【第1487号】王健侵犯公民个人信息案——公开信息的刑法保护规则


首页>>刑事案例>>刑事审判参考案例1403->>正文


 

 

【第1487号】王健侵犯公民个人信息案——公开信息的刑法保护规则

  一、基本案情
  被告人王健,男,1989年×月×日生。2016年4月30日被刑事拘留,同年6月3日被取保候审。
  江苏省苏州市姑苏区人民检察院指控被告人王健、杨某某犯侵犯公民个人信息罪,向苏州市姑苏区人民法院提起公诉。2019年12月24日,公诉机关以证据不足、不符合起诉条件为由撤回对被告人杨某某的起诉,苏州市姑苏区人民法院依法裁定准许撤回起诉。
  被告人王健辩称涉案绝大部分信息是通过阿里巴巴、天眼查等公开商业平台获取的企业信息。其辩护人提出,涉案大部分信息虽然包括个人姓名、手机号码内容,但均提取自企业在公开商业网站中的广告,本质上是企业信息,不应认定为公民个人信息。
  苏州市姑苏区人民法院经审理查明:
  1.被告人王健出售、提供、交换涉案信息的事实
  2015年8月13日至9月12日,被告人王健先后6次使用QQ将包含个人姓名、电话等内容的涉案信息出售和提供给杨某某,共计66832条,获利人民币100.20元。2015年11月9日、12月28日,王健先后2次使用QQ将包含个人姓名、电话等内容的涉案信息出售和提供给杨某某,共计5410条,获利人民币30元。上述信息资料共计72242条,共计获利人民币130.20元。2016年3月至4月间,王健与方某某(另案处理)使用QQ多次交换各自掌握的大量信息资料,王健发给方某某的信息共计154440条,方某某发给王健的信息共计84822条。以上信息合计311504条。
  2.涉案信息的类型、数量及来源
  根据信息的外在表现形式,涉案的31万余条信息资料可分为以下两类:
  第一类是标注为“通讯录”“参会表”“报名表”“酒店客户总表”“优质客户资源”“邀约客户名称”“客户信息”“物业信息”“车主”“分析表”等字样的信息,总计9.2万余条。
  第二类为包含法定代表人(联系人)姓名、手机号码的“企业信息”,例如,“丹阳市红太阳光学眼镜有限公司,谭某某,0511-86××××86,189××××2329,2007年成立,主营产品眼镜、眼镜架等,一人有限公司,注册资本人民币60万元”“上海陆风装饰设计有限公司,鲍某某;188××××8353,021-66××××85,上海市宝山区美丹路×××号美兰优湖大厦×××室,个体经营,酒店装饰装潢,注册资本200万”。经统计,被告人王健出售、提供给杨某某的此类“企业信息”,共计69511条;王健提供给方某某的此类“企业信息”,共计144765条;王健从方某某处获取的此类“企业信息”,共计4996条;以上三项合计21.9万余条。
  关于上述第二类信息的原始来源,公诉机关在案件审理中未提供证据证实系有关人员在履行职责或提供服务过程中获取。被告人王健当庭供称相关信息均来源于公开商业网站。为核实王健的说法,经随机抽取6条,王健当场向审判人员、公诉人演示了登录阿里巴巴、百度、天眼查、自助贸易网、中国供应商网、材料网等网站查询企业信息、商贸信息,除1家公司网页显示“注销状态”,其余网页均能显示法定代表人或联系人的手机号码。上述网站,均为非收费网站。综上,根据上述两类信息外在表现形式、内容,结合其他在案证据判断,可以确定标注为“通讯录”“参会表”“报名表”等第一类信息的原始来源是相关人员在履行职务或提供服务中获取,而第二类信息则应当系从公开的商业网站广告中收集。
  苏州市姑苏区人民法院经审理认为:被告人王健向他人出售、提供或通过相互交换获取的个人信息中包含的标注为“通讯录”“参会表”“报名表”“酒店客户总表”“优质客户资源”等个人信息(即前述第一类信息),该类信息显然是相关人员在履行职务或提供服务中获取,甚至是通过非法方式获取,将该类信息向他人提供也未征得信息主体的同意,涉及信息数量达9.2万余条。据此,王健违反国家有关规定,向他人出售或者提供公民个人信息,并以其他方法非法获取公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪。而本案另外涉及的21.9万余条商业广告中包含的个人信息(即前述第二类信息),王健交易、交换该类信息的行为未违反国家禁止性规定,不构成侵犯公民个人信息罪。
  此外,王健归案后如实供述自己的罪行,可从轻处罚。综合在案证据,并结合王健交易信息获利金额微小的情况,可认定王健属该类交易利益链的下游人员,较之源头环节的作用、社会危害性明显较小,且王健系初犯,有认罪、悔罪表现和监管条件,故依法可对其适用缓刑。依照《中华人民共和国刑法》第二百五斗三条之二第一款、第三款,第十二条,笫六十七条第三款,第七十二条第一款、第三款,第七十三条第二款、第三款,第五十二条,第五十兰条,第六十四条以及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第二款第三项之规定,判决:被告人王健犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑四年,并处罚金人民币一千元;被告人王健已退出的非法所得予以没收,并上缴国库。
  宣判后,被告人王健未提起上诉,检察机关亦未抗诉。判决已经发生法律效力。
  二、主要问题
  行为人收集并出售、提供他人自愿在公开网站上发布的信息是否构成侵犯公民个人信息罪?
  三、裁判理由
  (一)争议行为不构成侵犯公民个人信息罪
  根据刑法第二百五十三条之一第一款、第三款,构成侵犯公民个人信息罪必须以“违反国家有关规定”为前提。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)的规定,所谓“违反国家有关规定”指的是“违反法律、行政法规、部门规章有关保护公民个人信息”的规定。基于前置国家有关规定的考量,对本案中所涉公开信息的收集后出售、交换、提供行为,不应认定为侵犯公民个人信息罪。
  1.对“违反国家有关规定”的理解
  本案中,公诉机关以未经被收集者同意为由,认定被告人的行为构成本罪,其逻辑是在判断争议行为是否属于“违反国家有关规定”时将“未经被收集者明示同意”作为唯一的考量因素。
  本案判决时,民法典及个人信息保护法尚未出台,对于公民个人信息保护的规定散见于侵权责任法、民法总则等法律中。当时的法条多为针对个人信息的“受法律保护”“不得非法收集、加工”等宣示、概括性的表述。除此以外,网络安全法等法律、法规细化调整一些涉及特定领域的具体行为类型,但总体上并未发展到形成对个人信息保护的细密“法网”,尚难供司法人员较为直接地判断实践中的某些行为类型是否违法。因此,在判断某些争议行为是否“违反国家有关规定”时,司法人员虽然可以引用上述概括性法条,但前提必须是在概括性法条的价值引导下,结合信息类型、信息主体的意愿、行为人的使用目的、对信息主体的影响等具体因素进行综合评判。在此情况下,信息主体的意愿当然是需要考虑的重要因素,但仅将“未经被收集者同意”甚至是“明示同意”作为认定争议行为是否具有违法性的唯一考虑因素,而不考虑信息的已公开程度及其对信息主体可能造成的影响等问题,则易失之偏颇。
  2.信息主体的“默示同意”
  在大数据时代,法律认可对某些类型个人信息进行商业化利用的合法性。信息主体基于商业目的将个人信息公开前,必然会在信息公开流通与排他性支配之间进行权衡取舍,其通过公开个人信息获得商业利益必然以对信息排他性支配的削弱甚至丧失为代价。因此,在理解信息主体基于商业目的公开其个人信息的法律意义时,就应当认为其中包含着“默示同意”他人可以进行一般性的收集和使用,不需要再作出二次授权。所以,所谓“未经被收集者同意”不能笼统、狭隘地理解为不管信息是否已公开及公开程度,只要未征得信息主体的明示同意,都不能向他人提供或通过购买、交换从他人处获取。如果一定要将“未经被收集者同意”理解为信息主体明示同意,则信息的流通性势必大打折扣,不仅在实践中无法操作,也必然背离信息主体商业推广的目的。
  当然,如果是基于特定犯罪目的收集、提供有关人员公开的个人信息,则有可能构成特定犯罪的预备行为或共犯行为,但此时违法性的意义乃是作为目的的后续犯罪行为赋予的,并且显然也超出了“默示同意”的许可使用范围,不能被“默示同意”涵盖。
  3.对本案争议行为是否具有违法性的具体、综合判断
  首先,具体到本案,涉案第二类信息提取自公开的商业网站中企业介绍自己生产、经营、销售产品状况的广告信息,其中包含的法定代表人或联系人姓名、手机号码显然是当事人出于便于商业联系、扩大商业影响需要自愿公开的,信息主体在将此类信息公开时,必然能够预见他人可能会基于商业目的对信息进行收集和使用,应当认为其公开行为即包含对他人一般性收集和使用相关信息的“默示同意”。
  其次,根据《解释》对不同类型信息在构罪数量上的区别保护,涉案的姓名和手机号码属于一般个人信息,根据日常经验,一般性使用该类信息至多对信息主体的日常生活产生轻微的滋扰,如拨打推销电话、发送推销短信等,不会对信息主体造成或增加明显不利的影响,这也是信息主体在公开其个人电话时能够预见的后果。
  最后,被告人王健及其下家提供、获取涉案信息的目的在于赚取一定的利益,并非以帮助他人实施特定犯罪为目的,对信息主体的重要法益也不会造成具体、现实的危险。
  综上,根据涉案信息的类型(系一般个人信息)、已公开程度(系商业网站公开信息)、对信息主体可能产生的不利影响(可能对其日常生活产生轻微滋扰)、被告人的目的(系单纯的信息交易而非帮助犯罪),以及可推定的信息主体“默示同意”,应当认为本案争议行为不具有刑事违法性,不构成侵犯公民个人信息罪。
  (二)民法典、个人信息保护法视角下对公开信息刑法保护的再判断
  本案系于2019年12月27日作出判决。自2021年1月1日起施行的民法典和2021年11月1日起施行的个人信息保护法对公开个人信息处理规则作出明确规定,在法秩序统一性原理的视野下,前置法的规定必然会在一定程度上影响刑事违法性的判断。因此,对涉公开个人信息案件的处理,应当准确把握前置法的相关规定,审慎划定罪与非罪的界限。
  民法典第一千零三十六条规定:“处理个人信息,有下列情形之一的,行为人不承担民事责任:……(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外……”(个人信息保护法第十三条、第二十七条有类似规定。)可见,对于自然人自行公开的或者其他已经合法公开的信息,前置法将“合理处理”作为无须征得该自然人同意的免责事由,例外情形是“该自然人明确拒绝或者处理该信息侵害其重大利益”。基于此,信息主体出于商业目的自愿公开其个人信息后,只要其事先未以明示的方式表示拒绝(或限制已公开信息的用途),行为人收集上述信息并出售、提供给他人的行为,只要属于“合理处理”的范畴,且未侵害信息主体重大利益的,则不宜认定为侵犯公民个人信息罪。
  需要注意的是,对于“合理处理”“侵害重大利益”,应当作出妥当把握。就“合理使用”而言,需要法官根据信息类型、用途、对当事人的具体影响等因素进行综合评判。特别是在市场经济背景下,个人信息所蕴含的商业意义日益显现,为取得市场推广,商家不仅需要获得更多客户信息,同样需要将自己企业的信息对外公开(其中势必包含经营人员的个人信息),个人信息流通与保护之间必然存在需要结合具体行为类型予以动态平衡之处。在法律、法规没有明确禁止的情况下,认定是否属于“合理处理”,是否“侵害重大利益”,更需要遵循刑法的谦抑性。基于此,在判断相关行为是否属于“合理使用”时,必须以是否严重侵犯信息主体的重大利益为核心,遵循“法无禁止即可行”原则。对“合理处理”的认定,应当采用相对宽泛的理解。原则上,只要法律、法规没有明确禁止的处理行为,均可以认定为合理处理,至少不应认定为犯罪。
  综上,即使在民法典、个人信息保护法施行后,对于本案中信息主体出于商业目的自愿公开姓名、电话等个人信息,行为人基于单纯获利目的出售、提供、交换,未对信息主体的人身、财产或人格利益造成具体、重大风险,未违反法律、法规禁止性规定的,亦不应当认定为侵犯公民个人信息罪。
  (三)对侵犯公民个人信息罪的惩治应当彰显源头治理的导向
  从司法实践看,行业内部人员泄露信息是非法获取公民信息的丰要来源,造成危害最大的也主要是内部人员的泄露信息行为。基于此,从治理犯罪的角度来说,侵犯公民个人信息罪的惩治重点对象应当是源头人员。本案被告人的行为虽然构成侵犯公民个人信息罪,但其属于非法交易利益链的下游人员,结合本案的其他量刑情节,人民法院对其适用缓刑,符合罪责刑相适应原则,体现了宽严相济刑事政策。
  (撰稿:江苏省苏州市姑苏区人民法院 张捷 许雅璐
  审编:最高人民法院刑二庭 张杰)