白癜风的症状与治疗 http://m.39.net/pf/bdfyy/引子:
随着年《民法典》和《个人信息保护法》的相继出台,如何有效地保护公民个人信息,有了更加完善的法律依据。曾经野蛮生长的保险经纪行业,经过几年的治理,推销保险的骚扰电话得到了有效治理,保险销售也更为正规。但仍然存在一些保险公司销售保险的潜规则,比如委托不具有代理资质的第三方机构开展电销业务,以降低成本增加效益。对于此类不合法行为如何实现依法有效治理?是否应该动用刑罚来对开展此种业务的保险公司员工以侵犯公民个人信息罪来处理呢?本文笔者便以一个亲办案例,试着对这些问题作出回答,以供利益相关者参考,也与各位同行商榷。
#侵犯公民个人信息#
年7月,汉卓律师事务所接受当事人委托,为一起保险公司员工涉嫌侵犯公民个人信息案提供辩护。我与律所同事分别为其中一名涉案当事人提供辩护。经过六个月的持续努力,辩护终获成效,两名被告人均获公诉机关不起诉的良好结果。
一、基本案情
在公安机关打击侵犯公民个人信息犯罪的背景下,年3月,河南省某地公安机关对分散在河南多地的某从事保险电话营销业务的团队以涉嫌侵犯公民个人信息进行刑事立案,并根据线索对牵连其中的中国XX保险公司江苏某分公司员工采取了强制措施。
公安机关起诉意见书认为,蒋某等四人作为保险公司员工,为提高车险客户续保率,完成公司业绩,非法将公司内部待续保客户名单信息提供给未取得代理资质的某保险电销团队负责人孙某,并委托该电销团队开展电话销售完成续保,蒋某、赵某等人共向该电销团队非法提供保险公司客户信息共条,涉嫌刑法第二百五十三条之一的侵犯公民个人信息罪。
二、案件辩护经过
侵犯公民个人信息罪是指,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的行为,或者是将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的行为,或者窃取或以其他方法非法获取公民个人信息的行为。
即该罪客观行为表现为“非法获取”、“非法提供”或“非法出售”公民个人信息。本案中保险公司员工将所掌握的公司客户信息提供给第三方开展续保业务,可能涉嫌“将在履行职责或提供服务过程中获得的公民个人信息提供给他人”的犯罪行为。
我们接手案件时,本案已移送检察院审查起诉,后退回公安机关补充侦查一次。我们两次赴河南阅卷,并结合此类案件的特点,对案件中公安机关收集的大量电子数据一一进行了仔细比对和筛查。
针对本案中的证据问题和法律适用问题,我们深入细致地研讨和论证,认为当事人不构成侵犯公民个人信息罪,主要理由是:1)本案中保险公司员工基于公司业务合作而使用待续保客户信息,这种使用在此前投保单中已告知并获得投保人同意,属于经事先同意的合理使用,不侵犯公民个人信息受保护权,进而不构成犯罪;2)保险公司员工与不具有保险代理资质的电销团队合作,未违反与公民个人信息保护有关的“国家有关规定”,不满足侵犯公民个人信息罪中“违反国家有关规定”的构成要件。据此,我们形成了当事人不构成犯罪并建议对其作不起诉决定的律师意见。
通过专业细致地分析、广泛地检索研究和扎实的工作,我们形成了一份五十页的类案检索报告,并先后向主办检察官递交了三份共四万字的审查起诉律师意见,详细论证了本案中不构成犯罪的事实、证据和法律依据。此外,我们两次与主办检察官面对面沟通,就存在疑惑的争议焦点一一阐释,并对本案公安机关所统计的信息数据存在的问题做了现场演示,使检察官最终予以采信。
三、辩护意见摘要
(一)经被收集者同意的合理使用不构成个人信息侵权,进而不构成侵犯公民个人信息罪
第一,从侵犯公民个人信息罪所保护法益来理解本罪成立的前提条件
犯罪的“保护法益,可谓系各种犯罪立法意旨之所在,足以影响犯罪构成要件之解释及罪数之认定,性质上至为重要。”明确侵犯公民个人信息罪的保护法益,与侵犯公民个人信息的行为是否构成犯罪密切相关。“法益概念为刑法的保护对象提供经验的、事实的基础,法益是作为人们的生活利益而成为保护对象的。不管是在解释论上还是在立法论上,法益概念都起着指导作用。”因此侵犯公民个人信息罪的保护法益为何,决定着该罪构成要件的解释方向与处罚范围。
1、从立法层面理解,本罪所保护的系一种公民个人人身民主权利,是公民个人法益而非超个人的公共法益、社会法益
从刑法第条之一的立法分析,侵犯公民个人信息罪是公民个人的信息受保护权。在我国大一统的刑法立法模式之中,设有犯罪章节,立法者将保护同一类别法益的罪名放在同一个章节。这些犯罪章节所表述的内容,例如刑法分则第一章危害国家安全罪,表明该章犯罪所侵犯的法益是国家(安全)法益;刑法分则第二章危害公共安全罪,表明该章犯罪所侵犯的法益是公共安全法益;……刑法第四章“侵犯公民人身权利、民主权利罪”之表述表明,本章犯罪侵犯的法益是公民个人的人身与民主权利,不包括对公共法益、社会法益的侵犯。
侵犯公民个人信息罪的核心是与公民个人人身等利益相关的信息被非法侵犯,从而造成对公民个人人身安全或者名誉等民主权利受到侵害,刑法才将该罪放置于刑法分则第四章第条之一。可见,本罪所保护的公民个人信息受保护权也是一种公民个人人身、民主权利,而非其他社会法益。
公民个人信息受保护权是一种自然权利,是在人类社会发展演化过程中伴随着社会生活飞速发展而衍生发展出的一种公民个人对与自身隐私、生活安宁、人格尊严等紧密相关的个人信息的所有权和自由支配权。即便对这种个人信息权的保护受到国家有关规定的规制,但这种规制首先是基于权利的自然产生,而非由国家有关规定直接拟制产生。因此,国家有关规定的规制,不能改变其是一种个人人身民主权利的实质。
2、所保护法益决定构成本罪必须以侵犯个人信息权的民事侵权为前提
如前所述本罪所保护的法益系公民个人信息权,且刑法和司法解释对本罪涉案行为违反的国家有关规定做了限制规定,限定于“法律法规规章中有关公民个人信息保护的规定”。这决定了构成本罪必然是以侵犯公民个人信息权这一公民人身民主权利为前提,即至少应当违反国家有关规定构成侵犯个人信息的民事侵权,这是成立本罪的违法性基础。
第二、我国有关公民个人信息保护的规定确立了“明示告知并同意”的侵权豁免原则
根据《民法典》第一千零三十六条第一项之规定:“处理个人信息,有下列情形之一的,行为人不承担民事责任:(一)在该自然人或者其监护人同意的范围内合理实施的行为。”根据《民法典》第一千零三十五条第二款的规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。《民法典》确立了个人信息保护中“明示告知并征得同意”的侵权豁免原则,即在明示告知并征得被收集者同意的情况下,行为人在其授权的范围内合理、正当地收集、使用被收集者个人信息的,不侵犯被收集者的个人信息受保护权,不构成民事侵权。
《中华人民共和国个人信息保护法》(年11月1日施行,以下简称“《个人信息保护法》”)在本意见起草时还尚未正式公布施行,在《个人信息保护法》第十三条规定,“符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;……依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。”
《中华人民共和国网络安全法》(年6月1日施行,以下简称《网络安全法》)第四十一条规定,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”
工业和信息化部《电信和互联网用户个人信息保护规定》(年9月1日施行)第九条第一款规定,“未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。”
上述有关公民个人信息保护的法律法规中也规定了同《民法典》和《个人信息保护法》一致的“明示告知并同意”的侵权豁免原则。可见,在我国有关公民个人信息保护的“国家有关规定”中,均确立了“明示告知并同意”的民事侵权豁免原则。
第三、刑法司法解释将“未经被收集者同意”作为“非法提供公民个人信息”的客观行为要件要素之一
根据《两高办理侵犯公民个人信息案件解释》第三条第二款规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外。”由此规定可知,将合法收集的公民信息,经公民同意而向他人提供的,不属于侵犯公民个人信息罪中的“提供公民个人信息”。这与前述《民法典》、《网络安全法》和《电信和互联网用户个人信息保护规定》等所确立的“明示告知并同意”的侵权豁免原则具有法秩序上的统一性。
综上可知,经明示告知并同意的对公民个人信息的使用,不侵犯公民个人信息受保护权,也不违反《民法典》等国家有关公民个人信息保护的规定。尚不构成民事侵权,当然也就不符合侵犯公民个人信息罪的构成要件。因此,在被收集者被明示告知并同意的范围内处理其个人信息,不构成侵犯公民个人信息罪。
(二)侵犯公民个人信息罪以“违反国家有关规定”为构成要件要素
第一,我国刑法明确将“违反国家有关规定”作为构成该罪的要件要素
根据《刑法》第二百五十三条之一对侵犯公民个人信息罪的规定,第一款中行为人向他人提供公民个人信息构成该罪,以“违反国家有关规定”为前提;第二款中行为人将在履行职责或者提供服务过程中获得的公民个人信息提供给他人而构成犯罪的,同样以“违反国家有关规定”为前提。
上述两款均是在刑法修正案(九)时做的修改,刑法修正案(九)将“违反国家规定”修改为“违反国家有关规定”。与“国家规定”相比,“国家有关规定”的范围更宽,包括法律、行政法规、部门规章等国家层面的涉及公民个人信息保护的规定。但不论是修改前还是修改后,对于构成本罪均要求以违反国家有关公民个人信息保护的规定为前提,而不是任意的规范性文件。
根据《检察机关办理侵犯公民个人信息案件指引》(年11月9日,高检发侦监字13号)的规定:“对证明违反国家有关规定的证据审查,需要明确国家有关规定的具体内容,违反法律、行政法规、部门规章有关公民个人信息保护规定的,应当认为刑法第二百五十三条之一规定的‘违反国家有关规定’。”最高检亦明确“违反国家有关规定”属于构成本罪的要件。因此案件审查时需要明确有关国家规定的具体内容,如果不存在对国家有关规定的违反,则不构成本罪。
第二、“国家有关规定”仅限于与公民个人信息保护有关的法律、行政法规、部门规章
在刑法修正案(九)将“国家规定”修改为“国家有关规定”之后,扩大了内涵范围,正如《检察机关办理侵犯公民个人信息案件指引》中所述:“根据刑法第九十六条的规定,“国家规定”仅限于全国人大及其常委会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。而“国家有关规定”还包括部门规章,这些规定散见于金融、电信、交通、教育、医疗、统计、邮政等领域的法律、行政法规或部门规章中。”但是,这种修改并未超出与公民个人信息保护有关这一限定范畴。
最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(年5月8日,以下简称“《两高办理侵犯公民个人信息案件解释》”)第二条对“违反国家有关规定”做了明确的限制解释:“违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的‘违反国家有关规定’。”《检察机关办理侵犯公民个人信息案件指引》规定:“对证明违反国家有关规定的证据审查,需要明确国家有关规定的具体内容,违反法律、行政法规、部门规章有关公民个人信息保护规定的,应当认为刑法第二百五十三条之一规定的‘违反国家有关规定’。”
因此,本罪中“违反国家有关规定”仅限于法律、行政法规、部门规章中有关公民个人信息保护的规定。
如果一个行为虽违反了其他与金融市场管理、保险行业监管、保险代理监管等有关的法律、行政法规、部门规章,但并不涉及与公民个人信息保护有关的法律规定的违反,就不属于刑法第二百五十三条之一所规定的“违反国家有关规定”,也就不应当对该行为以本罪论处。
(三)本案中赵某等人对投保人个人信息的使用不构成侵犯公民个人信息罪
第一、投保人已事先知情并授权XX保险公司可基于服务必要使用或向合作方提供其个人信息
据市场普遍交易惯例,保险公司在办理车险业务时,除自建销售渠道外,也会与其他第三方销售公司开展合作。例如,与第三方电话销售平台展开合作,委托电销平台使用自有的电销系统帮助保险公司引导客户办理投保、续保等事宜。本案中的电销公司即是与XX保险公司某分公司之间有长期合作关系的保险代销第三方机构。
根据中国XX保险公司统一制式的投保单(见附件:《神州车保系列产品投保单》)中投保人声明部分的约定:“本人授权XX保险集团,除法律另有规定之外,将本人提供给XX保险集团的信息……用于XX保险集团及其因服务必要委托的合作伙伴为本人提供服务、推荐产品、开展市场调查与信息数据分析。本人授权XX保险集团,除法律另有规定之外,基于为本人提供更优质服务和产品的目的,向XX保险集团因服务必要开展合作的伙伴提供、查询、收集本人的信息。”该部分内容在投保单中为单独加粗显示,以明示提醒客户注意。而据XX保险公司工作人员反馈,所有购买该公司车险的投保人均会被告知并签署这样的投保单。显然,从民事关系上投保人已事先同意并授权XX保险公司可以基于服务之必要——为投保人提供服务、推荐产品等——向开展商业合作的伙伴提供其个人信息。
第二、赵某等人因续保事宜将保单明细提供给第三方电销团队,未超出投保人声明中所同意、授权的范围
本案中赵某等人与孙某电销团队之间就投保人个人信息的往来主要有两种情形:一是将车险即将到期的投保人信息(包括孙某曾作为保险公司业务员时办理的保单投保人信息)提供给孙某,让其团队联系投保人办理续保业务;二是赵某等将通过孙某团队营销而成功续保的投保人保单明细与孙某进行对账,确定应当支付的保险服务费。下面分别对两种情形进行分析:
1、为保险即将到期的投保人提示并办理续保属于服务之必要,有投保人的事先同意,不侵犯公民个人信息权
赵某等人涉案行为的实质,是与孙某等第三方电销平台合作,将保险公司即将到期的车险保单的投保人信息交给孙某,由孙某的电销团队以保险公司名义联系投保人,询问投保人是否续保并提供续保相关服务。这种在投保人保期即将届满时向投保人提醒并询问是否续保的服务,既防止了投保人因忘记办理续保而断保,又为客户提供了新的保险产品服务,满足了客服需要。这显然属于“服务必要”,其目的是向投保人“提供更优质服务和产品”。
因此,赵某等人将保单范围内的投保人个人信息提供给孙某电销平台,委托其联系投保人续保,系保险公司及其工作人员对第三方人员的业务委托合作,属于在投保人事先同意、授权的范围内处理其个人信息。符合《民法典》等中有关公民个人信息保护的规定,不构成对公民个人信息的侵权。
2、赵某等人与孙某等对账的投保人信息,均是在开展续保业务时合法收集,传递该信息的行为不具有刑事违法性
续保业务合作过程中,投保人同意续保后,孙某在保险公司的报价出单系统填写保单,生成缴费
