“刑民(行)關系與犯罪認定”之二十一
獲取已公開個人信息并出售牟利的定罪爭議
□ 周光權 (清華大學法學院教授)
對于未經被收集者同意,獲取部分已在公眾網絡上公開的企業登記信息、征信信息并出售或提供給他人的情形是否定罪,在實務上歷來有爭議。
“有罪說”是實務上一直以來的多數說(2017年刑事司法解釋第五條第3款也將征信信息作為敏感信息進行保護,其中可能包含已公開的個人信息)。此說的基本主張是:個人信息與個人隱私不同。個人已公開的信息不再具有隱私特性,但仍不失其識別個人的功能,獲取或者利用這樣的信息仍然可能侵害個人私生活的安寧,危及公民人身或者財產權利,因此,從市場主體信息中剝離出來的個人姓名及身份證件號碼、家庭住址、通訊方式等信息,仍然具有個人信息的本質屬性。行為人未經個人同意從企業信息中將個人信息剝離出來進行處理的,可以成立本罪。例如,被告人田某使用QQ郵箱從他人處非法獲取載有公民個人征信信息的文件,內有公民個人征信信息去重后計166條,法院認定被告人田某違反國家有關規定,非法獲取公民個人信息,情節特別嚴重,其行為已構成侵犯公民個人信息罪。被告人黃某某為了推銷貸款中介業務,以300元的價格,通過電子郵箱接收的方式,從其同事羅某處購買公民個人信息合計284條,其中個人征信報告224條,檢察機關指控被告人構成本罪。
實務中,少數判決認同“無罪說”。例如,法院經審理后認為,公訴機關指控被告人從他人處“獲取的16165條信息中的6260條信息,司法審計書反映為法人信息,不屬于公民個人信息,依法應予排除”。“無罪說”的主要理由是:根據《企業信息公示暫行條例》(2014年)第八條的規定,企業應當于每年1月1日至6月30日,通過企業信用信息公示系統向工商行政管理部門報送上一年度報告,并向社會公示。其第九條規定,企業年度報告中應當包括企業通信地址、郵政編碼、聯系電話、電子郵箱等信息等內容。因此,企業根據法律法規規定或為經營所需而必須通過企業年度報告等文件公開其企業信息,上述信息已進入公共信息系統,任何人都可以公開查詢,其中企業名稱及法定代表人姓名、電話號碼等內容,在市場監管部門設立的《國家企業信用信息公示系統》中能夠輕易查詢。在上述公開網絡中存在的個人信息,既不涉及個人隱私,也包含著個人放棄權利的同意在內,即便法定代表人是自然人,但對與之相關的信息不應再視作個人信息,或者可以說成是“值得刑法保護的個人信息”并不存在,即使其中包含了個人的姓名、聯系方式、手機號碼等,也不屬于本罪要保護的個人信息。
此外,根據《征信業管理條例》(國務院2013年1月21日發布)第二十一條的規定,征信機構可以通過信息主體、企業交易對方、行業協會提供信息,政府有關部門依法已公開的信息,人民法院依法公布的判決、裁定等渠道,采集企業信息。企業在經營過程所公開的相關信息被征信機構采集后,其中的個人信息也就屬于企業公開征信信息的范疇。從這個意義上講,不能將刑法意義上的公民個人信息與企業征信信息所包含的自然人姓名及聯系方式等信息絕對等同。這一觀點能夠得到《征信業管理條例》第十三條的印證。該條明確規定:“采集個人信息應當經信息主體本人同意,未經本人同意不得采集。但是,依照法律、行政法規規定公開的信息除外。企業的董事、監事、高級管理人員與其履行職務相關的信息,不作為個人信息。”這里的“企業的董事、監事、高級管理人員與其履行職務相關的信息,不作為個人信息”即明確否定了與公開的企業信息有關的自然人身份信息不屬于個人信息。成立侵犯公民個人信息罪須以行為違反國家有關規定為前提。對于這種部門法不再保護的已公開信息中的個人信息,將其作為本罪對象是不合適的,否則就會不當擴大打擊面。
最高人民檢察院《檢察機關辦理侵犯公民個人信息案件指引》(高檢發偵監字〔2018〕13號)指出,對于企業工商登記等信息中所包含的手機、電話號碼等信息,應當“明確該號碼的用途”。對由公司購買、使用的手機、電話號碼等信息,不屬于個人信息的范疇,從而嚴格區分“手機、電話號碼等由公司購買,歸公司使用”與“公司經辦人在工商登記等活動中登記個人電話、手機號碼”兩種不同情形。這一指引似乎仍然堅持了已公開的信息中屬于個人的信息是本罪對象的觀點,但缺乏可操作性。因為在實行實名制購買手機號碼的今天,手機號碼由公司購買的情形本來就難以做到,手機號碼是否歸公司使用就更難以判斷,最終的結局是一旦發生侵權的情形,即便是公司購買的手機號碼,被害單位也可能主張公司和個人混用,從而總是能夠得出行為人成立侵犯個人信息罪的結論。
對于從已公開的企業信息中獲取公民個人信息的行為總體上定罪的態勢,在民法典通過之后似乎得到了一定程度的扭轉,這是值得關注的動向。例如,2020年5月至7月,吳某在天眼查、企查查等網站下載公開的各地企業工商登記信息,梳理分類后共出售1.8萬余條信息,獲利1萬余元。公安機關以涉嫌侵犯公民個人信息罪傳喚吳某,后該案被移送至江蘇省泰州醫藥高新區人民檢察院審查起訴。檢察官認為,公安機關根據2017年刑事司法解釋第三條規定的“未經被收集者同意,將合法收集的公民個人信息向他人提供的”,屬于提供公民個人信息,從而認定吳某的行為涉嫌本罪。但民法典自2021年1月1日起正式施行,給案件處理帶來了新變化。民法典第一千零三十六條規定,合理處理該自然人自行公開的或者其他已經合法公開的信息的,行為人不承擔民事責任。但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外。根據這一規定,既然沒有證據證實吳某出售合法公開信息的行為遭到權利人拒絕或侵害其重大利益,就不應當認定為構成侵犯公民個人信息罪。為此,檢察機關建議公安機關撤案。2021年1月7日,公安機關對吳某解除取保候審,并予以撤案(參見盧志堅、白翼軒、田競:《出賣公開的企業信息謀利:檢察機關認定行為人不構成犯罪》,《檢察日報》2021年1月20日,第一版)。
雖然這一動向的持續效果如何還有待觀察,但是,如果對于從已公開的企業信息中獲取公民個人信息的行為一概作無罪處理,這樣的思考方式顯然太粗放,應當結合處理公開信息的目的和用途思考。
(“刑民(行)關系與犯罪認定”之二十詳見于《法治日報》2021年9月8日9版)