梁晓峰 重庆市渝中区人民法院干部
周宇波 重庆市渝中区人民法院干部
宋亚君 重庆市渝中区人民法院干部
内容摘要:侵犯公民个人信息罪所指的公民个人信息应当限定涉及个人隐私、被侵犯后将给公民的人身财产安全带来重大风险的信息,司法审查其范围、种类、数量应当严格以下标准:对于依法公开的企业法定代表人、 相关负责人信息不属于公民个人信息;“财产信息”“交易信息”等敏感信息的认定应按照信息本身的属性并结合被告人的主观故意、用途等综合判断认定;对为合法经营而交换的一般公民个人信息是同一信息的,只对行为人向他人提供的一般公民个人信息数量计算为犯罪数量,但若交换的一般公民个人信息系不同信息的,应累计计算数量。
关键词:侵犯公民个人信息罪 司法认定 累计计算
一、基本案情及审判情况
2016年9月至2017年4月期间, 被告人张某某在重庆市融信天下信息技术有限公司担任业务员,为了拓展贷款业务,通过QQ从他人处非法获取信息79921条,其中包括姓名、业主楼号、住宅套内面积、联系方式等内容的财产信息1940条;包括姓名、身份证号码、贷款记录、联系方式等内容的交易信息588条;包括企业及法人、相关负责人信息73244条;一般公民个人信息4149条。 通过QQ提供给他人包括姓名、电话号码等内容的信息278324条,其中包含车主姓名、身份证号码、上户日期、车型、车牌号、车架号、住址、联系方式等内容的财产信息1318条;包括姓名、业主楼号、住宅建筑面积、联系方式等内容的财产信息37条; 包括企业及法人、 相关负责人信息267580条; 一般公民个人信息9389条。2017年4月11日,被告人张某某被公安机关抓获,其到案后如实供述了上述事实。
重庆市渝中区人民法院经审理认为,被告人张某某违反国家有关规定,非法获取、向他人提供公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪。 重庆市渝中区人民检察院指控成立。 鉴于被告人张某某归案后如实供述自己罪行,认罪认罚,且主动交纳罚金,再犯罪危险性较小,依法从轻处罚并宣告缓刑。 依法判处被告人张某某有期徒刑三年,缓刑四年,并处罚金五千元。 法院作出判决后,被告人未上诉,判决已生效。
2017年5月8日,最高人民法院、最高人民检察院发布实施《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),对于人民法院、人民检察院办理涉及侵犯公民个人信息类犯罪具有很强的指导意义泄露个人隐私怎么定罪,但因为条文的抽象性和稳定性及解释的滞后性和局限性,在此类案件审理过程中,涉及对《解释》相关条文的理解和适用,在公民个人信息范围、种类以及数量的认定上存有分歧。 本案的争议焦点在于:一是关于企业法定代表人信息是否属于公民个人信息的问题,此问题涉及对《解释》第1条的理解和适用;二是“财产信息”“交易信息”等敏感信息的认定标准问题,此问题涉及对《解释》第5条、第6条的理解和适用;三是为合法经营活动而交换信息的数量如何认定,此问题除涉及《解释》第5、第6条外,还涉及对《解释》第11条第1款的理解和适用。
二、企业法定代表人信息不属于公民个人信息
罪刑法定原则不意味着法条主义,需进行刑法教义学上实体逻辑方法的判断,对法条实质内容进行界定。 因此,要想认定企业法定代表人信息是否属于公民个人信息,应先对“公民个人信息”的入罪范围进行实质界定。《解释》第1条规定,刑法第253条规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。 由此可知,作为本罪行为对象的“公民个人信息”具有能够识别特定公民个人身份或者涉及公民个人隐私的特点。 虽然《解释》第1条并未采用“涉及个人隐私信息”的表述,但明确了公民个人信息包括身份识别信息和活动情况信息,关键属性是识别特定自然人身份或者反映特定自然人的活动情况。若仅仅采用文理解释方法无法准确认定“公民个人信息”。 在此,可以借鉴犯罪构成方法,按照主客观相结合的思路,从保护法益、类型划分、主观要素三个方面综合认定。犯罪构成方法作为刑法教义学的重要方法,涉及一个从事实到概念再到类型,最后到模型的演变过程,是一种类型化思考。
首先,从保护法益角度出发,公民个人信息被侵犯后将给公民的人身财产安全带来重大风险。客观来讲,该罪的立法设置和司法解释模式兼顾了个人信息的人格属性和财产属性。公民个人信息的判断指违背为公民本人真实意思表示且在客观上公开会造成公民个人人身、财产安全隐患的一切信息。而对外公开的企业法定代表人的相关信息属于向社会公示范围,并没有违背其本人不予公开的真实意思表示。 这类信息的对外公开表明企业的法定代表人让渡出部分个人权益,概括同意该信息自由流通,保护价值降低。 因此,从保护法益角度来讲,企业法定代表人信息不属于公民个人信息。
其次,从公民个人信息的类型划分来探究不同类型信息的内在属性。《解释》第5条第1款规定了不同种类的信息,各类信息都有其内在属性,要对企业法定代表人信息作出准确认定,需结合企业法定代表人的信息内容与《解释》规定的信息类型来进行综合判断。 在公示的企业法定代表人的信息中有相当部分仅为法定代表人的姓名和手机号码,它既不同于“财产信息”“交易信息”等敏感信息,又不同于一般公民个人信息,无法识别特定自然人身份或反映特定自然人活动情况,故不应认定为公民个人信息。
再次,从行为人的利用目的来把握其主观意图。 虽然“公民个人信息”的认定作为客体对象认知范畴,但不同目的对法益威胁程度存在本质差异。对违法性的判断,必须审查客观行为与主观认知之间的相互关系,所有不法行为都是在主观意思、意志支配下犯罪人的“作品”。 只有基于非法目的的行为才具有刑法意义上的违法性,若行为不是出于非法目的,则不必纳入刑法调整范畴。 被告人张某某非法获取企业法定代表人信息是为了合法经营所需, 是为了向企业法定代表人推销贷款业务,它对公民的法益影响程度极低,故不应认定为公民个人信息,不必纳入刑法调整范畴。
本案中,公诉机关指控被告人张某某非法获取79921条公民个人信息,向他人提供278324条公民个人信息,经审理查明其非法获取的信息中涉及企业及法人的信息有73244条,向他人提供的信息中涉及企业及法人的信息有267580条,该部分信息应不属于公民个人信息,不予认定为其犯罪数量。
三、“财产信息”“交易信息”等敏感信息的认定标准
《解释》第5条基于不同类型公民个人信息的重要程度以及其被侵犯后可能产生的法律后果的严重程度分别设置了“50条”“500条”“5000条”的入罪标准。 非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上即为“情节严重”。 非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上即为“情节严重”。 由于信息种类的多样性和信息内容的复杂性,难免存在“财产信息”“交易信息”等敏感信息的认定边界不甚清晰的问题。 司法认定应从立法本意出发,结合信息本身属性及行为人的主观意图来进行综合判断。
首先,对敏感信息的认定应考虑其立法本意。 之所以对侵犯公民“财产信息”“交易信息”等敏感信息的行为设置不同于侵犯一般公民个人信息的入罪标准, 就在于敏感信息涉及公民人身财产安全,若被非法获取、提供、出售后极易引发盗窃、诈骗、敲诈勒索等关联犯罪,具有极大的社会危害性。故对公民人身财产安全不具有严重危害性的一般信息不宜认定为敏感信息。
其次, 对敏感信息的认定应结合信息本身属性及行为人的主观意图来进行综合判断。“财产信息”的属性能够反映公民个人的财产状况,包括存款、房产、车辆、股票、证券、基金等信息,但在审判实践中遇到非法获取或向他人提供的车主、车辆型号、发动机号、联系电话等信息,虽然符合“财产信息”的一般特征,但鉴于敏感信息的案件入罪门槛较低,应坚持主客观相统一原则,采用严格适用的立场,以控制打击面。若行为人主观上并非想利用上述信息实施针对人身或者财产的侵害行为,则将其认定为一般公民个人信息更为合适。
本案中,公诉机关指控的上述信息中包含房产、车辆、贷款等财产信息和交易信息,但综合考虑本案具体情况,被告人张某某通过交换方式获取前述信息后,拨打电话推销贷款,其主观目的系为推销贷款,并非用于实施针对人身或财产的侵害行为,故不应将相关信息认定为《解释》所称的“财产信息”和“交易信息”,对其适用一般公民个人信息的入罪标准更为妥当。
四、因合法经营活动交换信息数量的审查认定
交换信息包含着提供与获取两种行为。《解释》第6条第1款规定了为合法经营活动购买、收受公民个人信息定罪量刑的三种特殊标准。 显然,信息条数不是定罪的标准,而应以获利、再次犯法、其他情形为准。
首先,《解释》第6条第2款规定了实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。 由此可知,为了合法经营活动而交换的一般公民个人信息,只应将行为人非法向他人提供的一般公民个人信息数量计算为犯罪数量,对行为人非法获取一般公民个人信息的行为不予评价,其获取的信息数量不作为定罪依据。 而对于提供公民个人信息的行为可适用《解释》第5条的定罪量刑标准泄露个人隐私怎么定罪,这样处理也符合有利于被告人原则。 本案中,被告人张某某作为重庆市融信天下信息技术有限公司担任业务员,为了拓展贷款业务非法获取一般公民个人信息4149条,不符合《解释》第6条第1款规定的入罪标准而不应将获取的数量计入犯罪数额。 被告人张某某在为合法经营活动而获取一般公民个人信息的同时又向他人提供一般公民个人信息9389条,符合《解释》第5条第5项规定的“情节严重”的入罪标准,应计入其犯罪数量。
其次,《解释》第5条第2款第3项规定了实施前款规定的行为,数量或者数额达到前款第3项至第8项规定标准10倍以上的,即为“情节特别严重”,被告人张某某非法获取、向他人提供公民个人信息是虽是为了合法经营活动,但其获取和提供的公民个人信息中包含了“财产信息”“交易信息”等敏感信息,其中获取和提供的“财产信息”有3295条,远远超出《解释》第5条第1款第3项规定标准的10倍以上,所以属于“情节特别严重”。
最后,《解释》第11条规定,非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。 之所以不重复计算是因为其获取和提供的公民个人信息属相同种类相同内容的公民个人信息,此种情况下,公民个人信息被获取后又被提供,信息扩散只进行一次,重复计算信息条数有失公允。 即被告人甲非法获取A类公民个人信息X条, 后又将该A类X条公民个人信息向他人提供和出售,则被告人甲的犯罪数量为X条,而非X+X条。 若获取和提供的公民个人信息属不同种类不同内容的公民个人信息,则公民信息条数应累计计算。即被告人甲非法获取A类公民个人信息X条,后向他人提供和出售B类公民个人信息Y条,则被告人甲的犯罪数量为X+Y条。
综上所述,就公诉机关指控的事实,法院经审理后认为,不应将企业法定代表人信息认定为公民个人信息,对被告人张某某为合法经营活动而非法获取一般公民个人信息的行为不予评价,只针对其非法获取、提供的“财产信息”“交易信息”等敏感信息的行为予以惩处于法有据。
限 时 特 惠: 本站每日持续更新海量各大内部创业教程,一年会员只需98元,全站资源免费下载 点击查看详情
站 长 微 信: muyang-0410
