最高法喻海松:侵犯公民个人信息案中的信息数量计算规则
侵犯公民个人信息案中的信息数量计算规则
作者:喻海松(最高人民法院研究室法官)
来源:选自《侵犯公民个人信息罪司法解释理解与适用》
解释条文
第十一条非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。
向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。
对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
条文主旨
针对公民个人信息数量“计算难”的实际问题,《解释》第十一条专门规定了数量计算规则,特别是第三款确立了批量公民个人信息的数量认定规则。这对于方便司法实务操作,便利相关案件的办理,具有重要意义。
条文释义
一、公民个人信息的条数计算
关于公民个人信息的条数计算,特别是同一条信息涉及家庭住址、银行卡信息、电话号码等多类别个人信息,如果是按照一条公民个人信息来交易的,则往往会认定为一条公民个人信息。对此问题,实践中并无太大争议。但是,如果将这一规则在司法解释中明确规定,又可能会限缩司法裁量空间,难以兼顾复杂情况。故而,《解释》对此问题未作专门规定,实践中可以沿用上述做法,综合考虑实践交易规则和习惯,准确认定公民个人信息的条数。需要注意的是,有些情形下“一条”公民个人信息应当理解为“一组”公民个人信息。例如,公民个人的银行账户、支付结算账户、证券期货等金融服务账户的身份认证信息,应当理解为一组确认用户操作权限的数据,包括账号、口令、密码、数字证书等,而非单个数据。
对于实践中存在的针对同一对象非法获取公民信息后又出售或者提供的情形,则明显不宜先计算非法获取的公民个人信息数量、再计算出售或者提供的公民个人信息数量,故《解释》第十一条第一款规定:“非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。”此外,考虑到公民个人信息可能被重复出售或者提供,其社会危害性明显不同于向他人出售或者提供一次的情形,故而,《解释》第十一条第二款规定:“向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。”
二、批量公民个人信息的数量认定
从实践来看,除公民个人敏感信息外,涉案的公民个人信息动辄上万条甚至数十万条。此类案件中,不排除少数情况下存在信息重复,如针对同一对象并存“姓名+住址”“姓名+电话号码”“姓名+身份证号”等数条信息,但要求做到完全去重较为困难。此外,对于信息的真实性也难以一一核实。个别案件中,要求办案机关电话联系权利人核实公民个人信息的做法,明显不合适。有论者从体系解释、认识错误、法益等角度出发,认为侵犯公民个人信息罪的对象应当是真实的个人信息;从实体法与程序法的关系出发,认为公诉机关应当举证证明个人信息是真实的个人信息。以此为基础,对“逐一认定个人信息是否真实会消耗过多的司法资源”的观点进行批驳。参见叶小琴、赵忠东:《侵犯公民个人信息罪对象应当是真实的个人信息》,载《人民法院报》2017年2月15日第6版。本书认为,立足理论层面,抽象而言,上述观点无疑是合理的。但是,立足于实务层面,对于证据规则的具体应用无疑应当兼顾各类犯罪的具体情况。对于敏感公民个人信息,由于入罪门槛较低,实践中逐一核实信息的真实性,并无困难,实践中完全可以做到;但是对于其他公民个人信息、特别是在海量状态之下,要求逐一核实信息的真实性,实践中难以做到,故应允许适用推定规则。逐一核实信息的真实性,与运用规定规则认定信息的真实性,应当都是证明个人信息真实性的合适方法,只是基于案件实际情况作出的不同选择罢了。而且,推定规则的适用,并不意味着背离刑事诉讼的证据规则,更不意味着举证责任的转移。对此问题已有诸多论者加以阐释,兹不赘言。基于此,《解释》第十一条第三款规定:“对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。”需要注意的是,推定规则并不意味着举证责任的倒置,公诉机关仍然承担对公民个人信息数量的举证责任。基于此,对于批量公民个人信息仍然应当要求作去重处理,对于明显重复的信息应当予以排除。这从技术角度并不存在难题,且对于确保案件的质量大有裨益。
此外,需要强调的是,对于公民个人敏感信息不宜适用《解释》第十一条第三款的规定,而应当逐一认定。主要考虑如下:(1)从司法实践来看,一般公民个人信息的价格相对较低,甚至不会按条计价,故要求逐一认定不具有可操作性;而公民个人敏感信息价格通常较高,通常按条计价,逐条认定不存在难题。(2)涉敏感信息的案件入罪标准较低,五十条或者五百条即达到入罪标准。为此,对于此类案件要求逐一认定敏感信息的数量,对于确保定罪量刑的准确,完全必要。
来源:悄悄法律人
推荐阅读
2.谁动了我的个人信息?——揭开网络侵犯公民个人信息黑色利益链
3.最高检公布国家赔偿新标准:侵犯公民人身自由权每日赔偿258.89元