三、侵犯公民个人信息罪与相关犯罪的界分
(一)非法使用公民个人信息行为的定性
实践中,非法使用公民个人信息的行为日益严重,严重干扰了人民群众的正常工作和生活。例如2008年底被曝光的“西电卡门事件”,西安电子科技大学财务处在未经学生同意的情况下,利用掌握的学生身份证号码、家庭详细住址等个人资料,为一万多名学生集体办理了“中国工商银行牡丹圆梦学生卡”。然而,这一万余名学生对自己拥有该信用卡却一无所知。由于此事影响颇广,最终以学校公开致歉并注销信用卡结束。[7]
窃取或者以其他方法非法获取公民个人信息,或者将自己掌握的公民个人信息出售、非法向他人提供的行为可能构成相应犯罪。但是,将自己掌握的公民个人信息(包括合法获取或者非法获取的公民个人信息)非法使用的行为,却不能直接依据刑法第二百五十三条之一的规定入罪。[8]当然,单纯非法使用公民个人信息的行为未单独入罪,只是意味着不能仅仅因为使用公民个人信息的行为非法而认定其具有刑事违法性,但并不意味着不能依据相关行为的刑事违法程度予以刑事惩治。对此,可以考虑相关行为的性质作出处理:如果行为人所掌握的公民个人信息系窃取或者以其他方法非法获取的,可以对非法获取行为适用侵犯公民个人信息罪;如果非法使用所掌握公民个人信息,实施诈骗、敲诈勒索等其他犯罪行为的,可以依据其他犯罪论处。
(二)非法获取公民个人电子信息行为的处断
《关于加强网络信息保护的决定》对公民个人电子信息的保护作了规定,在此基础上,《网络安全法》作了进一步的规定。违反相应规定非法获取公民个人电子信息的行为,无疑属于刑法第二百五十三条之一规定的非法获取公民个人信息的行为。但是,公民个人电子信息往往表现为计算机信息系统数据,故非法获取公民个人电子信息的行为有时会同时触犯非法获取公民个人信息罪与非法获取计算机信息系统数据罪。如果违反国家有关规定,侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的涉及识别特定自然人身份或者反映特定自然人活动情况的电子信息,同时符合了非法获取公民个人信息罪与非法获取计算机信息系统数据罪两个犯罪构成要件,但由于只有一个犯罪行为,属于刑法中的想象竞合犯,应当从一重罪处断。
例如,2014年10月开始,被告人付某在互联网上使用默认账户admin登录被害人公司账户后台,利用下载助手软件下载获取被害人公司月结账户的客户资料信息。被告人付某多次作案,累计非法获取客户信息几十万条,再利用QQ在群中发布消息转卖相关信息,共获利8万余元。广东省深圳市南山区人民法院一审判决、深圳市中级人民法院二审裁定认为:被告人付某使用默认账户admin多次登录被害人公司计算机信息系统获取存储的客户个人信息,获利8万余元,系同一行为同时触犯非法获取计算机信息系统数据罪、非法获取公民个人信息罪,应当从一重罪处罚;被告人构成非法获取计算机信息系统数据罪,判处其有期徒刑四年,并处罚金4万元。[9]
(三)侵犯公民个人信息罪与侵犯商业秘密罪的界分
公民个人信息可能是能够为权利人带来经济利益的经营信息,如顾客名单及个人信息详细情况等,从而符合商业秘密的特征。因此,窃取或者以其他方法非法获取此类公民个人信息的行为,可能会同时触犯非法获取公民个人信息罪与侵犯商业秘密罪,属于想象竞合犯,应当从一重罪处断。
(四)侵犯公民个人信息罪与诈骗罪的并罚
《最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》规定:“使用非法获取的公民个人信息,实施电信网络诈骗犯罪行为,构成数罪的,应当依法予以并罚。”据此,对于非法获取公民个人信息后,实施电信网络诈骗等犯罪,构成数罪的,应当依法予以并罚。例如章某某等诈骗、侵犯公民个人信息案。2016年初,被告人章某某到广东省河源市租住源城区建设大道德欣豪庭C2栋1201室,准备手机等作案工具并通过互联网非法购买公民个人信息12555条。2016年3月至4月间,被告人章某某先后雇佣被告人汪某某等三人在该租房内,通过拨打章某某事先从网上购买的学生个人信息上的家长联系电话,冒充“学校教务处”、“教育局”工作人员,以获取国家教育补贴款为由,诱骗学生家长持银行卡到ATM机上转账至章某某掌控的银行账户,从中获取钱财。至被查获时,共拨打诈骗电话4392人次,骗取116200元。2016年4月期间,被告人章某某还伙同他人利用同样的手段实施诈骗行为,至被查获时,共拨打诈骗电话807人次,骗取他人钱财近3000元。2016年12月14日,福建泉州安溪法院作出一审判决,以诈骗罪、侵犯公民个人信息罪判处被告人章某某有期徒刑五年,并处罚金人民币三万八千元;其他三名被告人以诈骗罪分别被判处一年至二年九个月不等的有期徒刑,并处罚金。
(五)非法持有公民个人信息的处理
刑法第二百五十三条之一只是将非法获取、出售、提供公民个人信息的行为入罪,对于实践中业已出现的非法持有大量公民个人信息案件,如果根据在案证据,适当运用推定规则,证明涉案公民个人信息系非法获取或者用于非法出售、提供的,则可以适用侵犯公民个人信息罪定罪处罚。
[1]参见《使用“伪基站”群发诈骗短信 两被告人犯诈骗罪被判刑》,载《人民法院报》2014年4月23日第3版。
[2]当然,细究起来,非法利用信息网络罪并非仅仅是对处于预备阶段的网络犯罪行为单独入罪,部分情形下也是对已经实行犯罪、但尚未实行终了的行为入罪,如为实施诈骗等违法犯罪活动发布信息的行为。
[3]参见《关于〈中华人民共和国网络安全法(草案)〉的说明》,载中国人大网:http://www.npc.gov.cn/npc/lfzt/rlyw/2015-07/08/content_1941286.htm,最后访问时间:2015年8月29日。
[4]参见李怀胜:《公民个人信息的刑法保护思路》,载《中国信息安全》2017年第1期。
[5]在《刑法修正案(九)(草案)》研拟过程中,有意见主张增设过失致使公民个人信息泄露的犯罪,规定:“对在履行职务或者提供服务过程中获得的公民个人信息,不依照规定采取保护措施,造成严重后果的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”对于过失致使公民个人信息泄露的行为有无必要入罪,存在不同认识。最终,《刑法修正案(九)》未采纳上述建议。参见喻海松:《刑法的扩张——〈刑法修正案(九)〉及新近刑法立法解释司法适用解读》,人民法院出版社2015年11月版,第153页。
[6]参见涂龙科:《网络内容管理义务与网络服务提供者的刑事责任》,载《法学评论》2016年第3期。
[7]参见王作富主编:《刑法分则实务研究(中)》,中国方正出版社2013年版,第857页。
[8]在《刑法修正案(九)(草案)》研拟和审议过程中,有关部门和专家学者即建议借鉴国外立法例,将非法使用公民个人信息的行为入罪。然而,上述建议最终未被《刑法修正案(九)》采纳。参见喻海松:《刑法的扩张——〈刑法修正案(九)〉及新近刑法立法解释司法适用解读》,人民法院出版社2015年11月版,第148页。
[9]本案发生在《刑法修正案(九)》施行前,显而易见,非法获取计算机信息系统数据罪系重罪。参见温锦资:《用admin账户登录他人信息系统行为的定性》,载《人民法院报》2016年6月23日第7版。