“非法获取”的核心在于识别“非法性”
从刑法第253条之一和《公民个人信息解释》第3条表述看,“非法获取”的表述在“违反国家有关规定”之后,该“获取”行为的非法性已经不言自明,但此处的“非法”不宜做机械理解。信息网络犯罪有其特殊属性,对“非法获取”的认定,亦应当充分关注法益保护目的,进行综合判断。
(一)广泛认定“非法获取”符合前端治理要求
侵犯公民个人信息罪的前提条件是“违反国家有关规定”,对其理解需要结合立法体例。根据《公民个人信息解释》,这里的“国家有关规定”除法律、行政法规外实际上是现有刑法规范的突破。一般不作特别认定,导致表达形成“昭示意义”,有关2414涉及犯罪判决的调研,发现只有两例标明被告违反“国家有关规定”的具体来源,反映了“非法性”的不言自明的司法共识。根本原因是对“非法获取”的广泛认定符合信息网络犯罪前端治理的实际需要。非法利用公民个人信息进行欺诈等下游违法犯罪,对权利人的法律利益的侵犯更加严重,但往往更难收集证据,刑法法律法规存在盲点。因此,以“获取”的非法性方法为突破点,实现信息网络犯罪的前端治理。“在惩罚其他相关犯罪的同时,‘顺便’达到了遏制这种行为的附属效应,形成了刑法应对被动附属打击的进程。“在这种情况下,通过非法买卖账户,在几个月内非法利润达到10万元,更新办公场所,购买犯罪工具,聘请客户服务人员,扩大非法经营规模,但由于销售账户实名系统无法核实,可以纳入刑法评价只花500元购买公民个人信息数据,显然与非法收入不成比例,也反映了前端治理的必要性。
(二)不合法的“持有”应当认定为“非法获取”
在网络空间,由于客观证据收集困难,嫌疑人的辩护往往难以核实。如果所有难以查明真伪的辩解都被认定为“合理怀疑”,无疑将面临大量案件证据不足的实际困难。因此,应仔细判断行为人的辩护,不应将无法验证的辩解视为“合理怀疑”。只要证据的方向性明确,可以与案件证据相互确认,可以排除获取方法的“合理性”和“正当性”,不需要核实所有可能的相关证据,这也反映了“部分推定全部”推定规则的实施。因此,被告应被允许参与识别过程,并给予其足够的辩护空间,并允许提交有利的证据。全面权衡后,将不拥有合法的“非法持有”推定为“非法获取”更为合适。“信息来源不明的,犯罪嫌疑人拒绝承认信息获取方式或者辩解与其身份和职业不相称,非法持有公民个人信息也应当认定为非法获取。”例如,陈某等其他侵犯了公民的个人信息案件,对查获的在案电子数据被告人辩解系下载而来,但无法验证。判决推理认为,行为人的辩护不能提供有效的线索,也不能解释大量公民的个人信息来源是合法的,然后被认定为非法获取。具体来说,在这种情况下,关于信息的来源渠道,在相应的时间内有5个交易对手。经逐一核实,其中2人从事微信引流和游戏代打升级,与互联网信息行业高度相关。结合靳某使用该信息进行非法利润,足以确定来源和使用的“非法性”。
(三)以“合法性”“合理性”制约“非法获取”认定的不当扩张
学界有很多关于“非法获取”的讨论,但大多数讨论往往会扩大其解释,将获取手段的非法性、主观目的的非法性和使用方法的非法性纳入“非法获取”的可能类别,导致“非法”意义的不确定性。有人认为“非法”修饰“获取”有重复嫌疑,普通自然人的获取是非法获取。“这里的‘非法’不是指获取手段或方法行为的性质,而是指行为人的获取行为本质上是非法的。“有些观点将后期使用的非法性纳入“非法获取”的范畴,似乎“非法利用”反向证实了“获取”的“非法性”,然后合并为“非法获取”。“只要行为人以非法使用为目的获取公民信息”,就可以评为“非法获取”。
扩大对“非法获取”的解释必然会在司法实践中引起争议。司法实践对“非法性”的认定似乎已经超越了实际法律的解释,更接近“社会危害”、“法律利益侵权”等实质性水平,演变为“综合考虑社会危害程度”,应引起足够的警惕。基于当前的立法设计和司法实践,不妨结合保护法利益的目的,探索相似的实践方式:与其积极阐述和完善“非法获取”的完整内涵,不如从防止过度惩罚、保护人权的角度进行反向限制,通过识别、推断可能的“合法性”、“合理性”、限制“非法性”,实现一定程度的“对冲”。
简而言之,公民的个人信息原则上不得由自然人获取或提供。“获取”或“提供”是自然的不法的。原则上,“持有”状态可能被认定为“非法获型取”侵犯公民个人信息犯罪。根据有利于被告人怀疑的原则,应当注意罪名扩大解释下的适用限制,通过依法识别“合法性”和“合理性”证据,反制侵犯公民个人信息罪的“非法获取型”的不当扩张,实现打击犯罪和保护人权的平衡。只要有证据证明获得或使用有一定的合法或合理的理由,或宽恕,就考虑宽松甚至犯罪,这不是轻纵犯罪,而是基于立法设计和司法实践的合理选择。《公民个人信息解释》为合法经营活动非法获取公民个人信息规定了更少类型、更严格的犯罪标准,反映应对获取、使用“合法性”和“非法性”的整体判断,“合法性”可冲淡获得的“非法性”。在这种情况下,与靳某共同买卖账户的王某主要发布广告、引流等,也可以联系靳某存储电子数据的计算机,并承认他知道公民的个人信息数据是靳某购买的,类似于共同非法持有的情形,但持有行为是非法获取行为不可罚的事后行为,王只参与了事后持有,因此,此时不宜将“后期加入的非法持有”追认为“非法取得”,并按犯罪处理。综合全案证据,人民检察院认为王的行为不构成犯罪,只对靳某提起公诉。人民法院以侵犯公民个人信息罪判处靳某有期徒刑3年,缓刑3年,并处罚金。
结合网络犯罪特点审查认定电子数据证据
目前,侵犯公民个人信息的犯罪大多发生在信息网络平台。数据无处不在并以无形的方式高速流通,这不仅重构了人类以往认知,也给打击犯罪带来了更艰难的挑战。作为一种虚拟空间,互联网创造了一种新的规则形式。“互联网和数据的推广和普及正在创造和产生一种新的社会秩序。”证据判断应根据网络犯罪的特点进行审查。
(一)难以验证电子数据的来源和目的地。
信息和数据是无形的,它们以多种方式迅速传播。它们容易分支和合成数据。很难验证它们的来源和目的地,也很难与处理它们的人建立明确的对应关系。电子数据取证很困难。即使可以确定操作的客户端、IP或其他虚拟地址,也需要与特定参与者建立明确的对应关系。在本案中,行为人承认通过微信购买公民个人信息。在咨询运营商后,相关的聊天记录无法检索或恢复。行为人承认他通过电子邮件接收了这些数据,但电子邮件的内容已被删除。在咨询了运营商后,无法恢复数据。行为人承认用来下载数据的电脑已被丢弃,他通过USB闪存驱动器将其转录到涉案电脑中,但U盘已经丢失,无法通过数据本身追踪数据的来源。
本案中关于公民个人信息来源的证据体系相对薄弱,应结合电子数据证据的特点进行综合判断。例如,扣押实物证据通常需要描述特征并扣押原始物品,但不要求扣押实物物品所在的空间。拍照或录像足以反映现场。当电子数据被扣押时,除了通过计算电子数据完整性校验值来描述电子数据的特征外,其原始存储介质通常也应被扣押、封存并转移,以确保电子数据固定在特定的有形物体上。在这种情况下,涉案的计算机在现场被扣押。调查人员对计算机进行了电子证据侦查,计算了完整性校验值,并将涉案的计算机和电子数据一起转移,以确保电子数据证据的来源合法。通过电子检查,确定其中包含大量公民个人信息。电子数据证据已经固定。微信聊天记录、电子邮件、USB闪存盘等都是反映电子数据流动的载体。无法验证相关渠道并不一定否定电子数据在本案中的证据效力。现有的公民个人信息电子数据证据可以与嫌疑人的供述、电子书购买记录的书面证据等形成证据链,证明非法获取公民个人信息的犯罪事实。
(二) 确定电子数据的“占有”和“获取”应该是公开的。
人们普遍认为,有形物品所有权的转移分为两个阶段:打破原有占有和建立新占有,然后形成排他性占有。然而,电子数据显然不同,这完全打破了“占有”的直观理解,并产生了共同占有、同时占有和混合占有的情况,导致“破除旧占有 - 建立新占有”的转变不明确。“获取”具有隐形的形式,不再局限于对实体物品的实际控制。“还应包括‘得知’他人的网络数据”。例如,在线账户通常使用账号和密码登录。在特殊情况下,需要手机号码验证或人脸识别。同时,为了方便,允许多个客户端同时登录,并出现了不同的登录规则。因此,如何确定拥有权成为一个问题。事实上,这种行为会影响权利人的占有,但持有人可以通过验证登录来重新建立占有权并更改密码,这完全打破了传统对物占有的理解。如果行为人掌握了某个账户的账号密码,他可以在之前登录过的客户端上使用该密码登录,但需要在新的客户端上通过面部识别登录。在这种情况下,“占有”状态实际上是一种有条件的占有和不确定的占有。因此,对电子数据的“占有”和“获取”的认定应有一定的开放性,不要求明确排除独占性占有,而应从本质上理解为管理和控制。
在通常案件中,行为人承认出售时会将账户密码发送给买家,买家可以登录并使用它。只有在确保账户正常使用后,交易才被视为完成。对于某些购买的账号,如果一段时间内找不到下一个买家,需要使用其他电子设备登录,以确保账户活动并避免被运营商收回。事实上,由于账户的批量买入和卖出,很难逐一更改每个账户的密码,也没有时间将它们记录清楚。还有大量的“死账号”和“灰号”,无法登录或随时被封锁。在现场缴获的45部手机通过电子侦查发现,除了登录微信、支付宝等账号外,基本上没有包含任何数据。微信聊天记录中只包含一句话:“欢迎登录微信客户端”,这也证实了行为人的供述,即涉案手机被用来“养号”。该案涉及的账户有不同的标签,反映了不同层次的管理控制。例如,“私人死秘”是指密码未知的私人账户。“私人活秘”是指一个账户已经维持了一段时间,并且密码是已知的。“私人支”是指带有支付密码的账号。“V3”是一个实名支付宝账户,“20天SM”表示注册满20天的实名账号等。
(三)批量电子数据的审查适用推定规则。
数据传输成本低,传输速度快,信息交换方便。电子数据可以很容易地聚合成大量数据,这些数据难以手动逐一识别和比较,从而产生了“打包”识别的实践路径。在这种情况下,行为人以500元的价格购买了该数据,并承认有成千上万的个人信息。调查人员对电子证据中的“带有身份证号码的数据”进行了“去重”操作,处理了不符合省级区划代码的数据,筛选了中文姓名,并删除了不足18位的公民身份证号码。这一系列操作都是批量处理的,因为通过手工方式验证超过15万条信息的真实性非常困难。此外,对数据进行抽样测试,准确率达到90%以上。犯罪嫌疑人承认,数据量大,账户密码复杂,难以手工记录,他也不清楚自己买卖的账户对应的实名制系统。
正因为如此,司法机关对公民个人信息认定和收集的规定经历了从“批量认定”到“部分推定全部”的过程。最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《公民个人信息解释》)第11条第3款规定,批量公民个人信息的数量直接根据查获的数量确定,但有证据证明信息不真实或重复的除外。可以说,这是直接识别公民个人信息的“批量认定模式”。后最高人民法院、最高人民检察院、公安部《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》第20条规定,“对于数量特别众多且具有同类性质、特征或者功能的……电子数据等证据材料,确因客观条件限制无法逐一收集的,应当按照一定比例或者数量选取证据,并对选取情况作出说明和论证。”事实上,整个案件的证据是基于一些在案证据,这是对传统证据识别规则的大胆突破。官方意见还明确否认了“逐一核实”的做法,“要求办案机关电话联系权利人核实公民个人信息显然是不合适的”。
