最近几年,我在杭州办理的侵犯公民个人信息案件中,明显感觉到一个趋势——被调查的主体,越来越不是传统的“黑灰产团队”,而是看似合规经营的企业,比如助贷公司、精准营销团队、大数据服务商,甚至中介、保险、医疗、通信、教培、电商物流等行业。很多行业从业者在陷入案件后第一反应都是:“大家都这么做,为什么偏偏是我们被查?”
这种认知误差,在很多个案中让企业一步步走进刑事风险,往往等到案件进入刑事程序才意识到问题。本文就结合我在杭州办理的一起无罪案例,谈谈侵犯公民个人信息罪中罪与非罪的关键认定逻辑,以及辩护的切入点。
信息类型归类的争议,是入罪与否的首要节点
法律和司法解释对公民个人信息有不同类别的划分:敏感信息、较敏感信息、一般信息。行踪轨迹信息、通信内容等敏感信息超过五十条就可能入罪;住宿信息等较敏感信息超过五百条;一般信息超过五千条。
真正的问题是,个案中不同办案单位对同一类信息的归类差异很大,甚至可能直接影响罪与非罪的结论。我办过一个案子,卖的是不到五千条身份证信息,办案单位本来认为身份证上的户籍地址属于“住宿信息”,按法律规定超过五百条就够入罪。我提出异议,解释住宿信息应指能定位公民当前居住情况的数据,而户籍地址只是登记信息,不等同于实时定位。最终这一意见被采纳,案件走向发生了变化。
这类归类争议,在侵犯公民个人信息案件中很常见,也是辩护的关键入口。
公开信息并非一定安全,属性认定仍有分歧
有些当事人被指控提供的信息,可在网上查到,他们便觉得不构成犯罪。但不同法院判决不一致,有的认为主动或被动公开的信息依然受法律保护;也有法院认定公开的企法人信息不应计入本罪中的信息范畴。
这说明,即便信息来源于公开渠道,能否定罪仍要看信息的属性、使用方式和证据基础。辩护中如果盲目依赖“公开信息就是安全”的观点,很可能走错方向。
数据加密、脱敏技术,是突破辩护的关键
前年我接手一件助贷公司案,公安指控涉案数据达数十万条,公司全员被立案。看似毫无辩护空间,但我注意到案件里存在一个技术突破口——涉案数据是否在刑法意义上可被识别。
我深入调查公司使用的SaaS系统,发现数据在采集、传输和存储环节都做了加密和脱敏处理,比如手机号变成“138****1234”,姓名只保留首字母,后台还进行字段级加密和二次掩码。这意味着,即便数据被提供出去,已无法直接对应到特定个人。
我据此与检察官沟通,建议重新鉴定去重。结果重新鉴定后,符合入罪标准的信息不足五千条,不能认定为构罪。最终案件撤案,公司全员无罪。这让我再次确认,一些技术细节,在辩护中可能决定案件走向。
但也要提醒,从业者别过度依赖“表面脱敏”,有些系统前端显示脱敏,后台却明文存储,这样风险依然很高。
结语
侵犯公民个人信息罪的认定,有着较大的弹性。不同案件因为信息类型归类、数据处理方式、证据情况的差异,结果可能完全不同。对于行业从业者来说,一方面要在业务中落实严格的前端合规与技术防护;另一方面,一旦进入刑事程序,应尽早寻求专业律师的评估和介入,在关键节点争取主动。
作为律师,我常说,办这类案件有点像拆九连环——得一环一环拆开,不能急,更不能凭表面大小去断案。只有抓住真正的焦点,案件才有转机。
叶斌律师,刑事辩护律师,浙江允道律师事务所主任,创始合伙人,执业十八年以来,专注刑事辩护领域,带领团队办理刑事案件超2000件,成功帮助上千名当事人争取到取保候审、不起诉、缓刑及罪轻判决。在诈骗罪、非法经营罪、开设赌场罪及卖淫类犯罪,销假类犯罪,性侵类犯罪,毒品犯罪等各类刑事案件有极其丰富的办案经验。团队承诺专业服务、追求有效辩护,在杭州有良好的口碑。
