“非法獲取型”侵犯公民個人信息罪的認定

馬駿

摘 要：侵犯公民個人信息罪主要包括“非法獲取”與“非法提供”兩種情形，應當基于法益保護目的，結合信息網絡犯罪的特點審查判斷證據，認定犯罪事實。非法獲取公民個人信息行為往往是信息網絡違法犯罪的發端，對其從嚴打擊符合網絡犯罪前端治理的需求；根據社會一般觀念，行為人辯解的獲取方式不具有合理性時，應當排除該辯解，把不具有“合法性”的“非法持有”推定為“非法獲取”具有實踐合理性；當前理論上有對“非法獲取”進行擴大解釋的觀點，應當通過對獲取、使用方式等“合法性”“合理性”的認定來制約“非法獲取型”侵犯公民個人信息罪的不當擴張，實現打擊犯罪與保障人權的平衡。

關鍵詞：非法獲取 侵犯公民個人信息罪 非法性 推定

一、“非法獲取型”侵犯公民個人信息罪的認定難題

侵犯公民個人信息罪主要包括“向他人出售或者提供”“竊取或者以其他方法非法獲取”兩種行為模式，從行為人的角度，涵蓋了對公民個人信息的“非法獲取”與“非法提供”兩種類型。不同于對毒品、槍支等其他有形違禁品的規定，刑法對侵犯公民個人信息罪沒有就居于“獲取”和“提供”中間地帶的“持有”“私藏”行為作出明確規定，犯罪嫌疑人往往就信息的來源做出辯解，或者供述的合法來源方式難以查證，從表面上看認定“非法獲取”的證據不充分，造成司法適用的爭議。

［基本案情］2019年至2021年，靳某與王某共同從事買賣微信賬號、支付寶賬號牟利的活動。因實名的賬號價格高于非實名賬號，為獲取更多利益，靳某購買公民個人信息注冊賬號后再進行交易。2019年，靳某通過某購物平臺購買了《引流大全》電子書，掃描該書籍內的二維碼加入了某引流微信群，通過該群群主，以500元的價格通過電子支付方式購買了大量公民個人信息。靳某在電子郵箱下載信息后經U盤拷貝到涉案電腦，并將部分信息用于注冊賬號并轉賣牟利。公安機關現場扣押了涉案電子數據，經電子勘驗，共包含15萬余條公民個人信息；從靳某使用的手機中調取了《引流大全》電子書購買記錄；現場扣押了45部手機及記賬本，記賬本載明了賬號銷售日期、數量、價格等，但具體賬號難以核實，賬號與公民個人信息的對應關系無法確定。靳某供述的出售公民個人信息的群主身份未能落實，而相關時間段內靳某有5筆交易金額為500元的電子支付記錄，5名交易對手均否認出售公民個人信息（其中2人從事微信引流、代打游戲升級的工作），靳某用于接收電子數據的郵箱已經清空、用于拷貝傳輸數據的U盤已經遺失。

根據現有證據，靳某作為該宗公民個人信息的非合法持有主體，“非法持有”大量公民個人信息并且“非法使用”，其“非法性”足以認定，但是其“非法獲取”的證據鏈不夠完善。有觀點認為，來源渠道僅有被告人供述，沒有交易對手信息，出售者身份未落實，“非法獲取”行為本身缺乏足夠的證據支撐，該案事實不清、證據不足；也有觀點認為，在“非法持有”的情形下，“獲取”不需要另外證明，重點在于獲取方式的“非法性”，有證人證言、平臺交易截圖等證據證明獲取的“非法性”，有作案工具、售賣記錄等證明利用方式的“非法性”，足以認定犯罪。上述爭議焦點在于，“非法獲取型”侵犯公民個人信息罪的認定，是需要查實“非法獲取”行為本身才能定罪，還是可以將“持有”理解為“獲取”的當然結果，查實獲取、利用等“非法性”即可。本文將從電子數據證據的審查認定和法律適用兩個層面展開論述。

二、結合網絡犯罪特點審查認定電子數據證據

當前，侵犯公民個人信息犯罪多發生在信息網絡空間，數據以無形的方式無處不在又高速流通，重構了人類的既往認知，也給打擊犯罪帶來了嚴峻挑戰。網絡作為虛擬空間，營造了新的規則形態，“網絡與數據技術的推廣與普及，正在創造和生成一種新的社會秩序”［1］，應當結合網絡犯罪的特點審查判斷證據。

（一）電子數據來源去向查證困難

信息、數據是無形物，傳播速度快，傳播方式多樣，容易形成分支數據、合成數據，本身就難以查證明確的來源、去向，難以與經手人建立明確的對應關系，電子數據取證具有一定難度。即便是操作的客戶端、IP等虛擬地址能夠確定，也需要與具體行為人建立明確的對應關系。本案中，行為人供述通過微信聯系購買公民個人信息，經咨詢運營商，相關聊天記錄無法調取或者恢復；行為人供述通過電子郵箱接收數據，但是該郵箱內容已經刪除，經咨詢運營商，數據無法恢復；行為人供述最早下載數據的電腦已經報廢，通過U盤刻錄到涉案電腦，但是該U盤已經丟失，通過數據本身也無法反查數據來源。

本案關于公民個人信息來源的證據體系較為薄弱，應當根據電子數據證據的特點，進行綜合判斷。如對實物證據的扣押，一般需要描述特征、扣押原物等，不需要扣押實物所在空間，通過拍照、錄像等足以反映現場即可。而扣押電子數據，除了通過計算電子數據完整性校驗值描述電子數據特征之外，一般應當扣押、封存其原始的存儲介質并移送，確保電子數據以特定的有形物為依托被加以固定。本案中，現場扣押了涉案電腦，偵查人員對電腦進行電子證物勘驗檢查，計算完整性校驗值，將涉案電腦和電子數據一并移送，確保了電子數據證據來源合法，并通過電子勘驗，確定包含大量公民個人信息，該宗電子數據證據已經完成固定。微信聊天記錄、電子郵箱、U盤等，均是反映電子數據流轉過程的載體，相關途徑無法查實并不當然否定在案電子數據的證據效力，現有的公民個人信息電子數據證據能夠與犯罪嫌疑人供述、電子書購買記錄書證等形成證據鏈條，證明非法獲取公民個人信息的犯罪事實。

（二）對電子數據的“占有”“獲取”的認定應當具有開放性

一般認為，對有形物的轉移占有，分為打破原來的占有、建立新的占有兩個階段，進而形成排他性占有。但是電子數據明顯不同，徹底打破了對“占有”的直觀認識，出現了共同占有、同時占有、混合占有等情形，導致“打破舊占有—建立新占有”的轉化模糊不清?！矮@取”具有隱形形態，不再局限于實物的實際控制，“還應包括‘得知他人的網絡數據”［2］。如網絡賬號，一般通過賬號與密碼登錄，特殊情形時需要手機號碼驗證或者人臉識別，同時基于便利使用的考量，允許多個客戶端同時登錄，又疊加出現了不同的登錄規則，由此如何認定占有成為難題。事實上該行為影響了權利人的占有，但是權利人可以通過驗證登錄再次建立占有并更改密碼，完全打破了對物占有的傳統認識。［3］如行為人掌握了某賬號密碼，在曾登錄過的客戶端可以憑密碼登錄，在新的客戶端需要同時通過人臉識別才能登錄，那么，該“占有”狀態實際是一種附條件的占有、不確定的占有。因此，對電子數據的“占有”“獲取”認定應當具有一定的開放性，不要求明確為排他性緊密占有，而應當在實質上理解為可以管理、控制。

本案中，行為人供述，其販賣時把賬號密碼發給購買方，購買方可以登錄使用，確保賬號正常使用后才算交易完成。對于一些買入的賬號，如果一時找不到下家，需要用其他電子設備登錄，確保賬號活躍度，避免被運營商收回。事實上，因為批量買進、賣出賬號，對每一個賬號的密碼難以逐一修改，也沒有時間逐個明確記錄，也存在大量的“死號”“灰號”無法登錄或者隨時查封的情形。本案現場扣押的45部手機，經電子勘驗發現，除了登錄微信、支付寶等賬號外，基本沒有其他數據內容，且微信聊天記錄僅為一句話“歡迎登錄微信客戶端”，也印證了行為人供述的涉案手機系用于“養號”的說法。涉案的賬號用不同的標記劃分，反映了不同的管理控制程度。如“私人死秘”表示不知道密碼的個人賬號；“私人活秘”表示養了一段時間知道密碼的賬號；“私人支”是指精養帶支付密碼的賬號；“V3”是實名制支付寶賬號；“20天SM”表示注冊滿20天的實名賬號等。

（三）審查批量電子數據適用推定規則

數據傳播成本低、傳播速度快、信息交換便捷，電子數據容易集聚成海量數據，依靠人工難以實現逐一識別比對，因而催生了“打包”認定的實踐路徑。本案中，行為人以500元的價格買入該宗數據，自己供述大概有數萬條個人信息。偵查人員對電子證據中“帶身份證號數據情況”進行“去重復”操作，對不符合省級區劃代碼的數據進行處理，對中文姓名進行篩選，對不滿18位公民身份證號碼進行去除等，這一系列操作均是批量處理，因為通過人工手段核實該15萬余條信息的全部真實性非常困難。另對該宗數據進行抽樣檢測，準確率達到90%以上。犯罪嫌疑人供述稱，數據量大、賬號密碼復雜，人工難以記錄，自己也不清楚買賣的賬號對應的實名制情況。

正因如此，司法機關對公民個人信息認定、收集的規定經歷了從“批量認定”到“以部分推定全部”的過程。最高法、最高檢《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《公民個人信息解釋》）第11條第3款規定，對批量公民個人信息的條數，根據查獲的數量直接認定，但是有證據證明信息不真實或者重復的除外?？梢哉f這是對查獲的公民個人信息直接認定的“批量認定模式”。后最高法、最高檢、公安部《關于辦理信息網絡犯罪案件適用刑事訴訟程序若干問題的意見》第20條規定，“對于數量特別眾多且具有同類性質、特征或者功能的……電子數據等證據材料，確因客觀條件限制無法逐一收集的，應當按照一定比例或者數量選取證據，并對選取情況作出說明和論證?！睂嶋H上是以部分在案證據推定全案證據，是對傳統的證據認定規則的大膽突破。官方意見亦明確否定“逐一核實”的做法，“要求辦案機關電話聯系權利人核實公民個人信息的做法，明顯不合適”［4］。

三、“非法獲取”的核心在于認定“非法性”

從刑法第253條之一和《公民個人信息解釋》第3條表述看，“非法獲取”的表述在“違反國家有關規定”之后，該“獲取”行為的非法性已經不言自明，但此處的“非法”不宜做機械理解。信息網絡犯罪有其特殊屬性，對“非法獲取”的認定，亦應當充分關注法益保護目的，進行綜合判斷。

（一）寬泛認定“非法獲取”符合前端治理要求

侵犯公民個人信息罪的前置條件是“違反國家有關規定”，對其理解需要結合立法體例。根據《公民個人信息解釋》，此處的“國家有關規定”除了法律、行政法規外，還包括部門規章，實際上是對既有刑法規范的突破。同時，司法實踐中對該“國家有關規定”一般不作專門認定，導致該表述形成一種“昭示意義”，有調研對 2414 份涉及該罪名的判決書進行梳理，發現僅有2例列明被告觸犯的“國家有關規定”的具體來源［5］，反映了對獲取“非法性”不言自明的司法共識。

究其根源，對“非法獲取”的寬泛認定，符合對信息網絡犯罪前端治理的現實需要。非法利用公民個人信息進行詐騙等下游違法犯罪，對權利人的法益侵害更為嚴重，但是往往取證更加困難，刑法規制存在盲區，因而，以“獲取”方式的非法性作為突破口，實現對信息網絡犯罪的前端治理?！霸谔幜P其他關聯犯罪的同時，‘順帶實現遏制該類行為的附屬效果，形成一種被動性附隨打擊的刑法應對進路?！保?］本案中，靳某通過非法買賣賬號，數月時間內非法獲利達到數10萬元，并更新辦公場所、購買作案工具、聘請客服人員，擴大非法經營的規模，但因出售賬號的實名制情況無法核實，能夠納入刑法評價的只有其花500元購買的公民個人信息數據的行為，明顯與非法所得不成比例，也反映了前端治理的必要性。

（二）不具有合法性的“持有”應認定為“非法獲取”

在網絡空間，由于客觀性證據取證困難，犯罪嫌疑人的辯解往往難以查證。如果將所有的難以查明真偽的辯解認定為“合理懷疑”，無疑將面臨大量案件舉證不充分的現實困難。因此，應當審慎判斷行為人辯解，不宜一律將無法查證的辯解認定為“合理懷疑”。只要證據的指向性明確，能夠與在案證據相互印證，可以排除獲取方式的“合理性”“正當性”即可，不需要查實所有可能的關聯證據，這也反映了對“以部分推定全部”的推定規則的貫徹。因此，應當允許被告人參與該認定過程，同時給予其充分的辯護空間，允許提交有利的證據。在全面權衡之后，把不具有合法性的“非法持有”推定為“非法獲取”更為妥當?！皩τ谛畔碓床幻鞯?，嫌疑人拒不供述信息獲取方式或者辯解與其身份、職業不相稱，非法持有公民個人信息也應當認定為非法獲取?！保?］如陳某等人侵犯公民個人信息案，對查獲的在案電子數據被告人辯解系下載而來，但無法查證，判決書說理認為，行為人的辯解不能提供有效線索，且不能說明所持大量公民個人信息的來源合法，進而認定為非法獲取。［8］具體到本案中，關于該宗信息的來源渠道，對應時間段內共有5個交易對手，經逐個核實，其中2人從事微信引流、代打游戲升級的工作，與互聯網信息行業高度相關，結合靳某將該信息用于非法盈利目的，足以認定具有來源和使用的“非法性”。

（三）以“合法性”“合理性”制約“非法獲取”認定的不當擴張

學界關于“非法獲取”的討論頗多，但是大多論述傾向于對其進行擴大解釋，將獲取手段的非法性、主觀目的的非法性、使用方式的非法性等納入“非法獲取”的可能范疇，導致“非法”含義的不確定性。有的觀點認為“非法”修飾“獲取”有重復之嫌，普通自然人的獲取均為非法獲取?！斑@里的‘非法并非指獲取手段或者方法行為的性質，而是指行為人的獲取行為在本質上是非法的。”［9］有的觀點把后期利用的非法性納入“非法獲取”的范疇，似以“非法利用”反向印證了“獲取”的“非法性”，進而合并認定為“非法獲取”。“只要行為人以非法使用的目的獲取了公民信息”［10］，均可以評價為“非法獲取”。

對“非法獲取”的擴大解釋必然造成司法實務中的爭議，司法實踐對“非法性”的認定似乎已經做出了超越實定法的解釋，趨近于對“社會危害性”“法益侵害性”等實質層面，演變為“綜合考量社會危害性程度”［11］，應當引起足夠警惕?；诋斍暗牧⒎ㄔO計和司法實踐，不妨結合法益保護目的，探索與之相左的實踐進路：與其從正面闡述并完善“非法獲取”的完整內涵，不如從防止刑罰打擊面過大、保障人權的角度進行反向限制，通過認定、推定可能情形下的“合法性”“合理性”，限制“非法性”，實現一定程度的“對沖”。

易言之，公民個人信息原則上不得由自然人獲取、提供，該“獲取”或者“提供”具有天然的不法性，“持有”狀態原則上有可能認定為“非法獲取型”侵犯公民個人信息犯罪。根據存疑時有利于被告人的原則，應當注重該罪名擴張解釋下的適用限縮，通過對“合法性”“合理性”證據的依法認定來反制“非法獲取型”侵犯公民個人信息罪的不當擴張，以實現打擊犯罪與保障人權的平衡。只要有證據證明該獲取或者使用具有一定的合法或者合理理由，或者具有可寬宥性，則考慮寬緩化處理甚至出罪，這并非輕縱犯罪，而是基于立法設計、司法實踐的合理選擇?！豆駛€人信息解釋》對為合法經營活動而非法獲取公民個人信息規定了更少類型、更為嚴格的入罪標準也是例證，反映應該對獲取、使用“合法性”“非法性”進行整體判斷，使用的“合法性”可以沖淡獲取的“非法性”。本案中，與靳某共同買賣賬號的王某，主要發布廣告、引流等，也能接觸到靳某存放電子數據的電腦，并供述其明知該宗公民個人信息數據系靳某購買而來，類似于共同非法持有的情形，但持有行為系非法獲取行為不可罰的事后行為，王某只是參與了事后的持有，因此，不宜將此時的“后期加入的非法持有”追認為“非法獲取”而按照犯罪處理。綜合全案證據，人民檢察院認為王某的行為不構成犯罪，只對靳某提起公訴。人民法院以侵犯公民個人信息罪判處靳某有期徒刑3年，緩刑3年，并處罰金。

*山東省泰安市人民檢察院法律政策研究室副主任、一級檢察官，山東省泰安市岱岳區人民檢察院黨組成員、副檢察長（掛職）［251000］

［1］ 勞東燕：《個人信息法律保護體系的基本目標與歸責機制》，《政法論壇》2021年第6期。

［2］ 李遐楨、侯春平：《論非法獲取計算機信息系統數據罪的認定——以法解釋學為視角》，《河北法學》2014年第5期。

［3］ 如某視頻賬號登錄規則為同一個VIP會員賬號最多可登錄的終端上限為5個，其中分設備限制為：手機端App 2個、Pad端App 1個、電腦端客戶端1個、網頁端1個、電視端2個、VR端1個、車載端1個，智能家居端1個，如果他人知道賬號密碼登錄使用，在超過登錄限制時可能擠掉權利人已登錄的客戶端。

［4］ 周加海、鄒濤、喻海松：《解讀〈關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋〉》，載人民法院出版社編：《解讀最高人民法院司法解釋（含指導性案例）·刑事卷》（第六版），人民法院出版社，第638頁。

［5］ 參見鈄喆颋：《侵犯公民個人信息罪中客觀行為的司法認定》，華東政法大學2021年碩士學位論文，第14頁。

［6］ 黃陳辰：《非法利用公民個人信息行為的刑法應對》，《政法學刊》2022年第1期。

［7］ 劉芳、葛曉娟：《侵犯公民個人信息罪若干疑難問題的司法認定》，《北京政法職業學院學報》2021年第2期。

［8］ 參見北京市第三中級人民法院刑事裁定書，（2021）京03刑終316號。

［9］ 趙秉志：《公民個人信息刑法保護問題研究》，《華東政法大學學報》2014 年第1期。

［10］ 陳文昊： 《侵犯公民個人信息罪中的“外圍”立法與解釋進路》，《重慶郵電大學學報（社會科學版）》2018年第3期。

［11］ 參見喻海松： 《〈民法典〉視域下侵犯公民個人信息罪的司法適用》，《北京航空航天大學學報（社會科學版）》2020年第6期。