个人信息保护与企业经营的冲突:一个不起诉案例的启示

近年来,随着刑法对公民个人信息保护力度不断加强,“企业经营需求”与“信息安全保护”的价值冲突成为司法实务的热点。尤其是那些为合法经营目的获取、流转信息的案件,往往处在“违法”与“合理”之间的灰色地带。本文结合笔者亲办的一起装修公司副总涉嫌侵犯公民个人信息罪的不起诉案件,从“自用与他用混同”“同行信息互换的定性”“信息条数计算标准”三个核心争议切入,梳理司法认定的关键规则,总结可借鉴的辩护路径。

一、案件事实与争议焦点

案件背景:某装修公司副总经理为拓展业务,通过同行和朋友获取包含业主姓名、电话的小区业主信息表格。他的操作大致分为两类:

1.把信息转交给公司内部业务员,用于电话营销;

2.与同行之间互换同类信息表,有时还将部分信息无偿提供给行业外人员。

侦查机关认为其行为已涉嫌侵犯公民个人信息罪,并将所有查获的信息条数合并计算,直接认定“情节严重”,移送起诉。

争议焦点主要集中在:

1.内部自用 vs 外部提供:两类行为是否适用同一入罪标准?

2.同行互换信息:这种行业内普遍存在的行为能否直接等同“非法提供”?数量该如何计算?

3.信息条数认定:鉴定报告中的“信息总数”能否直接作为指控依据?

二、司法认定的核心规则

1. 行为性质的区分

根据两高《解释》第六条,若企业为合法经营购买、收受普通公民个人信息,入罪门槛是“获利五万元以上”。这体现了对企业经营合理性的司法宽容。而对“向他人提供信息”的行为,则须回到第五条的“情节严重”标准。换句话说,如内部自用,仅限于公司业务拓展,且没有额外获利,一般不触及刑责;如外部提供:必须单独审查是否“情节严重”,不能和内部自用行为混为一谈。本案中,侦查机关将两类行为的数量合并计算,这是典型的混同认定错误。

2. 同行互换的定性与条数计算

现实中,同行互换客户信息几乎是装修、培训、房产中介等行业的普遍做法。对其定性应当注意:如果仅限于普通信息,且目的在于各自合法经营,危害性远低于为诈骗、盗窃等犯罪提供敏感信息;信息数量的计算应当结合用途加以区分,不能机械套用《解释》第十一条的“查获即认定”规则。若证据能够显示部分信息仅用于自家业务,就应从“非法提供”的数量中剔除。

在本案中,涉案信息主要用于装修业务,并未出现信息倒卖、诈骗等严重后果。贸然以“互换总量”论罪,不仅违背宽严相济的政策,也与“情节严重”的立法初衷相悖。

3. 证据审查的关键维度

此类案件的关键不在于有没有“信息”,而在于哪些信息真正构成了非法提供,鉴定意见若只给出“总条数”,没有区分自用、外供、重复、无效,就存在严重证明缺陷。应结合聊天记录、电脑操作痕迹、接收方用途等证据,厘清哪些信息确实流向了外部。如果外部接收方也仅用于正常业务拓展,危害后果有限,还可认定为“情节显著轻微”。在本案中,正是因为鉴定未能准确对应到具体行为,导致“情节严重”的证据链不足,检方最终接受了不起诉处理。

三、辩护的三层路径

结合该案经验,类似案件的辩护可分三层展开:第一,行为定性层面。严格区分“内部自用”与“外部提供”;内部自用若未非法获利,不构成犯罪;辩护焦点应集中在外部提供行为是否达到了“情节严重”。第二,证据拆解层面。针对鉴定报告的缺陷,申请调取原始信息明细;审查是否存在重复、无效信息;明确哪些是合法经营使用,哪些才算真正的“外供”,缩减条数。第三,政策适用层面。强调行为人无主观恶意、未获利、未造成严重后果;援引宽严相济刑事政策和同类不起诉案例;主张案件属于“情节显著轻微”,不宜机械定罪。

最终,本案正是依靠这三步走策略——先排除自用,后压缩条数,再结合类案说理——成功说服检方作出不起诉决定。

通过本案可以看到,此类案件的难点不在于“有没有信息”,而在于如何精准认定行为性质、科学计算信息条数、完善证据链条。只有在这三方面下足功夫,才能有效打破侦查阶段“一刀切”的思路。

更重要的是,要提醒司法机关:在数字经济时代,信息流转本身并非原罪。只有那些真正突破社会容忍度、带来实质危害的行为,才应进入刑法的制裁范围。否则,刑法的严厉性会与社会生活的正常需求发生不必要的冲突。