侵犯公民個人銀行卡信息實務疑難問題探析

文◎吳超令

一、基本案情

被告人李某自2016年以來在網上通過QQ向上家購買了大量公民個人銀行卡信息 （每條信息多數含有儲戶姓名、公民身份號碼、銀行卡號、密碼、聯系電話，一部分沒有對應的密碼、聯系電話），后又通過QQ向他人出售牟利。經查證，李某向肖某出售該類信息十萬余條，向孫某等二十余人出售幾百至幾萬余條不等的該類信息。其中，肖某系某公司風險管理部員工，因其所任職公司目前擁有大量的錢包用戶，這些用戶把自己的銀行卡綁定在錢包上用于網絡購物，該公司向該類用戶提供了信用支付業務。肖某從李某處購買的銀行賬戶信息，用于與在公司注冊的錢包用戶進行比對，進行風險防控。

二、分歧意見

近年來，侵犯公民個人信息犯罪案件處于高發態勢，由于個人信息泄露引發的與之關聯的詐騙、盜竊、敲詐勒索、綁架等案件頻發，對人民群眾的人身和財產安全造成極大的威脅。有鑒于此，《刑法修正案（七）》增設了《刑法》第253條之一，規定了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪。 《刑法修正案（九）》又對《刑法》第253條之一作出修改完善，并將罪名整合為 “侵犯公民個人信息罪”。2017年 5月 9日，最高人民法院、最高人民檢察院發布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）。由此，我國初步形成了保護公民個人信息的刑法保護體系。

在辦理案件的過程中，我們發現該案的分歧點主要集中在兩個方面：（1）在辦理李某、肖某等侵犯公民個人信息犯罪系列案件的過程中，涉及到他們出售或者非法獲取的銀行卡信息是否是財產信息的認定問題；（2）為合法經營活動購買銀行卡信息是否構成犯罪？

三、評析意見

（一）對銀行卡信息認定為財產信息的把握和界定

根據《解釋》規定，非法獲取、出售或者提供財產信息50條以上的，應當認定為《刑法》第253條之一規定的“情節嚴重”，構成侵犯公民個人信息罪。

對上述解釋中財產信息的理解有兩種不同的觀點：一種觀點認為，只要是非法獲取、出售涉及有關個人財產信息的內容，不論內容真假，即使根據這些信息無法查詢到相關個人的財產狀況，也可以認定為財產信息，如銀行卡信息的內容要素只要包括姓名、銀行卡號、身份證號碼就可以認定為財產信息，不需要密碼，也不需要能夠查到銀行卡里的余額信息。另一種觀點則主張，財產信息的認定應當從嚴把握，一方面，財產信息必須查證屬實，另一方面，財產信息包括的內容應當能夠查詢到相應個人的財產狀況，如銀行卡信息的內容要素包括了姓名、銀行卡號、身份證號碼、密碼、手機號碼等，能夠查詢到該人銀行卡里的余額，即可認定為是財產信息。

我們同意第二種觀點。理由是：

最高人民法院有關人員撰寫的 《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋〉的理解與適用》中談到：“對于財產信息，可以根據案件具體情況把握：既包括銀行賬戶、第三方支付結算賬戶、證券期貨等金融服務賬戶的身份認證信息（一組確認用戶操作權限的數據，包括賬號、口令、密碼、數字證書等），也包括存款、房產等財產狀況信息。”［1］根據這一理解，筆者認為，財產信息必須是能夠通過一組確認用戶操作權限的數據直接或者間接查詢到用戶個人的財產狀況，或者是直接含有財產狀況的信息。所以，金融服務賬戶的身份認證信息的內容應當是一組確認用戶操作權限的數據，通過這些數據內容可以查詢到個人財產狀況的，才可以認定為財產信息。雖然有數據，但是內容要素不全、不完整，甚至不準確，無法查詢到財產狀況的，則不能認定為財產信息。

（二）司法實務認定銀行卡信息為財產信息的具體做法

結合這一觀點，具體到辦理李某、肖某等人侵犯公民個人信息案件中關于銀行卡信息是否能認定為財產信息的問題主要有兩個：

第一，這些銀行卡信息是否可以直接認定為財產信息。筆者認為，由于侵犯財產信息50條即構罪，對這些銀行卡信息認定為財產信息應當嚴格把握。這些銀行卡信息如果包括了姓名、銀行卡號、身份證號碼這三項內容或者其中的兩項內容，由于數據權限不夠，尚無法查詢到銀行卡的余額信息，不能認定為財產信息。如果再加上密碼或者手機號碼等內容，可以查詢到銀行卡內余額，才可以認定為財產信息。

第二，要不要核實這些銀行卡信息的真實性。因為這些銀行卡信息的內容有些是錯誤的，如卡號、姓名、手機號碼、密碼都可能會出現錯誤。我們在辦案中發現，被告人出售的銀行卡信息的真實性均存在一定的問題，甚至存在摻假的可能性，有的信息的正確率僅為 50%左右。《解釋》規定：“對批量公民個人信息的條數，根據查獲的數量直接認定，但是有證據證明信息不真實或者重復的除外”，這里確定了對公民個人信息的“批量認定規則”。根據這一規定，侵犯公民個人信息案件的涉案信息數量有批量與非批量之分。對于批量信息一般可予以直接認定，直接認定的對象包括涉案公民個人信息的兩個方面：內容的真實性和數量的有效性。但鑒于這里的直接認定是相對推定，如果在有證據證明涉案信息不真實或者重復的情況下，相關信息應予以排除。［2］但對于非批量信息，尤其對于一些被告人僅出售或者非法獲取幾百條的信息，直接關系到行為人的罪與非罪，驗證這些信息的真實性也顯得尤為必要。筆者認為，辦案機關應當核實至少達到構罪要求的50條以上為真實才能定罪。

本案李某所出售的信息可謂海量，而且，已經有證據證明涉案信息存在大量不真實的情況。但對司法機關而言，一方面，由于信息數量龐大，對信息內容的真實有效性一一核實并不現實。另一方面，只要海量信息中存在一個虛假的信息，對這些信息整體認定的真實性就會存疑。當抽取的信息被認定虛假后，其他信息是否需要一一篩查，需要使用何種核實方式才能得出有說服力的結果，是司法實踐中的一大難題。［3］

為了核實這些銀行卡的信息，我們在司法實務中所采取的做法是：第一，要求偵查機關向銀行提供被告人出售或非法獲取的這些銀行卡信息進行核對。銀行根據偵查機關提供的這些信息，從銀行系統中調取到這些相對應的銀行卡的真實信息，我們再進行核對至少50條以上。由于銀行提供的這些真實的銀行卡信息內容一般包括姓名、銀行卡號、身份證號碼和余額，但余額信息是變化的，目前我們只能核對姓名、銀行卡號、身份證號碼這三項信息的真實性。第二，通過第一步確定了被告人出售的相應銀行卡信息上述三項信息為真實的基礎上，要求偵查機關在做錄音錄像的情況下，再進行電話銀行查詢，一般銀行要求在輸入卡號、身份證號碼的基礎上，還要輸入密碼或者手機號碼才可以查詢到相應銀行卡余額信息。［4］由此，才能確定該信息是財產信息。這種做法可以稱之為“底線取證”方法，在大數據時代能夠降低取證難度，實現證明方法的簡易化。但這種方法只能解決定罪問題，對于量刑問題力有未逮，是否符合科學的證據認定規則也還值得進一步研究。對此，有觀點提出應當運用統計學方法確立一套適用于刑事領域海量證據的“抽樣檢驗規則”，實現證據認定的科學化。［5］我們贊同這種觀點。

（三）為合法經營活動購買銀行卡信息的定性

關于肖某從李某處購買的銀行賬戶信息，用于與公司錢包用戶進行比對，進行風險防控是否構成犯罪，存在分歧意見：一種觀點認為，肖某購買的個人銀行卡信息后，通過對被泄露的用戶數據與公司用戶注冊的賬號做匹配，從而對風險隱患賬號采取更加嚴格的安全驗證措施，防止被盜用、冒用，這種行為系保護用戶權益的行為，沒有社會危害性，不具有刑事可罰性。另一種觀點認為，雖然肖某為合法經營活動購買財產信息，但目的正當不能證明手段合法，本案購買財產信息作為手段具有違法性，如果達到《解釋》規定的入罪標準的，可以認定為侵犯公民個人信息罪。

我們同意第二種觀點。主要理由是：

第一，被告人肖某購買的十余萬條信息在被肖某所在部門用于比對注冊用戶的賬戶過程中已被部分人員掌握，該公司部門卻沒有做好涉案信息的保密制度和保護措施，信息泄露流失的風險極大。

第二，購買是當前非法獲取公民個人信息的主要方式之一，購買個人銀行卡信息對出售信息的行為提供了條件、空間，客觀上促進了上游犯罪的實施。而且,購買往往是后續出售、提供的前端環節,沒有購買就沒有后續的出售、提供。［6］正所謂“沒有買賣就沒有傷害”，在以利益為紐帶的侵犯公民個人信息犯罪產業鏈中，購買行為是最具有根本意義的行為。［7］

第三，出售與購買之間屬于對向行為。按照對向共犯理論中的“立法者意思說”，如果出售行為被規定為犯罪，沒有規定對向的購買行為為犯罪的，那購買行為不應當被認定為犯罪，但如果明確規定購買行為也是犯罪的，則應認定為犯罪。刑法規定侵犯公民個人信息罪的行為方式是“竊取或者以其他方法非法獲取”。《解釋》第4條明確：“違反國家有關規定，通過購買、收受、交換等方式獲取公民個人信息，或者在履行職責、提供服務過程中收集公民個人信息的，屬于刑法第二百五十三條之一第三款規定的‘以其他方法非法獲取公民個人信息’”。這里明確規定購買個人信息可以構成犯罪。

第四，《解釋》第6條規定：“為合法經營活動而非法購買、收受本解釋第五條第一款第三項、第四項規定以外的公民個人信息，具有下列情形之一的，應當認定為刑法第二百五十三條之一規定的 ‘情節嚴重’：（一）利用非法購買、收受的公民個人信息獲利五萬元以上的；（二）曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰，又非法購買、收受公民個人信息的；（三）其他情節嚴重的情形。實施前款規定的行為，將購買、收受的公民個人信息非法出售或者提供的，定罪量刑標準適用本解釋第五條的規定。”必須強調的是，按照體系解釋的原理，這里與《解釋》第4條的規定是一致的，并沒有排除為合法經營活動而購買個人信息的構罪可能性，而是將為合法經營活動而非法購買普通公民個人信息基于行為人使用目的和刑事政策的原因而提高了入罪門檻，但考慮到可能影響人身、財產安全的敏感信息的特別重要性［8］，還有“本解釋第五條第一款第三項、第四項規定以外的公民個人信息”這樣的除外規定。這一除外規定并不是說這些購買行為不再構成犯罪，而是說購買可能影響人身、財產安全的敏感信息的入罪門檻沒有提高。也就是說，這里已將購買財產信息50條以上的排除在為合法經營活動而非法購買的特殊處理情形之外。所以，肖某購買公民銀行卡信息十萬余條，構成侵犯公民個人信息罪。

（四）進一步的思考：個人（財產）信息刑法保護的限度

基于罪刑法定原則和刑法的謙抑性，刑法對個人（財產）信息的保護不是無限制和肆意的，而是必須保持一定的限度，這是基于個人信息保護與信息披露的沖突和制衡，也是實現個人信息保護與有序利用、自由流通的平衡。［9］《解釋》的規定也體現了上述精神。筆者認為，在司法實務中，辦理侵犯公民個人信息案件應當注意以下幾個方面：

首先，具有法律授權的個人信息使用不應認定為犯罪。公安機關在辦理上述李某、肖某等案件過程中，出于核實銀行卡信息真實性的需要向銀行調取涉案個人信息，但銀行出于保護用戶賬號安全的考慮，拒絕向辦案機關提供涉案銀行卡的密碼。實際上，司法行政機關出于偵查等社會公共利益的需要調取個人信息是有法律強制性規定授權的，銀行等金融機關無權加以拒絕。也就是說，有法律授權的個人信息使用，是正當行為，不應認為是違法犯罪。

其次，經過權利人同意的個人信息使用不應認定為犯罪。被害人同意或承諾是違法阻卻事由之一。同樣，個人信息經過權利人同意或承諾，相關機構予以披露并不會侵害公民的信息保護權。在我們提前介入一起公安機關辦理的侵犯公民個人信息案件中，我們發現涉案人員在出售的個人信息中有相當一部分是事先經過公民個人同意的，我們要求公安機關查清涉案個人信息事先經過同意的部分和沒有經過同意的部分，只有后一部分才有考慮構罪的可能性。

最后，侵犯公民個人信息行為既可以是犯罪行為也可以是違法行為，需要通過行為程度來區分罪與非罪，侵犯公民個人信息罪的罪量要求“情節嚴重”也體現了刑法保護的限度要求。對于“情節嚴重”的判斷，可以綜合考慮行為次數、手段、信息數量、損害結果、主觀內容等方面，對“情節特別嚴重”的判斷同樣如此，因為合理區分罪輕與罪重，也事關被告人的人權保障。如上述肖某購買財產信息有十萬余條之多，雖然達到《解釋》規定的“情節特別嚴重”的標準，但其主觀目的用途在于其所在任職公司的風險防控，按照階層犯罪理論，其具有責任減輕事由，不宜認定為“情節特別嚴重”。

注釋：

［1］周加海、鄒濤、喻海松：《〈關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋〉的理解與適用》，載《人民司法》第19期。

［2］參見江奧立、薛阿敏：《三方面準確把握‘批量認定規則’》，載《檢察日報》2017年10月 11日第3版。

［3］參見李玉萍：《侵犯公民個人信息的實踐與思考》，載《法律適用》2016年第 9期。

［4］由于銀行出于保護用戶賬號安全的考慮，拒絕向司法機關提供涉案銀行卡的密碼，所以，辦案機關無法直接核對。我們要求偵查機關通過這種方式核對實在是不得已而為之，但要求偵查機關在核對時做好相關程序保障和保密措施。當然，銀行的拒絕是不對的，后文對此有進一步論述。

［5］參見最高人民檢察院檢察理論研究所課題組：《互聯網領域侵犯公民個人信息犯罪問題研究》，載《人民檢察》2017年第 2期。

［6］喻海松：《侵犯公民個人信息罪司法適用探微》，載《中國應用法學》2017年第 4期。

［7］參見王肅之：《侵犯公民個人信息罪行為體系的完善》，載《河北法學》2017年 7月第 35卷第 7期。

［8］同［1］。

［9］參見李振林：《非法利用個人金融信息行為之刑法規制限度》，載《法學》2017年第 2期。