信息网络时代,“数据就是新的石油资源”,数据凸显了越来越重要的市场价值,逐渐成为了一项主要的生产要素。一些网络科技企业,敏锐地意识到数据的价值,率先捕捉市场机遇,整合企业数据资源,提供、出售数据,进行商业变现,逐渐将数据交易发展成一项主要业务。
企业获取整合数据再提供出售,如果提供出售的数据涉及个人信息,极易踩踏法律红线,给企业带来侵犯公民个人信息的刑事风险。
数据企业在网络上爬取信息,获取已在公众网络上公开的个人信息,而提供出售的行为,是否构成侵犯个人信息罪,实务中历来有争议,出现了不同的判例。
一、判例中对处理已公开的个人信息的定性
(一)有罪说
即构成侵犯个人信息罪,这是实务上一直以来的多数说,此说的基本主张是,已公开的个人信息,由于已公开,虽然不再具有隐私特性,但仍不失其识别特定自然人的特性,获取或者利用这样的信息仍然可能侵害个人私生活的安宁,危及公民人身或者财产权利,从而,获取已公开的个人信息,再对外提供出售,构成侵犯个人信息罪。以下几个案例,均将已公开的企业信息里的个人信息认定为属于刑法保护的公民个人信息。
最高人民法院也支持有罪说,在其主办的《人民司法(案例)》2018年第32期中,刊载了《公开的工商企业登记信息也可成为公民个人信息》一文,该文就已公开的企业信息里的个人信息属于刑法保护的公民个人信息阐明观点,指出个人信息权,具体可以归纳为可识别信息、活动情况和可能影响人身、财产安全的信息三大类。公开性并非公民个人信息的排除事由,行为人未经被收集者同意,将部分能够识别到特定自然人的网络公开的工商企业登记信息出售或提供给他人,即使其获取手段合法,亦属于提供公民个人信息行为。
(二)无罪说
实务中,少数判决认同无罪说。无罪说的主要理由是:已公开的个人信息,行为人收集整理后,出售或提供给他人,没有增加对个人信息的法益侵害。比如,企业公示信息,是根据《企业信息公示暂行条例》(2014年10月1日实施)的规定依法公开的,企业年度报告中应当包括企业通信地址、邮政编码、联系电话、电子邮箱等信息等内容。因此,企业根据法律法规规定必须公开的信息,任何人都可以公开查询,法定代表人姓名、电话号码等,在《国家企业信用信息公示系统》中可公开查询。此类公开信息不应再视作个人信息,不属于本罪要保护的个人信息。
2018年6月21日,最高人民法院主办的《人民法院报》在刊载了《公民个人信息刑法保护的例外》一文,援引了经广东省深圳市罗湖区人民法院一审、广东省深圳市中级人民法院二审的案例,在裁判要旨中认定:企业根据法律法规规定或为经营所需而公开的企业信息,即使包含了个人姓名、联系方式,亦不属于刑法意义上的公民个人信息,原审认定该类信息属公民个人信息有误。
无罪说,在民法典施行后,得到进一步支持。民法典第1036条规定,合理处理该自然人自行公开的或者其他已经合法公开的信息的,行为人不承担民事责任。检察机关在审查侵犯个人信息罪案件时认为,对外公示的企业法定代表人信息中有相当部分仅为法定代表人的姓名和手机号码,它既不同于财产信息、交易信息等敏感信息,又不同于一般公民个人信息,无法识别特定自然人身份或反映特定自然人活动情况,故不应认定为公民个人信息,行为人不应当认定为构成侵犯公民个人信息罪。
2021年1月20日,《检察日报》刊发报道“出卖公开的企业信息谋利:检察机关认定行为人不构成犯罪”。报道提及的案件中,犯罪嫌疑人吴某,在2020年5月至7月,通过天眼查、企查查等网站下载公开的各地企业工商登记信息,梳理分类后共出售1.8万余条信息,获利1万余元。公安机关以涉嫌侵犯公民个人信息罪传唤吴某,后该案被移送至泰州医药高新区人民检察院审查起诉。泰州医药高新区人民检察院认为,公安机关根据2017年《刑事案件司法解释》第3条规定的“未经被收集者同意,将合法收集的公民个人信息向他人提供的”,属于提供公民个人信息,从而认定吴某的行为涉嫌本罪。但民法典自2021年1月1日起正式施行,给案件处理带来了新变化。《民法典》第1036条规定,合理处理该自然人自行公开的或者其他已经合法公开的信息的,行为人不承担民事责任。但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。根据这一规定,既然没有证据证实吴某出售合法公开信息的行为遭到权利人拒绝或侵害其重大利益,就不应当认定为构成侵犯公民个人信息罪。为此,检察机关建议公安机关撤案。2021年1月7日,公安机关对吴某解除取保候审,并予以撤案。
青岛市城阳区人民检察院在青城阳检一部刑不诉〔2021〕90号《不起诉决定书》中指出,经侦查认定“2018年下半年,被不起诉人王某某欲提供给刘某某**项目信息,误发送了一些企业信息给刘某某,包括企业名称、统一社会信用代码、法定代表人、企业类型、成立日期、注册资本、地址、邮箱、经营范围、电话等信息”。最终,公诉机关认定“王某某向他人提供的上述企业信息不属于结合识别特定自然人身份或者反映特定自然人活动情况的公民个人信息,没有向他人出售或提供公民个人信息、窃取或者以其他方法非法获取公民个人信息的犯罪事实”,对王某某作不起诉处理。
二、获取已公开之个人信息后提供出售可能构罪的情形
通过对有罪说、无罪说进行分析,结合司法裁判案例中的论述逻辑、认定结论,要判断获取已公开之个人信息后提供出售是否构成侵犯个人信息罪,笔者认为,可从分析提供出售信息是否对信息主体的利益构成侵害来入手,如果对信息主体的法益构成侵害,危害到信息主体的人身财产安全,那么就有可能构成侵犯个人信息罪。
按照民法典、个人信息保护法的相关规定,处理已公开的个人信息,仅在合理利用该信息的限度内不需要得到信息主体的同意,如果“处理该信息侵害其重大利益的”,就应当得到或重新取得个人的同意。在特定的情况下,自然人的个人信息虽然是自己主动公开或者是通过其他合法方式公开的,但若处理这些个人信息的行为损害该自然人重大利益的,行为人就不能免除责任。
例如,某人对外公开了自己的电话号码,行为人收集了大量的该类已公开信息,出售转卖获利,甚至被下游使用者用于违法犯罪,处理个人信息明显违背个人公开其信息的目的,改变已公开信息的用途,就可能构成侵犯个人信息罪。例如,从网络上爬取公开的个人手机号码,出售转卖后被用于对个人进行追踪定位的,使他人的生命、身体陷入危险,显然违背了他人公开其信息的目的和用途,该出售转卖行为构成侵犯个人信息。
三、实务上不宜认定构罪的情形
笔者认为,对于处理个人已公开的信息有以下情形的,不宜定罪:
第一类是,获取已公开的个人信息后,提供出售的目的与信息主体公开的目的一致的,比如,市场企业在企业注册登记系统、商业营销网站公开个人信息,其目的是为了扩大信息扩散范围,寻找商业机会,促进企业自身发展。行为人在网络上获取该类个人信息,整理汇总后提供出售,也是基于扩大信息的商业价值,提供给下游合法经营的处理者,帮助信息主体的信息在商业领域扩大价值,则该出售转卖的目的,与该企业的经营发展目的相一致的,应当认定该处理信息行为具有合理性。
例如,业务营销人员为开展市场营销,推销产品或服务,主动公开了姓名、地址,联系电话、微信号等,行为人将该类信息收集,出售或提供给相应行业的中介平台,中介平台整合信息资源,撮合营销方和需求方达成交易,在该场景中,行为人为了提供出售而获取他人已公开的个人信息,但已公开信息主体也是为了开展市场营销等经济活动而公开个人信息的,因此,行为人获取、使用个人信息的行为与信息主体的目的之间具有大致相同性,其对信息的处理相对具有合理性。因此,不宜将为了促进扩展业务、推销产品、开展市场营销而获取、提供公开的个人信息的行为认定为犯罪。
第二类,获取已公开的个人信息而提供出售的目的是为企业发展提供服务,如提供融资贷款等金融支撑的情形。行为人收集已公开的个人信息,而提供出售给能给企业发展提供支撑帮助服务的个人或企业,不应当认为侵犯个人信息罪。在(2018)苏0312刑初74号中,被告人罗某将收集的企业公开信息通过邮件,提供给推销POS刷卡机业务的被告人唐某某,该企业公开信息包含公民个人征信信息共计456条,法院认定被告人构成侵犯个人信息罪。这一定罪结论是否妥当值得推敲。企业创立发展的目的就是开展市场交易活动,通常需要金融结算工具来开展业务。行为人获取企业登记信息构提供给向其推销POS机的营销人员,不宜认定为违背企业公开其个人信息的经营目的,并未侵害个人的信息自主权。
此外,企业的业务发展一般需要资金支持,行为人为了帮助企业办理借款,在公开的互联网上获得企业信息及法定代表人手机号码等信息,然后将该信息提供给小贷公司乃至职业放贷人的,也应不被认定为构成本罪,因为企业自愿公开其个人信息的目的是获取贷款,将这些公开的个人信息用于与此有关的业务的,没有违背个人信息公开的目的,也未改变信息用途,该信息不值得动用刑法来保护。
四、结语
据此,本文的基本结论是:对于获取公开信息如企业注册登记信息等中的个人信息,然后将其提供、交换给他人的,应考察提供出售的目的与信息主体公开的目的是否一致,对于已公开的个人信息进行处理,向他人提供、交换、出售等,在与该信息公开的目的没有根本抵触的,无论被处理的信息数量到何种程度,都不宜定罪,该已公开的个人信息并非侵犯个人信息罪的行为对象。
但是,处理已公开的个人信息侵害了被害人的法益处分自由,有以下情形之一的,应当被认定为侵犯个人信息罪:一是明显违背已公开个人信息的公开目的;二是明显改变已公开个人信息的用途;三是利用已公开个人信息实施可能危及公民人身或财产安全的违法犯罪行为。
值得注意的是,随着民法典的施行,基于合理处理该自然人自行公开的或者其他已经合法公开的信息的,行为人不承担民事责任的原则,以合理目的出售转卖已公开的个人信息,逐渐被认定为不构成侵犯个人信息罪。
另一方面,虽然企业公开信息里个人信息不属于刑法意义上的公民个人信息,但并不意味着所有从事出售转卖企业信息业务的行为都不构成犯罪。对于司法实践中出售、购买企业公开信息仅用于满足企业正常生产经营中的数据需求的单位和个人,则不宜以非法获取公民个人信息罪定罪处罚,这也符合刑法谦抑性的原则要求。
企业获取已公开之个人信息后提供出售是否构成侵犯个人信息罪
作者:陈超来源:广悦数据合规研究院

信息网络时代,“数据就是新的石油资源”,数据凸显了越来越重要的市场价值,逐渐成为了一项主要的生产要素。