摘要:在當(dāng)前APP非法獲取其用戶數(shù)據(jù)行為泛濫的環(huán)境下,其用戶數(shù)據(jù)安全問題應(yīng)納入刑法討論范圍。APP用戶數(shù)據(jù)本質(zhì)上仍屬于“計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)”,其中個(gè)人信息應(yīng)是重點(diǎn)保護(hù)內(nèi)容;要依據(jù)國家法規(guī),作為其“非法性”的法定依據(jù);確定其“非法獲取”的罪名定性;同時(shí)要注意從形式與實(shí)質(zhì)兩方面把握罪名適用的邊界。
關(guān)鍵詞:用戶數(shù)據(jù);非法獲取;個(gè)人信息;適用邊界
中圖分類號(hào):D924.3??? 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):2095-6916(2020)24-0110-03
隨著互聯(lián)網(wǎng)技術(shù)和通訊技術(shù)的快速發(fā)展,我國已進(jìn)入移動(dòng)互聯(lián)網(wǎng)時(shí)代。近9億網(wǎng)民手機(jī)上網(wǎng)比例高達(dá)99.1%,移動(dòng)互聯(lián)網(wǎng)服務(wù)便捷、即時(shí)、普惠的特點(diǎn)在移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(以下簡稱“APP”)中得到充分體現(xiàn)①。然而,一些APP非法獲取其用戶數(shù)據(jù)的行為嚴(yán)重地?fù)p害了用戶的數(shù)據(jù)安全和個(gè)人信息權(quán)益,其中不乏一些擁有廣大用戶群體的APP。侵犯用戶APP內(nèi)的數(shù)據(jù)安全和個(gè)人信息權(quán)益的行為涉及到兩個(gè)罪名,分別是《刑法》第二百五十三條之侵犯公民個(gè)人信息罪和第二百八十五條非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪,但該類行為是否構(gòu)成犯罪還需要探討以下問題:一是APP用戶數(shù)據(jù)的內(nèi)涵應(yīng)當(dāng)如何辨析;二是APP非法獲取用戶數(shù)據(jù)行為的入罪思路;三是罪名選擇適用以及刑法適用邊界的分析。
一、APP用戶數(shù)據(jù)的內(nèi)涵辨析
(一)APP用戶數(shù)據(jù)本質(zhì)屬于計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)
APP是指通過預(yù)裝、下載等方式獲取并運(yùn)行在移動(dòng)智能終端上、向用戶提供信息服務(wù)的應(yīng)用軟件,其用戶數(shù)據(jù)包括APP內(nèi)用戶的數(shù)據(jù)和移動(dòng)智能終端內(nèi)的數(shù)據(jù)?!毒W(wǎng)絡(luò)安全法》第七十六條規(guī)定:網(wǎng)絡(luò)數(shù)據(jù),是指通過網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。依據(jù)該規(guī)定,APP用戶數(shù)據(jù)符合網(wǎng)絡(luò)數(shù)據(jù)的定義,但我國刑法以及司法解釋尚未采用網(wǎng)絡(luò)數(shù)據(jù)這一概念,而是以計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)作為保護(hù)對(duì)象。
2011年《關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》(以下簡稱《危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件解釋》)將“計(jì)算機(jī)信息系統(tǒng)”“計(jì)算機(jī)系統(tǒng)”界定為“具備自動(dòng)處理數(shù)據(jù)功能的系統(tǒng),包括計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、通信設(shè)備、自動(dòng)化控制設(shè)備等?!边@也實(shí)質(zhì)上將已經(jīng)廣泛運(yùn)用到各個(gè)領(lǐng)域的內(nèi)置有操作系統(tǒng)的具備自動(dòng)處理數(shù)據(jù)功能的設(shè)備都?xì)w為了“計(jì)算機(jī)信息系統(tǒng)”,手機(jī)、平板這一類移動(dòng)智能終端也屬于計(jì)算機(jī)信息系統(tǒng)。APP內(nèi)的數(shù)據(jù)是儲(chǔ)存在移動(dòng)智能終端中或者服務(wù)器中,根據(jù)《解釋》,服務(wù)器也是屬于計(jì)算機(jī)信息系統(tǒng),而“計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)”包括計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù),因此無論是APP內(nèi)的數(shù)據(jù)還是手機(jī)等移動(dòng)端內(nèi)的數(shù)據(jù)在本質(zhì)上都屬于計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)的范疇。
(二)APP用戶數(shù)據(jù)的范圍
在分析APP非法獲取其用戶數(shù)據(jù)的行為前,需要對(duì)APP用戶數(shù)據(jù)的范圍予以明確。首先需要對(duì)APP數(shù)據(jù)與APP用戶數(shù)據(jù)進(jìn)行區(qū)別。APP數(shù)據(jù)一般指的是APP中存儲(chǔ)的數(shù)據(jù),即包括普通用戶均可瀏覽的公開數(shù)據(jù)和未公開的數(shù)據(jù)[1],其中普通用戶均可瀏覽的公開數(shù)據(jù)對(duì)所有用戶是開放的,對(duì)該數(shù)據(jù)的獲取是屬于合法范疇,對(duì)未公開的數(shù)據(jù)的獲取則意味著采取了非法手段,該部分?jǐn)?shù)據(jù)屬于非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪的保護(hù)對(duì)象。而APP用戶數(shù)據(jù)實(shí)質(zhì)上是指用戶的數(shù)據(jù),其不僅包括用戶在APP中的數(shù)據(jù),還包括承載APP的載體即手機(jī)中的數(shù)據(jù)。
從APP非法獲取數(shù)據(jù)的來源看,APP用戶數(shù)據(jù)分為兩類,一是在用戶使用本APP時(shí)產(chǎn)生的數(shù)據(jù),這一類數(shù)據(jù)需根據(jù)用戶協(xié)議所明確的數(shù)據(jù)歸屬來進(jìn)行區(qū)分,屬于APP的數(shù)據(jù)就不屬于用戶數(shù)據(jù)的范疇,一般情況下,此類用戶數(shù)據(jù)一般具有高度的隱私性,例如用戶使用微信產(chǎn)生的聊天記錄和用戶登錄密碼等;二是在本APP之外即手機(jī)內(nèi)的用戶數(shù)據(jù),例如用戶的通訊錄、通話記錄、短信內(nèi)容以及存儲(chǔ)在手機(jī)內(nèi)的各種圖片文檔等數(shù)據(jù)。
(三)APP用戶數(shù)據(jù)的類型化劃分
在APP用戶數(shù)據(jù)中,自然人的姓名、身份證號(hào)碼等可以識(shí)別該個(gè)人的信息屬于重點(diǎn)保護(hù)的對(duì)象,這類數(shù)據(jù)屬于個(gè)人信息。根據(jù)數(shù)據(jù)屬性,可以將APP用戶數(shù)據(jù)劃分為個(gè)人信息和其他計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)。
目前我國的法律法規(guī)已經(jīng)列舉了部分屬于個(gè)人信息的內(nèi)容,例如自然人的姓名、身份證號(hào)碼等,對(duì)于此類數(shù)據(jù),可以直接納入個(gè)人信息的類別之中。除此之外,用戶數(shù)據(jù)中還存在未被明確列舉為個(gè)人信息但與之緊密相關(guān)的數(shù)據(jù),例如用戶的瀏覽記錄。我國法律法規(guī)大多將“識(shí)別”要素作為個(gè)人信息的判斷標(biāo)準(zhǔn)之一,但由于技術(shù)的發(fā)展使得“可識(shí)別”與“不可識(shí)別”的邊界越來越狹窄[2]。雖然在一些民事糾紛案件中,對(duì)于個(gè)人信息的識(shí)別以“識(shí)別”來認(rèn)定,但對(duì)于個(gè)人信息的刑法保護(hù)應(yīng)當(dāng)做嚴(yán)格的限制解釋。即依據(jù)《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》(以下簡稱《侵犯公民個(gè)人信息刑事案件解釋》)對(duì)公民個(gè)人信息作出的規(guī)定,若無法確定為個(gè)人信息,則可以將其視為計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)。
二、APP網(wǎng)絡(luò)運(yùn)營者非法獲取其用戶數(shù)據(jù)行為入罪思路
從涉APP數(shù)據(jù)的網(wǎng)絡(luò)犯罪類型看,主要分為兩種:一種是利用APP及其數(shù)據(jù)實(shí)施犯罪,即“APP工具(手段型)”犯罪形態(tài),尤以實(shí)施網(wǎng)絡(luò)型詐騙犯罪等為主要表現(xiàn)形式;另一種是針對(duì)APP及其數(shù)據(jù)等實(shí)施犯罪,即“APP對(duì)象型”犯罪形態(tài)[3]。而APP非法獲取數(shù)據(jù)的行為則是利用APP所實(shí)施的針對(duì)APP以及其用戶數(shù)據(jù)的違法犯罪活動(dòng),即具有工具型和對(duì)象型的雙重屬性。
(一)行為“非法性”的法定依據(jù)
無論是侵犯個(gè)人信息罪還是非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪都需要以行為“非法性”為前提,以違反前置法為構(gòu)成犯罪的前提條件。非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪違反前置法規(guī)定主要包括《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》和《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》。侵犯個(gè)人信息罪的法定前置條件為“違反國家有關(guān)規(guī)定”,《中華人民共和國刑法修正案(九)》將原二百五十三條之一的“違反國家規(guī)定”修改為“違反國家有關(guān)規(guī)定”,后者的范圍明顯更廣,“國家有關(guān)規(guī)定”除了“國家規(guī)定”外還包括部門規(guī)章,這些規(guī)定散見于各領(lǐng)域的法律、行政法規(guī)或部門規(guī)章中②。作為該罪前置法的國家有關(guān)規(guī)定主要包括《網(wǎng)絡(luò)安全法》《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》和《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等,這些規(guī)定為APP網(wǎng)絡(luò)運(yùn)營者非法獲取其用戶數(shù)據(jù)行為構(gòu)成犯罪提供了“非法性”的法定依據(jù)。
(二)“非法獲取”行為的罪名定性
APP非法獲取其用戶數(shù)據(jù)的主體一般是網(wǎng)絡(luò)運(yùn)營者,即網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者,APP網(wǎng)絡(luò)運(yùn)營者在向用戶提供網(wǎng)絡(luò)服務(wù)的同時(shí)也具有建立信息安全管理制度和保障用戶個(gè)人信息安全的義務(wù)。與他人利用技術(shù)手段非法獲取APP中的數(shù)據(jù)行為相比,APP網(wǎng)絡(luò)運(yùn)營者由于其主體上的優(yōu)勢,在非法獲取其用戶數(shù)據(jù)上更加便捷,其手段方式較前者也存在明顯的差別。對(duì)于“非法獲取”行為的罪名定性要在確定侵害對(duì)象的基礎(chǔ)上進(jìn)一步認(rèn)定。
1.非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪
從規(guī)范上看,行為人實(shí)施非法獲取數(shù)據(jù)行為一般有兩種方式:第一種方式為先侵入計(jì)算機(jī)信息系統(tǒng)內(nèi)部再獲取數(shù)據(jù);第二種方式是采用其他技術(shù)手段獲取數(shù)據(jù)。需要注意的是非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)并不以非法侵入計(jì)算機(jī)信息系統(tǒng)為前提。
APP通常是用戶基于服務(wù)需求自己選擇下載使用,在手機(jī)或平板這一類計(jì)算機(jī)信息系統(tǒng)中存在合法性,并不存在侵入的情況。同時(shí)基于用戶協(xié)議和授權(quán),用戶同意APP獲取其相關(guān)數(shù)據(jù)甚至包括部分敏感信息以便于享受APP的功能服務(wù)。當(dāng)APP未經(jīng)授權(quán),超出權(quán)限的收集用戶手機(jī)內(nèi)的數(shù)據(jù)就構(gòu)成了“利用其他技術(shù)手段”獲取數(shù)據(jù)的行為。例如APP通過植入的SDK(軟件開發(fā)工具包)插件,在用戶不知情的情況下,竊取用戶敏感數(shù)據(jù);還有山寨APP通過混淆用戶下載使用,進(jìn)而竊取用戶的隱私數(shù)據(jù)。這些行為危害計(jì)算機(jī)信息系統(tǒng)的安全,擾亂公共信息管理秩序,在對(duì)公民的手機(jī)和隱私數(shù)據(jù)都造成了威脅的同時(shí),也對(duì)互聯(lián)網(wǎng)企業(yè)的合法權(quán)益造成了危害。
2.侵犯公民個(gè)人信息罪
《刑法》第二百五十三條侵犯公民個(gè)人信息罪規(guī)定了三類行為分別是:向他人出售或提供個(gè)人信息;提供服務(wù)或履職過程中獲得的信息再提供給他人;通過竊取或者其他非法方式獲取。
APP非法獲取用戶數(shù)據(jù)的行為主要為私自竊取并使用用戶數(shù)據(jù)和私自共享給第三方。從行為上看,APP在用戶下載使用APP時(shí)非法獲取數(shù)據(jù),符合《刑法》第二百五十三條第二款的規(guī)定,非法收集公民個(gè)人信息,尤其是收集與提供的服務(wù)無關(guān)的公民個(gè)人信息,所以也明顯符合第三類的竊取或者以其他方法非法獲取公民個(gè)人信息。因此,對(duì)于私自竊取并使用的行為可依據(jù)第三類行為進(jìn)行規(guī)制,若APP非法獲取用戶數(shù)據(jù)并將其出售或者提供給他人的,可依據(jù)第二款規(guī)定進(jìn)行從重處罰。
三、罪名適用以及適用邊界的問題
(一)罪名適用問題
對(duì)于APP非法獲取其用戶數(shù)據(jù)的行為,其可能構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪和侵犯公民個(gè)人信息罪。有學(xué)者認(rèn)為,《刑法》第二百八十五條第二款規(guī)定的非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪是特別法條之罪,侵犯公民個(gè)人信息罪是一般法條之罪,故而當(dāng)一行為同時(shí)違反這兩個(gè)法條,同時(shí)符合這兩個(gè)罪的犯罪構(gòu)成包括罪質(zhì)和罪量標(biāo)準(zhǔn)時(shí),按照特別法條優(yōu)于一般法條的法條競合處理原則,應(yīng)以非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪定性處理[4]。但法條競合是犯罪所侵犯的社會(huì)關(guān)系錯(cuò)綜交織的現(xiàn)實(shí)狀態(tài)造成的,無論犯罪是否發(fā)生,人們都可以通過對(duì)法律條文內(nèi)容的分析而確定各個(gè)法條之間原本依刑事立法就實(shí)際存在的重合或者交叉關(guān)系[5]。而非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪和侵犯公民個(gè)人信息罪中無法僅通過條文確定其存在重合和交叉,因此二者不構(gòu)成法條競合。
通過對(duì)其行為分析,當(dāng)非法獲取的數(shù)據(jù)屬于個(gè)人信息時(shí),該行為一方面侵入和破壞了信息空間管理秩序和計(jì)算機(jī)信息系統(tǒng)安全,另一方面還侵犯了公民的個(gè)人信息權(quán)利,其一行為同時(shí)觸犯了兩類不同的法益,觸犯了以上兩個(gè)罪名,適用任何一個(gè)法條都不能全面、充分評(píng)價(jià)該行為的不法內(nèi)容,因此應(yīng)當(dāng)認(rèn)定為想象競合關(guān)系。另外,根據(jù)計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)和個(gè)人信息的關(guān)系來看,在APP用戶數(shù)據(jù)這一限定條件內(nèi),計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)和個(gè)人信息屬于包容關(guān)系,但排除限定條件來看,兩者屬于交叉的關(guān)系,個(gè)人信息并非一定以計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)的形式呈現(xiàn),因此兩個(gè)罪名不存在一般法條與特殊法條之分。
因此,對(duì)于APP非法獲取其用戶數(shù)據(jù)的行為的罪名適用應(yīng)依照以下處理原則:一是非法獲取的用戶數(shù)據(jù)不屬于個(gè)人信息,并且達(dá)到了情節(jié)嚴(yán)重的標(biāo)準(zhǔn),應(yīng)當(dāng)以非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)論處;二是非法獲取的用戶數(shù)據(jù)明確在個(gè)人信息的范圍時(shí),并且滿足情節(jié)標(biāo)準(zhǔn)的,構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)罪與侵犯公民個(gè)人信息罪的想象競合,從中擇重處罰,但由于兩罪名法定刑輕重完全相同,需要根據(jù)犯罪情節(jié)比較孰輕孰重,然后按照較重之罪進(jìn)行適用。
(二)適用邊界問題
當(dāng)前,APP數(shù)據(jù)的安全問題已得到了明顯重視,但更多關(guān)注的是第三方非法獲取APP數(shù)據(jù)的行為。APP與用戶之間基于協(xié)議有數(shù)據(jù)的授權(quán)和使用行為,存在行為的合法性,也正因?yàn)槿绱?,APP非法獲取用戶數(shù)據(jù)的行為往往偽裝隱藏在合法的數(shù)據(jù)使用行為下,并且作為網(wǎng)絡(luò)運(yùn)營者,其非法獲取數(shù)據(jù)更便利且侵害對(duì)象是所有用戶,具有嚴(yán)重的危害性。在當(dāng)前APP非法獲取其用戶數(shù)據(jù)行為泛濫的情況下,對(duì)于構(gòu)成犯罪的行為予以刑事打擊是非常必要的,但同時(shí)也要把握好適用邊界,以刑事作為最后的保障手段。在明確其行政違法的基礎(chǔ)上考量實(shí)際危害性,從形式和實(shí)質(zhì)兩個(gè)方面把握適用邊界。
一是滿足“情節(jié)嚴(yán)重”構(gòu)成要件的形式邊界,對(duì)于APP非法獲取其用戶數(shù)據(jù)的行為,應(yīng)嚴(yán)格按照構(gòu)成要件進(jìn)行認(rèn)定,同時(shí)需要符合“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)。根據(jù)《危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件解釋》的規(guī)定,非法獲取計(jì)算機(jī)信息系統(tǒng)罪需要達(dá)到非法獲取支付結(jié)算、證券交易、期貨交易等網(wǎng)絡(luò)金融服務(wù)的身份認(rèn)證信息十組以上、獲取前項(xiàng)以外的身份認(rèn)證信息五百組以上、違法所得五千元以上或者造成經(jīng)濟(jì)損失一萬元以上或者有其他情節(jié)嚴(yán)重情形的標(biāo)準(zhǔn)。構(gòu)成侵犯公民個(gè)人信息罪則應(yīng)當(dāng)嚴(yán)格按照《侵犯公民個(gè)人信息刑事案件解釋》第五條所規(guī)定的情形判斷是否滿足“情節(jié)嚴(yán)重”。
二是把握侵犯犯罪客體的實(shí)質(zhì)邊界,對(duì)于在形式上滿足犯罪構(gòu)成要件的行為,仍然要分析其是否嚴(yán)重侵犯了犯罪客體。從刑法體系看,非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪規(guī)定在《刑法》第六章妨害社會(huì)管理秩序罪第一節(jié)擾亂社會(huì)公共秩序罪中,侵犯公民個(gè)人信息罪規(guī)定在第四章侵犯公民人身權(quán)利和民主權(quán)利罪中。一方面APP非法獲取其用戶數(shù)據(jù)應(yīng)受到刑事規(guī)制,但另一方面對(duì)于形式上滿足犯罪構(gòu)成要件的行為可能并未嚴(yán)重侵犯犯罪客體,例如APP超出權(quán)限收集用戶的數(shù)據(jù)進(jìn)行分析使用,僅僅是為了更好地提供服務(wù)謀取利潤而不是提供給他人,且并沒有刑法意義上的違法性認(rèn)識(shí),即使在形式上滿足犯罪構(gòu)成要件,也很難認(rèn)定其嚴(yán)重侵犯了公民的人身權(quán)利或者嚴(yán)重?cái)_亂了社會(huì)公共秩序,因此對(duì)于APP非法獲取其用戶數(shù)據(jù)予以刑事規(guī)制的同時(shí)應(yīng)嚴(yán)格把握其適用邊界。
注 釋:
①《APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理報(bào)告2019》。
②最高人民檢察院《檢察機(jī)關(guān)辦理侵犯個(gè)人信息案件指引》(2018)。
參考文獻(xiàn):
[1]歐陽本祺,曹莉.非法獲取他人APP數(shù)據(jù)的刑法定性[J].人民檢察,2018(7).
[2]韓旭至.個(gè)人信息概念的法教義學(xué)分析[J].重慶大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版),2018(2).
[3]孫道萃.非法獲取APP數(shù)據(jù)行為的刑法教義學(xué)分析[J].人民檢察,2018(7).
[4]田宏杰.竊取APP里個(gè)人信息的性質(zhì)認(rèn)定——兼論個(gè)人信息與個(gè)人隱私的界分[J].人民檢察,2018(7).
[5]曲新久.刑法學(xué)[M].第5版.北京:中國政法大學(xué)出版社,2016:179.
作者簡介:冉植權(quán)(1994—),男,漢族,重慶人,單位為北京師范大學(xué)刑事法律科學(xué)研究院,研究方向?yàn)橹袊谭ā?/p>
(責(zé)任編輯:李直)