关于侵犯公民个人信息罪的法律探究

【案例一】2015年11月至2016年7月期间，被告人陈某非法收集公民身份证号等信息，使用这些信息在网易注册邮箱、在淘宝上注册淘宝账户、绑定支付宝账户，之后，通过其在浮云网（www.fy153.com）注册的网络店铺，以每个账号人民币0.2元到100元不等的价格进行销售这些包含公民个人信息（身份证号、姓名等数据）的淘宝账号、支付宝账号等共计1142个，总销售金额4702元。

2016年8月1日，公安机关对被告人陈某位于福建省莆田市的家依法进行搜查，并从其家中搜查到被告人陈某平时用于出售他人信息操作的涉案电脑主机。公安机关从电脑主机中调取了被告人陈某在浮云网上出售包含公民个人信息的商品交易记录（包含数量、价格及公民身份信息）。

2017年4月11日，莆田市荔城区人民法院以侵犯公民个人信息罪，判处被告人陈某有期徒刑十一个月，并处罚金人民币三千元。追缴违法所得款人民币四千七百零二元。

点评：本案行为人通过网络非法获取公民个人信息，然后出售给他人牟利，虽然金额未达到5000元，但出售可能影响他人交易安全、财产安全的公民个人信息达千余条，情节严重，依法按照侵犯公民个人信息罪定罪量刑。

【案例二】2014年初至2016年7月期间，上海市疾病预防控制中心工作人员韩某利用其工作便利，进入他人账户窃取上海市疾病预防控制中心每月更新的全市新生婴儿信息（每月约1万余条），并出售给黄浦区疾病预防控制中心工作人员张某某，再由张某某转卖给被告人范某某。直至案发，韩某、张某某、范某某非法获取新生婴儿信息共计30万余条。

2015年初至2016年7月期间，范某某通过李某向王某某、黄某出售上海新生婴儿信息共计25万余条。2015年6、7月，吴某某从王某某经营管理的公司内秘密窃取7万余条上海新生婴儿信息。2015年5月至2016年7月期间，龚某某通过微信、QQ等联系方式，向吴某某出售新生婴儿信息8千余条，另分别向孙某某、夏某某二人出售新生儿信息共计7千余条。

检察机关于2016年8月18日以韩某等8人涉嫌侵犯公民个人信息罪批准逮捕，11月25日提起公诉。2017年2月8日，法院以侵犯公民个人信息罪分别判处韩某等8人有期徒刑七个月至两年三个月不等。

点评：随着信息化社会的到来，个人信息的重要性日益凸显，侵犯公民个人信息获取经济利益的现象逐渐增多，相关灰色产业链已初现雏形，其中国家工作人员利用职务便利非法获取公民个人信息社会影响尤其恶劣。本案涉及国家工作人员与销售商勾结，买卖婴儿信息数量达几十万条，给家庭生活造成困扰，案件引发社会关注。

【案例三】2015年3月至2016年9月1日间，被告人郭某某利用其原在某信息技术服务公司工作的便利和通过QQ群交换等途径，非法获取楼盘业主、公司企业法定代表人及股民等的姓名、电话、住址及工作单位等各类公民个人信息共计185203条，上传存储于“腾讯微云”其个人账户内。后通过QQ群发布信息，将上述非法获取的公民个人信息出售给他人，从中非法获利人民币4000元。

检察机关于2016年9月30日以涉嫌侵犯公民个人信息罪对郭某某批准逮捕。12月30日，以侵犯公民个人信息罪提起公诉。2017年1月11日，法院以犯侵犯公民个人信息罪判处被告人郭某某有期徒刑七个月，并处罚金两千元。

点评：当前，除行政管理机关和金融、电信、交通等单位接触大量的公民个人信息外，宾馆、快递等服务行业在提供服务的过程中，也会获取大量的公民个人信息。单位、公司的个别员工为了获取非法利益，违反职业道德和保密义务，将在工作中获得的公民个人信息资料出售或提供给他人，对公民的人身、财产安全及正常工作生活造成了严重威胁，应依法严惩。

【案例四】2015年9月至2016年4月，被告人籍某某身为高邑县王同庄派出所民警，利用其在高邑县王同庄派出所工作的职务之便，使用已调离的前所长段某某的数字证书查询公安系统内公民个人信息3670余条，并通过微信向被告人李某某出售公民个人信息，非法获利共计19840元；被告人李某某将从籍某某处购买的公民个人信息出售给他人，非法获利42185元。

检察机关于2016年5月21日以涉嫌侵犯公民个人信息罪对籍某某、李某某批准逮捕。2016年12月14日，以侵犯公民个人信息罪提起公诉。2017年3月9日，法院分别以犯侵犯公民个人信息罪判处被告人籍某某、李某某有期徒刑一年，并处罚金五千元。

点评：本案为利用公安民警的特殊身份，在掌握全国人口信息的平台上任意查询，并非法出售3670余条，比一般人员非法收集信息具有更大的社会危害性，应当认定其属于刑法第253条之一第一款规定的情节严重的情形，依法予以惩处。

从以上案例不难看出，随着信息网络技术与应用的快速发展，侵犯个人公民信息犯罪的情况也日趋严重并处于高发态势。为了加大对公民个人信息的刑法保护，最高人民法院自《中华人民共和国刑法修正案（七）》（以下简称“刑法修正案七”）增设出售、非法提供公民个人信息罪和非法获取公民个人信息罪、《中华人民共和国刑法修正案（九）》（以下简称“刑法修正案九”）修改为“侵犯公民个人信息罪”（以下简称“本罪”），并出台了相关司法解释，即2017年6月1日起实施的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称“解释”）。接下来，本文从犯罪主体、公民个人信息的范围、获取信息的行为方式、信息数据的真实性举证责任分担等方面对本罪进行浅显的法律探究。

一、犯罪主体为一般主体，普通人亦具有涉嫌本罪的可能

刑法修正案七在第二百五十三条之后增加一条保护公民个人信息，但犯罪主体限定为“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，刑法修正案九在此基础上进行扩展，将犯罪主体改为一般主体，也就是说，只要违反国家有关规定向他人出售或者提供公民个人信息，无论是在履行职责、提供服务过程中获得，还是通过窃取或者其他方法获得的个人或者单位都可能构成本罪，换言之，普通人也可能涉嫌这个罪名。

实务中，倒卖客户个人信息的房屋中介、从网上购买潜在客户联系方式的各行业销售人员，甚至于掌握客户财产信息的银行工作人员、可以查询到公民个人信息的公安机关民警等等，都可能成为这个罪名的犯罪主体。

二、公民个人信息应同时具备可识别性和隐私性

解释对公民个人信息的定义进行了明确，即能够单独或者与其他信息结合识别特定自然人身份或者活动情况的各种信息，并列举了姓名、身份证号码、联系方式、住址、账号密码、财产情况、行踪轨迹等。可见，解释拓宽了对于公民个人信息的保护范围，但笔者认为，公民个人信息应同时满足可识别性、隐私性这两个条件。

可识别性是指该信息可以用来直接或间接地识别个人的任何信息，覆盖了心理、生理、智力以及个体、社会、经济、文化、家庭等各个方面，一般包括姓名、职业、职务、年龄、血型、婚姻状况、宗教信仰、学历、专业资格、工作经历、家庭住址、电话号码（手机用户的手机号码）、身份证号码、信用卡号码、指纹、病史、电子邮件、网上登录账号和密码等等。例如，信息仅包含手机号码，不包含其他公民信息要素，就不属于单独识别特定自然人身份或者反应特定自然人活动的信息，但该部分手机号码是否属于与其他信息结合后达到识别特定自然人身份或者反应特定自然人活动的程度？第一，如果涉案信息除包含手机号码外，还另有其他如住址信息或身份证号码等，或者手机号码属于某一可识别的限定性群体，能够使当事人对信息所有人的身份或活动有较大获取可能性，方能确定为公民个人信息。第二，该“识别身份可能性”应当建立在案件当事人或犯罪嫌疑人为识别公民身份而作出一定行为的可能性的基础上，如当事人不具备与其他信息结合的条件或没有做出结合其他信息的行为（在此应与办案人员的测试行为相区别，如办案人员将电话号码输入支付宝搜索，可显示用户姓名的一部分，但该行为的实施者系办案人员，非犯罪嫌疑人），仍不应将其所获取的信息归类于公民个人信息。

但是否只要能够识别个体信息就能构成本罪的客体？笔者认为，本罪的个人信息范围应同时具有隐私性。隐私性是指该信息是信息主体不愿意公开，不愿意提供给他人的。必须是本人不希望为一般人所知晓的个人信息，若本人希望更多地公开个人信息以扩大知名度，甚至有意借此炒作，即便采取不法手段获取了这些信息，符合本条犯罪的客观方面要件，也不宜作为犯罪来处理。

从两高发布的一些典型案例以及实务中的案件来看，涉及到的公民个人信息主要有：母婴、快递行业的客户个人信息、网络的订单信息、公安机关内网的公民个人信息、银行客户的个人信息、酒店行业的住宿信息等等。

三、常见的侵犯公民个人信息的行为方式

解释中关于侵犯公民个人信息罪的行为方式主要包括违反国家有关规定，通过信息网络或者其他途径发布公民个人信息、通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息等等。需要注意的是，此处的“国家有关规定”仅限于法律、行政法规、部门规章，地方性法规应当排除在外。

2017年，两高共发布了13个典型案例，其中涉及到的行为方式主要有：

1.以“调查公司”的名义向他人出售公民个人信息，包括个人户籍、车辆档案、手机定位、个人征信、旅馆住宿等各类公民个人信息。

2.利用银行工作人员的权限，在银行专用网络内，非法查询公民个人银行征信信息用于出售。

3.购买学生信息用于出售。

4.买卖大量含有公民姓名、收货地址、手机号码等内容的网购订单信息。

5.通过黑客软件侵入邮局内网，在邮局内网窃取邮局内部的公民个人信息用于出售。

6.加入涉及个人信息交换买卖的QQ群，通过购买、交换等方式获取大量公民个人信息，再在群里发布广告招揽买家。

7.一家为全国4500多家酒店提供网络服务的公司因系统存在安全漏洞，致使全国高达2000万条宾馆住宿记录泄露。犯罪嫌疑人非法下载上述住宿信息后用于出售。

8.民警利用其在派出所工作的职务之便，使用已调离的前所长的数字证书查询公安系统内公民个人信息用于出售。

四、关于公民个人信息真实性认定的举证责任分担

从目前司法实践来看，除公民个人敏感信息外，涉案的公民个人信息数量动辄上万条甚至数十万条。是否需要核实公民个人信息的真实性，以及如何核实公民个人信息的真实性，一直是困扰基层司法机关的一个难题。一方面，侵犯公民个人信息罪的犯罪对象是公民的个人信息。之所以侵犯公民个人信息行为对公民人身安全或者财产安全造成威胁，就是因为公民个人信息是真实的，如果不是真实的公民个人信息，就不会造成法益侵害，自然就不构成犯罪，所以真实的公民个人信息是犯罪对象，属于构成要件内容。根据证明责任的一般分配原理，构成要件内容应当由控方承担证明责任。也就是说，控方承担证明公民个人信息真实性的义务。另一方面，面对数量动辄上万上亿条的公民个人信息，要求控方对公民个人信息逐条核实其真实性，在消耗大量司法资源的情况下，既无可能，也实无必要。在个别案件中，要求办案机关电话联系权利人核实公民个人信息的做法，明显不合适。基于此，解释规定“对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或重复的除外。”

因此，当涉及公民个人信息内容众多的情况下，如果要求证明每一项内容均证实则需要占用大量司法资源。从节约司法成本出发，证明其中某项信息内容虚假会更容易更便捷。对信息真实性认定问题上，一般按照查获的数量直接认定，但若被告人提出辩解及提出相关证据对信息的真实性产生异议，经法院审理可以决定是否采纳。在实务中，查获的信息数据一般以电子证据形式居多，公安机关一般会交鉴定机构予以鉴定。但在案件审查中，还是应当对鉴定意见的鉴定过程进行严格审查。比如很多鉴定机构会采用关键词检索的方式去确定信息的条数，但事实上根据个案情况的不同，采用这种方式得到的数字并不能作为最后认定的信息条数。从保证刑事案件证据确实充分的层面，应考虑以下方面的问题：第一，即便按照解释的思路，以查获的数量认定，但如果犯罪嫌疑人或被告人提出关于信息不真实的合理分析，则应当对不真实的信息进行合理排除；第二，对于“财产”“征信”等重要信息归罪的案件，因其达到50条即属于“情节严重”，应当检验其真实性和重复率。对于其他为合法经营而购买的信息，因具有获利或其他要求，则对数据真实性不需要逐条验证；第三，对于涉及到“情节特别严重”的财产等重要信息十倍以上，即500条以上的，应当通过抽样检测的方式，以证实信息为真的高度盖然性；第四，对于每条信息中个别要素的虚假问题，应综合考虑该项要素是否系财产信息关键要素，如剔除该要素对证实自然人财产情况的证明作用没有影响，则该要素的虚假不影响整条信息的真实性。