侵犯公民个人信息罪,是网络犯罪中常见的一个罪名,也是笔者长期关注的一个罪名。2016年、2017年和2018年,笔者连续三年都有处理侵犯公民个人信息案件,其中不乏不提请逮捕、不批准逮捕和一审缓刑的案例。
一、公民个人信息的认定
侵犯公民信息罪的犯罪对象,是公民个人信息。涉案信息,是否可以认定为侵犯公民个人信息罪中的“公民个人信息”,如果可以认定,属于何种类型的公民个人信息,直接影响案件的定罪量刑,因为侵犯不同类型的公民个人信息的入罪标准(条数)和法定刑升级标准(条数)也不相同。
根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第一条,公民个人信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。根据《解释》第五条第(三)、(四)、(五)项,行踪轨迹信息、通信内容、征信信息、财产信息,入罪标准是五十条以上;住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息,入罪标准是五百条以上;除上述两类信息以外的其他公民个人信息,入罪标准是五千条以上。
账号密码等ID数据信息是否属于公民个人信息?如果属于,属于何种公民个人信息?以Apple ID及其密码为例,参考广州市越秀区法院的(2017)粤0104刑初312号刑事判决(该案被广东高院列为2017年度涉互联网十大案例之一),Apple ID及密码属于足以影响他人财产安全的信息,适用《解释》第五条第一款第(四)项的规定,五百条以上即构成犯罪。此判例对类似数据信息属于何种公民个人信息的判断,具有一定的示范意义。
批量公民个人信息的条数,如何认定?根据《解释》第十一条第三款确立的数量认定规则,批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。也就说,在批量公民个人信息的案件中,信息数量一般按照查获的数量直接认定,但是如果被告人举证证明信息重复或不真实的除外。鉴于,在当前司法环境下,辩方调查取证能力的先天不足,辩方往往很难举证证明信息不真实或者重复。因此,在案件的侦查阶段,辩护律师通过提出专业的法律意见,提示公安机关调查收集关于“信息不真实或者重复”的证据,就显得非常的有必要,这是从事此类案件辩护的一个非常重要的经验。
二、无罪辩护VS罪轻辩护
司法实践中,大多数侵犯公民个人信息案件,公安机关都会在犯罪嫌疑人的办公场所或者住所,当场搜出储存有公民个人信息的电脑或者其他电子设备。这类案件,有确实、充分的证据证明行为人持有大量公民个人信息,是否有做无罪辩护的空间,关键看证据能否证明涉案公民个人信息来源于非法获取(购买、收受、交换、侵入计算机信息系统、采用其他技术手段),或者行为人存在非法出售、提供公民个人信息的行为。
利用非来源于非法获取的公民联系方式开展合法推销的,不构成侵犯公民个人信息罪。根据刑法第二百五十三条之一的规定,如果行为人不存在非法获取或者非法出售、提供公民个人信息的,那么不构成侵犯公民个人信息罪。因此,利用公民联系方式开展合法推销业务,如果公民联系方式的来源不是非法获取的,不适用《解释》第六条的规定,不构成犯罪。
不属于“情节特别严重”,全额退赃的,有不起诉的可能。《解释》第十条规定,实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。根据上述规定,对于不属于“情节特别严重”(也就是法定刑在三年以下的),且全部退赃的,有不起诉的可能,一旦不起诉,嫌疑人在法律上即属于无罪(也就是俗称的无案底)。