引子:
随着2021年《民法典》和《个人信息保护法》的相继出台,如何有效地保护公民个人信息,有了更加完善的法律依据。曾经野蛮生长的保险经纪行业,经过几年的治理,推销保险的骚扰电话得到了有效治理,保险销售也更为正规。但仍然存在一些保险公司销售保险的潜规则,比如委托不具有代理资质的第三方机构开展电销业务,以降低成本增加效益。对于此类不合法行为如何实现依法有效治理?是否应该动用刑罚来对开展此种业务的保险公司员工以侵犯公民个人信息罪来处理呢?本文笔者便以一个亲办案例,试着对这些问题作出回答,以供利益相关者参考,也与各位同行商榷。
#侵犯公民个人信息#
2021年7月,汉卓律师事务所接受当事人委托,为一起保险公司员工涉嫌侵犯公民个人信息案提供辩护。我与律所同事分别为其中一名涉案当事人提供辩护。经过六个月的持续努力,辩护终获成效,两名被告人均获公诉机关不起诉的良好结果。
一、基本案情
在公安机关打击侵犯公民个人信息犯罪的背景下,2021年3月,河南省某地公安机关对分散在河南多地的某从事保险电话营销业务的团队以涉嫌侵犯公民个人信息进行刑事立案,并根据线索对牵连其中的中国XX保险公司江苏某分公司员工采取了强制措施。
公安机关起诉意见书认为,蒋某等四人作为保险公司员工,为提高车险客户续保率,完成公司业绩,非法将公司内部待续保客户名单信息提供给未取得代理资质的某保险电销团队负责人孙某,并委托该电销团队开展电话销售完成续保,蒋某、赵某等人共向该电销团队非法提供保险公司客户信息共10137条,涉嫌刑法第二百五十三条之一的侵犯公民个人信息罪。
二、案件辩护经过
侵犯公民个人信息罪是指,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的行为,或者是将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的行为,或者窃取或以其他方法非法获取公民个人信息的行为。
即该罪客观行为表现为“非法获取”、“非法提供”或“非法出售”公民个人信息。本案中保险公司员工将所掌握的公司客户信息提供给第三方开展续保业务,可能涉嫌“将在履行职责或提供服务过程中获得的公民个人信息提供给他人”的犯罪行为。
我们接手案件时,本案已移送检察院审查起诉,后退回公安机关补充侦查一次。我们两次赴河南阅卷,并结合此类案件的特点,对案件中公安机关收集的大量电子数据一一进行了仔细比对和筛查。
针对本案中的证据问题和法律适用问题,我们深入细致地研讨和论证,认为当事人不构成侵犯公民个人信息罪,主要理由是:1)本案中保险公司员工基于公司业务合作而使用待续保客户信息,这种使用在此前投保单中已告知并获得投保人同意,属于经事先同意的合理使用,不侵犯公民个人信息受保护权,进而不构成犯罪;2)保险公司员工与不具有保险代理资质的电销团队合作,未违反与公民个人信息保护有关的“国家有关规定”,不满足侵犯公民个人信息罪中“违反国家有关规定”的构成要件。据此,我们形成了当事人不构成犯罪并建议对其作不起诉决定的律师意见。
通过专业细致地分析、广泛地检索研究和扎实的工作,我们形成了一份五十页的类案检索报告,并先后向主办检察官递交了三份共四万字的审查起诉律师意见,详细论证了本案中不构成犯罪的事实、证据和法律依据。此外,我们两次与主办检察官面对面沟通,就存在疑惑的争议焦点一一阐释,并对本案公安机关所统计的信息数据存在的问题做了现场演示,使检察官最终予以采信。
三、辩护意见摘要
经被收集者同意的合理使用不构成个人信息侵权,进而不构成侵犯公民个人信息罪
第一,从侵犯公民个人信息罪所保护法益来理解本罪成立的前提条件
犯罪的“保护法益,可谓系各种犯罪立法意旨之所在,足以影响犯罪构成要件之解释及罪数之认定,性质上至为重要。”明确侵犯公民个人信息罪的保护法益,与侵犯公民个人信息的行为是否构成犯罪密切相关。“法益概念为刑法的保护对象提供经验的、事实的基础,法益是作为人们的生活利益而成为保护对象的。不管是在解释论上还是在立法论上,法益概念都起着指导作用。”因此侵犯公民个人信息罪的保护法益为何,决定着该罪构成要件的解释方向与处罚范围。
1、从立法层面理解,本罪所保护的系一种公民个人人身民主权利,是公民个人法益而非超个人的公共法益、社会法益
从刑法第253条之一的立法分析,侵犯公民个人信息罪是公民个人的信息受保护权。在我国大一统的刑法立法模式之中,设有犯罪章节,立法者将保护同一类别法益的罪名放在同一个章节。这些犯罪章节所表述的内容,例如刑法分则第一章危害国家安全罪,表明该章犯罪所侵犯的法益是国家法益;刑法分则第二章危害公共安全罪,表明该章犯罪所侵犯的法益是公共安全法益;……刑法第四章“侵犯公民人身权利、民主权利罪”之表述表明,本章犯罪侵犯的法益是公民个人的人身与民主权利,不包括对公共法益、社会法益的侵犯。
侵犯公民个人信息罪的核心是与公民个人人身等利益相关的信息被非法侵犯,从而造成对公民个人人身安全或者名誉等民主权利受到侵害,刑法才将该罪放置于刑法分则第四章第253条之一。可见,本罪所保护的公民个人信息受保护权也是一种公民个人人身、民主权利,而非其他社会法益。
公民个人信息受保护权是一种自然权利,是在人类社会发展演化过程中伴随着社会生活飞速发展而衍生发展出的一种公民个人对与自身隐私、生活安宁、人格尊严等紧密相关的个人信息的所有权和自由支配权。即便对这种个人信息权的保护受到国家有关规定的规制,但这种规制首先是基于权利的自然产生,而非由国家有关规定直接拟制产生。因此,国家有关规定的规制,不能改变其是一种个人人身民主权利的实质。
2、所保护法益决定构成本罪必须以侵犯个人信息权的民事侵权为前提
如前所述本罪所保护的法益系公民个人信息权,且刑法和司法解释对本罪涉案行为违反的国家有关规定做了限制规定,限定于“法律法规规章中有关公民个人信息保护的规定”。这决定了构成本罪必然是以侵犯公民个人信息权这一公民人身民主权利为前提,即至少应当违反国家有关规定构成侵犯个人信息的民事侵权,这是成立本罪的违法性基础。
第二、我国有关公民个人信息保护的规定确立了“明示告知并同意”的侵权豁免原则
根据《民法典》第一千零三十六条第一项之规定:“处理个人信息,有下列情形之一的,行为人不承担民事责任:在该自然人或者其监护人同意的范围内合理实施的行为。”根据《民法典》第一千零三十五条第二款的规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。《民法典》确立了个人信息保护中
“明示告知并征得同意”的侵权豁免原则,即在明示告知并征得被收集者同意的情况下,行为人在其授权的范围内合理、正当地收集、使用被收集者个人信息的,不侵犯被收集者的个人信息受保护权,不构成民事侵权。
《中华人民共和国个人信息保护法》在本意见起草时还尚未正式公布施行,在《个人信息保护法》第十三条规定,“符合下列情形之一的,个人信息处理者方可处理个人信息:取得个人的同意;……依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。”
《中华人民共和国网络安全法》第四十一条规定,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,
公开收集、使用规则,
明示收集、使用信息的目的、方式和范围,并
经被收集者同意。”
工业和信息化部《电信和互联网用户个人信息保护规定》第九条第一款规定,“
未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。”
上述有关公民个人信息保护的法律法规中也规定了同《民法典》和《个人信息保护法》一致的“明示告知并同意”的侵权豁免原则。可见,在我国有关公民个人信息保护的“国家有关规定”中,均确立了“明示告知并同意”的民事侵权豁免原则。
第三、刑法司法解释将“未经被收集者同意”作为“非法提供公民个人信息”的客观行为要件要素之一
根据《两高办理侵犯公民个人信息案件解释》第三条第二款规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外。”由此规定可知,将合法收集的公民信息,经公民同意而向他人提供的,不属于侵犯公民个人信息罪中的“提供公民个人信息”。这与前述《民法典》、《网络安全法》和《电信和互联网用户个人信息保护规定》等所确立的“明示告知并同意”的侵权豁免原则具有法秩序上的统一性。
综上可知,经明示告知并同意的对公民个人信息的使用,不侵犯公民个人信息受保护权,也不违反《民法典》等国家有关公民个人信息保护的规定。尚不构成民事侵权,当然也就不符合侵犯公民个人信息罪的构成要件。因此,在被收集者被明示告知并同意的范围内处理其个人信息,不构成侵犯公民个人信息罪。
侵犯公民个人信息罪以“违反国家有关规定”为构成要件要素
第一,我国刑法明确将“违反国家有关规定”作为构成该罪的要件要素
根据《刑法》第二百五十三条之一对侵犯公民个人信息罪的规定,第一款中行为人向他人提供公民个人信息构成该罪,以“违反国家有关规定”为前提;第二款中行为人将在履行职责或者提供服务过程中获得的公民个人信息提供给他人而构成犯罪的,同样以“违反国家有关规定”为前提。
上述两款均是在刑法修正案时做的修改,刑法修正案将“违反国家规定”修改为“违反国家有关规定”。与“国家规定”相比,“国家有关规定”的范围更宽,包括法律、行政法规、部门规章等国家层面的涉及公民个人信息保护的规定。但不论是修改前还是修改后,对于构成本罪均要求以违反国家有关公民个人信息保护的规定为前提,而不是任意的规范性文件。
根据《检察机关办理侵犯公民个人信息案件指引》的规定:“对证明违反国家有关规定的证据审查,
需要明确国家有关规定的具体内容,违反法律、行政法规、部门规章有关公民个人信息保护规定的,应当认为刑法第二百五十三条之一规定的‘违反国家有关规定’。”最高检亦明确“违反国家有关规定”属于构成本罪的要件。因此案件审查时需要明确有关国家规定的具体内容,如果不存在对国家有关规定的违反,则不构成本罪。
第二、“
国家有关规定”仅限于与公民个人信息保护有关的法律、行政法规、部门规章
在刑法修正案将“国家规定”修改为“国家有关规定”之后,扩大了内涵范围,正如《检察机关办理侵犯公民个人信息案件指引》中所述:“根据刑法第九十六条的规定,“国家规定”仅限于全国人大及其常委会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。而“国家有关规定”还包括部门规章,这些规定散见于金融、电信、交通、教育、医疗、统计、邮政等领域的法律、行政法规或部门规章中。”但是,这种修改并未超出与公民个人信息保护有关这一限定范畴。
最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第二条对“违反国家有关规定”做了明确的限制解释:“违反法律、行政法规、部门规章
有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的‘违反国家有关规定’。”《检察机关办理侵犯公民个人信息案件指引》规定:“对证明违反国家有关规定的证据审查,需要明确国家有关规定的具体内容,违反法律、行政法规、部门规章
有关公民个人信息保护规定的,应当认为刑法第二百五十三条之一规定的‘违反国家有关规定’。”
因此,本罪中“违反国家有关规定”仅限于法律、行政法规、部门规章中有关公民个人信息保护的规定。
如果一个行为虽违反了其他与金融市场管理、保险行业监管、保险代理监管等有关的法律、行政法规、部门规章,但并不涉及与公民个人信息保护有关的法律规定的违反,就不属于刑法第二百五十三条之一所规定的“违反国家有关规定”,也就不应当对该行为以本罪论处。
本案中赵某等人对投保人个人信息的使用不构成侵犯公民个人信息罪
第一、投保人已事先知情并授权XX保险公司可基于服务必要
使用或向合作方提供
其个人信息
据市场普遍交易惯例,保险公司在办理车险业务时,除自建销售渠道外,也会与其他第三方销售公司开展合作。例如,与第三方电话销售平台展开合作,委托电销平台使用自有的电销系统帮助保险公司引导客户办理投保、续保等事宜。本案中的电销公司即是与XX保险公司某分公司之间有长期合作关系的保险代销第三方机构。
根据中国XX保险公司统一制式的投保单中投保人声明部分的约定:“本人授权XX保险集团,除法律另有规定之外,将本人提供给XX保险集团的信息……用于XX保险集团及其因服务必要委托的合作伙伴为本人提供服务、推荐产品、开展市场调查与信息数据分析。本人授权XX保险集团,除法律另有规定之外,基于为本人提供更优质服务和产品的目的,向XX保险集团因服务必要开展合作的伙伴提供、查询、收集本人的信息。”该部分内容在投保单中为单独加粗显示,以明示提醒客户注意。而据XX保险公司工作人员反馈,所有购买该公司车险的投保人均会被告知并签署这样的投保单。显然,从民事关系上投保人已事先同意并授权XX保险公司可以基于服务之必要——为投保人提供服务、推荐产品等——向开展商业合作的伙伴提供其个人信息。
第二、赵
某
等人因续保事宜将保单明细提供给
第三方电销团队
,未超出投保人声明中所同意、授权的范围
本案中赵某等人与孙某电销团队之间就投保人个人信息的往来主要有两种情形:一是将车险即将到期的投保人信息提供给孙某,让其团队联系投保人办理续保业务;二是赵某等将通过孙某团队营销而成功续保的投保人保单明细与孙某进行对账,确定应当支付的保险服务费。下面分别对两种情形进行分析:
1、为保险即将到期的投保人提示并办理续保属于服务之必要,有投保人的事先同意,不侵犯公民个人信息权
赵某等人涉案行为的实质,是与孙某等第三方电销平台合作,将保险公司即将到期的车险保单的投保人信息交给孙某,由孙某的电销团队以保险公司名义联系投保人,询问投保人是否续保并提供续保相关服务。这种在投保人保期即将届满时向投保人提醒并询问是否续保的服务,既防止了投保人因忘记办理续保而断保,又为客户提供了新的保险产品服务,满足了客服需要。这显然属于“服务必要”,其目的是向投保人“提供更优质服务和产品”。
因此,赵某等人将保单范围内的投保人个人信息提供给孙某电销平台,委托其联系投保人续保,系保险公司及其工作人员对第三方人员的业务委托合作,属于在投保人事先同意、授权的范围内处理其个人信息。符合《民法典》等中有关公民个人信息保护的规定,不构成对公民个人信息的侵权。
2、赵某等人与孙某等对账的投保人信息,均是在开展续保业务时合法收集,传递该信息的行为不具有刑事违法性
续保业务合作过程中,投保人同意续保后,孙某在保险公司的报价出单系统填写保单,生成缴费二维码,投保人在保单上签字并缴费后,吴中支公司即出具车险保单,完成续保。此后,保险公司工作人员将前述完成续保的投保人保单信息与孙某等进行核对,确定应支付给孙某等人的服务费用。
在这一合作模式中,“对账单”上的投保人个人信息,来源于孙某等人填写的保单;而孙某等人填入保单的信息,均由投保人为办理续保主动提供,并对信息的使用进行了授权。换言之,孙某等人收集投保人信息并提供给赵某等人,经过了投保人的同意与配合,属于合法收集。
综上,赵某等人将合法收集的待续保投保人信息提供给孙某等人,仅是作为保险业务合作之用;赵某等人与孙某等人就完成续保客户的信息进行对账,相应的数据使用也未超出投保人事先同意的范围。因此,赵某等人的行为并未侵犯被收集者个人信息受保护的利益,不具有刑事违法性。
第三、孙某等人不具有保险代理资格,保险公司员工的行为也仅属于行政违法,不构成刑事犯罪
1、赵某等人与孙某开展的是正常保险业务合作,且《中华人民共和国保险法》已取消对个人保险代理人资格的规定
孙某系当地保险行业内较为知名的保险代理人,常接受各家保险公司的委托代销保险。赵某等人与孙某的合作,目的在于提高续保率,主观上无侵犯投保人个人信息的犯罪故意;其向孙某提供投保人个人信息的行为,在客观上属于保险公司正常的续保业务合作范畴。
虽然孙某有电销团队,但在合作中保险公司员工是与孙某个人对接和开展合作。而孙某在2017年5月23日至2018年8月16日、2019年12月11日至2020年12月27日曾被该保险公司作为代理人登记在监管部门的系统中。可见孙某是以个人保险代理人的身份与保险公司开展合作。因此,判断孙某是否具备法定资格,应当依据我国有关保险的法律规定中对个人保险代理人的规定。
2015年修改的《中华人民共和国保险法》中,
取消了对个人保险代理人的资格审批事项,仅在第一百二十二条要求个人保险代理人“应当品行良好,具有从事保险代理业务或者保险经纪业务所需的专业能力”。根据2015年《中国保监会关于保险中介从业人员管理有关问题的通知》第一条、第二条之规定:“各保监局不得受理保险销售、保险经纪从业人员资格核准审批事项,并依法妥善做好后续工作……我会决定废止《关于保险公估从业人员资格考试有关工作的通知》”
从前述规定可知,目前有关保险的法律规定中,已不再要求个人保险代理人具备某种法定资格。因此赵某等人与个人保险代理人孙某合作,没有违反法律规定,不具有涉嫌犯罪的基础。
2、即使认定孙某电销团队缺乏保险代理资格而涉嫌非法经营保险业务,保险公司员工向其提供公民个人信息也仅属行政违法
如果认定孙某等人的电销团队作为代理机构不具备开展保险代理的法定资格,那么此时太保公司及其员工与之开展业务合作的行为,该如何定性呢?
首先,赵某等人的行为定性与孙某等电销人员应当区别开来,不可混为一谈。孙某的电销平台未经国家有关主管部门批准非法从事保险代理业务,涉嫌非法经营。而赵某等人代表XX保险公司与孙某进行合作,获得了公司的授权许可,是开展公司业务的职务行为,而非个人私下行为。赵某等人与孙某等人的身份、立场和动机不同,决定了二者行为性质的根本不同。他们之间没有共同实施犯罪的意思合意,不成立共同犯罪。
其次,《保险法》中对保险公司及其工作人员开展业务有明确的禁止性规定及相应处罚措施。《保险法》第一百一十六条第八项规定,“保险公司及其工作人员在保险业务活动中不得有下列行为:……委托未取得合法资格的机构从事保险销售活动”;《保险法》第一百六十一条规定,“保险公司有本法第一百一十六条规定行为之一的,由保险监督管理机构责令改正,处五万元以上三十万元以下的罚款;情节 严重的,限制其业务范围、责令停止接受新业务或者吊销业务许可证。”
在本案中,赵某等人以保险公司名义与不具有合法资格的代理机构合作,违反了《保险法》的上述规定,构成行政违法。对此行为,依法应由保险业监督管理机构对该公司作出行政处罚,足以达到规制目的。
3、与不具有代理资格的机构合作,不等于侵犯公民个人信息
侵犯公民个人信息罪所保护的法益是公民个人信息权,涉罪行为应构成侵犯公民个人信息权的民事侵权,同时违反国家有关个人信息保护的规定。
1)未造成民事侵权。XX保险公司员工将在履行与投保人的合同过程中获悉的投保人个人信息,基于该公司保险业务发展的需要而提供给不具有保险代理资质的孙某团队,这一行为并未超出保单中明示告知并获得授权的范围,并未侵犯投保人的个人信息受保护权。
2)不属于违反“国家有关规定”。《保险法》不属于“国家有关公民个人信息保护的规定”,其中没有关于公民个人信息保护的相关条款。即使本案中赵某等人的行为违反了我国《保险法》及《保险代理人监管规定》中关于保险公司代理商业合作的相关规定,不等于违反国家有关公民个人信息保护的规定。因此,违反《保险法》关于保险公司开展商业合作的行业管理法律规定,不符合侵犯公民个人信息罪中的“违反国家有关规定”。
3)全国范围内无对保险公司员工判刑的类似判例。根据辩护人的检索,对于保险公司及其工作人员“委托未取得合法资格机构从事保险销售活动”,河南、江苏及其他省份的银保监会所作出的行政处罚均为警告、罚款等。行政处罚尚不顶格作出,更无对保险公司及其工作人员进行刑事处罚的必要。不将问题扩大化以适用刑罚处罚,这也是保持刑法谦抑性的应有之义。
综上所述,基于本案事实、证据和法律规定,即便认定孙某团队不具有法定保险代理资格,太保公司的工作人员与其开展保险代理业务合作的行为,也仅属于行政违法,不构成侵犯公民个人信息的民事侵权,更不构成侵犯公民个人信息罪。
据此,综合本案犯罪事实、情节,司法解释规定及类案处理,请检察机关根据《刑事诉讼法》第一百七十七条之规定依法对赵某等人作不起诉决定。如此,既是对罪刑法定原则的坚持,也是对一名本质良善的守法公民的保护。
四、案件结果
经过三份书面意见的提交、两次见面详谈和数次电话沟通,上述辩护意见终获检察机关和主办检察官的认可。检察院经检委会讨论,最终采纳了律师意见,于2021年12月20日对我们所代理的当事人作出不起诉决定。本案取得良好的办案效果。
至此,经过半年时间的努力,当事人终于免遭刑事追究,重获自由。在为当事人感到高兴的同时,也为主办检察官的担当和当地检察院的开明而点赞。
五、结语
随着刑事诉讼制度改革的不断推进,“捕诉合一”、“认罪认罚从宽”等制度的确立,检察机关在刑事案件办理中的主体作用进一步凸显。这也意味着刑事辩护的重点逐渐前移到侦查阶段和审查起诉阶段。在案件审查逮捕和审查起诉过程中,实现与检察机关和主办检察官的充分有效沟通,对于促进依法办案、避免错案、取得良好辩护效果、维护当事人利益都显得至关重要。
对此,犯罪嫌疑人及家属应该认识到,一旦遭遇刑事案件,一定要寻找专业可靠的律师及时介入。律师越早介入,越可能对案件办理走向形成积极影响,避免一些办案中的错误越积越深,积重难返。
作为专注刑事辩护的律师,此案是李俊良律师在审查起诉阶段实现有效辩护、取得不起诉良好结果的成功案例之一。李俊良律师秉持“专业、高效、严谨、可靠”的职业素养,坚持在每一个案件中做到全力以赴,努力实现刑事诉讼全过程有效辩护,确保法律的公正实施,维护当事人的正当权益。
李俊良律师,您身边可靠的刑事辩护与商事争议解决律师!
