【司法 202514036】非法获取型侵犯公民个人信息罪的认定
文 / 周永敏;郑新月
【裁判要旨】侵犯公民个人信息罪通过前置法与刑法相衔接强化了对个人信息的保护,兼顾法益侵害与技术时代风险预防之需求,对非法获取行为的入罪标准应采取严格解释与分类规制,以实现对个体权利与公共秩序的双重维护。公民个人信息的认定需以可识别性为核心标准,即信息能单独或结合其他内容识别特定自然人身份或活动情况;应对非法获取之“非法”进行体系解释,以违反国家规定为实质要件;对于实务中的难点:已公开信息能否成为非法获取行为的对象,需分别对合法公开与非法公开进行分析;对情节严重的审查应符合罪刑法定的要求,防止扩大解释。
□案号 一审:(2024) 浙 0881 刑初 392 号 二审:(2025) 浙 08 刑终 27 号
【案情】
公诉机关:浙江省江山市人民检察院。
被告人:陈某某、李某某、贾某某。
2024 年 2 月左右,被告人陈某某在境外聊天软件“飞机”(Telegram)群聊里查看公民个人信息。为非法获利,陈某某与上家 (身份不详) 商定合作出售公民个人信息,陈某某分得获利的七成。后陈某某收受上家邮寄的 2 个 U 盘 (内含公民个人信息),并将“飞机”软件群聊里的公民个人信息下载到笔记本电脑上,整合后发给上家生成云盘链接,再将载有公民个人信息的云盘链接挂到“长安不夜城”暗网平台上出售。经勘查,陈某某的笔记本电脑上有国外数据 9.1 亿条左右和国内公民数据 3500 万条左右,涉案的银色 U 盘(2T) 有数据 3680 万条,银色 U 盘 (64G) 有数据 1.15 亿条。经去重后统计,其中包含姓名、身份证号码、手机号码的国内公民个人信息的数据共 30353339 条。
2024 年 2 月,被告人李某某在“飞机”软件群聊里查看、下载公民个人信息并存储在电脑上。经勘查,李某某的电脑上有国外数据 5528.9 万条左右和国内公民数据 4250.2 万条左右。经去重后统计,其中包含姓名、身份证号码、手机号码的国内公民个人信息的数据共 1349874 条。
2024 年 4 月,被告人贾某某帮陈某某管理“长安不夜城”暗网平台账号,经陈某某指示,贾某某负责已出售公民个人信息的投诉回复。其间,陈某某的上家向贾某某提供“飞机”软件账号,贾某某在“飞机”软件群聊里查看、下载公民个人信息并存储在笔记本电脑上。经勘查,贾某某的笔记本电脑上有国外数据 2.45 亿条左右和国内公民数据 42.8 万条左右。经去重后统计,其中包含姓名、身份证号码、手机号码的国内公民个人信息的数据共 369645 条。
【审判】
浙江省江山市人民法院经审理认为,被告人陈某某、李某某、贾某某违反国家有关规定,非法获取公民个人信息,情节特别严重,其行为均已构成侵犯公民个人信息罪。公诉机关的指控成立。陈某某、李某某、贾某某归案后如实供述自己的罪行,系坦白,可从轻处罚。陈某某、李某某、贾某某在有期徒刑刑罚执行完毕以后,5 年内再犯应当判处有期徒刑以上刑罚之罪,属累犯,应从重处罚。综合本案被告人的犯罪事实、性质、情节、对社会的危害程度,判决如下:一、被告人陈某某犯侵犯公民个人信息罪,判处有期徒刑 3 年 6 个月,并处罚金 3.6 万元。二、被告人李某某犯侵犯公民个人信息罪,判处有期徒刑 3 年 4 个月,并处罚金 3.4 万元。三、被告人贾某某犯侵犯公民个人信息罪,判处有期徒刑 3 年 2 个月,并处罚金 3.2 万元。四、随案移送的作案工具:手机 4 部、笔记本电脑 2 台、电脑主机 1 台、U 盘 2 个予以没收。
一审宣判后,被告人陈某某、李某某、贾某某均提出上诉,称其获取的公民个人信息已被他人非法公开,且其获取信息后并没有改变原来的处理方式、处理目的进行利用、出售或提供,故没有违反国家有关规定,不属于非法获取公民个人信息,不构成侵犯公民个人信息罪。陈某某、李某某、贾某某的辩护人对原判定性无异议,均提出了原判量刑过重的辩护意见。
浙江省衢州市中级人民法院二审认为,上诉人陈某某、李某某、贾某某违反国家有关规定,非法获取公民个人信息,情节特别严重,其行为均已构成侵犯公民个人信息罪。陈某某、李某某、贾某某均系累犯,应当从重处罚;3 人归案后如实供述自己罪行,可从轻处罚。原判决认定事实和适用法律正确,量刑适当。审判程序合法。据此裁定驳回上诉人陈某某、李某某、贾某某的上诉,维持原判。
【评析】
本案的主要争议问题是被告人陈某某、李某某、贾某某获取已被非法公开的公民个人信息是否属于非法获取公民个人信息,以及非法获取型侵犯公民个人信息罪如何认定。对上述问题,刑事理论与司法实务中均存在不同意见。笔者结合本案,对相关问题分析如下:
一、个人信息的边界划定
作为数字时代发展的产物,个人信息的概念经历了由无到有,由不成文到成文的变化,从网络安全法第七十六条规定,到最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《办理信息案件解释》) 第 1 条规定,再到个人信息保护法第四条规定,前置法所规定的“个人信息”之内容似乎一直在变化,导致刑法第二百五十三条之一“公民个人信息”的判断标准难以统一,经常成为控辩双方争议焦点之一。
厘清公民个人信息的范围是认定侵犯公民个人信息罪的必要前提,但一味要求明晰其内容在数字经济快速发展的大背景下只会是缘木求鱼,在原则上进行明确更为合理。学界对公民个人信息边界划定主要包括以下四种要求:1. 能够用来识别特定公民的个人信息,而且此信息如果被他人恶意利用或非法利用会损害或威胁特定公民的生活安宁;2. 在社会生活中有保护价值且特定公民不愿被他人收集并转让的个人信息;3. 个人隐私信息;4. 与其他信息结合可以识别特定公民的关联信息 [1]。
可以看出,有无可识别性是判断个人信息的基础标准,是公民个人信息的“核心特征”[2],《办理信息案件解释》第 1 条规定明示了司法解释采用的是定义概括 + 不完全列举的方式,利于实务判断公民个人信息是否具有可识别性。
值得注意的是,笔者认为,刑法保护的公民个人信息一定符合前置法中对公民个人信息的规定,但前置法中规定的公民个人信息在个案中并不必然会是本罪构罪对象,其间侵犯公民个人信息罪的构成是违反前置法的充分不必要条件。这种判断一方面符合数字经济的发展,另一方面强调了刑法的最后防线地位与谦抑性原则。
学界和实务中存在认为非法获取行为危害性低,不应构罪的声音,最高法院发布的第 194 号指导性案例 -- 熊某某等侵犯公民个人信息案在裁判理由中提到非法获取公民个人信息的危害性:“非法获取的公民个人信息如属于公民隐私类信息或泄露后可能会产生极其不良后果的信息,不仅严重侵害公民个人信息安全和合法权益,也为网络赌博、电信网络诈骗等违法犯罪活动提供了帮助,严重扰乱了社会公共秩序,具有极大的社会危害性”[3]。大数据时代下,公民个人信息具有数据性、流动性,随着获取手段的高效、隐蔽发展,个人信息获取者和个人信息所有人之间的地位差与信息差更为严重,这其中呈现着越来越复杂的利益关系,当用前置法无法控制之时,刑法的惩治与预防具有相当的必要性。
刑法第二百五十三条之一第三款规定,“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。”与前两款规定不同,非法获取型侵犯公民个人信息犯罪不需以“违反国家有关规定”为前提,有学者认为这一规定的实质是在提示违法阻却事由 [4]。
实务中,除传统的公民个人信息外,在最高法院第 195 号指导性案例中,被告人罗某某、瞿某某通过获取淘宝、京东等 APP 服务提供者专门发给特定手机号码的验证码进行软件用户“拉新”活动并获利的行为同样被认定构成侵犯公民个人信息罪,其裁判认为:“数字、字母等单独或者其组合构成的验证码具有独特性、隐秘性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于刑法规定的公民个人信息”。
笔者认为,在此提示注意违法阻却事由的目的有二:一是保障法令行为与正当业务行为的正常运行,二是提示审查是否存在被害人同意,如行为人自愿提供、同意他人使用自己个人信息的,应排除构成本罪,当然,此行为仅限于行为人获取公民个人信息,如行为人超出公民同意范围使用、提供公民个人信息,则构成犯罪 [5]。
在本案中,被告人陈某某、李某某、贾某某获取的公民个人信息内容包含姓名、身份证号码、手机号码,属于能够用来识别特定公民的个人信息,而且此信息如果被他人恶意利用或非法利用会损害或威胁特定公民的生活安宁,是侵犯公民个人信息罪的保护对象。
在实务中,多数非法获取型侵犯公民个人信息犯罪的争议焦点还在于:第一,第三款并无“违反国家有关规定”之前提要求,如何判断行为人的获取行为非法?第二,已公开的公民个人信息能否作为非法获取行为的对象?就现存问题,笔者有如下观点。
(一) 应以“违反国家规定”定义“非法”
“非法获取”之“非法”的定义在学界一直存在不同观点,有学者认为,“非法”顾名思义指违反国家规定 [6],有学者认为指未经公民个人同意 [7]。笔者认为将“非法”定义为违反国家规定更加适宜,并持如下理由:一方面,刑法第二百五十三条之一第三款运用“窃取或者以其他方法非法获取公民个人信息”的表达方式,是将“窃取”与“其他方法”并列为“非法获取”的行为方式,虽无法判断“其他方式”这一兜底性名词,但从“窃取”这一具有违法性意味的行为方式中,可以推测立法者的立法目的更偏向于“违反国家规定”而非“未经公民个人同意”。另外,前两款皆为犯罪行为限定了“违反国家有关规定”的前提,联系该条款的整体意思,结合该罪构成行为条件间的关系,在体系解释的框架下将“非法”解释为违反国家规定更加合理,更利于法秩序的统一。另一方面,“未经公民个人同意”本就被包含在国家规定的要求之中,个人信息保护法中多个条款强调了“须取得个人同意”,例如第十三条规定的个人信息处理者可以处理个人信息的情况中,“取得个人的同意”便占首位。由此可见,将“非法”定义为“违反国家规定”更为全面。
(二) 应当分情况判断已公开信息的定位
对于已公开的公民个人信息能否作为非法获取行为的对象这一问题,其暗含之意是:能否就公民个人信息已经公开的状态,推定信息权利人自愿提供、同意他人使用自己的个人信息。笔者认为应以公开形式为标准,将已公开的公民个人信息区分判断。
首先,合法公开的公民个人信息指因法令行为或正当业务行为公开的,或公民自愿提供、同意他人公开并在公民同意范围内公开的公民个人信息。实务中,后者会存在公民同意机制存在缺陷的状况,个人信息保护法为其提供了解决办法。该法第十四条第一款规定,“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定”,即应当以充分知情的前提、自愿的心理、明确的同意,判断公民是否构成同意机制。在此情况下,如果信息收集者在公民同意范围内对信息进行获取,使用个人信息没有超过公民最初预期的公开范围,则不构成犯罪。
其次,非合法公开的个人信息主要指限制公开即信息主体或平台明确禁止他人爬取有关个人信息,以及公民非自愿提供、未同意公开的个人信息。第一,对于限制公开的个人信息,行为人的非法获取行为不仅可能违背了个人信息所有人的信息公开范围与目的,而且违反了信息主体或平台的相关规定。第二,公民非自愿提供、未同意公开的具有识别性的个人信息当然属于非法获取公民个人信息的犯罪对象范围。根据信息内容,未提供、未同意公开信息背后的法益可能是自然人的隐私权、财产权,甚至人身安全,非法获取此类信息无疑会对自然人的合法权益构成威胁,且违背了公序良俗原则,存在违法性,具有个人与集体的双重法益侵害性。
值得注意的是,笔者认为,当被非法公开的个人信息处于完全公开状态,根据社会一般人的认知无法预见其属于非法公开信息的,即行为人确实存在违法性认识错误的,并无非难行为人的必要 [8]。
总而言之,非法获取个人信息入罪的法理基础之本质是刑法对数字时代新型权利侵害模式的回应,通过保护个人信息安全,最终实现对个体人格尊严、人身与财产权利的周延保护。其犯罪性既源于对前置法秩序的违反,更在于行为本身对信息社会基本信任基础的破坏性。大数据时代个人信息具有可复制性、传播不可逆性,传统损害结果发生后救济已不足应对,刑法将获取行为本身犯罪化符合了数字社会的发展。
在本案中,被告人陈某某、李某某、贾某某在未获得法律或相关当事人授权的情况下,通过境外“飞机”软件对数量庞大的公民个人信息进行收集、储存,违反了个人信息保护法的规定。且本案公民个人信息来源属于社会一般人的认知可以预见的非法公开来源。既然公民个人信息的公开状态已是非法,那么对已公开个人信息的各种处理行为便难以阻却违法性 [9]。3 名被告人的供述皆可以佐证其对售卖公民个人信息可以盈利知情,且均拥有能登录“长安不夜城”暗网平台的账号,存在向他人出售或提供数据,导致个人信息扩散的现实危险性。处理非法公开的个人信息原则上具有法益侵害性,在案证人证言可以证明 3 名被告人的行为已经使公民个人信息从低风险场景流入高风险场景,是改变个人信息原来的处理方式、处理目的体现,违反了国家有关规定,属于非法获取行为。
三、情节严重的认定标准
部分学者认为,对情节严重的判断应坚持“数额 + 情节”的解释模式,在全面考虑影响侵犯公民个人信息行为的危害程度的因素的同时,部分因素的规定要模糊化处理。笔者认为这种观点虽有多重考量之意,却与现行司法解释相悖,《办理信息案件解释》第 5 条、第 6 条使用不同的款分别对“情节”和“数额”进行了要求,这表明司法解释在认定侵犯公民个人信息是否情节严重时,持“情节”和“数额”并列而非并且、择一的关系。
在实务中,个人信息数额是大多侵犯公民个人信息案被认定为情节严重的依据,对于个人信息数额的计数方式,如若采取逐一查证法,因涉案公民个人信息动辄百万上亿条,故此方式难以实现;如若采取批量认定法,因此方式使个人信息真实性与敏感性难以查证,故无法灵活面对办案需求。笔者认为,《办理信息案件解释》第 11 条第 3 款规定,“对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外”,实际上为实务提供了一个折中且可行的办法,在对涉案信息的数量进行了要求的同时,对信息质量也进行了能力之内的评判。有学者认为此条规定仅仅将举证责任倒置,是把举证责任附加于辩方 [10],加之辩方对数据检验查重的技术能力有限,导致了出罪的难上加难。笔者认为这种顾虑一定程度上已被刑事诉讼法第五十二条“审判人员、检察人员、侦查人员必须依照法定程序,收集能够证实犯罪嫌疑人、被告人有罪或者无罪、犯罪情节轻重的各种证据”及其他有关规定消解。但随着公民个人信息的复杂化与侵犯公民个人信息的手段隐蔽化,确实亟须打破技术的“利维坦”,促进证据审查更加全面化。
具体到本案,被告人陈某某、李某某、贾某某非法获取的公民个人信息数量在经过去重、剔除不完整信息与随机抽样查证后,分别为 30353339 条、1349874 条、369645 条,在明确构成《办理信息案件解释》第 5 条第 1 款中情节严重的入罪标准基础上,数量达到《办理信息案件解释》第 5 条第 2 款第 (3) 项之规定,应认定“情节特别严重”。
【注释】
作者单位:浙江省衢州市中级人民法院
[1] 赵秉志:“公民个人信息刑法保护问题研究”,载《华东政法大学学报》2014 年第 1 期。
[2] 韩啸、张光顺:“侵犯公民个人信息罪犯罪对象研究”,载《河北法学》2021 年第 10 期。
[3]参见 (2021) 赣 0981 刑初 376 号。
[4] 张明楷:《刑法学》(第六版),法律出版社 2021 年版,第 1201 页。
[5]参见 (2021) 湘 0212 刑初 149 号。
[6] 刘宪权:“擅自处理公开的个人信息行为的刑法认定”,载《中国应用法学》2022 年第 5 期。
[7] 于润芝:“非法获取个人数据犯罪的法益分析及处罚限定”,载《大连理工大学学报 (社会科学版)》2023 年第 2 期。
[8] 杨楠:“已公开个人信息刑法规制的分层建构”,载《法律与政治》2024 年第 5 期。
[9] 童云峰:“个人信息保护法与侵犯公民个人信息罪的衔接机制”,载《中外法学》2024 年第 2 期。
[10] 张旭:“侵犯公民个人信息犯罪刑事治理研究”,载《吉林大学社会科学学报》2022 年第 6 期。