侵犯公民個人信息,一個很大的「籮筐」罪!
【閱讀提示】
很多企業家或公司白領階層都需要營銷,需要開拓客戶,在精準營銷或主動營銷的過程中繞不開的一個話題就是如何合法獲取及使用公民個人信息?現實社會中有太多勇敢「裸奔」的人,為了經濟利益奮不顧身的往前沖,絲毫沒有想到刑事法律風險,可謂無知無畏,不懂法,不知罪,沒有法律知識,更沒有法律意識,沒有信仰法律畏懼法律之心,等到撞得頭破血流的時候,後悔已太遲。刑事辯護律師每每看到如此,都感到非常痛心,但又非常無奈。社會大眾,哪怕是本科畢業生,都嚴重缺乏法律意識的教育,很多人都不知道犯罪為何物?很多人都停留在「殺人放火才是犯罪,沒偷沒搶就不是犯罪」的認知層面,其實犯罪陷阱就在我們身邊,隱藏在生活的各個角落,一不留神就將你吞噬,一不留神跨越雷池,就空餘千古恨。
本案涉及的是侵犯公民個人信息罪,確確實實是一個很大的「籮筐」罪,在信息爆炸的現代社會,時時都能接觸公民個人信息,處處都要使用公民個人信息。2009年出台的《刑法修正案(七)》及2015年出台的《刑法修正案(九)》對侵犯公民個人信息罪作了相應的規定和修改,2017年最高人民法院、最高人民檢察院又發布了《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,可見立法機關和司法機關對侵犯公民個人信息問題的重視。人們如何規避刑事犯罪陷阱?行為人如何把握侵犯公民個人信息罪的罪與非罪的邊界?
【案情簡述】
一、業務模式
戴某系廣州某投資管理公司的業務主管,該投資管理公司對外宣稱的業務模式是作為投融資的中介機構,一邊對接有投資需求的私募股權基金公司或其他資金方,另一邊對接有融資需求的中小企業老闆。但私募股權投資或者說風險投資的條件是很嚴格的,符合投資方要求的高質量的中小企業極少,所以該投資管理公司真正做成功的投融資項目是很少的,其主要業務或者或主要精力還是在於會議營銷及培訓,即將眾多中小企業老闆吸引過來舉辦會議,收取基本的費用(此費用扣除會務費和業務員的工資及提成後還略有盈餘),然後在會議中推銷價格比較昂貴的投融資培訓課程,如果確實有一些成長性很好的高科技類中小企業,就收取更加昂貴的傭金,將該企業介紹給投資方。
二、豐厚利潤
現實中的中小企業成長確實艱難,首要的困難就是融資難,所以該商業模式確實挺吸引人。中小企業老闆繳納基本的費用後,相當於是聽了一場有償的財經類講座,也並沒有感到吃虧。即使沒有意向花費更多的金錢進一步培訓,但該投資管理公司就已經不虧本或略有盈餘。但也有少部分老闆為了其企業的長遠發展和自身的融資需求,也會進一步花錢參加培訓。此培訓服務,就是該投資管理公司的豐厚利潤之所在。如果能進一步的收取投融資的傭金,那就是額外的超額利潤了。
三、鋌而走險
該投資管理公司看起來屬於「高大上」的金融類行業,再加上誘人的提成激勵機制,所以招收到的員工都是顏值高、形象好、口才佳的正規大學本科畢業生,他們的思維活躍,行動力強,工作積極進取,所以該投資管理公司的業務是欣欣向榮,一派熱鬧。這些員工在開拓業務的過程中,為了更有針對性的進行精準電話營銷,均使出渾身解數,掘地三尺般的尋找各類型中小企業老闆的姓名和電話,甚至他們的住址及名下的房子、車子、保險等財產信息。所以需要大量的搜集、交換或購買各種公民個人信息。
四、東窗事發
該來的始終會來。有一位中小企業老闆花費了十多萬元購買了該投資管理公司的培訓課程,上了部分課時後,認為沒什麼作用,感覺被欺騙了,就要求退款,該投資管理公司予以拒絕,該老闆後來只要求退還剩餘課時所對應的費用,該投資管理公司依然拒絕,該老闆一氣之下去公安機關報案,稱該投資管理公司涉嫌詐騙,並提供了十多萬元的刷卡記錄。一開始公安機關認為這是經濟糾紛,並沒有受理報案。後來該老闆又找來另外其他兩位老闆的刷卡交費記錄,均是數萬元不等,並聲稱有數百位被詐騙者。於是公安機關就派人去該投資管理公司現場了解情況,到了現場發現數名在進行電話營銷的業務員手邊均有厚厚一沓公民個人信息,經詢問,業務員稱這些公民個人信息是購買的或是公司派發的。公安機關進一步了解該投資管理公司的經營模式後,將相關人員帶到派出所調查。24小時後,公安機關並沒有對詐騙案立案,卻以涉嫌侵犯公民個人信息罪為由立案,並將作為業務主管的戴某及另外一位業務主管刑事拘留。
【辦案策略】
一、會見要點
戴某被刑事拘留後,其父母因為經濟實力雄厚,有一定的社會地位,所以根本無法接受他們眼中如此優秀的兒子被當成犯罪分子抓起來的事實,於是四處張羅,託人尋找關係,誓稱一定要將兒子營救出來,但經過近一個月的努力,花費了巨資,卻始終沒有見到任何成效,最後才經人介紹來找律師。我們在戴某被刑事拘留的第30天前往看守所會見。辯護律師關注的焦點有三點:
首先是關於信息的來源。戴某如實地向我們講述了其自身獲取公民個人信息的方式及渠道。有些信息的獲取是不需要花錢的,直接登錄一些產品發布類的電子商務網站即可獲取,這樣的信息多達幾百條,但另一些信息是屬於職場人脈類的網站獲取的,需要花錢註冊會員才能予以獲取,但此類的信息畢竟是少數,只有幾十條。
其次是關於戴某與其他業務員的關係。戴某稱,其與其手下的業務員一樣,都要自己簽單成功才有提成。對於下屬的業績,他會有額外的一點提成。只是因為自己具有管理的才能,再加上自己的業績比較好,才被提拔為業務主管。但業務主管也業務員一樣,都要靠自己的方法和渠道開拓客戶,公司老闆或業務主管根本不會提供任何公民個人信息給業務員。
最後是關於獲利情況。戴某獲取他人的聯繫方式,撥打電話吸引客戶前來參加會議,然後由專門的講師推銷培訓課程或推薦投融資項目,至案發時,其業績共有幾十萬。
二、營救成功
在聽完當事人的陳述後,辯護律師即積極準備,及時向檢察機關提交不予批捕法律意見,並與經辦人員進行有效溝通,觀點如下:
第一、戴某在客觀上雖獲取了他人信息,但戴某是自行登錄商貿類網站,通過公開方式直接查看到企業的信息及相關人員的聯繫電話,這就相當於是這些權利人自願公開其個人信息,甚至希望相關信息能廣泛傳播,這雖然涉及公民個人信息,但屬於廣告信息和商貿信息,將其認定為犯罪明顯違背一般社會公眾的認知。
第二、戴某搜集後只是自行撥打其電話,沒有進行犯罪活動,也沒有再將信息提供或轉賣給他人。
第三、戴某另外獲取的一些聯繫電話是從職場人脈類的網站獲取的,需要花錢註冊會員才能看到,但這些信息只有幾十條,這不能視為購買行為,更不能視為「以其他方法非法獲取公民個人信息」的行為,因為戴某無法判斷這些信息是權利人自行提交的還是該職場人脈類網站非法獲取的,以及是否經過權利人的同意。
第四、本案沒有證據證明已達到「情節嚴重」的程度,戴某所在的公司經營活動是合法的,其推銷的培訓課程雖然價格昂貴,但這是市場調節的價格,推銷過程沒有虛假誇大宣傳,至於聽課的效果只能說因人而異。
最終,等到第37天時,檢察機關沒有批准逮捕,公安機關當天對戴某作出取保候審的決定並予以釋放,後撤案。
【律師評析】
一、如何理解「以其他方法非法獲取公民個人信息」?
2015年8月29日出台的《刑法修正案(九)》(2015年11年1日施行)將《刑法》第二百五十三條之一修改為:「違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,依照前款的規定從重處罰。竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規定處罰。」
其中規定的「以其他方法非法獲取公民個人信息」該如何理解?本案案發時並沒有明文規定,後來出台的司法解釋對此加以明確規定。
最高人民法院、最高人民檢察院2017年5月8日發布的《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(2017年6月1日起施行)第四條規定,違反國家有關規定,通過購買、收受、交換等方式獲取公民個人信息,或者在履行職責、提供服務過程中收集公民個人信息的,屬於刑法第二百五十三條之一第三款規定的「以其他方法非法獲取公民個人信息」。
什麼叫「違反國家有關規定」?上述司法解釋第二條規定,違反法律、行政法規、部門規章有關公民個人信息保護的規定的,應當認定為刑法第二百五十三條之一規定的「違反國家有關規定」。
什麼情況下的「購買、收受、交換」是符合國家有關規定的?什麼情況下又是不符合國家有關規定?《網路安全閥》第四十四條規定,「任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。」所以,似乎可以理解為,上述司法解釋將「購買、收受、交換等方式」一律列為非法獲取公民個人信息的方式,這確實是比較嚴苛的,並沒有秉持刑法的謙抑性和體現寬嚴相濟的刑事政策。
二、從公開渠道獲取的信息,到底是不是侵犯公民個人信息?
筆者認為,相關公民個人信息如果已經公開,那麼獲取行為無疑是合法的,此處的獲取是指自行收集,而不是「購買、收受、交換」,也就是說,自行搜集網路公開的信息,不屬於犯罪行為。一個疑問是,如果是繳納費用才能註冊進入某家網站,在該網站獲取的信息是否為公開信息?是否為購買?該問題恐怕容易引起爭議。筆者認為,首先,公民個人信息在該網站的公開,就已經面對不特定的社會公眾公開了,雖然該網站的會員是相對固定的,但是只要不特定的社會公眾繳納費用,就馬上可以成為網站會員,而沒有其他任何限定條件,所以該信息應視為公開信息。其次,這種繳納費用所對應的權利是成為該網站的會員的權利,而不是對應查看某具體公民個人信息的權利,兩者不是對價關係,所以並不能視為購買。
三、合法獲取公民個人信息後,又出售、提供給別人,是否構成犯罪?
上述司法解釋第一條將「公民個人信息」表述為反映特定自然人活動情況的各種信息,沒有限定為個人隱私信息。因此,公民個人信息不要求具有個人隱私的特徵,即便相關信息已經公開,不屬於個人隱私的範疇,但仍有可能成為「公民個人信息」。使用不當,也可能構成犯罪。
對於合法取得的公民個人信息,後續又出售、提供給他人的行為是否合法,是否構成侵犯公民個人信息罪,在司法實踐中存在爭議。譬如行為人從商貿網站和政府部門公開的企業信息網、招聘類網站上搜集企業公開發布的信息,例如公司名稱、辦公地址、法定代表人姓名、聯繫人姓名及電話,或者通過各種公開會議及派發、交換名片的場合搜集公民個人信息,然後將上述信息存入資料庫,供他人付費查詢使用。該如何認定?筆者認為,是否應追究刑事責任,應進一步審查出售、提供給他人的行為是否違反法律、行政法規、部門規章的禁止性規定(其實截至目前找不到相應的明確規定)。對於權利人自願公開、甚至主動公開的公民個人信息,經整理而未形成新的信息內容的,如果向他人提供的行為,應該可以推定被收集者存在概括同意,從而無需就出售或提供行為再次獲得被收集者的同意。除權利人在自願公開、主動公開的時候特別要求「二次授權」,否則應該推定其存在概括同意,不宜再對收集後出售或提供的行為要求「二次授權」,故應該不屬於犯罪。
對於非自願公開或非主動公開的公民個人信息,行為人獲取相關信息後出售、提供的行為,是否構成犯罪?譬如政府部門為救濟、救助或者獎勵、懲罰而公示的個人信息。對於這種情況,關鍵是如何認定權利人非自願或非主動?如果權利人發現其個人信息被別人收集後,主動要求行為人刪除,則可認定權利人非自願公開或非主動公開,在這種情況下,行為人的後續出售、提供行為如果對權利人的隱私和生活安寧造成困擾,則可能構成侵犯民事權利,但是否構成犯罪,則要具體情況具體分析,情節嚴重的可能會涉嫌犯罪。
四、網路經營者收集及提供公民個人信息的合法邊界?
《網路安全法》第四十一條規定:「網路運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。」「網路運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。」違反上述規定,未經他人同意收集公民個人信息,或者收集與提供的服務無關的公民個人信息的,應當認定為「非法獲取公民個人信息」。以此為基礎,上述司法解釋第四條專門明確,違反國家有關規定,在履行職責、提供服務過程中收集公民個人信息的,屬於刑法第二百五十三條之一第三款規定的「以其他方法非法獲取公民個人信息」。
基於大數據發展的現實需要,《網路安全法》在法律層面為個人信息交易和流動留有一定空間(但還沒有進一步的法律法規出台)。《網路安全法》第四十四條規定,「任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。」換一個角度來理解,即,允許有關個人和組織合法的提供公民個人信息。
《網路安全法》第四十二條第一款進一步明確了合法提供公民個人信息的情形,規定:「網路運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。」據此,經得被收集者同意,以及匿名化處理(剔除個人關聯),是合法提供公民個人信息的兩種情形,不能納入刑事規制範圍。基於此,上述司法解釋第三條第二款規定:「未經被收集者同意,將合法收集的公民個人信息向他人提供的,屬於刑法第二百五十三條之一規定的『提供公民個人信息』,但是經過處理無法識別特定個人且不能復原的除外。」當然,這裡只是明確此種情形屬於「提供公民個人信息」,是否構成侵犯公民個人信息罪,還需要根據「違反國家有關規定」等要件作進一步判斷。
五、為了合法經營活動而購買、收受公民個人信息,是否構成犯罪?
從實踐來看,購買、收受公民個人信息從事廣告推銷等活動的情形較為普遍。上述司法解釋第六條第一款規定:「為合法經營活動而非法購買、收受本解釋第五條第一款第三項、第四項規定以外的公民個人信息,具有下列情形之一的,應當認定為刑法第二百五十三條之一規定的』情節嚴重』:(一)利用非法購買、收受的公民個人信息獲利五萬元以上的;(二)曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰,又非法購買、收受公民個人信息的;(三)其他情節嚴重的情形。」
這是針對為合法經營活動而購買、收受公民個人信息的行為設置的專門的定罪量刑標準。而且只規定了「情節嚴重」的具體情形,沒有規定升檔量刑的情形。
需要注意的是,適用該定罪量刑標準須滿足三個條件:
一是為了合法經營活動,對此可以綜合全案證據認定,但主要應當由被告方提供相關證據;
二是限於普通公民個人信息,即不包括可能影響人身、財產安全的敏感信息;
三是信息沒有再流出擴散,即行為方式限於購買、收受。根據該解釋第六條第二款的規定,如果將購買、收受的公民個人信息非法出售或者提供的,定罪量刑標準應當適用該解釋第五條的規定。
六、在合法經營活動中交換公民個人信息,是否構成犯罪?
應當注意的是,上述司法解釋第六條沒有明確「交換」這一非法獲取公民個人信息的行為表現方式。主要考慮是,交換信息是雙方對向提供、收受信息的行為,性質比「購買、收受」更為惡劣,對為合法經營活動而非法交換信息的,應當按照第五條的定罪量刑標準定罪處罰。也就是說,即使為了合法經營活動,只要交換了公民個人信息的,達到數量標準都構成犯罪。
