欢迎光临井研县人民法院!
当前位置: 首页 > 法院研究 > 法院调研
侵犯公民个人信息罪的定罪疑难问题研究
分享到:
  发布时间:2018-06-25 10:19:48 打印 字号: | |

作者简介:

李静,女,1987年生,四川省井研县人民法院任法官助理。

论文独创性声明

本人郑重声明:所呈交的论文是我个人进行研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写的研究成果,特此声明。


论文提要:

2017年5月8日最高人民法院、最高人民检察院联合发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),但在司法实践中仍存在着诸多分歧。“公民个人信息”的类型如何认定、侵犯的公民个人信息数量如何认定和计算、此罪与彼罪等,无论在理论界还是实务界都存在着较大争议,法律解释的局限性和电子高科技犯罪的取证困难等,使得个人信息的保护仍面临着各种现实困境。本文以此为背景,通过编辑案例、案例搜索分析,提出本罪的信息类型、行为方式、情节等定罪问题,并分析这些疑难问题的解决方案,以期能够更好的实现公民个人信息的刑法保护效果。本文共9324字。


主要创新观点:

本文通过案例举例与类型分析的方式,分列式的提出问题、分析问题、解决问题。笔者着重从信息类型、行为方式与情节三个方面决定本罪的定罪量刑问题。其中对于《解释》第六条笔者认为不应区分信息类型,只需符合列举的三款之一即可构成本罪。


以下正文:

一、实证:《刑法修正案(九)》实施以后的实践应用

笔者分别于2018年6月10日14时、6月11日9时在法信网中输入“侵犯公民个人信息罪”,搜索出了20件典型案例,同时在中国裁判文书网中搜索出该20件典型案例的判决书,都是自《刑法修正案(九)》实施以后的案例。

序号 行为方式、动机 信息类型 数量或违法所得 判决结果

1 任职期间使用数字证书或其他正式民警的账号、密码登录公安综合管理平台、并通过微信联系出售;未说明 车辆档案信息、驾驶员信息 7万元 三年零两个月,并处罚金7万元

2 通过qq购买;实施诈骗 公民姓名和电话号码 3000条 两年,并处罚金7千元。

3 网购“信息读写软件”程序获取信息,干扰实名制登记系统开设手机卡,以此申请微信、qq账号并在qq上进行销售;牟利 包括姓名、性别、民族、户籍所在地、身份证号码、所属公安分局、身份证有效期等 3300条、7000元 六个月,500元

4 非法获取信息并在qq上发布出售;牟利 姓名、住址、电话号码等 188656条 一年,并处罚金3000元

5 利用职务之便在qq群发布广告出售信息、购买信息;牟利 储户的姓名、身份证号码、银行卡号、账户余额、预留电话号码等 19万余元 十个月,并处罚金3000元

6 在网上购买信息后再加价出售给他人;牟利 行踪信息及征信信息111条、住宿信息95条、手机机主信息、车辆轨迹信息、户籍信息等25条 7800元 两年,并处罚金1万元

7 登录房管局网站窃取信息后通过微信出售;出售给装修行业牟利 购房者信息 54119条;13.4万元 四年,并处罚金5万元

8 网上下载并注册成账号出售给犯罪团伙;牟利 姓名、性别、身份证号码、户籍地址、电话号码等60万条,并以此注册成婚恋网账号 6000多个婚恋网账号 一年,并处罚金1万元

9 出售;牟利 公民个人的姓名、住址、联系方式、房产面积、车辆信息 17万余条 两年,缓刑三年,并处罚金1万元

10 出售;牟利 个人户籍、车辆档案、手机定位、个人征信、旅馆住宿 5000元 一年三个月,并处罚金1万元

11 通过他人的账户密码以及非法提供的网络获取信息并出售;牟利 银行征信信息 8万余条 一年六个月,罚金2万元

12 购买信息后出售;牟利 学生信息 购买193万条、非法获利65400元 一年十一个月,并处罚金4万元

13 通过qq获取后再通过qq出售;牟利 含有公民姓名、收货地址、手机号码等内容的网购订单信息 5万元 两年,并处罚金2000元

14 利用黑客软件获取信息并通过qq和微信出售;牟利 个人信息 窃取10万余条并出售 两年,并处罚金5万元

15 购买、交换并在微信朋友圈发布信息出售;牟利 期货、基金、车主、信用卡等信息、小区业主、新生儿及其父母信息 43万条 一年四个月,并处罚金1万元

16 非法获取后上传网站提供有偿查询;牟利 住宿记录、qq和部分论坛账号及密码找回功能 19万元 三年,并处罚金2万元

17 购买、索取;发展房产业务 个人信息 200万余条 三年,并处罚金3万元

18 利用职务便利和qq上交换;牟利 楼盘业主、公司企业法定代表人及股民等的姓名、电话、住址及工作单位等 185203条,获利4000元 七个月,罚金2000元

19 购买并出售;牟利 楼盘业主姓名、住址、电话、房屋面积等内容的公民个人信息 59341条、获利3000元 三年,罚金1万元

20 窃取并出售;牟利 新出生婴儿的姓名、出生日、父母姓名、联系电话以及现住地址等内容 20余万条 两年,罚金3000元

对于侵犯公民个人信息犯罪的信息类型、行为方式、情节,实践中行为对象的类型认定不同,其情节量刑标准亦不同,行为方式的多样化,也是此罪与彼罪的界别。

二、定罪疑难问题的引出

房屋、车辆登记信息、网购订单、交易合同、买卖合同、社交账户的账号和密码等,以上信息的类型认定不同,其定罪情节不同,也是罪与非罪认定的重要环节。信息时代下的“人肉搜索”,行为人的主观性能让“人肉搜索”呈现不同的结果,有效规制“人肉搜索”能更好、更有利的实现大数据价值。大数据时代,大多的公民个人信息都是用电子设备进行储存并以电子数据的形式进行流转,不同规模的信息数量认定方式将直接影响罪与非罪、情节轻重的判断。综上,即信息类型的认定以及数量计算的方式将直接影响罪与非罪、情节轻重的判断。以下列案例进行直观说明:

案例一、A是房管局工作人员,B为了扩展自己的装修业务,向A送去现金四万元,请求A将房管局登记备案的业主信息(包括姓名、电话、小区地址和门牌号等)拷贝一份给自己,用于装修业务的电话营销。A将大约4万户的业主信息(包括姓名、电话、小区地址和门牌号等)拷贝在U盘里,并交给了B。

该案涉及犯罪竞合,即A和B构成行贿罪、受贿罪或是侵犯公民个人信息罪;或是数罪并罚。其业主信息属于一般信息或是财产信息将直接影响其量刑。

案例二、B将获得的业主信息交给了公司业务员,由业务员挨个给业主打电话进行电话营销。业务员C在打电话的过程中将其掌握的4000条姓名及电话号码偷偷拷贝了一份提供给D。

本案中涉及的信息包括姓名和电话号码,应属于一般信息。业务员C非法收集信息后提供给他人,其侵犯的公民信息数量如何计算将直接影响罪与非罪。

案例三、E经营一家家具公司,他得知B有小区业主信息,遂以4000元的总价向B购买了4000条业主信息。E通过以上信息进行电话销售家具获利30000元。

若业主信息为一般信息,那么E非法获取的信息条数以及获利均分别不能达到司法解释第五条列出的数据和金额,那么E是否构成犯罪?若业主信息为财产信息,定罪情形又是如何?信息数量和获利在量刑中是叠加情节还是择一情节,均对其量刑有影响。

案例四:房管局工作人员D将其掌握的5000条业主信息(包括姓名、电话、小区地址和门牌号等)以每条1元的价格出售给某装饰公司,获利5000元。

本案中若按司法解释第五条的第一款规定择一定罪,无论按照哪一款D均构成侵犯公民个人信息罪,那么是否属于第五条第二款的情形将直接影响其量刑标准。

案例五:B以每条2元的价格出售了600条业主信息给J,J在未将其获得业主信息再次出售时便被公安机关抓获。

若业主信息属财产信息,J将构成侵犯公民个人信息罪。若J提出600条信息中有560条是无效信息,那么,J是否还能构成犯罪。

案例六:B以每条10元的价格出售了500条业主信息给K,K用该500条业主信息进行诈骗骗取了50万元。

若将业主信息定为一般信息,且B并不知道或者不应当知道K是用于犯罪,则B 将不构成犯罪,然而B的行为间接导致他人财产的损失,若B不构成犯罪,似乎不符合罪责刑相适应原则。

以上案例涉及信息类型的认定、信息数量的计算以及无效信息的排除等,以上均是影响量刑情节的重要因素。

三、《解释》的理解与适用

(一)信息类型的认定

根据法信网搜索出的20件案例显示,本罪侵犯的客体大部分为公民的姓名、住址、电话号码、身份证号码等,也有qq以及论坛的账号密码、车辆信息、购房信息、银行储户信息、网购订单、学生信息、公民金融信息(期货、基金、股票等)等。而以上案例的有些判决书基本只载明了被告人侵犯公民个人信息资料的数目,而对于信息的种类,涉及的人身、财产等情况只做了简单的概括,或是只字不提;或是有些判决书载明了具体的公民个人信息,但没有对该案中的个人信息进行进一步的说明和分类,大多判决书的描述重点都放置在了信息的数量庞大上。

此前不久引起舆论界议论纷纷的某大学教授刚买完房子,其个人信息就被泄露,从而被骗走一千多万,让公众震惊且心有余悸的并不是被骗走的一千多万标的额,而是该教授刚买完房就被泄露出去的个人信息的高效性、准确性和完整性,这些信息都有可能形成一个完整的诈骗链条,使得被害人对此行程的诈骗防不胜防。(1)时下,几乎每个人都可能成为信息泄露后背犯罪分子锁定的对象。笔者询问过身边人,每个人或多或少都会接到过掌握着自己信息资料的电话,包括装修、保险、基金、股票等的推销电话,也包括电信诈骗电话,而笔者更是在现在每天都会介绍或多或少的此类推销骚扰电话,甚至是诈骗电话。笔者认为应当对每个案件的个人信息进行更为明确的说明和分类,严格认定个人信息的类型,凡能由此对公民的人身、财产造成进一步的犯罪侵害的信息都不应当认定为解释第五条第一款第三项至第五项以外的信息,而应当严格且谨慎的对此进行评判属于哪类信息,并对此进行定罪,而对于量刑可视其是否已经产生了更为恶劣的严重后果而定。

从上表收集到的信息种类来看,对于银行储户信息和公民金融信息,实务界争议应当不大,普遍都认为是公民的财产信息。实务界争议较大的是网购订单、购房信息、车辆信息、业主信息等,这些是属于交易信息、财产信息或是公民的普通个人信息?

1.交易(Transactions),是指双方以货币为媒介的价值的交换,是以货币为媒介,物物交换不能算在内。(2)笔者认为,现代社会中所谓的交易信息,有广义和狭义之分。广义的交易信息泛指双方交易的过程,包括提供服务、接受委托、承揽、租赁、买卖等交易行为,一方履行其义务或双方签订合同,其交易即已成立;而狭义的交易信息仅指有纸质或电子为载体证明其交易过程的信息,比如合同、订单、收货单、收款单等,均能表示其交易的进行过程。作为本文研究的侵犯公民个人信息中交易信息,应当是狭义的交易信息才能成为其犯罪客体,合同上的双方、合同上的具体交易标的、交易金额、交易手段、支付方式等,均能成为他人可利用的信息。故上述案例中的网购订单,其既有买卖双方的第三方账号,又有买卖双方的交易金额和交易标的物,上述信息被获取、出售或者提供后,均有发生诈骗、敲诈勒索等关联犯罪的可能,故网络订单、交易订单等均应当认定为交易信息。

2.那么房管局的房屋登记信息、房产中介或者房产公司的商品房买卖合同信息、业主信息、销售公司的车辆买卖信息、房管局的车辆登记信息是属于交易信息、财产信息还是一般的个人信息?笔者接着分析什么是财产信息。财产是指拥有的金钱、物资、房屋、土地等物质财物,国家财产、私人财产,具有金钱价值、并受到法律保护的权利的总称,大体上有三种,即动产、不动产和知识财产(即知识产权)。(3)作为本文研究的侵犯公民个人信息罪,其侵犯的财产信息不仅包括存款、房产、车辆等财产状况信息,也包含银行账户、证券期货基金、第三方支付结算账户(微信、支付宝等)等金融服务账户的身份认证信息(包括账户、密码、口令等)。Qq、微博、论坛账户等虽然可以关联相关银行卡,但其目前并不是被大众认可的支付结算方式,笔者认为不能认定为财产信息,但其账号密码被获取、窃取、出售、提供后也易引起诈骗等犯罪,该类型社交账户与交易信息在重要程度上具有相当性,故对于解释第五条第一款第四项中规定“等其他可能影响人身、财产安全的公民个人信息”的表述可适用该类型社交账户。

3.对于房屋买卖合同、车辆买卖合同的信息、房屋登记信息、车辆登记信息、业主信息等,因为房屋、车辆以实名登记为准,该登记权利人即为房屋或者车辆的所有权人,故房管所等相关行政部门关于房产的实名登记信息、车管所、派出所等行政部门关于车辆的实名登记信息应当认定为财产信息,而业主信息即可代表该房产系业主所有,故业主信息也应当认定为财产信息,而房屋买卖合同、车辆买卖合同、房屋销售登记信息仅仅只能说明该房屋或者车辆存在交易,不能完全确认其房屋或者车辆的所有权,故应当认定为交易信息。

但是目前的有关房屋和车辆的信息包括买卖信息和登记信息、管理信息等,大多数被行为人用于合法经营,若按照司法解释财产信息50条以上即定罪似乎与罪责刑相适应定原则不符;而教授房屋信息被泄露又导致其财产被骗一千多万,似乎与罪责刑相适应原则又相符。笔者认为,对于合法经营,可以不用分是什么信息,只需满足获益5万元以上即可,更符合罪责刑相适应原则。故对于《解释》第6条笔者认为不应当局限于收受本解释第五条第一款第三项、第四项规定以外的公民个人信息。

现实生活中能成为本罪侵犯对象的个人信息类型甚多,无论是司法解释或是各类调研案例都无法即穷尽式的列举,这就需要法官分析该本罪侵犯的信息是否会引发侵犯财产或者人身的违法犯罪来具体定罪量刑。

(二)行为方式的认定以及罪数形态

非法获取、窃取、出售、提供等行为在案件中的表现行为为哪些?同一行为涉及其他犯罪应如何认定?

1.对于窃取、购买公民个人信息,实务界并无大的争议。无论是窃取等违法手段还是购买这类中性手段,是否侵犯本罪所保护的法益才是关键。

2.提供公民个人信息。“提供”的认定,分为向特定人提供,或是通过网络或者其他途径发布公民个人信息(即为向不特定人提供),其在违反国家有关规定的情况下提供,均有涉嫌侵犯公民个人信息。向不特定人提供公民个人信息在实践中表现的最为突出的形式为“人肉搜索”,这是一项充满争议的行动,当人肉搜索能够有效整合网群力量,调动网民积极性,以最快的速度获得所需要的信息资源时,当人肉搜索反映出对社会公益和社会道德行为的强力监督时,这是有益的“搜索”。可是由于网络的匿名以及网络语言的随意性和盲目性,当网络上的匿名人士们打着正义的旗号进行着口诛笔伐时,其由于网络的被“人肉搜索”出来的人却经历着前所未有的舆论压力,其生活和工作都受到了严重的影响。此前大部分人肉搜索事件最后都不了了之,尽管受害者的人身甚或都受到了不同程度的损害,但是由于维权难度大、以及其他主客观因素,由人肉搜索隐发的侵权行为很难被追责。(4)此前多数以侵犯他人隐私作为切入点,根据损害的程度以普通民事侵权或是刑事诽谤入罪。近年来都有不少人呼吁将“人肉搜素”入刑,笔者认为,将“人肉搜索”列入侵犯公民个人信息罪是合理的,但需满足几个条件,即其一是行为人未经权利人同意,其二是将其姓名、照片、身份、生活细节等个人信息,三是通过网络等形式公布于众,四是影响其正常的生活、工作秩序,并受到严重伤害。那么提供权利人几项个人信息以及造成何种后果构成“侵犯公民个人信息罪”?合理规制“人肉搜索”符合当代社会主义核心价值观的要求,更能促进社会的稳定进步。

无论是出售、提供还是窃取或非法获取都带来公民个人信息的流动,但如果信息未流动,其合法获取信息的持有人超出信息所有人的授权使用该信息,是否能构成本罪?笔者认为应当构成本罪,即合法获取的信息持有人利用该信息实施其他犯罪行为构成其他犯罪,若非法利用其合法获取的公民个人信息,其非法利用的行为侵犯了信息所有人的自决权,是对信息所有人法益的一种侵害,应当认定为其他方法非法获取公民个人信息。

3.本罪与刑法第二百五十三条的私自开拆、隐匿、毁弃邮件、电报罪的竞合。如果邮政部门及其工作人员私自开拆、隐匿他人的电报、邮件,从中获取公民个人信息,而后将公民个人信息出售或者非法提供给他人的,应当如何处理?(5)可分为两种情形:a.若是为了获取公民个人信息用于提供或者出售给他人而实施了私自开拆、隐匿电报、邮件的行为,这种情形符合理论上的牵连犯,择一重罪处罚。b.邮政部门及其工作人员私自开拆、隐匿他人的电报、邮件从中获取公民个人信息,而后将公民个人信息出售或者提供给他人的,实际上行为人实施了两个行为,应数罪并罚。(6)

4.本罪与贿赂犯罪的竞合。如果行为人采取“收买”方式从行政机关或者医疗、金融、电信等单位或其工作人员获取公民个人信息,则收买者的行为构成理论上的牵连犯,应择一重罪处罚(这里的收买可视为本罪第三款规定的以其他方法非法获取公民个人信息。)。被收买的单位或者自然人构成何罪?笔者认为被收买的单位或自然人不宜只认定为出售公民个人信息,其非法收受财物为他人谋取利益的行为已构成受贿罪,而其因履行职责或者提供服务的需要而掌握了大量的公民个人信息,明知对其掌握的大量公民个人信息应当采取措施予以保密不被泄露,却仍然向第三人提供,根据刑法第二百五十三条第二款的规定,以上人员属于从重处罚的范围,即收受财物提供公民个人信息的行为构成亦侵犯公民个人信息罪,应数罪并罚。

(三)数量或者违法所得的认定

根据对20件案例分析,其侵犯的公民个人信息类型少则一种、多则数种,且并不是每一件案件都能侦查出被告人侵犯的公民个人信息数量。在司法实践中,公民信息数量是侵犯公民个人信息罪的定罪量刑的犯罪构成要件之一,而现实案件中涉案的公民个人信息数量却千差万别,多则百万条,少则10多条,而有些因电子设备的差异,或许根本无法查询出其涉案的数量,只能查得其违法所得的金额。《解释》第5条和第11条虽然明确规定了侵犯公民个人信息罪的定罪数量、刑罚升格标准和数量计算规则,但是如何对公民个人信息的数量进行计算和认定以及入罪标准在实务界仍然存在着不同的看法。

对于数量的基本认定,在实践中最大的争议在于犯罪行为人可能基于不同的习惯将公民的个人信息进行编辑,一条公民个人信息或许只包含简单的一种信息,或许包含人身信息、财产信息等多种信息,对此应当如何认定行为侵犯的公民个人信息的数量?

1.对于涉案的公民个人信息数据规模不大时,特别是信息数据数量的认定将直接影响罪与非罪、犯罪情节轻重的判断时,应当按照其涉案的公民个人信息客观可能侵犯的被害人的人身或者财产等法益进行认定,即虽然犯罪行为人将他人的人身信息、财产信息等多种信息编辑成一条信息,但是这条信息客观上指向了他人的多项法益,在数量上应当认定为数条(7)。

2.目前大多的公民个人信息都是用电子设备进行储存并以电子数据的形式进行流转,其储存方便且数量巨大,对于涉案的公民个人信息的数量达到了一定规模时,在司法实践中要靠人力进行逐一审查实无可能,在其数量的认定不影响罪与非罪、犯罪情节轻重的判断时,为了节约司法资源、提高办案效率,即可根据犯罪行为人主观出售或者提供或者获取的方式来认定其侵犯公民个人信息的数量。

3.对于公民个人信息的计算规则,实践中也有不同的意见。需要对公民个人信息进行计算通常出现在其犯罪行为涉及窃取或者非法获取后又出售或者提供的案件中,笔者认为,本罪的犯罪行为和犯罪数量的认定都离不开对法益侵害情况的审查,侵犯公民个人信息罪的行为人在非法获取或者窃取公民个人信息的过程中是否存在适用目的,该使用目的是合法使用或是违法使用是其计算规则的标准之一。若其行为人只是为了合法经营活动使用而非法获取或窃取个人信息,后又向他人提供或者出售的,或者行为人是以倒卖公民个人信息非法获利的,其侵犯的法益只有一次,对其信息数量不应当重复计算;若行为人窃取或者非法获取个人信息是用于违法犯罪行为的,后又将该个人信息出售或者提供的,因第二次出售或者提供可能存在侵害其法益的可能,故应当对其信息数量重复计算。

4. 那么如果无法计算或者认定犯罪嫌疑人侵犯的个人信息数量时,如何对其定罪量刑?《解释》第五条第一款第七项单独列出“违法所得五千元以上的”情节严重情形作为定罪标准之一,用以弥补数量无法全部认定时的定罪依据,但是笔者认为该项标准不妥。若按照此条规定,实践中会出现这种情况:一个出售、提供3000条信息只获得2000元报酬而不入罪,而另一个人出售1000条信息但因接受信息的一方大方给予其6000元即入罪。如此来看是否构成侵犯公民个人信息罪与其侵犯的公民个人信息的数量并无联系,而是取决于接受个人信息的一方是否大方,这样的结论显然是不合理的。虽实践中对于一般信息,相对价格不高,且不以数量计价,而敏感信息价格较高,大多以条数计价,但第七项的解释对于违法所得过于宽泛,且包含三种不同类型的信息,其本身的危害性是由其数量多少决定,而对于违法所得,笔者认为可以视为对侵犯数量的一个补充,即适用“数额+情节”的模式。可以沿用《解释》第五条第一款第八项的数量减半规定,即对《解释》第五条第一款的第三项至第五项,其数量达到标准一半以上,且违法所得五千元以上,即可属于“情节严重”的情形。

四、结束语

《解释》虽对于侵犯公民个人信息罪在司法实践中有了进一步明确的定罪量刑标准,且其中不乏亮点可陈,尤其是对最为现实所困扰、影响着公民生活的为合法经营活动而侵犯公民个人信息的行为进行了规制,这是保护与发展并重的司法精神的体现。但困于有限理性与《解释》出台后社会生活发展变迁的实践张力,审判实践中对于公民个人信息罪的困顿和分歧并不会因为《解释》的出台而停止,这就需要在个案处理中更为灵活运用,无论从理论还是实践,对于侵犯公民个人信息罪的认定都需要将实际情况作为首要的参考要件,能够对涉案的公民个人信息进行合理的梳理和归纳,并通过科学方法审判,不断丰富、完善此类法律适用,以期能够真正做到用法律保护公民的个人信息不受侵犯。


责任编辑:井研县法院管理员