侵犯公民个人信息罪中“公民个人信息”的范围及批量认定问题
2015年刑法修正案(九)将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,2017年“两高”《关于办理侵犯公民个人信息案件适用法律若干问题的解释》进一步细化、完善了该罪的适用依据,但在审判实践中仍然存在较多疑问。本文以笔者办理的一起侵犯公民个人信息案为视角,拟探讨本罪所保护的“公民个人信息”的范围以及被告方如何反驳批量认定规则。
案例:浙江某公司从事咨询服务,通过介绍客户到某医疗服务公司消费赚取中介费用,李某2019年进入该公司后通过同事了解到可以通过某聊天软件群交换名单以寻找客户,后被侦查机关查获。侦查机关以批量查获的、通过李某账号发送的信息认定李某涉案信息条数8万余条。
公诉机关指控李某通过交换并向他人提供公民个人信息,情节特别严重。笔者审判阶段介入本案,阅取本案电子数据后发现,虽然侦查机关使用Excel表格进行了重复性比对去除,但李某向他人发送的绝大部分信息为企业工商登记信息,并且李某称使用过程中有很多空号、错号等不真实信息,电子数据也显示确有明显的无效信息。笔者认为,企业依法公开的工商登记信息不应纳入本罪保护范畴,不真实的、无效的信息也不应当计算在内。
一、“公民个人信息”的范围商榷
根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条的规定,“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
本案李某涉案信息数量达到情节特别严重程度,是因为交换给他人的信息中企业工商登记信息数量特别大。数据中还有为数较多的明显无效、错误信息:错号(比如手机号码十位数)、座机号码、姓名无效(比如李总、张总、王、周等称呼及姓氏)等。笔者认为,公开的企业工商登记信息以及无效信息不属于本罪的保护对象,不应当计入本罪中的“公民个人信息”范围。
首先,无法识别到特定自然人或者反映特定自然人活动情况的信息,不属于本罪所保护的“公民个人信息”。
司法解释对公民个人信息范围作出明确规定,重点在于信息是否能够“识别特定自然人身份或者反映特定自然人活动情况”。最高人民法院对司法解释的理解适用也表达了同样观点:“公民个人信息与特定自然人关联,这是公民个人信息所具有的关键属性”[1]。本案中涉及的座机号码、代称、姓氏等信息属于“经过处理”的信息,无法识别到特定的自然人,在计算个人信息数量时,应当予以剔除。
其次,依法公开的企业工商登记信息是否属于“公民个人信息”?笔者认为,从司法解释规定及刑法保护必要性看,企业公开的工商登记信息(即使包括法人姓名、联系方式)属于企业信息,不属于自然人的“个人信息”。
本案涉及的大量信息,经笔者核对,均与公开网站(国家企业信用信息公示系统、企查查等)能查询到的企业公开信息范围一致[2],包括法定代表人姓名、联系方式、公司名称、地址等。尽管法定代表人也是自然人,但在此信息组合中属于企业信息的一部分,不属于本罪保护的“公民个人信息”。
并且,企业工商登记信息公开是其法定义务,根据2014年《企业信息公示暂行条例》第八条的规定:
“企业应当于每年1月1日至6月30日,通过企业信用信息公示系统向工商行政管理部门报送上一年度年度报告,并向社会公示”。
第九条第一款、第二款规定:
“企业年度报告内容包括:
(一) 企业通信地址、邮政编码、联系电话、电子邮箱等信息;
(二) 企业开业、歇业、清算等存续状态信息;
(三) 企业投资设立企业、购买股权信息;
(四) 企业为有限责任公司或者股份有限公司的,其股东或者发起人认缴和实缴的出资额、出资时间、出资方式等信息;
(五) 有限责任公司股东股权转让等股权变更信息;
(六) 企业网站以及从事网络经营的网店的名称、网址等信息;
(七) 企业从业人数、资产总额、负债总额、对外提供保证担保、所有者权益合计、营业总收入、主营业务收入、利润总额、净利润、纳税总额信息。
前款第一项至第六项规定的信息应当向社会公示,第七项规定的信息由企业选择是否向社会公示。”
由此可见,公开工商登记信息是企业的法定义务。《企业信息公示暂行条例》第九条第三款:“经企业同意,公民、法人或者其他组织可以查询企业选择不公示的信息”,明确规定了只有法律允许的、企业选择不公开的信息,查询方需经过企业同意,证明了普通公开信息并不需要经过企业同意。
笔者检索了的本罪相关判例,所幸既有判例并未一致将公示的工商登记信息认定为“公民个人信息”,而是在认定信息条数时予以剔除。判决内容如下:
“综合上述证据,就本案审理查明的事实,结合控辩双方的意见,本院评判如下:第一,关于公诉机关指控本案中侵犯公民个人信息的具体条数问题。在案证据中,相关证据主要有电子证据勘验工作记录和对应的司法审计书及被告人供述和证人证言。一是,公诉机关指控被告人从胡某处收受的6096条信息及从刘1处获取的16165条信息中的6260条信息,司法审计书反映为法人信息,不属于公民个人信息,依法应予排除。”(重庆市渝中区人民法院(2017)渝0103刑初1563号)
笔者认为,企业依法公开的工商登记信息,不属于本罪的保护对象,不属于“公民个人信息”范围,也不具有刑法保护的必要性(笔者通过网页检索了企业黄页[3]信息,亦有大量的“企业黄页”网站,转载企业信息,且也有公开出版发行的企业黄页书籍),不应当计入本罪的信息条数。
二、对批量认定规则的反驳
根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第十一条:对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
对于被告方而言,需要提交怎样的证据才足以证明信息不真实或重复?
可以理解,实践中除敏感信息外,涉案的公民个人信息条数动辄上万条甚至数十万条,存在信息重复及真实性无法一一核实等客观难题,要求侦查机关在个案中逐一查实也不具备操作可能性。为减轻举证负担,《解释》第十一条规定了“批量查获直接认定”规则,但同时规定了“有证据证明信息不真实或者重复的除外”。
本条实际适用情况如何?
笔者在裁判文书网站检索了该条司法解释,查阅了援引《解释》第十一条的相关判例,绝大部分的判决在被告方提出信息无效、不真实的辩解,判决回应基本如下:
判例一:“上诉人及辩护人提出可能存在“公司用户、无效邮箱、用户信息重复”的情形,但并无提供确切依据,原审判决对涉案信息数量的认定方式符合法律规定。”[4]
判例二:“被告人并未提供相关证据证实该2,000余万条信息中有不真实或重复的信息,也未提供证据证明有无效的信息,故本案侵犯的公民个人信息数量应当按照查获的数量认定,被告人提出的辩解不能成立,本院不予采纳。”[5]
判例三:“公诉机关根据查获的被告人万国权等人使用电子设备中存储的公民个人信息的数量予以认定并无不当,辩方未提供任何证据证明该公民个人信息中存在不真实或者重复的成分。”[6]
判例四:“而本案没有证据证明被告人购买的公民个人信息8000余条哪条是重复的,哪条是虚假的。因此,被告人及其辩护人辩称犯侵犯公民个人信息罪不属情节特别严重的辩护意见与事实和法律不符,不予采纳。”[7]
笔者查找的判例当中,对被告方提出的信息无效或重复的意见,法院绝大部分不予认定,且大部分判决理由如上,均为被告方未提出任何确切证据,且判例四最为极端:“没有证据证明被告人购买的公民个人信息8000余条哪条是重复的,哪条是虚假的”。法院的裁判思路似乎体现其认为《解释》第十一条规定的批量认定规则免除了侦查、公诉机关逐条查实信息真实、重复性义务的同时,将该义务转嫁到了被告方头上。
这是一种误解。
首先,侦查、公诉机关作为国家机关,侦查手段、资源优势不必多言,国家机关尚且无法核实海量个人信息的真实性,法律又怎么会将举证义务直接转嫁到被告方?这绝非司法解释的本意。
其次,即使被告方提出证据证明涉案信息部分不真实,该证据也很难得到公诉方或法庭的支持。比如笔者办理的该起案件,侦查机关只进行了重复性去除,也未支持抽查核验数据真实性。辩方提出本案电子数据中存在手机缺号(只有十位数等)、姓名不详、座机等无效信息,以及部分被告人当庭供述在交换信息之前将信息打乱导致信息不真实的意见(比如将两份名单的姓名和手机号码进行了对调)。为证实以上意见,辩方通过在法庭调查阶段发问查明本案多名被告人一致供述信息大部分不真实(且不真实比例70%),并向法庭提出本案在案笔录中其他涉案人员与被告人的一致供述,辩方也截取并向法庭出示了电子数据中存在无效信息种类、大概数量,并且抽取了部分号码拨打以验证真实性。以上意见,公诉人当庭表示验证的信息中除了一个明显十位数的手机号码外,对其他检验结果真实性均不予认可。
“不予认可”似乎是被告方举证的宿命,鉴于人力物力有限,本案辩方自行核验的信息数量较少,即使辩方真的耗时耗力、不计成本将涉案信息逐一验证,控方仍可一句“三性不予认可”了结。
法不强人所难,司法解释规定的“批量认定规则”并不是要求被告方承担控方的举证责任,自行证明信息真实与否,实际辩方也无能为力,即使提出证据也会轻易被控方否定。
第三,以上判决均以未提出证据为由不予采纳被告方对信息真实性、有效性的辩解,笔者认为,司法解释规定“批量认定规则”,实质是出于考虑侦查机关查证的现实难度而作出的一种推定,且允许反驳。
刑事推定有其合理性,但出于公平考虑,必须允许被告方反驳。我国刑事诉讼法只规定了公诉机关证明构罪需要达到的证明标准,尚未规定对刑事推定反驳所需要达到的证明程度。根据证据法的一般原理,被告方刑事推定的反驳不必要也不可能达到控方事实清楚、证据确实充分的程度。笔者认为,具体到本罪中,对“批量认定规则”反驳,只需要被告方能够提出令人信服的、有一定事实依据的反驳理由,能够达到引起法庭合理怀疑程度即可。
以上观点也得到了部分判决支持:
判例一:“公安机关统计的涉案数据是12万余条,但因光盘中显示存在部分不真实和重复的公民个人信息,经扣除部分不真实和重复的公民个人信息后,被告人非法获取、出售的公民个人信息的条数应为95863条,故辩护人的上述辩护意见成立,予以采纳。”[8]
判例二:“被告人未提供信息存在重复的依据,本案涉案信息达十几亿条,排重根本无法做到,鉴于本案中信息条数众多,可能存在重复,另外,鉴于成功登录率不高,量刑时一并酌情考虑。”[9]
判例三:“本院审查后,在公诉机关认定的信息和数据数量的基础上,从有利于被告人的角度考虑,将部分存疑的信息或数据予以剔除,就低认定本案各被告人涉案的信息和数据数量。”[10]
判例四:“对于被告人非法获取雅虎邮箱信息的数量。本案同案犯刘某等人的供述及被告人的供述,均可证实被告人非法获取的雅虎邮箱存在账号错误、密码错误等问题,并非全部能正常登录使用,因此,涉案雅虎邮箱数量中不能登录使用的部分应当予以扣除。根据同案犯刘某、李某2等人的供述,被告人陈磊发送的邮箱信息中的有效信息比例最低为20%,据此,依照“有利于被告人原则”,认定被告人陈磊非法获取的雅虎邮箱信息为83539036条(公安机关查获的邮箱数量417695180条×20%)。”[11]
以上判例可知,不论是“客观显示”、“同案供述证明”还是“存疑扣减”、“有利于被告人”,均是对被告方提出反驳的一种认可(虽然在另案当中,以上均可能以“没有提出确切证据”为由予以反驳),当辩方提出的有一定事实依据的理由足以引起法庭的合理怀疑,法庭至少可以以“存疑有利于当事人”为由合理判定信息数量。笔者认为,这样的审判结果比较符合司法解释的真实用意以及刑事证据法原则。
三、结束语
侵犯公民个人信息罪是为了保护公民个人信息安全,保护个人隐私以及交易、活动安全,不真实的信息无法危及公民个人信息安全,而工商登记信息因其公开义务性也至少不必动用刑法保护,在认定本罪时应当予以剔除。
“有证据证明信息不真实或者重复的除外”,是司法解释规定的对“批量认定规则”的反驳方式,但其真实用意并非为难被告方,让被告人提出证据证明罪轻到事实清楚,证据确实、充分的程度。审判人员不应要求被告方提出确切的证据并逐一验证信息真伪(即使做到也易于反驳)。辩方向法庭提出信息数量的意见时,应当尽可能的从现有证据入手,细致地提出让法庭信服的理由和依据,不论是同案被告人供述,抑或庭前经与公诉人沟通后进行抽检核验等等(尽量减少法庭核实的工作量及查实的难度),至少不能指望仅仅提出辩护观点就将举证责任转移回控方。
尾注
[1]最高人民法院 周加海、邹涛、喻海松 《<关于办理侵犯公民个人信息形式案件适用法律若干问题的解释>的理解与适用》,2017年《人民司法》。
[2]有判例认为,即使是企业公开的工商登记信息。
[3]根据百度百科查询,黄页是国际通用按企业性质和产品类别编排的工商企业电话号码簿,以刊登企业名称、地址、电话号码为主体内容,相当于一个城市或地区的工商企业的户口本,国际惯例用黄色纸张印制,故称黄页。黄页,起源于北美洲,1880年世界上第一本黄页电话号簿在美国问世,至今已有100多年的历史。
[4]苏州市中级人民法院(2019)苏05刑终488号。
[5]重庆市渝中区人民法院2017渝0103刑初1017号。
[6]肥东县人民法院(2018)皖0122刑初41号。
[7]余干县人民法院(2018)赣1127刑初242号。
[8]莆田市涵江区人民法院(2017)闽0303刑初319号。
[9]常熟市人民法院(2019)苏0581刑初931号。
[10]嘉善县人民法院(2018)浙0421刑初371号。
[11]龙岩市中级人民法院2018闽08刑终213号。