代为购买公民个人信息的行为是否构成犯罪
【基本案情】 王某是某教育培训机构负责人,无前科劣迹,陈某是另一培训机构的离职销售。2021年12月,王某询问陈某是否有A市六年级学生的信息。陈某手上没有资源,便找到谢某,谢某说有8000条,要价6700元。陈某将此情况告诉王某,王某对先发来的50条数据小样验证满意后,表示8000条都要,但最多只能接受6000元。陈某将王某的报价反馈给谢某,谢某同意。陈某将王某给的6000元转给谢某,再将谢某发来的8000条信息(姓名、电话)转发给王某后,将信息删除,没有留存。随后王某利用该8000条信息进行电话招生、售卖网课,获利3.5万元。
【分歧意见】 关于陈某行为的定性,有两种不同意见。
一种意见认为,陈某的行为相对于王某,属于“向特定人提供”,相对于谢某,属于“购买、收受”,根据“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)规定,构成侵犯公民个人信息罪。
另一种意见认为,王某购买、收受信息后用于合法经营,根据《解释》没有达到追诉标准,不构成犯罪,陈某是帮助王某购买信息,所以也不构成犯罪。
【评析意见】 笔者同意第二种意见。
从交易方式来看,本案属于“买家主导型”代购。陈某受王某委托,向谢某询价。数量、价格、内容等交易要素都由王某决定,也由王某进行抽样验证。陈某仅代为执行王某的要求,没有牟取差价。王某迫切需要生源信息,假如陈某拒绝,王某极有可能会另找他人。换言之,即便没有陈某这中间一环,信息扩散的风险依然存在。综上可判定,本案属于“买家主导型”代购,陈某与王某行为的结合力更强,陈某是否构成犯罪应当结合对王某行为的评价。
在“买家主导型”代购中,信息的实际用途影响到代买者的罪责刑。在数字经济时代,信息的有序流转、合理利用能够创造社会财富,但侵犯公民个人信息的行为则可能成为电信网络诈骗、滋扰型“软暴力”等犯罪的上游犯罪,因此,公民个人信息的非法流转和不法滥用需要惩治。然而,从司法实践来看,公民个人信息并非完全流向下游犯罪,非法获取公民信息用于经营推广的情况并不少见,《解释》第6条将社会危害性较小的“合法经营活动”作为本罪的出罪条件之一。
本案中,虽然陈某与王某共同完成了“购买、收受”行为,属于“非法获取”,但王某将所获得的信息用于招生、售课等合法经营,对照《解释》,王某的行为没有达到入罪标准,不构成犯罪,因而陈某也不构成犯罪。
假如王某将所获得的信息提供给同行,或者与同行相互交换信息,且陈某事先又明知,则王某的行为已超出“为合法经营而合理利用”的范围,造成信息不当扩散,应以侵犯公民个人信息罪同时追究王某、陈某的刑事责任。
本案可适用个人信息保护法追究陈某的行政责任。整个信息流转过程中,陈某的行为属于“传输”数据,“传输”是否属于刑法规定的“非法获取”?这涉及到对《解释》第4条“等外”方式的理解。笔者认为,不宜将“传输”直接评价为刑法上的“非法获取”。
第一,从《解释》来看,“等外”方式的理解,应着眼于“非法”“违反国家有关规定”,且在恶性程度上与“窃取”相当。之所以单独列明“购买”“收受”,根据“两高”对《解释》的理解与适用,是因为这两种行为方式较为常见,且往往伴随着后续的出售、提供,若予以排除,则会大幅缩小侵犯公民个人信息罪的适用范围。
第二,“传输”只是数据流转生命周期的一个中间环节,前端有出售、提供,后端有购买、收受,可以根据不同的情形,通过刑法的共犯原理来予以打击,体现宽严相济的刑事政策。
第三,从公民个人信息保护的法律体系来看,慎用刑法手段实现“民紧刑松”的个人信息保护逻辑更加符合实践需要。我国立法对公民个人信息的保护呈现出“先刑后民”的发展顺序,2009年刑法修正案(七)增设了侵犯公民个人信息罪,直到2017年开始,网络安全法、民法典、数据安全法、个人信息保护法等相关法律才陆续施行,因此,在刑法的适用上,应当采用体系解释,综合考虑行政法、民法对相关行为的评价。比如个人信息保护法基于对公民个人信息合法流转、处理的信息秩序保护,明确规定了“收集、存储、使用、加工、传输”等行为均受到法律规制,而在刑法中,则更应关注非法获取、提供等更具有社会危害性的行为,而不宜将个人信息流转过程中的所有行为均纳入刑法的评价范围。刑法具有谦抑性、最后法、保障法的品质,转变司法理念,对能够用行政法、民法评价的一般违法行为审慎入罪,是实现“民紧刑松”、落实少捕慎诉慎押刑事司法政策的应有之义。
本案中,陈某侵犯的是个人普通信息,非刑法单独规制的敏感、特殊信息,根据个人信息保护法第4条、第10条、第66条,可以由履行个人信息保护职责的部门来对陈某进行惩处,追究陈某的行政责任。
(作者单位:江苏省常州市天宁区人民检察院)