個人信息商業(yè)使用的刑法風(fēng)險及規(guī)制

吳宸敏

華南理工大學(xué)，廣東 廣州 510006

一、個人信息商業(yè)使用行為概述

近日，廣東省公安廳組織開展的“凈網(wǎng)7 號”專案收網(wǎng)行動打掉了特大侵犯公民信息團(tuán)伙，抓獲犯罪嫌疑人130 余人，查獲公民個人信息2億余條。該涉案公司為獵頭搜網(wǎng)站，被立案調(diào)查的原因是該網(wǎng)站邀請用戶上傳、共享其所在公司的員工簡歷，這些數(shù)量巨大的個人信息涉及各行各業(yè)，涉嫌非法獲取、提供公民個人信息犯罪。當(dāng)前，商業(yè)主體侵犯公民個人信息的情形越來越嚴(yán)重，許多網(wǎng)絡(luò)服務(wù)需要公民提供個人信息，而且目前存在大量網(wǎng)絡(luò)爬蟲信息抓取技術(shù)可以沖破網(wǎng)絡(luò)保護(hù)屏障直接抓取到被保存在信息庫的信息，商業(yè)主體使用公民個人信息的情況大量存在，讓許多用戶的公民個人信息暴露在高風(fēng)險之中。商業(yè)主體因為經(jīng)營領(lǐng)域不同對公民個人信息商業(yè)使用的行為方式也不同，總體而言，公民個人信息商業(yè)使用的方式分為數(shù)據(jù)處理、市場營銷和個人信息交易。數(shù)據(jù)處理是指商業(yè)主體處出于最大化開發(fā)信息使用價值的需求，采用相應(yīng)的統(tǒng)計學(xué)方法對海量的個人信息進(jìn)行整理分析，以此提高個人信息的價值。市場營銷是指商業(yè)主體通過向特定或不特定的公眾進(jìn)行宣傳、推銷商品和服務(wù)，包括直銷和目標(biāo)營銷。這兩種商業(yè)使用行為更多會給公眾帶來諸如針對性廣告投放等困擾，也可能存在其他不可預(yù)知的危害，而刑事風(fēng)險最大的是第三種商業(yè)使用方式即個人信息交易。

個人信息交易是指商業(yè)主體將個人信息作為交易對象準(zhǔn)予第三方進(jìn)行使用、交換和轉(zhuǎn)讓等商業(yè)目的的行為。例如，經(jīng)營新浪微博的A 公司和經(jīng)營脈脈軟件的B 技術(shù)科技公司簽訂的《開發(fā)者協(xié)議》約定脈脈軟件可以接入新浪微博開放平臺獲取微博平臺上包括用戶名稱、性別、頭像、郵箱等相關(guān)用戶信息，即脈脈軟件被運(yùn)行使用新浪微博所收集的個人信息及相關(guān)訪問數(shù)據(jù)。個人信息交易的雙方都因日常業(yè)務(wù)行為都會接觸到龐大個人數(shù)據(jù)，個人信息交易的商業(yè)行為背后隱含著極大的侵犯公民個人信息風(fēng)險，甚至造成由個人信息犯罪引起的詐騙罪、敲詐勒索罪等。與普通的侵犯公民個人信息犯罪相比，由商業(yè)行為引起的公民個人信息犯罪涉及數(shù)量和范圍更大，與個人隱私、個人資金等相關(guān)狀況聯(lián)系更緊密。

二、公民個人信息商業(yè)使用的司法解釋分析

《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）在《網(wǎng)絡(luò)安全法》的基礎(chǔ)上，進(jìn)一步明確了公民個人信息具有身份識別信息和活動情況信息。商業(yè)使用中的公民個人信息大多涉及了姓名、通訊方式、住址、賬號密碼、財產(chǎn)狀況等，與用戶自身的結(jié)合識別性特別高，即使商業(yè)主體在商業(yè)使用時采取去識別化技術(shù)對個人信息的敏感部分采取刪除或模糊處理，但是為達(dá)到犯罪目的的行為人依然可以通過網(wǎng)絡(luò)技術(shù)將信息數(shù)據(jù)與自然人身份進(jìn)行排列匹配，還原出特定自然人的具體個人信息，從而造成社會危害。因此，為防止個人信息犯罪的發(fā)生，運(yùn)用刑法規(guī)制個人信息商業(yè)使用行為很有必要，我國《刑法》第253 條之一規(guī)定了侵犯公民個人信息罪，同時《解釋》進(jìn)一步細(xì)化了公民個人信息商業(yè)使用行為的認(rèn)定問題。本罪的主體是一般主體，其中又對將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息、出售或者提供給他人的行為主體進(jìn)行從重處罰?？陀^方面主要表現(xiàn)為違法國家規(guī)定非法提供、出售公民個人信息，以及非法獲取公民個人信息情節(jié)嚴(yán)重的行為；主觀方面是故意，過失不構(gòu)成本罪；客體是包括公民的人身權(quán)利、民主權(quán)利和社會管理秩序在內(nèi)的雙重法益。前文所述的個人信息商業(yè)使用行為在實踐中都有可能產(chǎn)生刑事風(fēng)險，具體到本文，公民個人信息商業(yè)使用行為的認(rèn)定問題主要為以下方面：

（一）商業(yè)主體“為合法經(jīng)目的”的認(rèn)定

《解釋》第六條規(guī)定為合法經(jīng)營活動購買、收受其他公民個人信息具有規(guī)定的情節(jié)嚴(yán)重行為的情形，包括利用非法購買、收受的公民個人信息獲利5 萬元以上的；曾因侵犯公民個人信息受過刑事處罰或者2 年內(nèi)受過行政處罰，又非法購買、收受公民個人信息的和其他情節(jié)嚴(yán)重的情形。與一般的非法購買、收受公民個人信息行為相比，該特殊標(biāo)準(zhǔn)是從秉持刑法謙抑性的角度出發(fā)設(shè)立的，目的是為了更好地規(guī)制在商業(yè)環(huán)境下為合法經(jīng)營活動而購買、收受個人信息的行為，考慮到此類行為社會危害性不大，即使構(gòu)成犯罪，通常也不需要升檔量刑，故只規(guī)定了“情節(jié)嚴(yán)重”的具體情形。在認(rèn)定商業(yè)主體主觀上屬“為合法經(jīng)營”時，要綜合以下三點：其一，結(jié)合全案證據(jù)認(rèn)定涉案商業(yè)主體經(jīng)營的商業(yè)活動是否屬于合法經(jīng)營活動，一般來說，合法經(jīng)營活動與非法行為相對應(yīng)，結(jié)合《刑法》規(guī)定的非法經(jīng)營罪可以得知，合法經(jīng)營活動可以總結(jié)為公司的資質(zhì)是經(jīng)過國家有關(guān)主管部門批準(zhǔn)的、開展的業(yè)務(wù)是合法合規(guī)且有經(jīng)營許可證或批準(zhǔn)文件的，經(jīng)營活動遵循市場規(guī)律、不擾亂市場秩序，其中又要重點審查商業(yè)主體的經(jīng)營業(yè)務(wù)行為是否違法，而不是將目光聚焦在經(jīng)營者在經(jīng)營過程中是否有一般違法情況。其二，適用該條解釋的侵犯公民個人信息行為僅限購買和收受，后續(xù)諸如出售、牟利等行為不適用本條款，將購買、收受的公民個人信息非法出售或者提供的，定罪量刑標(biāo)準(zhǔn)適用《解釋》第五條的規(guī)定，如果為了合法經(jīng)營活動交換公民個人信息的，由于在獲取信息的同時造成了信息擴(kuò)散，定罪量刑標(biāo)準(zhǔn)亦適用第五條。其三，適用該條解釋的公民個人信息類型排除行蹤軌跡信息、通訊內(nèi)容、征信信息、財產(chǎn)信息以及住宿信息、通訊記錄、健康生理信息、交易信息等，因為這些信息關(guān)系到公民個人隱私、人身安全和財產(chǎn)安全等敏感信息，能夠引發(fā)極其嚴(yán)重的社會危害性，已然超出商業(yè)使用目的的范圍。其四，在認(rèn)定商業(yè)使用行為時，要把握好“非法購買、收受的公民個人信息”與“合法經(jīng)營并獲利”的對應(yīng)關(guān)系，即非法購買、收受的公民個人信息確系被用于合法經(jīng)營活動，且這部分合法經(jīng)營活動部分獲利達(dá)到了五萬元以上。實際案例中，單次購買、收受的個人信息數(shù)量是非常龐大的，但事實上不是所有的信息都能被用于商業(yè)目的上，其必然會從中甄選出必要的有用信息，因此不能簡單地依靠購買、收受的數(shù)量定罪量刑，要綜合全案證據(jù)并按實際用于合法經(jīng)營活動的數(shù)量進(jìn)行認(rèn)定。

（二）商業(yè)主體間交換公民個人信息的認(rèn)定

在商業(yè)領(lǐng)域中，相近業(yè)務(wù)間的商業(yè)主體有著相同的客戶需求，如果商業(yè)主體之間通過簽訂合同的形式交換客戶信息，事實上也侵犯了信息主體的權(quán)益。最高院解讀《解釋》中說明，第六條規(guī)定的為合法經(jīng)營活動目的而收受個人信息的行為不包括交換個人信息行為，因為交換行為會讓信息在交換的過程中造成信息擴(kuò)散，是一種造成個人信息二次泄露的行為，其目的已超過為合法經(jīng)營目的的范疇，屬于非法獲取、出售和提供公民個人信息。與《解釋》第六條規(guī)定的不同的是，為合法經(jīng)營活動目的購買、收受公民個人信息行為側(cè)重于獲取，而交換行為不僅有獲取行為還包含了傳播個人信息的行為，這種交換行為雖然發(fā)生在商業(yè)主體之間，但不可否認(rèn)的是個人信息已進(jìn)行了多次的轉(zhuǎn)移，隨著接觸的商業(yè)主體數(shù)量的增加，個人信息泄露等風(fēng)險也不斷增加。商業(yè)環(huán)境中若因為商業(yè)目的交換客戶的個人信息，造成嚴(yán)重后果的，以《解釋》第五條進(jìn)行規(guī)制。該行為的定性關(guān)鍵在于獲取行為，交換行為應(yīng)事先得到信息主體的同意才可進(jìn)行，不得違背個人信息主體的意愿，否則各商業(yè)主體間相互提供和持有的行為實際上已經(jīng)違反了法律規(guī)定。楊某等侵犯公民個人信息案（案號：［2018］蘇01 刑終650 號）的辯護(hù)人辯稱涉案兩公司間存在業(yè)務(wù)合作關(guān)系，被告人獲取客戶信息也屬于正常的業(yè)務(wù)往來，即非購買、也非竊取，不屬于“非法獲取”行為。而江寧區(qū)檢察院在起訴書中指控，某汽車服務(wù)公司從某保險銷售公司處獲取的69 萬余條公民個人信息屬非法獲取公民個人信息行為，通過收受、交換等方式獲取公民個人信息，或者在履行職責(zé)、提供服務(wù)過程中收集公民個人信息的，屬于“以其他方法非法獲取公民個人信息”，這種交換行為實質(zhì)上已經(jīng)制造了危險。

（三）為經(jīng)營活動而非法收集、使用公民個人信息的認(rèn)定

商業(yè)主體因為和客戶形成較為緊密的關(guān)系，因此在履行職責(zé)和提供服務(wù)過程中具有收集客戶個人信息的便利，某視頻APP 就因擅自違規(guī)收集和使用用戶信息數(shù)據(jù)而被起訴，法院裁定其應(yīng)立即停止侵犯公民個人信息的行為?！毒W(wǎng)絡(luò)安全法》第41 條規(guī)定：“網(wǎng)絡(luò)運(yùn)營收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)收集者同意?！笔占脩魝€人信息前，商業(yè)主體必須以明示的方式告知個人信息主體，告知內(nèi)容包括收集方式、收集范圍以及使用目的，不得以拒絕提供服務(wù)等方式強(qiáng)制用戶同意。當(dāng)前，《刑法》未將“非法使用所掌握的公民個人信息行為”入罪，但是單純的非法使用行為不能單獨入罪并不意味著商業(yè)主體可以隨意使用公民個人信息，一旦造成了情節(jié)嚴(yán)重的后果，依然可以根據(jù)后果進(jìn)行入罪。有人認(rèn)為商業(yè)主體已經(jīng)獲得了用戶的同意而進(jìn)行收集個人信息，因此其可以隨意使用其所合法收集的個人信息，事實上，使用行為的侵害性質(zhì)并不會因為信息主體是否同意而有所改變。當(dāng)今，公民經(jīng)常以通過同意商業(yè)主體使用個人信息的方式自愿向外界公開自己的信息以換取網(wǎng)絡(luò)服務(wù)，與此同時，公民披露自己的個人信息也就意味著一定程度上接受了個人信息被侵害的風(fēng)險，有觀點認(rèn)為這種行為屬于刑法上的危險接受。然而，公民作為被害人雖然選擇接受危險，但接受的僅僅是同意商業(yè)主體可以收集和使用其個人信息，并沒有接受所帶來的諸如被綁架、被詐騙等危險結(jié)果的發(fā)生，就像被害人明知行為人醉酒駕車而選擇搭乘，后發(fā)生了被害人受傷甚至死亡的結(jié)果，這種結(jié)果并不是被害人同意的，其僅僅同意的是醉酒駕駛的行為。這也就表明，商業(yè)主體不可以為所欲為地制造危險結(jié)果或者形成危險狀態(tài)，目前個人信息的法益保護(hù)逐漸向“超個人法益”發(fā)展，從公民社會和國家的角度出發(fā)，刑法保護(hù)公民個人信息不但是保護(hù)公民的個人信息權(quán)，還保護(hù)著社會公共秩序。由于侵犯公民個人信息行為越來越成為電話詐騙、網(wǎng)絡(luò)詐騙、綁架和非法拘禁等犯罪的前端行為，不僅危害到了公民的個人隱私、金融安全，還危害到部分國家機(jī)關(guān)和金融、電信和教育等行業(yè)，因此對于公民個人信息在商業(yè)環(huán)境中被濫用的情形，可以根據(jù)相關(guān)行為造成的危害社會程度進(jìn)行入罪。

（四）“獲利”數(shù)額的認(rèn)定無需扣除犯罪成本

個人信息商業(yè)使用行為是典型的獲利行為，且獲利數(shù)額又是定罪量刑的重要依據(jù)，因此還存在一個爭議問題就是侵犯公民個人信息罪中行為人的獲利數(shù)額是否需要扣除犯罪成本。本文認(rèn)為不論是侵犯公民個人信息罪還是其他刑事犯罪，違法所得的認(rèn)定都不應(yīng)扣除成本。尤其是侵犯公民個人信息犯罪，無論是獲取、收受行為，還是后續(xù)的販賣等行為，都是法律所禁止從事的活動，即使是成本也是構(gòu)成犯罪獲利的一部分，而且入罪的根據(jù)是“違法所得”數(shù)額，因此在認(rèn)定違法所得數(shù)額的時候不應(yīng)當(dāng)扣除成本。最高院公布的示范案例杜某某侵犯公民個人信息案（案號：［2017］魯1311刑初332 號），法院認(rèn)定的違法所得是被告人出售其非法獲取的公民個人信息所獲得的數(shù)額，其中沒有扣除其花費(fèi)的成本，可以看出司法實踐中傾向于行為人的獲利數(shù)額不需要扣除犯罪成本。

三、總結(jié)

大數(shù)據(jù)網(wǎng)絡(luò)時代的發(fā)展使得商業(yè)環(huán)境中使用公民個人信息的情形越來越普遍和頻繁，同時公民個人信息很可能被技術(shù)抓取或被商業(yè)主體進(jìn)行變賣和交換，因此侵犯公民個人信息罪的設(shè)立和《解釋》的發(fā)布更細(xì)化指引規(guī)制個人信息商業(yè)使用的行為。在認(rèn)定侵犯公民個人信息罪時，首先要結(jié)合全案證據(jù)認(rèn)定商業(yè)主體的經(jīng)營行為是否屬于合法經(jīng)營活動，為合法經(jīng)營目的購買、收受非敏感個人信息外的行為以《解釋》第六條進(jìn)行規(guī)制，否則屬于為非法目的侵犯公民個人信息。其次，多個商業(yè)主體間交換個人信息會造成信息的二次擴(kuò)散，使得信息的泄露范圍擴(kuò)大，造成的侵犯程度更加嚴(yán)重，因此應(yīng)認(rèn)定為非法獲取、出售或提供公民個人信息。再者，商業(yè)主體未經(jīng)信息主體允許不得收集或使用用戶個人信息，即使商業(yè)主體獲得了信息主體的同意或授權(quán)，也不得超出為合法經(jīng)營目的進(jìn)行濫用，將以與造成后果的行為相關(guān)的罪名進(jìn)行規(guī)制。最后，本罪的入罪有具體數(shù)額規(guī)定，在認(rèn)定獲利數(shù)額的時候，由于侵犯公民個人信息行為所具有的非法性，不應(yīng)該扣除違法成本。