编者按:8月20号,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,自2021年11月1日起施行。其中明确:①通过自动化决策方式向个人进行信息推送、商业营销,应提供不针对其个人特征的选项或提供便捷的拒绝方式;②处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息,应取得个人的单独同意;③对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
本文系检察官2019年所作,供参考。
侵犯公民个人信息行为入刑已逾10年。但此犯罪反而愈演愈烈,并有大量侵犯公民个人信息犯罪与电信诈骗、绑架勒索合流,给公民人身财产权利造成更大威胁。本文旨在结合2017年5月8日两高发布的《关于侵犯公民个人信息犯罪的最新司法解释》(以下简称“解释”),和司法办案中遇到的具体案例,对该类案件的难点进行剖析与探讨。
一、“公民个人信息”的认定
案例1 宽带账号密码是否属于公民个人信息
王某原系某市宽带公司的技术经理,其跳槽至他处后,通过原公司内部朋友获得公司宽带服务器后台账号,通过账号其筛选出大量超过3个月以上未使用的宽带账号。后王某又通过后台账号修改之前筛选所得宽带账号密码,并将修改后的宽带账号密码予以低价售卖,获利1万余元。
争议焦点:用于上网的宽带账号密码是否属于“公民个人信息”?
意见分歧:一种观点认为,《解释》第一条明确指出“公民个人信息”包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。本案中行为人利用不法方式所获取的账号密码属于解释所列举的内容之一。
另一种观点认为,单纯的宽带上网账号和密码仅仅是简单的数字和字母的组合,不具有人身性、身份性,不能认定为“公民个人信息”。
分析:对公民个人信息的理解不能仅关注形式上的列举,更要牢牢把握公民个人信息的本质特征,即单独或与其他信息相结合,能达到识别公民个人的目的。实务中,大量的行为人通过不法手段获取其他公民在网络上所注册使用的账号密码,如QQ号、邮箱账户密码、支付宝账号等,这些账号的共同特点是:除账户本身的数字符号外,账户内往往还记载或者能反映出注册人(或者被注册人)的手机号、身份证号等个人信息,换言之,这些账号最终都能指向具体的个人。尤其是2016年7月1日《非银行支付机构网络支付业务管理办法》实施之后,凡是具有支付功能的账号都将要求实名认证后才可以使用(如支付宝账号)。这些经过实名认证的账号具有极强的身份属性,可以理解为《解释》中的“账号密码”。但在本案中,行为人获取宽带上网账号和密码,这些账号、密码系由随机的数字和字母组成,行为人获取账号密码后,只是获得了宽带的使用权,并无法获知该账号所有人的其他信息,更无法将这些账号与特定公民个人进行对应。因此,对这些账号的非法获取可能涉嫌其它侵犯财产类、破坏计算机信息管理类犯罪,但不属于侵犯公民个人信息罪。
案例2 企业法人信息是否属于公民个人信息
李某系建筑行业的从业人员,为扩展业务领域和范围,通过QQ向他人购买整理好的建筑行业企业工商登记信息一万余条。该信息包括工程企业法定代表人的姓名、工作单位,其中部分信息包含了企业法人的电话号码。
争议焦点:上述信息是否属于公民个人信息?
分歧:一种观点认为,企业法人同时也是自然人,其姓名、工作单位及其电话号码属于其个人信息,因而也属于公民个人信息的范畴。
另一种观点认为,企业法人的信息属于企业应当对社会公众公开的工商管理登记信息,个人可以通过工商登记网站对此类信息进行查询,属于应当公开的信息,不能认定为公民个人信息。
分析:对这种情况的判断,我们需要从立法本意出发进行价值判断。立法保护公民个人的价值基础在于对隐私权保护的强化带来的对个人自由和权益的保护。但是为了维护公共利益,为了保护国家与公共安全,以及保障公众知情权的需要,可以对一些公民的个人信息进行披露。依据2014年国务院发布的《企业信息公示暂行条例》,企业信息应当真实、及时公开。故企业法人的姓名及其工作单位属于应当公开的范畴。
而对于案件法人的电话号码这一信息,据了解,企业进行工商登记时需要提供法人电话,但是这一信息在公开网络并无法查询,故在遇到这类案件时,最高检2018年发布的办理此类案件指引提出了一种判断思路:公机公用,私机私用,即对于企业工商登记等信息中所包含的手机、电话号码等信息,应当明确该号码的用途。对由公司购买、使用的手机、电话号码等信息,不属于个人信息的范畴,而“公司经办人在工商登记等活动中登记个人电话、手机号码”则仍然属于个人信息。
案例3 信息主体自愿向他人出售的信息
吴某某从黄牛处购买包含驾驶人的姓名、身份证号码、照片等信息,并用于注册某地交警部门发布的APP程序账号,注册后使用上述账号帮助他人处理违章及扣分,从中牟利。经查,其中部分信息的所有主体,明知信息将被用于代扣分,为获取报酬而自愿出售给黄牛。
争议焦点:对这部分自愿出售的信息是否应当计入犯罪条数?
分歧:一种观点认为,吴某某并不是从被害人处直接购买信息,被害人出售对象不是吴某某,并未明示同意吴某某取得他们的信息,故构成侵犯个人信息犯罪,应当计入总条数。
另一种观点认为:如果有证据证明被害人系主动提供相关信息的,即使不是直接提供给吴某某,这部分信息也不能计入犯罪条数。
分析:正如上一个案例分析中提到的,个人信息保护的价值基础在于隐私权,从而带来的对个人权利和自由的保护。我们公民出于对生活安宁以及隐私需求,对不愿公开的信息应当予以保护。而信息主体的同意,可以被认为是对上述权利的放弃,此时只要信息的使用用途没有超出被收集人的同意范围,即使中间出现转售,甚至信息被用于违法用途,也不宜认定为侵犯公民个人信息犯罪。
二、如何认定“非法提供”?
案例4 拉产调
陈某在担任上海某小额贷款有限公司客户经理期间,利用公司赋予的公民不动产登记信息查询权限,私自查询并保存公民不动产登记信息约3,000条,并于2016年2月至同年10月期间将其中约1,000条公民不动产登记信息通过微信或支付宝转账的方式,以每条约人民币6元的价格出售给他人。
据悉,2016年10月之前,在上海市的普通公民,都可以持本人身份证去不动产登记部门办理一定手续并支付一定费用后即可查询任意地址的房屋产权信息,就是俗称的“拉产调”。2016年10月之后,本市的查询规则进行修改,需要由房东本人,或者与房东进行交易的人持有房东身份证复印件等资料才能进行查询。而本案发生在2016年10月之前。
争议焦点:陈某的行为是否属于侵犯公民个人信息?
分歧:一种观点认为,现在已经不能随便调取,陈某将该信息出售的行为构成侵犯公民个人信息犯罪;另一种观点认为,陈某的行为不构成侵犯个人信息犯罪,因为产调在案发时人人可查,属于公开信息。即使之后行政法规进行了调整,但是法不溯及既往。
分析:陈某已经构成侵犯公民个人信息犯罪,虽然当时产调信息人人可查,但人人可查,并不代表这些就不是公民个人信息,一般房屋的产调上会包含着:房主姓名、房屋地址、大小、面积等情况的信息,作为房东本人,正当情况下是不愿意将上述信息随便予以暴露的。而且也没有法律规定普通人的住房信息应当向社会公开,它和上面所说的企业工商登记信息是不一样的。
而陈某的行为虽然是取得合法,但依然构成侵犯个人信息犯罪,理由就是他违反了提供信息的前提——经过收集者同意。解释第三条第二款明确规定:未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
三、如何认定“非法获取”?
案例5 APP过度读取个人信息
刘某系某金融贷款公司负责人,该公司开发了一款手机接待软件APP,在用户注册使用过程中,强制用户需要许可该软件获取用户手机号码、MAC地址、IMEI码及手机通讯录等信息。若不同意则APP将自动退出无法使用。后当用户出现逾期还款时,该公司通过向用户手机通讯录中的第三方亲友打电话发短信等方式进行催收,遭受大量投诉。
争议焦点:APP过度读取并使用手机用户信息的行为是否构成侵犯公民个人信息犯罪?
分歧:一种观点认为,该行为不属于侵犯公民个人信息,因为APP读取该类信息系经过用户同意的。且并没有将信息转手给他人,仅是用于公司催债使用。而另一种观点认为,该用户同意并非真实用户意思表示,用户若不同意则无法使用APP,虽然信息没有外流,但是通过读取的手机通讯录并给亲友打电话催债的行为,给用户造成了较大的困扰。
分析:依据《网络安全法》及《移动互联网应用程序信息服务管理规定》,移动互联网应用程序提供者应当建立健全用户信息安全保护机制,收集、使用用户个人信息应当遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意。
因此本案的关键点就在于是否明示了信息的使用用途,该公司在收集时,是否明示收集的手机通讯录信息将被用于催收债务,如果没有明示,却在收集后用于该用途,则涉嫌违反上述规定,可以被认定为非法获取。
四、如何准确把握本罪入罪标准
案例6 正确区分交易信息及财产信息
曾某在某公司担任负责人期间,违反国家有关规定,通过电子邮件从他人处非法接收若干包含公民个人姓名、电话号码、房屋地址、房屋面积、交易金额或签约时间等信息的文档,内含共计2400余条公民个人信息。
争议焦点:记载公民姓名、房屋地址、面积、交易金额的文档系交易信息还是财产信息?
分歧:一种观点认为随着房价不断上涨,许多公民的房产已占其家庭总资产的最高比重,故获取公民购房信息的行为,实际上是掌握了公民的房产状况,应将上述信息认定为财产信息,50条即可入罪。
另一种观点认为,房屋交易信息虽然指向房产,但本质上仍是交易信息,因为交易中仍有可能出现违约、交易中止等情况,房屋交易情况不能直接等同于公民拥有房产的情况,故应当认定为交易信息,500条才可入罪。
分析:房产交易信息虽然包含了公民购买房屋的财产性要素,但是其本质反应的还是交易的过程,在重要程度上弱于财产信息,应当遵循差异化的判断标准,将其与产调信息等能够体现公民个人的财产状况,且与人身、财产安全直接相关的高度敏感信息区别开来。
案例7 对批量公民个人信息数量的认定
严某在QQ上看到有人出售公民个人信息,见与自己的业务有关,就与对方联系购买。交易时对方先发了一小部分信息过来,严某打了几个电话验证,信息属实,故严某爽快地付了款,后对方发来一个压缩包,打开一看,里面有数万条信息,包括公民的姓氏、性别和手机号码等,没想到严某再次利用这些信息进行拨打电话进行业务推销时,却发现,卖家之后发过来的信息中好多是空号,或者姓氏、性别并不正确。
争议焦点:在查获大量信息,行为人辩解其中部分信息虚假的情况下,如何认定信息条数?
侵犯公民个人信息罪中的“信息”应指的是真实的公民信息。实务中由于来源不明确,或者上家故意提供相同信息以增加信息数量提高交易金额,或者相同行业内多次流转,嫌疑人获得的信息常常出现信息虚假或者重复的现象,并从信息的第一次搜集到流向社会,会有一定的时间差,有些几年前的信息仍在犯罪分子中间交易,这就不可避免的出现失效信息或者无效信息,而这些信息由于其不能对应到具体公民,也不具有隐私性。在行为人提出信息不真实、有重复等辩解的前提下,应重点考察行为人提出的辩解是否有一定的依据支撑,而这个支撑依据并不需要达到认定犯罪事实的“确实充分”的程度,只要足以给司法人员形成“有或者无”的内心确信即可。同时司法实务部门还可以通过上下家信息一致性比对、信息数量自动去重、被害人信息真实性抽样核查等方式,对行为人的辩解进行复核验证。
五、如何认定为合法经营活动而侵犯公民个人信息的入罪标准
案例8 中介卖房
何某是一名沪上的房产中介,因行业竞争激烈,迫于同业竞争压力,为了获取优质客源,何某从他处购买优质客户信息数十条,包括了客户信息、手机号码,曾经看过的楼盘等信息,何某以此与其中一名客户取得联系,向其进行新建成商品房推销并促成交易,从而获得佣金人民币五万余元。
争议焦点一:何某的行为是否属于“合法经营”?
一种观点从推销行为的形式出发,认为购买个人信息用于广告推销的行为本身就不属于“合法经营”,因为它违反了《消费者权益保护法》(以下简称“消法”)第二十九条第三款的禁止性规定,即“经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息”,由此案例4中中介的推销行为属于违法经营。另一种观点从推销行为的实质出发,认为如果行为人存在夸大宣传、欺骗消费者、逃税等违反行政管理法规的行为,就不能认定其是“合法经营”,不适用《解释》第六条的有关规定。
分析:《解释》中所称的“合法经营”应当是关注行为人购买信息用于开展的业务是否合法,而不是苛求其经营没有任何的违法行为。要将“违法经营”和“经营中的一般违法行为”区分开来。《解释》中的“合法经营”不同于“违法经营”,应当是针对整个公司开展的业务而言的,具体要看行为人(及其所处公司)的经营范围和经营业务的资质、手续等。实际上,实践中许多经营合法业务的公司,也会或多或少存在一些经营中的一般违法行为,如销售商品或者提供服务时存在捆绑销售、夸大宣传、使用格式条款等,包括未经消费者同意而发送商业性信息,这些行为根据《消费者权益保护法》之规定都是违法的,但这是经营中的一般违法行为,并未否定公司业务的合法性,对于“合法经营”认定应回到行为人所开展的经营活动本身是否符合法律规定这一落脚点上。
争议焦点二:如何理解“合法经营”里的获利?
分析:从立法本意来理解,《解释》第六条系对合法经营者特殊的从宽条款,旨在为一些危害不大的合法经营者找到一条出罪路径。最高法在解释发布后所做的权威解读中即已经做此理解,最高法研究室对《解释》所著的理解与适用中更是进一步点明其意。从这一本意出发,我们认为适用《解释》第六条入罪的隐含前提是:行为人的行为已经符合了基本条款(如第五条)的定罪标准,即行为人在符合“合法经营”的前提条件下,要同时满足获取信息数量较大且获利5万元以上的才可以考虑入罪。