“案涉公司的涉案业务行为系为小贷公司的信贷人员提供助贷APP服务,当事人Z某属于公司的技术人员。紧急介入后,经会见了解后初步认为,涉案犯罪行为定性存争议,定罪证据存在不足,建议存疑不捕。经模糊化处理后,今将此案辩护文书分享如下,供大家交流指正。”
文 | 朋礼松 律师
具体理由如下:
一、Z某所在公司的相关业务行为,不宜认定构成侵犯公民个人信息罪
根据辩护人会见Z某所了解的信息,案涉公司系杭州XXXX有限公司,该公司下属部门具体开展的业务系为小贷公司的信贷人员提供助贷APP服务,在此业务过程中涉嫌侵犯公民个人信息罪而被立案查处。那落实到案涉公司的前述业务行为,是否构成侵犯公民个人信息罪,辩护人认为,则需要厘清如下两个问题:
(一)案涉公司所属业务行为,是否存在对公民个人信息的非法获取
按照辩护人会见所了解的案情,目前认定案涉公司的涉案业务行为系为小贷公司的信贷人员提供助贷APP服务。该涉案助贷APP的两端:一端为有贷款需求的用户,一端为小贷公司及信贷人员。
基于此业务逻辑,就有一个不可回避的前提事实:那就是有贷款需求的用户的具体信息(主要有个人的姓名、电话等基本信息以及反映个人信用状况的其他信息),是由谁来收集以及如何收集的,进而涉及这些信息主体即贷款需求的用户,是否将其上述个人信息授权给信息收集方,并同意其合理使用。
按照Z某向辩护人陈述,案涉公司应该是信息收集方,但该信息获取的事情并非其工作内容。但据其了解,上述个人信息的获取,是贷款需求用户,即信息权人主动提供给公司的。结合其陈述,其主观上主要基于两个原因得知:
原因一是,其作为公司项目X部的产品经理,对接的上端是项目A部、B部,上述个人信息系项目A部、B部通过服务器端口对接至X部的单独系统,并在公司内部会议/讨论中,明确告知过上述个人信息数据系用户主动提供。
原因二是,依据当初APP产品的设计逻辑及需求来判断的。即小贷公司业务员在购买单条信息后会生成一个服务编码,在当初提产品设计需求时就要求,该编码还需要反馈给借款用户,并由借款人与小贷公司业务员进行双向核对。在Z某工作期间,从未接到过任何一个借款用户针对此问题的投诉,由此也能推断用户信息的获取和对外提供,是经过用户许可的。
(二)案涉公司对获取个人信息的后续处理中,是否存在未经信息权利人授权/同意的“非法处理”行为
依照前述案涉公司的业务逻辑,针对用户个人信息的对外提供,是否需要严格的明示同意,有无超出合理使用范畴的“非法处理”行为?辩护人认为,从目前掌握的信息并结合既判案例来看,宜谨慎看待。
理由有二:
其一,信息权人的授权或同意形式,会直接影响合理使用的法律意义及范畴。
按照辩护人所掌握的情况,在个人信息系信息权人主动提供的情况下,基于特定的收集目的以及信息权人特定的提供目的,即使案涉公司未向信息权人明示会将所收集的信息对外出售或提供给他人,那在其愿意主动对外公开提供的目的下,势必是信息权人在信息公开流通与排他性支配之间进行了利弊取舍。其通过公开上述个人信息,以获得贷款的商业利益,必然以对信息排他性支配的削弱甚至丧失为代价。
因此,在理解信息主体基于商业目的向他人自主提供其个人信息的法律意义时,就应当认为其中包含着“默示同意”他人可以进行一般性的使用,不需要再作出二次授权。 (具体参见《刑事审判参考》第132集第1487号 王健侵犯公民个人信息案)
所以,若在信息获取时,取得了信息权人的授权同意,那基于其公开个人信息目的进行一般性使用,仍未超出“合理使用”的范畴。
其二,案涉公司对外提供个人信息行为的违法性,应予以综合判断。
依据Z某对案涉公司掌握的个人信息的有限描述,在APP产品中的用户信息,除姓名和手机号码外,其他均是信息权人自主提供,信息是否真实暂且不论,至少涉案的姓名、手机号码属于一般个人信息,结合信息权人自主提供个人信息的主观目的,是为了促成为自己获得贷款的商业目的,并不会对信息主体造成或增加明显不利的影响,这也是信息主体在自主提供上述个人信息时能够预见的,且能接受的。
其次,案涉公司对外提供上述个人信息的目的,也并不是以帮助他人实施特定犯罪,且目前并不存在其他对外提供的非法用途,故对信息主体的法益也不会造成具体、现实的危险。
二、Z某主观上难以明知公司存在侵犯公民个人信息的行为,并继续为其提供工作上的帮助
据辩护人会见及走访了解的信息,Z某虽系抓捕到案,但到案以来,一直积极配合办案机关查证相关事实,并无消极应对侦查的对抗行为,据此辩护人认为,Z某向辩护人所透露的案件事实与其向办案机关透露的事实是真实的,也均是可信的。据此,Z某主观上并不明知公司存在侵犯公民个人信息的违法犯罪行为。
主要原因有三点:
原因之一:Z某系案涉公司具体业务下产品设计环节的产品经理,系一般员工,无法从产品设计侧发现反常。
关于这一点,Z某一直跟辩护人强调,他是公司的产品设计的产品经理,属于一般员工。其平时的主要工作是做公司的产品设计,主要是根据用户需求和业务需求,完成产品整体框架设计、交互设计并编写需求文档。
换言之,案涉公司针对此业务具体落实到Z某工作上,则是解决业务针对产品APP的需求设计,并不涉及对用户个人信息的处理,Z某也无法实质接触和掌握对客户个人信息的获取来源及处理路径。而且Z某还提到,案涉产品其在入职之时便已经存在,其入职后主要系针对该APP产品使用过程中的实际需求及bug,进行更新迭代等工作。
所以,对于信息获取侧的具体情况,并非其本职工作内容,其也不能从产品设计侧发现异常之处。
原因之二:Z某并非案涉公司管理层或主管人员,既没有参与信息获取,也未参与信息获取业务侧的会议沟通/讨论等事宜,无法接触到信息获取一侧的核心授权内容。
Z某也向辩护人提到,信息获取一侧是其他部门处理的业务,其在产品设计的工作中,并不会实际使用到上述信息数据。至于信息权人对上述信息数据如何同意/授权、同意/授权范围如何,对此部分核心的授权内容,Z某客观上不参与,也无法接触,主观上也难以知晓。
基于Z某在公司的实际职位和工作权责,其既非案涉公司管理层或主管人员,也未参与信息获取业务侧的会议沟通/讨论等事宜,客观上并不具备以管理身份等方式,间接知晓前述的信息获取授权事宜,故其主观上不知情的辩解仍然具备真实性和合理性。
原因之三:Z某并不存在犯罪明知,无侵犯公民个人信息罪的犯罪故意。
根据Z某向辩护人表示,其基于自身工作过程中的获知以及结合APP产品的设计逻辑及需求,基本可以明确的是,公司所从事的业务系介于信息权人与小贷公司及信贷人员之间,为双方提供一种中介服务。
其主观上的认知在于,信息系用户主动提供并授权使用,且信息使用在于为客户实现贷款需求,此外并无利用该信息进行获利的非法目的,并无侵犯公民个人信息的犯罪故意。
三、假设本案构成犯罪,可考虑归为单位犯罪,Z某也不应承担罪责,且打击范围不宜扩大化
这是本案在关注侵犯公民个人信息罪犯罪构成与否的情况之外,需要引起关注的另外一个重点问题:若本案构成犯罪,本案是否属于单位犯罪的问题;若属于单位犯罪,Z某是否应当承担罪责。辩护人受限于目前侦查阶段无法阅卷,无法全局统筹判断,对于本案是否成立单位犯罪,仅针对性做一些论断。
结合Z某对案涉公司业务的个人陈述,案涉业务只是公司的一个业务之一,公司还有其他的业务线,即公司有其他经营业务,且案涉业务也是以公司名义开展的。另按照辩护人对案涉公司查获场所的理解,查获场所即XXXX公司的正常经营场所且共同办公,可以合理推断该业务的开展,应系单位意志决定,并非由公司内部员工私自开展。
由此根据《最高人民法院关于审理单位犯罪案件具体应用法律有关问题的解释》之规定,若本案构成犯罪,也应属单位犯罪,而非个人犯罪。那在构成单位犯罪的前提下,作为技术员工的Z某,是否应当承担罪责?
按照《刑法》第253条之一关于本罪单位犯罪处罚原则的规定,单位犯罪的,除对单位判处罚金外,还需要并对其直接负责的主管人员和其他直接责任人员判处刑罚。 那本案中的Z某,是否属于“直接负责的主管人员”和“其他直接责任人员”?
作为犯罪单位中直接负责的主管人员和其他直接责任人员,首先,应当是犯罪单位中的工作人员;其次,应当在单位犯罪中起了重要作用,要么是对单位犯罪起决定、组织、领导作用,要么具体实施犯罪。辩护人认为,Z某既不属于“直接负责的主管人员”, 也不属于“其他直接责任人员”。
一般而言,单位犯罪中的“直接负责的主管人员”,是指在单位实施的犯罪中起决定、批准、授意、纵容、指挥等作用的人员,一般是单位的主管负责人,包括法定代表人。如前所述,本案单位犯罪的主体应该是XXXX公司,那XXXX公司的直接负责的主管人员,肯定并非嫌疑人Z某,至少也应该是对该犯罪行为起到主要决策作用的主管人员,如公司的管理层或持股经营的股东等。
而所谓的“其他直接责任人员”,根据司法实践及《最高人民法院关于审理单位犯罪案件对其直接负责的主管人员和其他直接责任人员是否区分主犯、从犯问题的批复》的精神,在单位犯罪中,对其直接负责的主管人员和其他直接责任人员,可不区分主犯、从犯。
换言之,该两类人员在地位、作用上至少是相当的,且在公司内大多具备一定权责或直接实施了犯罪行为,二者无法进行明显区分。因此,辩护人认为本案也不应扩大化并波及到该业务线上的一般员工。
四、本案不“应当”对Z某予以逮捕,在现有客观条件下,对其取保候审并无社会危险性
具体内容略。
结果:检察院存疑不捕,当事人Z某被取保候审。
@刑辩之道
法律咨询|业务交流|交个朋友
微信号|plslawyer
邮箱|plslawyer@163.com
刑辩之道&一个刑事律师的自留地
热门跟贴