随着信息网络的发达,公民个人的信息保护越加受到人们的重视,2015年刑修九将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,随之两高也颁布了相关的司法解释,加大了对公民个人信息的保护力度。近年来,司法机关对该罪的适用中,关于“公民个人信息”的认定一直是一个焦点问题,涉案信息是否属于“公民个人信息”往往是影响罪与非罪、轻罪与重罪的重要因素。本文将以“法定代表人信息”为例,结合实务案例、学界理论,展开讨论该类信息是否属于“公民个人信息”,并基于讨论结果对涉信息企业提出一些合规建议。
一、实务之现状
首先要指明的是,笔者根据目前已公开的案例,发现法定代表人信息通常是指“法定代表人姓名+手机号码”。所以,本文讨论的是,法定代表人姓名和手机号码是否属于公民个人信息?
笔者通过检索目前已公开的判例,发现部分司法机关认为法定代表人信息不属于公民个人信息,将此作为出罪的理由,但部分司法机关则认为法定代表人信息属于公民个人信息,从而将此信息数量纳入量刑事实依据。
具体而言,法定代表人信息“不属于”公民个人信息的理由如下:
1.法定代表人信息不具有可识别性。例如在徐某某邱某某等侵犯公民个人信息罪中,法院认为刑法司法解释对于侵犯公民个人信息罪中的公民个人信息已作出界定,系有关自然人身份或反映自然人活动情况的各种信息,法人信息不在此列,对于指控数量中涉及法人信息及其法定代表人的信息条数应予剔除。[1]在王某某侵犯公民个人信息罪中,检察院也认为王某某向他人提供的上述企业信息不属于结合识别特定自然人身份或者反映特定自然人活动情况的公民个人信息。[2]并且也有法官认为,在公示的企业法定代表人信息中有相当部分仅为法定代表人的姓名和手机号码,它既不同于财产信息、交易信息等敏感信息,又不同于一般公民个人信息,无法识别特定自然人身份或反映特定自然人活动情况,故不应认定为公民个人信息。[3]
2.法定代表人主动公开自己信息的行为丧失了公民个人信息所保护的隐私性。例如在王某侵犯公民个人信息罪中,法院认为,涉案信息提取自公开的商业网站中企业介绍自己生产、经营、销售产品状况的广告信息。其中包含的法定代表人或联系人姓名、手机号码应当是相关当事人自愿公开的,相关人员在将此类信息公开时,必然会预见有被他人使用甚至不当使用的可能性。[4]
法定代表人信息“属于”公民个人信息的理由如下:
1.法定代表人信息具有可识别性,属于刑法所保护的公民个人信息。例如在郭某某与刘某某、严某侵犯公民个人信息罪二审裁定书中,法院认为,司法解释规定公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等其最根本的特征在于能够识别个人身份或者体现个人活动。刘某某非法获取、出售的企业税务,工商登记信息中的个人姓名与通信通讯联系方式,身份证件号码等信息能够单独或者彼此结合识别特定自然人身份,属于刑法第二百五十三条之一规定的“公民个人信息”。[5]
对于信息里仅包含姓名+手机号码的内容,在胡某某侵犯公民个人信息罪中有特别提及,该法院认为,我国工信部在全国范围内对新增的固定电话、移动电话(含无线上网卡)用户实施真实身份信息登记,严格实行“先登记、后服务;不登记、不开通服务”要求,并对三大运营商制定相应处罚机制。被告人所出售的电话号码应当属于我国刑法所规定的“公民个人信息”范畴。[6]所以,该观点认为,由于电话实名制的实施,它所包含的信息比以往更多,与自然人身份结合得更加紧密,其号码也自然拥有了身份的可识别性。
2.法定代表人信息的公开不阻却违法。即使是企业主动公开,在法无明文规定的情况下,仍不能认定其为刑法保护的例外。虽然将法定代表人的个人信息公开,但并不代表法定代表人同意行为人将其个人身份信息进行出售扩散。法定代表人信息所包含的内容体现了其作为公民享有的隐私,应当被刑法保护。例如在陈某某侵犯公民个人信息案中,法院认为,企业法定代表人个体工商户将自己的身份信息、通讯号码等信息依法予以公示,主要是便于相关部门监督管理和开展正常的生产经营活动。并不当然丧失与其个人相联系且为特定个人信息的特征。故在企业法定代表人,个体工商户的身份信息、通讯号码(不包括企业座机号码)等信息被非法出售、交换,可能侵犯其隐私权时,其身份信息、通讯号码等信息应属公民个人信息,法律应当予以保护。[7]
以上的两种观点都是从公民个人信息的性质所出发,将实际所涉及的信息根据刑法所体现出来的关于公民个人信息的特点来孤立地做判断,笔者认为这种判断缺乏合理的逻辑层次,法律适用不应该如此形式化。在认定具体信息的类别时,需要结合具体情境去判断,因为现实是动态的、不确定的。
二、认定思路之探究
法定代表人的身份具有双重性,一方面是行使法人职权的负责人,一方面是享受公民权利的自然人,因此对其法益的保护不能从一元的角度来看,如果单从以上的角度出发,那么对信息的处理未免就太过技术化、僵硬化。任何对犯罪构成要件的解释,都必须以法条所保护的法益为指导。[8]所以我们不能完全以隐私性、识别性来确定法定代表人归于公民个人信息与否,还需要考虑该罪实质保护的法益。“由于规范的构成要件要素需要精神的理解以及在判断行为是否符合规范的构成要件要素时,务必从实质出发,使规范的要素体现和说明行为的违法性。”[9]笔者认为,在考虑这个问题时,需要从实质解释的角度出发,思考行为人的使用目的。
之所以要将行为人的使用目的作为判断实质的依据,是因为在本罪的前置法《民法典》中明确规定了:“合理处理该自然人自行公开的或者其他已经合法公开的信息的,行为人不承担民事责任。但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。”在《个人信息保护法》中,也提出“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。”的相关规定。
如果认为“法益处分自由本身就是法益的构成要素”,那么就可以推论出,个人公开其信息的目的、信息的用途也属于法益的一部分。[10]如果行为人获取信息后处理的目的与法定代表人公开信息的目的并不相违背或者与法定代表人的目的相同的话,那么他就并没有侵犯到法定代表人的法益。当行为人获取、使用法定代表人信息的目的与法定代表人的目的具有一致性的话,那么其对信息的处理就具有相应的合理性。
笔者通过案例研究发现,目前行为人获取法定代表人信息的来源主要有:税务登记信息、工商登记信息、征信信息、商业网站、中国商务咨询大全等。因此,可以推定出当法定代表人觉得将其个人信息公示时,他的目的有两种可能。
一是当法人出于经营需要,根据国家相关规定,将法定代表人信息公布在他人都可以查询到的网站上,他的目的仅是完成行政机关对工商管理的相关规定,履行相应的义务,而没有将自己的信息传开的意思,更没有希望个人隐私被滥用的意思。所以当行为人获取法定代表人的联系方式后,展开业务推广、产品宣传、市场营销等活动,是违背了该法定代表人登记的意思,侵犯了其作为公民享有的隐私权,当情节严重时理应得到刑法的惩罚。
二是法人出于商业活动的需要,自愿将自己的联系方式公布在网络中,以此希望与他人建立商事关系,展开商业活动。此时就说明他愿意让渡出部分个人权益,允许该信息在社会上流转以换取相应的商业价值。在实务案例中,确实有很多信息被获取后,后续展开的活动用于业务推广、产品宣传、市场营销,这并没有违背该法定代表人公布自己联系方式的初衷。在这种情况之下,就不宜将法定代表人信息认定为公民个人信息。
综上,笔者认为,如果行为人获取、提供公开的法定代表人信息后,没有违背该信息公开的目的或用途,又或者,没有证据能够证明行为人违背了该信息公开的目的或用途的,就不应当将此信息数量作为入罪依据。刑事司法中也要贯彻平衡保护个人信息与促进信息自由流通的观念,尽量秉持刑法的谦抑性,既要有利保护个人信息,也要防止动用刑法对信息自由流动的不利影响。[11]
三、刑事合规之启发
如前所述,行为人仅对法定代表人信息的处理不当,就容易招致“刑事风险”,因此,涉信息企业更需要对刑法规定的公民个人信息的范畴具有足够清晰的认识。
根据“两高”颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》[12],“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
涉信息企业首先要对相关信息进行精细化的区分,辨别它们是否属于《解释》举例的类别或符合《解释》对公民个人信息的定义。对于合法获取后需要对外提供的信息,涉信息企业应当注意,必须先对信息作出处理,使得信息无法识别特定自然人且不能复原,如此,信息与特定自然人将无直接关联,该信息将不属于公民个人信息的范畴。笔者办理过的案件中,涉信息企业为促成业务合作,在前期磋商过程中,对用于交流的公民个人信息就进行了加密。
涉信息企业业务涉及其他企业公开信息的,应当注意,法定代表人信息在刑事司法认定中仍存在争议,应当谨慎收集或提供,避免触犯刑事风险。确有必要的,建议不仅要了解法定代表人公开信息的途径与意图,同时也要对信息的使用目的和方式进行严格的管控。
涉信息企业除了对公民个人信息的定义、分类要明确外,对该罪的前置性规定也要深入学习,因为《解释》明确提出了“违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的‘违反国家有关规定’”。相关的前置性规定不仅仅包括前文所提及的《民法典》《个人信息保护法》,还包括《网络安全法》等法律法规。例如《网络安全法》第四十二条第一款规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”这条规定除了对信息的可识别性作出要求外,对信息收集时,收集单位应该对被收集者所履行的义务也提出了明确要求。如果涉信息企业对这些前置法的要求不够了解的话,这既不利于企业的正常发展,也不利于对公民个人信息的保护。
四、结语
虽然司法实践中仍有司法机关将公开的法定代表人信息认定为侵犯公民个人信息罪中的公民个人信息,但近年来法学界逐渐出现了批评的声音,认为这种做法过于简单化、对法条的理解过于粗放。随着信息时代的来临,公民个人信息的人身性、财产性也不断在加强,《民法典》《个人信息保护法》的颁布也让法律对信息的理解越来越精细化,对其使用的规定也越来越具体化。其他法的不断更新为刑法提供了更广阔的视野,在对侵犯公民个人信息罪中涉案具体信息进行认定时,也要结合前置法来加深对信息本质的理解,使法益得到相应的保护,要让刑法为信息保驾护航,而不是成为其流动的绊脚石。
注释:
[1]重庆市渝中区人民法院(2018)渝0103刑初156号。
[2]山东省青岛市城阳区人民检察院青城阳检一部刑不诉(2021)90号。
[3]梁晓峰、周宇波、宋亚君:《侵犯公民个人信息的范围、种类、数量》,载《人民司法》2021,(02)。
[4]江苏省苏州市姑苏区人民法院(2018)苏0508刑初40号。
[5]江苏省南京市中级人民法院(2017)苏01刑终870号。
[6]湖北省随县人民法院(2017)鄂1321刑初241号。
[7]重庆市第二中级人民法院(2018)渝02刑终277号。
[8]参见张明楷:《刑法分则的解释原理》,中国人民大学出版社2011年版。
[9]张明楷:《刑法的基本立场》(修订版),商务印书馆2019年版。
[10]参见周光权:《侵犯公民个人信息罪的行为对象》,载《清华法学》2021年第3期。
[11]喻海松:《〈民法典〉视域下侵犯公民个人信息罪的司法适用》,载《北京航空航天大学学报》2020年第6期。
[12]以下简称《解释》。
