——兼评王某等非法获取公民个人信息罪一案
【内容提要】信息社会的不断发展,催生了有关侵犯公民个人信息的犯罪。但是,立法中对于非法获取公民个人信息罪的规定比较原则和概括。是否构成该罪,要准确界定“非法获取”、“公民个人信息”、“情节严重”的内涵和标准,并满足犯罪构成的四个要件。以业务推广为目的而获取公民个人信息的定罪量刑,应该更加慎重,以免出现滥用刑罚的情况,不利于我国的法治进步和刑事处罚的惩罚教育功能。
【关键词】非法获取 公民个人信息 情节严重
信息技术的发展和计算机网络的普及,使得公民个人信息被盗用、滥用的现象日趋严重。基于公民个人信息背后承载着越来越多的价值利益,侵犯公民个人信息的行为也就导致某种合法利益被侵犯。2009年2月28日施行的《刑法修正案(七)》适时增加了出售、非法提供公民个人信息罪和非法获取公民个人信息罪,确认了新增的刑法打击的对象。一方面,学者及司法审判者基本取得一致的意见,即公民个人信息关涉公民个人的隐私安全、人身财产安全乃至家庭安全,将这些信息出售或者非法提供给他人或者非法获取公民个人信息,即便没有产生实际的伤害,但其行为本身已经直接威胁到公民个人信息的安全,更给公民个人的安全带来重大隐患,刑罚对此应该给予打击。另一方面,综观司法实践,对于该罪的适用和处罚,问题层出不穷,相当混乱。仅仅依靠《刑法修正案(七)》中粗糙的一两句法律条文,而没有更加详细的司法解释跟进,审判实践中出现乱象,也是情理之中。
案件回放及评析
(一)案件回放
2014年3月13日,海宁市人民法院公开审理“王某、郑某、曾某、胡某、祝某非法获取公民个人信息罪一案”(以下简称“王某一案”),本人作为胡某的辩护人参加庭审。法院经审理查明,王某等五人在2010年至2013年期间,因做电话推广业务,在不同的时间分别向徐某(另案处理)购买包含个人信息的工商登记信息,达到数万条不等。上述事实有徐某证言、支付宝账户交易记录、电子数据提取笔录、视听资料、户籍证明、抓获经过、情况说明等证据证实。
法院认为,被告人王某等五人以其他方法非法获取公民个人信息,情节严重,其行为已构成非法获取公民个人信息罪。五名被告人分别被判处刑罚,并处罚金。
案件评析
王某一案中,五名互不相识的被告人都是从事网站设计工作,因向同一人购买工商登记信息而共同接受司法审判。对于本案的判决,笔者不敢苟同,法官在审判该案时,没有关注信息是否使用,也没有注意到信息存在虚假,判决结果的轻重完全是依据五位被告人非法获取公民个人信息数量的多少来排列的。庭审之前,法官通知五位被告人带来确定的罚金,庭审倾向化、形式化非常明显。
那么,非法获取公民个人信息最到底该如何定罪量刑呢?如何来把握情节是否严重呢?
二、非法获取公民个人信息罪的“犯罪构成”
《刑法修正案(七)》第七条规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金”、“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚”、“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚”。
从以上规定中,非法获取公民个人信息罪的构成要件包括以下几个方面:
(一)犯罪主体
构成非法获取公民个人信息罪的主体包括单位和个人,其中,“单位”不应仅仅局限于国家机关或者金融、电信、交通、教育、医疗机构这几类,“个人”也不局限于上述几类单位中的个人。也就是说,法条中的“等单位的工作人员”中的“等”字,表示列举未尽,而不是列举煞尾。事实上,进入到信息时代,掌握公民个人信息的主体逐渐呈现复杂化的趋势,如网站(微博、博客等)、网络游戏运营商、中介机构,汽车销售公司,商场超市,人才市场等在提供各种服务的过程中,也会掌握大量的个人信息。所以,不应该限定构成此罪的主体。王某一案中,并没有追究被告人所在单位的刑事责任,笔者觉得不妥,原因在于五位被告人都是在为公司拉业务,为公司做事。购买这些企业信息也是为公司效力,虽不排除为个人获利的目的(员工拉的业务多,提成就多),但主要还是个人所在的公司获利。因此,对于本案,应该追究公司的刑事责任。
(二)主观方面
主观方面必须是故意,过失不构成此罪。这一点并不难理解,获取公民个人信息必须出于某种故意而达到某种非法意图,“窃取或者以其他方法非法获取”不可能是一种过失行为,而是具有针对性。
(三)客体
非法获取公民个人信息罪侵犯了公民的个人信息权。个人信息权是个人对于自有信息的占有、支配和控制,并不受他人侵害的权利。事实上,信息主体并不愿扩散这些信息,一旦扩散,可能对公民权益造成损害。但公民个人同意的扩散行为并不构成此罪,很明显的一个例子,很多法律推广网站上,律师为了推销自己相继注册并提供个人信息,相关网站就发布这些个人信息,网站的行为并不构成犯罪。
客观方面
客观方面表现为,违反国家规定,窃取或者以其他方法获取公民个人信息,情节严重的行为。在这里,“违反国家规定”一般是指违反国家强制性的法律规定,包括法律和行政法规。至于获取方法、公民个人信息及情节严重的界定,没有官方统一的标准。我们认为:刑法处罚的必要性在于该行为具有社会危害性。如果不能准确界定上述概念,对于该罪的适用难免会出现问题。
相关概念的界定
非法获取公民个人信息罪属于“情节犯”—情节严重的,才构成此罪。剖析了非法获取公民个人信息罪的构成要件,发现存在诸多问题没有明确界定,仍然不能准确地来进行司法适用。
(一)如何界定“公民个人信息”?
我国没有任何一部现行法律、法规或者其他规范性文件对“公民个人信息”做出界定。公民个人信息非常广泛,能够识别特定个人的一切信息都可以归结为个人信息的范畴。但在司法实践中我们要确定的是刑法所保护的、侵犯要受到刑法打击的公民个人信息。“侵害公民个人信息犯罪的对象必须是一旦泄露即可能导致公民权利遭受侵害的信息。”[张磊:《司法实践中侵犯公民个人信息犯罪的疑难问题及其对策》,《现代法学》(双月刊),2011年第1期,第72页。]在这里,如何界定,要考虑三种因素:1、信息主体愿不愿意将这些信息公之于众?2、该类信息有没有保护价值,信息扩散会不会对公民权益造成损害或者损害隐患?3、该类信息的公布是不是公共利益的需要?确定了这三点,刑法上所保护的公民个人信息也就可以界定为:信息主体不愿意扩散,扩散后会对信息主体的合法权益造成损害或者损害隐患的无关公共利益的信息。比如说个人征信信息,个人如有不良信息记录,肯定不愿意扩散,但相关机关公布此类信息并不会对其合法权益造成损害,相反还会使当事人吸取教训,纠正自己的错误行为,不属于侵害公民个人信息的行为。
反观王某一案,五名被告人本意要购买的是企业工商登记信息,用于向企业推销网站设计业务。该类信息中不仅包含企业名称、注册地址、注册号、法定代表人名字,还包含了企业法定代表人的个人联系方式,从而有非法获取公民个人信息之嫌。也就是说,从形式上看,该类信息包含了企业法定代表人的个人信息而应当界定为个人信息,但实质上获取该类信息并非针对公民个人隐私。从另一角度来说,五名被告人需要获取的是潜在企业客户的联系方式,也许根本就不知道所购买的工商登记信息中包含企业法定代表人的个人联系方式。因此,王某一案认定为非法获取公民个人信息罪,有待商榷。
(二)如何界定获取方法?
对于获取方法,无论采取何种方式获取公民个人信息,都是一种主动行为。法条中规定:“窃取或者以其他方法”,这是一种明显的列举加概括的立法模式,虽有学者硬是挑出刺[有学者认为“窃取或者以其他方法”的规定违背立法常规。笔者在此不做赘述,参见:叶亚杰:《出售、非法获取、非法提供公民个人信息罪的司法实践认定研究》,《新疆警官高等专科学校学报》,2010年4月第30卷第2期,第39-42页。]来,但这是中国立法特色。对于“窃取”行为,法律和道德上都被禁止,无可挑剔;至于“其他方法”,则给公检法机关留下了很大的自由裁量空间。笔者同样认为,“除窃取之外,通过骗取、利诱、胁迫、抢夺、抢劫、恐吓、非法侵入他人计算机系统等法律明文禁止的手段而获取的,均可视为‘非法获取’。”[同振魁、肖进:《侵犯公民个人信息犯罪若干问题研究》,《云南大学学报法学版》,2011年11月第24卷第6期,第50页。]司法实践中,很多被定罪的非法获取公民个人信息案件的被告人都是通过网络购买手段来获取公民个人信息。诚然,“购买”相较于“窃取”,并不是很恶劣,但需求产生市场,基于商人逐利的本性,很多人经不住诱惑做起了出售公民个人信息的买卖。基于对向型犯罪的法理,出售行为应定罪,购买行为也应认定为犯罪,从而达到法益平衡。
(二)是否考虑信息的真假?
笔者认为,立法中虽未强调信息的真假,但只要认定构成非法获取公民个人信息罪,最起码要确定这些信息属于真实或者推断真实。北京市丰台区人民检察院副检察长常青认为:不需要特别区分真假信息,因为行为人是在非法获取他人信息意图支配之下实施的行为,无论真假,窃取或者购买信息的行为已经完成就可定罪。[参见常青、张莉:《非法获取公民个人信息罪司法适用之解构分析》,《法制与社会》,2012年12月中旬刊,第88页。]笔者不敢苟同,假如从他人处购买的个人信息都是假的,那“出售信息者”可以认定为诈骗罪,而“购买信息者”认定为非法获取公民个人信息罪则有点“冤”,于法不公。然而,北京市海淀区人民检察院的庄晓晶等三位检察官则撰写调查报告指出:信息的真实有效应当准确核实,但办案实践中,涉案信息数量往往巨大,少则几万多则数百万条,办案机关无法一一核实;鉴于信息存在重复的可能性,办案机关也无法有效剔除重复信息。[参见庄晓晶、林浩、白磊:《非法获取公民个人信息犯罪区域性实证分析》,《人民检察》,2011年第9期。]笔者认为,这是技术问题,虽没有直接的司法鉴定方法来确定真实信息,但依然可以结合相关证据予以佐证,从而推断为真实。相关证据包括:信息购买者使用这些信息的情况供述、信息出售者的供述、随机抽样结果。至于随机抽样,可以采用分层抽样[分层抽样,属于统计学上随机抽样的一种方法。先依据一种或几种特征将总体分为若干个子总体,每一子总体称作一个层;然后从每层中随机抽取一个子样本,这些子样本合起来就是总体的样本。分层抽样比纯随机抽样的精度高,效度高。详细介绍,可参见百度百科:分层抽样http://baike.baidu.com/link?url=181_WyuQQurkBqquq59i5H0eZ7u_8OmkRhhZNG-0ENQVTXqy-bYymBu7-BjyCuC4hRvhb9KOvtkXwVpf-tcI0q]的办法来确定。
(三)如何界定“情节严重”?
“情节严重”是非法获取公民个人信息罪的客观构成要件,是区分罪与非罪的关键标准。司法实践中出现的案例都是从不同的角度来认定情节严重,从而定罪量刑。通过总结中国裁判文书网(http://www.court.gov.cn)上公布的非获取个人信息罪案件[案例上传截取日期:2014年1月1日至2014年4月1日,案件总数:26。],笔者发现,法院在认定“情节严重”上主要参考以下几个方面:信息数量、获取手段、获取次数、信息用途、危害结果等。既然本罪是情节犯,那么对于具体情节的把握上,必须慎之又慎,避免打击面随意扩大,这也是刑法谦抑性的本质要求。
1、信息数量
对于信息数量,从浙江省公布的司法案例来看,定罪的起点是10000条。但是,数量标准应该只是一种参考因素,而不是由其来决定罪与非罪。在王某一案中,法院并没有在意辩护人及被告人提出的信息存在虚假的问题,判决书中只字未提。笔者认为,不能为了节省司法资源而置之不理,只看数量不看质量,最终伤害的是刑法的严肃性和公正性。从温州市鹿城区人民法院审理的一起非法获取公民个人信息罪案件[案号:(2014)温鹿刑初字第118号。],被告人获取的信息仅仅为11条也依然构成本罪中可见一斑。
2、获取手段和获取次数
对于获取手段,“非法获取”的方式前文已有所论述,不再重复。实践中也存在多次非法获取累计达到上万条信息的情况,井某非法获取公民个人信息罪一案[案号:(2014)宣刑初字第25号。]中,法院认定井某购买个人信息达到40次,构成非法获取公民个人信息罪。笔者认为,对于获取次数,定罪的起点至少是三次以上,但不能机械适用。如果没有其他可参考的定罪情节,可以在司法解释中规定:因多次获取公民个人信息受到两次以上行政处罚的,可以追究刑事责任。
3、信息用途
信息用途是重要的情节,它关系着非法获取信息的流向,也关系着个人信息所承载的价值利益的安全。笔者认为,在定罪量刑上,应当考虑非法获取的个人信息如何被使用以及用在了哪里,产生了什么后果。从公布的案例来看,大部分案件中被告人获取信息都是为了拓展业务,即用于商业推广,但这种情况下是否应当入罪,笔者心存疑虑。当然,如果是为了推销假冒伪劣产品或者不法业务,或者直接利用获取的信息从事其他严重的违法犯罪活动(冒名诈骗、敲诈勒索、绑架等),则另当别论了。
4、危害结果
危害结果的考量,是判断某种行为具有社会危害性的关键之一。正如上文所述,个人利用非法获取的公民个人信息从事违法犯罪活动,危害结果不言而喻,但这只是极端情况。更多的结果是个人遭到隐私侵犯、生活骚扰、精神困扰等,出现这种情况,依然可以认定存在现实的危害结果。但是在王某一案中,有其特殊性:被告人购买企业工商登记信息,只是用于商业推广,虽然获取了法定代表人的联系方式,但不是针对法定代表人。其商业推广的行为只是想达成一种商业合作,是一种双赢。并未给法定代表人个人带来工作或者生活上的困恼;使用这些信息也是以公司的名义在使用,就算是获取这些信息,也是为公司的利益而获取,不存在私用的情况,因此,其危害后果显著轻微,在定罪量刑时应该加以考虑。
对于上述“严重情节”的具体考量,每一种情节都不应该单一适用,在考量一个非法获取公民个人信息的行为是否为犯罪时,除非造成了比较严重的危害后果,否则,都应该多个情节综合来考虑。
四、结语
信息迅速发展的时代,刑法顺应时代,增设非法获取公民个人信息罪,对于打击侵犯公民个人信息犯罪的现象,有重要的作用,但司法实践中应该做到具体问题具体分析,防止一刀切的现象出现。我们知道,任何一个案件不只是关系到当事人的切实利益,更重要的是具有标杆、示范、扩展的作用。每一次裁决,既有可能成为司法进步的台阶,也可能更加远离公平正义,法官必须慎之又慎。《关于全面深化改革若干重大问题的决定》中指出:加快建设公正高效权威的社会主义司法制度,维护人民权益,让人民群众在每一个司法案件中都感受到公平正义。如果让民众感受到个案公正,那么处理结果必须符合实体正义。
注释:
本案庭审过后,审判长在宣判之前却做了一件匪夷所思的事情:审判长向五位被告人宣布从去年年底到本案庭审之前发生的类似案例,陈述这些案例的审判法院,构成罪名及判决结果。然后说了一句意味深长的话:“这是其他法院对于类似案件的判决结果,所以对于你们的判决,你们心里应该有个底吧。”沉默一分钟之后,审判长开始宣布该案的判决结果。审判长的此举意图何在?是在宣扬遵循司法判例的精神还是在安抚战战兢兢接受审判的被告人?具体意图不得而知,纳闷之余,使我产生了研究此罪名的想法,从而有了本文。具体到本案,可见案号:(2014)嘉海刑初字第110-114号。浙江金道律师事务所王晓辉律师为本文提出了宝贵的修改意见,在此表示感谢!
张磊:《司法实践中侵犯公民个人信息犯罪的疑难问题及其对策》,《现代法学》(双月刊),2011年第1期,第72页。
有学者认为“窃取或者以其他方法”的规定违背立法常规。笔者在此不做赘述,参见:叶亚杰:《出售、非法获取、非法提供公民个人信息罪的司法实践认定研究》,《新疆警官高等专科学校学报》,2010年4月第30卷第2期,第39-42页。
同振魁、肖进:《侵犯公民个人信息犯罪若干问题研究》,《云南大学学报法学版》,2011年11月第24卷第6期,第50页。
参见常青、张莉:《非法获取公民个人信息罪司法适用之解构分析》,《法制与社会》,2012年12月中旬刊,第88页。
参见庄晓晶、林浩、白磊:《非法获取公民个人信息犯罪区域性实证分析》,《人民检察》,2011年第9期。
分层抽样,属于统计学上随机抽样的一种方法。先依据一种或几种特征将总体分为若干个子总体,每一子总体称作一个层;然后从每层中随机抽取一个子样本,这些子样本合起来就是总体的样本。分层抽样比纯随机抽样的精度高,效度高。详细介绍,可参见百度百科:分层抽样http://baike.baidu.com/link?url=181_WyuQQurkBqquq59i5H0eZ7u_8OmkRhhZNG-0ENQVTXqy-bYymBu7-BjyCuC4hRvhb9KOvtkXwVpf-tcI0q
案例上传截取日期:2014年1月1日至2014年4月1日,案件总数:26。
案号:(2014)温鹿刑初字第118号。
案号:(2014)宣刑初字第25号。