侵犯公民个人信息罪中信息数量计算的裁判规则汇总
作者
赖若涵 最高人民法院司法案例研究院与湖南大学联合培养实习生
前言
依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息司法解释》)第五条之规定,公民个人信息数量系侵犯公民个人信息罪的入罪标准之一。按信息的敏感度和对公民的重要程度,《个人信息司法解释》第五条第一款第三~五项将公民个人信息划分为三档,并为上述三档信息分别设置了五十条、五百条及五千条的数量标准。与此同时,《个人信息司法解释》第十一条还规定了批量信息的数量认定规则,在当前信息数量动辄上万条甚至百万条的数据化、规模化之下,上述规定为侵犯公民个人信息罪案件中的信息数量计算难题提供了便利的解决方案。至此,侵犯公民个人信息罪中的信息数量计算规则似乎已经明确,批量信息数量计算问题或应属技术认定问题而非规范选择与解释问题。然而,自《个人信息司法解释》于2017年实施以来,公民个人信息数量计算的问题没有随着技术的进步而趋于消失,反而在纷繁复杂的事实类型中日趋复杂,给实务认定带来困难与争议。笔者从中国裁判文书网搜集了涉及侵犯公民个人信息罪案件信息数量计算的部分法院裁判文书,整理出该类案件中信息数量计算的五项裁判规则,并附以相关案例基本案情及裁判要旨,供读者参考。
问题一 单条公民个人信息如何认定?
当前,个人信息数据化、海量化的趋势愈发明显,数以万计的公民个人信息数量得以准确计算的起点,是单条公民个人信息的认定。而对单条公民个人信息认定的讨论,实质上是判断刑法上公民个人信息认定标准的问题。
规范指引:
《个人信息司法解释》
第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
裁判规则一:单条公民个人信息的认定应以足以识别特定自然人身份或反映特定自然人活动情况为标准。
可供参考的案例
案例1 师某、罗某侵犯公民个人信息案
案例索引:(2018)渝05刑终838号
裁判要旨:单条卡口信息属于需要结合同时段其他卡口信息才能反映特定自然人行踪轨迹,识别其身份的信息,因此,单条卡口信息并不能完整反映车辆的行踪轨迹,不列入公民个人信息的计算。
基本案情:罗某伙同公职人员共同贩卖车辆卡口等信息牟利。经侦查机关勘验,从罗某处查获的信息中包含85台个人所有车辆的2679条车辆单条卡口信息。法院认为,单条卡口信息不能完整反映车辆动态行踪轨迹,需要串联该时段内其他卡口信息才能反映该车的行踪轨迹,故对上述2679条车辆单条卡口信息不列入公民个人信息的计算。
案例2 王某、王某博侵犯公民个人信息案
案例索引:(2021)湘0424刑初215号
裁判要旨:不足以识别特定自然人身份或反映特定自然人活动情况的手机裸号或手机号码加股票种类等信息不计入公民个人信息的计算。
基本案情:王某、王某博在网上买卖公民个人信息牟利,两人至案发时共同非法获取、向他人出售或提供完整公民个人信息51000余条。另查明,本案中存在纯手机号码或手机号码加股票种类等信息。法院认为,手机裸号或手机号码加股票种类等信息不足以识别特定自然人身份或反映特定自然人活动的情况。根据有利于被告人的原则,应当将该部分信息予以减除。
案例3 谭某慧侵犯公民个人信息案
案例索引:(2018)皖0111刑初377号
裁判要旨:手机裸号不能单独识别特定自然人身份或者反映特定自然人活动情况,不应计入公民个人信息的计算。
基本案情:谭某慧向他人出售包含企业名称、法定代表人姓名、固定电话号码、手机号码、企业住所地的信息以及公民姓名、手机号码的信息共计17000条,获利900元。法院认为,出售的信息中,单独的手机号码不能够单独识别特定自然人身份或者反映特定自然人活动情况,虽然可以印证号码真实,但不足以认定为《刑法》规定的“公民个人信息”,不能作为犯罪事实认定。
规则评析:
首先,《个人信息司法解释》第一条对公民个人信息作了概念界定,将信息对特定自然人的“可识别性”“活动情况反映性”作为选择适用的公民个人信息认定标准,然而结合《个人信息司法解释》第三条第二款的但书部分仅将“去识别化”作为本罪的出罪事由,基于体系解释的方法,反映特定自然人活动情况的信息也需满足识别特定自然人身份的要求,属于妥当的解释结论。
其次,从《个人信息司法解释》对信息的识别要求来看,公民个人信息分为单独识别特定自然人的信息与结合其他信息识别特定自然人的信息,即“直接型”可识别信息与“间接型”可识别信息。实务中,除了少量国家证件信息能够单独识别特定自然人身份,譬如居民身份证信息,大部分个人信息属于需结合其他信息方能完成识别的“间接型”可识别信息。因此,与其说问题是单条公民个人信息如何认定,不如说是可以结合识别的“一组”个人信息如何认定。
最后,明确公民个人信息的可识别性标准固然对单条公民个人信息的认定具有决定性意义,但这引发了对另一个问题的判断,即信息具有可识别性应当如何认定?
其一,如何对识别“特定自然人身份”进行准确解释?换言之,案涉信息须识别到何种程度方能认定为可以识别特定自然人身份?其二,信息之间存在联系,而海量信息以数据为载体,使得从技术上和理论上并不存在完全不具有识别可能性的信息,在“间接型”可识别信息大量存在的情况下,只要识别节点足够多,结合识别的实现也不存在限制。基于此,信息再识别在技术和理论上的可行性,和大量结合识别信息的存在,均要求刑法对识别主体的识别手段、识别成本及识别节点等识别难度要素予以限制,防止可识别公民个人信息认定范围的不当扩张。以上关于公民个人信息可识别性认定的构建问题,还需进一步指引,亦值得继续讨论。
问题二 批量信息的数量是否以查获的数量抽样计算认定即可?
一方面,批量信息数量的认定对行为情节轻重判断有决定性影响,务必审慎;另一方面,批量信息具有海量性、动态性和实效性等特点,现有司法资源无法对批量信息逐一核对。对于批量信息的计算涉及信息是否真实、是否存在重复的问题,实践给出了务实的答案。
规范指引:
《个人信息司法解释》
第十一条第三款 对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
裁判规则二:无证据证明信息不真实或重复的,批量信息的数量以查获的数量抽样计算认定即可。
可供参考的案例
案例1 王某林侵犯公民个人信息案
案例索引:(2019)津0101刑初88号
裁判要旨:案涉信息数量巨大,客观上无法逐一核对。如要求逐一核实、完全去重需要耗费极大的社会资源,既无可能也无必要。
基本案情:自2007年起至案发,王某林通过购买、交换等方式非法获取公民个人信息,并将信息存储于其控制的云盘内。经核算,该云盘内存有居民身份证信息19679712条、电子邮箱信息99766407条、手机号码138614349条、用户名密码信息39344602条。后王某林向王某出售公民个人信息10169条,并收取王某人民币2000元。辩护人认为,涉案信息存在重复与不真实的情况,应将重复的信息及不真实的信息排除在外。法院认为,涉案公民个人信息不排除少数情况下存在信息重复、数据变化、数据不真实问题,但此类案件往往涉案信息极为庞大,要求逐一核实、完全去重需要耗费极大的社会资源,既无可能、也无必要。现无证据证明不真实信息和重复信息的具体数量,故应依照司法解释规定,以查获的数量予以认定。
案例2 杜某兴、杜某龙侵犯公民个人信息案
案例索引:(2016)苏0106刑初943号
裁判要旨:信息数量巨大,客观上无法进行逐一对比,抽样对比并结合其实际买卖的情况,可以确认行为人非法获取公民个人信息的犯罪事实。
基本案情:杜某兴、杜某龙加入涉及个人信息交换买卖的QQ群,通过购买、交换等方式获取大量公民个人信息,再在群里发布广告招揽买家。2015年11月至2016年3月,杜某兴向他人购买或者交换车主信息等公民个人信息28万余条,向他人出售关于期货、基金、车主、信用卡等公民个人信息42万余条;杜某龙向他人购买某地区新生儿及其父母信息等公民个人信息3万余条,向他人出售车主信息、小区业主信息等公民个人信息近40万条。辩护人认为,相关信息没有进行对比,无法证明杜某兴非法获取的信息数量。法院认为,杜某兴所获取的信息量巨大,客观上无法进行逐一对比,抽样对比,结合其实际买卖的情况,可以确认杜某兴非法获取公民个人信息的犯罪事实。
案例3 沈某侵犯公民个人信息案
案例索引:(2020)苏0509刑初1666号
裁判要旨:无证据证明信息不真实或重复。涉案信息系行为人以批量的方式提供给他人,现无证据证明信息不真实或者重复,理应根据查获的数量直接认定。
基本案情:沈某为扩大电商销售对象,采用QQ传输的手段,和岳某互相交换含有吴江区居民的公民个人信息(包括姓名、电话、地址等内容)。其中,沈某提供给岳某的公民个人信息共计100000条。辩护人提出,涉案公民个人信息数量不准确,但没有提供证据证明。法院认为,公民个人信息系沈某以批量的方式提供给他人,现无证据证明信息不真实或者重复,理应根据查获的数量直接认定。
规则评析:
由于批量信息的数量计算不可能逐一核对,在查获数量的基础上,办案机关通常采取抽样的方式对涉案信息的真实性予以概括证明。这种抽样判断的认定方法实质上属于归纳推理的运用。理论上,刑法禁止事实推定,在犯罪构成要件的证明上应贯彻客观真实的原则,即使批量信息数量巨大,也不应当降低公诉机关的证明标准。在适用《个人信息司法解释》第11条第3款时,法院以被告人无证据证明信息不真实或者重复为由,认定查获的批量信息数量,前提应为公诉机关对批量信息的真实性予以证明。从实践情况来看,公诉机关对批量信息真实性的证明基本采用抽样调查的方法,鉴于批量信息的海量性,这一归纳推理的方法具有合理性和有效性。对于被告人而言,若对批量信息的真实性存在异议,其举证仅需使信息是否存在不真实或重复达到合理怀疑程度,而非要求其自证无罪。
问题三 查获时已发生变化的信息是否影响信息数量的计算?
公民个人信息是对特定自然人身份或活动情况的反映,可能发生一定变化,而存储查获的信息距离收集时已具有相当时间,对于查获时已经发生变化的信息,是否影响信息数量的计算?
裁判规则三:查获时已发生变化且无证据证明无效的信息不影响信息数量的计算。
可供参考的案例
案例1 张某超侵犯公民个人信息案
案例索引:(2019)苏0509刑初1727号
裁判要旨:信息的有效性可能因时而异,不能依据信息提供后的核实情况来推定信息提供时的情况,且无证据证明具体无效信息数量。
基本案情:张某超为了获取更多的公民个人信息用于推销其贸易公司的产品,以交换公民个人信息为目的,通过QQ向常某发送包含姓名、电话号码、住址等内容的公民个人信息共计92万余条。后常某又将相关信息发送给他人。辩护人提出,经第三方平台软件进行筛查,案涉信息中存在大量不实信息、无效信息或失效信息,均不应认定为公民个人信息。法院认为,辩护人提出的不实信息、无效信息、失效信息未明确具体信息清单,亦未提供合法有效的证据予以证实,且信息的有效性可能因时而异,不能依据信息提供之后的核实情况来推定信息提供当时的情况。
案例2 唐某侵犯公民个人信息案
案例索引:(2019)沪0115刑初5251号
裁判要旨:空号、关机并不能证实手机号码在行为人获取时已无效。行为人及其辩护人未能提供相关证据可资佐证具体无效手机号码的数量,现有证据难以将空号、关机的手机号码信息从非法获取的批量公民个人信息数量中剔除。但对于该情形将在量刑时酌情考量。
基本案情:唐某开发某电话机器人软件对外销售,并向客户收集利用该软件拨打的电话号码,后通过技术手段对上述电话号码对应的机主姓名等信息进行匹配,形成可以识别特定自然人身份的信息并加以记录。后唐某入职某公司,将通过上述手段非法获取的公民个人信息提供给公司业务人员,用于开发客户参与非法期货交易。经鉴定,唐某储存上述信息的服务器硬盘中,其中经唐某签字确认的26个文件中检出符合手机号码记录共156188条。辩护人提出,唐某获取的手机号码中存在空号、关机等情况,该部分无效信息应从中剔除。法院认为,空号、关机并不能证实在唐某获取时已为无效的手机号码,且唐某及其辩护人也未能提供相关证据可资佐证具体无效手机号码的数量,现有证据难以从唐某非法获取的批量公民个人信息数量中剔除。对于该情形法院在量刑时酌情考量。
规则评析:
信息的有效性因时而异,对于从存储到查获这段时间内发生变化的信息,不能径行认为信息无效。从经验法则出发,对于信息来源、信息用途、信息流转情况及信息获利情况等因素清楚的案件,信息的真实性具有较高的可信度,应认为信息在被告人获取处理的当时具有识别特定自然人身份的功能,在被告人不能提出反证的情况下,推定此类信息真实有效并无不当。被告人及辩护人倘若认为信息发生变化后无法识别特定自然人,则应予以举证证明。此类可反驳的经验法则的运用,属于批量信息真实有效性认定中刑事推定的准确适用,要求实务部门进行充分的说理论证,增强判决的可接受性。需要强调的是,被告人及辩护人的该举证行为并非举证责任倒置,而属于提出反证的权利与对刑事推定结论信度的补正。
问题四 数量巨大的健康生理信息是否能以抽样问询结果作为计算依据?
健康生理信息的泄露、滥用等可能会对个人生理、心理产生较严重的影响,属于《个人信息司法解释》第5条第1款第4项规定的敏感公民个人信息,由此,刑法对此类信息设置了较低的入罪门槛。面对当前信息海量化的趋势,对批量敏感信息的条数计算能否适用批量信息的计算方式?
规范指引:
《个人信息司法解释》
第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
……
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
第十一条第三款 对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
裁判规则四:数量巨大的健康生理信息不能以抽样问询结果作为计算依据。
可供参考的案例
程某、邱某鑫侵犯公民个人信息案
案例索引:(2018)鲁1482刑初67号
裁判要旨:首先,批量敏感信息应逐一认定。公民的个人敏感信息入罪标准较低,不宜适用批量信息数量的认定方法确定条数,而应当逐一认定。其次,抽样回访不能客观、真实反映敏感信息数量。健康生理信息的敏感内容应当表现在所获取的信息本身,而并非是通过电话问询方式所获知信息人员本人表述的具有某种疾病的信息。最后,行为人获取信息的目的是进行经营活动,未对外流转或作其他非法用途,并无影响人身、财产安全的可能性。
基本案情:程某、邱某鑫共同出资经营某保健产品。合伙经营期间,由程某负责收受、购买公民信息,邱某鑫负责利用获取的公民信息组织安排员工拨打电话推销产品。公民个人信息的内容包括公民姓名、联系方式、家庭地址。
经勘验,查获的35个文件内共含104146条公民个人信息,去重后剩余77603条公民个人信息,按照10%的比例随机抽取777条测试,计算得出二人非法获取真实有效的公民个人信息72946条。后对该777条进行电话回访,获取其中115人被访者述称其自身患有疾病,据此比例计算得出上述七万余条信息中涉及公民个人健康的信息数量为11485条。经再次勘验,从程某电脑中提取到含有“人员姓名、电话、地址、出单人、货名,单号、金额、是否签收、是否铺垫,身体情况、是否回款”内容的公民信息2345条,去除重合及无法确定的信息,共获取到含有公民个人健康生理内容的信息663条。
规则评析:
《个人信息司法解释》第11条第3款确立了批量信息的数量认定规则,与此同时,该解释第5条按信息的重要程度对不同类型的信息予以入罪门槛的区分,由此引发的问题是,在涉案敏感公民个人信息数量巨大的情况下,能否适用批量信息数量计算的规则。从本问题上述可参考案例的裁判观点来看,法院认为,由于敏感信息入罪门槛低,应予严格把握,对于敏感公民个人信息应逐一认定而不能适用批量信息数量的认定方法。其原因有二:其一,从准确定罪量刑的角度出发,涉敏感公民个人信息犯罪危害性大,入罪门槛低,刑罚相较一般信息犯罪重,理应准确把握规制边界,谨慎认定。其二,从司法效率角度出发,一方面,《个人信息司法解释》第5条已对涉敏感公民个人信息犯罪情节严重与情节特别严重的认定门槛分别限定在五百条与五千条,逐条计算仍在合理范围内;另一方面,敏感公民个人信息在实践中多因其重要性而按条计价,在全案证据扎实的情况下,逐条认定具有可操作性。
问题五 提供公民个人信息的,未被查询过的信息是否纳入信息数量的计算?
向他人提供公民个人信息的,信息数量的计算存在应以提供的条数还是他人实际查阅过的条数进行计算的争议。
裁判规则五:提供公民个人信息的,未被查询过的信息纳入信息数量的计算。
可供参考的案例
丁某光侵犯公民个人信息案
案例索引:(2016)浙0382刑初2332号
裁判要旨:“提供型”行为的信息数量应以实际提供的信息数量计算。虽然涉案网站“开房记录”查询的条数为49698条,但用户在注册成为会员后,可以凭关键字搜索对涉案全部19846399条公民个人信息进行查询,故本案公民个人信息数量应以网站可供查询的数量进行认定。
基本案情:丁某光通过在不法网站下载的方式,非法获取全国宾馆住宿记录近两千万条,并上传至自己开办的“嗅密码”网站。该网站除了能够查询住宿记录外,还提供用户QQ、部分论坛账号及密码找回功能。用户经付费注册成为会员后,可以在网页“开房查询”栏目项下,以输入姓名或身份证号的方式查询网站数据库中宾馆住宿记录。经查,该网站共有查询记录49698条,收取会员费191440.92元。辩护人提出,网站只能通过指定的信息去搜索开房信息,本案应当以网站实际泄露的49698条信息进行认定。法院认为,虽然涉案网站“开房记录”查询的条数为49698条,但用户在注册成为会员后,可以凭关键字搜索对上述全部19846399条公民个人信息进行查询,故本案公民个人信息数量应以网站可供查询的数量进行认定。
规则评析:
非法提供公民个人信息的法益侵害性主要体现在行为人未经信息主体同意,对外流转信息的行为上——非法提供信息的行为使公民个人信息泄露,处于随时为他人可知的无序状态,继而对公民的信息安全造成侵害。对于设立非法网站以会员制向不特定主体有偿提供公民个人信息查询的行为,用户在支付会员费后,客观上可凭关键字搜索对提供的全部公民个人信息进行查询,即使有部分信息尚未被查询过,提供信息的行为已经完成,信息随时可为不特定的相对方所获知,客观上已经造成对公民信息安全的危害。因此,在计算此类非法提供公民个人信息的数量时,应当根据实际提供的数量认定,未被查询过的信息亦应纳入计算。
余论
信息数据化与信息处理规模的扩大,给公民个人信息的数量计算带来了前所未有的挑战,信息数量计算不仅是科技手段层面的技术使用问题还是法律规范层面的解释与适用问题,同时也提供了理论探讨、法律完善的空间。现行批量信息数量计算规则对于调和诉讼证明与司法资源之间的矛盾,不失为一项尚佳的解决方案,但应准确界定其适用范围、澄清其理解认识误区。在大量信息属于“间接型”可识别信息的背景下,于微观处着眼,应当牢牢把握单条公民个人信息以可识别为认定核心的原则,重视具体行为类型下不同种类、数量的信息对法益造成的侵害程度差异,审慎展开对批量敏感信息的数量计算,避免以量的概括计算取代质的准确认定。对于刑事推定在批量信息认定中的适用问题,应妥当构建可反驳的经验法则指引,提高批量信息真实性认定的信度,规范程序正当运行。
附:相关法律法规汇总
(一)《中华人民共和国刑法》
第二百五十三条之一 【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
(二)《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
第三条 向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。
未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(二)造成重大经济损失或者恶劣社会影响的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。
第十一条 非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。
向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。
对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
●“两高一部”新发布!信息网络犯罪案件适用刑事诉讼程序意见(附答记者问)
●最高法新发布!电信网络诈骗犯罪及其关联犯罪典型案例(附答记者问)
声明:本文属于原创作品,转载请注明来源。
编辑:潘园园
排版:王紫暄
审核:刘 畅
觉得内容还不错的话,给我点个“赞”和“在看”呗