侵犯公民個(gè)人銀行卡信息實(shí)務(wù)疑難問題探析

文◎吳超令

一、基本案情

被告人李某自2016年以來在網(wǎng)上通過QQ向上家購買了大量公民個(gè)人銀行卡信息 （每條信息多數(shù)含有儲(chǔ)戶姓名、公民身份號(hào)碼、銀行卡號(hào)、密碼、聯(lián)系電話，一部分沒有對(duì)應(yīng)的密碼、聯(lián)系電話），后又通過QQ向他人出售牟利。經(jīng)查證，李某向肖某出售該類信息十萬余條，向?qū)O某等二十余人出售幾百至幾萬余條不等的該類信息。其中，肖某系某公司風(fēng)險(xiǎn)管理部員工，因其所任職公司目前擁有大量的錢包用戶，這些用戶把自己的銀行卡綁定在錢包上用于網(wǎng)絡(luò)購物，該公司向該類用戶提供了信用支付業(yè)務(wù)。肖某從李某處購買的銀行賬戶信息，用于與在公司注冊(cè)的錢包用戶進(jìn)行比對(duì)，進(jìn)行風(fēng)險(xiǎn)防控。

二、分歧意見

近年來，侵犯公民個(gè)人信息犯罪案件處于高發(fā)態(tài)勢(shì)，由于個(gè)人信息泄露引發(fā)的與之關(guān)聯(lián)的詐騙、盜竊、敲詐勒索、綁架等案件頻發(fā)，對(duì)人民群眾的人身和財(cái)產(chǎn)安全造成極大的威脅。有鑒于此，《刑法修正案（七）》增設(shè)了《刑法》第253條之一，規(guī)定了出售、非法提供公民個(gè)人信息罪和非法獲取公民個(gè)人信息罪。 《刑法修正案（九）》又對(duì)《刑法》第253條之一作出修改完善，并將罪名整合為 “侵犯公民個(gè)人信息罪”。2017年 5月 9日，最高人民法院、最高人民檢察院發(fā)布《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》（以下簡(jiǎn)稱《解釋》）。由此，我國初步形成了保護(hù)公民個(gè)人信息的刑法保護(hù)體系。

在辦理案件的過程中，我們發(fā)現(xiàn)該案的分歧點(diǎn)主要集中在兩個(gè)方面：（1）在辦理李某、肖某等侵犯公民個(gè)人信息犯罪系列案件的過程中，涉及到他們出售或者非法獲取的銀行卡信息是否是財(cái)產(chǎn)信息的認(rèn)定問題；（2）為合法經(jīng)營活動(dòng)購買銀行卡信息是否構(gòu)成犯罪？

三、評(píng)析意見

（一）對(duì)銀行卡信息認(rèn)定為財(cái)產(chǎn)信息的把握和界定

根據(jù)《解釋》規(guī)定，非法獲取、出售或者提供財(cái)產(chǎn)信息50條以上的，應(yīng)當(dāng)認(rèn)定為《刑法》第253條之一規(guī)定的“情節(jié)嚴(yán)重”，構(gòu)成侵犯公民個(gè)人信息罪。

對(duì)上述解釋中財(cái)產(chǎn)信息的理解有兩種不同的觀點(diǎn)：一種觀點(diǎn)認(rèn)為，只要是非法獲取、出售涉及有關(guān)個(gè)人財(cái)產(chǎn)信息的內(nèi)容，不論內(nèi)容真假，即使根據(jù)這些信息無法查詢到相關(guān)個(gè)人的財(cái)產(chǎn)狀況，也可以認(rèn)定為財(cái)產(chǎn)信息，如銀行卡信息的內(nèi)容要素只要包括姓名、銀行卡號(hào)、身份證號(hào)碼就可以認(rèn)定為財(cái)產(chǎn)信息，不需要密碼，也不需要能夠查到銀行卡里的余額信息。另一種觀點(diǎn)則主張，財(cái)產(chǎn)信息的認(rèn)定應(yīng)當(dāng)從嚴(yán)把握，一方面，財(cái)產(chǎn)信息必須查證屬實(shí)，另一方面，財(cái)產(chǎn)信息包括的內(nèi)容應(yīng)當(dāng)能夠查詢到相應(yīng)個(gè)人的財(cái)產(chǎn)狀況，如銀行卡信息的內(nèi)容要素包括了姓名、銀行卡號(hào)、身份證號(hào)碼、密碼、手機(jī)號(hào)碼等，能夠查詢到該人銀行卡里的余額，即可認(rèn)定為是財(cái)產(chǎn)信息。

我們同意第二種觀點(diǎn)。理由是：

最高人民法院有關(guān)人員撰寫的 《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋〉的理解與適用》中談到：“對(duì)于財(cái)產(chǎn)信息，可以根據(jù)案件具體情況把握：既包括銀行賬戶、第三方支付結(jié)算賬戶、證券期貨等金融服務(wù)賬戶的身份認(rèn)證信息（一組確認(rèn)用戶操作權(quán)限的數(shù)據(jù)，包括賬號(hào)、口令、密碼、數(shù)字證書等），也包括存款、房產(chǎn)等財(cái)產(chǎn)狀況信息?！保?］根據(jù)這一理解，筆者認(rèn)為，財(cái)產(chǎn)信息必須是能夠通過一組確認(rèn)用戶操作權(quán)限的數(shù)據(jù)直接或者間接查詢到用戶個(gè)人的財(cái)產(chǎn)狀況，或者是直接含有財(cái)產(chǎn)狀況的信息。所以，金融服務(wù)賬戶的身份認(rèn)證信息的內(nèi)容應(yīng)當(dāng)是一組確認(rèn)用戶操作權(quán)限的數(shù)據(jù)，通過這些數(shù)據(jù)內(nèi)容可以查詢到個(gè)人財(cái)產(chǎn)狀況的，才可以認(rèn)定為財(cái)產(chǎn)信息。雖然有數(shù)據(jù)，但是內(nèi)容要素不全、不完整，甚至不準(zhǔn)確，無法查詢到財(cái)產(chǎn)狀況的，則不能認(rèn)定為財(cái)產(chǎn)信息。

（二）司法實(shí)務(wù)認(rèn)定銀行卡信息為財(cái)產(chǎn)信息的具體做法

結(jié)合這一觀點(diǎn)，具體到辦理李某、肖某等人侵犯公民個(gè)人信息案件中關(guān)于銀行卡信息是否能認(rèn)定為財(cái)產(chǎn)信息的問題主要有兩個(gè)：

第一，這些銀行卡信息是否可以直接認(rèn)定為財(cái)產(chǎn)信息。筆者認(rèn)為，由于侵犯財(cái)產(chǎn)信息50條即構(gòu)罪，對(duì)這些銀行卡信息認(rèn)定為財(cái)產(chǎn)信息應(yīng)當(dāng)嚴(yán)格把握。這些銀行卡信息如果包括了姓名、銀行卡號(hào)、身份證號(hào)碼這三項(xiàng)內(nèi)容或者其中的兩項(xiàng)內(nèi)容，由于數(shù)據(jù)權(quán)限不夠，尚無法查詢到銀行卡的余額信息，不能認(rèn)定為財(cái)產(chǎn)信息。如果再加上密碼或者手機(jī)號(hào)碼等內(nèi)容，可以查詢到銀行卡內(nèi)余額，才可以認(rèn)定為財(cái)產(chǎn)信息。

第二，要不要核實(shí)這些銀行卡信息的真實(shí)性。因?yàn)檫@些銀行卡信息的內(nèi)容有些是錯(cuò)誤的，如卡號(hào)、姓名、手機(jī)號(hào)碼、密碼都可能會(huì)出現(xiàn)錯(cuò)誤。我們?cè)谵k案中發(fā)現(xiàn)，被告人出售的銀行卡信息的真實(shí)性均存在一定的問題，甚至存在摻假的可能性，有的信息的正確率僅為 50%左右。《解釋》規(guī)定：“對(duì)批量公民個(gè)人信息的條數(shù)，根據(jù)查獲的數(shù)量直接認(rèn)定，但是有證據(jù)證明信息不真實(shí)或者重復(fù)的除外”，這里確定了對(duì)公民個(gè)人信息的“批量認(rèn)定規(guī)則”。根據(jù)這一規(guī)定，侵犯公民個(gè)人信息案件的涉案信息數(shù)量有批量與非批量之分。對(duì)于批量信息一般可予以直接認(rèn)定，直接認(rèn)定的對(duì)象包括涉案公民個(gè)人信息的兩個(gè)方面：內(nèi)容的真實(shí)性和數(shù)量的有效性。但鑒于這里的直接認(rèn)定是相對(duì)推定，如果在有證據(jù)證明涉案信息不真實(shí)或者重復(fù)的情況下，相關(guān)信息應(yīng)予以排除。［2］但對(duì)于非批量信息，尤其對(duì)于一些被告人僅出售或者非法獲取幾百條的信息，直接關(guān)系到行為人的罪與非罪，驗(yàn)證這些信息的真實(shí)性也顯得尤為必要。筆者認(rèn)為，辦案機(jī)關(guān)應(yīng)當(dāng)核實(shí)至少達(dá)到構(gòu)罪要求的50條以上為真實(shí)才能定罪。

本案李某所出售的信息可謂海量，而且，已經(jīng)有證據(jù)證明涉案信息存在大量不真實(shí)的情況。但對(duì)司法機(jī)關(guān)而言，一方面，由于信息數(shù)量龐大，對(duì)信息內(nèi)容的真實(shí)有效性一一核實(shí)并不現(xiàn)實(shí)。另一方面，只要海量信息中存在一個(gè)虛假的信息，對(duì)這些信息整體認(rèn)定的真實(shí)性就會(huì)存疑。當(dāng)抽取的信息被認(rèn)定虛假后，其他信息是否需要一一篩查，需要使用何種核實(shí)方式才能得出有說服力的結(jié)果，是司法實(shí)踐中的一大難題。［3］

為了核實(shí)這些銀行卡的信息，我們?cè)谒痉▽?shí)務(wù)中所采取的做法是：第一，要求偵查機(jī)關(guān)向銀行提供被告人出售或非法獲取的這些銀行卡信息進(jìn)行核對(duì)。銀行根據(jù)偵查機(jī)關(guān)提供的這些信息，從銀行系統(tǒng)中調(diào)取到這些相對(duì)應(yīng)的銀行卡的真實(shí)信息，我們?cè)龠M(jìn)行核對(duì)至少50條以上。由于銀行提供的這些真實(shí)的銀行卡信息內(nèi)容一般包括姓名、銀行卡號(hào)、身份證號(hào)碼和余額，但余額信息是變化的，目前我們只能核對(duì)姓名、銀行卡號(hào)、身份證號(hào)碼這三項(xiàng)信息的真實(shí)性。第二，通過第一步確定了被告人出售的相應(yīng)銀行卡信息上述三項(xiàng)信息為真實(shí)的基礎(chǔ)上，要求偵查機(jī)關(guān)在做錄音錄像的情況下，再進(jìn)行電話銀行查詢，一般銀行要求在輸入卡號(hào)、身份證號(hào)碼的基礎(chǔ)上，還要輸入密碼或者手機(jī)號(hào)碼才可以查詢到相應(yīng)銀行卡余額信息。［4］由此，才能確定該信息是財(cái)產(chǎn)信息。這種做法可以稱之為“底線取證”方法，在大數(shù)據(jù)時(shí)代能夠降低取證難度，實(shí)現(xiàn)證明方法的簡(jiǎn)易化。但這種方法只能解決定罪問題，對(duì)于量刑問題力有未逮，是否符合科學(xué)的證據(jù)認(rèn)定規(guī)則也還值得進(jìn)一步研究。對(duì)此，有觀點(diǎn)提出應(yīng)當(dāng)運(yùn)用統(tǒng)計(jì)學(xué)方法確立一套適用于刑事領(lǐng)域海量證據(jù)的“抽樣檢驗(yàn)規(guī)則”，實(shí)現(xiàn)證據(jù)認(rèn)定的科學(xué)化。［5］我們贊同這種觀點(diǎn)。

（三）為合法經(jīng)營活動(dòng)購買銀行卡信息的定性

關(guān)于肖某從李某處購買的銀行賬戶信息，用于與公司錢包用戶進(jìn)行比對(duì)，進(jìn)行風(fēng)險(xiǎn)防控是否構(gòu)成犯罪，存在分歧意見：一種觀點(diǎn)認(rèn)為，肖某購買的個(gè)人銀行卡信息后，通過對(duì)被泄露的用戶數(shù)據(jù)與公司用戶注冊(cè)的賬號(hào)做匹配，從而對(duì)風(fēng)險(xiǎn)隱患賬號(hào)采取更加嚴(yán)格的安全驗(yàn)證措施，防止被盜用、冒用，這種行為系保護(hù)用戶權(quán)益的行為，沒有社會(huì)危害性，不具有刑事可罰性。另一種觀點(diǎn)認(rèn)為，雖然肖某為合法經(jīng)營活動(dòng)購買財(cái)產(chǎn)信息，但目的正當(dāng)不能證明手段合法，本案購買財(cái)產(chǎn)信息作為手段具有違法性，如果達(dá)到《解釋》規(guī)定的入罪標(biāo)準(zhǔn)的，可以認(rèn)定為侵犯公民個(gè)人信息罪。

我們同意第二種觀點(diǎn)。主要理由是：

第一，被告人肖某購買的十余萬條信息在被肖某所在部門用于比對(duì)注冊(cè)用戶的賬戶過程中已被部分人員掌握，該公司部門卻沒有做好涉案信息的保密制度和保護(hù)措施，信息泄露流失的風(fēng)險(xiǎn)極大。

第二，購買是當(dāng)前非法獲取公民個(gè)人信息的主要方式之一，購買個(gè)人銀行卡信息對(duì)出售信息的行為提供了條件、空間，客觀上促進(jìn)了上游犯罪的實(shí)施。而且,購買往往是后續(xù)出售、提供的前端環(huán)節(jié),沒有購買就沒有后續(xù)的出售、提供。［6］正所謂“沒有買賣就沒有傷害”，在以利益為紐帶的侵犯公民個(gè)人信息犯罪產(chǎn)業(yè)鏈中，購買行為是最具有根本意義的行為。［7］

第三，出售與購買之間屬于對(duì)向行為。按照對(duì)向共犯理論中的“立法者意思說”，如果出售行為被規(guī)定為犯罪，沒有規(guī)定對(duì)向的購買行為為犯罪的，那購買行為不應(yīng)當(dāng)被認(rèn)定為犯罪，但如果明確規(guī)定購買行為也是犯罪的，則應(yīng)認(rèn)定為犯罪。刑法規(guī)定侵犯公民個(gè)人信息罪的行為方式是“竊取或者以其他方法非法獲取”?！督忉尅返?條明確：“違反國家有關(guān)規(guī)定，通過購買、收受、交換等方式獲取公民個(gè)人信息，或者在履行職責(zé)、提供服務(wù)過程中收集公民個(gè)人信息的，屬于刑法第二百五十三條之一第三款規(guī)定的‘以其他方法非法獲取公民個(gè)人信息’”。這里明確規(guī)定購買個(gè)人信息可以構(gòu)成犯罪。

第四，《解釋》第6條規(guī)定：“為合法經(jīng)營活動(dòng)而非法購買、收受本解釋第五條第一款第三項(xiàng)、第四項(xiàng)規(guī)定以外的公民個(gè)人信息，具有下列情形之一的，應(yīng)當(dāng)認(rèn)定為刑法第二百五十三條之一規(guī)定的 ‘情節(jié)嚴(yán)重’：（一）利用非法購買、收受的公民個(gè)人信息獲利五萬元以上的；（二）曾因侵犯公民個(gè)人信息受過刑事處罰或者二年內(nèi)受過行政處罰，又非法購買、收受公民個(gè)人信息的；（三）其他情節(jié)嚴(yán)重的情形。實(shí)施前款規(guī)定的行為，將購買、收受的公民個(gè)人信息非法出售或者提供的，定罪量刑標(biāo)準(zhǔn)適用本解釋第五條的規(guī)定?！北仨殢?qiáng)調(diào)的是，按照體系解釋的原理，這里與《解釋》第4條的規(guī)定是一致的，并沒有排除為合法經(jīng)營活動(dòng)而購買個(gè)人信息的構(gòu)罪可能性，而是將為合法經(jīng)營活動(dòng)而非法購買普通公民個(gè)人信息基于行為人使用目的和刑事政策的原因而提高了入罪門檻，但考慮到可能影響人身、財(cái)產(chǎn)安全的敏感信息的特別重要性［8］，還有“本解釋第五條第一款第三項(xiàng)、第四項(xiàng)規(guī)定以外的公民個(gè)人信息”這樣的除外規(guī)定。這一除外規(guī)定并不是說這些購買行為不再構(gòu)成犯罪，而是說購買可能影響人身、財(cái)產(chǎn)安全的敏感信息的入罪門檻沒有提高。也就是說，這里已將購買財(cái)產(chǎn)信息50條以上的排除在為合法經(jīng)營活動(dòng)而非法購買的特殊處理情形之外。所以，肖某購買公民銀行卡信息十萬余條，構(gòu)成侵犯公民個(gè)人信息罪。

（四）進(jìn)一步的思考：個(gè)人（財(cái)產(chǎn)）信息刑法保護(hù)的限度

基于罪刑法定原則和刑法的謙抑性，刑法對(duì)個(gè)人（財(cái)產(chǎn)）信息的保護(hù)不是無限制和肆意的，而是必須保持一定的限度，這是基于個(gè)人信息保護(hù)與信息披露的沖突和制衡，也是實(shí)現(xiàn)個(gè)人信息保護(hù)與有序利用、自由流通的平衡。［9］《解釋》的規(guī)定也體現(xiàn)了上述精神。筆者認(rèn)為，在司法實(shí)務(wù)中，辦理侵犯公民個(gè)人信息案件應(yīng)當(dāng)注意以下幾個(gè)方面：

首先，具有法律授權(quán)的個(gè)人信息使用不應(yīng)認(rèn)定為犯罪。公安機(jī)關(guān)在辦理上述李某、肖某等案件過程中，出于核實(shí)銀行卡信息真實(shí)性的需要向銀行調(diào)取涉案?jìng)€(gè)人信息，但銀行出于保護(hù)用戶賬號(hào)安全的考慮，拒絕向辦案機(jī)關(guān)提供涉案銀行卡的密碼。實(shí)際上，司法行政機(jī)關(guān)出于偵查等社會(huì)公共利益的需要調(diào)取個(gè)人信息是有法律強(qiáng)制性規(guī)定授權(quán)的，銀行等金融機(jī)關(guān)無權(quán)加以拒絕。也就是說，有法律授權(quán)的個(gè)人信息使用，是正當(dāng)行為，不應(yīng)認(rèn)為是違法犯罪。

其次，經(jīng)過權(quán)利人同意的個(gè)人信息使用不應(yīng)認(rèn)定為犯罪。被害人同意或承諾是違法阻卻事由之一。同樣，個(gè)人信息經(jīng)過權(quán)利人同意或承諾，相關(guān)機(jī)構(gòu)予以披露并不會(huì)侵害公民的信息保護(hù)權(quán)。在我們提前介入一起公安機(jī)關(guān)辦理的侵犯公民個(gè)人信息案件中，我們發(fā)現(xiàn)涉案人員在出售的個(gè)人信息中有相當(dāng)一部分是事先經(jīng)過公民個(gè)人同意的，我們要求公安機(jī)關(guān)查清涉案?jìng)€(gè)人信息事先經(jīng)過同意的部分和沒有經(jīng)過同意的部分，只有后一部分才有考慮構(gòu)罪的可能性。

最后，侵犯公民個(gè)人信息行為既可以是犯罪行為也可以是違法行為，需要通過行為程度來區(qū)分罪與非罪，侵犯公民個(gè)人信息罪的罪量要求“情節(jié)嚴(yán)重”也體現(xiàn)了刑法保護(hù)的限度要求。對(duì)于“情節(jié)嚴(yán)重”的判斷，可以綜合考慮行為次數(shù)、手段、信息數(shù)量、損害結(jié)果、主觀內(nèi)容等方面，對(duì)“情節(jié)特別嚴(yán)重”的判斷同樣如此，因?yàn)楹侠韰^(qū)分罪輕與罪重，也事關(guān)被告人的人權(quán)保障。如上述肖某購買財(cái)產(chǎn)信息有十萬余條之多，雖然達(dá)到《解釋》規(guī)定的“情節(jié)特別嚴(yán)重”的標(biāo)準(zhǔn)，但其主觀目的用途在于其所在任職公司的風(fēng)險(xiǎn)防控，按照階層犯罪理論，其具有責(zé)任減輕事由，不宜認(rèn)定為“情節(jié)特別嚴(yán)重”。

注釋：

［1］周加海、鄒濤、喻海松：《〈關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋〉的理解與適用》，載《人民司法》第19期。

［2］參見江奧立、薛阿敏：《三方面準(zhǔn)確把握‘批量認(rèn)定規(guī)則’》，載《檢察日?qǐng)?bào)》2017年10月 11日第3版。

［3］參見李玉萍：《侵犯公民個(gè)人信息的實(shí)踐與思考》，載《法律適用》2016年第 9期。

［4］由于銀行出于保護(hù)用戶賬號(hào)安全的考慮，拒絕向司法機(jī)關(guān)提供涉案銀行卡的密碼，所以，辦案機(jī)關(guān)無法直接核對(duì)。我們要求偵查機(jī)關(guān)通過這種方式核對(duì)實(shí)在是不得已而為之，但要求偵查機(jī)關(guān)在核對(duì)時(shí)做好相關(guān)程序保障和保密措施。當(dāng)然，銀行的拒絕是不對(duì)的，后文對(duì)此有進(jìn)一步論述。

［5］參見最高人民檢察院檢察理論研究所課題組：《互聯(lián)網(wǎng)領(lǐng)域侵犯公民個(gè)人信息犯罪問題研究》，載《人民檢察》2017年第 2期。

［6］喻海松：《侵犯公民個(gè)人信息罪司法適用探微》，載《中國應(yīng)用法學(xué)》2017年第 4期。

［7］參見王肅之：《侵犯公民個(gè)人信息罪行為體系的完善》，載《河北法學(xué)》2017年 7月第 35卷第 7期。

［8］同［1］。

［9］參見李振林：《非法利用個(gè)人金融信息行為之刑法規(guī)制限度》，載《法學(xué)》2017年第 2期。