“非法獲取型”侵犯公民個人信息罪的認定

馬駿

摘 要：侵犯公民個人信息罪主要包括“非法獲取”與“非法提供”兩種情形，應(yīng)當基于法益保護目的，結(jié)合信息網(wǎng)絡(luò)犯罪的特點審查判斷證據(jù)，認定犯罪事實。非法獲取公民個人信息行為往往是信息網(wǎng)絡(luò)違法犯罪的發(fā)端，對其從嚴打擊符合網(wǎng)絡(luò)犯罪前端治理的需求；根據(jù)社會一般觀念，行為人辯解的獲取方式不具有合理性時，應(yīng)當排除該辯解，把不具有“合法性”的“非法持有”推定為“非法獲取”具有實踐合理性；當前理論上有對“非法獲取”進行擴大解釋的觀點，應(yīng)當通過對獲取、使用方式等“合法性”“合理性”的認定來制約“非法獲取型”侵犯公民個人信息罪的不當擴張，實現(xiàn)打擊犯罪與保障人權(quán)的平衡。

關(guān)鍵詞：非法獲取 侵犯公民個人信息罪 非法性 推定

一、“非法獲取型”侵犯公民個人信息罪的認定難題

侵犯公民個人信息罪主要包括“向他人出售或者提供”“竊取或者以其他方法非法獲取”兩種行為模式，從行為人的角度，涵蓋了對公民個人信息的“非法獲取”與“非法提供”兩種類型。不同于對毒品、槍支等其他有形違禁品的規(guī)定，刑法對侵犯公民個人信息罪沒有就居于“獲取”和“提供”中間地帶的“持有”“私藏”行為作出明確規(guī)定，犯罪嫌疑人往往就信息的來源做出辯解，或者供述的合法來源方式難以查證，從表面上看認定“非法獲取”的證據(jù)不充分，造成司法適用的爭議。

［基本案情］2019年至2021年，靳某與王某共同從事買賣微信賬號、支付寶賬號牟利的活動。因?qū)嵜馁~號價格高于非實名賬號，為獲取更多利益，靳某購買公民個人信息注冊賬號后再進行交易。2019年，靳某通過某購物平臺購買了《引流大全》電子書，掃描該書籍內(nèi)的二維碼加入了某引流微信群，通過該群群主，以500元的價格通過電子支付方式購買了大量公民個人信息。靳某在電子郵箱下載信息后經(jīng)U盤拷貝到涉案電腦，并將部分信息用于注冊賬號并轉(zhuǎn)賣牟利。公安機關(guān)現(xiàn)場扣押了涉案電子數(shù)據(jù)，經(jīng)電子勘驗，共包含15萬余條公民個人信息；從靳某使用的手機中調(diào)取了《引流大全》電子書購買記錄；現(xiàn)場扣押了45部手機及記賬本，記賬本載明了賬號銷售日期、數(shù)量、價格等，但具體賬號難以核實，賬號與公民個人信息的對應(yīng)關(guān)系無法確定。靳某供述的出售公民個人信息的群主身份未能落實，而相關(guān)時間段內(nèi)靳某有5筆交易金額為500元的電子支付記錄，5名交易對手均否認出售公民個人信息（其中2人從事微信引流、代打游戲升級的工作），靳某用于接收電子數(shù)據(jù)的郵箱已經(jīng)清空、用于拷貝傳輸數(shù)據(jù)的U盤已經(jīng)遺失。

根據(jù)現(xiàn)有證據(jù)，靳某作為該宗公民個人信息的非合法持有主體，“非法持有”大量公民個人信息并且“非法使用”，其“非法性”足以認定，但是其“非法獲取”的證據(jù)鏈不夠完善。有觀點認為，來源渠道僅有被告人供述，沒有交易對手信息，出售者身份未落實，“非法獲取”行為本身缺乏足夠的證據(jù)支撐，該案事實不清、證據(jù)不足；也有觀點認為，在“非法持有”的情形下，“獲取”不需要另外證明，重點在于獲取方式的“非法性”，有證人證言、平臺交易截圖等證據(jù)證明獲取的“非法性”，有作案工具、售賣記錄等證明利用方式的“非法性”，足以認定犯罪。上述爭議焦點在于，“非法獲取型”侵犯公民個人信息罪的認定，是需要查實“非法獲取”行為本身才能定罪，還是可以將“持有”理解為“獲取”的當然結(jié)果，查實獲取、利用等“非法性”即可。本文將從電子數(shù)據(jù)證據(jù)的審查認定和法律適用兩個層面展開論述。

二、結(jié)合網(wǎng)絡(luò)犯罪特點審查認定電子數(shù)據(jù)證據(jù)

當前，侵犯公民個人信息犯罪多發(fā)生在信息網(wǎng)絡(luò)空間，數(shù)據(jù)以無形的方式無處不在又高速流通，重構(gòu)了人類的既往認知，也給打擊犯罪帶來了嚴峻挑戰(zhàn)。網(wǎng)絡(luò)作為虛擬空間，營造了新的規(guī)則形態(tài)，“網(wǎng)絡(luò)與數(shù)據(jù)技術(shù)的推廣與普及，正在創(chuàng)造和生成一種新的社會秩序”［1］，應(yīng)當結(jié)合網(wǎng)絡(luò)犯罪的特點審查判斷證據(jù)。

（一）電子數(shù)據(jù)來源去向查證困難

信息、數(shù)據(jù)是無形物，傳播速度快，傳播方式多樣，容易形成分支數(shù)據(jù)、合成數(shù)據(jù)，本身就難以查證明確的來源、去向，難以與經(jīng)手人建立明確的對應(yīng)關(guān)系，電子數(shù)據(jù)取證具有一定難度。即便是操作的客戶端、IP等虛擬地址能夠確定，也需要與具體行為人建立明確的對應(yīng)關(guān)系。本案中，行為人供述通過微信聯(lián)系購買公民個人信息，經(jīng)咨詢運營商，相關(guān)聊天記錄無法調(diào)取或者恢復(fù)；行為人供述通過電子郵箱接收數(shù)據(jù)，但是該郵箱內(nèi)容已經(jīng)刪除，經(jīng)咨詢運營商，數(shù)據(jù)無法恢復(fù)；行為人供述最早下載數(shù)據(jù)的電腦已經(jīng)報廢，通過U盤刻錄到涉案電腦，但是該U盤已經(jīng)丟失，通過數(shù)據(jù)本身也無法反查數(shù)據(jù)來源。

本案關(guān)于公民個人信息來源的證據(jù)體系較為薄弱，應(yīng)當根據(jù)電子數(shù)據(jù)證據(jù)的特點，進行綜合判斷。如對實物證據(jù)的扣押，一般需要描述特征、扣押原物等，不需要扣押實物所在空間，通過拍照、錄像等足以反映現(xiàn)場即可。而扣押電子數(shù)據(jù)，除了通過計算電子數(shù)據(jù)完整性校驗值描述電子數(shù)據(jù)特征之外，一般應(yīng)當扣押、封存其原始的存儲介質(zhì)并移送，確保電子數(shù)據(jù)以特定的有形物為依托被加以固定。本案中，現(xiàn)場扣押了涉案電腦，偵查人員對電腦進行電子證物勘驗檢查，計算完整性校驗值，將涉案電腦和電子數(shù)據(jù)一并移送，確保了電子數(shù)據(jù)證據(jù)來源合法，并通過電子勘驗，確定包含大量公民個人信息，該宗電子數(shù)據(jù)證據(jù)已經(jīng)完成固定。微信聊天記錄、電子郵箱、U盤等，均是反映電子數(shù)據(jù)流轉(zhuǎn)過程的載體，相關(guān)途徑無法查實并不當然否定在案電子數(shù)據(jù)的證據(jù)效力，現(xiàn)有的公民個人信息電子數(shù)據(jù)證據(jù)能夠與犯罪嫌疑人供述、電子書購買記錄書證等形成證據(jù)鏈條，證明非法獲取公民個人信息的犯罪事實。

（二）對電子數(shù)據(jù)的“占有”“獲取”的認定應(yīng)當具有開放性

一般認為，對有形物的轉(zhuǎn)移占有，分為打破原來的占有、建立新的占有兩個階段，進而形成排他性占有。但是電子數(shù)據(jù)明顯不同，徹底打破了對“占有”的直觀認識，出現(xiàn)了共同占有、同時占有、混合占有等情形，導(dǎo)致“打破舊占有—建立新占有”的轉(zhuǎn)化模糊不清?！矮@取”具有隱形形態(tài)，不再局限于實物的實際控制，“還應(yīng)包括‘得知他人的網(wǎng)絡(luò)數(shù)據(jù)”［2］。如網(wǎng)絡(luò)賬號，一般通過賬號與密碼登錄，特殊情形時需要手機號碼驗證或者人臉識別，同時基于便利使用的考量，允許多個客戶端同時登錄，又疊加出現(xiàn)了不同的登錄規(guī)則，由此如何認定占有成為難題。事實上該行為影響了權(quán)利人的占有，但是權(quán)利人可以通過驗證登錄再次建立占有并更改密碼，完全打破了對物占有的傳統(tǒng)認識。［3］如行為人掌握了某賬號密碼，在曾登錄過的客戶端可以憑密碼登錄，在新的客戶端需要同時通過人臉識別才能登錄，那么，該“占有”狀態(tài)實際是一種附條件的占有、不確定的占有。因此，對電子數(shù)據(jù)的“占有”“獲取”認定應(yīng)當具有一定的開放性，不要求明確為排他性緊密占有，而應(yīng)當在實質(zhì)上理解為可以管理、控制。

本案中，行為人供述，其販賣時把賬號密碼發(fā)給購買方，購買方可以登錄使用，確保賬號正常使用后才算交易完成。對于一些買入的賬號，如果一時找不到下家，需要用其他電子設(shè)備登錄，確保賬號活躍度，避免被運營商收回。事實上，因為批量買進、賣出賬號，對每一個賬號的密碼難以逐一修改，也沒有時間逐個明確記錄，也存在大量的“死號”“灰號”無法登錄或者隨時查封的情形。本案現(xiàn)場扣押的45部手機，經(jīng)電子勘驗發(fā)現(xiàn)，除了登錄微信、支付寶等賬號外，基本沒有其他數(shù)據(jù)內(nèi)容，且微信聊天記錄僅為一句話“歡迎登錄微信客戶端”，也印證了行為人供述的涉案手機系用于“養(yǎng)號”的說法。涉案的賬號用不同的標記劃分，反映了不同的管理控制程度。如“私人死秘”表示不知道密碼的個人賬號；“私人活秘”表示養(yǎng)了一段時間知道密碼的賬號；“私人支”是指精養(yǎng)帶支付密碼的賬號；“V3”是實名制支付寶賬號；“20天SM”表示注冊滿20天的實名賬號等。

（三）審查批量電子數(shù)據(jù)適用推定規(guī)則

數(shù)據(jù)傳播成本低、傳播速度快、信息交換便捷，電子數(shù)據(jù)容易集聚成海量數(shù)據(jù)，依靠人工難以實現(xiàn)逐一識別比對，因而催生了“打包”認定的實踐路徑。本案中，行為人以500元的價格買入該宗數(shù)據(jù)，自己供述大概有數(shù)萬條個人信息。偵查人員對電子證據(jù)中“帶身份證號數(shù)據(jù)情況”進行“去重復(fù)”操作，對不符合省級區(qū)劃代碼的數(shù)據(jù)進行處理，對中文姓名進行篩選，對不滿18位公民身份證號碼進行去除等，這一系列操作均是批量處理，因為通過人工手段核實該15萬余條信息的全部真實性非常困難。另對該宗數(shù)據(jù)進行抽樣檢測，準確率達到90%以上。犯罪嫌疑人供述稱，數(shù)據(jù)量大、賬號密碼復(fù)雜，人工難以記錄，自己也不清楚買賣的賬號對應(yīng)的實名制情況。

正因如此，司法機關(guān)對公民個人信息認定、收集的規(guī)定經(jīng)歷了從“批量認定”到“以部分推定全部”的過程。最高法、最高檢《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《公民個人信息解釋》）第11條第3款規(guī)定，對批量公民個人信息的條數(shù)，根據(jù)查獲的數(shù)量直接認定，但是有證據(jù)證明信息不真實或者重復(fù)的除外?？梢哉f這是對查獲的公民個人信息直接認定的“批量認定模式”。后最高法、最高檢、公安部《關(guān)于辦理信息網(wǎng)絡(luò)犯罪案件適用刑事訴訟程序若干問題的意見》第20條規(guī)定，“對于數(shù)量特別眾多且具有同類性質(zhì)、特征或者功能的……電子數(shù)據(jù)等證據(jù)材料，確因客觀條件限制無法逐一收集的，應(yīng)當按照一定比例或者數(shù)量選取證據(jù)，并對選取情況作出說明和論證?！睂嶋H上是以部分在案證據(jù)推定全案證據(jù)，是對傳統(tǒng)的證據(jù)認定規(guī)則的大膽突破。官方意見亦明確否定“逐一核實”的做法，“要求辦案機關(guān)電話聯(lián)系權(quán)利人核實公民個人信息的做法，明顯不合適”［4］。

三、“非法獲取”的核心在于認定“非法性”

從刑法第253條之一和《公民個人信息解釋》第3條表述看，“非法獲取”的表述在“違反國家有關(guān)規(guī)定”之后，該“獲取”行為的非法性已經(jīng)不言自明，但此處的“非法”不宜做機械理解。信息網(wǎng)絡(luò)犯罪有其特殊屬性，對“非法獲取”的認定，亦應(yīng)當充分關(guān)注法益保護目的，進行綜合判斷。

（一）寬泛認定“非法獲取”符合前端治理要求

侵犯公民個人信息罪的前置條件是“違反國家有關(guān)規(guī)定”，對其理解需要結(jié)合立法體例。根據(jù)《公民個人信息解釋》，此處的“國家有關(guān)規(guī)定”除了法律、行政法規(guī)外，還包括部門規(guī)章，實際上是對既有刑法規(guī)范的突破。同時，司法實踐中對該“國家有關(guān)規(guī)定”一般不作專門認定，導(dǎo)致該表述形成一種“昭示意義”，有調(diào)研對 2414 份涉及該罪名的判決書進行梳理，發(fā)現(xiàn)僅有2例列明被告觸犯的“國家有關(guān)規(guī)定”的具體來源［5］，反映了對獲取“非法性”不言自明的司法共識。

究其根源，對“非法獲取”的寬泛認定，符合對信息網(wǎng)絡(luò)犯罪前端治理的現(xiàn)實需要。非法利用公民個人信息進行詐騙等下游違法犯罪，對權(quán)利人的法益侵害更為嚴重，但是往往取證更加困難，刑法規(guī)制存在盲區(qū)，因而，以“獲取”方式的非法性作為突破口，實現(xiàn)對信息網(wǎng)絡(luò)犯罪的前端治理?！霸谔幜P其他關(guān)聯(lián)犯罪的同時，‘順帶實現(xiàn)遏制該類行為的附屬效果，形成一種被動性附隨打擊的刑法應(yīng)對進路?！保?］本案中，靳某通過非法買賣賬號，數(shù)月時間內(nèi)非法獲利達到數(shù)10萬元，并更新辦公場所、購買作案工具、聘請客服人員，擴大非法經(jīng)營的規(guī)模，但因出售賬號的實名制情況無法核實，能夠納入刑法評價的只有其花500元購買的公民個人信息數(shù)據(jù)的行為，明顯與非法所得不成比例，也反映了前端治理的必要性。

（二）不具有合法性的“持有”應(yīng)認定為“非法獲取”

在網(wǎng)絡(luò)空間，由于客觀性證據(jù)取證困難，犯罪嫌疑人的辯解往往難以查證。如果將所有的難以查明真?zhèn)蔚霓q解認定為“合理懷疑”，無疑將面臨大量案件舉證不充分的現(xiàn)實困難。因此，應(yīng)當審慎判斷行為人辯解，不宜一律將無法查證的辯解認定為“合理懷疑”。只要證據(jù)的指向性明確，能夠與在案證據(jù)相互印證，可以排除獲取方式的“合理性”“正當性”即可，不需要查實所有可能的關(guān)聯(lián)證據(jù)，這也反映了對“以部分推定全部”的推定規(guī)則的貫徹。因此，應(yīng)當允許被告人參與該認定過程，同時給予其充分的辯護空間，允許提交有利的證據(jù)。在全面權(quán)衡之后，把不具有合法性的“非法持有”推定為“非法獲取”更為妥當?！皩τ谛畔碓床幻鞯模右扇司懿还┦鲂畔@取方式或者辯解與其身份、職業(yè)不相稱，非法持有公民個人信息也應(yīng)當認定為非法獲取。”［7］如陳某等人侵犯公民個人信息案，對查獲的在案電子數(shù)據(jù)被告人辯解系下載而來，但無法查證，判決書說理認為，行為人的辯解不能提供有效線索，且不能說明所持大量公民個人信息的來源合法，進而認定為非法獲取。［8］具體到本案中，關(guān)于該宗信息的來源渠道，對應(yīng)時間段內(nèi)共有5個交易對手，經(jīng)逐個核實，其中2人從事微信引流、代打游戲升級的工作，與互聯(lián)網(wǎng)信息行業(yè)高度相關(guān)，結(jié)合靳某將該信息用于非法盈利目的，足以認定具有來源和使用的“非法性”。

（三）以“合法性”“合理性”制約“非法獲取”認定的不當擴張

學(xué)界關(guān)于“非法獲取”的討論頗多，但是大多論述傾向于對其進行擴大解釋，將獲取手段的非法性、主觀目的的非法性、使用方式的非法性等納入“非法獲取”的可能范疇，導(dǎo)致“非法”含義的不確定性。有的觀點認為“非法”修飾“獲取”有重復(fù)之嫌，普通自然人的獲取均為非法獲取。“這里的‘非法并非指獲取手段或者方法行為的性質(zhì)，而是指行為人的獲取行為在本質(zhì)上是非法的?！保?］有的觀點把后期利用的非法性納入“非法獲取”的范疇，似以“非法利用”反向印證了“獲取”的“非法性”，進而合并認定為“非法獲取”。“只要行為人以非法使用的目的獲取了公民信息”［10］，均可以評價為“非法獲取”。

對“非法獲取”的擴大解釋必然造成司法實務(wù)中的爭議，司法實踐對“非法性”的認定似乎已經(jīng)做出了超越實定法的解釋，趨近于對“社會危害性”“法益侵害性”等實質(zhì)層面，演變?yōu)椤熬C合考量社會危害性程度”［11］，應(yīng)當引起足夠警惕。基于當前的立法設(shè)計和司法實踐，不妨結(jié)合法益保護目的，探索與之相左的實踐進路：與其從正面闡述并完善“非法獲取”的完整內(nèi)涵，不如從防止刑罰打擊面過大、保障人權(quán)的角度進行反向限制，通過認定、推定可能情形下的“合法性”“合理性”，限制“非法性”，實現(xiàn)一定程度的“對沖”。

易言之，公民個人信息原則上不得由自然人獲取、提供，該“獲取”或者“提供”具有天然的不法性，“持有”狀態(tài)原則上有可能認定為“非法獲取型”侵犯公民個人信息犯罪。根據(jù)存疑時有利于被告人的原則，應(yīng)當注重該罪名擴張解釋下的適用限縮，通過對“合法性”“合理性”證據(jù)的依法認定來反制“非法獲取型”侵犯公民個人信息罪的不當擴張，以實現(xiàn)打擊犯罪與保障人權(quán)的平衡。只要有證據(jù)證明該獲取或者使用具有一定的合法或者合理理由，或者具有可寬宥性，則考慮寬緩化處理甚至出罪，這并非輕縱犯罪，而是基于立法設(shè)計、司法實踐的合理選擇?！豆駛€人信息解釋》對為合法經(jīng)營活動而非法獲取公民個人信息規(guī)定了更少類型、更為嚴格的入罪標準也是例證，反映應(yīng)該對獲取、使用“合法性”“非法性”進行整體判斷，使用的“合法性”可以沖淡獲取的“非法性”。本案中，與靳某共同買賣賬號的王某，主要發(fā)布廣告、引流等，也能接觸到靳某存放電子數(shù)據(jù)的電腦，并供述其明知該宗公民個人信息數(shù)據(jù)系靳某購買而來，類似于共同非法持有的情形，但持有行為系非法獲取行為不可罰的事后行為，王某只是參與了事后的持有，因此，不宜將此時的“后期加入的非法持有”追認為“非法獲取”而按照犯罪處理。綜合全案證據(jù)，人民檢察院認為王某的行為不構(gòu)成犯罪，只對靳某提起公訴。人民法院以侵犯公民個人信息罪判處靳某有期徒刑3年，緩刑3年，并處罰金。

*山東省泰安市人民檢察院法律政策研究室副主任、一級檢察官，山東省泰安市岱岳區(qū)人民檢察院黨組成員、副檢察長（掛職）［251000］

［1］ 勞東燕：《個人信息法律保護體系的基本目標與歸責機制》，《政法論壇》2021年第6期。

［2］ 李遐楨、侯春平：《論非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪的認定——以法解釋學(xué)為視角》，《河北法學(xué)》2014年第5期。

［3］ 如某視頻賬號登錄規(guī)則為同一個VIP會員賬號最多可登錄的終端上限為5個，其中分設(shè)備限制為：手機端App 2個、Pad端App 1個、電腦端客戶端1個、網(wǎng)頁端1個、電視端2個、VR端1個、車載端1個，智能家居端1個，如果他人知道賬號密碼登錄使用，在超過登錄限制時可能擠掉權(quán)利人已登錄的客戶端。

［4］ 周加海、鄒濤、喻海松：《解讀〈關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋〉》，載人民法院出版社編：《解讀最高人民法院司法解釋（含指導(dǎo)性案例）·刑事卷》（第六版），人民法院出版社，第638頁。

［5］ 參見鈄喆颋：《侵犯公民個人信息罪中客觀行為的司法認定》，華東政法大學(xué)2021年碩士學(xué)位論文，第14頁。

［6］ 黃陳辰：《非法利用公民個人信息行為的刑法應(yīng)對》，《政法學(xué)刊》2022年第1期。

［7］ 劉芳、葛曉娟：《侵犯公民個人信息罪若干疑難問題的司法認定》，《北京政法職業(yè)學(xué)院學(xué)報》2021年第2期。

［8］ 參見北京市第三中級人民法院刑事裁定書，（2021）京03刑終316號。

［9］ 趙秉志：《公民個人信息刑法保護問題研究》，《華東政法大學(xué)學(xué)報》2014 年第1期。

［10］ 陳文昊： 《侵犯公民個人信息罪中的“外圍”立法與解釋進路》，《重慶郵電大學(xué)學(xué)報（社會科學(xué)版）》2018年第3期。

［11］ 參見喻海松： 《〈民法典〉視域下侵犯公民個人信息罪的司法適用》，《北京航空航天大學(xué)學(xué)報（社會科學(xué)版）》2020年第6期。