吴超令

一、基本案情

被告人李某自 2016 年以来在网上通过QQ 向上家购买了大量公民个人银行卡信息（每条信息多数含有储户姓名、公民身份号码、银行卡号、密码、联系电话，一部分没有对应的密码、联系电话），后又通过 QQ 向他人出售牟利。经查证，李某向肖某出售该类信息十万余条，向孙某等二十余人出售几百至几万余条不等的该类信息。其中，肖某系某公司风险管理部员工，因其所任职公司目前拥有大量的钱包用户，这些用户把自己的银行卡绑定在钱包上用于网络购物，该公司向该类用户提供了信用支付业务。肖某从李某处购买的银行账户信息，用于与在公司注册的钱包用户进行比对，进行风险防控。

二、分歧意见

近年来，侵犯公民个人信息犯罪案件处于高发态势，由于个人信息泄露引发的与之关联的诈骗、盗窃、敲诈勒索、绑架等案件频发，对人民群众的人身和财产安全造成极大的威胁。有鉴于此，《刑法修正案（七）》增设了《刑法》第253条之一，规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。 《刑法修正案（九）》又对《刑法》第253条之一作出修改完善，并将罪名整合为“侵犯公民个人信息罪”。2017 年 5 月 9 日，最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）。由此，我国初步形成了保护公民个人信息的刑法保护体系。

在办理案件的过程中，我们发现该案的分歧点主要集中在两个方面：（1）在办理李某、肖某等侵犯公民个人信息犯罪系列案件的过程中，涉及到他们出售或者非法获取的银行卡信息是否是财产信息的认定问题；（2）为合法经营活动购买银行卡信息是否构成犯罪？

三、评析意见

（一）对银行卡信息认定为财产信息的把握和界定

根据《解释》规定，非法获取、出售或者提供财产信息50条以上的，应当认定为《刑法》第253条之一规定的“情节严重”，构成侵犯公民个人信息罪。

对上述解释中财产信息的理解有两种不同的观点：一种观点认为，只要是非法获取、出售涉及有关个人财产信息的内容，不论内容真假，即使根据这些信息无法查询到相关个人的财产状况，也可以认定为财产信息，如银行卡信息的内容要素只要包括姓名、银行卡号、身份证号码就可以认定为财产信息，不需要密码，也不需要能够查到银行卡里的余额信息。另一种观点则主张，财产信息的认定应当从严把握，一方面，财产信息必须查证属实，另一方面，财产信息包括的内容应当能够查询到相应个人的财产状况，如银行卡信息的内容要素包括了姓名、银行卡号、身份证号码、密码、手机号码等，能够查询到该人银行卡里的余额，即可认定为是财产信息。

我们同意第二种观点。理由是：

最高人民法院有关人员撰写的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释〉的理解与适用》中谈到：“对于财产信息，可以根据案件具体情况把握：既包括银行账户、第三方支付结算账户、证券期货等金融服务账户的身份认证信息（一组确认用户操作权限的数据，包括账号、口令、密码、数字证书等），也包括存款、房产等财产状况信息。”[1]根据这一理解，笔者认为，财产信息必须是能够通过一组确认用户操作权限的数据直接或者间接查询到用户个人的财产状况，或者是直接含有财产状况的信息。所以，金融服务账户的身份认证信息的内容应当是一组确认用户操作权限的数据，通过这些数据内容可以查询到个人财产状况的，才可以认定为财产信息。虽然有数据，但是内容要素不全、不完整，甚至不准确，无法查询到财产状况的，则不能认定为财产信息。

（二）司法实务认定银行卡信息为财产信息的具体做法

結合这一观点，具体到办理李某、肖某等人侵犯公民个人信息案件中关于银行卡信息是否能认定为财产信息的问题主要有两个：

第一，这些银行卡信息是否可以直接认定为财产信息。笔者认为，由于侵犯财产信息 50 条即构罪，对这些银行卡信息认定为财产信息应当严格把握。这些银行卡信息如果包括了姓名、银行卡号、身份证号码这三项内容或者其中的两项内容，由于数据权限不够，尚无法查询到银行卡的余额信息，不能认定为财产信息。如果再加上密码或者手机号码等内容，可以查询到银行卡内余额，才可以认定为财产信息。

第二，要不要核实这些银行卡信息的真实性。因为这些银行卡信息的内容有些是错误的，如卡号、姓名、手机号码、密码都可能会出现错误。我们在办案中发现，被告人出售的银行卡信息的真实性均存在一定的问题，甚至存在掺假的可能性，有的信息的正确率仅为 50%左右。《解释》规定：“对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外”，这里确定了对公民个人信息的“批量认定规则”。根据这一规定，侵犯公民个人信息案件的涉案信息数量有批量与非批量之分。对于批量信息一般可予以直接认定，直接认定的对象包括涉案公民个人信息的两个方面：内容的真实性和数量的有效性。但鉴于这里的直接认定是相对推定，如果在有证据证明涉案信息不真实或者重复的情况下，相关信息应予以排除。[2]但对于非批量信息，尤其对于一些被告人仅出售或者非法获取几百条的信息，直接关系到行为人的罪与非罪，验证这些信息的真实性也显得尤为必要。笔者认为，办案机关应当核实至少达到构罪要求的50条以上为真实才能定罪。

本案李某所出售的信息可谓海量，而且，已经有证据证明涉案信息存在大量不真实的情况。但对司法机关而言，一方面，由于信息数量庞大，对信息内容的真实有效性一一核实并不现实。另一方面，只要海量信息中存在一个虚假的信息，对这些信息整体认定的真实性就会存疑。当抽取的信息被认定虚假后，其他信息是否需要一一筛查，需要使用何种核实方式才能得出有说服力的结果，是司法实践中的一大难题。[3]

为了核实这些银行卡的信息，我们在司法实务中所采取的做法是：第一，要求侦查机关向银行提供被告人出售或非法获取的这些银行卡信息进行核对。银行根据侦查机关提供的这些信息，从银行系统中调取到这些相对应的银行卡的真实信息，我们再进行核对至少50条以上。由于银行提供的这些真实的银行卡信息内容一般包括姓名、银行卡号、身份证号码和余额，但余额信息是变化的，目前我们只能核对姓名、银行卡号、身份证号码这三项信息的真实性。第二，通过第一步确定了被告人出售的相应银行卡信息上述三项信息为真实的基础上，要求侦查机关在做录音录像的情况下，再进行电话银行查询，一般银行要求在输入卡号、身份证号码的基础上，还要输入密码或者手机号码才可以查询到相应银行卡余额信息。[4]由此，才能确定该信息是财产信息。这种做法可以称之为“底线取证”方法，在大数据时代能够降低取证难度，实现证明方法的简易化。但这种方法只能解决定罪问题，对于量刑问题力有未逮，是否符合科学的证据认定规则也还值得进一步研究。对此，有观点提出应当运用统计学方法确立一套适用于刑事领域海量证据的“抽样检验规则”，实现证据认定的科学化。[5]我们赞同这种观点。

（三）为合法经营活动购买银行卡信息的定性

关于肖某从李某处购买的银行账户信息，用于与公司钱包用户进行比对，进行风险防控是否构成犯罪，存在分歧意见：一种观点认为，肖某购买的个人银行卡信息后，通过对被泄露的用户数据与公司用户注册的账号做匹配，从而对风险隐患账号采取更加严格的安全验证措施，防止被盗用、冒用，这种行为系保护用户权益的行为，没有社会危害性，不具有刑事可罚性。另一种观点认为，虽然肖某为合法经营活动购买财产信息，但目的正当不能证明手段合法，本案购买财产信息作为手段具有违法性，如果达到《解释》规定的入罪标准的，可以认定为侵犯公民个人信息罪。

我们同意第二种观点。主要理由是：

第一，被告人肖某购买的十余万条信息在被肖某所在部门用于比对注册用户的账户过程中已被部分人员掌握，该公司部门却没有做好涉案信息的保密制度和保护措施，信息泄露流失的风险极大。

第二，购买是当前非法获取公民个人信息的主要方式之一，购买个人银行卡信息对出售信息的行为提供了条件、空间，客观上促进了上游犯罪的实施。而且，购买往往是后续出售、提供的前端环节，没有购买就没有后续的出售、提供。[6]正所谓“没有买卖就没有伤害”，在以利益为纽带的侵犯公民个人信息犯罪产业链中，购买行为是最具有根本意义的行为。[7]

第三，出售与购买之间属于对向行为。按照对向共犯理论中的“立法者意思说”，如果出售行为被规定为犯罪，没有规定对向的购买行为为犯罪的，那购买行为不应当被认定为犯罪，但如果明确规定购买行为也是犯罪的，则应认定为犯罪。刑法规定侵犯公民个人信息罪的行为方式是“窃取或者以其他方法非法获取”。《解释》第4条明确：“违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之一第三款规定的‘以其他方法非法获取公民个人信息”。这里明确规定购买个人信息可以构成犯罪。

第四，《解释》第6条规定：“为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的‘情节严重：（一）利用非法购买、收受的公民个人信息获利五万元以上的；（二）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的；（三）其他情节严重的情形。实施前款规定的行为，将购买、收受的公民个人信息非法出售或者提供的，定罪量刑标准适用本解释第五条的规定。”必须强调的是，按照体系解释的原理，这里与《解释》第4条的规定是一致的，并没有排除为合法经营活动而购买个人信息的构罪可能性，而是将为合法经营活动而非法购买普通公民个人信息基于行为人使用目的和刑事政策的原因而提高了入罪门槛，但考虑到可能影响人身、财产安全的敏感信息的特别重要性[8]，还有“本解释第五条第一款第三项、第四项规定以外的公民个人信息”这样的除外规定。这一除外规定并不是说这些购买行为不再构成犯罪，而是说购买可能影响人身、财产安全的敏感信息的入罪门槛没有提高。也就是说，这里已将购买财产信息50条以上的排除在为合法经营活动而非法购买的特殊处理情形之外。所以，肖某购买公民银行卡信息十万余条，构成侵犯公民个人信息罪。

（四）进一步的思考：个人（财产）信息刑法保护的限度

基于罪刑法定原则和刑法的谦抑性，刑法对个人（财产）信息的保护不是无限制和肆意的，而是必须保持一定的限度，这是基于个人信息保护与信息披露的冲突和制衡，也是实现个人信息保护与有序利用、自由流通的平衡。[9]《解释》的规定也体现了上述精神。笔者认为，在司法实务中，办理侵犯公民个人信息案件应当注意以下几个方面：

首先，具有法律授权的个人信息使用不应认定为犯罪。公安机关在办理上述李某、肖某等案件过程中，出于核实银行卡信息真实性的需要向银行调取涉案个人信息，但银行出于保护用户账号安全的考虑，拒绝向办案机关提供涉案银行卡的密码。实际上，司法行政机关出于侦查等社会公共利益的需要调取个人信息是有法律强制性规定授权的，银行等金融机关无权加以拒绝。也就是说，有法律授权的个人信息使用，是正当行为，不应认为是违法犯罪。

其次，经过权利人同意的个人信息使用不应认定为犯罪。被害人同意或承诺是违法阻却事由之一。同样，个人信息经过权利人同意或承诺，相关机构予以披露并不会侵害公民的信息保护权。在我们提前介入一起公安机关办理的侵犯公民个人信息案件中，我们发现涉案人员在出售的个人信息中有相当一部分是事先经过公民个人同意的，我们要求公安机关查清涉案个人信息事先经过同意的部分和没有经过同意的部分，只有后一部分才有考慮构罪的可能性。

最后，侵犯公民个人信息行为既可以是犯罪行为也可以是违法行为，需要通过行为程度来区分罪与非罪，侵犯公民个人信息罪的罪量要求“情节严重”也体现了刑法保护的限度要求。对于“情节严重”的判断，可以综合考虑行为次数、手段、信息数量、损害结果、主观内容等方面，对“情节特别严重”的判断同样如此，因为合理区分罪轻与罪重，也事关被告人的人权保障。如上述肖某购买财产信息有十万余条之多，虽然达到《解释》规定的“情节特别严重”的标准，但其主观目的用途在于其所在任职公司的风险防控，按照阶层犯罪理论，其具有责任减轻事由，不宜认定为“情节特别严重”。

注释：

[1]周加海、邹涛、喻海松：《〈关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释〉的理解与适用》，载《人民司法》第19期。

[2]参见江奥立、薛阿敏：《三方面准确把握‘批量认定规则》，载《检察日报》2017 年 10月 11日第 3 版。

[3]参见李玉萍：《侵犯公民个人信息的实践与思考》，载《法律适用》2016 年第 9 期。

[4]由于银行出于保护用户账号安全的考虑，拒绝向司法机关提供涉案银行卡的密码，所以，办案机关无法直接核对。我们要求侦查机关通过这种方式核对实在是不得已而为之，但要求侦查机关在核对时做好相关程序保障和保密措施。当然，银行的拒绝是不对的，后文对此有进一步论述。

[5]参见最高人民检察院检察理论研究所课题组： 《互联网领域侵犯公民个人信息犯罪问题研究》，载《人民检察》2017 年第 2 期。

[6]喻海松：《侵犯公民个人信息罪司法适用探微》，载《中国应用法学》2017 年第 4 期。

[7]参见王肃之：《侵犯公民个人信息罪行为体系的完善》，载《河北法学》2017 年 7 月第 35 卷第 7 期。

[8]同[1]。

[9]参见李振林：《非法利用个人金融信息行为之刑法规制限度》，载《法学》2017 年第 2 期。