文◎郝家英
非法获取公民个人信息罪的理解与适用以京城最大出售、非法提供、非法获取公民个人信息案为视角
文◎郝家英*
[基本案情]2009年3月直至2009年12月案发,被告人刘某波、陈某钢、程某郊,张某英、刘某亮、王某等人在互联网上或者在现实生活中,通过QQ聊天、发送电子邮件、拨打电话、发送短信等方式,以个人或公司名义分别或者伙同从联通公司、电信公司、移动公司工作人员张某、谢某冲、等人处购买或获得手机、座机通话清单,手机、座机机主信息、户籍信息、汽车档案、手机定位信息等多种类的公民个人信息。
张某、谢某冲等中国移动、联通、电信公司工作人员与上述四家社会调查机构及社会无业人员,相互串通,利用电信单位服务平台,违反国家规定及单位保密规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息进行买卖或者非法提供给他人。刘某波、程某郊、张某英、刘某亮等人从中国移动、联通、电信等公司工作人员处非法获取公民个人信息,或出售、非法提供给他人、或相互进行倒卖,或用于自用,从中谋取非法利益。
对《刑法》253条之一中“公民个人信息”的含义,存在“公民个人信息是指能够识别公民个人身份的信息”与“公民个人信息是指与公民个人相关的一切信息的总和”的两种理解。笔者同意后一种观点。
对《刑法》253条之一第二款中“上述信息”的理解,有三种观点。第一种观点认为,“上述信息”指示的是上文提到的信息,即“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员……在履行职责或者提供服务过程中获得的公民个人信息”;第二种观点认为,“上述信息”是指“履行职责或者提供服务过程中获得的公民个人信息”;第三种观点认为,上述信息是指任何符合条件的“公民个人信息”。笔者同意第三种观点。
对《刑法》253条之一中“情节严重”的标准把握上,一种观点认为,以100人作为量的起点,获利额以非法获利5000元为犯罪起点;第二种观点认为,一年内出售、非法提供、非法获取公民个人信息三条以上或者因出售、非法获取公民个人信息获利人民币500元至2000元以上的,即为情节严重。笔者同意第二种观点。
《刑法修正案(七)》对出售、非法提供、非法获取公民个人信息的行为规定为犯罪,但对于什么是公民个人信息并没有进行定义。而作为本条规定之犯罪的犯罪对象——公民个人信息定义的缺失,给罪与非罪、罪轻罪重的司法认定带来障碍。如在本案中,被告人谢某冲在担任北京京驰无限通信技术有限公司运维部经理期间,利用中国移动通信集团北京有限公司授予其所在公司进行手机定位业务的权限,先后多次为本案被告人刘某亮、程某郊、张某英等人提供的90余个手机号码进行定位,以为其提供被定位手机使用人的活动轨迹,非法获利人民币达9万元。如果对谢某冲提供手机定位服务的行为能否定罪存有疑问,那么从谢某冲处获取手机定位信息的张某英、刘某亮、程某郊等人是否构罪、罪轻罪重则也难以确定。
一般认为,公民个人信息是指能够识别公民个人身份的信息,主要包括:姓名、年龄、性别、身份证号码、职业、职务、学历、民族情况、婚姻状况、专业资格及特长、工作经历、家庭背景及住址、电话号码、信用卡号码、教育、医疗、经济活动等的记录,指纹、网上登陆帐号和密码等。[1]这种只强调身份性与可识别性的公民个人信息定义,似乎难以将公民个人活动轨迹情况纳入到公民个人信息的范畴之内。但公民个人活动轨迹情况的泄漏,相较于上述所列信息而言,对公民生命、健康、财产安全的威胁可能更大,因为想要获取上述信息的行为人往往早有预谋,行为对象明确,行为目标确定,一旦获知被定位人的所在位置,就会使被定位人处于急迫的危险当中。因此,为充分有效的保护公民个人权益,在公民个人信息范围的把握上应当将公民个人不愿公开或不愿让他人知悉的与公共利益无关的个人隐私完全包含于其中,即应当从“公民个人信息是指与公民个人相关的一切信息的总和”的广义上理解公民个人信息的含义。[2]但对公民个人信息的保护并非没有限度,因为并不是任何个人信息公布以后都会对公民权益造成损害,且信息的扩散对于不同公民的意义是不同的,对于某些人来讲对其个人信息的泄漏可能是其所希望的(如当下许多公民在网络上通过各种手段将自己炒作成名人等)。[3]因此,建议司法解释对个人信息进行定义时注重把握以下原则:主观上,本人不希望扩散该信息;客观上,该信息具有保护价值,一旦扩散,将可能对公民权利造成损害。[4]据此,可对公民个人信息作如下定义:公民个人信息,是指公民本人不愿公开、扩散,如果公开、扩散可能为他人利用从而会造成严重干扰个人生活、社会秩序后果的、反映公民个人年龄、性别、学历、婚姻状况、活动情况等身份、隐私情况的信息总和。
《刑法》第253条之一第二款规定的非法获取公民个人信息罪中的“上述信息”显然指前款规定中的信息,但由于对前款中“信息”前面的定语修饰范围理解不同,从而导致对“上述信息”有三种理解。第一种观点认为,“上述信息”指示的是上文提到的信息,即“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员……在履行职责或者提供服务过程中获得的公民个人信息”,而不可能为泛指“公民个人信息”,否则没有必要用“上述信息”几个字,而可以直接用“公民个人信息”。[6]第二种观点认为,“上述信息”是指“履行职责或者提供服务过程中获得的公民个人信息”,作此理解才符合立法用语省略表达以求简洁的本意,也是贯彻有利于行为人方案进行的解释;[7]第三种观点认为,上述信息是指任何符合条件的“公民个人信息”,理由在于:应当从保护个人权益的立法目的出发,如果对于实践中大量的非利用公权力获取他人信息的行为不加以规制,将难以有效保护公民权益,而且,实践中司法机关也是这样把握的。[8]
对于“上述信息”的理解,如果条仅从文字规定的角度来讲,所列三种解释都说的通。但如若按照上述前两种观点进行解释的话,则本案中刘某波、陈某钢等人所获取的大量公民个人信息中的相当一部分不能作为指控其犯非法获取公民个人信息罪的事实,因为从上述被告人处起获的信息本身无法证明信息来源,而相应的可能泄漏公民个人信息的通信等部门又不出具信息出处为本部门的证明,最终将导致不能证明被告人所获信息为“国家机关或者金融、电信等单位的工作人员在履行职责或者提供服务过程中获得的公民个人信息”或“单位的工作人员在履行职责或者提供服务过程中获得的公民个人信息”。而理解的不同将造成被告人罪与非罪、罪轻罪重的相异处理结果,因此,需要司法解释对“上述信息”的理解作出统一的适用规定。
上述前两种观点对“上述信息”的理解都包含了“单位的工作人员在履行职责或者提供服务过程中获得的公民个人信息”,这种理解不当的缩小了非法获取公民个人信息罪的处罚范围。如某调查公司为提高自己的知名度而计划完成对某个社会热点问题的调查报告,于是对广大公众进行相关的调研问卷调查,其承诺一定严格保守所获取公民个人信息,但供职于该调查公司的某位员工因利益驱使、人情诱惑等原因而将公司获取的上述公民个人信息出售、非法提供给了他人,此种情况如依照前两种解释,非法获取该公司持有的公民个人信息的行为人不构成非法获取公民个人信息罪,因为调查公司对上述公民个人信息的获取并不是发生于履行职责或者提供服务过程当中。但此种行为人从调查公司获取公民个人信息与从相关单位在履行职责或者提供服务过程中获取公民个人信息的行为对被调查人个人权利的侵害程度没有区别。同时,上述理解还会造成体系不协调,有违公平原则。我们仍以上述调查公司为例,调查公司将在调研问卷中收集到的公民个人信息存储于公司的电脑里,如果某位电脑操作高手侵入存有公民个人信息的电脑并成功获得上述个人信息,按照《刑法》第285条第2款之规定,侵入计算机系统并获得公民个人信息的行为人构成非法获取计算机信息系统数据罪。但如果该行为人不是通过侵入计算机而是通过窃取、购买等其他方式从调查公司员工那里获得存储在调查公司电脑里的信息的话,按照前文的第一、二种观点,则行为人不构成犯罪。但两种获取公民个人信息的行为只是手段不同,危害结果无异,但却存在着罪与非罪的本质差异,显然有违公平原则。再者,按照第三种观点进行解释不违背“存疑时有利于被告的原则”。“‘存疑时有利于被告’的原则并不适用于对法律疑问之澄清。当各种解释法方法得出不同的解释结论时,最终起决定作用的是目的论解释,而不是有利于被告。当出于法益保护的目的,需要对《刑法》条文作出必要的扩大解释时,即使不利于被告人,也适用这种解释结论。”[9]《刑法》设定251条之一,就是为了有力规制侵害公民个人信息的行为,达到保护公民个人合法权益的目的。因此,我们在对“上述信息”进行解释时应藉此目的,虽然解释的结论可能会不利于行为人,但我们必须坚持。
因此,我们建议最高司法机关对“上述信息”解释为“任何符合条件的公民个人信息”。只有作此解释才能有效遏制非法获取公民个人信息行为,有力打击非法获取公民个人信息犯罪,使非法获取公民个人信息行为人消除所存的“只要不能证明信息来源就不能定罪处罚”的思想。
《刑法》第253条之一规定,出售、非法提供、非法获取公民个人信息的行为,只有达到“情节严重”的才构成犯罪。说明并非所有侵犯公民个人信息权利的行为都构成犯罪。只有行为的违法性与有责性达到值得科处刑罚的程度才以犯罪论处,这是《刑法》最后保障法之地位及《刑法》谦抑之本性的必然要求。本案中涉及信息犯罪的各被告人人获利金额从几百元到数万元、涉案信息条数从几条到数百条、提供、获取信息次数从几次到数十次不等,涉案个人信息遭到泄露的权利人个数差距幅度同样巨大,对“情节严重”如何把握,成为摆在司法办案人员面前的一大难题。
来自立法机关的专家认为,出售、非法提供公民个人信息罪中,“‘情节严重’,一般是指出售公民个人信息获利较大,出售或者非法提供多人信息、多次出售或者非法提供公民个人信息,以及公民个人信息被非法提供、出售给他人后,给公民造成了经济上的损失,或者严重影响到公民个人的正常生活,或者被用于进行违法犯罪活动等情形。”[11]此种笼统性的解读方式不失全面,但有失精确,就本案而言,这样的宏观解读对各行为人“情节严重”之确定难以起到切实的指导作用。有一种观点提出,出售或者以其他方法非法提供或者窃取公民个人信息的人次达到的数目规模,以原国家经贸委、国家计委等共同研究制订的《中小企业标准暂行规定》中对中型企业要求的最低人数作为侵犯公民个人信息犯罪“情节严重”中的量的基础依据,即以100人作为量的起点,获利额以非法获利5000元为犯罪起点。[12]对于这种观点,笔者认为不妥。中型企业的人数要求与遭侵犯个人信息人数要求不具有可比性,前者为中型企业的规模标准,后者为侵犯个人信息的入罪门槛,前者为向相关部门提供判断基准的行政法规规定,后者为对严重侵犯公民个人信息行为进行定罪处罚的《刑法》律文,就侵犯公民个人信息而言,除了均对人的数量有所要求之外,二者之间的联系无从谈起,前者对后者难以达到向其提供借鉴、参考价值的程度。即使撇开可比程度的分析,采纳100人的“情节严重”的量的标准,这对于互联网上倒卖个人信息数量动辄以千、万计、没有具体侵害目标的行为可能会起到一定规制作用,但对于像本案中行为人针对多个具体公民个体目标进行信息提供、获取的行为就会因数量的“未达标”而使许多行为人逍遥法外,难以实现本罪保护权利人个人信息权益的立法初衷。非法获利5000元的犯罪起点标准同样没有合理的数据来源基础。
在目前侵犯公民个人信息案件多发的背景下,最高司法机关应当出具明确性高、可操作性强的司法解释,对“情节严重”中主观判断较少、能够量化的方面最大程度地作出具体规定,以保证执法机关适法的统一、准确。对信息犯罪中“情节严重”的考量,信息数量、侵害人次、获利金额、造成后果等因素均为重要的参考依据。我们可以从《刑法》的相关近似犯罪规定中寻找“情节严重”的参考标准。《刑法》第253条第二款规定了犯私自开拆、隐匿、毁弃邮件、电报罪而窃取财物的,依照盗窃罪定罪从重处罚,说明两罪之间在《刑法》意义的评价上具有联系性,而出售、非法提供公民个人信息罪、非法获取公民个人信息罪作为第253条之一规定于第253条之后,为保持《刑法》体系的协调、统一,对侵犯个人信息犯罪“情节严重”的标准可以参照盗窃罪进行确定。即出售、非法提供、非法获取三人次以上公民个人信息、出售、非法提供公民个人信息三条以上或者获利金额在人民币500元至2000元以上的,属于“情节严重”。[13]同时,以“三”为多也契合我国《刑法》对“多”的通常定义标准,如最高人民法院司法解释规定抢劫罪中“多次抢劫”是指抢劫3次以上,[14]最高人民法院、最高人民检察院对组织、强迫卖淫罪中的“多人”、“多次”的“多”解释为“3”以上的数(含本数)。[15]对于因利用信息犯罪主体提供、获取的信息进行故意犯罪而造成被害人“轻伤以上”后果的,属于“情节严重”,以保证其与《刑法》中故意伤害罪规定的有效衔接。综上分析,建议最高司法机关对《刑法》第253条之一规定中的“情节严重”作出如下解释:
实施出售、非法提供公民个人信息的行为,具有下列情形之一的,属于“情节严重”:
(一)一年内出售、非法提供公民个人信息三条以上的,出售、非法提供三人以上公民个人信息的,或者因出售公民个人信息获利人民币500元至2000元以上的;
(二)行为人出售、非法提供的公民个人信息被他人用于实施故意犯罪造成被害人轻伤以上或者过失犯罪造成被害人重伤、死亡结果的;
(三)因他人利用行为人出售、非法提供的公民个人信息实施犯罪,可能对利用信息人判处三年以上有期徒刑的;
(四)因利用行为人出售、非法提供的公民个人信息,使被害人遭受重大的精神、财产损害,或者给被害人生活带来严重影响的;
(五)致使公民个人信息流向境外的;
(六)其他情节严重的情形。
实施非法获取公民个人信息的行为,具有下列情形之一的,属于“情节严重”:
(一)一年内非法获取公民个人信息三条以上的,非法获取三人以上公民个人信息的,或者因非法获取公民个人信息获利人民币500元至2000元以上的;
(二)行为人非法获取的公民个人信息被他人用于实施故意犯罪造成被害人轻伤以上或者过失犯罪造成被害人重伤、死亡结果的;
(三)因他人利用行为人非法获取的公民个人信息实施犯罪,可能对利用信息人判处三年以上有期徒刑的;
(四)因利用行为人非法获取的公民个人信息,使被害人遭受重大的精神、财产损害,或者给被害人生活带来严重影响的;
(五)致使公民个人信息流向境外的;
(六)其他情节严重的情形。
北京市第二中级人民法院以出售、非法提供公民个人信息罪、非法获取公民个人信息罪对刘某波、谢某冲、王某等二十一人分别判处有期徒刑十个月到二年六个月。部分被告人提出上诉,北京市高级人民法院作出“驳回上诉、维持原判”的终审裁定。
注释:
[1]参见周海洋:《出售、非法提供公民个人信息罪和非法获取公民个人信息罪的理解与适用》,载《中国审判》2010年第1期。
[2]参见饶明党:《侵犯公民个人信息犯罪的司法认定》,载《河南警察学院学报》2011年第1期。
[3]参见张磊:《司法实践中侵犯公民个人信息犯罪的疑难问题及其对策》,载《当代法学》2011年第1期。
[4]同上。
[5]因出售、非法提供公民个人信息罪中有“将本单位在履行职责或者提供服务过程中获得的公民个人信息”的明确规定,虽从保护本罪侵害法益的角度来讲,此规定可能会造成对“将本单位在非履行职责或者提供服务过程中获得的公民个人信息进行出售、非法提供”之情形无法以本罪进行处罚的结果,但为维护法律的权威与稳定,在出售、非法提供公民个人信息罪犯罪对象的把握上应当严格遵守《刑法》第二百五十三条之一的规定,即将其犯罪对象限定为“本单位在履行职责或者提供服务过程中获得的公民个人信息”。
[6]参见孙平、刘靖晟:《刑法修正案(七)关于侵犯个人信息罪的理解与适用问题探讨》,载赵秉志、陈忠林、齐文远主编:《新中国刑法60年巡礼——下卷:聚焦刑法修正案(七)》,中国人民公安大学出版社2009年版,第1268页。
[7]参见门美子:《刑法修正案(七)第7条的理解与适用初探》,载赵秉志、陈忠林、齐文远主编:《新中国刑法》60年巡礼——下卷:聚焦《刑法修正案(七)》,中国人民公安大学出版社2009年版,第1375-1376页。
[8]同注[3]。
[9]张明楷:《“存疑时有利于被告”原则的适用界限》,载《吉林大学社会科学学报》,2002年第1期。
[10]本案中虽然部分涉案人员成立了公司,但并未认定任一公司构成单位犯罪并提起公诉。鉴于单位犯罪在本案中不具有典型意义,本文仅就自然人侵犯个人信息犯罪“情节严重”的情形进行分析论证。
[11]黄太云:《刑法修正案(七)解读》,载《人民检察》2009年第6期。
[12]参见贾凌、常秀娇:《解读侵犯公民个人信息罪》,载赵秉志、陈忠林、齐文远主编:《新中国刑法60年巡礼——下卷:聚焦刑法修正案(七)》,中国人民公安大学出版社2009年版,第1333-1334页。
[13]虽然《刑法修正案(八)》规定盗窃罪构成中的“入户盗窃”、“扒窃”等情形不再需要次数要求,从而使最高人民法院《关于审理盗窃案件具体应用法律若干问题的解释》第四条即“对于1年内入户盗窃或者在公共场所扒窃3次以上的,应当认定为‘多次盗窃’,以盗窃罪定罪处罚。”的解释失去《刑法》条文基础,但司法实践中对“多次盗窃”的把握仍然遵循其三次的标准。
[14]最高人民法院《关于审理抢劫案件具体应用法律若干问题的解释》关于“多次抢劫”的认定中规定,《刑法》第二百六十三条第(四)项中的“多次抢劫”是指抢劫3次以上。
[15]最高人民法院、最高人民检察院《关于执行〈全国人民代表大会常务委员会关于严禁卖淫嫖娼的决定〉的若干问题的解答》,……“多人”、“多次”的“多”,是指“3”以上的数(含本数)。
*北京市人民检察院第二分院[100078]