個人信息商業使用的刑法風險及規制

吳宸敏

華南理工大學，廣東 廣州 510006

一、個人信息商業使用行為概述

近日，廣東省公安廳組織開展的“凈網7 號”專案收網行動打掉了特大侵犯公民信息團伙，抓獲犯罪嫌疑人130 余人，查獲公民個人信息2億余條。該涉案公司為獵頭搜網站，被立案調查的原因是該網站邀請用戶上傳、共享其所在公司的員工簡歷，這些數量巨大的個人信息涉及各行各業，涉嫌非法獲取、提供公民個人信息犯罪。當前，商業主體侵犯公民個人信息的情形越來越嚴重，許多網絡服務需要公民提供個人信息，而且目前存在大量網絡爬蟲信息抓取技術可以沖破網絡保護屏障直接抓取到被保存在信息庫的信息，商業主體使用公民個人信息的情況大量存在，讓許多用戶的公民個人信息暴露在高風險之中。商業主體因為經營領域不同對公民個人信息商業使用的行為方式也不同，總體而言，公民個人信息商業使用的方式分為數據處理、市場營銷和個人信息交易。數據處理是指商業主體處出于最大化開發信息使用價值的需求，采用相應的統計學方法對海量的個人信息進行整理分析，以此提高個人信息的價值。市場營銷是指商業主體通過向特定或不特定的公眾進行宣傳、推銷商品和服務，包括直銷和目標營銷。這兩種商業使用行為更多會給公眾帶來諸如針對性廣告投放等困擾，也可能存在其他不可預知的危害，而刑事風險最大的是第三種商業使用方式即個人信息交易。

個人信息交易是指商業主體將個人信息作為交易對象準予第三方進行使用、交換和轉讓等商業目的的行為。例如，經營新浪微博的A 公司和經營脈脈軟件的B 技術科技公司簽訂的《開發者協議》約定脈脈軟件可以接入新浪微博開放平臺獲取微博平臺上包括用戶名稱、性別、頭像、郵箱等相關用戶信息，即脈脈軟件被運行使用新浪微博所收集的個人信息及相關訪問數據。個人信息交易的雙方都因日常業務行為都會接觸到龐大個人數據，個人信息交易的商業行為背后隱含著極大的侵犯公民個人信息風險，甚至造成由個人信息犯罪引起的詐騙罪、敲詐勒索罪等。與普通的侵犯公民個人信息犯罪相比，由商業行為引起的公民個人信息犯罪涉及數量和范圍更大，與個人隱私、個人資金等相關狀況聯系更緊密。

二、公民個人信息商業使用的司法解釋分析

《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）在《網絡安全法》的基礎上，進一步明確了公民個人信息具有身份識別信息和活動情況信息。商業使用中的公民個人信息大多涉及了姓名、通訊方式、住址、賬號密碼、財產狀況等，與用戶自身的結合識別性特別高，即使商業主體在商業使用時采取去識別化技術對個人信息的敏感部分采取刪除或模糊處理，但是為達到犯罪目的的行為人依然可以通過網絡技術將信息數據與自然人身份進行排列匹配，還原出特定自然人的具體個人信息，從而造成社會危害。因此，為防止個人信息犯罪的發生，運用刑法規制個人信息商業使用行為很有必要，我國《刑法》第253 條之一規定了侵犯公民個人信息罪，同時《解釋》進一步細化了公民個人信息商業使用行為的認定問題。本罪的主體是一般主體，其中又對將在履行職責或者提供服務過程中獲得的公民個人信息、出售或者提供給他人的行為主體進行從重處罰。客觀方面主要表現為違法國家規定非法提供、出售公民個人信息，以及非法獲取公民個人信息情節嚴重的行為；主觀方面是故意，過失不構成本罪；客體是包括公民的人身權利、民主權利和社會管理秩序在內的雙重法益。前文所述的個人信息商業使用行為在實踐中都有可能產生刑事風險，具體到本文，公民個人信息商業使用行為的認定問題主要為以下方面：

（一）商業主體“為合法經目的”的認定

《解釋》第六條規定為合法經營活動購買、收受其他公民個人信息具有規定的情節嚴重行為的情形，包括利用非法購買、收受的公民個人信息獲利5 萬元以上的；曾因侵犯公民個人信息受過刑事處罰或者2 年內受過行政處罰，又非法購買、收受公民個人信息的和其他情節嚴重的情形。與一般的非法購買、收受公民個人信息行為相比，該特殊標準是從秉持刑法謙抑性的角度出發設立的，目的是為了更好地規制在商業環境下為合法經營活動而購買、收受個人信息的行為，考慮到此類行為社會危害性不大，即使構成犯罪，通常也不需要升檔量刑，故只規定了“情節嚴重”的具體情形。在認定商業主體主觀上屬“為合法經營”時，要綜合以下三點：其一，結合全案證據認定涉案商業主體經營的商業活動是否屬于合法經營活動，一般來說，合法經營活動與非法行為相對應，結合《刑法》規定的非法經營罪可以得知，合法經營活動可以總結為公司的資質是經過國家有關主管部門批準的、開展的業務是合法合規且有經營許可證或批準文件的，經營活動遵循市場規律、不擾亂市場秩序，其中又要重點審查商業主體的經營業務行為是否違法，而不是將目光聚焦在經營者在經營過程中是否有一般違法情況。其二，適用該條解釋的侵犯公民個人信息行為僅限購買和收受，后續諸如出售、牟利等行為不適用本條款，將購買、收受的公民個人信息非法出售或者提供的，定罪量刑標準適用《解釋》第五條的規定，如果為了合法經營活動交換公民個人信息的，由于在獲取信息的同時造成了信息擴散，定罪量刑標準亦適用第五條。其三，適用該條解釋的公民個人信息類型排除行蹤軌跡信息、通訊內容、征信信息、財產信息以及住宿信息、通訊記錄、健康生理信息、交易信息等，因為這些信息關系到公民個人隱私、人身安全和財產安全等敏感信息，能夠引發極其嚴重的社會危害性，已然超出商業使用目的的范圍。其四，在認定商業使用行為時，要把握好“非法購買、收受的公民個人信息”與“合法經營并獲利”的對應關系，即非法購買、收受的公民個人信息確系被用于合法經營活動，且這部分合法經營活動部分獲利達到了五萬元以上。實際案例中，單次購買、收受的個人信息數量是非常龐大的，但事實上不是所有的信息都能被用于商業目的上，其必然會從中甄選出必要的有用信息，因此不能簡單地依靠購買、收受的數量定罪量刑，要綜合全案證據并按實際用于合法經營活動的數量進行認定。

（二）商業主體間交換公民個人信息的認定

在商業領域中，相近業務間的商業主體有著相同的客戶需求，如果商業主體之間通過簽訂合同的形式交換客戶信息，事實上也侵犯了信息主體的權益。最高院解讀《解釋》中說明，第六條規定的為合法經營活動目的而收受個人信息的行為不包括交換個人信息行為，因為交換行為會讓信息在交換的過程中造成信息擴散，是一種造成個人信息二次泄露的行為，其目的已超過為合法經營目的的范疇，屬于非法獲取、出售和提供公民個人信息。與《解釋》第六條規定的不同的是，為合法經營活動目的購買、收受公民個人信息行為側重于獲取，而交換行為不僅有獲取行為還包含了傳播個人信息的行為，這種交換行為雖然發生在商業主體之間，但不可否認的是個人信息已進行了多次的轉移，隨著接觸的商業主體數量的增加，個人信息泄露等風險也不斷增加。商業環境中若因為商業目的交換客戶的個人信息，造成嚴重后果的，以《解釋》第五條進行規制。該行為的定性關鍵在于獲取行為，交換行為應事先得到信息主體的同意才可進行，不得違背個人信息主體的意愿，否則各商業主體間相互提供和持有的行為實際上已經違反了法律規定。楊某等侵犯公民個人信息案（案號：［2018］蘇01 刑終650 號）的辯護人辯稱涉案兩公司間存在業務合作關系，被告人獲取客戶信息也屬于正常的業務往來，即非購買、也非竊取，不屬于“非法獲取”行為。而江寧區檢察院在起訴書中指控，某汽車服務公司從某保險銷售公司處獲取的69 萬余條公民個人信息屬非法獲取公民個人信息行為，通過收受、交換等方式獲取公民個人信息，或者在履行職責、提供服務過程中收集公民個人信息的，屬于“以其他方法非法獲取公民個人信息”，這種交換行為實質上已經制造了危險。

（三）為經營活動而非法收集、使用公民個人信息的認定

商業主體因為和客戶形成較為緊密的關系，因此在履行職責和提供服務過程中具有收集客戶個人信息的便利，某視頻APP 就因擅自違規收集和使用用戶信息數據而被起訴，法院裁定其應立即停止侵犯公民個人信息的行為。《網絡安全法》第41 條規定：“網絡運營收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經收集者同意。”收集用戶個人信息前，商業主體必須以明示的方式告知個人信息主體，告知內容包括收集方式、收集范圍以及使用目的，不得以拒絕提供服務等方式強制用戶同意。當前，《刑法》未將“非法使用所掌握的公民個人信息行為”入罪，但是單純的非法使用行為不能單獨入罪并不意味著商業主體可以隨意使用公民個人信息，一旦造成了情節嚴重的后果，依然可以根據后果進行入罪。有人認為商業主體已經獲得了用戶的同意而進行收集個人信息，因此其可以隨意使用其所合法收集的個人信息，事實上，使用行為的侵害性質并不會因為信息主體是否同意而有所改變。當今，公民經常以通過同意商業主體使用個人信息的方式自愿向外界公開自己的信息以換取網絡服務，與此同時，公民披露自己的個人信息也就意味著一定程度上接受了個人信息被侵害的風險，有觀點認為這種行為屬于刑法上的危險接受。然而，公民作為被害人雖然選擇接受危險，但接受的僅僅是同意商業主體可以收集和使用其個人信息，并沒有接受所帶來的諸如被綁架、被詐騙等危險結果的發生，就像被害人明知行為人醉酒駕車而選擇搭乘，后發生了被害人受傷甚至死亡的結果，這種結果并不是被害人同意的，其僅僅同意的是醉酒駕駛的行為。這也就表明，商業主體不可以為所欲為地制造危險結果或者形成危險狀態，目前個人信息的法益保護逐漸向“超個人法益”發展，從公民社會和國家的角度出發，刑法保護公民個人信息不但是保護公民的個人信息權，還保護著社會公共秩序。由于侵犯公民個人信息行為越來越成為電話詐騙、網絡詐騙、綁架和非法拘禁等犯罪的前端行為，不僅危害到了公民的個人隱私、金融安全，還危害到部分國家機關和金融、電信和教育等行業，因此對于公民個人信息在商業環境中被濫用的情形，可以根據相關行為造成的危害社會程度進行入罪。

（四）“獲利”數額的認定無需扣除犯罪成本

個人信息商業使用行為是典型的獲利行為，且獲利數額又是定罪量刑的重要依據，因此還存在一個爭議問題就是侵犯公民個人信息罪中行為人的獲利數額是否需要扣除犯罪成本。本文認為不論是侵犯公民個人信息罪還是其他刑事犯罪，違法所得的認定都不應扣除成本。尤其是侵犯公民個人信息犯罪，無論是獲取、收受行為，還是后續的販賣等行為，都是法律所禁止從事的活動，即使是成本也是構成犯罪獲利的一部分，而且入罪的根據是“違法所得”數額，因此在認定違法所得數額的時候不應當扣除成本。最高院公布的示范案例杜某某侵犯公民個人信息案（案號：［2017］魯1311刑初332 號），法院認定的違法所得是被告人出售其非法獲取的公民個人信息所獲得的數額，其中沒有扣除其花費的成本，可以看出司法實踐中傾向于行為人的獲利數額不需要扣除犯罪成本。

三、總結

大數據網絡時代的發展使得商業環境中使用公民個人信息的情形越來越普遍和頻繁，同時公民個人信息很可能被技術抓取或被商業主體進行變賣和交換，因此侵犯公民個人信息罪的設立和《解釋》的發布更細化指引規制個人信息商業使用的行為。在認定侵犯公民個人信息罪時，首先要結合全案證據認定商業主體的經營行為是否屬于合法經營活動，為合法經營目的購買、收受非敏感個人信息外的行為以《解釋》第六條進行規制，否則屬于為非法目的侵犯公民個人信息。其次，多個商業主體間交換個人信息會造成信息的二次擴散，使得信息的泄露范圍擴大，造成的侵犯程度更加嚴重，因此應認定為非法獲取、出售或提供公民個人信息。再者，商業主體未經信息主體允許不得收集或使用用戶個人信息，即使商業主體獲得了信息主體的同意或授權，也不得超出為合法經營目的進行濫用，將以與造成后果的行為相關的罪名進行規制。最后，本罪的入罪有具體數額規定，在認定獲利數額的時候，由于侵犯公民個人信息行為所具有的非法性，不應該扣除違法成本。