非法获取公民个人信息犯罪区域性实证分祈

【内容提要】近年来，在信息技术发展及商业利益驱动的双重作用下，公民个人信息遭受侵犯现象时有发生。为有效应对这一社会现实问题，《刑法修正案（七）》明确规定了出售公民个人信息罪、非法提供公民个人信息罪以及非法获取公民个人信息罪三个具体罪名。本文通过对2010年北京市海淀区人民检察院受理的该类案件进行调查分析，针对非法获取公民个人信息犯罪在司法实践中存在的法律适用疑难问题提出对策建议；对公民个人住处的范畴作出界定，详解其“来源”条件和“违法”条件，并试对“情节严重”标准作出设定。
【关键词】非法获取公民个人信息犯罪 特点 认定

　　在信息技术发展及商业利益驱动的双重作用下，当今社会中公民个人信息频遭侵犯。作为新型罪名，非法获取公民个人信息犯罪在法律层面和实践层面仍然存在诸多问题，譬如，对“公民个人信息”的界定认识不一，对非法获取公民个人信息行为“情节严重”认定难以操作，等等。自非法获取公民个人信息罪这一新罪名出台以来，司法机关逐步加大了查处力度，查办了不少非法获取公民信息犯罪案件。


一、非法获取公民个人信息案件的主要特点

　　据统计，北京市海淀区人民检察院2010年全年共受理该类案件31件41人，这些案件主要呈现以下特点：
　　1．作案方式主要为网络交易。网络交易的便捷性和低风险性使其成为罪犯获取公民个人信息的首选方式。2010年海淀区检察院受理的31起案件中有20件属于此种类型，占64.5％。此类案件中，信息需求者首先会利用百度、谷歌等搜索引擎，或者加入特定的QQ群，在互联网上查找信息提供者，再通过QQ或者电子邮箱传输信息文件，并以银行转账的方式完成交易。此外，当面交易的案件为7件，占22.5％。另外，有4件6人的作案地点为海淀区上地等高新技术产业集中地区，占12.9％。
　　2．作案目的主要是辅助拓展业务和出售牟利。信息的商业价值已得到广泛认知，受利益驱动，一部分犯罪嫌疑人实施获取公民个人信息的行为，并将上述信息应用到业务的扩展之中，以挖掘潜在客户，并由此催生了公民个人信息的非法交易市场。2010年受理的非法获取公民个人信息案中，有26人将获取的公民信息用于业务推销，占该类案件总人数的63.4％；另有14人单纯为二次出售牟利而获取信息，占总人数的34.1％。
　　3．犯罪对象主要集中在车主信息、银行客户信息、企业负责人信息等。对犯罪嫌疑人所获取的公民信息种类进行统计，其比重由大到小依次为：（1）车主信息15件，占48.3％；（2）银行客户信息10件，占32.2％；（3）企业负责人信息5件，占16.1％；（4）通话记录、户籍底卡、购物者信息各3件，分别占9.6％；（5）快递公司客户信息、新生儿信息各2件，分别占6.4％；（6）纳税人信息、股票账户开户人信息、高尔夫会员信息各1件，分别占3.2％。值得注意的是，在大部分案件中，犯罪嫌疑人获取的信息种类并不单一，通常是几种信息兼而有之。
　　4．产品推销行业和保险行业从业人员成为该类犯罪的“高发人群”。在41名犯罪嫌疑人中，11人是产品推销行业人员，占26.8％。这类案件有如下特征：第一，推销的产品种类繁多，涵盖数码产品、化妆品、保健晶等多种商品推销行业。第二，获取信息为同类产品的客户信息。如犯罪嫌疑人张某为推销深海鱼油、西域虫草等产品而非法获取曾经购买过保健品的公民信息。第三，公民信息多被用于推销劣质产品。此外，从事保险业的犯罪嫌疑人共计6人，占14.6％；招生代理业3人，占7.3％；股票经纪和短信群发行业均为2人，分别占4.8％。
　　5．企业负责人和私家侦探公司经营者成为新兴犯罪主体。伴随着市场经济的发展，各行业内部的竞争逐渐加加剧。一些企业负责人为主动招揽客源而购买大量公民个人信息，雇佣业务员进行联系。2010年海淀区检察院受理的案件中，犯罪主体为企业负责人的10件13人，占32.2％，私家侦探公司经营者为4件5人，占12.9％。私家侦探行业近年发展迅速，但缺少行业规范的规制，相关法律法规尚不完善，部分嫌疑人在接受委托获取特定信息的过程中，实施了侵犯公民信息的犯罪行为。


二、办理非法获取公民个人信息案件中存在的问题

　　作为新型罪名，非法获取公民个人信息案件在办理中仍然存在诸多问题，在一定程度上影响了对此类案件的打击力度，主要体现在以下几个方面：
　　1．对“公民个人信息”的界定存在争议。《刑法修正案（七）》增设的第二百五十三条将公民个人信息定义为“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，在履行职责或者提供服务过程中所获得的公民个人信息”，然而在实践中，对于公民个人信息的界定，却存在不少困惑。一方面，对于一些明显包含公民姓名、电话号码、家庭住址等与公民个人存在关联并可以识别特定个人的信息，同样对公民的人身安全、财产安全和个人隐私构成严重威胁，却不被法律规定明确列举的几类行业所涵括，例如从汽车销售渠道流出的车主信息，从房地产销售渠道流出的购房信息、从保险公司流出的客户信息，从高级会所流出的会员信息，从商业公司流出的电视购物信息等等，是否也应当从立法本意出发而纳入应当保护的公民个人信息范围，值得商榷。另一方面，对于来源于法律规定的上述行业的信息，是否都应当划入公民个人信息的范围也值得商榷。例如对于从工商部门获取的企业信息，不仅包括了企业名称、地址、邮编，而且还包括了法定代表人的姓名和个人的联系方式，从形式上看，此类信息因为包括了法定代表人的个人信息而应当界定为公民个人信息，但是从实质上看，此类信息又并非针对公民个人隐私，对于类似的信息如何界定仍存在争议。
　　2．“情节严重”认定难以操作。实施非法获取公民个人信息的行为，也可以通过追究民事责任或者行政手段进行规制，只有行为的社会危害性达到了应当受到刑罚处罚的程度时，才构成犯罪，因此，法律明确规定“情节严重”是非法获取公民个人信息罪的入罪条件，但何为“情节严重”，尚无依据可循。在判断入罪时，可能因为司法者对法律条文的不同理解甚至误读造成法网严疏有别，如打击面过宽，则有违刑法的谦抑性原则；如打击面过窄，则偏离了立法保护公民权利的初衷，不利于震慑愈演愈烈的犯罪。而入罪之后，司法部门又没有可供执行的统一执法尺度，量刑存在差别，在一定程度上破坏了法律的严肃性。在办案实践中，一般掌握的“情节严重”标准，是从非法获取信息的目的、犯罪手段、信息的用途、犯罪后果、获取数量及获取次数等方面进行判断的。然而即便司法者审慎地掌握上述标准，在实际操作中问题仍随之而来。例如，为进行市场调查获取大量信息，并未转卖或用于拓展业务的，是否应当入罪？非法获取行为造成严重后果的，应达到何种程度？获取信息的数量应当定为多少比较适宜？获利金额与此罪侵害的法益并无直接联系，是否也应成为“情节严重”的标准之一？此类问题若得不到解决，易造成各地基层执法部门的不统一。
　　3．获取信息的来源和时间难以甄别和确认。虽然法律规定公民个人信息的来源作出了限制性的规定，但是在办案实践中，出售和非法提供公民信息的源头往往难以查获，而大多非法获取的公民个人信息案件中的信息都是几经转手或者直接购买于网络，犯罪嫌疑人也不知道信息最初的来源。因此，除了一些户籍底卡、储户信息、新生儿信息等显而易见的是从国家机关、金融、医疗单位方能获取的之外，对于其他一些综合类信息及经过修改的信息，办案人员很难从信息内容上判断信息的来源，给定罪带来困难。
　　同时，由于《刑法修正案（七）》自2009年2月28日实行，而刑法溯及力采用从旧兼从轻的原则，因此，2009年2月28日以前实施的非法获取公民个人信息行为不应作为犯罪处理。然在在实践中，出现了非法获取公民个人信息的时间点难以确定的情况。例如很多案件属于网络交易形式，交易双方互不相识，很难找到上家核实交易时间，因此犯罪时间的确定只能依靠行为人的供述，造成行为人对犯罪时间的供述能够左右案件处理结果的窘境。
　　4．获取信息的数量和真实有效性难以调查取证。信息数量和是否真实有效是实践中把握“情节严重”的标准之一，因此应当准确核实。然而在几乎所有的非法获取公民个人信息案件中，犯罪嫌疑人都是以电子设备存储公民个人信息的，因此涉案的信息数量往往十分巨大，少则几万多则数百万条，有的甚至多达1亿多条。办案机关对如此大量的信息进行筛查，存在两个难点：一是信息重复。有些信息重复系客观原因导致，如存在同一客户重复登记或多个订单的情况。而有些信息重复则是主观原因造成，信息出售者大量复制原有信息，增加信息数量以提高价格。但遗憾的是，从司法鉴定的角度讲，目前尚没有一种鉴定方法能够有效剔除重复信息。二是信息真实有效性无法验证。在办案实践中，公民个人信息往往在形式有效性和内容真实性两方面容易出现问题。对于形式有效性，承办人尚可通过大量的书面审查工作，将一些姓名、地址、联系方式等形式上不完整的信息进行剔除。但对于信息内容的真实有效性进行一一核实则是完全不现实的。由于信息数量庞大，实践中一般都是随机挑选若干信息，通过拨打电话等方式予以核对信息的真实性，从而推定全部信息为真。然而如何抽取信息、抽取多少才符合一定的科学抽检流程？抽取的信息被认定虚假后，其他信息是否需要一一筛查，用什么样的核实方式才足以得出具有说服力的结果，等等，实践中难以解决。


三、非法获取公民信息犯罪案件法律适用疑难问题探讨

　　对于司法实践层面上所存在的信息获取时间、信息来源、信息数量以及真实性等问题，其根源在于取证的困难，司法机关应加强和相关部门的配合，以保证证据的调取与核实。在法律适用层面，笔者仅对公民个人信息的界限以及情节严重的认定两大难题探讨如下：
　　1．公民个人信息的范畴界定。“文理解释意味着，人们试图从语言的意义上推论出法律意思。这种解释的主要难点在于，必须首先搞清楚，是法学上的语义起决定作用，还是一般的语言适用起决定作用。”⑴从一般语意上理解，所谓公民个人信息，是指公民个人不愿为一般其他普通社会公众所知，并对公民个人有保护价值的信息。而对于刑法意义上的公民个人信息，刑法第二百五十三条之一设置了两个限定条件：第一是“来源”条件，即“国家机关或者金融、电信、交通、教育、医疗等单位在履行职责或者提供服务过程中获得的公民个人信息”；第二是“违法”条件，上述单位的工作人员出售或提供这些公民个人信息是“违反国家规定”的。
　　对于“来源”条件，笔者认为，不应对该罪中的“单位”作出过于封闭的解释，仅局限于国家机关、金融、电信、交通、医疗五类单位所获得的信息。首先，法律条文中的“等”表明立法者并未在形式上严格限定以上五类单位，已经给予司法者进行裁量的空间。其次，应当进一步从实质层面去理解公民个人信息的范畴。刑法的目的是保护法益，所以法益成为刑法解释的重要工具。⑵我国刑法将非法获取公民个人信息罪规定在侵犯公民人身权利、民主权利罪一章，保护的是普通民众自身信息的私密性。而现实中存在大量与普通民众生产生活和社会正常运转密切关联的重要领域或单位，如保险、房产、邮政、物流等行业的单位，甚至电视购物公司、汽车4S店等服务性行业的单位，这些单位在日常营业过程中也会掌握大量顾客的个人信息，此类顾客信息也正是当下较易受到不法分子侵害的公民个人信息类型。如果将“单位”的范畴限定在金融、电信、交通等刑法列举的行业领域，则不利于对普通民众个人信息的保护，亦不符合立法者打击目前一些行业中滥用公民个人信息、侵害公民人身权利现象的立法目的。另外，并非所有来源于上述单位的信息都能认定为公民个人信息，例如企业类信息虽然包含法定代表人姓名、联系方式等内容，但其并非针对公民个人隐私，因此也不宜纳入本罪的保护范畴。
　　对于“违法”条件，“违反国家规定”的概念过于模糊，在实践中通常无法判断，且规定也非面面俱到，在没有相关国家规定的情况下，是否就可免除信息获取者的刑事责任？这些亟须立法者的进一步明示。随着隐私意识的加强，公民在向服务者提供个人信息时，通常会有保密条款，笔者认为，只要信息内容足以泄露个人隐私，而为双方约定不得向第三方透露，此类保密条款保护下的信息亦应属于公民个人信息的范畴。
　　2．情节严重的标准设定。目前关于“情节严重”具体标准的设定问题主要有以下观点。有人认为，对于何为情节严重应该考量以下因素：“（一）个人或单位侵犯公民个人信息次数较多的；（二）个人或单位侵犯公民个人信息数量众多的；（三）是否造成了被害人人身或财产的严重损害；（四）侵犯公民个人信息违法所得数额较大的；（五）是否造成恶劣的社会影响”。⑶有的观点认为，“情节严重”应包括以下几种情形：“（1）多次实施侵犯公民个人信息的；（2）侵犯多人的公民个人信息的；（3）获利较多的；（4）因侵犯公民个人信息造成严重后果或者造成严重影响的；（5）其他情节严重的情形”。⑷也有观点认为，“情节严重主要是指非法获取公民个人信息数量较大、获利较多、手段恶劣、对信息所有人的名誉、财产等权利造成了严重损害，等等。”⑸综上，目前对“情节严重”具体标准的设计思路主要可以概括为以下五条路径：（1）非法获取公民个人信息行为的次数；（2）非法获取公民个人信息的数量；（3）通过相关行为获利受益的多少；（4）非法获取行为手段的恶劣程度；（5）非法获取公民个人信息造成的损害后果和社会影响。
　　本文认为，要解决非法获取公民个人信息罪中“情节严重”的问题，必须首先明确本罪中“情节严重”的属性。首先，非法获取公民个人信息罪中的“情节”是指定罪情节而非量刑情节，属于犯罪构成中的客观构成要件要素内容，是区分罪与非罪的客观事实因素。而立法者之所以在成立犯罪的罪状中规定“情节严重”，在于明示本罪行为的社会危害性应当达到追究刑事责任的程度。其次，非法获取公民个人信息罪侵犯的是公民个人信息的秘密性，即公民个人信息秘密的存在状态，非经公民个人允许与授权他人不得随意处置，认定相关实行行为是否属于“情节严重”时，应当以公民个人信息秘密性被侵犯的程度为评价核心。
　　综合考虑相关因素和已有立法模式，并结合现有的司法经验和实践的可操作性，笔者认为可以从行为人非法获取公民个人信息的目的、非法获取行为的实施次数，以及非法获取公民个人信息的数量等方面来认定“情节严重”。具体可分为两个梯次：第一，直接出售信息牟利或推销假冒伪劣产品、不法业务为目的而非法获取公民个人信息的。行为人出售信息牟利的行为将导致公民信息的进一步扩散，导致危害后果的横向扩展；而推销伪劣商品、不法业务则不仅侵害公民隐私，也扰乱了社会经济秩序，造成危害后果的纵向延伸。由于二者均具有主观目的上的非法性并由此构成潜在的严重后果，性质十分恶劣，因此只要实施获取行为即可构成本罪；若与其他犯罪形成牵连关系，则应择一重处罚。第二，在行为人不具有非法目的的情况下，应对情节进行量化，以行为人获取公民个人信息的次数或数量作为定罪依据：（1）多次实施非法获取公民个人信息行为的。笔者认为，“多次”的界定应以三次以上为宜。（2）非法获取公民个人信息10000条以上的。
　　 　　
注释
⑴[德]汉斯海因里希·耶塞克、托马斯·魏根特著：《德国刑法教科书》，徐久生译，中国法制出版社2001年版，第191页。
⑵参见张明楷著：《刑法学》（第三版），法律出版社2007年版，第88页。
⑶参见应云总：《刍议我国公民个人信息刑法保护的立法完善》，载《法制与社会》，2010年第5期。
⑷参见孟传香：《公民个人信息刑法保护疑难问题研究》，载《法制与经济》，2009年第12期。
⑸参见周海洋：《出售、非法提供公民个人信息罪和非法获取公民个人信息罪的理解与适用》，载《中国审判》2010年第1期。

【作者介绍】庄晓晶 林 洁 白 磊 北京市海淀区人民检察院；北京市海淀区人民检察院；北京市海淀区人民检察院。
【文章来源】《人民检察》2011年第5（上）期