“购买型”侵犯公民个人信息罪司法认定的争议问题及解决
本文获得
杭州市律师论坛刑事分论坛一等奖
并入围杭州市律师论坛
作者:
王晓辉
浙江金道律师事务所 管理合伙人
刑事法律服务团队 负责人
袁昕炜
浙江金道律师事务所 律师
2015年11月1日,《刑法修正案(九)》(以下简称刑九)对刑法第二百五十三条之一规定的侵犯公民个人信息犯罪作出修改,将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,扩大了犯罪主体,提高了法定刑配置,加大了对公民个人信息的刑事保护力度。刑九出台后,公安机关针对侵犯公民个人信息的违法犯罪行为开展专项打击,本文所探讨的“购买型”侵犯公民个人信息就是在专项打击中非常普遍、涉案人员众多、社会反响较大的一类侵犯公民个人信息犯罪。2017年6月1日两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“司法解释”)出台后,“购买型”侵犯公民个人信息犯罪能否适用合法经营条款成为关注焦点,其中关于信息类型划分标准和合法经营的理解,直接关系到罪与非罪;信息数量的认定以及刑九之前的购买行为如何认定则影响量刑,司法实践中争议较大,处理结果也迥异。
因此,本文主要围绕“购买型”公民个人信息的范围、司法认定中存在的争议及原因、争议的解决思路展开论述,并进一步提出建议。
一、“购买型”侵犯公民个人信息犯罪的范围界定
本文所探讨的“购买型”侵犯公民个人信息是指以购买、收受的方式非法获取公民个人信息用于合法商业用途的行为。司法实践中,对于购买行为是否属于非法获取的方式曾有争议,《刑法修正案(八)》(以下简称刑八)和刑九规定,“窃取或者以其他方法非法获取公民个人信息”,因此也有意见认为,“其他方法”应当限于与“窃取”危害性相当的方式,不宜将“购买”包括在内,事实上,在刑九出台之前,购买个人信息犯罪的查处较为鲜见。但2017年3月15日通过的《民法总则》第一百一十一条明确规定,“不得非法买卖、提供或者公开他人个人信息”。而《司法解释》第四条也明确规定,“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的以其他方法非法获取公民个人信息。”以上法律和司法解释的出台,都明确了购买属于“以其他方法非法获取公民个人信息”,但为了不产生歧义,本文还要对范围进行限缩:
(一)从手段上限缩,本文主要指购买和收受行为,除此之外的其他行为不包括在内
从实践来看,非法获取公民个人信息的方式主要表现为窃取、购买、收受、交换和侵入计算机信息系统以及采用其他技术手段。除了购买方式外,窃取和侵入计算机信息系统因社会危害性较大,且可能涉嫌其他犯罪,不属于本文的讨论范围;而交换方式因既获取了信息,又提供了信息,涉嫌提供和获取两类犯罪行为,《司法解释》明确将此类方式排除于合法经营条款的适用范围,故也不属于本文的讨论范围;至于收受,司法实践中确实存在碍于朋友情面,以赠送方式获得公民个人信息的情况,但因其与购买方式危害性基本相同,只是有无支付费用的区别,故可以列入本文的讨论范围。
(二)从用途上限缩,本文所指的购买型侵犯公民个人信息,其非法获取的信息只能用于合法的商业用途
从实践来看,购买、收受公民个人信息从事广告推销等活动的情形较为普遍,本文也主要是围绕此类情形展开论述。如果购买、收受公民个人信息用于出售或者违法犯罪活动,则因涉嫌两类犯罪行为或者其他犯罪,排除于本文的讨论范围。
(三)从条款上限缩,本文主要围绕《司法解释》第五条、第六条以及第十一条展开
《司法解释》制定了十三个条款,本文主要围绕第五条侵犯公民个人信息罪的定罪量刑标准、第六条合法经营条款的适用以及第十一条涉案公民个人信息的数量计算规则进行讨论,公民个人信息的范围以及违反国家规定的认定虽然实践中也有争议,但在购买型公民个人信息犯罪中争议较小,故不在本文讨论范围之内。
因此,本文将“购买型”侵犯公民个人信息定义为以购买、收受的方式非法获取公民个人信息并用于合法商业用途的行为。此类行为之所以值得探讨,是因为司法实践中较为普遍,一个“卖家”往往能牵扯出上百甚至上千个“买家”,打击面很大,而由于《司法解释》合法经营条款的存在,使得此类案件存在罪与非罪的争议,如果处理不当,会影响案件的法律效果和社会效果。
二、“购买型”侵犯公民个人信息犯罪
在司法认定中的争议梳理
司法实践中,“购买型”侵犯公民个人信息犯罪主要存在以下争议,各地司法机关的处理方式不一:
(一)刑九之前购买公民个人信息的法律适用问题
本罪名的发展历经刑八、刑九及2017年6月司法解释的出台,罪名从非法获取公民个人信息罪演变为侵犯公民个人信息罪。因此,在司法实践中,有的买家购买信息的时间在刑九出台之前(2015年11月1日之前),有的购买时间横跨刑八和刑九,而《司法解释》的出台更是制定了非常严格的数量标准,因此对于此类问题如何进行法律适用,存在争议。对于横跨刑八和刑九的购买行为,司法实践中认定为继续犯,并以侵犯公民个人信息罪追究其刑事责任的争议不大,参考《关于对跨越修订刑法施行日期的继续犯罪、连续犯罪以及其他同种数罪应如何具体适用刑法问题的批复》中第二点明确:“对于开始于1997年9月30日以前,连续到1997年10月1日以后的连续犯罪,或者在1997年10月1日前后分别实施的同种类数罪,其中罪名、构成要件、情节以及法定刑均没有变化的,应当适用修订刑法,一并进行追诉,但在修订刑法比原刑法所规定的构成要件和情节较为严格,或者法定刑较重的,在提起公诉时应当提出酌情从轻处理意见。”据此,对于跨越刑八、刑九的购买行为,应当以侵犯公民个人信息罪追究其刑事责任,但量刑时应当从轻。
但对于只在刑九之前购买公民个人信息的行为如何处理,则争议较大。有的司法机关以刑八的非法获取公民个人信息罪追究刑事责任;有的以侵犯公民个人信息犯罪追究刑事责任,量刑时按照刑八的原则把握在三年以下(如周琦侵犯公民个人信息案【(2017)浙0104刑初694号】);也有的司法机关做撤案或者不起诉处理。还有一点,就是《司法解释》能否作为非法获取公民个人信息犯罪的量刑参考,或者能否也适用合法经营条款呢?实践中也有争议。
(二)信息类型的划分问题
《司法解释》第五条,将公民个人信息的类型进行划分,分为行踪轨迹信息、财产信息和住宿信息等敏感信息和其他一般公民个人信息,并设置了50条、500条和5000条的入罪标准。《司法解释》第六条也明确规定要求购买、收受的是一般公民个人信息,因此信息类型的区分对于法律适用影响极大。司法实践中,“购买型”公民个人信息中争议最大的信息类型就是业主信息(住址)和车主信息,有的认为,业主信息和车主信息涉及到房产和车辆,属于财产信息;有的则认为,如果业主信息具体到小区、楼层和门牌号,就可以认定为财产信息,同理如果车主信息具体到车牌等信息,也可以认定为财产信息;还有的认为,业主信息(住址)与住宿信息相同,属于其他可能影响人身、财产安全的公民个人信息;当然也有人回避了上述争议,直接将其作为一般公民个人信息处理。
司法实践中,由于不同的司法工作人员对这一问题的认识和理解不同,导致出现完全不同的处理,争议很大。
(三)信息数量的认定问题
“购买型”公民个人信息犯罪,数量认定直接关系量刑,这里面有两个问题。
一是真实性鉴定问题,《司法解释》第十一条,“对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。”有的认为,要求办案机关电话联系公民核实信息真实性的做法并不妥当,应当直接认定;也有的认为,这条可以理解为举证责任倒置,如果辩方举不出有力的证据就可以拒绝做真实性鉴定;还有的则认为,敏感的公民个人信息应当做真实性鉴定,一般公民个人信息无须做真实性鉴定;
二是敏感信息的数量认定问题,如果是购买的公民个人信息中含有一般信息和敏感信息,以什么数量来认定?实践中也有争议。
(四)合法经营条款的理解问题
“购买型”公民个人信息犯罪,最重要的就是能否适用合法经营条款,以达到出罪的目的。《司法解释》第六条规定,“为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的情节严重:
(一)利用非法购买、收受的公民个人信息获利五万元以上的;
(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;
(三)其他情节严重的情形。
实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。”这一条表明,如果是为了合法经营,购买、收受一般公民个人信息,非法获利5万元以下或者没有同罪前科劣迹的,是不构成犯罪的。实践中,除了信息类型之外,最关键的就是如何理解“合法经营”的概念问题。有的认为,购买公民个人信息属于违反《消费者权益保护法》的行为,不属于合法经营的范畴;也有的认为,如果企业因违法经营受过处分的(如逃税、不正当竞争等),就不能认定为合法经营;还有的认为,要将合法经营和经营中的一般违法行为区分开来,重点考察其购买个人信息的主观目的和实际用途,而非整个企业本身。总之,合法经营这个概念在司法实践中争议极大。
三、“购买型”侵犯公民个人信息犯罪
存在诸多争议的原因解析
为什么“购买型”侵犯公民个人信息犯罪的司法认定中,存在诸多争议呢?笔者通过与办案人员的沟通,查阅相关材料,总结出以下原因:
(一)刑事理念的不同,导致同一问题的处理不同
任何司法问题的争议,归根到底是理念的不同。“购买型”公民个人信息犯罪往往涉案人数众多,且按照现有的数量标准,量刑都在三年以上。有的司法人员认为,如果轻易适用合法经营条款,有放纵犯罪之嫌,起不到打击侵犯公民个人信息犯罪的作用。因此,在对于信息类型划分和合法经营的理解上,就会做出不利于被告人的解释。如周琦侵犯公民个人信息案【(2017)浙0104刑初694号】的判决书中就认定,“住址属于住宿信息的范畴,都是可能影响公民人身、财产安全的信息。”这种法律解释,明显反映了司法人员追诉犯罪的司法理念。又如真实性鉴定,有的司法人员就以各种理由拒绝做上述鉴定。相反,有的司法人员认为,此类犯罪社会危害性有限,打击面又太大,处理应当慎重,其在办理此类案件中,就倾向于做有利于被告人的解释,甚至主动做真实性鉴定,以取得很好的处理效果。
(二)信息类型的划分标准不科学,导致实践中适用争议较大
信息类型的划分一直是《司法解释》出台后关注的焦点,笔者查阅了相关资料,发现关于个人敏感信息和一般信息的划分出现在国家质监总局颁布的《信息安全技术、个人信息安全规范》(GB/T 35327-2017)中,其中个人信息划分列表如下:
此表应当算是比较全面、科学的个人信息分类体系,与《司法解释》对比,可以发现,征信信息、交易信息本身应当属于财产信息内容,却在《司法解释》中与财产信息并列;行踪轨迹和住宿信息都属于个人位置信息,却在《司法解释》中被区分开来;而住址属于个人基本资料,但因为司法解释没有如此明确的信息类型划分表而无法准确界定,导致司法认定中对于信息类型的解释随意性较大。
(三)法律概念不明晰,导致合法经营的理解不同
合法经营首先不是一个明确的法律概念,笔者找不出对这个词汇清晰而准确的概念表述。从广义上理解,这里的法既包括刑法也包括民商法或者行政法规,也就是说任何违反社会主义市场经济秩序的行为,都有可能被认为是违法的;但从狭义上来讲,这个词出现在一个刑法罪名的司法解释中,它应当是一个刑法概念,既企业购买信息的用途并非用于违法犯罪,就应该属于合法的范畴。但是很遗憾,司法解释并未对合法经营的概念进行周延性的解释,导致司法实践中的理解不同。
四、“购买型”侵犯公民个人信息犯罪
争议问题之解决思路
针对司法实践中争议较大的几个问题,笔者从“刑法谦抑性”的基本理念出发,根据“从旧兼从轻”、“主客观相一致”、“有利于被告人”等刑法原则提出解决思路,具体如下:
(一)关于刑九出台之前购买信息的法律适用问题
笔者认为,按照从旧兼从轻的原则处理上述问题。首先需要明确的是,刑九之前购买信息的行为,应当以非法获取公民个人信息罪追究当事人的刑事责任,并在三年以下量刑。如果符合《司法解释》合法经营条款的,也可以适用该条款达到出罪的目的。而针对有人提出的由于刑八缺乏相关规定,可以参考《司法解释》关于类型划分和数量标准的意见,笔者认为不可取。因为参考《司法解释》中的规定,无疑是加重了当事人的刑事责任,且严重超出了当事人的预期,不符合从旧兼从轻的基本原则。
基于此,笔者认为,在对刑九之前的购买行为追究刑事责任时,应尽量从宽,情节轻微的尽量做不起诉处理。
(二)关于信息类型的划分问题
笔者认为,信息类型的划分,由于本身划分标准并不科学,司法解释又没有附上详细的信息划分表格,司法实践中应当搁置争议,而从主客观相一致的原则去处理此类问题。就比如住址和车辆信息,不可否认其确实暴露了公民的个人财产或者行踪轨迹,具有一定的危害性,对此应无疑义。但实践中还是要综合考虑案件的具体情况,根据主客观相一致的原则进行处理,正如《司法解释》的起草者喻海松所说,“相关信息可以不认定为《解释》所称的财产信息:主要考虑如下
(1)鉴于敏感信息的案件入罪门槛低,应当采用严格适用的立场,以控制打击面;
(2)犯罪应当是主客观相统一的产物,坚持主客观相统一原则是刑法适用的基本要求,行为人获取的信息确实较为具体,但行为人的主观目的就是为了推销车辆保险,并非用于实施针对人身或者财产的侵害行为,故适用一般公民个人信息的入罪标准更为妥当。”
(三)关于信息数量的认定问题
笔者认为,司法解释规定的被告人举证,并不免除司法机关的举证责任,且被告人往往不具备核实信息真伪的取证能力,对于证据的要求不宜过于苛刻。实践中,应当根据有利于被告人的基本原则,建议:
(1)对于可以适用合法经营条款的,可以不用进行真实性鉴定;
(2)对于敏感信息的认定,由于入罪门槛低,如果被告人提出关于信息不真实的合理意见,就应当做真实性鉴定。
关于涉及敏感信息和一般信息的案件,也应按照有利于被告人的原则,仅以敏感信息的数量来认定涉案的数量,而不是整体认定。
(四)关于合法经营条款的理解问题
笔者认为,司法解释中的“合法经营”是相对于“违法犯罪”而言的刑法概念,要将其与“经营中的一般违法行为”区分开来。案件审查时,要重点关注其购买个人信息的目的和实际用途,只要其购买个人信息的目的是为了合法的商业用途,而不是为了电话诈骗、敲诈勒索或者转卖牟利,就应当认定为合法经营。至于企业在经营中存在的一般违法行为,如不正常竞争、偷税漏税等则明显不属于本条应当考察的范畴。最高院在《司法解释》的解读中,也明确提到合法经营条款就是针对,“购买、收受公民个人信息从事广告推销等活动情形。”
综上,笔者提出上述争议的解决思路,无论是刑九之前的购买行为如何处理、信息类型的区分还是信息数量的认定,以及合法经营的理解,都是从刑法谦抑性的角度出发,体现了刑法宽严相济的刑事政策。
五、处理“购买型”侵犯公民个人信息
犯罪的完善建议
笔者认为,由于“购买型”侵犯公民个人信息犯罪涉案人数多,社会影响大,但本身社会危害性又相对较小,对其认定应当慎重。据此,笔者在之前已经从刑法谦抑性的角度提出了处理相关争议的思路,但要真正做到宽严相济,公平公正的社会效果,恐怕还需要立法和司法机关的共同努力。笔者建议:
(一)构建公民个人信息的法律保护体系
目前我国公民个人信息保护的突出问题是“刑法先行”,通过刑法积极适用防止侵犯公民个人信息违法犯罪持续蔓延,是不得已而为之的举措,但并非上策。刑法只能治标,不能治本。当下,很多存在的法律争议也与之前缺乏相关的法律法规有关,应当尽快推进公民个人信息保护法的制定,构建公民个人信息民事、行政、刑事的全方位保护体系,推进侵犯公民个人信息违法—犯罪的综合处理机制。
(二)设置行政违法处理的前置程序
由于购买信息用于广告推销的情形实践中太过普遍,笔者建议设置行政违法的前置处理程序,就如逃税罪,初次发现只要补缴税款,就可以不追究刑事责任。其实《司法解释》关于合法经营条款的适用条件中也有类似的表达,因此不如直接设置一个行政前置程序,对于刚发现的此类行为,可以适用行政违法的处罚程序,大大提高此类行为的入罪门槛。
(三)明确信息类型的划分标准以及合法经营的内涵和外延
法律制定并不能马上解决当下面临的争议,针对《司法解释》划分标准不科学以及合法经营的理解不一的问题,笔者建议,对于《司法解释》中所提到的信息类型,进行详细的列表,对于信息类型特别是敏感信息的类型要求精确,不要兜底条款或者直接明确兜底条款的适用条件。
针对合法经营条款的适用,可以以典型案例或者最高院答复的形式下发以供参考,进一步明确合法经营的含义以及适用条件。
六、结语
耶林说过,“刑法如两刃之剑,用之不得其当,则国家与个人两受其害。”对于“购买型”侵犯公民个人信息犯罪的处理,司法人员应当坚持刑法谦抑性的理念,既要保证公民个人信息保护落到实处、见到实效;也要体现宽严相济的刑事政策,确保处理的法律效果和社会效果。