刑事审判参考(2022年第3辑,总第133辑)
[第1496号]董某雷等侵犯公民个人信息案-侵犯公民个人信息罪中公民个人信息及数量的认定
节选裁判说理部分,仅为个人学习、研究和说明问题,如有侵权,立即删除
二、主要问题
(一)在排除鉴定意见的情形下,如何认定侵犯公民个人信息罪的犯罪对象和数量?
(二) 如何区分侵犯公民个人信息罪与非法获取计算机信息系统数据罪?
三、裁判理由
(一) 在排除鉴定意见的情形下,综合在案其他证据可以认定犯罪对象为公民个人信息且属于可能影响公民人身、财产安全的敏感信息及其数量
近年来,针对公民个人信息的犯罪行为日益凸显,严重威胁公民人身和财产安全。司法实践中,行为人侵犯公民个人信息的数量从"倍数级”进阶至“指数级”,且公民个人信息内容存在重复、混同、庞杂等特点,信息本身识别困难,故司法机关通常依据鉴定机构出具的鉴定意并结合其他证据来予以综合认定。而作为鉴定依据的电子数据的收集、提取程序及规范,《最高人民法院、最高人民检察院、公安部关于办理事案件收集提取和审查判断电子数据若干问题的规定》规定了明确、严格的程序要求和技术标准。
本案中,公安机关仅对被害公司自行提供的电子数据进行了勘验检查,但并未对该电子数据的真实性、原始性进行核对,亦未能对此作合理说明、故勘验检查笔录及鉴定意见均未被法院采用。因此,在缺乏鉴定意见或者鉴定意见达不到证据采用标准而不能被采用的情况下,如何准确认定侵犯信息属于公民个人信息及其数量成为本案审理的重点和难点。案件审理过程中,对所涉犯罪行为能否认定为侵犯公民个人信息罪及是否符合“情节特别严重”的情形存在两种观点:第一种观点认为要认定侵犯信息属于公民个人信息及其数量必须依据鉴定意见,在无符合证据采用标准的鉴定意见的情况下,宜根据“其他情节严重”或“情节特别严重”的情形,认定为非法获取计算机信息系统数据罪;第二种观点则认为在缺乏鉴定意见的情形下,可以综合在案其他证据认定为侵犯公民个人信息罪且属于“情节特别严重”的情形。笔者同意第二种观点,具体分析如下。
1.综合在案证据可以认定本案犯罪对象为公民个人信息,且属于可能影响公民人身、财产安全的敏感信息
公民个人信息是指以电子或者其他方式记录的,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码财产状况、行踪轨迹等。其中根据敏感程度并结合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)的规定,公民个人信息分为行踪轨迹信息、通信内容、征信信息、财产信息类极其敏感的个人信息,住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的敏感个人信息以及除上述两类信息之外的普通个人信息。对于敏感个人信息中“等其他可能影响人身、财产安全的公民个人信息”的表述,司法实践中可以根据具体情况作等外解释,但应当确保所适用的公民个人信息涉及人身、财产安全,且与“住宿信息、通信记录、健康生理信息交易信息”在重要程度上具有相当性。
本案中,证人牛某某(被害单位 B公司反腐中心调查主管)、卢某(被害单位B公司技术经理)、证人李某甲(C科技公司副总监)、证人刘某某(被害单位B公司员工)、证人朱某(A公司员工)的证言与被告人董某雷、周某、马驰、刘泽旭、姜超续、李延庆、杜某飞的供述相互印证,证明了董某雷等人所需获取信息的具体要素(如房屋地址、交易信息)、获取信息的具体地域(如上海市等地) 及已经获取的信息内容等,足以证实董某雷、周某、马驰等人非法获取的房屋租赁合同中包含姓名、电话、身份证号等能够识别特定自然人身份的公民个人信息,还包括房屋信息(房屋地址、租住情况) 交易信息(租赁合同起止日期交易价格)等与公民人身、财产密切相关,属于可能影响公民人身、财产安全的敏感信息。
2.综合在案证据可以认定侵犯公民个人信息的数量
犯罪事实能否认定取决于在案证据能否形成完整的证据链条。具体到本案,首先,从被害单位 B 公司证人证言的证明力来看,证人牛某某卢某、李某乙(B公司信息安全部安全工程师) 的证言均系公安机关依法取得,三人虽是被害单位B公司的工作人员,但其中一名是反腐中心调查主管、两名是技术人员,所作证言均是客观反映被害公司后台出现的异常情况(包括异常用户操作账号、IP地址等)及被侵犯公民个人信息的数量;三人并不知晓侵犯B公司数据的具体行为人及其所在公司和获取信息的不正当竞争目的,也与A公司及本案各被告人无利害关系故三人的证言可以采纳。其次,从证据印证情况来看,各被告人之间的手机微信聊天记录、证人李某乙的证言与被告人周某、马驰、杜某飞供述相互印证,证明了周某、杜某飞获取信息后将信息数据传输给马后又因本案案发而删除相关痕迹等情况。证人牛某某、卢某、李某乙证育、各被告人之间的手机微信聊天记录与被告人董某雷、周某、杜某飞的供述相互印证,证明董某雷等人非法获取的公民个人信息数量“重”后已达至少10万条。最后,本案的各被告人及证人卢某、朱某或是房产中介行业的工作人员,或是技术人员,负有保护公民个人信的重要义务和职责,他们对掌握客户信息的行业优势、利用技术手“爬虫”软件抓取数据并进行大数据 (海量数据)分的效果等应比般人认识更深入,所作出的供述或证言亦能够相互印证,故可以作为案依据。综上,在案证据足以证明本案侵犯公民个人信息数量远超5000条,属于《解释》规定的侵犯公民个人信息“情节特别严重”情形。
此外,从实践来看,侵犯公民个人信息案件中涉案的公民个人信动辄上万条甚至数十万条。此时并不排除少数情况下存在信息重复的可能,但要求做到完全“去重”较为困难。对此,《解释》对批量公民个人信息的条数,也明确了可根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。这一规定也为本案批量信息的认定提供了依据。
(二) 侵犯公民个人信息罪与非法获取计算机信息系统数据罪的区分
非法获取计算机信息系统数据罪是违反国家规定,侵入国家事务国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据的行为。该罪与侵犯公民个人信息罪存在法条竞合关系。是如供不小太天本案被告人通过被害公司工作人员的违规授权,利用“爬虫”软件窃取被害公司系统合同信息的行为是否构成非法获取计算机信息系统数据罪,需要判断是否属于非法侵入行为以及是否属于计算机信息数据。
1.关于“非法侵人”的认定
《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》以下简称《危害计算机信息系统安全解释》)并未明确“非法侵入”的具体情形,但规定具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的程序、工具属于专门用于侵入、非法控制计算机信息系统的程序、工具。通常理解,“非法侵入”是指未经授权的人员违反国家规定擅自进入特定计算机信息系统罪包括运用计算机网络技术从后台进入,也包括使用他人的账户退密码从正常的系统入口登录等行为行为人利用技术手段,规避或突破被害方计算机系统的安防设置,未经许可进入被害方计算机系统的,应认定为非法侵入,行为人在客观上虽没有规避或突破被害方计算机系统的安防设置,如使用计算机系统认证的账号密码登录,但如该登录未得到也不可能得到计算机系统管理人的授权的,该行为仍属未经许可进入被害方计算机系统,也应认定为非法侵入。
本案中,被告人虽然取得了被害公司员工提供的账号密码,通过计算机系统的认证登录,但该登录行为属非法授权,且被告人在登录后使用“爬虫”技术破坏计算机防御保护系统,擅自下载系统设置仅供浏览的数据,可以认定为非法侵入。
2.关于计算机信息数据的认定
《危害计算机信息系统安全解释》对非法获取计算机信息系统数据罪人罪的“情节严重”作出明确规定,其中特别明确了身份认证信息的数量要求,同时将其定义为用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。而对于数据的具体含义和范围,司法解释并未明确。本案中,行为人提供、获取的是公民个人信息,不属于身份认证信息,但是否属于计算机信息数据及能否适用其他情节严重或者其他情节特别严重的情形认识不一致。我们认为,公民个人信息属于计算机信息数据的一种。本案存在侵犯公民个人信息罪与非法获取计算机信息系统数据罪的法条竞合。我国刑法第二百八十七条定,利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘或者其他犯罪的,依照刑法有关规定定罪处罚。在案证据明确本案侵的对象为公民个人信息,宜认定为侵犯公民个人信息罪。
另外,需要说明的是,本案被告人以电子侵入的非法手段获取竞争公司的大量商业合同等数据信息,亦属于侵犯商业秘密行为。(刑法修正案 (十一) 对侵犯商业秘密罪的罪状进行了修改,将“给商业秘密的权利人造成重大损失”改成“情节严重”,同时提高了法定刑。本案根据案发的时间,应当适用修改前的法条。)但根据2020年9月17日《最高人民检察院、公安部关于修侵犯商业秘密刑事案件立案追诉标准的决定》,侵犯商业秘密立案追诉条件为给商业秘密权利人造成损失数额在30万元以上的,或因侵犯商业秘密违法所得数额在30万元以上的,或直接导致商业秘密的权利人因重大经营困难而破产倒闭的,或其他给商业秘密权利人造成重大损失的情形。在案证据尚不能认定被告人的行为达到侵犯商业秘密罪的追诉标准。
综上,人民法院认定被告人等构成侵犯公民个人信息罪,并根据在案的事实、情节认定被告人等属于“情节特别严重”,是正确的。
(撰稿:北京市第三中级人民法院 方玉 杨隽男
审编:最高人民法院刑三庭 鹿素勋)