关键词：侵犯公民个人信息；cookie数据；密匙串；公民个人信息

【裁判要点】

行为人非法获取cookie数据并出售，导致公民个人信息泄露的，其非法获取cookie数据的行为可能符合非法获取计算机信息系统数据罪的构成要件，而其出售cookie数据导致公民个人信息泄露的行为又可能符合侵犯公民个人信息罪的构成要件，同时符合上述两种情形的，从一重罪论处。

【相关法条】

《中华人民共和国刑法》第二百五十三条之一第一、二、三款违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

【案件索引】

一审：浙江省绍兴市柯桥区人民法院（2017）浙0603刑初316号（2017年5月4日）

二审：浙江省绍兴市中级人民法院（2017）浙06刑终332号（2017年7月27日）

【基本案情】

经审理查明：2016年1月10日11时许，被告人李某利用从事客户服务的便利获取商家的cookie数据，通过QQ方式出售，其中含有公民姓名、收货地址、手机号码等信息的网购订单信息4717条，非法获利1200元。

【裁判结果】

浙江省绍兴市柯桥区人民法院于2017年5月4日作出（2017）浙0603刑初316号刑事判决：被告人李某犯公民个人信息罪，判处有期徒刑二年六个月，并处罚金人民币2万元。宣判后，被告人李某提出上诉。浙江省绍兴市中级人民法院以被告人李某系怀孕的妇女，且二审期间积极退缴违法所得和自愿缴纳罚金，认罪态度好等情节，于2017年7月27日作出（2017）浙06刑终332号刑事判决：被告人李某犯公民个人信息罪，判处有期徒刑二年六个月，缓刑三年六个月，并处罚金人民币2万元。

【裁判理由】

法院生效裁判认为，被告人李某违反国家有关规定，非法向他人出售公民个人信息，情节严重，其行为已构成侵犯公民个人信息罪。公诉机关指控的罪名成立，予以支持。被告人李某将在提供服务过程中获取的公民个人信息予以出售，依法予以从重处罚。被告人李某在归案后能如实供述自己的罪行，依法予以从轻处罚；能自愿认罪，酌情予以从轻处罚。遂作出上述判决。

【案例注解】

网络犯罪的发展给刑事案件的侦查和刑法适用带来了新的挑战，本案即是一例。淘宝商家登录账户后，会生成session凭证（该凭证可用于查看商家订单数据），session凭证保存在浏览器cooki字段中，通过获取cookie就可以在一定时间内查询该账号下的订单信息。2017年度，由商家内鬼盗取cookie后出售致使订单数据泄露引发欺诈的案件高发。由于此类欺诈产业链路长，从信息泄露到诈骗实施涉及多个环节且跨平台特点，造成以下司法认定的难点:

1，海量电子数据真实性审查的问题。在审理李某侵犯公民个人信息案的过程中，辩护人提出涉案4717条信息只有一位被害人报案，并无其他被害人陈述印证被窃取订单的真实性，即无法确认涉案4717条公民个人信息为真实的个人信息。笔者认为，在“刷单”现象严重的社会背景下，辩护人这一质疑具有一定的合理性。此外，笔者在审理被告人冯某某等37人提供侵入计算机信息系统程序、非法获取计算机信息系统数据、侵犯公民个人信息案中，也出现了辩护人对涉案公民个人信息的真实性怀疑问题。在该案庭前会议召开过程中，辩护人将部分电子数据打印并展示，指出部分公民信息的身份证号码存在重复现象，应当对数据进行去重复。可见，辩护人的质疑理由充足。上述问题是海量电子数据给证据审查带来的新问题，在公安机关调取的海量电子数据形式合法的情况下，应如何审查海量信息的真实性呢？《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》也注意到了这一问题，在第十一条规定“对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外”。根据《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第二十二条，审查电子数据的真实性角度包括电子数据的存储、封存情况，是否具有数字签名，收集、提取过程情况，是否附有数据的增加、删除、修改说明，完整性是否可以保证。可见，上述规定仍然注重真实性的形式审查。

2，定性争议。在审理李某案过程中，有人提出被告人李某仅出售了2组cookie数据，非法获利1200元，未达到销售公民个人信息数量的标准（即“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上”）。此外，笔者通过淘宝公司安全部工作人员了解到，在侦办该类案件的初期，公安机关从淘宝公司调取了窃取的cookie数据、泄露的订单数据并移送起诉时，部分地区检察机关以窃取的cookie数据数量未达起诉标准而不予起诉或退回公安机关，致使案件没有进入审判程序。

此外， cookie信息是否属于“公民个人信息”还存在不同认识：一种观点认为，这些信息无法确定具体的信息归属主体，其终端是浏览器，没有定向识别使用该浏览器的网络用户身份。而且，如果将这些信息纳入公民个人信息的范畴，将使得精准广告业务被完全禁止，不符合产业发展趋势。另一种观点认为，浏览器背后是特定用户，且多数浏览器终端是特定用户长期使用，这些信息实际上具有识别用户身份的特征，而且精准广告投放的目标也是针对浏览器背后的用户，所以这些信息应当被纳入公民个人信息的范畴。在案件讨论过程中，就有人提出李某出售的是cookie数据，而订单信息是要从cookie数据中提取为公民个人信息，因此，李某并没有出售公民个人信息，而是非法获取并出售计算机信息数据，应以非法获取计算机信息数据定罪处理。司法实践中有相似案例: 2014年5月初，福建微数移动科技有限公司软件工程师翁秀豪发现淘宝店铺源码存在漏洞，利用该漏洞可以在店铺源码中植入指向特定程序的URL以获取访问用户的cookie，并可以实现自动植入访问卖家的店铺源码以获取更多用户的cookie。在公司法定代表人黄后荣的授意下，被告人翁秀豪编写了用于非法获取淘宝用户cookie的Javaseript程序，存储在被告人黄后荣租用的阿里云服务器中。同年5月15日开始，被告人黄后荣、翁秀豪通过上述方法非法获取淘宝用户cookie达2600万余组，被告人黄后荣以此获取交易订单数据约1亿条。浙江省杭州市余杭区人民法院一审判决以非法获取计算机信息系统数据罪对被告人黄后荣、翁秀豪定罪处理，浙江省杭州市中级人民法院二审维持原判，且认为cookie ＂属于刑法保护的身份认证信息”。

一、推论规则的适用

面对动辄成千上万条的计算机信息系统数据、上亿条的公民个人信息、上千兆的疑似淫秽视频，苛求侦查部门一查证显然不现实。如何审查海量电子数据的真实性，理论与实务界的同志已有论及，且提到了推论规则（或称之为推定规则）的适用，但如何进行取样、取样多少等问题，缺少可参考的案例和规定，办案人员“心里没底”。

抽样调查是调查应用最常见的模式，是指从研究对象的全体（总体）中抽取一部分单元作为样本，对所抽取的样本进行调查，获得有关总体目标量的了解，包括简单随机抽样、分层抽样、整群抽样、多阶段抽样、系统抽样等基本抽样方法。笔者认为，结合办案实际，可以结合简单随机抽样和分层抽样这两个基本抽样方法核实海量电子数据的真实性问题。

简单随机抽样是从抽样框内N个抽样单元中随机地、一个一个地抽取n个单元作为样本，在每次抽选中，所有未入样的待选单元入选样本的概率都相等。毫无疑问，样本量n越大，抽样调查结果越可信。样本量的确定方法包括:利用以前的调查结果和经验、利用预调查或试调查的结果、利用同类或相似或有关的二手数据的结果、利用理论研究结果、利用有经验的专家的判断。分层抽样是将抽样单元按某种特征或某种规则划分为不同的层，然后从不同的层中独立、随机地抽取样本，将各层的样本结合起来，对总体的目标量进行估计。分层随机抽样中总样本量n的确定相对于简单随机抽样来说变得复杂，不仅与调查的精度要求、估计的统计量有关，而且与如何分层以及各层样本量的分配有关。司法实践中，因个案不同，数据分布特征不一，笔者认为应由专业统计机构确定样本量，再由侦查机关核实样本量的真实性。

二、侵犯公民个人信息构成要件要素新解

侵犯公民个人信息罪的“个人信息”，应指包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料等。cookie数据本身是否具有前述“个人信息”属性还值得商榷。但笔者认为，为正确适用刑法，一是要对侵犯公民个人信息构成要件要素进行新的解释，二是适用竞合犯理论亦可以妥善处理案件。

首先， “买卖”公民个人信息只是“侵犯”公民个人信息的一种行为表现，从出售cookie数据必然导致订单信息泄露这一客观表现看，被告人李某出售cookie数据的行为也属于“侵犯”公民个人信息。另外，被告人李某出售2组cookie数据与4717条公民个人信息的泄露在客观上具有因果关系。同时，综合被告人李某的职业、知识背景等因素，被告人李某能够认识到出售cookie数据会导致公民个人信息泄露的后果，其对该后果的发生持放任态度。因此，4717条公民个人信息泄露的危害后果能够归责于被告人李某。

其次， cookie“属于刑法保护的身份认证信息”的观点无疑有理有据。同一个行为同时符合数罪的构成要件并不罕见，运用刑法解释对被告人罚当其罪才是裁判者追求的最高目标。新型互联网犯罪层出不穷，成文法又不能频繁修改，这就要求裁判者有较高的刑法解释能力。笔者认为，行为人非法获取cookie数据并出售，导致公民个人信息泄露的，其非法获取cookie数据的行为可能符合非法获取计算机信息系统数据罪的构成要件，而其出售cookie数据导致公民个人信息泄露的行为又可能符合侵犯公民个人信息罪的构成要件，从一重罪论处，可以罚当其罪。

（一审法院独任审判员:陈立；二审法院合议庭成员:钱耀炯，阮凤权，高晶晶；编写人:浙江省绍兴市柯桥区人民法院 陈立）

原文载《网络司法典型案例.刑事卷.2018》，李玉萍主编，人民法院出版社2019年1月第一版，P22-28。

整理：江苏省苏州市公安局信访处（民意监测中心）“不念，不往”“诗心竹梦”。