為拓展裝修業務竊取房產交易信息行為之定性

張曉東

一、基本案情

犯罪嫌疑人龍某某系某房屋裝修公司（私企法人）經理；犯罪嫌疑人常某某、李某某系該公司業務員。為拓展公司業務，2021年1月至2022年5月，犯罪嫌疑人龍某某授意員工常某某、李某某前往本市“薄荷花園”“毓秀之都”等房產樓盤交付處，偷拍包括業主姓名、移動電話及房號的花名冊，先后獲取公民房產交易信息3000余條。此后通過撥打電話招攬裝修業務謀取非法利益，但具體數額無法查明。

二、分歧意見

本案在審查起訴環節，形成三種不同意見。

第一種意見認為，龍某某等3人行為的性質屬于民事侵權，不構成犯罪。理由是：龍某某等3人盡管實施了非法獲取公民個人信息的行為，但其主觀動機是發展本公司裝修業務，作為一種善意使用，客觀上也方便了有裝修需求的業主。從信息內容看，3人竊取的房產交易信息只包括業主姓名、手機號和房號等片面內容，不包含身份證號碼、銀行卡號等敏感內容，并非典型交易信息，且大多數業主并未實際入住該樓盤，因而屬于隱私性較弱、敏感性不強的普通個人信息，應適用“兩高”《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（下稱《解釋》）中規定的“5000條以上”定罪標準。本案中3名行為人所竊取信息查證屬實的只有3000余條，因而不構成犯罪。

第二種意見認為，龍某某等3人竊取公民個人信息盡管手段違法，但畢竟是出于拓展正當經營業務而為。根據“兩高”《解釋》第六條，“為合法經營活動而非法購買、收受本解釋第五條第一款第三項、第四項規定以外的公民個人信息，具有下列情形之一的，應當認定為刑法第二百五十三條之一規定的‘情節嚴重’：（一）利用非法購買、收受的公民個人信息獲利五萬元以上的……”。本案中，3名行為人獲取公民一般信息的行為雖然不屬于“非法購買、收受”，但屬于手段更為惡劣的非法竊取，根據“舉輕明重”原則，應適用《解釋》第六條規定，以獲利數額作為定罪追訴依據。但由于本案非法獲利具體數額無法查明，屬于事實不清、證據不足，故不宜按犯罪處理。

第三種意見認為，本案3名行為人所竊取的公民房產交易信息，將業主姓名與手機號碼、門牌號碼綁定在一起，已具備身份識別功能且涉及住所等隱私內容，是介于高度敏感信息與普通個人信息之間的相對敏感信息，從內容上看與《解釋》中規定適用“500條以上”定罪標準的“交易信息”相吻合。3名行為人總計竊取信息3000余條，數量遠遠超出該入罪標準，已構成侵犯公民個人信息罪。此外，由于《中華人民共和國刑法修正案（七）》（以下簡稱《刑法修正案（七）》）就侵犯公民個人信息罪規定了單位犯罪，而涉案裝修公司具備法人資質，3名行為人竊取公民房產信息體現的是單位意志和利益，應以單位犯罪論處。

三、評析意見

上述分歧意見中，筆者傾向于第三種意見。理由如下：

（一）伴隨風險社會持續深化，加強公民個人信息保護茲事體大

盡管個人信息兼具身份權、人格權、財產權等多重屬性，但侵犯公民個人信息罪的犯罪客體或法益，以個人隱私權為基本閥域。［1］現代漢語中，隱私權是指自然人依法享有的不公開與其私人生活有關的事實和秘密的權利。［2］本案中，3名不法行為人所侵害的樓盤交易信息，直接涉及公民住所、手機號等個人私密內容，無疑已危及公民個人隱私權。從學理上看，隱私權是一種對世權，目的在于對個人提供一種以人而不是以財產為目的的保護。其“價值在于個人自由和尊嚴的本質，體現于個人自主，不受他人的操縱及支配。”［3］因而，第二種意見所持“以獲利數額作為定罪追訴依據”之觀點難以成立。從隱私權的權利歸屬看，表現為“自然人享有的對其個人與公共利益無關的私人信息、私人活動和私人空間等私生活安寧利益自主進行支配和控制，不得他人襲擾的具體人格權”［4］。正是基于隱私權這一固有特點，侵權人主觀上是否具有“惡意”，是否通過侵犯隱私實際獲取重大非法利益，均不影響刑事犯罪的成立。本案中持出罪意見的觀點，或許確有統籌司法效果之考量，但無論從國家收緊公民個人信息保護法網的宏觀政策，抑或個人信息安全依然面臨的嚴峻形勢看，強化公民個人信息保護無論如何不存在“過量”一說。［5］盡管風險刑法并非積極主義刑法觀的唯一理論淵源，但兩者所著眼的問題和基本訴求趨同。積極刑法觀主張“刑事立法的活性化，表征的是立法者對社會問題的積極回應”。［6］風險刑法要求國家在社會秩序控制中由消極角色轉為積極角色，強調安全價值優位性。正因為如此，有學者直陳——“越是處于風險社會，就越應強調對隱私權的保護”［7］。應當看到，風險社會背景下，刑法不再耐心等待社會危害結果的出現，而是著重在行為的非價值判斷上，以制裁手段恫嚇、震懾帶有社會風險的行為［8］，具有邏輯自洽性與現實合理性?；蛟S正是基于對侵犯公民個人信息罪具有實然危害與或然風險疊加之特點，“兩高”《解釋》基于寬嚴相濟立場提出：“實施侵犯公民個人信息犯罪，不屬于‘情節特別嚴重’，行為人系初犯，全部退贓，并確有悔罪表現的，可以認定為情節輕微，不起訴或者免予刑事處罰；確有必要判處刑罰的，應當從寬處罰”。

（二）判別公民個人信息敏感程度，應以立法原意為根本標尺

我國刑法第253條之一規定的侵犯公民個人信息罪，是指違反國家有關規定，向他人出售或者提供公民個人信息，或者將在履行職責或者提供服務過程中獲得的公民個人信息出售、提供給他人，以及竊取或以其他方法獲取公民個人信息，情節嚴重的行為。司法實踐中，作為本罪犯罪對象的“公民個人信息”，主要包括公民的姓名、年齡、有效證件號碼、婚姻狀況、工作單位、學歷、履歷、家庭住址、電話號碼等可以識別公民個人身份或者涉及公民個人隱私的信息、數據資料。［9］進入新世紀以來，隨著信息技術深度普及，可識別的公民個人信息迅猛增加，非法侵犯公民個人信息的社會危害性也日益凸顯?！缎谭ㄐ拚福ㄆ撸泛汀吨腥A人民共和國刑法修正案（九）》兩度出臺強化公民個人信息保護相關規制后，為進一步統一司法尺度，2017年“兩高”聯合出臺司法解釋，進一步明確個罪中“公民個人信息”的范疇：“刑法第二百五十三條之一規定的‘公民個人信息’，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等”。同時，結合公民個人信息涉密涉敏程度，以及借助非法獲取個人信息獲利數額等，就“情節嚴重”進行了必要的類型化規制。

本案定性分歧之焦點，集中表現在對涉案信息敏感度存在不同認識。根據涉密、敏感程度的差異，《解釋》第5條規定了三個檔次的信息數量入罪標準，明確“非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上”，或者“非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上”，或者“非法獲取、出售或者提供第三項、第四項規定以外的公民個人信息五千條以上”，均屬于侵犯公民個人信息“情節嚴重”，應追究刑事責任之情形。本案中持前兩種意見的觀點，實質上是將上述《解釋》中的“交易信息”進行了人為限縮，將內容相對簡約的房產交易信息不當排除在“可能影響人身、財產安全的公民個人信息”以外，降格認定為“交易信息”以外的一般個人信息。筆者對此無法認同。首先，從文理上看，所謂“交易”，在現代漢語中意指“買賣商品”或“生意”。［10］本案中，包含房號、業主手機號及業主姓名的房產信息，合法管理、使用的主體是代表房屋開發方的售樓處，體現的是作為“賣主”的房屋開發方與作為“買主”的購房業主之間的房產交易關系。將這種基于買賣合同產生，由樓盤交付處登記、管理、使用的房產信息排斥于“交易信息”之外，不僅有悖文理，而且不符合常情常理。如此內容多元、相對完整的房產信息一旦泄露給電信詐騙等不法分子，事實上很難避免“可能影響人身、財產安全”的問題發生。其次，從法理上看，根據2021年11月1日起實施的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第28條，“敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息”。本案中，集房號、業主手機號和業主姓名“三位一體”的房產信息，不僅足以反映特定公民的行蹤軌跡，而且直接關涉公民私人生活，既可獨立體現特定自然人的經濟狀況，亦可與其他信息相結合進一步識別具體身份，因而與職業、學歷等一般公民個人信息判然有別。就此，誠如有學者所論及，“《解釋》將敏感個人信息劃分為‘行蹤軌跡信息、通信信息、征信信息、財產信息’一檔和‘住宿信息、通信信息、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息’一檔。侵犯不同級別的敏感個人信息，認定‘情節嚴重’的標準也不同”［11］。

（三）本案并非一般共同犯罪，而是有組織有預謀的單位犯罪

我國刑法中的單位犯罪，是指由公司、企業、事業單位、機關、團體基于本單位意志，由其單位成員實施的依法應當承擔刑事責任的危害社會的行為。［12］單位中自然人實施的行為之所以有必要評價為單位行為，根本上在于其體現的是單位的意志和利益而并非個人合意的簡單疊加。關于侵犯公民個人信息罪的犯罪主體，我國刑法第253條之一規定了自然人犯罪和單位犯罪雙重主體。根據刑法第253條之一第4款，“單位犯前三款罪的，對單位判處罰金，并對直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰”。本案中，某房屋裝修公司員工常某某、李某某在本公司經理龍某某授意、指使下，前往本市相關樓盤交付處秘密竊取房產交易信息多達3000余條，并將所竊取信息用于本單位利益，其行為完全符合單位犯罪的本質特征。

毋庸諱言，房屋建造與裝潢存在關聯，本案中涉案公司對所竊取房產信息的使用，截至案發并未超出其日常業務，因而表面上看行為人主觀惡性不大，甚至“情有可原”。但問題在于，非法竊取和使用公民房產信息數量或者獲利數額較大，本身即對公民隱私權構成嚴重威脅，違背“任何人不因不法行為獲利”原則；無論從國內立法還是域外立法看，侵犯公民個人信息罪的成立，并不以特定動機和目的為責任要件。現實中，非法竊取公民個人信息的行為，對被害人人身、人格、名譽或財產安全通常具有顯性與潛性疊加的嚴重危害。大數據時代，信息泄露更是無異于將被害公民推向“裸奔”境地，為電信詐騙、綁架、強奸、故意傷害、故意殺人等次生惡性犯罪埋下伏筆。就市場主體而言，信息固然屬于不可或缺的生產要素，但“君子愛財，取之有道”。在我國，“經營者收集、使用消費者個人信息，應當……經消費者同意”，早已明文載入《中華人民共和國消費者權益保護法》；近年頒布的民法典和《個人信息保護法》［13］亦立足“民法典在中國特色社會主義法律體系中具有重要地位，是一部固根本、穩預期、利長遠的基礎性法律”［14］，以及公民信息安全保障之重要部門法之定位，分別就公民個人信息保護作出嚴格規約。鑒此，對于未經授權、同意而竊取、使用消費者信息推銷商品和服務，達到一定數量、規模或產生較為嚴重后果的行為，只有嚴格依法處理，才能防止“破窗效應”，切實滿足人民群眾安全感。

*浙江省義烏市人民檢察院第九檢察部四級高級檢察官［322000］

［1］ 除“隱私權說”以外，較有代表的觀點如“信息自決權說”“信息專有權說”等等。前者提出，基于人權和自由的保護，人應當獨立自主掌控個人信息，對個人信息享有法律上的自主決定權；后者則是以“信息自決權是網絡時代一種新型人格權”為前提，認為侵犯公民個人信息罪侵害的法益是“具體的有權利實質內涵的信息專有權，即法定主體擁有對其個人信息的處分權限”。參見程嘯：《論大數據時代的個人數據權利》，《中國社會科學》2018年第3期；徐楠：《信息社會公民個人信息權的刑法保護》，趙秉志、陳澤憲、陳忠林主編：《改革開放新時代刑事法治熱點聚焦》，中國人民公安大學出版社2018年版，第1143頁。

［2］ 參見《辭?！?，上海辭書出版社2020年版，第5273頁。

［3］ 王澤鑒：《人格權法：法釋義學、比較法、案例研究》，北京大學出版社2013年版，第 179頁。

［4］ 楊立新：《人格權法》，法律出版社2015年版，第259頁。

［5］ 繼2016年山東臨沂發生震動全國的“徐玉玉事件”后，山東理工大學宋振寧遭電信網絡詐騙猝死案、廣東省高考錄取新生蔡淑妍遭電信詐騙自殺溺亡案等命案接連爆出，由此引發對公民個人信息安全保護、網絡虛擬運營商監管等社會問題的深層追問。參見胡雨丹：《撐起“保護傘”：大數據時代公民個人信息刑法保護研究》，載趙秉志、陳澤憲、陳忠林主編：《改革開放新時代刑事法治熱點聚焦》，中國人民公安大學出版社2018年版，第1172頁。

［6］ 勞東燕主編：《刑法修正案（十一）條文要義》，中國法制出版社2021年版，第1頁。

［7］ 劉艷紅：《公共空間運用大規模監控的法理邏輯及限度——基于個人信息有序共享之視角》，《法學論壇》2020年第2期。

［8］ 參見林東茂：《危險犯與經濟刑法》，臺灣五南圖書出版公司1996年版，第15頁。

［9］ 參見張明楷：《刑法學》，法律出版社2016年版，第921頁。

［10］ 參見《現代漢語詞典》，商務印書館2005年版，第681頁。

［11］ 劉憲權：《敏感個人信息的刑法特殊保護研究》，《法學評論》2022年第3期。

［12］ 參見林亞剛：《刑法學教義》（總論），北京大學出版社2014年版，第138頁。

［13］ 比如，我國《個人信息保護法》第10條規定，“任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動”。民法典第1035條規定，處理個人信息應遵循合法、正當、必要的原則。

［14］ 習近平：《實施好民法典》（2020年5月29日），載《習近平談治國理政》（第四卷），外文出版社2022年版，第281頁。