时间:2022-12-04 17:45:38来源:法律常识
[关键词] 侵犯公民个人信息罪 司法适用 疑难问题
[摘 要] 侵犯公民个人信息犯罪是互联网黑灰产业链的上游犯罪,使用刑法手段打击此类犯罪是减少“下游犯罪”即侵犯公民人身、财产犯罪的有力措施。侵犯公民个人信息罪侵犯的法益是有限定的公民个人信息权。在此基础上,应对刑法保护的个人信息范围进行限缩解释,并明确高度敏感信息、敏感信息、一般信息等各类个人信息的认定标准。在司法办案时,应准确认定“合法经营”和“获利”以及两者之间的因果关系,准确界定“其他情节严重的情形”的范围。
随着信息技术的发展,人类正步入信息化时代。信息化时代是信息产生巨大价值的时代,信息成为重要的经济资源和社会财富。在信息化时代,公民个人信息成为主要的生产要素,其价值也日益凸显。然而,伴随着公民个人信息的采集、存储、处理、使用等技术的发展,公民个人信息被泄露、被滥用的风险也大大增加。围绕公民个人信息的非法获取、出售、非法提供、非法利用等行为形成了侵犯公民个人信息的黑灰产业链。黑灰产业链以违法犯罪行为人的分工合作形成上游、中游、下游产业链,而侵犯公民个人信息违法犯罪则居于上游,由此滋生出电信诈骗、金融诈骗、敲诈勒索、非法拘禁、绑架甚至故意杀人等违法犯罪。打击侵犯公民个人信息犯罪不仅是维护公民个人信息安全的有效手段,也是减少“下游犯罪”的有力措施。
2005年,刑法修正案(五)增设了窃取、收买、非法提供信用卡信息罪,开启了刑法保护公民个人信息的大门。2009年,刑法修正案(七)增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。2015年,刑法修正案(九)将两罪整合为侵犯公民个人信息罪,将犯罪主体扩大为一般主体,并将两罪的法定最高刑期提高至有期徒刑七年。2017年,最高人民法院、最高人民检察院制定的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)明确了侵犯公民个人信息罪的定罪量刑标准。但是通过实地调研,笔者发现在侵犯公民个人信息罪的司法适用方面仍存在一些普遍性难题,遂试图对问题进行解析并提出相应的解决方案。
一、侵犯公民个人信息罪侵害的法益辨析
基于结果无价值的立场,侵犯公民个人信息犯罪的社会危害性表现在对法益的侵害。
于侵犯公民个人信息罪侵害的法益,主要有“隐私权说” “人格尊严和隐私权说”“私人生活安宁说”“物权说”“个人信息权说”“超个人法益说”“公共法益说”等学说。
“隐私权说”认为,侵犯公民个人信息罪的立法规定体现了对公民隐私权的价值追求,并非所有的个人信息都被纳入刑法保护,只有体现个人隐私的个人信息才应被纳入刑法保障的范围。“人格尊严和隐私权说”认为,侵犯公民个人信息罪侵犯的客体是公民的人格尊严和隐私权,人格尊严与隐私权存在交叉关系。实际上,人格尊严除包括隐私权之外,还包括姓名权、肖像权、名誉权等。“私人生活安宁说”认为,刑法中的“公民个人信息”是关乎“私人生活安宁”的个人信息,一旦被泄露就会威胁私人生活安宁。“物权说”认为,个人数据所有权同样具有物的所有权的本质属性,个人数据所有者的权利包括控制权、享益权、知情权、修改权、完整权、请求司法救济权。“个人信息权说”认为,侵犯公民个人信息罪侵害的法益是公民个人信息权,其是一种独立的信息权利益,具有特殊的人身和财产属性,并且依附于公民的其他人身权和财产权。“超个人法益说”认为,我国刑法保护的不仅是中国公民的个人信息,还保护外国公民和无国籍人的个人信息,公民个人信息不仅关涉个人的信息安全、生活安宁,而且关乎国家安全、社会公共利益。因此,个人信息具有超个人法益的属性。“公共法益说”认为,侵犯公民个人信息罪的法益为公共信息安全,因为只有侵犯了一定数量的公民个人信息才会纳入刑法规制的范围。
所谓“隐私”,是纯属个人的、个人不愿或不便让其他人知晓的信息,而个人信息不仅包括隐私,而且包括公开的信息,如个人求职信息就需要在一定范围内公开,其不是个人隐私,但仍需要得到保护。隐私权主要是一种精神方面的人格权,保护的是个人的人格利益,和财产利益并无多大的关联,而信息权是一种复合型权利,不仅包括人格权益,而且包括财产权益,在一定情况下,个人信息可以给主体带来财产性利益。隐私权是一种消极性权利,个人无法主动行使,只有待其被侵犯时,主体才可能请求救济,而信息权是一种积极性权利,主体既可以授权他人使用自己的个人信息,又可以在权利被侵害时,请求法律保护。生活安宁权是个人私生活的平静状态不受非法干扰的权利,其与隐私权分立,是个人的精神权利。因此,个人信息具有人格、财产、社会等多重属性,“隐私权说”“人格尊严和隐私权说”“私人生活安宁说”“物权说”都有其局限性。
虽然侵犯公民个人信息犯罪有可能给国家和社会利益带来损失,但是,刑法设立该罪的目的仍是保护自然人的信息权益,且将该罪设置在侵犯公民人身权利、民主权利罪中。在理论上,出售 1 条公民个人信息也侵犯了法益,但从可罚性来看,出 售 1 条公民个人信息的行为显然不值得刑法来处罚。因此,不能因为刑法将侵犯一定数量的公民个人信息的行为入罪,而误认为侵犯公民个人信息罪侵犯的法益是社会公共法益。
随着信息时代的到来,个人信息的价值日益得到提升,滥用个人信息的现象日益增多,人们才意识到需要保护个人信息,法律需要赋予自然人信息 权利。我国民法总则第一百一十条规定:“自然 人的个人信息受法律保护。”这里面的“个人信息”, 是个人信息权还是个人信息利益,法律并没有明确 规定,理论界争议不断。但从个人信息具有独立 性、保护个人信息的必要性和法治国家的立法例等 角度来看,宜将“个人信息”理解为个人信息权。个 人信息权是指自然人对其身份信息进行控制和支配、并排除他人侵害的具体人格权,是绝对权、对世 权,其权利内容包括信息保有权、决定权、知情权、 更正权、锁定权、请求保护权、被遗忘权等。由此 可见个人信息权是一种基本的民事权利,其不仅需要民法保护,而且需要刑法和行政法予以保护。从刑法谦抑性的角度来说,刑法应当充当保护个人信息权的最后一道防线。因此刑法没有必要也没有能力保护所有的个人信息和个人信息权的所有权利内容,刑法应当保护与个人人身、财产权益 相关的个人信息及其权利内容(不包括更正权、被遗忘权等)。
综上,侵犯公民个人信息罪侵害的法益是个人信息权(限于与自然人人身、财产相关联的权利内容)。既然个人信息权是一项具体的人格权,从权利平等保护的角度来讲,其权利的保护对象不应限于本国公民,而应包含外国公民和无国籍人。因此,笔者建议删去侵犯公民个人信息罪中的“公民”两字。权利意味着相对的自由,个人具有信息决定权,可以决定自己的个人信息是否公开,是否被他人使用,那么,将自己的个人信息出售给他人是否构成侵犯公民个人信息罪?试举一例:
案例一:有些居住在农村的人或者在城市打工的农民工不重视其个人信息的保护,为了牟利,以 几十元、上百元的价格向他人出卖自己的姓名、照 片、身份证号码、家庭住址、手机号码、银行卡号等 个人信息,有的甚至为收购者出具“个人信息转让授权书”,同意收购者使用自己的个人信息。这些 出卖的个人信息被用来注册公司、网店、支付宝账 户,办理手机卡等,甚至被用来实施诈骗、洗钱、贩毒等犯罪活动。
明晰某类犯罪侵害的法益的功能在于准确识别罪与非罪、此罪与彼罪。如果将侵犯公民个人信息罪的法益确定为“超个人法益”或“社会信息安全”,那么,出售个人信息行为只有情节严重的才可能构成犯罪。而将侵犯公民个人信息罪侵害的法益确定为个人信息权,出售个人信息的行为因没有直接被害人,而不能被认为是犯罪。当然,如果行为人明知或应当知道他人将用其个人信息实施犯罪而直接出售的,则与收购者构成共同犯罪。个人行使私权不得违背社会公共利益,因为个人信息具有社会公共管理属性,出售自己个人信息的行为仍具有行政违法性,应当依照行政法律法规来对行为人进行处罚。
二、刑法保护的公民个人信息的范围及类别认定
(一)刑法保护的公民个人信息的范围
侵犯公民个人信息罪的犯罪对象是公民个人信息。基于刑法谦抑的考虑,刑法不可能将所有的公民个人信息都纳入保护范围,而应当保护对个重要程度较高的信息。因此,《解释》第一条将“公民个人信息”限定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”,与网络安全法第七十六条的界定相同。识别性是公民个人信息的本质属性,因为只有可识别特定自然人的身份或反映其活动的信息才有可能被利用,并对特定自然人产生危害。
尽管《解释》第一条将公民个人信息用“可识别性”加以限制,但“公民个人信息”的范围依然宽广,因为从信息技术上来说,只要有足够多的信息,就能够识别特定自然人的身份或反映其活动。刑法设立侵犯公民个人信息罪的目的是打击利用公民个人信息实施的侵犯公民人身、财产的犯罪行为,即侵犯公民个人信息罪是其他犯罪的“源头”。因 此,可以将侵犯公民个人信息罪中的“公民个人信息”进一步限缩为一旦被滥用,将会对公民个人人身、财产造成危害的、可识别特定自然人身份或反映其活动的信息。
此外,值得思考的一个问题是:公民个人信息是否必须要有“以电子或者其他方式记录”?如跟踪特定人获得其长相、身高、体重、通话内容、活动规律、家庭住址等信息,这些信息不一定都事先记录在载体上。笔者认为,刑法保护的公民个人信息一般不包括已经公开的个人信息,除非此公开的个人信息属于自然人被非法公开的个人信息。互联网的本质是信息的互联、互通、共享、利用,如果获取、出售、提供公开的信息都必须经过权利人同意或者授权,那么,互联网开放、共享的属性将会消失。一般来说,对于公开的个人信息,任何人都有权利获取,至于说后续的出售、提供行为是否合法,则应看公开的个人信息是否属于合法公开的信息以及行为人是否事先知情。如果公开的个人信息属于非法公开的信息,并且行为人明知该信息属于非法公开的信息而仍然出售、提供的,则可构成侵犯公民个人信息罪。如果是合法公开的个人信息,任何人都可以获取、出售、提供。例如,行为人将法院公布的失信被执行人的姓名、照片、部分身份证号码等信息整合成数据库,供他人付费查询。试举一例:
案例二:张三为牟利,通过互联网获取了10万余条个体工商户、公司、企业信息,出售给他人用于商业经营活动。经鉴定,上述信息中有3万余条为个体工商户的信息,内容主要涉及个人姓名、地址、联系方式、业务范围等,其余7万余条为公司、企业信息,内容主要涉及公司、企业名称、地址、法定代表人姓名、联系方式、业务范围等。
该案的争议焦点是,公开的商业信息中涉及的个人信息是否属于侵犯公民个人信息罪中的“公民个人信息”?出售该类信息是否合法?笔者认为,内含于商业信息中的个人信息,不宜纳入刑法保护的范围。理由如下:一是商业主体发布信息,必然会涉及商业主体或法定代表人的姓名及联系方式等个人信息要素,这是法律的要求,社会公众对此也应当有知情权。二是信息权利人主动公开发布的个体工商户、公司、企业信息,本意就是为了让更多的人知晓,以便获取合理的商业机会。三是对于获取、出售、提供信息权利人主动公开的个人信息,应推定信息权利人存在概括的同意,无须再进行二次授权。
(二)刑法保护的公民个人信息的类别认定
《解释》按照信息对个人的重要程度,将公民个人信息区分为高度敏感信息(行踪轨迹信息、通信内容、征信信息、财产信息)、敏感信息(住宿信息、通信记录、健康生理信息、交易信息等)、一般信息三个层次,并确定了不同的入罪数量标准。因此,对公民个人信息的分类关系到行为人的定罪量刑问题,需要认真对待。
一是行踪轨迹信息的认定。司法实践中,存在争议的问题有车票、船票、机票等载明的个人出行信息(含有出发、到达时间、起止地点)和共享单车骑行路线信息是否属于行踪轨迹信息?笔者认为,可以从两个方面来认定:一是行踪轨迹信息呈现特定自然人活动的完整的、动态的过程;二是行踪轨迹信息与特定自然人活动高度关联,不需要与其他信息相结合。车票、船票、机票等交通运输票据不能反映特定自然人完整活动的过程,需要与其他信息相结合,而共享单车骑行路线能呈现特定自然人在不同时间段内行驶线路情况,可推测出个人活动的轨迹,属于行踪轨迹信息。
二是财产信息的认定。财产具有价值和使用价值,在法律上,可以将财产分为动产和不动产,有形财产和无形财产(如虚拟货币、游戏币等)。财产的表现形式多样,价值差异大,如果只考虑财产信息的内容,而不考虑财产信息的用途,则刑法的打击面过宽。实际上,个人信息的用途不同,对信息权利人的影响是不同的。另外,财产信息与财产交易信息也比较难以区分,一般来说,财产信息着重反映财产的价值、存在状态,体现了财产的静态特征,如房产信息、银行存款信息等;而财产交易信息则侧重财产的使用价值、产权流转情况,体现了财产的动态特征,如银行交易流水、支付宝转账记录等。试举一例:
案例三:保险业务员李四为推销车险,向他人购买了 2 万余条公民个人车辆信息,具体包括姓名、联系方式、车型、车牌号、上牌时间、车架号、发动机号等。
上述车辆信息是否被认定为《解释》第五条第一款规定的“财产信息”,直接关系行为人的行为是否构成犯罪以及是否认定“情节特别严重”的问题。笔者认为,对于财产信息的认定,不仅应考虑信息的内容,而且应考虑信息的用途。虽然有些信息中包含了财产内容,但是行为人并非利用该信息从事侵害信息权利人的财产的活动,该信息不宜认定为高度敏感的“财产信息”。而且,为合法经营活动而非法获取公民个人信息的行为与出售、提供公民个人信息的行为,在行为人的主观恶性、行为社会危害性方面均存在较大区别,不宜简单地以涉案公民个人信息的数量论处,应当坚持宽严相济刑事政策,在量刑上予以体现。
三、为合法经营活动而非法购买、收受公民个人信息行为的认定
《解释》第六条规定了为合法经营而非法购买、收受公民个人信息行为的定罪标准,而为合法经营而非法购买、收受公民高度敏感信息、敏感信息的行为,不适用该条。试举一例:
案例四:赵六系股票业务员,经常为推销股票而发愁。有一天,赵六在浏览某股票网站时发现,可以用手机注册该网络,如果某手机号码已在网站上注册,再用该号码注册时,登录栏就会弹出“该手机号码已经注册”的提示,提醒客户不要重复注册。赵六通过网络搜索,获取了其所在省的手机号码号段,然后编排了众多手机号码,最后在网站上尝试登录。通过枚举法,赵六将网站登录栏弹出已注册的手机号码记录下来,用于电话推销股票。
虽然该案中的手机号码系赵六利用枚举法间接获得,但该手机号码包含了所有者所在的地区、曾经注册过某股票网站的识别性内容,这些手机号码可以认定为一般的公民个人信息。赵六获得手机号码的行为未利用网站的漏洞,也未使用非法程序、工具侵入网站,系正常的登录行为而获得,现有行政法律、法规也未禁止使用枚举法登录网站。因 此,很难说利用枚举法获得公民个人信息的行为具有非法性。
(一)“合法经营”的认定
“合法经营”是相对于“非法经营”而言的,只要没有“非法经营”行为,就可以认定为“合法经营”。“非法经营”的认定可以参照“非法经营罪”中的“非法经营”的认定标准。在认定是否系“合法经营” 时,应注意审查整体经营业务、经营行为是否符合法律规定,区分“非法经营”和“经营中的一般违法行为”。实践中,只要经营者将非法购买、收受的公民个人信息用于合法的业务,而不是用于实施侵害公民人身、财产的违法犯罪,就可认定为“合法经营”。
(二)“利用公民个人信息”与“获利”之间因果关系的认定
当前,“利用非法购买、收受的公民个人信息” 与“获利”之间的因果关系认定困难。据笔者调研,司法实践中较少存在根据《解释》第六条第一款第一项来定罪量刑的案件。因为在合法经营活动中,参与获利的因素很多,非法购买、收受的公民个人信息在获利中起到了多大作用,很难准确测算。在认定因果关系时,可以根据“利用公民个人信息”前后的平均获利情况对比估算,但应遵守“事实存疑有利于被告人”的事实认定原则。
(三)“获利”的性质认定
这里的“获利数额”不能等同于“非法经营数额”,不需要扣除“非法购买、收受公民个人信息”的成本。质言之,这里的“获利”等同于刑法第六十四条规定的“违法所得的一切财物”,即行为人通过犯罪行为获取的物质性利益,既包括有体物,也包括无体物(如盗窃的电力、虚拟货币、股权等)。
(四)“其他情节严重的情形”的认定
“其他情节严重的情形”是《解释》第六条的兜底条款,按照刑法体系解释,其社会危害性应相当于《解释》第六条第一款前二项规定的情形,鉴于第六条第一款第一项的数额标准是第五条第一款第七项的十倍,即可以将为合法经营活动而非法购买、收受一般个人信息的入罪数量标准确定为5万 条。实践中,为合法经营活动而非法购买、收受公民个人高度敏感信息、敏感信息的情况较多。而 且,为合法经营活动而非法购买、收受公民个人高度敏感信息、敏感信息,一般也不会危及信息权利人的人身、财产安全。为贯彻罪刑均衡原则,建议删除《解释》第六条中“本解释第五条第一款第三项、第四项规定以外”的限定,使之涵盖所有类型的公民个人信息。
来源:《人民检察》,2018年第18期
作者:尹振国,最高人民法院