个人信息,根据《个人信息保护法》的规定,是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。在实务中,手机号、身份证号乃至于人脸信息被认定为个人信息并不存在疑问。但个人信息的范畴并不能因此而被准确框定,事实上,很多信息究竟是否构成个人信息仍然存在疑惑,需要具体判断。在此基础上,对于该等信息的处理行为又是否合法合规,则是更为复杂的问题。飒团队今天便通过一则案例(案号:(2021)赣0981刑初376号)为大家分析一下实务中有关刑法第二百五十三条之一侵犯公民个人信息罪的相关问题。
基本案情
2020年6月份,被告人熊某1邀集被告人熊某2、熊某3、熊某4一起从事贩卖载有公民个人信息可用于社交活动的成品号的经营活动,因缺乏经验,在此期间获利较少。为谋取更多利益,2020年9月底,被告人熊某1、熊某2、熊某3、熊某4共同出资在网上购买了一款名叫“微骑兵”的软件(一款基于电脑版运行拥有多开、多号智能发、加人、拉、退、清粉的营销软件),用于非法添加好友,并制作成品号予以贩卖。2020年10月份,几名被告人结伙共同购置办公桌、电脑、二手手机等物品,租赁房屋,挂牌成立了“丰城市某文贸易公司”。由秦某负责对外采购空白号、销售成品号。被告人熊某2负责公司内部管理,并负责聘请公司员工。被告人熊某1、熊某3、熊某4、范某与聘请的公司员工均直接
参与,用“微骑兵”软件非法制作成品号。制作好的成品号通过秦某高价卖出,从中非法获取利益。
2021年1月,被告人熊某1、熊某2、熊某3、熊某4、范某与秦某结伙,在贩卖成品号的同时,通过网上购买的方式,非法获取他人求职信息(含姓名、性别、电话号码等公民个人基本身份信息)后,将求职人员的信息分发给公司工作人员。以员工每添加到一名求职人员的号,赚佣金的奖励方法,让员工谎称自己是“公共科技传媒”的工作人员,并以刷单兼职为理由,让求职者添加“导师”的,招揽被害人进,致使部分被害人上当受骗。
侵害公民个人信息裁判结果
江西省丰城市人民法院认为,各被告人在未取得权利人同意及授权的前提下,非法获取他人号并转卖牟利,或者非法处理已公开的公民个人信息,使他人个人信息陷入泄露、
失控风险,并从中获取巨额违法所得,其行为违反国家规定,侵犯了公民个人信息权利,构成侵犯公民个人信息罪。
案例评析
本案的关键点在于:
其一,号是否属于个人信息
其二,诸被告人之行为是否构成侵犯公民个人信息罪。
01
号是否属于个人信息?
根据《、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条的规定,侵犯公民个人信息罪中所称的个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,常见的包括姓名、身份证件号码、通信通讯、住址、账号密码、财产状况、行踪轨迹等。
前述信息显然是与公民个人密切相关的且在某种程度上不愿意该信息被特定人以外的其他人所知悉的信息。具体到号而言,尽管该信息不能直接识别特定自然人身份或者反映特定自然人活动情况,但是作为当下最流行的通讯软件,其具备了极强的社交功能,且承担了一定的支付功能,在使用时需要与手机号、银行卡绑定,且涉及实名认证,据此,号能够与特定自然人一一对应。从这个角度出发,号实质上已经成为了一种个人信息,因而能够成为侵犯公民个人信息罪的犯罪对象。
02
行为是否构成侵犯公民个人信息罪?
事实上,本案中各被告人所实施的行为类型有两类:
其一,购买已注册但未使用的账号进行加工后又出售、提供给他人的行为。
其二,购买求职信息后进行非法利用的行为。
对于前者,如前所述,号本身实际上已经成为了一种个人信息,因此,行为人购买他人所有的账号进行加工进而出售或提供的行为,当然属于“向他人出售或者提供公民个人信息”。同时,该出售或者提供公民个人信息的行为显然没有取得权利人的同意或者授权,因而违法了《个人信息保护法》的相关规定,从而属于“违反国家有关规定”的情况。因此,此类行为当然属于“违反国家有关规定,向他人出售或者提供公民个人信息”之情况,进而符合刑法第二百五十三条之一第一款的规定。
对于后者,由于行为人获取求职信息这一个人信息后并未提供给他人,且其渠道为通过公开渠道进行购买,因而当然不属于“违反国家有关规定,向他人出售或者提供公民个人信息”或者“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人”之情况,故只能考虑该行为是否属于“窃取或者以其他方法非法获取公民个人信息”。亦即,需要考虑该行为是否属于“以其他方法非法获取公民个人信息”。
本案的特殊性在于,行为人所获取的个人信息(求职信息)本质上是个人自行公开的个人信息,因此,根据《个人信息保护法》第十三条的规定,在“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”的情况下,个人信息处理者是可以处理个人信息而无需个人同意的。因此,对于该行为是否属于“以其他方法非法获取公民个人信息”行为的判断就转化为了该行为的处理是否仍然在《个人信息保护法》所规定的“合理的范围”的判断。
对此,法院明确指出,未经公民本人同意,或未具备法律授权等个人信息保护法规定的理由,通过购买、收受、交换等方式获取在一定范围内已公开的公民个人信息进行非法利用,改变了公民公开个人信息的范围、目的和用途,不属于法律规定的合理处理,而应当属于刑法所规定的“以其他方法非法获取公民个人信息”之行为,因而当然构成侵犯公民个人信息罪。
写在最后
近年来随着《网络安全法》《数据安全法》《个人信息保护法》等数据保护法律规范的确立,刑法作为保护法益的最后手段,也进行了相应的调整,侵犯公民个人信息类犯罪与数据犯罪的判决数量亦逐年提升,在这一大背景下,无论是企业还是个人,都应当绷紧数据保护意识。数字时代的到来使得许多人的个人信息都在一定程度上公布在了网络世界之中,但
这种公布并不意味着他人就能随意获取、随意使用。超范围、不合理的使用仍然是一种侵犯他人权益的
行为,严重时亦可能构成刑事犯罪,各大企业和创业者们都应当警惕其中的风险,对于公开信息进行合理利用,创造出良性价值。
发布评论