作者肖廣友系上海市嘉定區人民檢察院副檢察長;作者張爭輝系上海市嘉定區人民檢察院第一檢察部主任;作者孫娟系上海市嘉定區人民檢察院第一檢察部幹警。
內容摘要
非法獲取、出售、提供公民個人信息不僅侵犯公民個人信息安全,而且與公民人身、財產安全等密切相關。由此,公民個人信息進入立法保護的視野。儘管立法的腳步從未停歇,但關於侵犯公民個人信息案件的辦理仍然存在諸多盲區,如對於公民個人信息類型的判定、對於信息來源的證明要求、對於違反國家有關規定的理解、對於信息真實性核實的規則、對向他人非法提供公民個人信息等問題的判定仍然困擾實務辦案人員。侵犯公民個人信息案件本身的特點及立法不足系導致上述問題出現和存在的重要原因,需結合案件特徵規律和犯罪構成要件,著力考量刑事立法本意、實務可操作性和刑事公訴的基本屬性等方面破解上述具體難題。
關鍵詞:侵犯 公民個人信息 司法認定 疑難問題
信息化時代,信息資源成為重要的生產要素和社會財富,與之相伴生,公民個人信息的洩露和信息安全也成為全社會高度關注的問題。伴隨著移動網際網路技術和新型通信技術的發展普及,公民個人信息獲取、傳輸、傳播都極為快捷和便利,高速便捷的網絡服務在讓廣大民眾享受到信息共享所帶來福祉的同時,與公民個人信息密切相關的違法犯罪行為也日益增多。據統計,2009年2月至2015年10月,全國法院共審結出售、非法提供公民個人信息、非法獲取公民個人信息刑事案件969起,生效判決1415人。2016年,全國公安機關共偵破網絡侵犯公民個人信息案件數量2100多起,查獲公民個人信息500億條,抓獲的犯罪嫌疑人5000多人。公民個人信息的保護成為社會高度關注的熱點話題。本文擬結合司法實踐中的典型案例,分析該類案件存在的特點和規律,並對案件辦理過程中的上述疑難問題進行梳理和匯總,並試圖提出相應的對策和建議。
1
1
1
實踐透視:侵犯公民個人信息案件司法認定層面存在的問題剖析
司法實踐中,侵犯公民個人信息案件辦理存在權威指導案例少、法律和司法解釋規定原則、入罪構成要件及具體認定標準不明等問題。主要表現在如下方面:
(一)對「違反國家有關規定」的證明責任和證明標準的認識尚不統一
在《刑法修正案(九)》之前,出售、非法提供公民個人信息的入罪要件為「違反國家規定」,根據《刑法》第96條之規定,此處的國家規定係指違反全國人民代表大會及其常務委員會制定的法律和決定,國務院制定的行政法規、規定的行政措施、發布的決定和命令。對此,《刑法修正案(九)》將該處修改為「違反國家有關規定」,將違反的內容予以擴張,便於對侵犯公民個人信息行為的刑法打擊。根據《刑法》第253條和最高人民法院、最高人民檢察院於2017年6月1日發布施行的《關於辦理公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《侵犯公民個人信息解釋》)之規定,侵犯公民個人信息罪成立要以「違反國家有關規定」為前提,具體依據包括法律、行政法規、部門規章。如對於獲取公民個人信息,《刑法》第253條第3款將罪狀直接表述為「非法獲取」。基於體系解釋的原理,對此處的「非法」應當以是否違反國家有關規定為判斷標準,即對「非法獲取」的認定也要以違反國家法律相關規定為前提。那麼認定行為人「非法獲取」是否需要找到具體違反的法律法規?還是採用《網絡安全法》中確定的「未經他人同意收集公民個人信息,或者收集與提供的服務無關的公民個人信息」即認定為「非法獲取」?如果採取後一標準,是否需要向涉案信息個人逐一核實是否徵得其同意?在具體個案辦理過程中,是否必須提供違反具體國家有關規定的名稱和條款?如果需要證明,需要證明到的程度和標準如何確定?目前,刑法和司法解釋尚未明確。
(二)關於信息類型的判定標準尚不明確
根據《侵犯公民個人信息解釋》關於「公民個人信息」的定義,其係指以電子或者其他方式記錄能夠單獨或者與其他信息結合識別特定自然人身份或者反應特定自然人活動情況的各種信息,包括姓名、身份證號碼、通信通訊聯繫方式、住址、帳號密碼、財產狀況、行蹤軌跡等。基於不同類型公民個人信息的重要程度,解釋將公民個人信息區分為高度敏感信息、相對敏感信息及普通公民個人信息三類,並設定不同的入罪標準。那麼對某類信息信息類型的判定就成為最為關鍵的問題,然而目前司法解釋對類型類型的界定尚較為原則,沒有更為明確的指導意見。
(三)關於涉案信息的真實性核查問題尚缺乏明確的指引規則
根據《侵犯公民個人信息解釋》第11條第3款之規定,對批量公民個人信息的條數,根據查獲的數量直接認定,但是有證據證明信息不真實或者重複的除外。對於該條應作如何理解?批量信息如何界定?以何種形式存在、數量在多少以上的可以界定為批量信息?如果有證據對涉案信息的真實性提出質疑,那麼對信息真實性的證明責任由誰承擔?信息真實性核實的規則如何?這些問題目前尚無明確的標準。
(四)關於信息的來源的證明要求和標準尚不明確
司法實踐中,很多侵犯公民個人信息案件,涉案信息系從嫌疑人手機或電腦中直接查獲,但對於來源問題,沒有在案證據證實或者僅有嫌疑人供述,無其他證據與之印證,對於偵查機關從嫌疑人手機或電腦載體中查獲的這些信息,是否可以採取反向推定的方法,即根據常理或者只要嫌疑人無法說明信息來源合法,即認定為非法獲取的信息?還是對信息的來源問題必須要有確實充分的證據予以證實,且要有證據之間的相互印證?這些問題,目前尚無定論。
(五)將非法獲取的公民個人信息提供給「下屬」使用的行為,是否屬於刑法規定的「向他人提供公民個人信息」的行為?
對於這一問題,存在觀點分歧,有人認為,提供給下屬使用等同於歸自己使用,不能認定為向他人提供;有觀點認為提供給下屬,也屬於提供給「他人」,對此處的他人應作廣義的理解;還有觀點認為對於個案中提供給下屬的使用的行為如何認定要結合具體個案進行,不能一概而論。
上述侵犯公民個人信息案件的認定及判定難題,導致司法實踐中的諸多案件缺乏明確的辦案指引,進而使得侵犯公民個人信息的案件無法得到妥善處置,難以實現對侵犯公民個人信息行為的刑法打擊,制約法律對該類行為的打擊力度,司法實踐中大量出現的侵犯公民個人信息刑事案件迫切需要對上述問題進行明晰。
1
2
1
原因剖析:侵犯公民個人信息案件的基本特點及立法不足
(一)侵犯公民個人信息案件的基本特徵增加其辦案的難度
從司法實踐中出現的案件分析,侵犯公民個人信息案件呈現出如下特徵,給該類案件辦理帶來一定阻力。
1.涉案信息「量大面廣種類多」
從實踐中出現的侵犯公民個人信息案件的涉案數量來看,部分案件涉案信息數量高達百萬餘條,案件數量在數十萬條的案件極為普遍,案件數量極為龐大。如S市J區檢察院受理的趙某某侵犯公民個人信息案,涉案信息數量多達百萬餘條,且信息類型複雜多元。從信息分布來看,個人涉案信息可能涉及多個地區,如袁某丙、黃某丁侵犯公民個人信息案中,涉案信息涉及到江西、山東、上海等地,案件偵查取證工作難度大。從信息類型來看,案件信息涉及多種不同信息類型,有房產信息、車輛信息、徵信信息、交易信息等,對信息類型的判定成為辦理該類案件的前提基礎問題 。同時,由於侵犯公民個人信息案件涉案信息的數量動輒上數十萬條,對信息真實性是否需要核實及如何核實等問題成為擺在辦案人員面前的難題之一。
2.利用「網際網路+」實施犯罪案件佔比高
再以S市J區檢察院為例,該院近四年受理的案件中,利用網際網路傳輸或者直接在網際網路上獲取相關信息的案件共計20件35人,件數佔全部受理案件的83.3%,網際網路+成為侵犯公民個人信息的主要工具或渠道。另外,由於移動網際網路時代,信息傳輸和共享的「方便快捷」,使得侵犯公民個人信息案件呈多發高發態勢。如S市J區檢察院受理的諸多案件中,都是通過網際網路手段進行信息非法獲取、出售和提供,由此,對信息傳輸主體、渠道、方式等相關證據的查實成為工作的重要內容。
3.「房產領域」成為公民個人信息被侵犯的重災區
與上海近年來房地產市場的蓬勃發展相關,上海房產的交易呈現活躍頻繁的態勢,房產領域成為公民個人信息被侵犯的重災區。再以S市J區檢察院為例,該院近四年受理的案件中,案件信息中涉房產信息的案件數量為13件23人,件數佔受理案件總數的54.2%,房產信息成為犯罪人侵犯的主要個人信息類型,且從開發商到裝修公司,乃至物業公司和中介公司都能實現信息互通,信息傳播呈現鏈條化的趨勢。從不同單位流出的房產信息千差萬別,如有從房產交易中心和銀行流出的房屋產權信息,還有從中介公司、開發商、物業公司流出的包括姓名、聯繫方式、住址等基本內容的信息,對於不同房產信息類型的判定直接決定了其出罪入罪的標準的不同。
4.合法使用單位對公民個人信息的「保護不足」成為信息洩露的重要原因
公民個人信息被犯罪人非法獲取並繼續進行信息的擴散或者直接進行其他犯罪行為,與信息最初出自單位的保護措施不力密切相關。如S市J區檢察院辦理的吳某等五人侵犯公民個人信息案,系由於銀行等合法獲取信息單位系統存在某些管理漏洞,如相關信息查詢系統初始帳號和密碼未及時修改等原因,使得犯罪人有機可趁。我們認為,對於公民個人信息保護需要社會有關單位形成工作合力,司法手段作為事後救濟的一種方式,通常具有滯後性,如何建立健全公民個人信息保護的多元立體體系,成為需要深入思考的問題。該類案件的辦理為檢察機關辦案工作提出了更多的要求,針對辦案過程中發現的公民個人信息保護存在漏洞或者保護不足的單位,充分運用檢察建議等多種形式,建議其堵漏建制,延伸辦案觸角,封住公民個人信息洩露的源頭,切實保證公民個人信息不受侵犯,成為擺在檢察機關面前的重要任務。
(二)立法不足系導致司法實踐中辦案困境的重要原因
在刑事立法領域,《刑法修正案(七)》將侵犯公民個人信息情節嚴重的行為增設為犯罪,將非法獲取、出售、提供公民個人信息的行為納入到刑事打擊的範圍。隨後《刑法修正案(九)》根據司法實踐的實際需求進行進一步完善,不僅擴大了侵犯公民個人信息犯罪的主體範圍,還對在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,從重處罰。另外還提升法定刑配置水平,針對侵犯公民個人信息情節特別嚴重的情形,規定「處三年以上七年以下有期徒刑,並處罰金」。刑法修正案(九)出臺後,「出售、非法提供公民個人信息罪」和「非法獲取公民個人信息罪」被整合為「侵犯公民個人信息罪」,且加大了對公民個人信息的保護力度。後根據司法實踐反映,侵犯公民個人信息罪的具體定罪量刑標準不明確,法律適用存在爭議等問題,兩高聯合印發了《侵犯公民個人信息解釋》,對司法實踐中反映突出的問題作了全面、系統的規定。然而,司法解釋實施以來,對於侵犯公民個人信息案件的辦理,仍然感覺無所依從,雖然司法解釋對定罪量刑的標準進行了一定程度的明確,但司法實踐中信息類別豐富多樣,千差萬別,對於信息類型的判定、對於信息來源的證實、對於違反國家有關規定的理解、對於信息真實性核實的規則等問題仍然困擾了實務辦案人員,需要進行深入的理論探討和分析研判。
1
3
1
破解之道:解決侵犯公民個人信息案件疑難問題的對策建議
為保證案件辦理的準確及時,我們認為對該類案件辦理,需結合案件特徵規律和犯罪構成要件,著力考量刑事立法本意、實務可操作性和刑事公訴的基本屬性等方面破解上述具體問題。
(一)檢察機關對「違反國家有關規定」的構罪要件需予以證明
根據刑事訴訟舉證責任分配的基本規律和刑事立法的相關規定,檢察機關對嫌疑人的行為構成犯罪承擔舉證責任。侵犯公民個人信息罪的構成以「違反國家有關規定」為前提,對於刑法明文規定的該罪構成要件,不能進行簡單反向推定,即認為大批量公民個人信息不可能經得被害人同意,推定行為人非法獲取或者出售、提供公民個人信息。對此,我們認為指控機關要對違反的國家有關規定的名稱和條款予以證明,當然這裡的國家有關規定包括民法等基本法中關於公民個人信息保護的基本條款。
(二)關於特定信息類型的認定標準需把握信息的核心構成要素
根據兩高《侵犯公民個人信息解釋》的相關規定,關於公民個人信息的定義,其係指以電子或者其他方式記錄能夠單獨或者與其他信息結合識別特定自然人身份或者反應特定自然人活動情況的各種信息,包括姓名、身份證號碼、通信聯繫方式、住址、帳號密碼、財產狀況、行蹤軌跡等。基於不同類型公民個人信息的重要程度和與公民個人人身、財產安全的關係緊密度,解釋將公民個人信息區分為高度敏感信息、相對敏感信息及普通公民個人信息三類,並設定不同的入罪標準,然而在司法實踐中,對於種類紛繁複雜的公民個人信息,究竟應該劃歸到何種公民個人信息類型,我們認為,應該釐清不同信息類型的核心構成要素,並以此為據,判定公民個人信息的類型。
1.關於高度敏感信息的認定標準
根據兩高《侵犯公民個人信息解釋》的規定,高度敏感信息主要有行蹤軌跡信息、通信內容、徵信信息、財產信息四類,我們擬對司法實踐中出現較多的財產信息進行詳細闡述。在司法實踐中涉及到的財產信息的表現形式多樣,我們主要以出現類型較多信息種類進行著重分析。
(1)產調信息。對於從房地產交易中心、銀行等部門流出的包括房屋狀況和產權人、土地狀況、房地產抵押狀況等信息的產調信息,由於其具有明確的權利人、詳細的房屋住址、房屋的抵押和貸款等狀況,記載公民個人詳細的聯繫方式,系公民個人極為重要財產之一,且財產的金額通常巨大,極易引發公民個人密切相關的人身財產安全隱患,因此,這些信息宜認定為高度敏感性的財產信息,但對其來源需要有相應證據予以證實。對於從開發商、物業公司、房產中介等處流出的房產信息,信息內容一般包括姓名、聯繫方式和聯繫地址要素,此類信息較前述產調信息而言,信息的財產等價值屬性特徵不明顯,一般不認定為財產信息。根據信息內容的不同可以認定為交易信息、其他可能影響人身、財產安全的相對敏感信息或普通公民個人信息。
(2)車輛信息。車輛信息若具備以下核心要素宜認定為財產信息:駕駛人姓名、聯繫電話、住址、車牌號、車輛品牌、車輛型號。因如具備上述條件,犯罪人可以炮製出一車輛的行駛證等相關材料,其利用上述信息進行相關的違法犯罪活動極為容易。
(3)銀行卡等金融信息。內容包括姓名、聯繫方式、銀行帳號、存款金額等內容的信息,若有證據證實存款金額系即時性存款額,具有反映公民個人近期財產狀況的明顯特徵,則該公民個人信息可以認定為財產信息,其它情形需結合案件證據情況具體認定;包括證券帳號、密碼等內容的證券信息可認定為財產信息。因包括上述核心要素的信息,能夠準確反映公民的聯繫方式和財產狀況,極易引發相關的違法犯罪活動。
2.相對敏感信息的認定標準
根據兩高《侵犯公民個人信息解釋》的規定,相對敏感信息主要有住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息,還是以實踐中常見的交易信息和住宿信息為主要分析對象,具體認定標準建議如下:
(1)交易信息的認定標準。我們認為,一則信息可以被認定為交易信息,需包括「交易」的核心要素,具體而言包括交易主體、交易標的、交易價格、交易時間、交易成立方式等,如果交易成立的關鍵要素缺失,則不宜認定為交易信息。如一則信息內容中缺失交易價格要素,則認定交易信息即存在障礙。
(2)住宿信息的認定標準。我們認為,住宿信息主要是指公民個人在旅館、酒店等處住宿的相關信息。包括姓名、公民身份號碼、住宿酒店名稱、住宿登記入住及退房日期等。司法實踐中,可能存在的問題是對於公民居住在自己家中的信息能否認定為住宿信息?根據住宿信息的通常理解和普遍認識,我們認為這裡的住宿信息一般不應包括公民個人在自己家中住宿的信息。
(三)信息真實性核實的抽樣規則需兼顧科學性和可操作性
雖然根據兩高《侵犯公民個人信息解釋》第11條之規定,對批量公民個人信息的條數,根據查獲的數量直接認定,但是有證據證明信息不真實或者重複的除外。但目前對於「批量信息」如何界定還未有明確的意見,故基於增強案件承辦人內心確信的角度,我們認為有必要確立一套信息真實性核查的規則。侵犯公民個人信息案件通常涉案信息數量較多,如全部按照逐條核實的規則,不具有現實可操作性。因此,建議對公民個人信息的真實性核查,應根據既保證信息真實性核查具備一定科學性,又具有可操作性等角度,確定信息真實性核實的規則。
1.抽樣比例確定
根據不同信息類型入罪標準的不同,應設定不同的信息真實性核查方法,具體操作規則如下:
(1)對於以50條為入罪標準的高度敏感信息類型,需保證至少50條信息為真實信息,在涉案信息數量較小的情況下,可逐條核實至50條以上。對於查獲信息數量較大,不具備逐條核實條件的,可採取抽樣核實方法,根據一定規律抽取其中一定比例進行核實,後根據抽樣信息的真實性比例乘以涉案信息總量,確定真實信息的數量,如真實信息未達到50條,需繼續抽樣核實至不少於50條為止,保證50條信息為真實信息的入罪標準。
(2)對於以500條為入罪標準的相對敏感信息類型,採取抽樣核實方法,按一定規律抽取其中一定比例進行真實性核實,後根據抽樣信息的真實性比例乘以涉案信息總量,確定真實信息的數量達到500條的入罪標準。
(3)對於以5000條為入罪標準的信息類型,採取抽樣核實方法,按一定規律抽取其中一定比例進行真實性核實,後根據抽樣信息的真實性比例乘以涉案信息總量,確定真實信息的數量達到5000條的入罪標準。
2.抽樣方法和步驟
侵犯公民個人信息案件通常涉案信息數量龐大、種類繁多,因此,對於採取抽樣方法核實信息真實性的情況,需確保抽取樣本在涉案文檔中平均分布,具體步驟如下:
(1)將信息分類。將信息按照來源進行分類,採用分層抽樣的方法,將每種來源作為一個小組分別抽樣。抽樣時應按照已經確定的抽樣比例與該類別信息的數量計算出應當抽取的樣本數量。
(2)具體抽取方法。對於以電子數據形式存在的信息,在已經分類別的基礎上可以採用先對信息進行編號,後以隨機或者等距抽樣的方式進行抽樣。對於以紙質形式存在的信息,在計算出抽樣總體數量後,再根據頁數計算出平均每頁應當抽取的樣本數量。
(四)關於侵犯公民個人信息案件的涉案信息來源需要證明
我們認為,公民個人信息的來源系評價其行為人獲取行為是否合法及衡量行為社會危害性的重要因素,因此,對於只有嫌疑人供述的公民個人信息案件,需要對信息的來源加以證明,如其來自何處、信息傳輸的路徑、方式、渠道等,以證實其侵犯公民個人信息的社會危害性和刑罰可罰性。
(五)關於 「向他人非法提供公民個人信息」的認定需結合具體個案進行
向特定人提供公民個人信息屬於「提供」公民個人信息一般情況下無認識分歧,但對於一些個案中的具體情況往往難以判斷。如將非法獲取的公民個人信息向其「下屬」提供的行為,是侵犯公民個人信息罪意義中的「提供」行為還是使用行為?對此,我們認為個案中對於「提供」行為的認定應結合具體個案進行。刑事立法將「非法提供公民個人信息給他人」的行為作為刑法打擊對象,是因為提供行為可能導致後續的信息的繼續擴散及傳播,如果在一個保密規章制度和管理制度非常嚴格規範的單位,老闆提供給下屬用於正常的生產經營活動,且嚴格控制信息繼續往外傳播的方式渠道,那麼可以認定提供給下屬的行為就是歸自己使用的行為。但如果公司尚未合法成立,未取得相關的合法資質,也未設置嚴格規範的信息保密制度和保密措施,其給予下屬使用的行為本質上與刑法要打擊的提供行為無異,極易造成公民個人信息的繼續擴散與傳播,那麼此種情況下可以認定為「向他人提供公民個人信息」的行為。
上海市法學會歡迎您的投稿
fxhgzh@vip.163.com
往期連結
來源:《上海法學研究》集刊2019年第7卷——上海檢察文集(上)。轉引轉載請註明出處。
原標題:《侵犯公民個人信息刑事案件司法認定疑難問題研究》