【202229036】非法收集他人微信号后转卖的行为性质
文/王跃华
作者单位:江西省丰城市人民法院
期刊栏目:刑事审判_案例参考
【裁判要旨】行为人利用智能群发、加人、拉群的营销软件以及通过网络购买他人求职信息等方式,非法添加微信好友,将空白微信号制作成品微信号出售或者将非法获取的公民个人信息提供给他人,属于刑法第二百五十三条之一第三款规定的窃取或者以其他方法非法获取公民个人信息的行为,违背了个人公开其信息的目的和用途,侵犯了个人信息权所保护的法益,构成侵犯公民个人信息罪。
□案号 一审:(2021)赣0981刑初376号
【案情】
公诉机关:江西省丰城市人民检察院。
被告人:熊某恒、熊某林、熊某浪、熊某强、范某聪。
丰城市人民法院经审理查明,2020年6月份,被告人熊某恒邀集被告人熊某林、熊某浪、熊某强一起从事贩卖载有公民个人信息的成品微信号的经营活动。为谋取更多利益,2020年9月底,4被告人共同出资在网上购买了一款名叫微骑兵的软件,用于非法添加微信好友,并制作成品微信号予以贩卖。2020年10月,被告人熊某恒的朋友秦某斌(在逃)投入5万元(占股40%),熊某恒投入2万元(占股20%),被告人熊某林、熊某浪、熊某强分别投入一定数量的电脑及手机(分别占股10%),被告人范某聪未投资(占股5%),另5%的股份收益用于公司日常开支,购置办公桌、电脑、二手手机等物品后,租赁店面挂牌成立了丰城市昌文贸易公司。由秦某斌负责对外采购空白微信号、销售成品微信号,被告人熊某恒负责公司内部管理并负责聘请公司员工,其他4被告人与公司聘请员工均直接参与,使用购买的空白微信号加入行业微信群,进群后再用“微骑兵”软件智能添加好友,非法制作成含有五六百个微信好友的成品微信号后,通过秦某斌高价卖出,从中非法获取利益。
2021年1月,被告人熊某恒等5人与秦某斌结伙,在贩卖成品微信号的同时,通过网上购买的方式,非法获取他人求职信息,以员工每添加到一名求职人员的微信号赚约10元不等佣金的奖励方法,让员工谎称自己是公共科技传媒的工作人员,并通过事先准备好的话术以刷单兼职为理由,让求职者添加“导师”的微信,招揽被害人进群。经营期间,除去工资,按份额分红共计20余万元。
【判决】
丰城市法院经审理认为,被告人熊某恒等5人违反国家规定,结伙出资购买空白微信号和一款智能群发、加人、拉群的营销软件,以及通过网络购买他人求职信息等方式,非法添加微信好友,制作成品微信号出售或者将非法获取的公民个人信息提供给他人,并从中获利,情节特别严重,其行为均已构成侵犯公民个人信息罪。本案属共同犯罪。被告人熊某恒在共同犯罪中起主要作用,系主犯;被告人熊某林、熊某浪、熊某强、范某聪在共同犯罪中起次要、辅助作用,系从犯,可减轻处罚。5被告人均具有坦白情节,可从轻处罚。被告人范某聪家属代为退缴违法所得,可酌情从轻处理。据此,依法以侵犯公民个人信息罪判处被告人熊某恒、熊某林、熊某浪、熊某强、范某聪3年2个月至10个月不等有期徒刑并处罚金,同时判处对各被告人违法所得予以追缴。
一审宣判后,5被告人均未提出上诉,公诉机关亦未提出抗诉,判决现已发生法律效力。
【评析】
微信号是否属于公民个人信息?行为人通过技术手段等收集微信号后销售或提供给他人等行为,是否构成侵犯公民个人信息罪?当前,学界和实务界以二次授权分析与合目的性考察为立论基础,围绕处理已公开信息的微信号是否构成犯罪进行讨论,可以归纳为两种观点。
观点一:构成侵犯公民个人信息罪。此观点主张:个人信息与个人隐私不同,个人已公开的信息不再具有隐私特性,但仍不失其识别个人的功能,从信息中剥离出来的个人姓名及身份证件号码、家庭住址、通讯方式等信息,仍然具有个人信息的本质属性,[1]获取或者利用这样的信息仍然可能侵害个人私生活的安宁,危及公民人身或者财产权利。“即便市场主体允许数据控制者收集并共享相关个人信息,这也并不意味着其让渡了所有个人信息权利”,应当保障信息主体对已公开的个人信息仍享有一定的控制权。[2]合法公开个人信息的行为不能视为自然人放弃所享有的个人信息权益,更不因此失去刑法的保护。他人通过技术手段收集、获取的个人信息经整理后提供给他人,在未征得被收集者同意及未进行匿名处理的情况下向他人出售,属于提供公民个人信息的行为。[3]因此,行为人未经个人同意,从微信中将个人信息剥离出来再进行处理的,可以成立本罪。
观点二:不构成犯罪。该观点认为:根据民法典第一千零三十六条规定,当事人同意并授权予以公开的信息,因是经过公民个人自由选择、自己决定的结果,行为人获取这些信息,并没有侵犯公民个人信息自决权,没有侵犯刑法第二百五十三条之一的保护法益。至于行为人将这些信息又提供给他人的,“除相关权利人要求‘二次授权’的外,宜推定存在概括同意,不宜对收集后出售或者提供的行为要求‘二次授权’”,不应构成侵犯公民个人信息罪。进而有学者主张,“在网上获取这些已公开的个人信息是源头行为,出售和提供给他人是下游行为,源头行为合法,下游行为也不应入罪”。[4]同理,本案中,行为人获取他人在微信号中主动公开的个人信息后再出售或提供的行为不应构成犯罪。
笔者同意第一种观点,理由如下:
一、微信号属于公民个人信息
关于公民个人信息的定义,学术界和司法实务中分歧较大,主要存在三种学说:一是关联说。与个人存在关联的信息都属于个人信息,个人信息为以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。二是隐私说。只有与个人隐私相关的才属个人信息,社会成员中大部分人不愿向外透露的信息;还包括不愿他人知道的个人极其敏感的信息。三是识别说。能够识别公民个人身份的信息,包括姓名、职业、职务、年龄、婚姻状况、学历、专业资格等能够识别公民个人身份的信息。不论个人信息是否客观上已经公开,只要该信息具备识别特定自然人身份的效能,即应受到刑法保护。
最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第1条规定,公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。个人信息保护法第四条第一款规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。从《解释》中的定义可知,个人信息必须具备能够与特定自然人相关联的根本属性,而个人信息保护法中的定义要求已识别或可识别的自然人,同样要求自然人与信息之间具有关联性,[5]二者虽有不同,但是落脚点都将个人信息的根本属性放在可识别性这一特征上。
可识别性是公民个人信息最核心和本质的特征,在世界不同国家的立法中关于公民个人信息的定义亦如此。德国规定为“任何关于一个已识别的或者可识别的个人的私人或者具体状况的信息”,英国为“可以识别在世个人的数据”,法国为“通过一项或多项个人特有因素被直接或间接识别的自然人相关的任何信息”。[6]
微信号是否属于公民个人信息范畴,关键在于判断其是否能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况。根据国家互联网信息办公室于2014年8月7日发布实施的《即时通信工具公众信息服务发展管理暂行规定》的相关规定,即时通信工具服务提供者应当按照“后台实名、前台自愿”的原则,要求即时通信工具服务使用者通过真实身份信息认证后注册账号。这表明,我国对微信、移动电话均采用实名制,而微信号通常与个人移动电话、银行卡绑定,经实名认证的微信用户与公民个人身份一一对应,与身份认证资料结合即可识别公民个人身份,均能指向特定个人,属于公民个人信息。随着大数据技术等信息技术的飞速发展,对信息进行处理的技术日益完善,很多单独看难以识别权利人的信息(如购物喜好、饮食偏好、兴趣爱好、出行方式、交往圈子等),都可能通过足够的大数据画像等技术手段最终处理成能够识别具体个人的信息,尤其是有的网络公司在穷尽一切手段,收集到足够多的针对特定对象的海量数据之后,通过对信息的系统化处理能力的运用,在经过复杂的关联性分析后,能够对特定自然人进行辨识。因此,行为人辩解其出售的实名认证微信号无法看到姓名和身份证号,不能识别特定自然人,因此其未侵犯公民个人信息的理由不能成立。
二、非法获取他人微信号后转售构成刑事违法
对某一行为进行入罪规制的前提是该行为具备刑事违法性。在刑法理论上,李斯特首次将违法性区分为形式违法性与实质违法性,指出“形式违法是指违反国家法规、违反法制的要求或禁止规定的行为;实质违法是指危害社会的(反社会的)行为”。他认为法律不仅仅要保护国家,真正要捍卫和保护的是社会的和谐稳定。[7]何秉松教授在《刑法教科书》中论述,仅仅以社会危害性作为衡量标准,是绝对不能对犯罪的实质做出阐释的,社会危害性所体现的仅仅是某一犯罪行为在社会层面的性质体现,不是某一犯罪所具有的独一份的本质属性,罪刑法定原则与犯罪这一概念是不可分割的,肯定前者就必须承认后者的法律属性。因此,应受刑罚惩罚性和社会危害性在决定犯罪中是密不可分的两个本质性概念。[8]窃取或者以其他方式非法获取,其核心都突出了“非法”,其行为方式本身就为法律所禁止,其获取公民个人信息的行为缺乏合法性基础,当然具有实质违法性。非法获取公民个人信息后一般用于以下三大用途,具有难以估量的社会危害性:一是实施如诈骗等侵犯公民财产类型的下游刑事犯罪。二是直接进行兜售转卖,以谋取经济利益。三是用于拓展其他业务。如网络线上赌博。本案中,行为人在未告知他人可能获取其个人信息的情况下,违法采集、获取公民个人信息,尤其是隐瞒获取个人信息的真实意图,滥用信息技术,在他人对信息处理行为不知情的情况下,欺骗他人同意后非法获取公民个人信息的行为,与个人信息保护法第十三条所规定的知情同意原则相抵触,其将非法收集的微信号转卖,具有刑法意义上处罚的必要性和合理性。《解释》第3条第2款明确规定,未经被收集者同意向他人提供合法收集的公民个人信息的行为属于刑法规定的提供公民个人信息行为,行为人擅自转卖行为已严重侵害或威胁侵犯公民个人信息罪的保护法益。
三、被害人基于法益处分目的错误所作承诺无效
确定被害人受欺骗后所作承诺的效力问题,直接涉及罪与非罪、此罪与彼罪的区分,具有重要的意义。在理论界和司法实务中,针对取得被害人承诺后实施欺骗行为的,被害人承诺在违法性判断上的效力问题存在不同的认识。一是法益关系错误说,认为结合被害人发生错误的性质梳理其错误类型,确定其是否属于与被处分的法益存在一定关联性的错误。[9]若被害人的错误与被处分的法益不存在关联性,承诺就有效,能够阻却违法;二是法益处分自由说,认为“意思决定的自由”即法益处分的自由本身被相应构成要件所保护,在自身相关的法益无法自由作出决定的情况下,被害人承诺无效;三是法益关系错误+承诺任意性说,认为被害人具有法益关系认识错误以及承诺任意性被侵犯(承诺非自由决定)情形之一的,承诺就无效;[10]四是法益处分目的错误,认为如行为人在处分特定法益时具有一定目的,该目的性的实现本身是法益的一部分或者与法益存在紧密关联,行为人通过实施欺骗行为使得被害人的目的落空时,被害人的错误具有重大性,该承诺无效。本案采用第四种学说,微信号是具有特定主体资格或特定权利关系才可访问的个人信息,属于限制开放的个人信息,该信息并未向不特定主体无条件地一般性开放,因此,不论是在自愿授权还是法律法规强制的层面,他人都没有擅自处理这类信息的正当性。行为人隐瞒个人信息处理目的,收集个人信息后为牟利而单纯倒卖的,他人的承诺属于法益处分目的错误,理应无效,无法阻却行为的违法性,[11]更不能将合法公开个人信息的行为视为自然人放弃所享有的个人信息权益。如果个人信息根据政府有关部门的要求公开,被他人以非专业的技术手段轻易获取之后,用于电信诈骗业务,对该公开信息的处理既违反国家有关规定,也违背信息主体的处分意思,对于该信息仍然有利用刑法予以保护的必要。因此,行为人可能构成侵犯公民个人信息罪。
【注释】
作者单位:江西省丰城市人民法院
[1]蔡云:“公民个人信息的司法内涵”,载《人民司法》2020年第2期。
[2]王利明:“数据共享与个人信息保护”,载《现代法学》2019年第1期。
[3]参见(2019)苏13刑终32号判决书。
[4]刘艳红:“民法典编纂背景下侵犯公民个人信息罪的保护法益:信息自决权一一以刑民一体化及《民法总则》第111条为视角”,载《浙江工商大学学报》2019年第6期。
[5]刘宪权、何阳“《个人信息保护法》视角下侵犯公民个人信息罪要件的调整”,载《华南师范大学学报(社会科学版)》2022年第1期。
[6]赵忠东:“可识别性是公民个人信息的根本特性”,载2018年7月8日《检察日报》。
[7][德]弗兰茨·冯·李斯特:《李斯特德国刑法教科书》,徐久生译,北京大学出版社2021年版,第162页。
[8]何秉松:《刑法学教科书》,中国法制出版社1993年版,第35页。
[9]山中敬一:《刑法总论》(第3版),成文堂2015年版,第219页~第221页。
[10]松原芳博:《刑法总论重要问题》,王昭武译,中国政法大学出版社2015年版,第110页。
[11]周光权:“被害人受欺骗的承诺与法益处分目的错误——结合检例第140号等案例的研究”,载《中国刑事法杂志》2022年第2期。