周光權：擷取已公開個人資訊并出售牟利的定罪争議

“刑民（行）關系與犯罪認定”

擷取已公開個人資訊并出售牟利的定罪争議

作者：周光權，清華大學法學院教授

來源：法治日報法學院2021年9月22日，第9版

對于未經被收集者同意，擷取部分已在公衆網絡上公開的企業登記資訊、征信資訊并出售或提供給他人的情形是否定罪，在實務上曆來有争議。

“有罪說”是實務上一直以來的多數說（2017年刑事司法解釋第五條第3款也将征信資訊作為敏感資訊進行保護，其中可能包含已公開的個人資訊）。此說的基本主張是：個人資訊與個人隐私不同。個人已公開的資訊不再具有隐私特性，但仍不失其識别個人的功能，擷取或者利用這樣的資訊仍然可能侵害個人私生活的安甯，危及公民人身或者财産權利，是以，從市場主體資訊中剝離出來的個人姓名及身份證件号碼、家庭住址、通訊方式等資訊，仍然具有個人資訊的本質屬性。行為人未經個人同意從企業資訊中将個人資訊剝離出來進行處理的，可以成立本罪。例如，被告人田某使用QQ郵箱從他人處非法擷取載有公民個人征信資訊的檔案，内有公民個人征信資訊去重後計166條，法院認定被告人田某違反國家有關規定，非法擷取公民個人資訊，情節特别嚴重，其行為已構成侵犯公民個人資訊罪。被告人黃某某為了推銷貸款中介業務，以300元的價格，通過電子郵箱接收的方式，從其同僚羅某處購買公民個人資訊合計284條，其中個人征信報告224條，檢察機關指控被告人構成本罪。

實務中，少數判決認同“無罪說”。例如，法院經審理後認為，公訴機關指控被告人從他人處“擷取的16165條資訊中的6260條資訊，司法審計書反映為法人資訊，不屬于公民個人資訊，依法應予排除”。“無罪說”的主要理由是：根據《企業資訊公示暫行條例》（2014年）第八條的規定，企業應當于每年1月1日至6月30日，通過企業信用資訊公示系統向工商行政管理部門報送上一年度報告，并向社會公示。其第九條規定，企業年度報告中應當包括企業通信位址、郵政編碼、聯系電話、電子郵箱等資訊等内容。是以，企業根據法律法規規定或為經營所需而必須通過企業年度報告等檔案公開其企業資訊，上述資訊已進入公共資訊系統，任何人都可以公開查詢，其中企業名稱及法定代表人姓名、電話号碼等内容，在市場監管部門設立的《國家企業信用資訊公示系統》中能夠輕易查詢。在上述公開網絡中存在的個人資訊，既不涉及個人隐私，也包含着個人放棄權利的同意在内，即便法定代表人是自然人，但對與之相關的資訊不應再視作個人資訊，或者可以說成是“值得刑法保護的個人資訊”并不存在，即使其中包含了個人的姓名、聯系方式、手機号碼等，也不屬于本罪要保護的個人資訊。

此外，根據《征信業管理條例》（國務院2013年1月21日釋出）第二十一條的規定，征信機構可以通過資訊主體、企業交易對方、行業協會提供資訊，政府有關部門依法已公開的資訊，人民法院依法公布的判決、裁定等管道，采集企業資訊。企業在經營過程所公開的相關資訊被征信機構采集後，其中的個人資訊也就屬于企業公開征信資訊的範疇。從這個意義上講，不能将刑法意義上的公民個人資訊與企業征信資訊所包含的自然人姓名及聯系方式等資訊絕對等同。這一觀點能夠得到《征信業管理條例》第十三條的印證。該條明确規定：“采集個人資訊應當經資訊主體本人同意，未經本人同意不得采集。但是，依照法律、行政法規規定公開的資訊除外。企業的董事、監事、進階管理人員與其履行職務相關的資訊，不作為個人資訊。”這裡的“企業的董事、監事、進階管理人員與其履行職務相關的資訊，不作為個人資訊”即明确否定了與公開的企業資訊有關的自然人身份資訊不屬于個人資訊。成立侵犯公民個人資訊罪須以行為違反國家有關規定為前提。對于這種部門法不再保護的已公開資訊中的個人資訊，将其作為本罪對象是不合适的，否則就會不當擴大打擊面。

最高人民檢察院《檢察機關辦理侵犯公民個人資訊案件指引》（高檢發偵監字〔2018〕13号）指出，對于企業工商登記等資訊中所包含的手機、電話号碼等資訊，應當“明确該号碼的用途”。對由公司購買、使用的手機、電話号碼等資訊，不屬于個人資訊的範疇，進而嚴格區分“手機、電話号碼等由公司購買，歸公司使用”與“公司經辦人在工商登記等活動中登記個人電話、手機号碼”兩種不同情形。這一指引似乎仍然堅持了已公開的資訊中屬于個人的資訊是本罪對象的觀點，但缺乏可操作性。因為在實行實名制購買手機号碼的今天，手機号碼由公司購買的情形本來就難以做到，手機号碼是否歸公司使用就更難以判斷，最終的結局是一旦發生侵權的情形，即便是公司購買的手機号碼，被害機關也可能主張公司和個人混用，進而總是能夠得出行為人成立侵犯個人資訊罪的結論。

對于從已公開的企業資訊中擷取公民個人資訊的行為總體上定罪的态勢，在民法典通過之後似乎得到了一定程度的扭轉，這是值得關注的動向。例如，2020年5月至7月，吳某在天眼查、企查查等網站下載下傳公開的各地企業工商登記資訊，梳理分類後共出售1.8萬餘條資訊，獲利1萬餘元。公安機關以涉嫌侵犯公民個人資訊罪傳喚吳某，後該案被移送至江蘇省泰州醫藥高新區人民檢察院審查起訴。檢察官認為，公安機關根據2017年刑事司法解釋第三條規定的“未經被收集者同意，将合法收集的公民個人資訊向他人提供的”，屬于提供公民個人資訊，進而認定吳某的行為涉嫌本罪。但民法典自2021年1月1日起正式施行，給案件處理帶來了新變化。民法典第一千零三十六條規定，合理處理該自然人自行公開的或者其他已經合法公開的資訊的，行為人不承擔民事責任。但是該自然人明确拒絕或者處理該資訊侵害其重大利益的除外。根據這一規定，既然沒有證據證明吳某出售合法公開資訊的行為遭到權利人拒絕或侵害其重大利益，就不應當認定為構成侵犯公民個人資訊罪。為此，檢察機關建議公安機關撤案。2021年1月7日，公安機關對吳某解除取保候審，并予以撤案（參見盧志堅、白翼軒、田競：《出賣公開的企業資訊謀利：檢察機關認定行為人不構成犯罪》，《檢察日報》2021年1月20日，第一版）。

雖然這一動向的持續效果如何還有待觀察，但是，如果對于從已公開的企業資訊中擷取公民個人資訊的行為一概作無罪處理，這樣的思考方式顯然太粗放，應當結合處理公開資訊的目的和用途思考。