Part 1案例引入:A公司侵犯公民个人信息案
被告A公司通过“购买”等方式以及“撞库”、“批量注册”、“爬虫”等技术手段非法获取其他公司存储的公民个人信息,借此获利并逐渐取得市场优势地位。案发前,A公司数据库存储海量公民个人信息。
本案中“非法性”审查的争议要点:
1.“撞库”、“批量注册”、“爬虫”等技术手段是否具有非法性?
2. 以“购买”方式从其他公司处获取个人信息是否合法?
Part 2侵犯公民个人信息犯罪“非法性”认定的法律依据及判例
法律依据
《刑法》第二百五十三条 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
“违反国家有关规定”是侵害公民个人信息罪的法定构成要件,也是认定本罪“非法性”的形式要件。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第2条中规定:违反法律、行政法规、部门规章有关公民个人信息保护的规定,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。
类案检索
案例一 (2018)沪0116刑初839号
被告人柯某创建及经营管理一房产网站,主要通过从房产中介人员处有偿获取某市二手房出租、出售房源信息,对信息的准确性进行核实后,将房源信息以会员套餐方式提供给网站会员付费查询使用。截至案发,被告人柯某共获取房源信息30余万条,获利150余万元 。
本案裁判要点:一是被告人柯某的行为侵犯了房东的公民个人信息权利。房源信息经网站发布后,导致房东的房源信息由在特定范围公开转变为向全社会公开,由公开非重要、敏感信息转变为公开全部隐私信息,侵害了房东的隐私及生活安宁,极易被不法分子利用从而造成房东人身、财产权益受到侵害。二是被告人柯某没有尽到审查义务,并在核实房源信息时冒充房产中介身份欺骗房东,在未取得房东授权、同意的情况下将房源信息对外出售。三是被告人柯某的行为本质上属于非法买卖房源信息牟利行为。网站并非专业房产中介机构,获取房源信息并非为了促进房产交易,而是将房源信息作为商品用于出售牟利,与房东发布房源信息的目的相违悖。
案例二 (2018)浙01刑终441号
被告人余某在公司工作期间,违反公司规定,未经数据所有方等授权同意,使用具有自动获取数据功能的脚本程序,将自己在公司内部网站账号的信息配置到该脚本程序上,秘密窃取某公司员工的公民个人信息共计2万余条 。
本案裁判要点:一是被告人在任职期间,在明知公司未提供通讯录,不可对全部员工信息一目了然的情况下,仍运用技术手段擅自编写可以自动爬取并保存数据的脚本;二是通过自己的公司内部账号将公司内部可有针对性的查询、浏览权限与脚本程序结合,在公司和员工个人均不知情的情况下予以爬取;三是爬取并保存大量公司员工个人信息,且在离职时将上述信息秘密带走,情节严重,符合《刑法》第二百五十三条之一的相关规定,构成非法获取公民个人信息罪。
Part 3侵犯公民个人信息犯罪“非法性”认定的法理根基
“信息法益”的概念与理解
目前,我国刑法学界已普遍将法益侵害性作为评价行为应受刑事处罚的实质性根据,在评判侵犯公民个人信息行为的“非法性”时,也离不开对此类犯罪侵害的法益进行研究。
个人信息自主权说,认为“信息法益”主要是指公民基于个人信息而享有的各项权益。包括公民对个人信息安全、自由、收益、隐私、尊严的自主决定权。社会管理秩序说,认为“信息法益”主要是指一种与公民信息相关的公共秩序或权益,包括社会信息管理秩序和公众对信息网络安全的信赖感。公共信息安全说,认为“信息法益”既包括公民个人的人身、财产权益,也包括国家、社会或集体利益相关的信息安全、信息秩序等公共权益。
本罪“非法性”本质特征:侵犯“公共信息安全”
“公共信息安全说”是认定侵犯本罪客体的主流观点,与我国的立法体系及价值立场相契合,同时体现了刑法的谦抑性、补充性原则和法益平衡理念,一是兼顾公共法益与个人法益;二是兼顾刑法与其他部门法之间的体系协调性,强调个人信息的法律保护不能都通过刑法来实现,刑法对于信息保护不宜过度扩张或滥用;三是兼顾了人权保护和信息网络技术发展,讲究“信息风险与信息效益”的平衡,还有“信息保护与信息流动”的平衡。
因此,在对侵犯公民个人信息犯罪进行“非法性”评判时,应当坚持“公共信息安全说”的理念和理论指导。
Part 4侵犯公民个人信息犯罪“非法性”认定的基本规则
在认定侵犯公民个人信息犯罪行为“非法性”时,需要从实质和形式两个层面进行综合评价。实质层面,要看该行为是否对“信息法益”构成侵害,且达到了需要刑法处罚的严重程度;形式层面,要看该行为是否属于国家有关规定中明确禁止或否定的性质。只有在二者均符合的情况下,才能认为行为具有本罪刑法意义上的“非法性”。下面将结合文首案例进行分析:
“信息法益”受严重侵害的认定规则
第一,从本案犯罪对象上看,非法获取和提供的是公民个人信息。不仅包括公民个人的姓名、学历、住址、联系方式等基本信息,还包括公民工作经历、兴趣特长等重要个人信息。行为人未经公民本人许可,收集这些信息并提供给他人谋利,显然侵犯了公民个人信息安全及隐私等合法权益,还可能给公民人身安全埋下隐患。虽然辩方称相关信息获得经过对应公司授权,但这并不代表获得了信息本人的许可。
第二,从对象范围及数量上看,截至案发前,A公司数据库上共存储海量公民个人信息。如此规模和涉及范围,已经不是针对特定少数人群或特定范围,而是针对在互联网上不特定范围的公民信息,具备针对“不特定大多数对象”的特征,危及了不特定多数公民的信息安全,数量庞大,涉及面广,明显严重侵犯了公共权益。
第三,从犯罪结果上看,由于A公司非法获取大量数据,所以相较于其他公司具有更加低廉的成本优势,从而取得了市场优势地位。这实际上就是通过涉案非法行为,将其他合法经营的平台、企业挤压出局,获得竞争优势。这违反了信息网络管理的正常秩序,损害了公民对网络空间信息安全秩序的信赖规则,公共权益受侵害明显。
“违反国家有关规定”的认定规则
在审理侵犯公民个人信息犯罪案件时,判断是否“违反国家有关规定”,主要从以下两个角度进行具体分析:
1.侵犯手段和途径是否违反国家有关规定
一方面,要审查获取、收集、整理、改动、提供信息的手段和方法是否违反技术信息和网络空间规范方面的管理规则和规定。例如:通过设立“钓鱼网站”、黑客软件、木马程序、间谍软件等法律明确禁止的技术手段获取;通过安装窃听器、偷拍录像、GPS跟踪器等手段获取信息都属于违反相关规则和规定的获取行为。上述主要参见《网络安全法》《计算机信息系统安全保护条例》《治安处罚法》等国家规定。本案中,A公司研发了大量获取信息的软件,包括通过爬虫、撞库等技术的软件,虽然没有对有关单位的计算机系统信息进行修改或增减,没有侵入和控制有关信息系统,但是基本都是通过越过他人授权、绕过身份认证等手段获取信息,具有未获得相关权利主体许可或授权的非法手段特征,违反相关规定,必然具有“非法性”。
另一方面,还要审查获取信息的手段、方法、途径是否违反了相关行业、领域、市场方面的管理规定。如通过贿赂、收买、威逼利诱等非法手段排挤竞争对手,获取信息和市场优势,违反了《反不正当竞争法》的有关规定等。相关的法律还包括《消费者权益保护法》《护照法》《身份证法》、《统计法》等。本案中,辩方提出A公司合法收购了有关公司,以及自己公司平台中的信息系客户自愿提供,都属于合法取得的信息。但客户作为消费者及合同当事人,其自愿提供给某平台或公司信息,目的具有特定性,而没有许可另作他用。相关公司或平台将信息提供给其他无关人员,显然违反了作为商户的责任约定和行业规范,当然具有非法性。
2.获取和提供的权限上是否具有法律依据
对该问题进行审查主要看行为人获取和提供公民个人信息是否有法律依据,如果具有明确的法律授权、法律认可,或者与信息本人合同约定等依据,没有违反法律规定的,可以排除“非法性”。
以非法获取信息类犯罪为例。实践中,获取公民个人信息的方式主要表现为侵入计算机系统、窃取、欺骗、要挟、购买、收受、交换或采取其他技术手段等。非法侵入、窃取、欺骗、要挟等获取依据显然具有“非法性”,但购买、收受、交换等方式,往往都带着合法、正当的面纱,相关手段是否具有“非法性”,学界存在不同意见。实践中,非法获取公民信息的犯罪手段中主要表现为“购买”,如果排除此种方式,则会大幅度限缩该罪适用范围,不利于打击关联犯罪。同时,“购买”往往是后续出售、提供的前端环节,没有“购买”就没有后续的出售、提供行为。如果不将“购买”行为纳入非法获取手段,不利于对此类犯罪整个犯罪链条的打击。
法律是允许网络运营商在合法、正当且经权利人同意的情况下收集、提供公民个人信息的,2017年5月两高出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第4条,在购买、收受、交换等方式前面限定了“违反国家有关规定”的条件,意味着只有违反国家有关规定的购买、收受、交换信息行为才属于“非法获取”;否则,符合社会发展方向的正当信息交易和流动将没有合法空间。
本案中,辩方亦提出部分信息是通过合法购买、受让,或经有关单位同意许可获取,具有合法途径和方式。但该辩解不具有正当性。首先,这些数据大部分是通过中间平台或公司获取,并非直接从公民个人处获取,未经公民本人同意;即使其获取信息时取得了公民同意,但其通过交易等方式向第三方提供的做法并未经过公民同意。其次,即使部分数据由公民个人上传,收集过程经过了公民同意,但对公民信息进行修改、增添、整合后提供给第三人依旧未经公民同意,且违反了国家规定,同样具有“非法性”。
Part 5本案裁判结论的形成过程
再回到A公司侵犯公民个人信息案,就该案在审理过程中出现的争议要点,现总结如下:
1.“撞库”、“批量注册”、“爬虫”等技术是否具有非法性?
“撞库”,是指由于很多用户在不同网站使用的是相同的帐号密码,黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。
“批量注册”,是指大批量地注册网站账号,用于刷粉引流、批量薅羊毛、电信网络诈骗等违法犯罪活动。
“爬虫技术”,是指按照一定规则自动抓取数据的程序或者脚本,可以自动采集所有其能够访问到的页面内容。从功能上来讲,爬虫一般分为数据采集,处理,储存三个部分。
侵犯手段是否具有破坏性,并不是认定侵犯公民个人信息罪的必然要件,但手段的“违法性”可以作为认定相关行为“非法性”的重要依据。在案件审理中,关键看这些手段、方式、途径是否违反国家有关规定,既包括是否违反技术信息和网络空间规范方面的管理规则和规定,也包括相关信息涉及的相关行业、领域、市场方面的管理规定。
2.以“购买”方式从其他公司处获取个人信息是否合法?
收集公民个人信息均需获得被收集者个人同意,A公司购买信息行为并未征得被收集者个人的同意,因此,不能排除非法性。
Part 6侵犯公民个人信息罪中“非法获取”的认定规则
第一,在判断侵犯公民个人信息行为的“非法性”时,不仅要考虑是否经过信息主体本人同意,更要考虑是否“违反国家有关规定”,后者才是关键。具体可以分为以下几种情况:(1)没有经过本人同意,又违反国家有关规定的,必然具有“非法性”;(2)没有经过本人同意,没有违反国家有关规定的,基于罪刑法定原则,不具有刑法上的“非法性”,但可能存在其他部门法的“非法性”,如存在民事侵权或违约责任;(3)没有经过本人同意,但有法律或国家有关规定的授权,不具有“非法性”;(4)经过本人同意,但违反国家有关规定的,具有刑法的“非法性”;(5)经过本人同意,没有违反国家有关规定的,不具有“非法性”。
第二,侵犯的手段是否具有破坏性,并不是认定构成本罪的必然要件。但手段的“违法性”可以成为认定“非法性”的重要依据。即,“爬虫”、“撞库”等技术手段是否具有破坏性功能或者其他功能,对于相关行为是否构成本罪均无决定性的影响,关键看相关手段、方式、途径是否违反国家有关规定。既包括是否违反技术信息和网络空间规范方面的管理规则和规定,也包括相关行业、领域、市场方面的管理规定。
第三,公民个人信息数量的认定,应结合信息化时代存储空间多元化及个人信息多元化的特点,本着客观、科学及符合司法操作实践的规律,在依法进行批量辨别和科学去重后综合认定。既不能仅通过姓名、手机号、身份证号等单一要素,进行简单归类和去重,又要避免逐条筛查核对,繁琐无效的认定方式。
第四,对于犯罪竞合问题,应采取“技术规则”与“合法性原则”的综合审查认定方法,遵循法律规范与技术规则的深度融合,全面审查网络技术的手段“非法性”以及爬取内容的“非法性”,遵循想象竞合犯等罪数评判规则,明晰罪名的适用。
应对技术日新月异的网络犯罪,必须与时俱进,以一种前瞻性的刑法理念来指导审判实践,及时根据信息技术的发展趋势,深度融合法律规范与技术规则,将网络犯罪刑事规制防线适度前移,兼顾打击犯罪与促进信息技术发展,实现网络犯罪刑事规制的现代化。