侵犯公民财产信息并实施信用卡诈骗罪数的认定——苏某米信用卡诈骗、侵犯公民个人信息案
【案件基本信息】
1.裁判书字号
福建省厦门市中级人民法院(2018)闽02刑终168号刑事裁定书
2.案由:信用卡诈骗罪、侵犯公民个人信息罪
【基本案情】
2016年1月以来,被告人苏某米利用互联网非法获取650余条公民个人信息(含姓名、身份证号码、手机号码、银行卡卡号、密码等),将其中一部分公民个人信息提供给他人,并伙同他人以网上消费形式盗刷多名被害人的银行卡。同时,被告人苏某米还伙同他人使用其他非法获取的大量公民身份信息(含姓名、身份证号码、银行卡号等)以购买机票的形式盗刷多名被害人的银行卡。犯罪数额共计506154元。2016年5月25日,公安机关将苏某米抓获归案。
【案件焦点】
苏某米非法获取他人姓名、身份证号码、手机号码、银行卡卡号、密码等个人信息的犯罪行为是否应被信用卡诈骗罪吸收。
【法院裁判要旨】
福建省厦门市同安区人民法院经审理认为:苏某米以非法占有为目的,违反信用卡管理法规,冒用他人信用卡进行诈骗活动,犯罪数额特别巨大,其行为已构成信用卡诈骗罪。苏某米非法获取并向他人提供包括财产信息在内的公民个人信息共计650余条,情节特别严重,其行为已构成侵犯公民个人信息罪。苏某米犯两罪,应数罪并罚。苏某米伙同他人利用“木马”程序链接、网络渗透等隐蔽技术手段实施诈骗,可酌情从重处罚。
福建省厦门市同安区人民法院依照《中华人民共和国刑法》第一百九十六条第一款第三项,第二百五十三条之一第一款、第三款,第二十五条第一款,第六十九条,第六十四条以及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条的规定,作出如下判决:
被告人苏某米犯信用卡诈骗罪,判处有期徒刑十一年六个月,并处罚金人民币十万元;犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币二万元。数罪并罚,决定执行有期徒刑十四年,并处罚金人民币十二万元。
宣判后,被告人苏某米提出上诉,主要上诉意见为原判对诈骗金额认定有误,应按已查实的被害人被盗刷的金额认定;非法获取公民个人信息是实施诈骗的前提,侵犯公民个人信息的行为应被诈骗罪吸收。
福建省厦门市中级人民法院经审理认为:原判认定已查实的被害人被盗刷的金额有经庭审举证、质证的证据证实;未查明被害人身份部分的诈骗事实与已查实被害人部分诈骗方法相同,使用的相同的银行卡,原判根据在案证据认定该部分被害人被盗刷金额并无不当。上诉人苏某米的犯罪行为分别符合侵犯公民个人信息罪和信用卡诈骗罪的构成要件,依法应予数罪并罚。
福建省厦门市中级人民法院依照《中华人民共和国刑事诉讼法》第二百二十五条第一款第一项的规定,作出如下裁定:
驳回上诉,维持原判。
【法官后语】
1.数罪并罚与从一重罪的定罪原则
本案中,被告人苏某米非法获取并向他人提供公民个人信息,构成侵犯公民个人信息罪。伙同他人以网上消费形式盗刷被害人银行卡,属冒用他人信用卡,构成信用卡诈骗罪。苏某米实施的获取、提供公民个人信息和伙同他人盗刷信用卡是两个独立的,分别具备刑法分则中不同罪名的构成要件的行为。前者侵犯的是公民的隐私权,后者侵犯的是包括国家信用卡管理制度、公私财物所有权在内的复杂客体。二审阶段辩护人的辩护意见认为两个行为分别是方式行为与目的行为,存在牵连关系,应从一重罪处罚。对此可分为两个层次进行分析:
第一,从我国目前判断牵连关系的通说——主客观统一说来看。成立牵连关系,既要行为人主观上具有牵连的意思,还要客观上具有通常方法或结果关系。一方面,侵犯公民个人信息不是实施信用卡诈骗的通常方法。信用卡诈骗包括使用伪造的信用卡或者以虚假身份证明骗领的信用卡、作废的信用卡、恶意透支等。使用非法获取的公民个人信息从而冒用他人信用卡只是信用卡诈骗诸多方法中的一种。另一方面,实施信用卡诈骗也不是侵犯公民个人信息的通常结果,行为人既可以通过该行为单独谋利,也可以用来实施敲诈勒索、绑架等犯罪,或者用于讨还债务、骚扰他人等一般不构成犯罪的活动。因此,笔者认为两个行为不存在牵连关系。
第二,即使认为构成牵连犯,由于牵连犯本质上属于实质的数罪,处断上的一罪,如果明文规定对牵连行为进行数罪并罚的,应予数罪并罚。《最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》规定,违反国家有关规定,向他人出售或者提供公民个人信息,窃取或者以其他方法非法获取公民个人信息,符合刑法第二百五十三条之一规定的,以侵犯公民个人信息罪追究刑事责任。使用非法获取的公民个人信息,实施电信网络诈骗犯罪行为,构成数罪的,应当依法予以并罚。
2.信用卡信息与公民个人信息中财产信息的区分
在明确以上原则的前提下,本案还需要明确的是被告人苏某米非法获取并提供给他人的信息应属信用卡信息还是公民个人信息。因为《最高人民法院、最高人民检察院关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释》第五条规定:“……刑法第一百九十六条第一款第三项所称‘冒用他人信用卡’,包括以下情形:……(三)窃取、收买、骗取或者以其他非法方式获取他人信用卡信息资料,并通过互联网、通信终端等使用的……”如果认定本案被告人获取的信息属于信用卡信息资料,则其非法获取并提供给他人共同实施盗刷的部分,应构成信用卡诈骗的共同犯罪。
(1)公民个人信息的范围
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条对公民个人信息的内涵和外延作出了规定。将公民个人信息定义为以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的信息。从这一定义来看,公民个人信息具有以下特征:一是与信息主体具有密切相关性。包括反映信息主体自然特征和社会属性的描述性信息,如姓名、身份证号码、通信方式、住址、健康生理信息等;还包括对信息主体的某方面状态进行评价的信息,如征信信息、财产信息、交易信息、行踪轨迹信息等。二是对信息主体身份的可识别性。定义中的“特定自然人”这一用语表明,信息要对具体信息主体的利益产生影响,才具有保护的价值,即该信息能够单独或与其他信息结合对信息主体的身份进行识别,使信息主体与他人相区别。
(2)信用卡信息与公民个人信息中的财产信息的区别
关于信用卡信息,目前法律并没有明确定义,对这一专业性比较强的概念的把握,应与金融行业的标准保持一致。根据2000年11月8日发布的《中国人民银行关于颁布〈银行卡发卡行标识代码及卡号〉和〈银行卡磁条信息格式和使用规范〉两项行业标准的通知》,信用卡信息主要包括主账号、发卡机构标识号码、个人账户标识、校验位、个人标识代码。这些信息在发卡行信用卡磁条、芯片中。至于信用卡所有人在办卡时向银行提交的姓名、身份证、工作单位、收入情况、联系方式、住址等信息只涉及信用卡的申领,不涉及信用卡的使用,发卡行也不会将这些信息写入信用卡的磁条、芯片中,不属于刑法对信用卡信息保护的范围。在非法获取他人信用卡信息资料并通过互联网、通讯终端等使用的信用卡诈骗中,只要获取磁条所载的相关信息就可以以持卡人名义进行交易。此定义下的信用卡信息对信息主体的指向性不强,难以满足密切相关性和身份可识别性的条件。
本案中,被告人苏某米非法获取的公民个人信息包含姓名、身份证号码、手机号码、银行卡卡号、密码等。这些信息可以具体反映出特定信息主体的存款余额、可透支金额等财产状况,具有明确的指向性,属于公民个人信息中的财产信息。因此,被告人苏某米非法获取并向他人提供公民个人信息,伙同他人以网上消费形式盗刷被害人银行卡,构成侵犯公民个人信息罪、信用卡诈骗罪,应予数罪并罚。
编写人:福建省厦门市中级人民法院 余强 陈姝
原文载《刑事案例裁判规则理解与适用》,国家法官学院最高人民法院司法案例研究院,中国法制出版社,2023年4月第一版。
