侵犯公民个人信息犯罪的认定难点问题分析
时间:2020-06-12 03:39:00 来源:达达文档网 本文已影响 人 
罗洁 黄华丽
关键词 公民 个人信息 犯罪 司法认定
作者简介:罗洁、黄华丽,广州市天河区人民检察院,一级检察官,研究方向:刑法学。
中图分类号:D924.3 文献标识码:A DOI:10.19387/j.cnki.1009-0592.2020.05.140
一、公民个人信息的认定
(一) 个人信息概念之法律规定及争议
2012年,十一届全国人大常委会第三十次会议通过《关于加强网络信息保护的决定》,规定可识别公民个体身份、涉及公民隐私的信息属于公民个人信息。2013年,两高一部发布《关于依法惩处侵害公民个人信息犯罪活动的通知》,同样规定了公民个人信息系可以直接识别公民个人身份的信息。两部法律均明确个人信息对身份识别的直接性,并不包括间接识别公民身份的个人信息。[1]
2017年,两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通讯联系方式、住址、财产状况、行踪轨迹等。也就是说,司法解释将可识别性确定为个人信息的法定属性。即凡是直接或者间接能识别出特定人身份的信息都属于刑法意义的个人信息。
可见,个人信息具有可识别性,在法学界已经达成共识,在此不做讨论。个人信息是否应当具有隐私性,是有需要提出讨论的争议性问题。有不少学者认为,个人信息具有隐私性特征,侧重保护精神性的人格权,注重对私人生活的、个人秘密的自主决定。若在公开网络平台可以获取的个人信息不属于刑法意义上的公民个人信息。[2]比如,行为人通过“企查查”等公开网站或者商业活动中获得的他人名片类信息,能否认定为刑法意义上的公民个人信息,争议较大。这类信息通常包括个人姓名、工作单位和职务、公司地址和个人电话、邮箱等,显然具有个人身份的可识别性。但这些信息又和常规意义的个人信息不同,它们基本属于个人在商业活动等场合公开过的信息,不具有隐私性,故很多学者乃至司法工作者认为这些信息一律不应认定为公民个人信息。但笔者认为,这种观点有待商榷。既然司法解释明确了可识别性是公民个人信息的法定属性,那么商业类公民个人信息仍属于刑法意义上的公民个人信息。只是在判定行为人是否入罪时,应当结合其获取信息的方式、获取之后使用途径和目的等方面着手,以刑事违法性为切入点进行分析。比如,行为人在正常商业活动或者公开网站下载他人信息用于合法商业推广,虽然客观上造成个人信息的对外扩散,但鉴于这些信息是信息所有人作为商业使用曾公开的信息,可以考虑从被害人承诺角度,判定行为人不具有刑事违法性。但是,如果信息所有人或者持有人对信息使用途径、公开范围有明确限制规定,若行为违反限制规定持有、使用,则应当考虑入罪。在具体办案时,在处理该类案件时,应当核实获取信息的平台对信息下载、使用有无限制性或保护性规定。公民个人信息的法律定义不应作限缩性解释,只有结合获取、利用行为才能判断是具有刑事违法行为。
(二) 财产类信息认定中常见问题
根据两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条,非法获取、出售或者提供行踪轨迹、通信内容、征信信息、财产信息50条以上的,应当认定为侵犯公民个人信息罪。在司法实践中,常见的争议是个人房产类、车辆类信息在什么范围内属于刑法保护的个人信息范畴。笔者认为,并不能因信息只要涉及个人房产、车辆就认定属于法律规定的财产类信息。办案时必须严格考察信息对个人财产内容的反映程度。比如,单纯的汽車登记信息、机动车辆登记信息或者模糊的住房信息不能认定为刑法意义的财产信息。如笔者在办理一件侵犯公民个人信息案件时发现,行为人从网络获取大量个人信息,其中部分属于他人车辆信息,显示为“某某,名下宝马车辆一辆,车牌号:***”。该信息能和其他信息结合识别车主身份,显然属于刑法中的个人信息范畴。但该信息并未反映车主财产具体情况,比如什么型号的车辆、购买时间、新旧情况等。该案起诉后,法官认定涉案车辆类信息为个人信息但非属于财产类信息。笔者也赞同这一认定,虽然司法解释没有对财产类信息进一步解释,但结合文意解释和目的解释方法,将财产类信息认定进行一定范围规制是有必要的。首先,财产具有使用价值和价值属性。能反映财产基本价值的信息才属于财产类信息。其次,司法解释对侵犯财产类信息保护力度明显加大。从司法解释规定来看,而非法获取、出售或者提供财产信息50条以上就入罪。非法获取、出售或者提供其他公民个人信息5000条以上入罪。可见,侵犯财产类信息的社会危害性明显大于一般公民信息,也意味着财产类信息应当限定于能锁定公民财产内容的信息。
二、侵权方式的认定
(一) 常见行为方式的认定问题
根据我国刑法及司法解释规定,侵犯公民个人信息犯罪的行为类型化较为单一,存在违法性不确定、法益保护模糊、多种行为相互重叠和交叉等诸多问题。[3]
法律规定的获取公民个人信息的行为方式包括:窃取、购买、收受、交换,在履职或者提供服务过程中收集。除了窃取行为能直接认定为非法获取之外,购买、收受、交换、收集行为本身不具有刑事违法性。根据司法解释规定,只有在违反法律、行政法规、部门规章有关公民个人信息保护规定的情况下买受、收集,才属于非法获取。具体办案时,必须对信息保护的相关法律、行政法规、部门规章有清晰认识,才能界定是否属于“非法”获取。
此外,还要结合信息使用情况综合判断是否属于违法行为。也就是说即便以合法手段获取了信息,但若非法使用,也当然属于侵犯个人信息的行为。笔者认为,使用的非法性判断应当区别于获取的非法性判断。不仅要考虑行政法规的规定,更进一步需要考虑到信息所有人的许可使用范围。比如房产中介获得客户的身份证件信息仅作于协助产权过户使用,若该中介将客户身份证信息当做他用,则可考虑属于侵犯个人信息行为。
从司法实践来看,非法使用公民个人信息的常见方式有:出售、非法提供个人信息之后由本人或者他人利用施行诈骗、信用卡诈骗、使用虚假身份证等下游犯罪。从罪数处理来看,侵犯公民个人信息犯罪是手段行为,下游犯罪是目的行为,属法律上的牵连犯,应择一重处。实践中,司法机关往往是直接以下游犯罪认定,但在起诉书或判决书中很少论证阐明上游犯罪的认定处理问题。这就容易让公众产生只有将个人信息直接用于其他违法犯罪的行为才构成犯罪的错觉。笔者认为起诉书和判决书除了对个案定罪量刑外,还有警示教育的一般预防作用。检察官、法官应重视法律文书的普法宣传作用,让公众认识到非法获取或者使用公民个人信息行为本身就涉及犯罪。
(二)非法持有认定争议问题
如上文所述,非法获取和非法使用是侵犯公民个人信息的一般行为方式。如果仅是持有他人信息是否属于侵犯个人信息犯罪行为呢?法律并未规定。司法实践中,若行为人从不明渠道获取他人信息,又未能查实其有出售、非法提供或者实施下游犯罪活动,难以认定构成犯罪。笔者认为持有型信息犯罪规定的缺位,可能导致犯罪分子以“无意泄露”为由为下游犯罪大開方便之门。在现有立法框架下,笔者认为应从证据认定上考虑解决路径。在信息来源方面,应当充分考虑行为人的身份、职业、能通过合法渠道接触涉案信息的途径。在证据无法显示行为人合法获取个人信息时,应当允许适用推定并允许行为人反证。若信息来源不明,行为人对获取途径不能给予合理解释且获取信息的种类、数量明显和正常可获取信息情况不符的,可以认定为非法获取行为。另,在信息去向方面,应当充分考虑行为人对信息持有目的的辩解、和下游犯罪的联系是否密切。即便没有证据证实行为人利用了涉案信息直接参与下游犯罪,但有证据证实行为人有利用其他信息涉及下游犯罪的,其对涉案信息使用用途又无合理辩解的,可以考虑认定为下游犯罪的预备犯。
三、数量和获利的认定
(一)非法获取信息数量认定问题
司法解释规定,非法获取、出售或者提供行踪轨迹、通信信息征信信息、财产信息50条以上;住宿、通信记录、健康生理、交易信息等影响人身、财产安全的信息500条以上;其他公民个人信息5000条以上的才可认定构成侵犯公民个人信息犯罪。在司法实践中,常见的数量认定困难在于合法获取的信息和非法获取的信息混同,如何甄别非法获取信息的数量。从目前办案实际看,只要行为人辩解从公开平台查询了部分个人信息,就导致难以认定非法获取信息的数量。笔者认为,这种取证困境之破解不仅是司法认定的问题,还涉及网络数据监管、法律解释细化等一系列问题。从信息保护层面看,网络监管机关应对个人信息数据实行严格保护,对下载方的下载路径应当严密监控。若公安机关办案需要调取数据,网络监管机构应予以提供。从法律解释层面,对持有信息的行为如何认定犯罪应当进一步明确和细化。比如不能解释信息来源并明显超出合理持有数量的可认定为非法持有。具体涉及持有数量、持有时间和持有方式的司法设计,则应结合全国侵犯个人信息犯罪的实际情况、结合该行为对法益的实际侵害性进行精细化设定。
(二) 利用非法信息获利认定问题
司法解释还规定,为了合法经营活动非法购买、收受除行踪轨迹、通信、财产类信息之外的其他信息,获利5万元以上,构成侵犯公民个人信息犯罪。办案实践中,行为人本身属于合法经营者,其利用非法获取的个人信息从事营业活动的获利通常和薪酬混同,如何区分正常劳动报酬和非法获利?司法人员在适用该条解释时时常感到疑惑,遇到这类案件事实,法律规定基本被架空。就此,笔者认为司法机关应当结合办案实际,对获利认定进行证据细化认定。如根据行为人既往的收入情况、收入变化幅度、行为人的辩解及其信息获得时间等细节进行综合分析,从证据角度进行厘清区分,若不能区分,存疑利益归属嫌疑人,则不能入罪。
参考文献:
[1]李迎寒.侵犯公民个人信息罪中“公民个人信息”的界定[J].湖南警察学院学报,2019(6):72.
[2]张里安,韩旭至.大数据时代下个人信息权的私法属性[J].法学论坛,2016(3):123.
[3]康建光,余少威.刑法中公民个人信息保护困境之突破——以最新司法解释为视角[J].信息安全研究,2018(7).
