编者按:债务催收过程中,因为债务人联系方式的变动导致债务人失联,有的催收人员通过购买债务人新的联系信息的方式实现催收。催收人员为何要购买债务人新的联系信息?这种购买后用于催收的行为是否应该认定为侵犯公民个人信息罪?张永红教授在本次问答中给出了答案:获取债务人新的联系信息是进行催收的前提,然而目前的立法无法确保催收人员有效获取实现催收所必需的债务人的联系信息,故催收人员不得已而购买债务人的联系信息。催收人员为了催收合法债务购买债务人联系信息并将其用于催收(而无出售或者散布行为),因其获取债务人联系信息具有法律依据,符合《民法典》及《个人信息保护法》的规定,没有民事违法性和行政违法性,更不可能具有刑事违法性,没有侵犯“侵犯公民个人信息罪”的保护法益。单纯的债务人联系信息不具有单独识别债务人身份的特点,不属于侵犯公民个人信息罪所要求的“公民个人信息”。因此,催收人员购买失联债务人联系信息的行为既不符合侵犯公民个人信息罪行为对象的要求,也不符合侵犯公民个人信息罪保护法益的要求,不构成侵犯公民个人信息罪。
问:债务催收公司的有些员工会购买债务人联系信息用于催收,有的司法机关认定该行为构成侵犯公民个人信息罪,本次我们向您请教一下这方面的问题。
答:好的。
问:债务人在借款时都会留下其联系信息,催收公司通过合法途径接受金融机构委托时,可以从金融机构合法获得债务人的联系信息,既然如此,那么催收人员还有必要进一步获取债务人的联系信息吗?
答:债务人的联系方式可能发生变化,有的债务人为了逃避还款,甚至恶意更换联系方式(如手机号码、电子邮箱)而不告知债权人,所以就必须获取债务人新的联系信息。
问:债务催收中,催收人员有合法的方式获取债务人新的联系信息吗?
答:有,具体而言,有以下六种途径或方式:(1)从金融从业机构处获取债务人新的联系信息。(2)从债务人亲属或者其他联系人处获取债务人新的联系信息。债务人借款时会留下其亲属或者其他联系人的姓名和联系方式,催收人员在无法与债务人取得联系时,通过联系上述债务人的亲属或者其他联系人,获取债务人新的联系信息。(3)从债务人所在村委会、居委会、工作单位、辖区派出所获取债务人新的联系信息。债务人借款时会填写身份证号码、家庭住址、户籍地、工作单位、辖区派出所等,催收人员据此联系其所在村委会、居委会、工作单位、辖区派出所,以获取债务人新的联系信息。(根据身份证号码可以查知村委会、居委会及辖区派出所,故有时债务人借款时虽未填写所属村委会、居委会或者辖区派出所,催收人员亦可通过债务人的身份证号码进一步确定上述信息,这在债务催收行业中被称为“户籍追踪”。)(4)从公开的网站或者信息查询系统获取债务人新的联系信息,如从百度、三百搜、裁判文书网、执行信息公开网、企业信用信息公示系统等查询债务人新的联系信息。(5)通过债务人微信、微博、QQ、抖音等公开社交平台获取债务人新的联系信息。债务人的微信、微博、QQ、抖音等公开社交平台上可能包含其新的住址、工作单位、手机等联系方式,催收人员可以查看债务人的上述社交平台而获取其新的联系信息。(6)通过移动、联通、电信等网络运营商获取债务人新的联系信息。催收人员拨打移动、联通、电信的客服电话,告知其债务人的相关信息(该信息为金融从业机构提供给催收企业),从而获取债务人新的联系信息,如债务人近期使用的手机号码等。
问:上述六种获取债务人新的联系信息的方式都是合法的吗?
答:是的。如上述第(1)(2)(3)(6)种方式,其合法性根据均在于履行借款合同所必需,而上述第(4)(5)种方式,其合法性根据除了履行借款合同所必需之外,还有《个人信息保护法》第13条中的一项明确规定,即对于“依照本法规定在合理的范围内处理已经合法公开的个人信息”,可以直接获取而无须取得个人同意。
问:既然可以通过上述六种合法方式获取债务人新的联系信息,那么催收人员为什么还要购买债务人联系信息呢?
答:上述六种获取债务人联系信息的方式虽然具有法律依据,即催收人员通过上述六种方式获取债务人联系信息具有合法性,然而实践中采用这六种方式不仅难以实现对债务人联系信息的获取,更有可能因此而构成违法甚至犯罪。因为相关主体完全可能出于自身的考虑或者顾虑,不愿向催收人员提供债务人新的联系信息。例如,金融从业机构与催收企业的合同中一般不规定其负有向催收企业提供债务人新的联系信息的义务,且金融从业机构如要获取债务人新的联系信息会增加其工作量和成本(金融从业机构可能需要付费才能从网络运营商处获取债务人新的联系信息),所以金融从业机构不愿向催收企业提供债务人新的个人信息,而催收企业也往往不会请求金融从业机构予以提供;又如,债务人所在地的村委会、居委会、辖区派出所、工作单位以及移动、联通、电信等网络运营商与债务人之间并无密切关系,与债务人欠款之事没有任何关系,其担心向催收企业提供债务人联系信息后引起麻烦(如债务人对其抱怨、投诉甚至攻击等),基于“多一事不如少一事”这种趋利避害的心理而拒绝向催收企业提供债务人联系信息;再如,债务人的亲属、联系人与债务人具有密切联系,往往具有亲密关系,常常会出于保护债务人的考虑而拒绝向催收企业提供债务人的联系信息。如果催收人员为了获取债务人联系信息而过多联系第三方,就有可能被投诉甚至被认定为骚扰、滋扰等软暴力,进而可能受到行政处罚甚至刑事处罚。
问:这我就有点儿不解了,催收人员可以通过上述六种方式去获取债务人新的联系方式,这是合法的,为什么这种合法的权利却难以实现呢?
答:原因是多方面的:(1)催收企业对于债务人联系信息的获取和使用权没有专门、明确的法律规定。必须肯定,催收企业的信息获取和使用权是有法律依据的。民法中关于债权的规定是其法律依据,《个人信息保护法》施行后,该法中的相关规定又进一步为其提供了法律依据,所以不能认为催收企业的信息获取和使用权没有法律依据。现在的问题是:关于催收企业的信息获取和使用权没有“专门和明确”的法律规定,因为我国没有对催收进行专门立法,故而不存在专门针对催收中获取和使用个人联系信息的明确规定。虽然从《民法典》和《个人信息保护法》中可以找到催收企业享有个人信息获取和使用权的依据,但是毕竟还需要经过分析、推理和论证,而分析、推理和论证还可能受到质疑和否定,这就使得催收企业的信息获取和使用权的法律依据似乎变得模糊起来。因此,有必要对催收进行专门立法,并在立法中明确规定催收企业的信息获取和使用权。(2)债务人个人联系信息的掌握者,法律没有规定其负有向催收企业提供的义务。催收企业虽然有权进一步获取债务人新的联系信息,但是,债务人新的联系信息的拥有者却并没有向催收企业提供的法律义务,从而使得催收企业的此项权利实际上被架空。例如,催收企业有权向债务人的亲属、联系人、所在村委会、居委会、辖区派出所、工作单位乃至移动、联通、电信等网络运营商获取债务人新的联系信息,然而,法律并未规定上述主体负有向催收企业提供债务人新的联系信息的义务,这就造成了一种极为尴尬的局面:催收企业有权获取,但相关主体无义务提供。既然相关主体无法律上的提供义务,那么其完全可以不予提供,而无须顾虑不提供行为的法律后果。正因为相关主体不具有向催收企业提供债务人联系信息的义务,所以催收企业员工如果过多联系相关主体,就会遭到投诉。可以认为,催收企业获取失联债务人新的联系信息之所以受限,主要是因为债务人新的联系信息的掌握者没有法律上的义务向催收企业提供以及其自身的考虑或者顾虑,就这两种原因而言,前者应是重要的,因为法律如果规定了相关主体的信息提供义务,则其很大程度上无须顾忌债务人找麻烦,更会考虑到拒绝提供所要承担的法律后果,就会向催收企业提供。如此一来,也可避免催收人员过多联系相关主体而引发的矛盾和冲突。因此,如果能够对于催收进行专门立法,那么在立法中应该明确规定相关主体向催收企业提供债务人联系信息的义务。(3)催收企业信息获取的渠道不是很通畅,信息获取的方式不是很便捷。催收企业现有的合法获取债务人联系信息的渠道,主要是联系相关第三方,而相关第三方数量虽多,但其掌握债务人联系信息的能力有限,有的可能并不知晓债务人新的联系信息,所以即使催收人员与其进行联系,也未必能够获取债务人新的联系信息,这无疑增大了“劳而无功”的可能性。催收企业现有的合法获取债务人联系信息的方式,是与相关主体直接联系,因为相关主体均有其自身事务,不可能安排专人对接信息提供事宜,从而导致催收人员不能及时与其取得联系,或者因与其联系而影响其正常事务的处理。
问:您提到现在催收企业信息获取的渠道不是很通畅,但是我国已经有了二代征信系统,为什么催收人员不能通过二代征信系统获取债务人新的联系信息呢?
答:中国人民银行二代征信系统于2020年1月19日上线,该系统具有以下四个突出特点:(1)信息主体较多。截止2019年底,征信系统已收集10.2亿自然人数据、2834.1万企业和其他组织的信息,是全世界最大的征信系统数据库。(2)信息来源广泛。信用数据主要有六大渠道:银行业金融机构和其他提供信贷的机构,社会安全管理部门,水电煤等公共事业单位,公共信息的政府部门,各类商业机构,信用报告被查询记录。(3)信息内容全面。二代个人征信报告除报告头外包括八部分:个人基本信息、信息概要、信贷交易信息明细、非信贷交易信息明细、公共信息明细、本人声明、异议标注、查询记录。(4)信息更新迅速。一代征信系统的征信主体信息变更一般需要一个月甚至更长时间,二代征信系统采取“T+1”方式报送,只需2个工作日就能完成信息更新。
因此,只要允许催收企业通过二代征信系统查询债务人的联系信息,则可实现对债务人联系信息的批量修复,从而根本上解决催收企业的信息获取和使用权这一瓶颈问题,并将在很大程度上解决可能由于债务人联系信息获取和使用所引发的软暴力催收等问题。然而,迄今为止尚无相关规定许可金融从业机构及催收企业运用二代征信系统修复债务人联系信息,故催收企业的信息获取问题依然存在。
问:我国关于公民个人信息保护的立法状况如何?
答:我国一直重视保护公民个人信息,近十余年来,不断通过立法对公民个人信息的保护进行规定和完善。2009年,《刑法修正案(七)》第七条规定,在刑法第二百五十三条后增加一条,作为第二百五十三条之一:“(第一款)国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。(第二款)窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。(第三款)单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”当时的罪名有两个,即“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”;2012年,全国人大常委会通过《关于加强网络信息保护的决定》,对于公民个人信息的含义及其法律保护作出规定;2013年,工业和信息化部发布《电信和互联网用户个人信息保护规定》,对于提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动作出了规定;2015年,《刑法修正案(九)》对于《刑法修正案(七)》中侵犯公民个人信息的犯罪进行了修改,作出了新的规定。《刑法修正案(九)》第十七条规定,将刑法第二百五十三条之一修改为:“(第一款)违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。(第二款)违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。(第三款)窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。(第四款)单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”根据《刑法修正案(九)》的规定,罪名变更为侵犯公民个人信息罪;2016年通过、2017年施行的《中华人民共和国网络安全法》对于个人信息进行了新的界定并对个人信息保护作出了较为全面的规定;2020年通过并于2021年1月1日起施行的《民法典》第1034条对于个人信息作出了规定;2021年11月1日施行的《个人信息保护法》对于公民个人信息的保护作出了全面规定。
问:据您所讲,我国先是在刑法中规定了侵犯公民个人信息罪,之后才有行政和民事方面的立法,是吗?
答:是的。对于公民个人信息的保护,我国采用了“刑事先行”的做法,即在民事法律尚无明确规定、行政性法律法规阙如的情况下,在刑法中规定了侵犯公民个人信息的犯罪,这种立法模式是极为罕见的。因为侵犯公民个人信息犯罪属于行政犯,应以违反相应的行政法律法规为前提,在无前置性行政法律法规的情况下,设置侵犯公民个人信息犯罪的合法性及合理性都是值得研究的。正是因为“刑事先行”做法的存在,使得对于债务催收领域中催收人员购买债务人联系信息行为的治理,从一开始到现在,主要的关注点都在于如何运用刑事手段予以打击。
问:我国刑法中规定了侵犯公民个人信息罪,最高司法机关也出台了相关司法解释,那么在您看来,依法成立的催收公司通过合法途径接受金融机构委托,向逾期债务人催收合法债务过程中,因为债务人联系信息变动导致失联,催收人员为了与债务人建立联系,购买债务人新的联系信息用于催收的行为,是否构成侵犯公民个人信息罪呢?
答:不构成。催收企业(催收人员)对于债务人新的联系信息的获取和使用具有法律依据,没有侵犯“侵犯公民个人信息罪”的保护法益,而且债务人的联系信息也不属于侵犯公民个人信息罪所要求的公民个人信息。
问:催收人员获取债务人新的联系信息的法律依据是什么呢?
答:我们可以在《民法典》中找到依据。《民法典》第118条规定,债权是因合同、侵权行为、无因管理、不当得利以及法律的其他规定,权利人请求特定义务人为或者不为一定行为的权利。可见,债权为请求权,其指向特定义务人,即只能要求特定义务人为或者不为。因而,行使债权的前提必须是获取和使用特定义务人的联系信息,如果无法获取特定义务人的联系信息,或者虽然获取了特定义务人的联系信息而无权使用,那么必然无法与特定义务人建立联系,无法向其主张债权,从而使债权最终不能实现。是故,获取和使用特定义务人联系信息的权利是主张和实现债权所必需,没有获取和使用特定义务人联系信息的权利即没有可能主张和实现债权。债务催收中,债务人即为特定义务人,获取和使用其联系信息是债权人实现债权所必需;催收企业接受债权人委托向债务人催收合法债务,享有了与债权人同等的权利,故催收企业(包括催收企业中的催收人员)亦有权获取和使用债务人的联系信息。
问:除了《民法典》中的依据,还有其他法律中的依据吗?
答:在《个人信息保护法》中也可以找到依据。《个人信息保护法》将个人信息分为一般个人信息和敏感个人信息,对于这两类信息的处理作出了不同的规定。就敏感个人信息的处理而言,必须取得个人的单独同意;处理满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。就一般个人信息的处理而言,分为两种情形:一是需要取得个人同意的情形,二是不需要取得个人同意的情形。
债务人的联系信息不是敏感个人信息,而是一般个人信息,催收人员对其予以获取和使用,不需要取得债务人同意。《个人信息保护法》第13条列举了无须经过个人同意即可处理个人信息的情形,其中之一即是“为订立、履行个人作为一方当事人的合同所必需”,这就意味着,对于合同的一方当事人来说,相对方当事人(包括相对方当事人委托的其他单位或者个人)为了订立或者履行合同的需要,可以不经其同意而获取和使用其个人信息。债务催收中,债务人是借款合同的一方当事人,债权人或者受托的催收企业(包括催收企业中的催收人员)为借款合同的相对方当事人,故无论是债权人还是受债权人委托的催收企业(包括催收企业中的催收人员)均有权获取和使用债务人的联系信息,且无须经过债务人的同意。当然,《个人信息保护法》中的规定是为订立、履行个人作为一方当事人的合同“所必需”,即仅限于具有必要性的情形,催收过程中催收人员获取债务人联系信息时也是满足这一要求的。金融从业机构在委托催收之时,已向催收企业提供了债务人的联系信息,如果根据这些联系信息能够联系上债务人,那么催收企业自然没有进一步获取债务人联系信息的必要。问题在于:债务人联系信息变动,如更换住址、工作单位、手机号码等联系方式,且债务人并未在上述联系信息变动后及时告知金融从业机构,这就使得催收企业无法通过金融从业机构所提供的债务人联系信息与债务人取得联系,因而产生了进一步获取债务人新的联系信息的必要性。
问:催收人员获取债务人新的联系信息具有法律依据,但是他们是通过购买这种方式,购买这种方式是有问题的吧,为什么不构成侵犯公民个人信息罪呢?
答:无论将个人信息的权利属性认定为财产权、人格权、隐私权还是信息权,无论将侵犯公民个人信息罪的保护法益认定为人身权或者其他权利,只要确认催收企业具有获取和使用债务人联系信息的权利,那么催收企业获取债务人联系信息的行为(包括通过不当方式获取的行为)就不应该认定为侵犯了债务人的权利,不应该认定为侵害了侵犯公民个人信息罪的保护法益。没有侵害侵犯公民个人信息罪保护法益的行为是不能认定为侵犯公民个人信息罪的。“购买”行为至多意味着实现权利的方式不当,但对于权利本身并未造成侵害。例如,刑法第238条第三款规定,为索取债务扣押、拘禁他人的,以非法拘禁罪论处。其中的债务包括高利贷、赌债等非法债务。这就意味着,高利贷、赌债等非法债务亦是债务,行为人索取并未侵犯被害人的财产权,因此不能认定为侵犯财产的犯罪(如抢劫罪、勒赎型绑架罪),而只能以其不当的行为方式而认定为非法拘禁罪。对于以“购买”的不当方式获取公民个人信息的行为,可对其予以行政处罚,但不应作为犯罪处理。
问:侵犯公民个人信息罪的行为对象是“公民个人信息”,催收人员购买的是债务人的联系方式,如手机号码、微信、QQ、电子邮箱等,这些联系方式,属于“公民个人信息”吗?购买这些联系方式,可以认定为侵犯公民个人信息罪吗?
答:侵犯公民个人信息罪中公民个人信息的范围,刑法条文中没有明确规定,只能依据相关的法律、行政法规、规章和司法解释予以认定。工信部2013年《电信和互联网用户个人信息保护规定》、最高人民法院、最高人民检察院2013年《关于依法惩处侵害公民个人信息犯罪活动的通知》、2017年施行的《中华人民共和国网络安全法》、最高人民法院、最高人民检察院2017年《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、最高人民检察院2018年《检察机关办理侵犯公民个人信息案件指引》、2021年施行的《民法典》等规范性文件,均将电话号码等通讯联系信息明确规定为公民个人信息。司法实践中,对于出售、非法提供、窃取以及以其他非法方式获取手机号码等联系信息的行为,一般也都认定为侵犯公民个人信息罪。
但是,民事、行政法律上的个人信息与刑法保护的个人信息在范围上可以也应该有所区别,单纯的个人联系信息不宜作为刑法保护的对象;退一步讲,即使认为单纯的个人联系信息有可能成为侵犯公民个人信息罪的保护对象,也应该根据行为方式的不同进行区别对待,将单纯的个人联系信息排除在“获取型”侵犯公民个人信息罪的范围之外,即催收人员购买债务人“联系信息”的行为不应作为犯罪认定和处理。
问:这是为什么呢?
答:单纯的电话号码等个人联系信息不能单独识别自然人身份,获取单纯的手机号码等个人联系信息的危害较小,不需要动用刑法。2012年《关于加强网络信息保护的决定》将个人信息规定为“能够识别公民个人身份和涉及公民个人隐私的电子信息。”2017年施行的《网络安全法》将个人信息规定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。2021年施行的《民法典》将个人信息规定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。根据上述三个立法文件,个人信息均要求具有“可识别性”,即能够据以识别特定自然人。但是,2021年《个人信息保护法》将个人信息规定为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。不难发现,《个人信息保护法》中的个人信息已经不限于“可识别性”的信息,凡是与自然人有关的各种信息,都有可能包含在内。公民个人信息不等于公民个人的信息,如身高、体重、性别这些信息,属于公民个人的信息,但不能据以识别特定自然人,不应该作为侵犯公民个人信息犯罪的行为对象。即使是可据以识别特定自然人的信息,也有单独识别与结合识别之分,前者如身份证号码,每个人具有身份证号码,且各人身份证号码不同,故身份证号码与特定自然人具有一一对应性,知道了身份证号码即可识别特定自然人;后者如手机号码、微信号码、电子邮箱,虽然为个人所使用,但单独来看并不能识别特定自然人,必须与其他信息相结合才能够确定特定自然人身份。可单独识别的个人信息与须结合识别的个人信息,因为其功能上的差异,所以在法律保护上应该区别对待,对于可单独识别的个人信息,可以作为民事、行政法律以及刑法的保护对象,但对于须结合识别的个人信息,则虽可作为民事、行政法律保护的对象,但不宜作为刑法保护的对象。
问:在您看来,债务人的联系信息属于“须结合识别的个人信息”,必须结合其他信息才能识别个人身份,而债务人的联系方式不能单独识别其身份?
答:是的。
问:但是,侵犯公民个人信息罪中用的是“公民个人信息”,其他规范性文件中也用的是“公民个人信息”,它们的含义不应该相同吗?联系方式在其他规范性文件中是公民个人信息,为什么就不是侵犯公民个人信息罪中的公民个人信息呢?
答:侵犯公民个人信息罪中“个人信息”的范围可以窄于《个人信息保护法》中的“个人信息”。有人认为,侵犯公民个人信息罪是行政犯,该罪中“个人信息”的范围应与行政法律法规中“个人信息”的范围相同,根据《个人信息保护法》的规定,电话号码等联系信息属于“个人信息”,故其亦应属于刑法中侵犯公民个人信息罪行为对象的“个人信息”。这种观点存在疑问:首先,不同的法律文本甚至同一法律文本中的同一词语可以具有不同的含义,此谓法律用语含义的相对性,根据法律用语含义的相对性,即使刑法与《个人信息保护法》中均有“个人信息”一词,其含义也可不同。其次,刑法的最后性决定了其并非将所有危害社会的行为都作为犯罪予以规定和打击,而只能将社会危害最为严重的行为作为犯罪予以规定和打击。侵犯公民个人信息行为危害性的大小,受到信息种类的重要影响,因为不同种类信息的重要性不同,故而侵犯不同种类信息的行为,其危害性程度自然有所差异。如侵犯敏感个人信息的危害大于侵犯一般个人信息,而对于一般个人信息而言,侵犯单独可识别的个人信息,其危害又大于须结合识别的个人信息。可以认为,在《个人信息保护法》所保护的个人信息中,像电话号码等联系信息因属于须结合识别的个人信息,相对于其他个人信息而言,重要性程度有所减弱,故而在刑法保护时必须有所克制,可不将其列入刑法保护范围。
问:有人认为:网络社会中,公民的移动支付、社交平台等账号与手机号码息息相关,手机号码与公民的人身权益、财产权益紧密相连,除了商业推销行为,司法实践中手机号码多被用于电信诈骗等财产犯罪,甚至被用于敲诈勒索等侵犯人身权益的犯罪,故有必要将其纳入刑法保护的范围,将手机号码等联系信息认定为侵犯公民个人信息罪中的公民个人信息,您认同这种观点吗?
答:不认同。获取公民联系信息尽管可能具有进一步侵犯公民人身权、财产权的危险性,甚至可能实际造成公民人身权、财产权的侵犯,但不宜过度进行预防性立法,且对于实际侵犯公民人身权、财产权的行为可适用其他相关罪名追究刑事责任,因而无须将获取公民联系信息的行为规定为侵犯公民个人信息的犯罪。手机号码等联系信息被获取,尽管具有侵犯公民人身、财产权益的危险性,但仅是一种可能性,是否会实际造成公民人身、财产权益的侵犯,取决于后续的使用行为,即公民联系信息虽被获取但未被使用,不会造成公民人身、财产权益的实际侵犯;公民联系信息虽被获取亦被使用,但用途正当,仍然不会造成公民人身、财产权益的实际侵犯。如果对于这种仅具有侵犯公民人身、财产权益可能性的行为进行刑法规制,属于“预防性立法”。预防性立法有其合理性,但并非针对任何类型和性质的行为均可适用。预防性立法实是将刑法的打击点提前,将尚未造成实害结果而仅有造成实害结果危险性的行为规定为犯罪,如对预备行为实行化(即将原本的犯罪预备行为规定为实行行为从而成立独立的罪名),这就必须要求进行预防性立法的行为具有严重的危险性,即危险一旦现实化会对国家、社会、个人造成重大的实际损害。我国刑法分则第二章危害公共安全的不少犯罪,如放火罪、决水罪、爆炸罪、投放危险物质罪,若出现实害结果则危害极其严重,故而刑法将上述犯罪的基本犯设置为危险犯,即实施放火、决水、爆炸、投放危险物质的行为造成了公共安全的危险即可构成犯罪,并不要求造成实际的损害结果。但侵犯公民个人信息罪属于刑法分则第四章侵犯公民人身权利的犯罪,不是危害公共安全的犯罪,侵犯公民人身权利的犯罪中,最为严重的故意杀人罪、绑架罪均未采用预防性立法将其预备行为实行化,并未规定独立的预备杀人罪、预备绑架罪,那么对于危害小于故意杀人罪、绑架罪的侵犯公民个人信息罪而言,更没有必要进行预防性立法,仅以手机号码等联系信息的获取具有进一步侵犯公民人身、财产权益的危险性而将其规定为犯罪。至于实践中行为人获取公民联系信息后将其用于犯罪活动的情形,如用于实施电信诈骗、敲诈勒索等,完全可以适用刑法中诈骗罪、敲诈勒索罪的条文,认定为相应罪名予以惩处。因为获取公民联系信息后用来实施诈骗、敲诈勒索,符合刑法中牵连犯的要求,即获取公民联系信息是手段,诈骗、敲诈勒索则是目的,按照牵连犯“从一重重处”的处断原则,以重罪(诈骗罪、敲诈勒索罪)定罪处罚是符合刑法学通行理论的。
问:据您所知,实践中有司法机关认为单纯的手机号码等联系信息不属于侵犯公民个人信息罪的行为对象吗?
答:有的,如某县人民法院的判决书中指出,“起诉书所涉33.5万条单纯手机号码的信息无法单独识别特定自然人身份或者反映特定自然人活动情况,不构成侵犯公民个人信息罪范畴内的公民个人信息。该部分信息数不应该认定入信息总数之中。”又如某区人民法院的判决书指出,“公民个人信息是指与公民个人存在关联并可以识别特定个人的信息,单纯的手机号码无法反映出个人身份识别信息,故公诉机关指控被告人王某某、宋某某向他人出售手机号码段的行为不构成侵犯公民个人信息罪,本院对公诉机关指控王某某、宋某某向他人销售二十六起号码段的犯罪事实不予支持。二被告人的辩护人关于销售号码段的行为不构成犯罪的辩护意见本院予以采纳。”再如某区人民法院的判决书指出,“这些文件所记载的是单一的电话号码信息,该部分信息并不能单独识别特定自然人身份或反映特定自然人活动情况,不应认定为‘公民个人信息’,故辩护人的相关意见,本院予以采纳。”
问:请您总结一下催收人员购买债务人联系信息不构成侵犯公民个人信息罪的理由。
答:催收人员为了催收合法债务购买债务人联系信息并将其用于催收(而无出售或者散布行为),因其获取债务人联系信息具有法律依据,符合《民法典》及《个人信息保护法》的规定,没有民事违法性和行政违法性,更不可能具有刑事违法性,没有侵犯“侵犯公民个人信息罪”的保护法益。单纯的债务人联系信息不具有单独识别债务人身份的特点,不属于侵犯公民个人信息罪所要求的“公民个人信息”。因此,催收人员购买失联债务人联系信息的行为既不符合侵犯公民个人信息罪行为对象的要求,也不符合侵犯公民个人信息罪保护法益的要求,不构成侵犯公民个人信息罪。
(作者:张永红 湘潭大学法学院教授、博士研究生导师)
