Wonderful activities
【行业资讯】窃取APP里个人信息的性质认定
发布时间:2021-04-18 21:56:01
来源:人民检察(ID:renminjiancha1956) 作者:田宏杰
互联网信息技术的飞速发展,推动了网络应用程序(APP)的发展与普及,深刻地影响着人们的生活。同时,随着APP的开发、推广、运营,一些新型犯罪也滋生频发,如何有效规制由APP引发的多重犯罪,成为刑事法治亟待解决的重大课题。
APP里的公民个人信息,既属于公民个人所有,又为APP系统管理者所共享使用,自应以个人信息而非公民隐私视之。那么,窃取APP里个人信息的行为,在其他犯罪构成要件也都具备的情况下,究应按刑法第二百五十三条之一侵犯公民个人信息罪,还是刑法第二百八十五条规定的非法侵入计算机信息系统罪或非法获取计算机信息系统数据罪定性处理,无论在学术界还是实务部门,皆众说纷纭。
为此,笔者与博士生一起收集了近三年来的相关论著、案例以及新闻报道,有关侵犯公民个人信息罪与非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪界分的文献研究基本没有,是因为两罪的犯罪界限十分清晰,不会发生认定混淆的问题,故无需专门研讨吗?非也。众所周知,刑法只能规制犯罪,但犯罪却并非由刑法单独规制,而是由刑法及其保障的第一保护性规则与调整性规则即前置法共同规制。因而犯罪行为,实际上都是具备双重违法性即刑事违法性与前置违法性的行为,行政犯如此,民事犯也不例外,只不过行政犯的前置法是行政法,民事犯的前置法是民商事法律而已。不仅如此,行为犯罪性或者说刑事违法性的具备,不仅必须以前置违法性的存在为基石,而且必须以前置法之法律责任的产生为必要。不具有前置违法性,或者虽具有前置违法性,但却不能产生前置法上之法律制裁的行为,例如,因与上位法的规定相冲突而不具有法律效力的抽象行政行为,或者虽被宣告无效但却不会导致民事制裁的无效民事行为,绝无具有刑事违法性从而论之以犯罪的可能,否则,即是对刑法最终保障法地位的背离和违反。而犯罪行为前置违法性的具备及其相应法律责任产生的实质,则在于其对调整性法律关系及其相应法律秩序的破坏和侵犯。所以,犯罪行为的危害实质和违法本质,或者犯罪行为性质的认定,取决于前置法而非刑事法的规定。
这样,司法实践中的犯罪认定过程,包括刑事法律的适用解释过程,其实就是一个确定前置法,尤其是刑法所保障的前置法上的确定性法律关系的过程。
所以,窃取APP里的公民个人信息行为,因其违反的前置法及其侵犯的法益本质的不同,而在实践中应当分别如下处理:
如从他人已经合法进入的APP系统里窃取公民个人信息,如被害人甲合法进入自己手机上的某银行APP系统,临时人机分离,行为人趁机将APP里甲的个人信息据为己有。此类行为仅是对被害人个人信息权的侵犯,并未对APP系统的信息空间管理秩序构成侵犯;其所违反的前置法只是对个人信息权进行保护的民法,而非对APP系统的信息管理秩序予以保护的信息安全法等公法,依据前置法定性+刑事法定量的刑事犯罪定罪机制,只应以侵犯公民个人信息犯罪认定处理。
行为人非法进入APP系统窃取公民个人信息,此类行为表面上是对公民个人信息的窃取和公民个人信息权的侵犯,实则是对规制计算机系统安全和信息安全的法律、法规所致力于保护的计算机系统安全和信息空间管理秩序的侵入和破坏,因而其所违反的前置法既有对公民个人信息权进行保护的民法,又有对计算机系统安全和信息空间管理秩序进行规制的信息安全法等公法。由于计算机系统安全和信息空间管理秩序其实是公民个人信息权的集合与扩张,因而两类法益之间存在交叉竞合的关系。由此决定,刑法第二百五十三条之一的侵犯公民个人信息罪与刑法第二百八十五条第二款规定的非法获取计算机信息系统数据罪之间,实则存在法条竞合的关系。其中,刑法第二百八十五条第二款规定的非法获取计算机信息系统数据罪是特别法条之罪,刑法第二百五十三条之一的侵犯公民个人信息罪是一般法条之罪,故而当一行为同时违反这两个法条,同时符合这两个罪的犯罪构成包括罪质和罪量标准时,按照特别法条优于一般法条的法条竞合处理原则,应以非法获取计算机信息系统数据罪定性处理。但是,如果行为人非法侵入刑法第二百八十五条第一款规定的重要的计算机信息系统并获取公民个人信息,由于非法侵入计算机信息系统罪的行为样态中,第二百八十五条第一款明文限定为非法侵入而不含非法获取数据行为要素,刑法第二百五十三之一规定的侵犯公民个人信息罪与第二百八十五条第一款规定的非法侵入计算机信息系统罪之间,并不形成法条竞合关系。因而在此种情形下,实则构成两罪即非法侵入计算机信息系统罪和侵犯公民个人信息罪,应按数罪并罚原则进行并罚处理。行文至此,笔者不能不承认,刑法第二百八十五条第一款的规定其实值得反思。按照非法侵入的计算机系统的重要程度,刑法第二百八十五条第二款设置了相应的犯罪。如果非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统,构成第二百八十五条第一款的非法侵入计算机信息系统罪;如非法侵入的是上述规定之外的其他计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,则构成第二百八十五条第二款的非法获取计算机信息系统数据罪。比较分析不难发现,第一款在行为方式上只限非法侵入行为,并不包含非法获取数据或者信息的行为内容。这是因为,非法侵入国家事务等计算机信息系统并获取其中的数据,如果也可认定为第一款规定的非法侵入计算机信息系统罪,不论情节轻重,法定最高刑均仅为三年有期徒刑,与第二款非法获取计算机信息系统数据罪,情节严重的,法定最高刑可达七年有期徒刑相比,罪责刑无疑严重失衡。而由于系统类别系法定构成要件,由罪刑法定原则决定,非法侵入第二百八十五条第一款规定的计算机信息系统并获取其中的信息或者数据,也不可能以第二款规定的非法获取计算机信息系统数据罪定罪处罚。当然,对此问题的处理,还有一种法律适用可能,那就是非法获取第一款规定的重要系统中的数据,与国家安全、公共安全或者经济安全有关,且符合危害国家安全罪、危害公共安全罪或者破坏社会主义市场经济秩序罪中某一具体犯罪的构成要件,则可按相应犯罪与第二百八十五条第一款规定的非法侵入计算机信息系统罪进行数罪并罚。但如果非法获取第二百八十五条第一款所规定的重要计算机信息系统中的数据或者信息的行为,在危害国家安全、危害公共安全、破坏社会主义市场经济秩序罪中没有相应的刑法条文可予规制呢?显然,这一问题仍然不能得以圆满解决。
需要说明的其他问题
其实,窃取APP里的公民个人信息的定性,实践中远非如此简单。这是因为,窃取APP里的公民个人信息,一般不是行为人的终极目的,申言之,行为人一般不是为窃取公民个人信息而窃取公民个人信息。相反,窃取公民个人信息不过是行为人为实现其犯罪意图而创造条件罢了,紧随其后的往往是窃取钱财、敲诈勒索或者其他侵犯公民财产安全、人身安全的违法犯罪行为,因而此类案件中往往存在着两个危害行为,最终又应当如何定性处理呢?
笔者认为,首先,必须明确的是,窃取信息行为与其后的危害行为虽然是两个性质不同的危害行为,但前一窃取信息行为显然是为后一实现行为人真实犯罪意图行为服务的。表面上,两者是手段行为和目的行为的牵连关系,但由于这一“牵连关系”并非是在多数案件中均普遍存在的必然关系,而是因个案而异,不同个案中的“牵连”危害行为各有不同,有的案件表现为窃取公民个人信息行为与盗窃行为的“牵连”,有的案件中表现为窃取公民个人信息与人身犯罪行为的“牵连”。所以,此种“牵连”关系并非牵连犯中的牵连关系,而实为预备行为与实行行为的关系,即吸收关系。
因之,实践中的窃取公民个人信息案件的处理,也就应当视具体情况分别作如下具体处理:
一、行为人窃取公民个人信息行为和其后的实行行为,各自都构成相应的犯罪,即前者构成侵犯公民个人信息罪或者非法获取计算机信息系统数据罪,后者构成盗窃罪或其他犯罪,不予数罪并罚,而是按吸收犯高度行为吸收低度行为的原则处理。
二、行为人窃取个人信息行为和其后的实行行为,只有一个危害行为完全符合相应的犯罪构成,则仅构成独立的一罪,按其所单独构成的犯罪定性即可,未能构成犯罪的其他危害行为则作为量刑情节,酌情从重处罚。
