王玉瑊　高志華

一、基本案情

被告單位安徽X網絡科技有限公司，住所地安徽省合肥市蜀山區(qū)。

被告人張某，男，系安徽X網絡科技有限公司法定代表人。

被告人盧某，男，系安徽X網絡科技有限公司股東。

被告人楊某某，男，系安徽X網絡科技有限公司員工。

被告人劉某，男，系杭州Y數(shù)字技術股份有限公司員工。

2016年12月，盧某、張某共同出資成立安徽X網絡科技有限公司（以下簡稱“安徽X網絡公司”），成為浙江Z供應鏈管理有限公司（以下簡稱“浙江Z供應鏈公司”）在安徽省的校園驛站服務商。

2017年8月，盧某、張某商定，通過非法獲取浙江Z供應鏈公司的快遞用戶信息的方式，提高安徽X網絡公司微信公眾號粘性，從而發(fā)送廣告獲利，并實現(xiàn)通過微信發(fā)送驛站包裹取件通知（需配合使用浙江Z供應鏈公司不同意使用的閘機系統(tǒng)才能實現(xiàn)）從而節(jié)約運營成本。盧某、張某通過網絡指使劉某某反向編譯浙江Z供應鏈公司的APP，制作了能夠獲取浙江Z供應鏈公司快遞用戶個人信息的插件程序，指使楊某某將該插件安裝到安徽X網絡公司所服務的大學校園驛站巴槍上。當使用巴槍掃描快遞單條碼時即能獲取用戶的姓名、手機號碼等個人信息，并將信息存儲到安徽X網絡公司控制的網絡服務器上。2017年8月至2018年6月，盧某、張某指使楊某將上述插件安裝到安徽某信息工程學院、合肥某職業(yè)技術學院校園驛站的巴槍上，通過上述插件共計非法獲取浙江Z供應鏈公司的快遞用戶個人信息共計522687條。此外，盧某、張某將該插件程序免費提供給江蘇、山東、山西等省份的浙江Z供應鏈公司校園驛站服務商使用、共享。

二、分歧意見

安徽X網絡公司和盧某等人在正常經營校園驛站過程中，制作插件程序批量獲取快遞用戶信息并存儲至相關服務器，未向他人出售或者提供的行為是否構成侵犯公民個人信息罪，在辦案過程中形成了兩種不同的意見。

第一種意見認為安徽X網絡公司和盧某等人的行為不構成侵犯公民個人信息罪。主要理由是安徽X網絡公司和盧某等人在正常經營校園驛站過程中，使用技術手段收集快遞用戶的個人信息，目的僅為增加公司自有微信公眾號用戶粘性和節(jié)約取件通知信息成本，并未向他人出售或提供收集到的用戶信息，屬于經營過程中的“合理使用”行為，不應當追究刑事責任。

第二種意見認為安徽X網絡公司和盧某等人的行為構成侵犯公民個人信息罪。主要理由是安徽X網絡公司和盧某等人雖未向他人出售或提供公民個人信息，但其制作插件程序獲取公民個人信息的行為應當認定為“竊取或者以其他方法非法獲取公民個人信息”的犯罪活動，應當追究相應刑事責任。

三、評析意見

上述分歧意見中，筆者同意第二種意見。具體理由如下：

通過梳理現(xiàn)行法律及相關司法解釋，侵犯公民個人信息犯罪的入罪標準可以概括為以下三種情形：一是違法向他人出售或者提供公民個人信息、情節(jié)嚴重的行為;二是違法將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人的行為;三是竊取或者以其他方法非法獲取公民個人信息的行為。[1]

（一）違反協(xié)議，服務提供者私自收集公民個人信息

公民個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證號碼、聯(lián)系方式、居住住址等。[2]本案中，經審查發(fā)現(xiàn)，確實存在部分快遞用戶提供的手機號碼無法匹配真實姓名、部分快遞用戶未使用真實姓名的客觀情況，但結合工信部要求在2017年1月1日起手機用戶全部實名認證的規(guī)定，即使快遞用戶未使用真實姓名，也可結合昵稱、收件地址等信息識別特定自然人身份。因此，筆者認為，安徽X網絡公司和盧某等人獲取的快遞用戶的姓名、手機號碼、收件地址等信息應當認定為“公民個人信息”。

法律明確規(guī)定，快遞企業(yè)在提供物流服務過程中，應當加強寄遞用戶電子信息的存儲安全管理，包括且不限于設立獨立物理區(qū)域存儲寄遞用戶信息、禁止非授權人員進出該區(qū)域、采用加密方式存儲寄遞用戶信息等。[3]由該規(guī)定可知，快遞企業(yè)能夠直接接觸到海量的用戶個人信息，其對用戶個人信息負有高度的安全管理責任及義務，進而避免用戶信息被泄露、竊取等現(xiàn)象發(fā)生。本案中浙江Z供應鏈公司是安徽省內大學校園驛站物流服務商，其為嚴格保護快遞用戶的個人信息安全，建立了一套快遞用戶個人信息的涉密處理、取件通知系統(tǒng)和派送快遞操作準則。對加盟的校園驛站合作服務商，其在加盟合作協(xié)議中明確提出“校園驛站合作服務商在派件時，必須使用校園驛站配備的涉密處理、取件通知系統(tǒng)、直接撥打電話或者發(fā)送短信提醒用戶進行取件”，意在通過此形式阻止合作服務商私自獲取、收集快遞用戶個人信息。本案中，安徽X網絡公司作為浙江Z供應鏈公司在安徽省內的校園驛站合作服務商，明知雙方簽訂的合作協(xié)議約定了對經手的快遞用戶個人信息負有保密義務，在未取得安徽X網絡公司授權“獲取或存儲用戶個人信息”的情況下，違背協(xié)議內容和契約精神，私自收集、存儲、傳播沒有權限獲取的快遞用戶個人信息。

（二）未經同意，服務提供者無權收集公民個人信息

知情同意原則是網絡產品、服務提供者必須遵守的重要原則，是現(xiàn)代企業(yè)合規(guī)管理的重要組成部分。服務提供者應當本著合法、正當、必要的原則，向用戶明示收集、使用信息的目的、方式和范圍，在取得用戶同意的基礎上，方可收集、使用用戶個人信息。[4]本案中，針對安徽X網絡公司及盧某等人未經快遞用戶同意，收集、存儲用戶個人信息的行為是否具備刑罰可罰性，在辦理過程中存在兩種不同的觀點：

一種觀點認為，安徽X網絡公司系浙江Z供應鏈公司授權經營的校園驛站合作商，承擔大學校園快遞派送業(yè)務，是快遞派送流轉的重要環(huán)節(jié)，其工作人員可視為浙江Z供應鏈公司一方的工作人員，在提供快遞派送服務時，有權收集快遞用戶的相關個人信息，且其收集快遞用戶個人信息的主要目的在于提供更加快捷便利的服務體驗，該行為應當認定為“合理使用”范疇，不宜輕易認定為刑事犯罪。

另一種觀點認為，安徽X網絡公司和盧某等人違反法律規(guī)定和合作協(xié)議約定，未經浙江Z供應鏈公司授權允許，在經營校園驛站過程中私自使用非法獲取的快遞用戶個人信息，應當認定為“竊取或者以其他方法非法獲取公民個人信息”的犯罪行為，依法追究刑事責任。

司法實踐中，在辦理刑事犯罪案件時，評價一種行為是否具備刑罰可罰性，通常應著重考量該行為是否違反刑法等相關法律、司法解釋的規(guī)定。具體到本案中，筆者認為該行為系刑事犯罪行為，應當依法予以打擊。首先，安徽X網絡公司和盧某等人在校園驛站經營過程中，未經快遞用戶本人知情同意，批量獲取、收集、存儲用戶個人信息，已違反刑法第253條之一、網絡安全法第22條、第41條等法律的規(guī)定。其次，作為安徽省內的校園驛站合作服務商，安徽X網絡公司本可通過浙江Z供應鏈公司提供的取件通知系統(tǒng)撥打用戶電話或發(fā)送取件短信等多種方式通知用戶及時取件，其非法獲取、存儲用戶個人信息的直接動機在于節(jié)約派件通知成本、提高微信公眾號用戶粘性，進而獲取廣告收入等可期待的經濟利益。客觀上，其非法獲取快遞用戶個人信息的行為具有非必要性和非排他性，難以認定為“合理使用”。最后，盧某、張某、楊某某是安徽X網絡公司的管理層和員工，上述人員與浙江Z供應鏈公司并無勞務關系，也不是浙江Z供應鏈公司提供服務過程中專門委托管理電子信息的人員，根據《寄遞服務用戶個人信息安全管理規(guī)定》第36條的規(guī)定，上述人員無權訪問收集個人信息的區(qū)域，無權對個人信息進行復制。即使將上述3人視為浙江Z供應鏈公司的工作人員，根據網絡安全法的相關規(guī)定，也不得將用戶個人信息私自攜帶離開存放場地。因此，筆者認為，安徽X網絡公司和盧某等人已經違反國家相關法律規(guī)定，在經營校園驛站過程中實施了“非法收集個人信息”的犯罪行為。

（三）制作插件，服務提供者非法獲取公民個人信息

根據法律規(guī)定，網絡產品、服務的提供者在提供產品、服務時，應當遵守國家規(guī)定的強制性要求，不得設置惡意網絡程序，不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。[5]筆者認為，由此規(guī)定可知，快遞服務提供者在經營過程中購買、收受、交換等方式獲取公民個人信息的行為，屬于刑法第253條之一規(guī)定的“以其他方法非法獲取公民個人信息”的情形[6]，不以對外出售或向他人提供為必要條件，以竊取或非法方式獲取公民個人信息的行為，即使不出售或提供給他人，同樣構成侵犯公民個人信息罪。

本案中，浙江Z供應鏈公司與安徽X網絡公司在合作之初明確約定，安徽X網絡公司在校園驛站經營過程中“不得竊取平臺站點、消費者資料”，并負有保密管理義務，不得在校園驛站內裝置危害快遞用戶個人信息安全的設備、設施。但安徽X網絡公司和盧某等人為謀取私利，違反與浙江Z供應鏈公司約定的行為禁令和保密義務承諾，私自在經營的校園驛站內加裝浙江Z供應鏈公司明文禁止的閘機系統(tǒng)，然后通過網絡指使杭州Y數(shù)字技術股份有限公司的工作人員劉某某開發(fā)了“快遞輔助系統(tǒng)”和“Xposed Installer”兩個可自動獲取快遞用戶個人信息的插件程序，并安裝到巴槍上，在工作人員使用巴槍掃描快遞單個人信息條形碼時，上述兩個插件程序可自動識別、截取安卓操作系統(tǒng)內的快遞用戶電子信息，并上傳存儲至安徽X網絡公司控制的網絡服務器端，實現(xiàn)快速、批量獲取用戶個人信息的目的。針對上述行為，筆者認為，安徽X網絡公司和盧某等人在經營校園驛站、提供快遞派送服務時，違反網絡安全法及“兩高”《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第4條的相關規(guī)定，在未取得快遞用戶同意的情況下獲取用戶個人信息的行為，屬于“以其他方法非法獲取公民個人信息”的認定范疇;制作插件程序，批量、快速竊取快遞用戶個人信息并存儲至其控制的網絡服務器端的行為，屬于“竊取個人信息”的認定范疇。安徽X網絡公司和盧某等人的行為應當認定為“竊取或者以其他方法非法獲取公民個人信息”的犯罪行為，應當依法追究其刑事責任。