公民个人信息刑法保护的例外
来源:人民法院报 | 作者:吴心斌 温锦资
【案情回放】
被告人李某自2016年起,在网上通过QQ、微信等方式向他人贩卖公民个人信息。2017年3月,刘某、黄某向李某购买公民个人信息用于犯罪,李某向此二人贩卖公民个人信息777313条,在缴获的李某的电脑内查获167354条公民个人信息。
广东省深圳市罗湖区人民法院经审理认为,被告人出售的信息中含有公司名称、法定代表人姓名、手机号码、公司地址、经营范围、注册资金、所属行业、企业类型等,属于能够单独识别特定自然人身份的信息,该类信息属于公民个人信息。被告人未经被收集者同意,将合法收集的公民个人信息出售给他人,情节特别严重,构成侵犯公民个人信息罪。被告人构成坦白,可从轻处罚。判处被告人有期徒刑四年,并处罚金人民币4万元。被告人不服提出上诉。
广东省深圳市中级人民法院经审理认为,企业根据法律法规规定或为经营所需而公开的企业信息,即使包含了个人姓名、联系方式,亦不属于刑法意义上的公民个人信息,原审认定该类信息属公民个人信息有误。本案被告人使用计算机软件收集信息,该软件是否具备非法窃取功能并未查明,导致查获的个人信息是否均为企业公开信息的事实不清。遂以事实不清,适用法律错误为由,裁定撤销原判,发回重审。
【不同观点】
本案被告人利用特定软件收集互联网中包含自然人姓名及联系方式的企业信息,并将该信息出售给他人,该行为如何定性?
第一种观点认同原审意见。《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《公民信息解释》)规定,未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于非法提供公民个人信息,但是经过处理无法识别特定个人且不能复原的除外。李某利用软件在网络中搜索包含自然人姓名及联系方式的企业信息,属合法收集公民个人信息,但其未经被收集者同意,将合法收集的公民个人信息出售给他人,构成侵犯公民个人信息罪。
第二种观点认为,被告人收集、出售的信息不属于刑法意义上的公民个人信息,被告人不构成侵犯公民个人信息罪。根据原审查明的事实,被告人收集的对象是企业在互联网中公开的包含自然人姓名及联系方式的企业信息,该类公开的企业信息中包含自然人姓名及联系方式或者为符合法律规定,或者是经营所需,该自然人信息应从属于企业信息范围,不存在法益保护的需要,应属于刑法规定的公民个人信息的例外。
第三种观点认为,企业信息中公开的自然人姓名及联系方式不构成刑法上的公民个人信息,但本案还存在事实不清的问题。本案被告人利用计算机软件收集信息,该软件的搜索范围是否仅限于互联网中依法公开的企业信息并不明确。如果该软件还具备非法侵入、窃取功能,则表明本案收集的自然人姓名及联系方式可能是窃取得来,窃取得来的自然人身份信息,当然不是企业依法或为经营主动公开的企业信息,该自然人信息就属于刑法保护的公民个人信息,被告人收集、出售该类信息,构成侵犯公民个人信息罪。故应撤销原判,将案件发回重审。
【法官回应】
企业公开信息中的自然人信息不受刑法保护
我国刑法第二百五十三条之一规定了侵犯公民个人信息罪,将违反国家有关规定,向他人出售或者提供公民个人信息,或者窃取或者以其他方法非法获取公民个人信息的行为,均纳入了刑法规制的范围。从犯罪构成要件符合性看,行为人必须有出售、提供或者窃取及其他非法方法获取的行为。从侵害对象或者法益看,行为对象必须是公民个人信息,如果是商业秘密则可能构成侵犯商业秘密罪,而涉及其他刑法予以保护的数据则应根据相应的刑法规范予以评价。但如果刑法没有规定为犯罪的,则不构成任何犯罪。因此,对于侵犯公民个人信息的犯罪案件,应该把握好行为与对象两个关键,并围绕这两个方面进行审理。本案被告人收集并出售对象是包含了部分自然人信息的企业信息,如何认定该对象的性质直接关系到本案罪与非罪及审理思路,显得尤为重要。由此引出了本案值得关注讨论的问题,一是如何理解认定企业信息中依法或者为经营公开的自然人信息;二是侵犯公民个人信息案件应如何把握行为与对象之间的关系。
1.刑法意义的公民个人信息范畴及例外
侵犯公民个人信息犯罪侵犯的对象是公民个人信息,《公民信息解释》对于公民个人信息的概念作出了规范解释,公民个人信息是指电子或者以其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。虽然理论界对公民个人信息的属性有所争论,但在司法实务中严格按照《公民信息解释》的规定来界定公民个人信息的范畴是罪刑法定原则的必然要求和体现。因此,只要相关信息中包含了上述类型的特定自然人身份及活动情况的信息,应认定为公民个人信息。本案被告人收集、出售的信息中就包含了个人姓名及联系方式,一审据此认定该信息属于公民的个人信息。但形式上符合刑法规范意义上公民个人信息的自然人身份信息,可以存在刑法保护的例外。
被告人供述,其出售的信息是利用一款名为“卓讯”搜索软件在阿里巴巴网站内搜索得来,信息中包括企业名称、地址、座机电话、法定代表人姓名、手机号码、经营范围、注册资金等,该供述与查获的企业信息清单基本一致。根据目前的证据可以认定被告人收集、出售的是企业的基本经营信息,只是该信息包含了自然人姓名及联系方式。企业在经营过程中主动公开相关企业信息,包括自然人姓名及联系电话信息,既是国家相关法规的要求,也是企业经营必需,从这个意义上讲,企业信息包含的自然人姓名及联系方式,不能等同于刑法意义上的公民个人信息。从刑法法益保护角度分析,当个人姓名及联系方式等信息根据国家有关规定或者为经营需要以企业基本信息的方式在互联网公开时,是企业为了符合法律规定或者经营需要选择将自然人信息从属于企业信息。如果限制该信息的流转、使用,反而与该信息公开的目的相违背,因此对于该部分自然人信息刑法并无介入保护的必要。同时,企业公开的企业信息中包含自然人姓名及联系方式,对个人来讲是个人为企业让渡、牺牲了部分公民个人信息的利益,个人对其相关信息会被扩散和周知应该有所认知并同意该信息向社会公开,公众可以自由查询,对该类信息合理合法的利用属于公众合理的期待范围。从这个角度讲,亦无将此类个人信息列入刑法侵犯公民个人信息罪调整对象的必要。因此,企业信息中依法或者为经营需要公开的自然人信息应属于刑法上公民个人信息保护的例外,刑法不应对此予以调整。
2.行为与对象关系的把握
审理侵犯公民个人信息犯罪案件,首先要明确侵犯的对象是否属刑法意义上公民个人信息,只有确定属于公民个人信息,方有必要进一步判断行为是否受刑法规制,即是否属违反国家有关规定向他人出售或者提供公民个人信息,或者窃取或者以其他方法非法获取公民个人信息的行为;是否属违反国家有关规定通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的行为。同时,由于案件及实际情况的复杂性,应综合把握行为与对象的有机关系,方能更准确判断涉案信息是否属刑法意义上的公民个人信息及相关行为是否构成犯罪。
本案首先就要对被告人收集、出售的信息是否属公民个人信息作出正确的判断。一审认为涉案信息属公民个人信息,被告人收集行为合法,因未经被收集人同意,故出售行为构成犯罪。但如果侵犯对象是公民个人信息,被告人的收集行为同样是侵犯公民个人信息,因为其收集公民个人信息没有合理的业务因素或者合法的授权因素,仅是为了出售获利,该行为也受刑法规制。二审法院认为企业信息虽然包含了自然人姓名及联系方式,但该信息属于刑法公民个人信息保护的例外,被告人收集、出售的行为不构成侵犯公民个人信息罪。案件如果审理到此就会得出被告人无罪的结论,但审理案件不能仅限于此。由于涉案的信息中含有自然人姓名及联系方式等自然人信息,从形式上判断该自然人信息就属于能识别特定自然人身份信息,如果该信息不属于企业公开的企业信息,那么仍属于公民个人信息范畴。
之所以要考虑这个问题,一是企业信息中确有不公开或者有限制的公开的信息,比如限制了公开的范围、对象、时间;二是被告人是使用搜索软件搜索信息,虽然被告人供称该搜索软件仅能搜索互联网中企业公开的基本信息,但公安机关并未对此进行查实,无法认定该软件是否类似“黑客”软件具备窃取企业未公开信息的功能。如果该软件具备窃取功能,本案中包含的个人信息就可能不属于企业公开的信息,不属于公开的自然人信息无疑还在公民个人信息范畴,被告人通过窃取手段获得并出售该类信息,仍构成侵犯公民个人信息的犯罪行为。
|