个人信息商业使用的刑法风险及规制

吴宸敏

华南理工大学，广东 广州 510006

一、个人信息商业使用行为概述

近日，广东省公安厅组织开展的“净网7 号”专案收网行动打掉了特大侵犯公民信息团伙，抓获犯罪嫌疑人130 余人，查获公民个人信息2亿余条。该涉案公司为猎头搜网站，被立案调查的原因是该网站邀请用户上传、共享其所在公司的员工简历，这些数量巨大的个人信息涉及各行各业，涉嫌非法获取、提供公民个人信息犯罪。当前，商业主体侵犯公民个人信息的情形越来越严重，许多网络服务需要公民提供个人信息，而且目前存在大量网络爬虫信息抓取技术可以冲破网络保护屏障直接抓取到被保存在信息库的信息，商业主体使用公民个人信息的情况大量存在，让许多用户的公民个人信息暴露在高风险之中。商业主体因为经营领域不同对公民个人信息商业使用的行为方式也不同，总体而言，公民个人信息商业使用的方式分为数据处理、市场营销和个人信息交易。数据处理是指商业主体处出于最大化开发信息使用价值的需求，采用相应的统计学方法对海量的个人信息进行整理分析，以此提高个人信息的价值。市场营销是指商业主体通过向特定或不特定的公众进行宣传、推销商品和服务，包括直销和目标营销。这两种商业使用行为更多会给公众带来诸如针对性广告投放等困扰，也可能存在其他不可预知的危害，而刑事风险最大的是第三种商业使用方式即个人信息交易。

个人信息交易是指商业主体将个人信息作为交易对象准予第三方进行使用、交换和转让等商业目的的行为。例如，经营新浪微博的A 公司和经营脉脉软件的B 技术科技公司签订的《开发者协议》约定脉脉软件可以接入新浪微博开放平台获取微博平台上包括用户名称、性别、头像、邮箱等相关用户信息，即脉脉软件被运行使用新浪微博所收集的个人信息及相关访问数据。个人信息交易的双方都因日常业务行为都会接触到庞大个人数据，个人信息交易的商业行为背后隐含着极大的侵犯公民个人信息风险，甚至造成由个人信息犯罪引起的诈骗罪、敲诈勒索罪等。与普通的侵犯公民个人信息犯罪相比，由商业行为引起的公民个人信息犯罪涉及数量和范围更大，与个人隐私、个人资金等相关状况联系更紧密。

二、公民个人信息商业使用的司法解释分析

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）在《网络安全法》的基础上，进一步明确了公民个人信息具有身份识别信息和活动情况信息。商业使用中的公民个人信息大多涉及了姓名、通讯方式、住址、账号密码、财产状况等，与用户自身的结合识别性特别高，即使商业主体在商业使用时采取去识别化技术对个人信息的敏感部分采取删除或模糊处理，但是为达到犯罪目的的行为人依然可以通过网络技术将信息数据与自然人身份进行排列匹配，还原出特定自然人的具体个人信息，从而造成社会危害。因此，为防止个人信息犯罪的发生，运用刑法规制个人信息商业使用行为很有必要，我国《刑法》第253 条之一规定了侵犯公民个人信息罪，同时《解释》进一步细化了公民个人信息商业使用行为的认定问题。本罪的主体是一般主体，其中又对将在履行职责或者提供服务过程中获得的公民个人信息、出售或者提供给他人的行为主体进行从重处罚。客观方面主要表现为违法国家规定非法提供、出售公民个人信息，以及非法获取公民个人信息情节严重的行为；主观方面是故意，过失不构成本罪；客体是包括公民的人身权利、民主权利和社会管理秩序在内的双重法益。前文所述的个人信息商业使用行为在实践中都有可能产生刑事风险，具体到本文，公民个人信息商业使用行为的认定问题主要为以下方面：

（一）商业主体“为合法经目的”的认定

《解释》第六条规定为合法经营活动购买、收受其他公民个人信息具有规定的情节严重行为的情形，包括利用非法购买、收受的公民个人信息获利5 万元以上的；曾因侵犯公民个人信息受过刑事处罚或者2 年内受过行政处罚，又非法购买、收受公民个人信息的和其他情节严重的情形。与一般的非法购买、收受公民个人信息行为相比，该特殊标准是从秉持刑法谦抑性的角度出发设立的，目的是为了更好地规制在商业环境下为合法经营活动而购买、收受个人信息的行为，考虑到此类行为社会危害性不大，即使构成犯罪，通常也不需要升档量刑，故只规定了“情节严重”的具体情形。在认定商业主体主观上属“为合法经营”时，要综合以下三点：其一，结合全案证据认定涉案商业主体经营的商业活动是否属于合法经营活动，一般来说，合法经营活动与非法行为相对应，结合《刑法》规定的非法经营罪可以得知，合法经营活动可以总结为公司的资质是经过国家有关主管部门批准的、开展的业务是合法合规且有经营许可证或批准文件的，经营活动遵循市场规律、不扰乱市场秩序，其中又要重点审查商业主体的经营业务行为是否违法，而不是将目光聚焦在经营者在经营过程中是否有一般违法情况。其二，适用该条解释的侵犯公民个人信息行为仅限购买和收受，后续诸如出售、牟利等行为不适用本条款，将购买、收受的公民个人信息非法出售或者提供的，定罪量刑标准适用《解释》第五条的规定，如果为了合法经营活动交换公民个人信息的，由于在获取信息的同时造成了信息扩散，定罪量刑标准亦适用第五条。其三，适用该条解释的公民个人信息类型排除行踪轨迹信息、通讯内容、征信信息、财产信息以及住宿信息、通讯记录、健康生理信息、交易信息等，因为这些信息关系到公民个人隐私、人身安全和财产安全等敏感信息，能够引发极其严重的社会危害性，已然超出商业使用目的的范围。其四，在认定商业使用行为时，要把握好“非法购买、收受的公民个人信息”与“合法经营并获利”的对应关系，即非法购买、收受的公民个人信息确系被用于合法经营活动，且这部分合法经营活动部分获利达到了五万元以上。实际案例中，单次购买、收受的个人信息数量是非常庞大的，但事实上不是所有的信息都能被用于商业目的上，其必然会从中甄选出必要的有用信息，因此不能简单地依靠购买、收受的数量定罪量刑，要综合全案证据并按实际用于合法经营活动的数量进行认定。

（二）商业主体间交换公民个人信息的认定

在商业领域中，相近业务间的商业主体有着相同的客户需求，如果商业主体之间通过签订合同的形式交换客户信息，事实上也侵犯了信息主体的权益。最高院解读《解释》中说明，第六条规定的为合法经营活动目的而收受个人信息的行为不包括交换个人信息行为，因为交换行为会让信息在交换的过程中造成信息扩散，是一种造成个人信息二次泄露的行为，其目的已超过为合法经营目的的范畴，属于非法获取、出售和提供公民个人信息。与《解释》第六条规定的不同的是，为合法经营活动目的购买、收受公民个人信息行为侧重于获取，而交换行为不仅有获取行为还包含了传播个人信息的行为，这种交换行为虽然发生在商业主体之间，但不可否认的是个人信息已进行了多次的转移，随着接触的商业主体数量的增加，个人信息泄露等风险也不断增加。商业环境中若因为商业目的交换客户的个人信息，造成严重后果的，以《解释》第五条进行规制。该行为的定性关键在于获取行为，交换行为应事先得到信息主体的同意才可进行，不得违背个人信息主体的意愿，否则各商业主体间相互提供和持有的行为实际上已经违反了法律规定。杨某等侵犯公民个人信息案（案号：［2018］苏01 刑终650 号）的辩护人辩称涉案两公司间存在业务合作关系，被告人获取客户信息也属于正常的业务往来，即非购买、也非窃取，不属于“非法获取”行为。而江宁区检察院在起诉书中指控，某汽车服务公司从某保险销售公司处获取的69 万余条公民个人信息属非法获取公民个人信息行为，通过收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于“以其他方法非法获取公民个人信息”，这种交换行为实质上已经制造了危险。

（三）为经营活动而非法收集、使用公民个人信息的认定

商业主体因为和客户形成较为紧密的关系，因此在履行职责和提供服务过程中具有收集客户个人信息的便利，某视频APP 就因擅自违规收集和使用用户信息数据而被起诉，法院裁定其应立即停止侵犯公民个人信息的行为。《网络安全法》第41 条规定：“网络运营收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用规则，明示收集、使用信息的目的、方式和范围，并经收集者同意。”收集用户个人信息前，商业主体必须以明示的方式告知个人信息主体，告知内容包括收集方式、收集范围以及使用目的，不得以拒绝提供服务等方式强制用户同意。当前，《刑法》未将“非法使用所掌握的公民个人信息行为”入罪，但是单纯的非法使用行为不能单独入罪并不意味着商业主体可以随意使用公民个人信息，一旦造成了情节严重的后果，依然可以根据后果进行入罪。有人认为商业主体已经获得了用户的同意而进行收集个人信息，因此其可以随意使用其所合法收集的个人信息，事实上，使用行为的侵害性质并不会因为信息主体是否同意而有所改变。当今，公民经常以通过同意商业主体使用个人信息的方式自愿向外界公开自己的信息以换取网络服务，与此同时，公民披露自己的个人信息也就意味着一定程度上接受了个人信息被侵害的风险，有观点认为这种行为属于刑法上的危险接受。然而，公民作为被害人虽然选择接受危险，但接受的仅仅是同意商业主体可以收集和使用其个人信息，并没有接受所带来的诸如被绑架、被诈骗等危险结果的发生，就像被害人明知行为人醉酒驾车而选择搭乘，后发生了被害人受伤甚至死亡的结果，这种结果并不是被害人同意的，其仅仅同意的是醉酒驾驶的行为。这也就表明，商业主体不可以为所欲为地制造危险结果或者形成危险状态，目前个人信息的法益保护逐渐向“超个人法益”发展，从公民社会和国家的角度出发，刑法保护公民个人信息不但是保护公民的个人信息权，还保护着社会公共秩序。由于侵犯公民个人信息行为越来越成为电话诈骗、网络诈骗、绑架和非法拘禁等犯罪的前端行为，不仅危害到了公民的个人隐私、金融安全，还危害到部分国家机关和金融、电信和教育等行业，因此对于公民个人信息在商业环境中被滥用的情形，可以根据相关行为造成的危害社会程度进行入罪。

（四）“获利”数额的认定无需扣除犯罪成本

个人信息商业使用行为是典型的获利行为，且获利数额又是定罪量刑的重要依据，因此还存在一个争议问题就是侵犯公民个人信息罪中行为人的获利数额是否需要扣除犯罪成本。本文认为不论是侵犯公民个人信息罪还是其他刑事犯罪，违法所得的认定都不应扣除成本。尤其是侵犯公民个人信息犯罪，无论是获取、收受行为，还是后续的贩卖等行为，都是法律所禁止从事的活动，即使是成本也是构成犯罪获利的一部分，而且入罪的根据是“违法所得”数额，因此在认定违法所得数额的时候不应当扣除成本。最高院公布的示范案例杜某某侵犯公民个人信息案（案号：［2017］鲁1311刑初332 号），法院认定的违法所得是被告人出售其非法获取的公民个人信息所获得的数额，其中没有扣除其花费的成本，可以看出司法实践中倾向于行为人的获利数额不需要扣除犯罪成本。

三、总结

大数据网络时代的发展使得商业环境中使用公民个人信息的情形越来越普遍和频繁，同时公民个人信息很可能被技术抓取或被商业主体进行变卖和交换，因此侵犯公民个人信息罪的设立和《解释》的发布更细化指引规制个人信息商业使用的行为。在认定侵犯公民个人信息罪时，首先要结合全案证据认定商业主体的经营行为是否属于合法经营活动，为合法经营目的购买、收受非敏感个人信息外的行为以《解释》第六条进行规制，否则属于为非法目的侵犯公民个人信息。其次，多个商业主体间交换个人信息会造成信息的二次扩散，使得信息的泄露范围扩大，造成的侵犯程度更加严重，因此应认定为非法获取、出售或提供公民个人信息。再者，商业主体未经信息主体允许不得收集或使用用户个人信息，即使商业主体获得了信息主体的同意或授权，也不得超出为合法经营目的进行滥用，将以与造成后果的行为相关的罪名进行规制。最后，本罪的入罪有具体数额规定，在认定获利数额的时候，由于侵犯公民个人信息行为所具有的非法性，不应该扣除违法成本。