买了车,卖车险的电话来了;买了房,搞装修的电话来了;孩子刚上学,培训机构的电话来了……电话推销无孔不入,谁泄漏了我们的信息?利用电话等信息手段推销保险是一种常见的经营行为,但拿非法获取的个人信息来进行正常的生产经营,就会“洗白”罪责吗?
江苏省南京市江宁区检察院办理的杨军等人侵犯公民个人信息案中,被告人杨军等人将通过买卖、交换等手段获得的大量客户信息用于推销保险的行为,被法院判处有期徒刑。这起案件提醒还在利用非法获得的个人信息进行经营行为的商家注意:你可能已经涉嫌犯罪。
客户信息成“生财宝库”
日常生活中,人们在房屋交易、车辆买卖、各类会员卡申请等活动中,通常都要填写比较详细的个人信息,但你可能不会想到,这些个人信息会形成一个数据库,流转到一些有经营需求的商家手里,成为他们的“生财宝库”。在经营活动中,商家的推销等经营行为会不断骚扰数据库中的人们,干扰人们的正常生活,而保险行业就是泄漏、流转公民个人信息的“重灾区”。
2004年,杨军开设了南京瀚思捷汽车服务有限公司,主要业务是保险公司代理,其实就是电话推销保险。每谈成一笔车险,可以从保险公司拿到20个点的提成。早年曾接触过车险行业的杨军,深知推销保险最重要就是要有尽可能多的客源。
杨军有一个在车辆检测站工作的朋友吴德松,吴德松可以接触到全南京市的私家车主信息,包括车牌号码、车辆型号、车主身份证号码、保险到期日期、联系电话等等。按照保险业的行话,这些信息叫作“数据”。吴德松每半年会用U盘拷下这些“数据”送给杨军。有了这样的“好朋友”,杨军的保险业务做得风生水起。
2008年以后,由于单位管理严格,吴德松无法再从车检站拷出私家车主信息了。杨军为了保障客源,把目光瞄向了信息买卖市场。2009年,杨军认识了一个叫李政的“黄牛”,得知李政可以搞到私家车主信息,两人马上达成了“协议”,杨军以每条五分钱的价格,从李政手中购买“数据”。此后近7年的时间里,杨军通过李政获取了私家车主信息数十万条。
同行之间互通有无让私家车主信息更大范围地泄漏。在开展业务中,随着业务拓展,杨军已经不满足现有的客户资源。在与周滨等保险从业人员交往中,杨军得知他们手上还有更多“数据”。于是,杨军先后从同行们的手中获取了涉及江苏、吉林、山东、天津等多个省市的私家车主信息。这些信息,有些是杨军花钱买的,有些是别人免费送的。手上有了这么多客户资源,讲义气的杨军没忘了让同行们跟自己一起发财。当有保险代理员向杨军打听有无“数据”时,杨军总是很大方地为其免费提供。而其他保险代理员得到这些“数据”后,也会互相交换。私家车主信息就这样在众多保险代理员之间流转。据统计,仅杨军一人非法获取、向他人提供的私家车主信息就达370余万条。
私自泄漏、流转私家车主信息,成为保险行业从业人员间的“潜规则”。这些行为干扰了公民正常生活秩序,具有严重社会危害性。
2017年9月,南京市公安局江宁分局以涉嫌侵犯公民个人信息罪,将杨军等36人、南京畅享汽车服务有限公司等13家单位移送检察机关审查起诉。南京市江宁区检察院受理该案后,成立专案组严格审查证据,同时对遇到的法律问题组织专家论证,充分听取各方法律评价,精准把握案件性质。
如何界定客户信息种类
“2017年6月1日起施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称两高《解释》),对合法经营中侵犯公民个人信息行为作出了具体规定。根据两高《解释》,不同种类的公民个人信息入罪标准各不相同。因此,确定私家车主信息属于哪一类公民个人信息,是办理此类案件的首要问题。”南京市江宁区检察院副检察长马虹说。
据介绍,两高《解释》对公民个人信息的种类作出了列举式规定:一是行踪轨迹、通信内容、征信、财产类信息;二是住宿、通信记录、健康生理、交易类信息;三是普通信息。而杨军案涉及的私家车主信息包含公民姓名、电话、车牌号码等十几项内容,其究竟属于哪一类信息?
对公民个人信息种类的划分标准,理论界存在不同观点。南京师范大学法学院教授刘远介绍说:“主要有客观标准说和综合认定说。客观标准说认为,公民个人信息应当由信息内容本身的属性划定;综合认定说需要以信息内容为基础,结合行为人的主观目的、实际行为、涉案信息的实际用途乃至社会危害等具体案件因素来认定。”
江宁区检察院在借鉴专家意见的基础上,对私家车主信息种类的归属进行分析。认为两高《解释》列举了财产信息、交易信息,目的是为了保护公民人身、财产安全等相关法益。本案中私家车主信息虽然包含有个人财产、交易等内容,但是与公民财产安全关系不太密切。另外从信息的流向和用途来看,这些信息并非用于侵害公民人身权和财产权。据此,江宁区检察院将涉案私家车主信息认定为“普通信息”。
“司法实践中,一条信息可能涵盖与公民人身、财产、行踪、健康等内容相关的多项要素,单纯按信息内容的客观标准很难准确划分。因此,同样的涉案信息在不同个案中归属于哪一类信息,不应机械定义,而应综合考虑划定信息种类。”马虹说。
交换获得也属于“非法获取”
买卖个人信息当然是涉嫌犯罪的行为,但保险代理员在合法经营中获取了客户信息后,除买卖外,还会在业务往来中互相交换使用这些信息。这类行为能否认定为侵犯公民个人信息罪?
依据刑法规定,侵犯公民个人信息行为包括向他人出售、非法提供,窃取或以其他方法非法获取等。对合法经营中交换使用公民个人信息行为定性的关键在于,其是否属于“以其他方法非法获取”?
南京市江宁区检察院以涉嫌侵犯公民个人信息罪,对杨军等被告人提起公诉。庭审时,控辩双方围绕合法经营中交换使用信息行为是否触犯刑法,展开了辩论。
江宁区检察院起诉书指控,畅享汽车服务公司法定代表人鞠昌林从江苏华远保险销售有限公司(以下简称“华远保险销售公司”)业务经理杨长龙处获取了公民个人信息69万余条。但辩护人辩称:“畅享汽车服务公司与华远保险销售公司存在业务合作关系,被告人获取客户信息属于正常的业务往来,既非购买、也非窃取,不属于‘非法获取’,因此不构成侵犯公民个人信息罪。”
“‘非法获取’的界定重点在于信息所有者的个人意愿,无论是职务行为、商业行为还是信息赠与,合法获取信息者都不得违背信息所有者个人意愿。虽然被告人是在正常经营中合法获取公民个人信息,但在信息所有者不知情也没有授权他人使用的情况下,本案被告人相互之间提供或持有行为违反了法律规定。”江宁区检察院员额检察官侯淑云说,事实上,两高《解释》第4条规定,通过“收受、交换”等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法规定的“以其他方法非法获取公民个人信息”。
“情节严重”该怎样认定
私家车主信息属于“普通信息”,获取的途径被认定为“非法获取”,但仅仅“非法获取”并不能构成犯罪,构成犯罪还需要一个“条件”,那就是“情节严重”。
“情节严重,是区分侵犯公民个人信息罪与非罪的重要标准之一。依据两高《解释》第6条规定,被告人在合法经营活动中非法获取普通信息的行为,需要达到‘情节严重’情形,才能被追究刑事责任。”侯淑云说。
根据两高《解释》第6条,“情节严重”的情形有三类:第一类是利用非法购买、收受的公民个人信息获利五万元以上的;第二类是曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;第三类是其他情节严重的情形。两高《解释》以列举式规定明确了“情节严重”的标准,同时以兜底条款弥补了前两类列举未包含的情形。
在杨军案中,没有证据证明被告人利用公民个人信息获利5万元以上,同时被告人也未受过刑事处罚或者二年内受过行政处罚。争议的焦点在其是否属于“其他情节严重的情形”。
没有构成前两类情形的行为,是否可以依据兜底条款追究刑事责任?有观点认为,按照罪刑法定原则,应严格依照前两类情形进行认定,不宜扩大范围,因此被告人行为不构成“情节严重”。对此,河海大学法学院副教授徐安住指出:“兜底条款的规定也应属于罪刑法定范畴,未明确标准的兜底条款与其他列举规定一样具有确定性和合法性。司法人员应当根据刑法的任务和原则,结合具体案件,对具体犯罪行为规范处理后纳入刑罚范畴。否则,若凡未明确规定具体标准的刑法条款均无法适用,容易导致这些兜底条款沦为‘僵尸条款’,有悖立法本意。”
如果采用兜底条款,那么“其他情节严重的情形”的认定标准该如何确定?徐安住认为:“侵犯公民个人信息罪系情节犯,定罪量刑标准为情节严重、情节特别严重。对于这种概括性的定罪量刑情节,宜根据司法实践的情况从犯罪的客体、客观方面、主体、主观方面等多个角度加以考察。”
“虽然杨军等人目的只是为了正常经营活动,主观恶性较小。但从客观方面看,本案涉及私家车主信息数量巨大、范围广,如不依法打击,众多私家车主的生活秩序将继续被侵害。因此有必要依据兜底条款追究被告人刑事责任。”马虹说。
在研究“其他情节严重的情形”的认定标准时,江宁区检察院发现,两高《解释》第5条在规定三类信息入罪标准时,均设置为后者是前者的10倍。即非法获取第一类信息“情节严重”标准为50条,非法获取第二类信息“情节严重”标准为500条,而非法获取普通信息“情节严重”标准为5000条。
基于上述考虑,“为合法经营”非法获取普通信息,作为两高《解释》专门规定的情节更轻的特殊情形,江宁区检察院将非法获取普通信息入罪标准的10倍即5万条,作为本案中“为合法经营”非法获取普通信息“其他情节严重的情形”标准。这一认定得到了法院和大部分被告人及其辩护人的认同。
2018年8月2日,南京市江宁区法院作出一审判决,支持检察机关的全部起诉意见。杨军等人被以侵犯公民个人信息罪分别被判处一年零六个月至四年有期徒刑,并处1万元至5万元罚金。2018年11月28日,南京市中级法院作出终审裁定,维持原判。
“合法”采集公民个人信息同样要规范
□江苏省人大代表 孙勇
现实生活中,电话推销就像一个幽灵,它可以在任何时候突然出现,让你防不胜防,躲不开、甩不掉。虽然智能手机可以设置拦截功能,但道高一尺,魔高一丈,它总能从某个缝隙中钻出来,像蚊子一样嗡嗡嗡围着你转。
电话推销骚扰让人愤怒,但合法电话营销行为目前还没有法律法规作出禁止性规定。在这种合法经营的背后,隐藏着的侵犯公民个人信息的不法行为让人触目惊心,动辄几百万的公民个人信息被转让、买卖、交换,成为一些商家和个人恣意骚扰人们正常生活的工具,甚至于利用非法获得的公民个人信息实行犯罪行为,对此必须引起足够重视。
从江宁区检察院办理的这起案件来看,由于个人信息的使用十分频繁,商家、学校、甚至一些国营单位对采集的公民个人信息保护不够重视,或者采取的保护手段过于简单,加上公民对自己个人信息保护意识不强,致使泄露信息的渠道太多,手机号等公民个人信息基本上处于半公开状态,致使杨军等犯罪分子多年来非法获得大量公民个人信息,并成为他们攫取利益的工具和可以买卖的商品。
江宁区检察院办案检察官从界定信息种类、辨析非法获取行为到认定“情节严重”,从复杂的证据中,一步步抽丝剥茧、严密论证,准确认定犯罪事实,对杨军等人利用非法获取的公民个人信息犯罪行为提起公诉,使犯罪分子受到法律的严肃制裁。
这一案件的成功办理,有着十分重要的社会和现实意义。打击侵犯公民个人信息犯罪,不仅让犯罪分子为自己的行为付出代价,也对社会上还存在的类似行为提出警示,正告仍然在非法获取公民个人信息者悬崖勒马,不要滑向犯罪的深渊。
不过,一件个案的办理还不足以让违法犯罪者收手,打击侵犯公民个人信息犯罪的道路还很长,我们不仅需要打击犯罪以儆效尤,也要从源头防止公民个人信息被随意泄露。当然,对于电话推销来说,科学技术的发展已经开始帮助人们解决这一问题,手机上广告来电备注、黑名单、特殊号段设置等拦截手段为电话推销筑起了防火堤,相信不久之后,这一问题会逐步得到解决。但隐藏在电话号码后面更多的“精准”信息,如住址、家庭成员状况等等就不仅仅是电话推销这么简单。因此,如何规范商家、学校等对合法采集的公民个人信息的使用和妥善保护,以及对造成大量公民个人信息泄露的单位和个人追究责任,是现阶段必须面对的又一个问题。