笔者注意到,最近一段时间,侵犯公民个人信息案件呈现爆发式增长,可以说全国各地都在开展打击侵犯公民个人信息的专线行动,2016年全国办理侵犯公民个人信息案件是1886件,但是2017年3月-5月,才三个月,江苏就办理侵犯公民个人信息罪案件189件。可见,对侵犯公民个人信息案件打击之迅猛。
侵犯公民个人信息罪,其实是出售、非法提供公民个人信息罪和非法获取公民个人信息罪整合而来。2009年刑法修正案七,在二百五十三条:私自开拆、隐匿、毁弃邮件、电报罪后面增加了出售、非法提供公民个人信息罪和非法获取公民个人信息罪,作为第253条之一。2015年刑法修正案九,对这两个罪名又进行整合为侵犯公民个人信息罪。
一、何为公民个人信息
既然是侵犯公民个人信息罪,那么何为公民个人信息?这其实是在司法实践中比较难认定的一个方面。在今年6月1日的生效《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对此的定义:公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。概括就是指个人身份识别信息和反应个人活动情况的信息。在同日实施的《网络安全法》第七十六条规定:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。概括就是指个人身份识别信息。另外,2013年两高一部《关于依法惩处侵害公民个人信息犯罪活动的通知》规定,公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。概括就是指个人身份识别信息和个人隐私信息。三者结合起来,公民个人信息就是指个人身份识别信息、个人活动信息和个人隐私信息。因为规定在不同的法律之中,这三者之间其实也是有重合的。
通过上述规定,也可以看出来,公民个人信息其实是一个广义的概念,并不是我们传统狭义的概念和理解,特别是随着互联网的发展,一些网络认证信息也被纳入个人信息,因为现在网络很多都实行了实名制,一般一个IP地址对应特定的电脑终端,而特定的电脑终端往往又对应特定的人。笔者在处理一个案件过程中,就曾对此有深刻感触,就是因为一个邮件,通过邮件找到对方的IP地址,然后根据IP地址直接定位到特定的小区和房间。
在司法实践中,对于公民个人信息也是有区分的,分为敏感信息和一般信息,对于涉及公民个人隐私或者说比较敏感的个人信息,比如财产信息、行踪信息,所采取的认定标准是从宽的。在《解释》第五条也规定,对于行踪、通信、财产等敏感信息,五十条就构罪,而对于其他一般信息可能要五千条才构罪。
虽然公民的个人信息概念宽泛,但必定要有一个边界,那么哪些信息又不属于公民个人信息的范围之内呢。故名思议,公民个人信息必须是自然人的信息,而不能是法人信息,曾经就有一个朋友向我咨询,说他们公司是一个小型的网络公司,公司就三个人,他们就是从网上搜集其他公司的一些公开在网上的信息,然后拿这些信息进行出售,向我咨询他的行为是不是涉嫌犯罪。我就问他:你搜集的这些公司资料,是不是仅仅就是公司的一些信息资料,是否涉及到公司的人,比如法定代表人、员工。他说:那肯定有的。我就告诉他:你的这种行为就涉嫌犯罪了,如果仅仅是公司的名称,公司的公开的座机号码这些信息,那么是不涉嫌侵犯公民个人信息罪的,但是如果涉及到公司的人,就涉嫌侵犯了这些特定个人的信息,那么也就涉嫌侵犯公民个人信息罪了。另外,在大数据时代,因为原则上任何的信息只要与足够多的其它信息相结合,都能够锁定特定的人,这时候何为公民个人信息就必须要考虑个人信息与其他信息的结合程度,如果一条信息需要高度依赖其他信息,才能识别特定的人,一般不宜认定为公民个人信息,反之,如果一条信息,只需结合其他较少的信息就能够识别特定的人,那么就可以认定为公民个人信息。笔者在此的描述看似简单,但实际在实践中,某个特定的信息信息能否被识别或认定为公民个人信息还是比较难的,这是因为识别或认定的主体、技术、手段等有关,同样的信息,也许有些人能够据此识别特定的人,有些人就无法识别。
因此,即使法律对何为公民个人信息有明确的定义,但是也有很多争议。也正是因为有争议,才会有辩点,也才有律师发挥的空间和当事人辩解的余地。
二、在办理案件过程中,常见的几种侵犯公民个人信息的情形
笔者将侵犯公民个人信息的情形分为两个部分,一个是源头泄露侵犯公民个人信息的案件;一个是二级市场交易侵犯公民个人信息的案件。源头泄露侵犯公民个人信息的案件又分为两个部分,一个是黑客泄露;一个是单位内部人员泄露。
1、黑客泄露,我们此处所说的黑客,也包括一些对电脑精通的人。这些人通过侵入公司、企业、政府部门等掌握大量公民个人信息的内部网站,来获取这些公司、企业、政府部门内部存储的公民个人信息,然后予以出售获利。一般这种行为作案手段技术含量都很高,所泄露的个人信息也是惊人的,动辄有几百万、几千万甚至上亿条信息。
2、掌握大量个人信息的相关企业、单位、平台的内部人员。这些人将本单位的一些公民个人信息非法提供给他人,予以获利。这里需要注意的是,就是这些单位的工作人员很有可能入罪的门槛会相对较低,也就是他们获得的个人信息如果是在履行职责或提供服务过程中所获得的,数量只需达到一般主体追诉标准的一半。但是上面所讲的都是一些传统的部门,随着互联网技术的发展、特别是在大数据时代,一些新兴行业比如互联网服务商、淘宝卖家、快递行业、网游、电商等等,这些行业也掌握着大量的公民个人信息,因为这些行业的从业人员素质参差不齐,行业往往也缺少统一的管理规范和标准,对从业人员的限制也比较松散,这就使得这些人成为当前侵犯公民个人信息犯罪的主要犯罪主体。我们办理案件过程中,所接触到的也大部分是这方面的案件。
3、通过QQ群,微信群进行信息交换。我把此定义为二级市场信息交换,现在网上这种互换群、共享群可以说是雨后春笋,纷纷出现。每个群都有一大批人利用这个平台进行信息的互换、发布买卖信息等等。如此,也诞生了一批专门做信息对接,中间转手赚差价的专业“皮条客”。同时,也有另外一批人,仅仅在平台上进行信息交流、互换,在办理案件过程中,我们经常能够听到当事人向我们咨询,我没有买卖信息啊,也没有谋利,就是通过这个群进行一些信息互换,或者说信息共享,我这样的行为也犯法吗,当遇到这样的情况时,我都会明确的告诉他们,你的行为已经涉嫌侵犯公民个人信息罪。其实这样信息互换的行为涉嫌犯罪还好理解,但是我们在办案中,还遇到这样的一种情况,就是集团公司或者母公司与子公司之间信息互换的问题,这种行为是否也涉嫌犯罪呢,本人认为,这样的行为其实也是不可取的,因为虽然是母子公司,但是却是两个独立的法人,甚至有很多集团公司,各个子公司的业务其实是不具有任何关联性的,有的是搞房地产的,有的是搞金融的,有的是搞餐饮的等等,那么如果母公司把一些公民个人信息都提供给下属子公司使用,其实跟一般的侵犯公民个人信息的行为没有任何区别。而且信息条数也应当累计计算。
三、罪与非罪的界限问题
在这里,我主要探讨为合法经营购买信息的问题。一开始也介绍了,侵犯公民个人信息罪其实是出售、非法提供公民个人信息罪和非法获取公民个人信息罪合并而来,而非法购买信息其实就是非法获取公民个人信息罪的情形之一。在案件办理过程中,我们能够碰到很多因为非法购买公民个人信息而被立案、拘留、逮捕的案件,也有很多人咨询我,说我就仅仅从他人哪里买了一些信息使用,也没有谋利,怎么就定我罪了呢。
《解释》第六条规定了为合法经营而非法购买、收受信息的情况,如果获利超过5万,两年内受过行政处罚,属于情节严重,构成犯罪。很多人认为第六条是一个入罪条款,但是我更认为第六条是出罪条款,何为合法经营,先简单介绍一起本人办理的案件。某房地产开发商购买了5万余条客户的信息,用于楼盘的推销,那么这种行为是否构成犯罪呢?而且购买的信息并非敏感信息,就是一般的姓名、电话信息。司法实践中,对何为合法经营也是有分歧的,我们每个人肯定都接到过推销电话,最常见的就是问我们是否买房子、贷款等,像我们律师还有可能会接到推广平台让我们做广告的推销电话,那么这些行为是否属于合法经营,在这里就有必要把合法经营、违法经营、经营中的一般违法行为区分开来。合法经营和违法经营应该以公司开展的业务是否合法来着眼,而不应认为只要在经营中有违规行为就属于违法经营。像上述的购买信息用于推销房屋,就属于经营中的一般违法行为,而非违法经营。解决了合法经营的问题,还有一个问题就是非法购买、收受,此处其实已经非常明确的说明了两种非法获得手段,就是收受和购买,如果是其他手段获得,比如窃取、通过侵入计算机来获取,即使是为了合法经营而获取个人信息,也应当认定为构成犯罪。因此,本人认为如果采用非法购买、收受手段,获得公民个人信息仅仅用于一些合法的推销,而且这些信息既不属于敏感信息,获利也没有超过5万的情况下,本着刑罚的谦抑性原则,这种行为不应当别认定为犯罪。
四、共同犯罪问题
对于共犯,本人仅仅谈一下最重要也是我们最常见的一种行为,就是利用获取的公民个人信息进行诈骗。大家应该还记得山东临沂徐玉玉被诈骗案吗,徐玉玉在考上大学后,犯罪嫌疑人陈文辉等人以发放助学金的名义骗走徐玉玉9900元学费,导致徐玉玉死亡。该案中,犯罪嫌疑人陈文辉所使用的信息,就是从他人手中购得,然后再冒充教育局工作人员以发放助学金的名义对高考录取生实施电话诈骗。最终,本案就是以侵犯公民个人信息罪和诈骗罪数罪并罚。
其实对于此问题是否是数罪并罚还是只构成一罪,也是有争议的,有人认为通过购买的方式非法获取信息只是手段行为,进行诈骗是目的行为,手段行为与目的行为触犯不同罪名,成立牵连犯,应当从一重处罚。还有一种行为认为侵犯公民个人信息行为并不通常用于实施犯罪,行为人实施诈骗也不通常使用侵犯公民个人信息的手段,因此,手段和目的并不具有密切的关联性。在2013年两高一部《关于依法惩处侵害公民个人信息犯罪活动的通知》中也明确规定:对使用非法获取公民个人信息实施其他犯罪行为,构成数罪的,应当依法予以并罚。这其实就是明确上述情形的数罪并罚问题。