辩护观点:侵犯公民个人信息罪客体之辩
一、立法背景
在具体展开之前,有必要简要介绍侵犯公民个人信息罪的立法背景:
2009年,《刑法修正案(七)》增设非法获取公民个人信息罪和出售、非法提供公民信息罪,体现了国家对于个人信息保护的态度进入刑法视野。
2015年,《刑法修正案(九)》将两罪合二为一,设立了侵犯公民个人信息罪,同时修改了部分表述,扩大犯罪主体范围并提升刑法配置水平。
2017年,两高联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称“《个人信息解释》”),对法律适用问题做进一步具体规定。
然而,《网络安全法》施行于2017年,《个人信息保护法》更是去年11月才刚刚施行,可见在本罪的立法沿革上,“刑法先行”的现象非常明显。
《刑法修正案(九)》在前置性法律法规尚未完善时就设立了本罪,构成要件上又要求“违法国家有关规定”,企图通过刑事立法先行的方式倒逼前置性法律法规的完善。随着信息网络的不断发展,个人信息的获取手段和蕴含利益的增加、丰富,个人信息保护问题必然会成为立法关注的重点,“刑法先行”有利于推动问题的解决,是积极刑法观的体现。
但是,这种做法有违谦抑性理念,随之而来的弊端也很明显。本罪从犯罪构成上看属于行为犯,从条文结构上看属于“空白罪状”,而指向的前置性法律法规在当时尚未出台,这就意味着司法实践中需要对一些尚未经过行政、民事法律体系检验的行为,飞跃性地动用最高级别的刑事处罚,这将会带来适用条件、界限模糊,罪刑失衡,刑法不当扩张等问题。
侵犯公民个人信息罪在刑事司法实践中的适用经过了漫长的摸索,主体和主观层面不存在太大的争议,本罪的争议集中于客体和客观层面。
本罪的客观层面包含“提供或出售”及“窃取或非法获取”两种行为类型,主要争议集中于是否违反国家有关规定,所谓“规定”要求是国家层面的法律、行政法规、部门规章等,而不包含地方性法规和规章等,这已成共识;客体指向公民个人信息权,对此的争议比较多且杂,本文主要就客体方面的相关争议展开探析,并与案例结合归纳本罪辩护要点。
二、客体争议探析
(一)何为“公民”?
对于公民的范围,一般认为既包括中国公民,也包括外国公民和其他无国籍人,但前提是中国有管辖权,比如某个中国人非法获取了国外公民的信息,然后在网上售卖,同样构成侵犯公民个人信息罪。
(二)何为“个人信息”?
《民法典》第1034条规定:“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”
《网络安全法》第76条规定:“……(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》第2条规定:“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”
《个人信息保护法》第4条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
《个人信息解释》第1条也给“个人信息”下了定义:“指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
可见,基本的立法思路都把着眼点落于“能否识别出特定个人”这一点上,这是关键。不同的地方在于,各个规定中对“个人信息”的列举存在差异,这与相关规定出台时间、以及当时技术环境下个人信息的外延息息相关。
简单归纳,本罪中的“个人信息”认定上可以参照以下判断逻辑:
以上逻辑看似简单,但是在实际判断中经常容易逐渐脱离这条逻辑,原因在于个人信息权的属性和定义至今仍然有许多模糊的地方。
个人信息权究竟属于人身权利还是财产权利,亦或是一种新型权利?这个问题存在很多争议,也有人认为个人信息权是从隐私权中分离出来的权利。诚然,个人信息权和隐私权有不少相似之处,所以在判断上也很容易把“可识别性”与“隐私”两个标准相混淆。
实际上,“可识别性”是“个人信息”最为关键的属性,一切的判断需以此为前提,个人信息权不是一种公共权益,如果不能挂钩到特定的个人上,且不说无法确定具体的被害人,可以说从一开始就不存在所谓的“个人信息权”了。可识别的“个人信息”与“隐私”是重合关系,可识别的个人信息可能是隐私,也可能是公开的信息;隐私可能是可识别的,比如身份证号码、手机号码,也可能是无法识别的,比如网购记录、IP地址等。两者之间没有必然联系。
逐渐步入大数据时代的当今,“数据”越来越受到重视,因为常常和网络使用者的习惯、喜好、甚至隐私和敏感信息等息息相关,这种关联程度体现在每一个具体案件中都可能不同,是不能一概而论的。
概言之,只要紧扣判断的主逻辑,很多疑问都可以迎刃而解,比如账号密码、IP地址、cookie信息等,新问题新情况源源不断,取决于个案的判断,而逻辑都是一致的。
(三)可识别性如何判断?
可识别性又可以拆分为两种情况:
一种情况是,可以单独识别出特定个人的信息,比如最典型的身份证号码、经过实名认证的手机号码等,只要行为人获得这类信息,可以马上锁定具体的个人。
另一种情况是,需要结合其他信息才能识别出特定个人的信息,比如年龄、住址、工作单位等,这类信息不是某个人所特有的,行为人获得这类信息后,不能马上锁定具体的个人,而需要结合多个不同的信息。
应当注意,可识别性要求具有识别特定个人的“可能性”,这种可能性不要求行为人真的利用涉案信息将特定个人识别出来,而只要求涉案信息能够锁定到特定个人,给特定个人带来危险或危害。
接下来,笔者对侵犯公民个人信息罪相关判决书进行大量检索,并从中挑选典型的辩护理由和裁判认定逻辑,用以归纳本罪的主要辩护要点。
三、侵犯公民个人信息罪案件辩护要点:客体之辩
(一)涉案信息是否属于公民个人信息
首先,辩护人关于无效信息应当予以扣除以及公开的企业信息不能认定为“公民个人信息”等意见,经查,被告人王某某的信息来源为通过网络从他人处非法获取,其信息来源并非是合法的公开渠道获取,获取信息的方式具有非法性;其次,其非法获取的信息包含“用户名、发票号、姓名、公司名称、地址、联系方式、金额、笔数、单号”或者“姓名、手机号码及城市区域”的内容,属于法律规定的“单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”,并不存在无效信息;再次,关于辩护人提出的1000余条信息可经网上公开查询,并非公民个人信息的意见,经审核比对,公开查询获取的企业联系人、电话、地址等信息与涉案信息并非完全对应,且绝大部分个人信息不能通过公开查询渠道获取,被告人王某某非法获取的信息内容广于公开信息内容,属于公民个人信息;故辩护人关于不能认定为公民个人信息及不构成侵犯公民个人信息罪等意见,本院均不予采纳。辩护人关于对被告人王某某免于刑事处罚的意见,依据不足,本院不予采纳。
关于刘某某辩护人、顾某某辩护人提出涉案工商企业信息不属于刑法意义上的公民个人信息的辩护意见。经查,涉案工商企业信息包含公司名称、地址、经营范围、法人或经营者姓名、联系电话等内容,能够识别特定自然人身份或者反映特定自然人活动情况,根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条的规定,依法属于公民个人信息。故刘某某辩护人、顾某某辩护人该节辩护意见不能成立,本院不予采纳。
公民个人信息的保护是公民人格权保护的重要组成部分。公民的手机号码与特定的公民的身份信息相联系,属于公民个人信息。虽然被告人辩称出售的大部分电话号码系没有公民姓名、地址等内容的“裸号”,但是这些号码仍然属于公民不愿为特定范围以外的人群所公开知悉的公民个人信息,仍然要受到法律的保护。辩护人关于出售“裸号”行为不应认定为犯罪数额的意见,本院不予采纳。
辩护人提出,被告人胡某某涉案手机中检出的49415条短信,不属于公民个人信息的意见。经查,上述手机短信中绝大多数为手机系统信息、天气预报等信息,不属于侵犯公民个人信息罪中的公民个人信息。据此,在本案中,被告人胡某某的行为应认定为侵犯公民个人信息情节严重。
关于原审被告人王某1非法获取的信息属于刑法第二百五十三条之一规定的“公民个人信息”的认定。经查,在案证据可以证实,提取自原审被告人王某1电脑F盘中的电子数据,除车辆自身信息外,还包括车主的姓名、身份证号码、联系方式等,且以上信息均能够单独或者与其他信息结合识别特定自然人身份的信息,根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条之规定,原审被告人王某1非法获取的信息属于刑法第二百五十三条之一规定的“公民个人信息”。故对辩护人提出的相关意见,不予采纳。
关于三上诉人获取的公民电子邮箱信息是否为“公民个人信息”。最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定:公民个人信息是指以电子或者其他方式记载的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。电子邮箱是公民利用互联网发送、接收邮件的通信通讯联系方式,电子邮箱的用户名、邮箱地址、密码及邮件内容具有隐私性,并能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况,具有保护价值,根据上述司法解释的规定,电子邮箱完全符合公民个人信息的定义和特征。
(二)“从旧兼从轻”
根据2015年11月1日《中华人民共和国刑法修正案(九)》施行之前《中华人民共和国刑法》第二百五十三条之一的规定,当时该罪所调整的公民个人信息范围系“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员在履行职责或者提供服务过程中获得的公民个人信息”。据此,根据刑法“从旧兼从轻原则”,被告人王健在2015年11月1日前交易、交换的上述第二类信息(数量共计64224条)的行为本就不应当被认为是犯罪。
根据《中华人民共和国刑法修正案(九)》的规定,侵犯公民个人信息罪的犯罪主体由特殊主体修正为一般主体。该修正案于2015年11月1日起施行。根据该修正案的规定,本案被告人在2015年11月1日前实施的出售公民个人信息的行为,不能认定为犯罪行为。辩护人关于2015年11月1日前被告人出售公民个人信息的行为,不应认定为犯罪行为的意见,本院予以采纳。
(三)涉案信息是否已经合法对外公开
从在案证据来看,涉案信息提取自公开的商业网站中企业介绍自己生产、经营、销售产品状况的广告信息,其中包含的法定代表人或联系人姓名、手机号码应当是相关当事人自愿公开的,相关人员在将此类信息公开时,必然会预见有被他人使用甚至不当使用的可能性。“未经被收集者同意”不能笼统、狭隘的理解为只要权利人不同意,不管信息已公开与否,不论是否合法途径获取,都不能被使用;在相关信息已经合法对外公开的情况下,要求行为人的收集、整理、交换等行为仍需得到“被收集者同意”的要求过于苛刻也不合理。故在《中华人民共和国刑法修正案(九)》施行之后,根据以上理由,涉案的第二类信息也不应认定为属于《中华人民共和国刑法》第二百五十三条之一侵犯公民个人信息罪所调整的“公民个人信息”范围。
(四)公诉机关是否就“涉案信息归属于特定个人”做出举证
另外,根据最高人民检察院于2018年11月9日发布的《检察机关办理侵犯公民个人信息案件指引》,其中对“公民个人信息的审查认定”一节指出:对于企业工商登记等信息中所包含的手机、电话号码等信息,应当明确该号码的用途。对由公司购买、使用的手机、电话号码等信息,不属于个人信息的范畴,从而严格区分“手机、电话号码等由公司购买,归公司使用”与“公司经办人在工商登记等活动中登记个人电话、手机号码”两种不同情形。依照该规定,如果认为涉案的手机、电话号码是公民个人信息,就应当由公诉机关进一步举证涉案手机、电话号码系归属于个人。当前,公诉机关未作进一步举证,从上述“指引”的角度考查,认定本案相关信息属于“公民个人信息”的证据亦显不足。
(五)涉案信息是否含有重复、不真实信息
针对上诉人刘某某、顾某某及其各自辩护人的上诉理由、辩护意见,本院根据审理查明的事实、证据,综合评述如下:1、关于刘某某及其辩护人提出一审判决认定的涉案信息数量不当,其中含有重复数据以及不真实信息内容的上诉理由、辩护意见。经查,经对顾某某用于向汪某传送信息的QQ邮箱进行远程勘验检查,顾某某将从刘某某处获取的公民个人信息传送给汪某的数量为69万余条,无证据证实其中含有重复数据以及不真实信息内容。故刘某某及其辩护人该节上诉理由、辩护意见不能成立,本院不予采纳。……
经查,根据公安机关对本案四名被告人获取公民个人信息的数量去重、真实性比对情况及证人朱某波证言,一是在被告人曹某某获取公民个人信息中,纯电话号码359571条不具有客观真实性,应予合理排除,侵犯公民个人信息的数量应认定为2385条;二是在被告人王某某获取公民个人信息中,可比照被告人曹某某的数量予以认定;三是在被告人李某某获取公民个人信息中,结合真实性比对,从有利于被告人考虑,其侵犯公民个人信息的数量应认定为34403条(即8000+13288+6230+4663+2222);四是被告人汪某某获取公民个人信息来源于李某某、王某某及李某某,结合真实性比对,从有利于被告人考虑,其侵犯公民个人信息的数量应认定为35788条(即34403+2385+1000)。为此,根据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,公诉机关指控四名被告人实施侵犯公民个人信息罪的行为构成“情节特别严重”,本院不予支持。
(六)涉案信息属于一般的公民个人信息、还是属于高度敏感信息(影响门槛)
辩护人认为,航班信息并不属于司法解释规定的行踪轨迹信息。法院认为:航班信息虽然涉及公民个人轨迹,但并不能据此直接定位特定自然人具体坐标信息,故不应认定为司法解释规定的行踪轨迹信息,相关抗诉意见不予采纳。
四、其他辩护要点
(一)手段是否非法
辩护人关于无效信息应当予以扣除以及公开的企业信息不能认定为“公民个人信息”等意见,经查,被告人王某某的信息来源为通过网络从他人处非法获取,其信息来源并非是合法的公开渠道获取,获取信息的方式具有非法性……
(二)主观是否希望以公民个人信息牟利、是否获得违法所得
法院经查,在案证据可以证实,被告人屈某某在打听到导游黄某、深圳籍游客崔某及丈夫杜某的姓名、手机号码、住宿酒店等信息后,将该信息发布在“导游带团资源内部群,有团及时发布”微信群内,同时在群内询问“有无人一起过去”、“客人到酒店没”,发布要求游客“必须书面道歉”等内容的言辞……屈某某通过向导游黄某打听、询问的方式,得知深圳籍游客崔某及其丈夫杜某的信息,并发布在微信群,其主观上无牟利的目的,也未获得违法所得,唐小波等被告人实施的是起哄打砸滋事的行为,而非对游客本人实施的犯罪行为,不属于侵犯公民个人信息罪法定的“情节严重”情形。故对公诉机关指控被告人屈先锦构成侵犯公民个人信息罪不予支持。
(三)收集、提取电子数据程序是否合法
最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》要求收集、提取电子数据应当对原始存储介质予以封存,并应在封存前后拍摄被封存原始介质的照片,清晰反映封口或张贴封条的状况。电子数据的检查应当对电子数据存储介质拆封过程进行录像等规定。本案公诉机关提供的电子数据,经庭审查明,侦查机关未严格按照上述规定查封原始存储介质、提取电子数据。电子数据的收集、提取程序瑕疵,无法做出合理解释和补正。该电子数据证明的内容,本院不予确认。辩护人要求电子数据不能作为证据使用的意见,本院予以采纳。
综上所述,从辩护律师的角度来看侵犯公民个人信息罪的立法和司法实践,该罪名在手段是否非法,信息是否属于公民个人信息还存在较多的争议点。随着前置法律的不断完善和司法实践经验的不断累积,侵犯公民个人信息罪的适用逐渐清晰,但网络技术的发展势必为本罪带来更多的新问题,辩护律师可以紧抓立法目的和主要的判断逻辑,为当事人争取更多的辩护空间。
声明:本文仅为我们对相关法律、法规及政策的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所刘平律师联系咨询事宜。
