“非法获取型”侵犯公民个人信息罪的认定
2023-05-15马骏
马骏
摘 要:侵犯公民个人信息罪主要包括“非法获取”与“非法提供”两种情形,应当基于法益保护目的,结合信息网络犯罪的特点审查判断证据,认定犯罪事实。非法获取公民个人信息行为往往是信息网络违法犯罪的发端,对其从严打击符合网络犯罪前端治理的需求;根据社会一般观念,行为人辩解的获取方式不具有合理性时,应当排除该辩解,把不具有“合法性”的“非法持有”推定为“非法获取”具有实践合理性;当前理论上有对“非法获取”进行扩大解释的观点,应当通过对获取、使用方式等“合法性”“合理性”的认定来制约“非法获取型”侵犯公民个人信息罪的不当扩张,实现打击犯罪与保障人权的平衡。
关键词:非法获取 侵犯公民个人信息罪 非法性 推定
一、“非法获取型”侵犯公民个人信息罪的认定难题
侵犯公民个人信息罪主要包括“向他人出售或者提供”“竊取或者以其他方法非法获取”两种行为模式,从行为人的角度,涵盖了对公民个人信息的“非法获取”与“非法提供”两种类型。不同于对毒品、枪支等其他有形违禁品的规定,刑法对侵犯公民个人信息罪没有就居于“获取”和“提供”中间地带的“持有”“私藏”行为作出明确规定,犯罪嫌疑人往往就信息的来源做出辩解,或者供述的合法来源方式难以查证,从表面上看认定“非法获取”的证据不充分,造成司法适用的争议。
[基本案情]2019年至2021年,靳某与王某共同从事买卖微信账号、支付宝账号牟利的活动。因实名的账号价格高于非实名账号,为获取更多利益,靳某购买公民个人信息注册账号后再进行交易。2019年,靳某通过某购物平台购买了《引流大全》电子书,扫描该书籍内的二维码加入了某引流微信群,通过该群群主,以500元的价格通过电子支付方式购买了大量公民个人信息。靳某在电子邮箱下载信息后经U盘拷贝到涉案电脑,并将部分信息用于注册账号并转卖牟利。公安机关现场扣押了涉案电子数据,经电子勘验,共包含15万余条公民个人信息;从靳某使用的手机中调取了《引流大全》电子书购买记录;现场扣押了45部手机及记账本,记账本载明了账号销售日期、数量、价格等,但具体账号难以核实,账号与公民个人信息的对应关系无法确定。靳某供述的出售公民个人信息的群主身份未能落实,而相关时间段内靳某有5笔交易金额为500元的电子支付记录,5名交易对手均否认出售公民个人信息(其中2人从事微信引流、代打游戏升级的工作),靳某用于接收电子数据的邮箱已经清空、用于拷贝传输数据的U盘已经遗失。
根据现有证据,靳某作为该宗公民个人信息的非合法持有主体,“非法持有”大量公民个人信息并且“非法使用”,其“非法性”足以认定,但是其“非法获取”的证据链不够完善。有观点认为,来源渠道仅有被告人供述,没有交易对手信息,出售者身份未落实,“非法获取”行为本身缺乏足够的证据支撑,该案事实不清、证据不足;也有观点认为,在“非法持有”的情形下,“获取”不需要另外证明,重点在于获取方式的“非法性”,有证人证言、平台交易截图等证据证明获取的“非法性”,有作案工具、售卖记录等证明利用方式的“非法性”,足以认定犯罪。上述争议焦点在于,“非法获取型”侵犯公民个人信息罪的认定,是需要查实“非法获取”行为本身才能定罪,还是可以将“持有”理解为“获取”的当然结果,查实获取、利用等“非法性”即可。本文将从电子数据证据的审查认定和法律适用两个层面展开论述。
二、结合网络犯罪特点审查认定电子数据证据
当前,侵犯公民个人信息犯罪多发生在信息网络空间,数据以无形的方式无处不在又高速流通,重构了人类的既往认知,也给打击犯罪带来了严峻挑战。网络作为虚拟空间,营造了新的规则形态,“网络与数据技术的推广与普及,正在创造和生成一种新的社会秩序”[1],应当结合网络犯罪的特点审查判断证据。
(一)电子数据来源去向查证困难
信息、数据是无形物,传播速度快,传播方式多样,容易形成分支数据、合成数据,本身就难以查证明确的来源、去向,难以与经手人建立明确的对应关系,电子数据取证具有一定难度。即便是操作的客户端、IP等虚拟地址能够确定,也需要与具体行为人建立明确的对应关系。本案中,行为人供述通过微信联系购买公民个人信息,经咨询运营商,相关聊天记录无法调取或者恢复;行为人供述通过电子邮箱接收数据,但是该邮箱内容已经删除,经咨询运营商,数据无法恢复;行为人供述最早下载数据的电脑已经报废,通过U盘刻录到涉案电脑,但是该U盘已经丢失,通过数据本身也无法反查数据来源。
本案关于公民个人信息来源的证据体系较为薄弱,应当根据电子数据证据的特点,进行综合判断。如对实物证据的扣押,一般需要描述特征、扣押原物等,不需要扣押实物所在空间,通过拍照、录像等足以反映现场即可。而扣押电子数据,除了通过计算电子数据完整性校验值描述电子数据特征之外,一般应当扣押、封存其原始的存储介质并移送,确保电子数据以特定的有形物为依托被加以固定。本案中,现场扣押了涉案电脑,侦查人员对电脑进行电子证物勘验检查,计算完整性校验值,将涉案电脑和电子数据一并移送,确保了电子数据证据来源合法,并通过电子勘验,确定包含大量公民个人信息,该宗电子数据证据已经完成固定。微信聊天记录、电子邮箱、U盘等,均是反映电子数据流转过程的载体,相关途径无法查实并不当然否定在案电子数据的证据效力,现有的公民个人信息电子数据证据能够与犯罪嫌疑人供述、电子书购买记录书证等形成证据链条,证明非法获取公民个人信息的犯罪事实。
(二)对电子数据的“占有”“获取”的认定应当具有开放性
一般认为,对有形物的转移占有,分为打破原来的占有、建立新的占有两个阶段,进而形成排他性占有。但是电子数据明显不同,彻底打破了对“占有”的直观认识,出现了共同占有、同时占有、混合占有等情形,导致“打破旧占有—建立新占有”的转化模糊不清。“获取”具有隐形形态,不再局限于实物的实际控制,“还应包括‘得知他人的网络数据”[2]。如网络账号,一般通过账号与密码登录,特殊情形时需要手机号码验证或者人脸识别,同时基于便利使用的考量,允许多个客户端同时登录,又叠加出现了不同的登录规则,由此如何认定占有成为难题。事实上该行为影响了权利人的占有,但是权利人可以通过验证登录再次建立占有并更改密码,完全打破了对物占有的传统认识。[3]如行为人掌握了某账号密码,在曾登录过的客户端可以凭密码登录,在新的客户端需要同时通过人脸识别才能登录,那么,该“占有”状态实际是一种附条件的占有、不确定的占有。因此,对电子数据的“占有”“获取”认定应当具有一定的开放性,不要求明确为排他性紧密占有,而应当在实质上理解为可以管理、控制。
本案中,行为人供述,其贩卖时把账号密码发给购买方,购买方可以登录使用,确保账号正常使用后才算交易完成。对于一些买入的账号,如果一时找不到下家,需要用其他电子设备登录,确保账号活跃度,避免被运营商收回。事实上,因为批量买进、卖出账号,对每一个账号的密码难以逐一修改,也没有时间逐个明确记录,也存在大量的“死号”“灰号”无法登录或者随时查封的情形。本案现场扣押的45部手机,经电子勘验发现,除了登录微信、支付宝等账号外,基本没有其他数据内容,且微信聊天记录仅为一句话“欢迎登录微信客户端”,也印证了行为人供述的涉案手机系用于“养号”的说法。涉案的账号用不同的标记划分,反映了不同的管理控制程度。如“私人死秘”表示不知道密码的个人账号;“私人活秘”表示养了一段时间知道密码的账号;“私人支”是指精养带支付密码的账号;“V3”是实名制支付宝账号;“20天SM”表示注册满20天的实名账号等。
(三)审查批量电子数据适用推定规则
数据传播成本低、传播速度快、信息交换便捷,电子数据容易集聚成海量数据,依靠人工难以实现逐一识别比对,因而催生了“打包”认定的实践路径。本案中,行为人以500元的价格买入该宗数据,自己供述大概有数万条个人信息。侦查人员对电子证据中“带身份证号数据情况”进行“去重复”操作,对不符合省级区划代码的数据进行处理,对中文姓名进行筛选,对不满18位公民身份证号码进行去除等,这一系列操作均是批量处理,因为通过人工手段核实该15万余条信息的全部真实性非常困难。另对该宗数据进行抽样检测,准确率达到90%以上。犯罪嫌疑人供述称,数据量大、账号密码复杂,人工难以记录,自己也不清楚买卖的账号对应的实名制情况。
正因如此,司法机关对公民个人信息认定、收集的规定经历了从“批量认定”到“以部分推定全部”的过程。最高法、最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《公民个人信息解释》)第11条第3款规定,对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。可以说这是对查获的公民个人信息直接认定的“批量认定模式”。后最高法、最高检、公安部《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》第20条规定,“对于数量特别众多且具有同类性质、特征或者功能的……电子数据等证据材料,确因客观条件限制无法逐一收集的,应当按照一定比例或者数量选取证据,并对选取情况作出说明和论证。”实际上是以部分在案证据推定全案证据,是对传统的证据认定规则的大胆突破。官方意见亦明确否定“逐一核实”的做法,“要求办案机关电话联系权利人核实公民个人信息的做法,明显不合适”[4]。
三、“非法获取”的核心在于认定“非法性”
从刑法第253条之一和《公民个人信息解释》第3条表述看,“非法获取”的表述在“违反国家有关规定”之后,该“获取”行为的非法性已经不言自明,但此处的“非法”不宜做机械理解。信息网络犯罪有其特殊属性,对“非法获取”的认定,亦应当充分关注法益保护目的,进行综合判断。
(一)宽泛认定“非法获取”符合前端治理要求
侵犯公民个人信息罪的前置条件是“违反国家有关规定”,对其理解需要结合立法体例。根据《公民个人信息解释》,此处的“国家有关规定”除了法律、行政法规外,还包括部门规章,实际上是对既有刑法规范的突破。同时,司法實践中对该“国家有关规定”一般不作专门认定,导致该表述形成一种“昭示意义”,有调研对 2414 份涉及该罪名的判决书进行梳理,发现仅有2例列明被告触犯的“国家有关规定”的具体来源[5],反映了对获取“非法性”不言自明的司法共识。
究其根源,对“非法获取”的宽泛认定,符合对信息网络犯罪前端治理的现实需要。非法利用公民个人信息进行诈骗等下游违法犯罪,对权利人的法益侵害更为严重,但是往往取证更加困难,刑法规制存在盲区,因而,以“获取”方式的非法性作为突破口,实现对信息网络犯罪的前端治理。“在处罚其他关联犯罪的同时,‘顺带实现遏制该类行为的附属效果,形成一种被动性附随打击的刑法应对进路。”[6]本案中,靳某通过非法买卖账号,数月时间内非法获利达到数10万元,并更新办公场所、购买作案工具、聘请客服人员,扩大非法经营的规模,但因出售账号的实名制情况无法核实,能够纳入刑法评价的只有其花500元购买的公民个人信息数据的行为,明显与非法所得不成比例,也反映了前端治理的必要性。
(二)不具有合法性的“持有”应认定为“非法获取”
在网络空间,由于客观性证据取证困难,犯罪嫌疑人的辩解往往难以查证。如果将所有的难以查明真伪的辩解认定为“合理怀疑”,无疑将面临大量案件举证不充分的现实困难。因此,应当审慎判断行为人辩解,不宜一律将无法查证的辩解认定为“合理怀疑”。只要证据的指向性明确,能够与在案证据相互印证,可以排除获取方式的“合理性”“正当性”即可,不需要查实所有可能的关联证据,这也反映了对“以部分推定全部”的推定规则的贯彻。因此,应当允许被告人参与该认定过程,同时给予其充分的辩护空间,允许提交有利的证据。在全面权衡之后,把不具有合法性的“非法持有”推定为“非法获取”更为妥当。“对于信息来源不明的,嫌疑人拒不供述信息获取方式或者辩解与其身份、职业不相称,非法持有公民个人信息也应当认定为非法获取。”[7]如陈某等人侵犯公民个人信息案,对查获的在案电子数据被告人辩解系下载而来,但无法查证,判决书说理认为,行为人的辩解不能提供有效线索,且不能说明所持大量公民个人信息的来源合法,进而认定为非法获取。[8]具体到本案中,关于该宗信息的来源渠道,对应时间段内共有5个交易对手,经逐个核实,其中2人从事微信引流、代打游戏升级的工作,与互联网信息行业高度相关,结合靳某将该信息用于非法盈利目的,足以认定具有来源和使用的“非法性”。
(三)以“合法性”“合理性”制约“非法获取”认定的不当扩张
学界关于“非法获取”的讨论颇多,但是大多论述倾向于对其进行扩大解释,将获取手段的非法性、主观目的的非法性、使用方式的非法性等纳入“非法获取”的可能范畴,导致“非法”含义的不确定性。有的观点认为“非法”修饰“获取”有重复之嫌,普通自然人的获取均为非法获取。“这里的‘非法并非指获取手段或者方法行为的性质,而是指行为人的获取行为在本质上是非法的。”[9]有的观点把后期利用的非法性纳入“非法获取”的范畴,似以“非法利用”反向印证了“获取”的“非法性”,进而合并认定为“非法获取”。“只要行为人以非法使用的目的获取了公民信息”[10],均可以评价为“非法获取”。
对“非法获取”的扩大解释必然造成司法实务中的争议,司法实践对“非法性”的认定似乎已经做出了超越实定法的解释,趋近于对“社会危害性”“法益侵害性”等实质层面,演变为“综合考量社会危害性程度”[11],应当引起足够警惕。基于当前的立法设计和司法实践,不妨结合法益保护目的,探索与之相左的实践进路:与其从正面阐述并完善“非法获取”的完整内涵,不如从防止刑罚打击面过大、保障人权的角度进行反向限制,通过认定、推定可能情形下的“合法性”“合理性”,限制“非法性”,实现一定程度的“对冲”。
易言之,公民个人信息原则上不得由自然人获取、提供,该“获取”或者“提供”具有天然的不法性,“持有”状态原则上有可能认定为“非法获取型”侵犯公民个人信息犯罪。根据存疑时有利于被告人的原则,应当注重该罪名扩张解释下的适用限缩,通过对“合法性”“合理性”证据的依法认定来反制“非法获取型”侵犯公民个人信息罪的不当扩张,以实现打击犯罪与保障人权的平衡。只要有证据证明该获取或者使用具有一定的合法或者合理理由,或者具有可宽宥性,则考虑宽缓化处理甚至出罪,這并非轻纵犯罪,而是基于立法设计、司法实践的合理选择。《公民个人信息解释》对为合法经营活动而非法获取公民个人信息规定了更少类型、更为严格的入罪标准也是例证,反映应该对获取、使用“合法性”“非法性”进行整体判断,使用的“合法性”可以冲淡获取的“非法性”。本案中,与靳某共同买卖账号的王某,主要发布广告、引流等,也能接触到靳某存放电子数据的电脑,并供述其明知该宗公民个人信息数据系靳某购买而来,类似于共同非法持有的情形,但持有行为系非法获取行为不可罚的事后行为,王某只是参与了事后的持有,因此,不宜将此时的“后期加入的非法持有”追认为“非法获取”而按照犯罪处理。综合全案证据,人民检察院认为王某的行为不构成犯罪,只对靳某提起公诉。人民法院以侵犯公民个人信息罪判处靳某有期徒刑3年,缓刑3年,并处罚金。
*山东省泰安市人民检察院法律政策研究室副主任、一级检察官,山东省泰安市岱岳区人民检察院党组成员、副检察长(挂职)[251000]
[1] 劳东燕:《个人信息法律保护体系的基本目标与归责机制》,《政法论坛》2021年第6期。
[2] 李遐桢、侯春平:《论非法获取计算机信息系统数据罪的认定——以法解释学为视角》,《河北法学》2014年第5期。
[3] 如某视频账号登录规则为同一个VIP会员账号最多可登录的终端上限为5个,其中分设备限制为:手机端App 2个、Pad端App 1个、电脑端客户端1个、网页端1个、电视端2个、VR端1个、车载端1个,智能家居端1个,如果他人知道账号密码登录使用,在超过登录限制时可能挤掉权利人已登录的客户端。
[4] 周加海、邹涛、喻海松:《解读〈关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释〉》,载人民法院出版社编:《解读最高人民法院司法解释(含指导性案例)·刑事卷》(第六版),人民法院出版社,第638页。
[5] 参见钭喆颋:《侵犯公民个人信息罪中客观行为的司法认定》,华东政法大学2021年硕士学位论文,第14页。
[6] 黄陈辰:《非法利用公民个人信息行为的刑法应对》,《政法学刊》2022年第1期。
[7] 刘芳、葛晓娟:《侵犯公民个人信息罪若干疑难问题的司法认定》,《北京政法职业学院学报》2021年第2期。
[8] 参见北京市第三中级人民法院刑事裁定书,(2021)京03刑终316号。
[9] 赵秉志:《公民个人信息刑法保护问题研究》,《华东政法大学学报》2014 年第1期。
[10] 陈文昊: 《侵犯公民个人信息罪中的“外围”立法与解释进路》,《重庆邮电大学学报(社会科学版)》2018年第3期。
[11] 参见喻海松: 《〈民法典〉视域下侵犯公民个人信息罪的司法适用》,《北京航空航天大学学报(社会科学版)》2020年第6期。