020年第1期。
[11]孙其华:“我国间接识别个人信息规制机制的检视与完善”,载《上海对外经贸大学学报》2022年第1期。
[12]刘宪权、何阳阳:“《个人信息保护法》视角下侵犯公民个人信息罪要件的调整”,载《华南师范大学学报(社会科学报)》2022年第1期。
[13]刘定基:“个人资料的定义、保护原则与个人资料保护法适用的例外——以监视录影为例(上)”,载《月旦法学教室》2012年第5期。
[14]喻海松:“‘刑法先行’路径下侵犯公民个人信息罪犯罪圈的调适”,载《中国法律评论》2022年第6期。
|