对于侵犯公民个人信息而言,刑法的惩罚和人格权法的保护之间形成合力是最为重要的,在运用人格权法予以保护即为已足的场合,刑法并不需要出面。换言之,在实务中,并不是定罪越多越好,而是处罚越妥当越好。[1]以往侵犯公民个人信息犯罪,实证研究多从研究人民法院刑事判决书出发论证,鲜有研究侵犯公民个人信息的不起诉案件。侵犯公民个人信息罪不起诉案件,是检察机关对该类案件不符合起诉条件的案件终止诉讼而不交付法院审判的处分决定。该类案件的不起诉,一方面是检察机关发挥审前过滤把关作用,另一方面也显示侵犯公民个人信息罪的审前刑事规制现状。现以该类案件不起诉决定书为样本, 分析侵犯公民个人信息罪在审查公诉环节的困境,提出建议,使案件得到妥当的处理。

一、侵犯公民个人信息罪不起诉案件的刑事司法样态分析

(一)侵犯公民个人信息罪不起诉样态总体分析

本文研究选取的侵犯公民个人信息案件来源于12309 中国检察网,文书种类为不起诉决定书,选取地点为江苏省,访问时间为 2020 年 9 月 8 日。经搜索,共有 93 份侵犯公民个人信息案件的不起诉决定书,样本案件不起诉决定日期为2019年8月至2020年8月之间,足以反映检察机关对于该类犯罪最新的司法困境和处理路径。样本中具有如下特征:

1. 该类案件不起诉文书基本覆盖江苏省地市。93 份涉及的江苏省10个地市,仅镇江市未有该类犯罪的不起诉决定文书;不起诉决定文书最多的是淮安市23 份,其次为苏州17 份,南通 13份,扬州11 份。

2. 以存疑不起诉、酌定不起诉处理的占绝大多数。不起诉决定书中,作出存疑不起诉决定的文书有46份,酌定不起诉决定的文书有45份,绝对不起诉的文书有2 份。可以看出存疑不起诉决定、酌定不起诉各占一半左右,分别占比49.46% 和 48.39%。

3. 被不起诉主体呈现自然人占绝对主体,且呈现学历高的特征。被不起诉主体中,自然人占比97.87%;被不起诉单位仅有两件。自然人中,具有高中以上学历的有69人,占被不起诉自然人的75%,其中本科以上学历的有37人,其中3人具有硕士研究生学历。

4. 被不起诉主体的身份是企业经营者和企业员工的占被不起诉自然人的半数以上。样本涉及的担任公司法人、实际经营者、个体经营者的有 11人,公司员工有47人,合计58 人,占被不起诉自然人的 63.04%。

5. 该类文书中表示出公民信息种类较少。该类文书中写明公民个人信息为业主信息、学生信息、企业经营者信息的为30份,其余63份文书,笼统表述为侵犯公民个人信息,可推测部分案件回避了公民个人信息的种类,即对公民个人信息是否属于“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第5条第1款第3项、第4项存在困惑。

(二)侵犯公民个人信息罪酌定不起诉“数量”“数额”“行为类型”分析

研究中发现酌定不起诉案件中公民个人信息数量存在较大差异, 故选择 1000 条、5000 条、1 万条、5 万条作为数量区间予以统计。经统计,1000 条以下的有 4 件;1000 条至 5000 条的有 8 件;5000 条至 1 万条的有 9 件;1 万条至 5 万条的有 14 件;5 万条以上的有 9 件;共计 45 件。如下图:

就“数量”而言,最少的为买卖 10条开房记录,获利5000元;最多的为2.3 亿条个人信息。就“数额”而言,仅有5份文书存在获利情况,最少获利2000元,最多获利1.6 万元。就“行为类型”来看,出售、提供型(含获取后提供、信息互换)的有27件;仅有获取型(购买、员工接受、非法下载)的有 18 件。

(三)侵犯公民个人信息罪存疑不起诉分析

样本中46件作出存疑不起诉决定的案件,仅淮安市就有21件。上述所有存疑不起诉决定文书除仅有4 份文书进行存疑不起诉说理外,其余文书均以“犯罪事实不清、证据不足,不符合起诉条件”为由,作出存疑不起诉决定。可见检察机关对于侵犯公民个人信息案件存疑不起诉案件说理工作存在欠缺。这亦可能是理论界及司法实务界对于存疑不起诉案件进行实证分析匮乏的原因之一。

(四)侵犯公民个人信息罪绝对不起诉分析

样本中仅有2个案件[2]以未达侵犯公民个人信息罪“情节严重”的标准,没有犯罪事实,作出绝对不起诉决定。该2起案件,可以看出涉及的公民信息为含有姓名、国籍、居住地址的日韩人员信息。被不起诉人叶某某发送的含有姓名、国籍、居住地址的日韩人员信息256条。公安机关之所以将案件移送审查起诉,是将该类人员信息坚定认定为《解释》第5条第1款第3项的信息。可见,公安机关同检察机关对于该类信息的类型存在较大分歧。

二、侵犯公民个人信息犯罪不起诉适用的困境分析

(一)公民个人信息的认定存在难题

[案例一]杨某某侵犯公民个人信息案(存疑不起诉)[3]

公安机关指控:2015年8月至12 月期间,王某某以牟利为目的,先后8次将非法获取的公民个人信息出售和提供给犯罪嫌疑人杨某某,共计7万余条(大部分包含企业法人高管姓名、手机等资料的信息)。

[案例二]林某甲侵犯公民个人信息案(酌定不起诉)[4]

2018 年 5月18日,被不起诉人林某甲为推销公司收购咨询业务,花费 240 元在李某某(另案处理)经营的“某某网络科技”淘宝店铺购买深圳地区包含公民个人信息的企业经营信息共计 20559 条。后被不起诉人林某甲将上述信息全部转发给林某乙用于电话推销公司业务。

两则案例中对于是否可以在公开的商业网站或者行政网站上获得,存在认定分歧。案例一中,检察机关认为杨某某向他人收购的大部分包含企业法人高管姓名手机等资料的信息,目前的在案证据无法完全排除上述信息可以在公开的商业网站获得,对于上述企业高管资料信息中的手机号码等信息是否同时归公司使用也无法予以排除,因此本案中杨某某通过收购和交换获取的这些信息资料是否属于“公民个人信息”证据不足。而案例二中未对包含公民个人信息的企业经营信息能否排除可以在公开商业网站获得进行分析。

(二)信息类型分类存在分歧,致使案件处理差异较大

[案例三]任某甲侵犯公民个人信息案(酌定不起诉)[5]

2019 年 6 月 16 日,任某甲在南通市崇川区某某花苑某某幢某某室家中通过手机微信向任某乙(另案处理)发送含有某某花苑小区业主的姓名、手机号码、具体住址的公民个人信息共计 868 条。

[案例四]邱某侵犯公民个人信息案[6]

2016年7月至8 月间,邱某多次通过 QQ邮箱向韦某、方某发送电子邮件,电子邮件内含有包括本市滨湖区“甲”“乙”等小区在内的无锡多个小区业主姓名、住址、电话号码、住房面积等内容的公民个人信息5.3 万余条。邱某被判处有期徒刑 3 年,并处罚金人民币 5 千元。

该两则案例反映出司法实践中对于业主信息属于何种类型的信息,仍然存在争议。邱某判决书中,载明“邱某向他人提供的公民个人信息数量累计已经超过5万条,属于情节特别严重,不能认为其犯罪情节轻微”。可见该法院对于业主信息归为《解释》第5条第1款第5项的信息,但检察机关将业主信息归为《解释》第 5 条第 1 款第 4 项的信息。 若按照邱某判决书中的信息类型划分,案例三中应做绝对不起诉处理,而不是酌定不起诉处理。关键在于业主信息是否属于财产信息存在疑问,亦即业主信息中包含了公民个人房屋坐落的信息,是否属于财产信息。

(三)《解释》第6条的司法适用分歧

[案例五]姜某某侵犯公民个人信息案(存疑不起诉)[7]

2017年3月,姜某某为提高自己经营的某某建材公司业绩,将非法获取的公民个人信息 47733 条存入公司电脑内,并安排销售人员拷贝上述信息后根据信息内容联系客户进行推销,公司销售人员顾某某拷贝上述信息后,通过电子邮件的方式将其发送至公司销售人员赵某某等人邮箱。

[案例六]陈某某侵犯公民个人信息案(酌定不起诉)[8]

2018 年 5月10日,陈某某为完成公司总部下发的任务,先后两次花费 200 元在李某某(另案处理)经营的“某某网络科技”淘宝店铺购买北京、杭州、南京、上海等地区包含公民个人信息的企业经营信息共计 18515 条。后陈某某将上述全部信息转发给同事刘某某用于电话推销公司业务。

两则案例做出的不起诉决定存在差异。案例5的检察机关认为姜某某虽然从他人处非法获取了公民个人信息,但是出于销售公司瓷砖的合法经营目的,而现有证据无法证实姜某某作为公司经营者,利用非法获取的公民个人信息获利超过5万元,因而做出存疑不起诉决定。案例6中检察机关认定陈某某的行为系提供公民个人信息,已构成侵犯公民个人信息罪,对于推销公司业务是否系合法营业未做出判断。案例5为销售瓷砖,而案例6为推销公司收购咨询业务,若将案例5中的行为认定为合法经营,将案例6不视为合法经营,存在不妥。而且案例5中涉及的销售人员顾某某,也被该检察机关做出存疑不起诉处理。

(四)侵犯公民个人信息犯罪阻却刑罚事由的司法困境

根据《解释》第 10 条规定,该条只适用于侵犯公民个人信息犯罪的基本情节,对于符合“情节特别严重”构成的,不能再适用本条规定从宽处罚。[9]。最高司法机关对此见解明确,即该罪名若做酌定不起诉, 侵犯公民个人信息的数量或者获利应当在已达“情节严重”,未达到“情节特别严重”。但通过样本统计发现,酌定不起诉进行“说理”分析,仅有 7 份文书就侵犯公民个人信息达到情节严重或者不属于情节特别严重进行了表述;其余 38 份酌定不起诉文书直接认定为犯罪情节轻微,占全部酌定不起诉决定文书的84.44%;对于侵犯公民个人信息有无达到情节严重或者情节特别严重采取了回避的态度。司法实践中,存在着将侵犯公民个人信息的数量或者获利已达“情节特别严重”作为犯罪情节轻微处理的现象。现以样本中一则代表性案例和一则刑事判决案例进行分析。

[案例七]王某某犯公民个人信息案(酌定不起诉)[10]

2019 年 4 月 16 日,王某某通过自己的 QQ 号从一个 QQ 群中非法下载“100 万身份证信息,活动必备保存好”txt 文本,将该文本中 2 条公民个人信息用于“穿越火线”游戏实名认证,并将该文本上传至其QQ 的微云网盘中。经检查,该文本中含公民个人信息999998 条。

[案例八]杨某侵犯公民个人信息案[11]

2017 年 3 月份,杨某在昆明市盘龙区金色年华大厦一科技公司与王某某交换两人各自搜集到的公民个人信息用于推销 POS 机。2017 年 9 月杨某被抓获。公安机关从杨某存储设备中查获杨某侵犯的公民个人信息 303453 条。

案例七涉及的公民个人信息数量,已达该罪“情节特别严重”的标准,但认为王某某系在校大学生,仅使用其中2条玩游戏,并没有提供或者出售给他人,属于犯罪情节轻微,并具有认罪认罚、初犯、坦白等情节,再引用刑法第37条,做出不起诉处理。而案例八,判决书中载明“杨某所侵犯公民个人信息达 303453条,情节特别严重,不属于刑法第 37 条规定的“对于犯罪情节轻微不需要判处刑罚,可以免于刑事处罚”之情形”。

可见,司法实务中对于将侵犯公民个人信息已达“情节特别严重”认定为刑法 37 条“犯罪情节轻微”,存在分歧,导致司法处理不一致。但案例七的处理,可以说处罚是非常妥当的,符合朴素的正义观。可见解释第 10 条,规定的可以不起诉的标准在实践完全贯彻存在难度。

三、侵犯公民个人信息犯罪不起诉适用的完善建议

笔者认为,侵犯公民个人信息犯罪不起诉适用,一方面要结合刑法、《解释》、《检察机关办理侵犯公民个人信息案件指引》(以下简称《指引》)等相关刑事司法性文件,另一方面需要结合民法典第四编第六章关于个人信息保护的规定。在现有相关司法性文件的前提下,对侵犯公民个人信息犯罪,不起诉适用的规则,设想如下:

(一)严格审慎认定自然人自行公开或者其他已经合法公开的信息为公民个人信息

司法实践中,对于包含公民个人信息的企业经营信息或者企业法人高管姓名手机号码等资料能否认定为公民个人信息,需要审慎认定,不能不加辨别。对于经过合法公开途径,可以查到包含公民个人信息的企业经营信息或者企业法人高管手机姓名等资料的,不宜认定为公民个人信息。严格按照《指引》关于“公民个人信息”的审查认定的规则,结合个人信息是否系自然人自行公开或者其他合法公开的信息来综合 判断,是否属于公民个人信息。

(二)信息类型争议的划分,应当综合案件具体情况,严格适用

业主信息类型(业主姓名、住址、电话号码)、车辆信息类型(车主、车辆型号、发动机号、联系电话)的划分争议,是该类犯罪常见的类型争议。有观点认为行为人获取的车辆信息已较为具体,通常认定为“财产信息”亦无不当。但是,综合考虑本案的具体情况,还是主张将相关信息不认定为“财产信息”。[12] 同样业主信息类型已较为具体,但是要综合案件具体情况,特别是行为人为推销产品或者服务,并非用于侵犯人身或者财产的违法犯罪行为,应当根据罪责刑相适应原则,采取严格适用的立场,不宜认定为财产信息。

(三)考察合法经营活动和经营整体,合理适用《解释》第 6 条

司法实践中,出现公司、个体经营者为进行推销瓷砖、企业咨询业务等活动,而购买、收受《解释》第 5 条第 1 款第 3 项、第 4 项之外信息的,应当对公司或者个体经营活动是否属于合法经营活动进行考量。对于从事合法经营活动的,应当从利用非法信息获利等情形认定其构成侵犯公民个人信息罪,若未有明确证据证明非法获利 5 万元以上等《解释》规定的其他情形,应作出存疑不起诉决定。对于公司负责人或者个体经营者购买公民个人信息后,通过网络或者其他方式分配给企业员工的,建议不予认定企业负责人或者个人经营者为非法提供公民个人信息。这是在公司负责人或者个体经营者获取公民个人信息后惯常的行为,且公民个人信息流转还在企业负责人或者个体经营者的控制范围内,应视为信息流转整体,若相关行为人将信息流转于公司工作人员范围之外,应当认定相关行为人提供了公民个人信息。

(四)侵犯公民个人信息犯罪阻却刑罚事由的未来路径

我国刑法第 37 条并没有像德国刑法第 60 条规定一样直接设置 1 年以下自由刑的限制,而是将可免除刑罚的对象概括地放在“犯罪情节轻微”之中——毕竟, 如果应该科处的法定刑过重的话, 自然不属于“犯罪情节轻微”的情况。[13]侵犯公民个人信息犯中“不属于‘情节特别严重’+ 初犯 + 全部退赃 + 并确有悔罪表现”对“可以认为犯罪情节轻微”作出了直接规定,直接导致该罪“犯罪情节轻微”的空间被限缩在不属于“情节特别严重”的标准之中。但司法实践中,仍然存在以刑法第 37 条将该罪属于“情节特别严重”的行为作出不起诉决定的冲动。可见《解释》第10 条不能满足实践需要,特别是案例 8 中将在校大学生下载个人信息 999998 条,仅 2 条信息用于玩游戏的行为,作不起诉处理是妥当的。实质刑法的基本立场是以形式正义为前提,力图实现处罚值得处罚的法益侵害行为之实质正义……建立“有罪不一定罚”的出罪机制,以此弥补我国刑法罪刑法定原则人权保障机能以及出罪机能的先天不足。[14]建议未来对《解释》第 10 条进行修改,侵犯公民个人信息犯罪,涉及公民个人信息数量虽已达“情节特别严重”标准,但未造成恶劣后果,也可认定为情节轻微。

侵犯公民个人信息不起诉案件反映出的妥当处理自然人自行公开或者依法公开的个人信息,做不起诉的案件,符合民法典中处理个人信息的免责事由,也即对于收集、存储、使用、加工、传输、提供公民自行公开或者其他已经合法公开的信息,不应追究刑事责任。具体到司法实践中,即对于收集、存储、使用、加工、传输、提供公开查询工商登记注册中存在的经营者信息不宜作为刑事案件予以打击。同时对于公民个人信息种类的划分,相关司法部门应当尽快厘清基层司法实践困惑,避免同一类信息在不同地方司法机关被认定为不同的信息种类,进而出现罪与非罪之争,导致刑罚失当。