公开的工商企业登记信息是否是公民个人信息?
裁判要旨
个人信息权,具体可以归纳为可识别信息、活动情况和可能影响人身、财产安全的信息三大类。公开性并非公民个人信息的排除事由,行为人未经被收集者同意,将部分能够识别到特定自然人的网络公开的工商企业登记信息出售或提供给他人,即使其获取手段合法,亦属于提供公民个人信息行为。
基本案情
公诉机关:重庆市开州区人民检察院。
被告人:赵某某、曾某、李某乙、李某甲、龚某某。
重庆市开州区人民法院经审理查明:2015年9月6日,有联公司注册成立,公司主营房产信息咨询服务、房屋产权抵押贷款代办服务等业务。被告人赵某某任公司总经理,负责公司总体业务;被告人曾某任公司业务总监,负责业务组管理。为提高公司业绩,赵某某通过购买、向熟人收受等途径,非法获取各类公民个人信息共计14万余条,其中涉及财产信息3万余条。曾某通过购买、向熟人收受等途径,非法获取各类公民个人信息共计4万余条,其中涉及财产信息1万余条。
2015年初,赵某某因办理业务认识开州联通公司职工被告人李某甲,两人逐渐熟悉,后赵某某向李某甲索要其所在单位存储的客户信息,李某甲表示同意。2016年至2017年期间李某甲两次通过QQ邮箱,向赵某某发送自己工作中所获取各类公民个人信息共计1.8万余条。
2016年下半年的一天,被告人曾某知晓其同学被告人李某乙为开州联通公司职工,遂向李某乙索要所在单位存储的客户资料,李某乙表示同意。2016年10月31日,李某乙通过聊天实时对话窗口,向曾某发送公司系统中客户宽带信息共计1.9万余条。
2017年春节期间的一天,被告人曾某通过他人介绍,认识开州区艾纹形象美发店老板被告人龚某某。曾某向龚某某索要店内会员资料,龚某某表示同意。后曾某在艾纹形象店中电脑内拷贝姓名、联系电话等会员资料共计8000余条,另外还拷贝了其电脑中的楼盘信息等个人信息共计8000余条。
裁判结果
重庆市开州区人民法院认为,被告人赵某某、曾某违反国家有关规定,非法获取公民个人信息,情节特别严重;被告人李某乙、李某甲违反国家有关规定,将在履行职责、提供服务过程中获得的公民个人信息提供给他人,情节严重;被告人龚某某违反国家有关规定,将在提供服务过程中获得的公民个人信息提供给他人,情节严重,五人的行为均已构成侵犯公民个人信息罪。被告人赵某某、曾某犯罪以后自动投案,如实供述自己的罪行,均系自首,依法可以减轻处罚。被告人李某乙、李某甲、龚某某到案后均如实供述了自己的罪行,系坦白,依法可以从轻处罚。被告人李某乙协助司法机关抓捕其他犯罪嫌疑人,系立功,依法可以从轻处罚。被告人李某甲、赵某某揭发他人犯罪行为,经查证属实,均系立功,依法可以从轻处罚。
据此,重庆开州区法院依法以侵犯公民个人信息罪判处各被告人,其中最高刑罚为有期徒刑2年6个月,缓刑3年,并处罚金2万元,最低刑罚为单处罚金5000元。
一审宣判后,被告人没有上诉,公诉机关未抗诉,判决已生效。
案件评析
本案争议的焦点之一是网络公开的工商企业登记信息是不是公民个人信息。一种观点认为,工商企业登记信息已在网络上公布,任何人通过网络均可查询到该信息,已不具有私密性,故该信息不在侵犯公民个人信息罪的保护范围之列。另一种观点认为,私密性并非判断公民个人信息的根本标准,公开的企业法人代表姓名、手机号码等信息能够识别到特定的自然人,足以对公民生活安宁造成威胁,应归属公民个人信息。笔者赞同第二种观点。
一、公民个人信息的权利属性
网络社会,信息的生产和传播呈现井喷之势,信息的潜在价值也不断被发掘出来,经济效应愈发明显,引起了犯罪分子的窥视,侵犯公民个人信息犯罪逐年增多。最高国家立法机关和司法机关不断作出强势回应,试图遏制信息类犯罪的蔓延之势:刑法修正案(七)增设出售、非法提供公民个人信息罪和非法获取公民个人信息罪,刑法修正案(九)将两罪名合并为侵犯公民个人信息罪;最高人民法院、最高人民检察院、公安部发布《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称《通知》);最高人民法院、最高人民检察院发布《关于办理侵害公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)。上述文件首当其冲需要解决的问题就是公民个人信息的内涵与外延。刑法修正案为了保证刑法的稳定性,只明确了侵犯公民个人信息的行为主体与客观行为,对公民个人信息的概念进行模糊处理,《通知》与《解释》对公民个人信息的概念进行了界定,并呈现出明显的法律扩张,但并未明确公民个人信息的权利属性即侵犯公民个人信息罪的法益,更多的停留在事实层面的概括与列举,缺少对公民个人信息权利属性规范层面的思考。
关于公民个人信息的权利属性,学届尚无定论,具体可以总结为以下四种解释路径:1.财产权说。该说认为,“随着信息和网络时代的到来,个人信息事实上已经发挥出维护主体财产利益的功能,此时,法律和理论要做的就是承认主体对于这些个人信息享有财产权”。但该说的缺陷在于,第一,过分强调公民个人信息的商用价值,而忽视了对个人信息肆意买卖、使用的禁止,不符合刑法设置侵犯公民信息罪的立法初衷,更无法满足公民对司法的现实需求;第二,将个人信息作为财产权,意味着承认个人信息因每个人的职业、财产状况而具有不同的经济价值,但司法上难以对每一条公民个人信息的价值进行鉴定,同时也有违对公民个人信息进行平等保护的基本原则。2.人格权说。该说认为,公民个人信息属于公民的人格权。这一观点是目前学界的通说,同时,侵犯公民个人信息罪被规定在刑法侵犯公民人身权利、民主权利罪一章中,也为该学说提供了立法佐证。但是,自然人的人格权具有专属性、不可交易性,即便能产生经济价值,也不能作为财产予以对待,否则便会贬损自然人的人格意义。同时,公民个人信息不仅包括人格权内容,而且还与公民财产相关,如财产信息、账号密码等,单纯的把公民个人信息归入人格权之内,无法涵盖与财产相关的公民个人信息。3.隐私权说。该说认为,我国侵权责任法第二条已经正式确立了对隐私权的保护,而通过对隐私权的扩张解释,足以将要保护的各种信息囊括进隐私的概念。但是,现代社会公民个人信息种类不断翻新,单纯的隐私信息无法涵盖个人信息的所有类别。而且,隐私权对于信息提供的保护是一种绝对性的保护,而在现代社会,对信息的收集、处理、存储和利用不仅必要而且必须,不仅国家从单纯的保护者姿态变为最大的信息收集、处理、存储和利用者,而且公司、社会组织等第三方信息从业者也逐渐产生。4.个人信息权说。该说认为,公民个人信息属于一种独立的兼具人格权和财产权的新型权利类型—一个人信息权。笔者认为,此种观点具有可取之处:第一,公民个人信息兼具人格权和财产权的特点,现有的财产权说、人格权说、隐私权说均无法准确涵盖公民个人信息的全部内容,无法对公民个人信息进行合理解释和有效的法律保护;第二,现实中,公民个人信息类别正不断更新,其概念也在逐步扩张,将公民个人信息确立为个人信息权这一独立的新型权利,并不断丰富其理论内涵,可以迅速回应司法现实需要。
二、公开性并非公民个人信息的排除事由
《解释》第1条规定:“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”此概念是在肯定网络安全法确立的公民个人信息可识别性基础上进行的再次范围扩张,不仅在定义表述上增加了反映特定自然人活动情况,而且在列举时增加了财产状况和账号密码。至此,公民个人信息可以归纳为广义的可识别性信息(能够单独或者与其他信息结合识别特定自然人身份的信息)、活动情况(反映特定自然人活动情况的信息)和可能影响人身、财产安全的信息(如账号密码、财产状况)三大种类。从上述定义来看,个人信息权包含财产权和人身权的特点也一览无余,也可以得出公民个人信息不同于个人隐私的结论,二者具体表现为交叉关系。从侵犯公民个人信息罪的立法原意来看,该罪所保护的法益远不止隐私利益,《解释》中对公民个人信息的定义也未采用“涉及个人隐私信息”的表述方式,因此,隐私性并非公民个人信息的必要性条件。以此推知,公开的个人信息也可以成为侵犯公民个人信息罪的行为对象。即便相关信息已经公开,不属于个人隐私的范畴,仍有可能成为公民个人信息,如有关国家机关或者部门为救济、救助或者奖励而公示的公民个人信息。在本案中,部分工商企业信息中包含有法定代表人姓名、联系电话等内容,该部分信息可以在国家企业信用信息公示系统中查询,确实已不具有私密性,但是,上述信息相结合完全能够识别到特定自然人,属于可识别性公民个人信息。同时,《解释》第3条第2款明确规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外。”从立法本意上看,国家秉持对公民个人信息犯罪从严惩处的态度,即使通过合法手段获取的公民个人信息亦不能在未征得被收集者同意的情况下随意提供给他人。具体到本案,国家企业信用信息公示系统通过合法渠道收集工商企业信息并进行网络公开,但其设立目的是方便民众查询以确认企业信息是否真实有效。可以推断,在该系统进行公开之前,需要经过被收集者(企业法定代表人)的同意,同意的内容应该仅限于在该系统公开,而不包括同意其他人收集其信息并提供给他人。也就是说,行为人可以通过国家企业信用信息公示系统来查询收集相关信息供自己使用,但如果被告人在未征得被收集者同意的情况下收集整理,在未进行匿名处理的情况下提供给他人,按照《解释》第3条第2款的规定,应认定为提供公民个人信息。
作者:陈峰
单位:重庆市第二中级人民法院
案号:一审(2017)渝0154刑初342号
来源:《人民司法·案例》2018年第32期
显示全部
收起
显示全部
收起