“刑民(行)关系与犯罪认定”之二十一
获取已公开个人信息并出售牟利的定罪争议
□ 周光权 (清华大学法学院教授)
对于未经被收集者同意,获取部分已在公众网络上公开的企业登记信息、征信信息并出售或提供给他人的情形是否定罪,在实务上历来有争议。
“有罪说”是实务上一直以来的多数说(2017年刑事司法解释第五条第3款也将征信信息作为敏感信息进行保护,其中可能包含已公开的个人信息)。此说的基本主张是:个人信息与个人隐私不同。个人已公开的信息不再具有隐私特性,但仍不失其识别个人的功能,获取或者利用这样的信息仍然可能侵害个人私生活的安宁,危及公民人身或者财产权利,因此,从市场主体信息中剥离出来的个人姓名及身份证件号码、家庭住址、通讯方式等信息,仍然具有个人信息的本质属性。行为人未经个人同意从企业信息中将个人信息剥离出来进行处理的,可以成立本罪。例如,被告人田某使用QQ邮箱从他人处非法获取载有公民个人征信信息的文件,内有公民个人征信信息去重后计166条,法院认定被告人田某违反国家有关规定,非法获取公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪。被告人黄某某为了推销贷款中介业务,以300元的价格,通过电子邮箱接收的方式,从其同事罗某处购买公民个人信息合计284条,其中个人征信报告224条,检察机关指控被告人构成本罪。
实务中,少数判决认同“无罪说”。例如,法院经审理后认为,公诉机关指控被告人从他人处“获取的16165条信息中的6260条信息,司法审计书反映为法人信息,不属于公民个人信息,依法应予排除”。“无罪说”的主要理由是:根据《企业信息公示暂行条例》(2014年)第八条的规定,企业应当于每年1月1日至6月30日,通过企业信用信息公示系统向工商行政管理部门报送上一年度报告,并向社会公示。其第九条规定,企业年度报告中应当包括企业通信地址、邮政编码、联系电话、电子邮箱等信息等内容。因此,企业根据法律法规规定或为经营所需而必须通过企业年度报告等文件公开其企业信息,上述信息已进入公共信息系统,任何人都可以公开查询,其中企业名称及法定代表人姓名、电话号码等内容,在市场监管部门设立的《国家企业信用信息公示系统》中能够轻易查询。在上述公开网络中存在的个人信息,既不涉及个人隐私,也包含着个人放弃权利的同意在内,即便法定代表人是自然人,但对与之相关的信息不应再视作个人信息,或者可以说成是“值得刑法保护的个人信息”并不存在,即使其中包含了个人的姓名、联系方式、手机号码等,也不属于本罪要保护的个人信息。
此外,根据《征信业管理条例》(国务院2013年1月21日发布)第二十一条的规定,征信机构可以通过信息主体、企业交易对方、行业协会提供信息,政府有关部门依法已公开的信息,人民法院依法公布的判决、裁定等渠道,采集企业信息。企业在经营过程所公开的相关信息被征信机构采集后,其中的个人信息也就属于企业公开征信信息的范畴。从这个意义上讲,不能将刑法意义上的公民个人信息与企业征信信息所包含的自然人姓名及联系方式等信息绝对等同。这一观点能够得到《征信业管理条例》第十三条的印证。该条明确规定:“采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。”这里的“企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息”即明确否定了与公开的企业信息有关的自然人身份信息不属于个人信息。成立侵犯公民个人信息罪须以行为违反国家有关规定为前提。对于这种部门法不再保护的已公开信息中的个人信息,将其作为本罪对象是不合适的,否则就会不当扩大打击面。
最高人民检察院《检察机关办理侵犯公民个人信息案件指引》(高检发侦监字〔2018〕13号)指出,对于企业工商登记等信息中所包含的手机、电话号码等信息,应当“明确该号码的用途”。对由公司购买、使用的手机、电话号码等信息,不属于个人信息的范畴,从而严格区分“手机、电话号码等由公司购买,归公司使用”与“公司经办人在工商登记等活动中登记个人电话、手机号码”两种不同情形。这一指引似乎仍然坚持了已公开的信息中属于个人的信息是本罪对象的观点,但缺乏可操作性。因为在实行实名制购买手机号码的今天,手机号码由公司购买的情形本来就难以做到,手机号码是否归公司使用就更难以判断,最终的结局是一旦发生侵权的情形,即便是公司购买的手机号码,被害单位也可能主张公司和个人混用,从而总是能够得出行为人成立侵犯个人信息罪的结论。
对于从已公开的企业信息中获取公民个人信息的行为总体上定罪的态势,在民法典通过之后似乎得到了一定程度的扭转,这是值得关注的动向。例如,2020年5月至7月,吴某在天眼查、企查查等网站下载公开的各地企业工商登记信息,梳理分类后共出售1.8万余条信息,获利1万余元。公安机关以涉嫌侵犯公民个人信息罪传唤吴某,后该案被移送至江苏省泰州医药高新区人民检察院审查起诉。检察官认为,公安机关根据2017年刑事司法解释第三条规定的“未经被收集者同意,将合法收集的公民个人信息向他人提供的”,属于提供公民个人信息,从而认定吴某的行为涉嫌本罪。但民法典自2021年1月1日起正式施行,给案件处理带来了新变化。民法典第一千零三十六条规定,合理处理该自然人自行公开的或者其他已经合法公开的信息的,行为人不承担民事责任。但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。根据这一规定,既然没有证据证实吴某出售合法公开信息的行为遭到权利人拒绝或侵害其重大利益,就不应当认定为构成侵犯公民个人信息罪。为此,检察机关建议公安机关撤案。2021年1月7日,公安机关对吴某解除取保候审,并予以撤案(参见卢志坚、白翼轩、田竞:《出卖公开的企业信息谋利:检察机关认定行为人不构成犯罪》,《检察日报》2021年1月20日,第一版)。
虽然这一动向的持续效果如何还有待观察,但是,如果对于从已公开的企业信息中获取公民个人信息的行为一概作无罪处理,这样的思考方式显然太粗放,应当结合处理公开信息的目的和用途思考。
(“刑民(行)关系与犯罪认定”之二十详见于《法治日报》2021年9月8日9版)