【内容提要】我国于2009年3月通过的《刑法修正案(七)》虽然确立了全面保护公民个人信息的立法精神,然而,在司法实践中还存在着很多争议,在理论的具体刑法保护方面也仍有着较大的改进和完善空间,如对公民个人信息范围的认定、侵犯公民个人信息犯罪的主观罪过等问题都需要深入地探究与明确。本文主要从相关的立法评价、司法认定、立法改进三个方面,对公民个人信息的刑法保护问题进行详细的探讨,并结合我国澳门特别行政区在相关方面较为成熟的立法及适用经验,提出适当的建议,以期对我国大陆相关的刑事立法及其完善尽一份微薄之力。
【关键词】个人信息 公民 刑法保护
【关键词】个人信息 公民 刑法保护
一、前言
现代社会是信息社会。离开各种资讯和信息,人们甚至无法在现代社会中生存,更遑论发展。更重要的是,现代社会中每个成员自身的情况也已经是社会信息中不可分割的部分。我国近年来开始注意积极保护社会成员的个人信息,尽管至今尚未制定完整、统一的个人信息保护法律,但在宪法、民法、行政法等法律中都有一定的涉及;尤其是我国立法机关于2009年2月28日通过的《刑法修正案(七)》,首次在刑法规范中增设了侵犯公民个人信息的犯罪,确立了对公民个人信息给予全面保护的立法精神,并为公民个人信息提供了最严厉的法律保护,从而在社会成员个人信息的法律保护上迈进了一大步,体现出对民生的重视和保护,有助于加强对公民人权的全面保障。⑴不过,由于种种原因,《个人信息保护法》在我国至今仍迟迟未出台,这不仅妨碍对公民个人信息给予全面的法律保护,而且也严重影响了对刑法典中侵犯公民个人信息犯罪之法条的理解、适用和完善。而且,《刑法修正案(七)》在公民个人信息的全面保护上也还有所欠缺,留下了较大的改进和完善空间。深入研究对公民个人信息之刑法保护的司法适用和立法完善问题,仍是我国刑事法治乃至社会文明进步一个重要课题。这里需要专门指出的是,相比之下,我国澳门特别行政区在居民个人信息和资料的保护方面有较为成熟的立法规定和法律适用经验,在一定程度上能为我国公民个人信息之法律保护(尤其是刑法保护)的改进提供重要的借鉴和参考。
二、刑法保护之立法评价
(一)立法概况
我国自1949年新中国成立以来到两部刑法典(即1979年刑法典与1997年刑法典)中,均未直接、明确地规定专门的罪刑条文对个人信息进行保护。直到2009年2月,国家立法机关才在《刑法修正案(七)》中增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪这两种侵犯公民个人信息的犯罪,开始以刑法手段对公民个人信息予以全面的保护。具体而言,《刑法修正案(七)》第7条所增设的刑法典第253条之一分三款对侵犯公民个人信息的犯罪做出了规定。第1款表述为:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”第2款表述为:“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”第3款表述为:“单位犯该罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”根据最高人民法院、最高人民检察院于2009年10月16日颁布的《关于执行〈中华人民共和国刑法〉确定罪名的补充规定(四)》的规定,上述第1款规定之犯罪的罪名为“出售、非法提供公民个人信息罪”,第2款规定之犯罪的罪名为“非法获取公民个人信息罪”。
根据上述第1款和第3款的规定,出售、非法提供公民个人信息罪是指国家机关或者金融、电信、交通、教育、医疗等单位或者其单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的行为。该犯罪的构成特征表现为以下几点:(1)犯罪主体是特定的单位或者自然人。可以构成本罪的单位是国家机关或者金融、电信、交通、教育、医疗等依其单位性质能够获取公民个人信息的单位;而可以构成本罪的自然人是上述单位的工作人员。(2)犯罪主观方面是故意。(3)犯罪客观方面表现为国家机关或者金融、电信、交通、教育、医疗等单位或者其工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的情形。(4)犯罪客体表现为公民个人的信息自由和安全。根据上述第2款和第3款的规定,非法获取公民个人信息罪是指窃取或者以其他方法非法获取公民个人信息,情节严重的行为。该犯罪的构成特征具体有:(1)犯罪主体是一般主体,既可以是单位,又可以是自然人,单位的性质和自然人的身份没有特别的限制。(2)犯罪主观方面表现为故意。(3)犯罪客观方面表现为窃取或者以其他方法非法获取公民个人信息,情节严重的情形。(4)犯罪客体也表现为公民个人的信息自由和安全。(2)
对《刑法修正案(七)》的上述立法规定,我们可以从进步和不足两个方面予以评价。
(二)进步之处
1.对公民个人信息率先确立全面保护的立法精神
近年来,我国对公民个人信息的保护逐渐引起重视,并陆续在相关法律中作出了规定,如《护照法》、《身份证法》、《统计法》等。⑶有关部门在所发布的相关规定中也对某个方面个人信息的保护有所规定,如信息产业部于2000年11月6日发布了《互联网电子公告服务管理规定》,要求电子公告服务提供者对上网用户的个人信息保密。最高司法机关也曾发布司法文件,强调对个人信息的保护。⑷但是,这些法律法规、规范性文件或者规定对特定人群的信息保护,如《未成年人保护法》、《妇女权益保障法》,或者规定对特定领域的个人信息保护,如《执业医师法》、《律师法》、《传染病防治法》。相比之下,《刑法修正案(七)》则突破性地确立了对公民个人信息给予毫无例外之全面刑法保护的原则,因为其第7条所增加的刑法典第253条之一将“公民个人信息”作为该罪刑条文所规定之危害行为的对象,而并未对“公民个人信息”的范围作出任何限制和例外性规定,因而可以确定,我国刑法典载明对每个公民的所有个人信息均予以刑法的保护。
2.以叙明罪状详尽规定犯罪成立的全部要素
《刑法修正案(七)》第7条对刑法典增加之第253条之一,分三款比较详尽地规定了侵犯公民个人信息的犯罪。其中,第253条之一第1款规定的是“出售、非法提供公民个人信息罪”,对该犯罪的行为主体、主观罪过、客观行为以及构成犯罪的危害程度都作了详尽的描述,如该犯罪的主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”;根据该条第3款的规定,还包括“国家机关或者金融、电信、交通、教育、医疗等单位”本身。因而该条款对“出售、非法提供公民个人信息罪”规定的罪状属于刑法上所说的叙明罪状。比较而言,第2款对“非法获取公民个人信息罪”仅简要地规定了客观实行行为,但是,根据第1款和第3款的规定,其实比较容易确定该罪的犯罪构成要件。
显然,叙明罪状的立法模式在一定程度上增强了司法实践中认定和处理侵犯公民个人信息犯罪行为的可操作性。如果分析近年来刑法修正案对刑法典所新增的具体犯罪,我们不难发现,越是新型的犯罪,刑法修正案越是尽可能地以叙明罪状的形式详尽地罗列其犯罪构成的各种要件和要素,如《刑法修正案(六)》新增加之刑法典第162条之二所规定的“虚假破产罪”,⑸《刑法修正案(八)》新增加之刑法典第133条之一规定的“危险驾驶罪”等,⑹都是如此。
3.灵活处理成立犯罪之侵犯行为的危害程度问题
时至今日,我国对公民个人信息的保护尚未建立全面和完备的法律机制,因而对于侵犯公民个人信息的行为,哪些属于行政违法行为而需要受到行政处罚,哪些具备刑事违法性而需要受到刑事制裁,这一问题在一定程度上也曾造成了立法的困扰,引起了一定的争论。⑺显然,若纠缠于对这些行为构成犯罪之危害程度的争论,那就不可能顺利地在我国刑法典中规定侵犯公民个人信息的具体犯罪。我国的立法机关比较明智地跳出了上述争论,以“情节严重”的概括性表述予以应对,较为灵活地对上述难题作出了处理。
(三)不足之处
1.缺乏完备的行政法律制裁前提
根据我国刑法典第253条之一第1款的规定,出售、非法提供公民个人信息罪的成立,以行为“违反国家规定”为前提。尽管根据刑法典第96条的规定,“国家规定”包括“全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令”;但是,就个人信息保护而言,我国针对个人信息保护并没有颁行统一的法律。有研究认为,中国大陆目前有24个法律或者规范性文件各自从某方面涉及对公民个人信息的保护,且均具有行政法律法规的性质。⑻因而可以确定,侵犯公民个人信息的危害行为从产生之时起就具备行政违法的性质,其所成立的犯罪就符合行政犯的特征。⑼然而,对侵犯公民个人信息之行为,我国尚未确立统一、完备的行政法律制裁体系与刑事制裁相衔接。连《治安管理处罚法》都未将侵犯公民个人信息的行为作为行政违法行为规定处罚的措施。这就使得我国刑法典第253条之一所规定的两种犯罪成为非典型的行政犯,也使得《刑法修正案(七)》第7条的规定成为一种法定犯时代之下颇为尴尬的立法。⑽
2.尚未彻底贯彻罪刑法定原则
虽然我国刑法典第253条之一第1款和第2款中“情节严重”的表述本身并不违背罪刑法定原则的要求,但是,这并不是说第253条之一的规定就较好地贯彻了罪刑法定原则。我国尚未制定和颁布《公民个人信息保护法》,对公民、个人、信息等词语尚无明确的定义,引起了刑事法律界的争议。例如,关于“个人信息”,国家立法机关的有关专家认为是“可以实现对公民个人情况识别”的信息;⑾而有学者则认为是“体现个人隐私权”的信息。⑿另外,对于第253条之一第2款规定的“非法获取公民个人信息罪”,在主体、行为方式等要素的内涵上,同样存在相当大的分歧。而且,因为我国对侵犯公民个人信息的各种行为还没有建立统一和完备的行政法律制裁体系,应该如何协调刑法典第253条之一所确立的刑事制裁与有关行政法律法规规定之行政法律制裁的关系,也是亟待解决的重要问题。因此,《刑法修正案(七)》第7条的突破性规定在一定程度上存在着有关要素之内涵并不清晰、不明确的先天性不足的问题,该罪刑条文由于自身功能有限而无法弥补这些不足,没有很好地实现罪刑法定原则之明确性的要求。
3.对网络上的危害行为的防治力不从心
尽管早在2003年4月,国务院信息化办公室对个人信息立法研究活动就进行了部署,有关专家在2005年初就提交了《个人信息保护法(草案)》,⒀但是,这并不意味着对个人信息法律保护的问题进行了全面和系统的研究。其实,在《刑法修正案(七)》制定和颁布的前后,围绕网络上比较常见的“人肉搜索”是否入罪的问题,理论界就展开了比较激烈的争论。⒁而且,对于我国刑法典第253条之一第2款的规定,在理解和适用上也存在争议,如关于该款中的“上述信息”,有论者认为,应当“尽量限定在公权力范围内,或者是提供垄断性、强制性的公共服务的领域”。⒂但对于从网络上搜集、整理他人个人信息予以出卖或者非法利用,情节严重的情形,上述规定就完全无法予以应对,成为刑法典第253条之一第2款在罪刑法定原则之下的一种自我束缚,放纵了一部分侵犯公民个人信息的违法行为。而这在一定意义上也表明,国家立法机关对侵犯公民个人信息之网络行为的普遍危害性及其严重程度显然缺乏充分的重视和足够的前瞻,造成了现行规定对网络上日益加剧的严重侵犯公民个人信息之危害行为难以予以刑事制裁的窘境。
我国自1949年新中国成立以来到两部刑法典(即1979年刑法典与1997年刑法典)中,均未直接、明确地规定专门的罪刑条文对个人信息进行保护。直到2009年2月,国家立法机关才在《刑法修正案(七)》中增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪这两种侵犯公民个人信息的犯罪,开始以刑法手段对公民个人信息予以全面的保护。具体而言,《刑法修正案(七)》第7条所增设的刑法典第253条之一分三款对侵犯公民个人信息的犯罪做出了规定。第1款表述为:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”第2款表述为:“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”第3款表述为:“单位犯该罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”根据最高人民法院、最高人民检察院于2009年10月16日颁布的《关于执行〈中华人民共和国刑法〉确定罪名的补充规定(四)》的规定,上述第1款规定之犯罪的罪名为“出售、非法提供公民个人信息罪”,第2款规定之犯罪的罪名为“非法获取公民个人信息罪”。
根据上述第1款和第3款的规定,出售、非法提供公民个人信息罪是指国家机关或者金融、电信、交通、教育、医疗等单位或者其单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的行为。该犯罪的构成特征表现为以下几点:(1)犯罪主体是特定的单位或者自然人。可以构成本罪的单位是国家机关或者金融、电信、交通、教育、医疗等依其单位性质能够获取公民个人信息的单位;而可以构成本罪的自然人是上述单位的工作人员。(2)犯罪主观方面是故意。(3)犯罪客观方面表现为国家机关或者金融、电信、交通、教育、医疗等单位或者其工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的情形。(4)犯罪客体表现为公民个人的信息自由和安全。根据上述第2款和第3款的规定,非法获取公民个人信息罪是指窃取或者以其他方法非法获取公民个人信息,情节严重的行为。该犯罪的构成特征具体有:(1)犯罪主体是一般主体,既可以是单位,又可以是自然人,单位的性质和自然人的身份没有特别的限制。(2)犯罪主观方面表现为故意。(3)犯罪客观方面表现为窃取或者以其他方法非法获取公民个人信息,情节严重的情形。(4)犯罪客体也表现为公民个人的信息自由和安全。(2)
对《刑法修正案(七)》的上述立法规定,我们可以从进步和不足两个方面予以评价。
(二)进步之处
1.对公民个人信息率先确立全面保护的立法精神
近年来,我国对公民个人信息的保护逐渐引起重视,并陆续在相关法律中作出了规定,如《护照法》、《身份证法》、《统计法》等。⑶有关部门在所发布的相关规定中也对某个方面个人信息的保护有所规定,如信息产业部于2000年11月6日发布了《互联网电子公告服务管理规定》,要求电子公告服务提供者对上网用户的个人信息保密。最高司法机关也曾发布司法文件,强调对个人信息的保护。⑷但是,这些法律法规、规范性文件或者规定对特定人群的信息保护,如《未成年人保护法》、《妇女权益保障法》,或者规定对特定领域的个人信息保护,如《执业医师法》、《律师法》、《传染病防治法》。相比之下,《刑法修正案(七)》则突破性地确立了对公民个人信息给予毫无例外之全面刑法保护的原则,因为其第7条所增加的刑法典第253条之一将“公民个人信息”作为该罪刑条文所规定之危害行为的对象,而并未对“公民个人信息”的范围作出任何限制和例外性规定,因而可以确定,我国刑法典载明对每个公民的所有个人信息均予以刑法的保护。
2.以叙明罪状详尽规定犯罪成立的全部要素
《刑法修正案(七)》第7条对刑法典增加之第253条之一,分三款比较详尽地规定了侵犯公民个人信息的犯罪。其中,第253条之一第1款规定的是“出售、非法提供公民个人信息罪”,对该犯罪的行为主体、主观罪过、客观行为以及构成犯罪的危害程度都作了详尽的描述,如该犯罪的主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”;根据该条第3款的规定,还包括“国家机关或者金融、电信、交通、教育、医疗等单位”本身。因而该条款对“出售、非法提供公民个人信息罪”规定的罪状属于刑法上所说的叙明罪状。比较而言,第2款对“非法获取公民个人信息罪”仅简要地规定了客观实行行为,但是,根据第1款和第3款的规定,其实比较容易确定该罪的犯罪构成要件。
显然,叙明罪状的立法模式在一定程度上增强了司法实践中认定和处理侵犯公民个人信息犯罪行为的可操作性。如果分析近年来刑法修正案对刑法典所新增的具体犯罪,我们不难发现,越是新型的犯罪,刑法修正案越是尽可能地以叙明罪状的形式详尽地罗列其犯罪构成的各种要件和要素,如《刑法修正案(六)》新增加之刑法典第162条之二所规定的“虚假破产罪”,⑸《刑法修正案(八)》新增加之刑法典第133条之一规定的“危险驾驶罪”等,⑹都是如此。
3.灵活处理成立犯罪之侵犯行为的危害程度问题
时至今日,我国对公民个人信息的保护尚未建立全面和完备的法律机制,因而对于侵犯公民个人信息的行为,哪些属于行政违法行为而需要受到行政处罚,哪些具备刑事违法性而需要受到刑事制裁,这一问题在一定程度上也曾造成了立法的困扰,引起了一定的争论。⑺显然,若纠缠于对这些行为构成犯罪之危害程度的争论,那就不可能顺利地在我国刑法典中规定侵犯公民个人信息的具体犯罪。我国的立法机关比较明智地跳出了上述争论,以“情节严重”的概括性表述予以应对,较为灵活地对上述难题作出了处理。
(三)不足之处
1.缺乏完备的行政法律制裁前提
根据我国刑法典第253条之一第1款的规定,出售、非法提供公民个人信息罪的成立,以行为“违反国家规定”为前提。尽管根据刑法典第96条的规定,“国家规定”包括“全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令”;但是,就个人信息保护而言,我国针对个人信息保护并没有颁行统一的法律。有研究认为,中国大陆目前有24个法律或者规范性文件各自从某方面涉及对公民个人信息的保护,且均具有行政法律法规的性质。⑻因而可以确定,侵犯公民个人信息的危害行为从产生之时起就具备行政违法的性质,其所成立的犯罪就符合行政犯的特征。⑼然而,对侵犯公民个人信息之行为,我国尚未确立统一、完备的行政法律制裁体系与刑事制裁相衔接。连《治安管理处罚法》都未将侵犯公民个人信息的行为作为行政违法行为规定处罚的措施。这就使得我国刑法典第253条之一所规定的两种犯罪成为非典型的行政犯,也使得《刑法修正案(七)》第7条的规定成为一种法定犯时代之下颇为尴尬的立法。⑽
2.尚未彻底贯彻罪刑法定原则
虽然我国刑法典第253条之一第1款和第2款中“情节严重”的表述本身并不违背罪刑法定原则的要求,但是,这并不是说第253条之一的规定就较好地贯彻了罪刑法定原则。我国尚未制定和颁布《公民个人信息保护法》,对公民、个人、信息等词语尚无明确的定义,引起了刑事法律界的争议。例如,关于“个人信息”,国家立法机关的有关专家认为是“可以实现对公民个人情况识别”的信息;⑾而有学者则认为是“体现个人隐私权”的信息。⑿另外,对于第253条之一第2款规定的“非法获取公民个人信息罪”,在主体、行为方式等要素的内涵上,同样存在相当大的分歧。而且,因为我国对侵犯公民个人信息的各种行为还没有建立统一和完备的行政法律制裁体系,应该如何协调刑法典第253条之一所确立的刑事制裁与有关行政法律法规规定之行政法律制裁的关系,也是亟待解决的重要问题。因此,《刑法修正案(七)》第7条的突破性规定在一定程度上存在着有关要素之内涵并不清晰、不明确的先天性不足的问题,该罪刑条文由于自身功能有限而无法弥补这些不足,没有很好地实现罪刑法定原则之明确性的要求。
3.对网络上的危害行为的防治力不从心
尽管早在2003年4月,国务院信息化办公室对个人信息立法研究活动就进行了部署,有关专家在2005年初就提交了《个人信息保护法(草案)》,⒀但是,这并不意味着对个人信息法律保护的问题进行了全面和系统的研究。其实,在《刑法修正案(七)》制定和颁布的前后,围绕网络上比较常见的“人肉搜索”是否入罪的问题,理论界就展开了比较激烈的争论。⒁而且,对于我国刑法典第253条之一第2款的规定,在理解和适用上也存在争议,如关于该款中的“上述信息”,有论者认为,应当“尽量限定在公权力范围内,或者是提供垄断性、强制性的公共服务的领域”。⒂但对于从网络上搜集、整理他人个人信息予以出卖或者非法利用,情节严重的情形,上述规定就完全无法予以应对,成为刑法典第253条之一第2款在罪刑法定原则之下的一种自我束缚,放纵了一部分侵犯公民个人信息的违法行为。而这在一定意义上也表明,国家立法机关对侵犯公民个人信息之网络行为的普遍危害性及其严重程度显然缺乏充分的重视和足够的前瞻,造成了现行规定对网络上日益加剧的严重侵犯公民个人信息之危害行为难以予以刑事制裁的窘境。
三、相关犯罪之司法认定
《刑法修正案(七)》将侵犯公民个人信息的危害行为纳入刑法的调整范围,但由于相关具体罪刑条文的规定比较原则和概括,加之以我国现在并无个人信息保护的专门法律,且最高司法机关也未出台规范性文件对如何理解和适用该罪刑条文作出解释,因而司法实践中出现了较多的法律适用难题。为了准确地认定和处理此类犯罪,有必要对这些疑难问题进行深入的研究。笔者曾经在2010年10月接受最高人民法院研究室的委托,组成课题组对侵犯公民个人信息犯罪的法律适用问题进行了较为全面的研讨,并向最高人民法院提交了《关于办理侵犯公民个人信息刑事案件具体应用法律若干问题的解释(征求意见稿)》,但因故最高人民法院迄今仍未发布正式的相关司法解释文件。⒃时至今日,客观而言,对于侵犯公民个人信息犯罪之司法处理的很多疑难问题,我国刑事法律界并未达成一致的意见,仍有深入分析和研讨之必要。
(一)公民个人信息范围的认定难题
《刑法修正案(七)》第7条没有对公民个人信息的概念和范围作出具体的界定,因而对于“公民”、“个人信息”都存在理解和适用上的问题。
1.关于“公民”的界定
“公民”是一个法律概念,是指具有某个国家国籍或者某个地区居民资格的人。《中华人民共和国宪法》第33条的规定,凡具有中华人民共和国国籍的人都是中华人民共和国公民。对于国籍的取得,我国《国籍法》第4—6条做出了具体的规定,主要采取的是血统主义为主、出生地为辅的原则。那么,侵犯公民个人信息犯罪中的“公民”是否局限于具有中华人民共和国国籍的人呢?笔者认为,此处的公民不应当仅仅局限于我国公民,事实上任何人的个人信息都可以成为该罪的犯罪对象。
第一,对侵犯中国公民个人信息的犯罪行为以及侵犯外国人、无国籍人个人信息的我国有刑事管辖权的行为,都要按照中国大陆刑法典的规定追究刑事责任。也就是说,我国对处在中国境内的外国人、无国籍人,像对待中国公民一样,提供平等的刑法保护,对虽不在中国境内但遭受发生于中国境内之危害行为侵犯的外国人、无国籍人,也提供刑法的保护。因而在个人信息的刑法保护上,我国对中国公民、处在中国境内的外国人和无国籍人以及遭受中国领域内危害行为侵犯的外国人和无国籍人,一视同仁地提供刑法的保护,不主张有例外。⒄
第二,对非中国公民的个人信息不提供刑法保护也是与现实情况不符合的。我国的国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员,在履行职责或者提供服务过程中不仅有可能获得中国公民的个人信息,也完全有可能获得境内外外国人、无国籍人的个人信息。不法分子也完全有可能出售、非法提供其所获得的处在境外之外国人、无国籍人的个人信息。我国的司法机关不可能放纵这部分犯罪行为。
2.关于个人信息的范围
关于个人信息有哪些,理论和实务界有着很大的争论,主要有如下几种认识:(1)个人信息是指能实现对公民个人情况的识别,被非法利用时可能对公民个人生活和安宁构成损害和威胁的信息。⒅(2)个人信息是指本人不希望扩散,具有保护价值,一旦扩散,将可能对公民权利造成损害的信息。⒆有论者也从刑法典第253条之一侵犯之法益的角度认为,个人信息具有个人隐私的特征。⒇(3)个人信息是指以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。(21)分析上述不同认识,可以看到,个人信息具有如下两个基本特征:(1)个人的专属性,即其与公民的个人身份紧密相关,既包括其生理特征的信息,也包括其本人在社会上从事各种活动的社会特征的信息。由此可将国家秘密、情报或者商业秘密、交易信息排除在外。(2)信息的重要性,即公民的诸多个人信息关乎公民的人格、尊严,甚至影响到其财产权利、人身安全。这一点也可以认为是个人信息的保护价值。但是,对于个人信息是否等同于个人隐私,则没有统一的看法。笔者对此持否定性的态度,即个人信息并不同等于个人隐私,即便个人信息已经公开,仍有可能成为刑法典第253条之一所规定之犯罪侵犯的对象。例如,有关国家机关或者部门为救济、救助或者奖励而公示了公民个人信息,若其工作人员将在工作中收集的这些公示信息出售或者非法提供给他人,情节严重的,就构成出售、非法提供公民个人信息罪。
另外,还需要注意的是,刑法典第253条之一第1款与第2款在犯罪对象上是否完全一致?法律界对此有肯定和否定的两种看法。肯定说认为,第2款中的“上述信息”指的就是第1款中“国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员,在履行职责或者提供服务过程中获得的公民个人信息”;(22)否定说则认为,第2款中的“信息”不限于第1款中所说的个人信息,还包括其他符合条件的各种信息。(23)在笔者看来,从立法本意来看,肯定说是合适的,但以对公民个人信息法律保护的不断加强来看,否定说又是符合社会发展的实际情况的。笔者趋向于赞同否定说的看法,但同时也认为,不能将所有信息都视为第2款所述之信息,毕竟,第2款将该条款中危害行为的对象表述为“上述信息”,因而即便不将二者完全等同,也要注意第2款所指的信息与第1款所述的信息有共通之处;根据第1款的表述,这里的个人信息是“国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员,在履行职责或者提供服务过程中获得的公民个人信息”,即他人为了获得公共服务而按照要求必须提供给公共服务单位或者其工作人员的个人信息,国家机关或者其他单位及其工作人员是通过公共服务渠道获得的;第2款所指的信息像第1款所述的信息一样,也具有这种特征,即属于各种公共服务单位所收集或者发布的个人信息,从而将行为人直接从公民个人那里刺探或者收集信息的情形排除出本款。对于隐秘或者公开地从公民个人那里直接刺探或者收集个人信息的行为,可根据手段行为的性质以及后续利用行为的性质来追究法律责任。
(二)出售、非法提供公民个人信息罪的主体问题
根据刑法典第253条之一的规定,出售、非法提供公民个人信息罪的犯罪主体有两类:(1)国家机关或者金融、电信、交通、教育、医疗等单位;(2)国家机关或者金融、电信、交通、教育、医疗等单位的工作人员。对于这里所说的单位的范围,有国家立法工作机关的专家指出,“考虑到本条主要是对在履行职责或提供公共服务过程中利用某种程度的‘公权力’采集到的公民个人信息的国家机关或者单位,违反法律规定的保密义务应负的刑事责任,……不宜将公民个人信息的刑事保护范围扩大到没有利用‘公权力’采集的一切单位和个人。”(24)有学者也支持该观点,主张应当明确本罪的主体为国家机关或者金融、电信、交通、教育、医疗等利用公权力获取公民个人信息的单位及其工作人员。对于非利用公权力获取公民个人信息的单位及个人,暂时不宜将其作为本罪主体。其他单位必须也具有和金融、电信等单位类似的国家所赋予的采集公民个人信息的公权力,如电力公司、自来水公司、煤气公司等单位。(25)对此,笔者认为,具有公权力并非本罪之单位主体的基本特征。理由如下:第一,除了国家机关之外,从事金融、电信、交通、教育、医疗的单位既有国有的,又有非国有的,刑法典第253条之一第1款本身没有限定单位的国有性质;第二,非国有的金融、电信、交通、教育、医疗单位(如非国有的保险公司、快递公司)同样有可能在工作过程中获取公民的个人信息,在出售、非法提供的情况下也会严重地侵犯他人的合法权益;第三,在《刑法修正案(七)》起草过程中,对于构成侵犯公民个人信息罪的单位,国家立法机构并未对其限定特定性质,刑法典第253条之一第3款在规定单位可构成前两款犯罪时并未指出哪些单位构成第1款之罪,哪些单位构成第2款之罪。(26)
(三)侵犯公民个人信息犯罪的主观罪过问题
对于刑法典第253条之一所规定之两种犯罪的主观罪过,有学者界定为“直接犯罪故意和间接犯罪故意”。(27)现在来看,这种界定并不是很严谨。根据我国的刑法理论,间接犯罪故意是指行为人明知自己的行为可能发生危害社会的结果,并且放任这种结果发生的心理态度;行为人对危害社会的结果在主观上既有较为明确的认识,又有听任其发生的意志。对于间接故意的犯罪,特定危害结果的发生与否,具有决定性的意义,即只有特定危害结果发生,才能认定间接故意犯罪的成立。(28)但是,根据刑法典第253条之一第1款的规定,出售、非法提供公民个人信息的危害行为只有在“情节严重”时才成立犯罪;而“情节严重”并不必然包括给他人造成危害结果的情形。换言之,行为人认识到出售、非法提供公民个人信息的危害行为可能给他人造成危害结果,且不顾该结果仍然实施该行为,造成危害结果,才成立间接故意的犯罪。不过,这种情况往往是不存在的,因为“出售、非法提供”公民个人信息的行为人在主观上往往具有谋取经济利益或者其他好处的动机或者意图,其实是追究“公民个人信息被不应当知道的人知道”这种后果状态,即符合直接故意的态度。因此,严格地讲,应将出售、非法提供公民个人信息罪的犯罪主观方面确定为“直接故意”。
(四)非法获取公民个人信息行为的司法认定问题
刑法典第253条之一第2款将非法获取公民个人信息罪的实行行为规定为“窃取或者以其他方法非法获取上述信息”。对“非法获取”的理解主要存在两个问题:(1)“非法”性质是否来源于手段的非法性?(2)“获取”的渠道和来源究竟是什么?
对于第一个问题,有论者指出,窃取,即秘密取走,其本身就是一种非法手段,无论是道德上还是法律上都不具有正当性。(29)那么,能否根据窃取手段本身的非法性质而认为“非法获取”是指采用非法手段获取他人信息呢?如果对此给予肯定的回答,那就意味着,“其他方法”必须自身就具有非法的性质,如诈骗、胁迫或者暴力侵害等;那些自身不具有非法性质或者比较中性的方法,就不会使得获取行为具备非法的性质,如购买、获赠等。如此一来,对后者就无法给予刑事处罚,显然不符合对公民的个人信息给予刑法保护的刑法精神。因而这里的“非法”并非指获取手段或者方法行为的性质,而是指行为人的获取行为在本质上是非法的,即行为人不符合获取公民个人信息的法律或者法规的规定。因而笔者在此也不同意有论者所提出的“获取行为违背法律禁止性规定”的看法,(30)即笔者认为,行为人只要没有获取公民个人信息的法律依据或者资格而获取相关个人信息的,就可能构成犯罪。
对于第二个问题,就目前来看,法律界的关注似乎并不多。笔者认为,研究该问题的目的在于否定对某些人直接从他人处获得个人信息以及收集分散的公民个人信息的行为按照本罪处罚。如前所述,刑法典第253条之一第2款中“上述信息”是指公共服务提供者在服务过程中收集接受服务的公民个人信息。因而“非法获取”其实是指没有获得资格或者根据的人以窃取或者其他方法获取公共服务提供者在服务过程中收集或者发布的公民个人信息。换言之,刑法典既要制裁公共服务提供者将自己保有的公民个人信息非法提供给他人的行为,又要处罚他人侵犯公共服务提供者对公民个人信息之保有状态的行为。(31)从这个层面上看,侵犯公民个人信息的行为其实是侵犯了公民在接受公共服务时所享有的个人信息保密权利。所以,某些人直接从他人处获得个人信息,不管方法是否非法,都没有直接侵犯公民在接受公共服务时所享有的信息保密权利,例如,通过钓鱼软件从他人电脑里获取他人的身份证号码、血型、婚姻状况、受教育状况、兴趣爱好、电话号码等。而行为人自行从网络、书报刊物、电视电影广告等公开的信息发布渠道收集他人的个人信息,尽管可能侵犯他人的隐私权利或者信息安全,但同样与公民在接受公共服务时要求服务提供单位保密的权利没有直接的联系。
(一)公民个人信息范围的认定难题
《刑法修正案(七)》第7条没有对公民个人信息的概念和范围作出具体的界定,因而对于“公民”、“个人信息”都存在理解和适用上的问题。
1.关于“公民”的界定
“公民”是一个法律概念,是指具有某个国家国籍或者某个地区居民资格的人。《中华人民共和国宪法》第33条的规定,凡具有中华人民共和国国籍的人都是中华人民共和国公民。对于国籍的取得,我国《国籍法》第4—6条做出了具体的规定,主要采取的是血统主义为主、出生地为辅的原则。那么,侵犯公民个人信息犯罪中的“公民”是否局限于具有中华人民共和国国籍的人呢?笔者认为,此处的公民不应当仅仅局限于我国公民,事实上任何人的个人信息都可以成为该罪的犯罪对象。
第一,对侵犯中国公民个人信息的犯罪行为以及侵犯外国人、无国籍人个人信息的我国有刑事管辖权的行为,都要按照中国大陆刑法典的规定追究刑事责任。也就是说,我国对处在中国境内的外国人、无国籍人,像对待中国公民一样,提供平等的刑法保护,对虽不在中国境内但遭受发生于中国境内之危害行为侵犯的外国人、无国籍人,也提供刑法的保护。因而在个人信息的刑法保护上,我国对中国公民、处在中国境内的外国人和无国籍人以及遭受中国领域内危害行为侵犯的外国人和无国籍人,一视同仁地提供刑法的保护,不主张有例外。⒄
第二,对非中国公民的个人信息不提供刑法保护也是与现实情况不符合的。我国的国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员,在履行职责或者提供服务过程中不仅有可能获得中国公民的个人信息,也完全有可能获得境内外外国人、无国籍人的个人信息。不法分子也完全有可能出售、非法提供其所获得的处在境外之外国人、无国籍人的个人信息。我国的司法机关不可能放纵这部分犯罪行为。
2.关于个人信息的范围
关于个人信息有哪些,理论和实务界有着很大的争论,主要有如下几种认识:(1)个人信息是指能实现对公民个人情况的识别,被非法利用时可能对公民个人生活和安宁构成损害和威胁的信息。⒅(2)个人信息是指本人不希望扩散,具有保护价值,一旦扩散,将可能对公民权利造成损害的信息。⒆有论者也从刑法典第253条之一侵犯之法益的角度认为,个人信息具有个人隐私的特征。⒇(3)个人信息是指以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。(21)分析上述不同认识,可以看到,个人信息具有如下两个基本特征:(1)个人的专属性,即其与公民的个人身份紧密相关,既包括其生理特征的信息,也包括其本人在社会上从事各种活动的社会特征的信息。由此可将国家秘密、情报或者商业秘密、交易信息排除在外。(2)信息的重要性,即公民的诸多个人信息关乎公民的人格、尊严,甚至影响到其财产权利、人身安全。这一点也可以认为是个人信息的保护价值。但是,对于个人信息是否等同于个人隐私,则没有统一的看法。笔者对此持否定性的态度,即个人信息并不同等于个人隐私,即便个人信息已经公开,仍有可能成为刑法典第253条之一所规定之犯罪侵犯的对象。例如,有关国家机关或者部门为救济、救助或者奖励而公示了公民个人信息,若其工作人员将在工作中收集的这些公示信息出售或者非法提供给他人,情节严重的,就构成出售、非法提供公民个人信息罪。
另外,还需要注意的是,刑法典第253条之一第1款与第2款在犯罪对象上是否完全一致?法律界对此有肯定和否定的两种看法。肯定说认为,第2款中的“上述信息”指的就是第1款中“国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员,在履行职责或者提供服务过程中获得的公民个人信息”;(22)否定说则认为,第2款中的“信息”不限于第1款中所说的个人信息,还包括其他符合条件的各种信息。(23)在笔者看来,从立法本意来看,肯定说是合适的,但以对公民个人信息法律保护的不断加强来看,否定说又是符合社会发展的实际情况的。笔者趋向于赞同否定说的看法,但同时也认为,不能将所有信息都视为第2款所述之信息,毕竟,第2款将该条款中危害行为的对象表述为“上述信息”,因而即便不将二者完全等同,也要注意第2款所指的信息与第1款所述的信息有共通之处;根据第1款的表述,这里的个人信息是“国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员,在履行职责或者提供服务过程中获得的公民个人信息”,即他人为了获得公共服务而按照要求必须提供给公共服务单位或者其工作人员的个人信息,国家机关或者其他单位及其工作人员是通过公共服务渠道获得的;第2款所指的信息像第1款所述的信息一样,也具有这种特征,即属于各种公共服务单位所收集或者发布的个人信息,从而将行为人直接从公民个人那里刺探或者收集信息的情形排除出本款。对于隐秘或者公开地从公民个人那里直接刺探或者收集个人信息的行为,可根据手段行为的性质以及后续利用行为的性质来追究法律责任。
(二)出售、非法提供公民个人信息罪的主体问题
根据刑法典第253条之一的规定,出售、非法提供公民个人信息罪的犯罪主体有两类:(1)国家机关或者金融、电信、交通、教育、医疗等单位;(2)国家机关或者金融、电信、交通、教育、医疗等单位的工作人员。对于这里所说的单位的范围,有国家立法工作机关的专家指出,“考虑到本条主要是对在履行职责或提供公共服务过程中利用某种程度的‘公权力’采集到的公民个人信息的国家机关或者单位,违反法律规定的保密义务应负的刑事责任,……不宜将公民个人信息的刑事保护范围扩大到没有利用‘公权力’采集的一切单位和个人。”(24)有学者也支持该观点,主张应当明确本罪的主体为国家机关或者金融、电信、交通、教育、医疗等利用公权力获取公民个人信息的单位及其工作人员。对于非利用公权力获取公民个人信息的单位及个人,暂时不宜将其作为本罪主体。其他单位必须也具有和金融、电信等单位类似的国家所赋予的采集公民个人信息的公权力,如电力公司、自来水公司、煤气公司等单位。(25)对此,笔者认为,具有公权力并非本罪之单位主体的基本特征。理由如下:第一,除了国家机关之外,从事金融、电信、交通、教育、医疗的单位既有国有的,又有非国有的,刑法典第253条之一第1款本身没有限定单位的国有性质;第二,非国有的金融、电信、交通、教育、医疗单位(如非国有的保险公司、快递公司)同样有可能在工作过程中获取公民的个人信息,在出售、非法提供的情况下也会严重地侵犯他人的合法权益;第三,在《刑法修正案(七)》起草过程中,对于构成侵犯公民个人信息罪的单位,国家立法机构并未对其限定特定性质,刑法典第253条之一第3款在规定单位可构成前两款犯罪时并未指出哪些单位构成第1款之罪,哪些单位构成第2款之罪。(26)
(三)侵犯公民个人信息犯罪的主观罪过问题
对于刑法典第253条之一所规定之两种犯罪的主观罪过,有学者界定为“直接犯罪故意和间接犯罪故意”。(27)现在来看,这种界定并不是很严谨。根据我国的刑法理论,间接犯罪故意是指行为人明知自己的行为可能发生危害社会的结果,并且放任这种结果发生的心理态度;行为人对危害社会的结果在主观上既有较为明确的认识,又有听任其发生的意志。对于间接故意的犯罪,特定危害结果的发生与否,具有决定性的意义,即只有特定危害结果发生,才能认定间接故意犯罪的成立。(28)但是,根据刑法典第253条之一第1款的规定,出售、非法提供公民个人信息的危害行为只有在“情节严重”时才成立犯罪;而“情节严重”并不必然包括给他人造成危害结果的情形。换言之,行为人认识到出售、非法提供公民个人信息的危害行为可能给他人造成危害结果,且不顾该结果仍然实施该行为,造成危害结果,才成立间接故意的犯罪。不过,这种情况往往是不存在的,因为“出售、非法提供”公民个人信息的行为人在主观上往往具有谋取经济利益或者其他好处的动机或者意图,其实是追究“公民个人信息被不应当知道的人知道”这种后果状态,即符合直接故意的态度。因此,严格地讲,应将出售、非法提供公民个人信息罪的犯罪主观方面确定为“直接故意”。
(四)非法获取公民个人信息行为的司法认定问题
刑法典第253条之一第2款将非法获取公民个人信息罪的实行行为规定为“窃取或者以其他方法非法获取上述信息”。对“非法获取”的理解主要存在两个问题:(1)“非法”性质是否来源于手段的非法性?(2)“获取”的渠道和来源究竟是什么?
对于第一个问题,有论者指出,窃取,即秘密取走,其本身就是一种非法手段,无论是道德上还是法律上都不具有正当性。(29)那么,能否根据窃取手段本身的非法性质而认为“非法获取”是指采用非法手段获取他人信息呢?如果对此给予肯定的回答,那就意味着,“其他方法”必须自身就具有非法的性质,如诈骗、胁迫或者暴力侵害等;那些自身不具有非法性质或者比较中性的方法,就不会使得获取行为具备非法的性质,如购买、获赠等。如此一来,对后者就无法给予刑事处罚,显然不符合对公民的个人信息给予刑法保护的刑法精神。因而这里的“非法”并非指获取手段或者方法行为的性质,而是指行为人的获取行为在本质上是非法的,即行为人不符合获取公民个人信息的法律或者法规的规定。因而笔者在此也不同意有论者所提出的“获取行为违背法律禁止性规定”的看法,(30)即笔者认为,行为人只要没有获取公民个人信息的法律依据或者资格而获取相关个人信息的,就可能构成犯罪。
对于第二个问题,就目前来看,法律界的关注似乎并不多。笔者认为,研究该问题的目的在于否定对某些人直接从他人处获得个人信息以及收集分散的公民个人信息的行为按照本罪处罚。如前所述,刑法典第253条之一第2款中“上述信息”是指公共服务提供者在服务过程中收集接受服务的公民个人信息。因而“非法获取”其实是指没有获得资格或者根据的人以窃取或者其他方法获取公共服务提供者在服务过程中收集或者发布的公民个人信息。换言之,刑法典既要制裁公共服务提供者将自己保有的公民个人信息非法提供给他人的行为,又要处罚他人侵犯公共服务提供者对公民个人信息之保有状态的行为。(31)从这个层面上看,侵犯公民个人信息的行为其实是侵犯了公民在接受公共服务时所享有的个人信息保密权利。所以,某些人直接从他人处获得个人信息,不管方法是否非法,都没有直接侵犯公民在接受公共服务时所享有的信息保密权利,例如,通过钓鱼软件从他人电脑里获取他人的身份证号码、血型、婚姻状况、受教育状况、兴趣爱好、电话号码等。而行为人自行从网络、书报刊物、电视电影广告等公开的信息发布渠道收集他人的个人信息,尽管可能侵犯他人的隐私权利或者信息安全,但同样与公民在接受公共服务时要求服务提供单位保密的权利没有直接的联系。
四、刑法保护之立法改进
尽管有论者鲜明地认为“法律不是嘲笑的对象”,(32)但是,自《刑法修正案(七)》通过并颁行之始,就有论者分析该修正案第7条的不足,提出对侵犯公民个人信息犯罪之立法完善的建议。有意思的是,一直到如今,我国学者对刑法典第253条之一的立法完善和改进的研究就没有中断,表明我国刑法典第253条之一确实有着较大的改进空间。笔者在这里主要对“个人信息”之刑法保护的如下四个改进和完善问题予以简要的探讨。
(一)建议删去“公民”一词
如前所述,尽管对“公民?可以通过扩张解释的方法解释为包括外国人、无国籍人在内的任何人,但是,“公民”毕竟是一个严格的法律概念,也有着固定的内涵和外延,通过解释将外国人、无国籍人概括到刑法典第253条之一第1款所述的“公民”中,就严重地扭曲了“公民”的本来概念,未对“公民”这一法律术语给予应有的严肃对待。而且,其他国家和地区在规定个人信息保护时,并未在“个人信息”之前加上“公民”来修饰,如中国澳门特区刑法典第189条规定之违反保密罪,第190条规定之不当利用秘密罪,均没有在“他人秘密”前加“居民”之类的修饰性的语词。所以,既为了简洁,也为了避免解释上的误区,完全可以将我国刑法典第253条之一第1款中的“公民”一词删除。
(二)建议明确规定“个人信息”的概念
很多国家和地区在刑法典中规定侵犯个人信息或者秘密的犯罪时,确实没有对个人信息或者秘密的概念和范围作出规定,如中国澳门特区刑法典第189条、第190条就是如此。(33)但不同于其他国家和地区的是,我国至今没有颁布《个人信息保护法》。因而如何确定个人信息的概念和范围,是《刑法修正案(七)》颁行以来的一个重要问题,引起了相当多的争论。而解决该问题并消除争论的最佳途径,无疑是在我国刑法典关于侵犯个人信息犯罪的罪刑条文中以单独的一款规定个人信息的概念。这种立法模式在刑法典中多处出现,比较典型且与刑法典第253条之一比较接近的,莫过于第219条关于侵犯商业秘密罪的规定。我国刑法典第219条不仅规定了侵犯商业秘密罪的罪状和法定刑,而且以独立的两款对该罪涉及的商业秘密、权利人这两个概念做出了明确的规定。其实,《商业秘密法》对这两个概念已作出了规定。既然对其他部门法已经明确规定概念的法律术语,刑法典仍然可以规定,那么,对于其他部门法没有明确规定的法律术语或者尚无部门法涉及的法律,术语,刑法典更应该对其概念作出明确的规定。
(三)建议对两种侵犯个人信息犯罪规定不同的犯罪对象
对于我国刑法典第253条之一前两款的规定,如前所述,笔者认为,第2款所指的“信息”与第1款所述的“信息”具有相同之处。尽管这种分析符合立法本意,也符合对非法获取公民个人信息活动的惩治,但是,随着社会的发展,这种分析并不能适应司法实务与侵犯个人信息非法活动作斗争的现实需要。因为按照我国刑法典第253条之一第2款的规定,无法对下述两种有危害性的行为作出合理的处理:(1)直接从他人处非法获取个人信息或者从公开渠道收集整理个人信息的行为(如“人肉搜索”),(2)从非公共服务单位的个人或者其他单位那里窃取、购买、骗取个人信息的行为。关于第一种行为,其实,在《刑法修正案(七)》颁行之前,将“人肉搜索”行为入罪的呼声就很高。但这种行为随着行为主体的主观意图和对信息的使用方法在危害性上有不同的表现,因而可能不宜直接以刑罚手段来处置。(34)关于第二种行为,从司法实践的情况看,有些司法机关其实也已经悄然改变刑法典第253条之一第2款所规定之“信息”的范围,对利用公开渠道收集他人信息并予以出卖的行为追究刑事责任,如《刑法修正案(七)》颁行之后的全国首例侵犯公民信息犯罪案,司法机关对向诈骗案被告人非法出售个人信息资料的被告人周某按照非法获取公民个人信息罪定罪处罚。(35)而且,其他国家或者地区的刑法典也没有对个人秘密或者信息在获取单位是否有公权力的问题上作太多的规定,如1998年《德国刑法典》第十五章关于侵害私人生活和秘密的规定,中国澳门特区刑法典第189条也只是将个人秘密规定为“因自己之身份、工作、受雇、职业或者技艺而知悉之他人秘密”。当然,考虑到我国的实际情况,对公共服务单位及其工作人员在履行职责或者提供服务过程中获得的个人信息还是应给予必要的保障,但同时,也要对非公共服务单位的个人或者单位获取的个人信息给予刑法保护,即对刑法典第253条之一第1款中的个人信息与第2款中的个人信息作区别性的规定,将第1款的个人信息仍限定于公共服务单位及其工作人员在履行职责、提供服务过程中收集的他人个人信息,将第2款的个人信息界定为有关单位或者个人因工作、职业而获得的个人信息。
(四)建议将非法利用个人信息的行为入罪
根据我国刑法典第253条之一的规定,对于合法或者非法获取公民个人信息的单位和个人非法利用个人信息的行为,目前还不能追究刑事责任。但是,这种情况在现实生活中却变得愈来愈严重。例如,2009年3月,在中央电视台的“3·15”晚会上,山东省移动通信公司滥发垃圾短信的情况遭到曝光。据报道,该公司利用短信群发器和基站向用户发送短信来牟利。平时,社会大众也经常收到各种骚扰性的电话或者信息,正常的生活受到干扰。这些行为活动不是出售、非法提供而是非法使用公民个人信息。对于这种滥用个人信息或者秘密的情形,很多国家或者地区在刑法典中规定专门的罪名予以应对,如德国刑法典第204条就规定了“利用他人秘密罪”,澳门特区刑法典第190条规定了“不当利用秘密罪”。当然,上述立法例所规定的具体犯罪成立条件还是比较严格的,如澳门特区刑法典第190条对不当利用秘密罪规定了“未经同意”、“造成他人或者本地区损失”两个要件,以避免不当地扩大处罚,这值得国家立法机关借鉴。笔者建议,可在我国刑法典第253条之一第2款中规定“非法利用”的行为,即该款可表述为“非法获取、利用他人个人信息,情节严重的,依照前款的规定处罚”。
(一)建议删去“公民”一词
如前所述,尽管对“公民?可以通过扩张解释的方法解释为包括外国人、无国籍人在内的任何人,但是,“公民”毕竟是一个严格的法律概念,也有着固定的内涵和外延,通过解释将外国人、无国籍人概括到刑法典第253条之一第1款所述的“公民”中,就严重地扭曲了“公民”的本来概念,未对“公民”这一法律术语给予应有的严肃对待。而且,其他国家和地区在规定个人信息保护时,并未在“个人信息”之前加上“公民”来修饰,如中国澳门特区刑法典第189条规定之违反保密罪,第190条规定之不当利用秘密罪,均没有在“他人秘密”前加“居民”之类的修饰性的语词。所以,既为了简洁,也为了避免解释上的误区,完全可以将我国刑法典第253条之一第1款中的“公民”一词删除。
(二)建议明确规定“个人信息”的概念
很多国家和地区在刑法典中规定侵犯个人信息或者秘密的犯罪时,确实没有对个人信息或者秘密的概念和范围作出规定,如中国澳门特区刑法典第189条、第190条就是如此。(33)但不同于其他国家和地区的是,我国至今没有颁布《个人信息保护法》。因而如何确定个人信息的概念和范围,是《刑法修正案(七)》颁行以来的一个重要问题,引起了相当多的争论。而解决该问题并消除争论的最佳途径,无疑是在我国刑法典关于侵犯个人信息犯罪的罪刑条文中以单独的一款规定个人信息的概念。这种立法模式在刑法典中多处出现,比较典型且与刑法典第253条之一比较接近的,莫过于第219条关于侵犯商业秘密罪的规定。我国刑法典第219条不仅规定了侵犯商业秘密罪的罪状和法定刑,而且以独立的两款对该罪涉及的商业秘密、权利人这两个概念做出了明确的规定。其实,《商业秘密法》对这两个概念已作出了规定。既然对其他部门法已经明确规定概念的法律术语,刑法典仍然可以规定,那么,对于其他部门法没有明确规定的法律术语或者尚无部门法涉及的法律,术语,刑法典更应该对其概念作出明确的规定。
(三)建议对两种侵犯个人信息犯罪规定不同的犯罪对象
对于我国刑法典第253条之一前两款的规定,如前所述,笔者认为,第2款所指的“信息”与第1款所述的“信息”具有相同之处。尽管这种分析符合立法本意,也符合对非法获取公民个人信息活动的惩治,但是,随着社会的发展,这种分析并不能适应司法实务与侵犯个人信息非法活动作斗争的现实需要。因为按照我国刑法典第253条之一第2款的规定,无法对下述两种有危害性的行为作出合理的处理:(1)直接从他人处非法获取个人信息或者从公开渠道收集整理个人信息的行为(如“人肉搜索”),(2)从非公共服务单位的个人或者其他单位那里窃取、购买、骗取个人信息的行为。关于第一种行为,其实,在《刑法修正案(七)》颁行之前,将“人肉搜索”行为入罪的呼声就很高。但这种行为随着行为主体的主观意图和对信息的使用方法在危害性上有不同的表现,因而可能不宜直接以刑罚手段来处置。(34)关于第二种行为,从司法实践的情况看,有些司法机关其实也已经悄然改变刑法典第253条之一第2款所规定之“信息”的范围,对利用公开渠道收集他人信息并予以出卖的行为追究刑事责任,如《刑法修正案(七)》颁行之后的全国首例侵犯公民信息犯罪案,司法机关对向诈骗案被告人非法出售个人信息资料的被告人周某按照非法获取公民个人信息罪定罪处罚。(35)而且,其他国家或者地区的刑法典也没有对个人秘密或者信息在获取单位是否有公权力的问题上作太多的规定,如1998年《德国刑法典》第十五章关于侵害私人生活和秘密的规定,中国澳门特区刑法典第189条也只是将个人秘密规定为“因自己之身份、工作、受雇、职业或者技艺而知悉之他人秘密”。当然,考虑到我国的实际情况,对公共服务单位及其工作人员在履行职责或者提供服务过程中获得的个人信息还是应给予必要的保障,但同时,也要对非公共服务单位的个人或者单位获取的个人信息给予刑法保护,即对刑法典第253条之一第1款中的个人信息与第2款中的个人信息作区别性的规定,将第1款的个人信息仍限定于公共服务单位及其工作人员在履行职责、提供服务过程中收集的他人个人信息,将第2款的个人信息界定为有关单位或者个人因工作、职业而获得的个人信息。
(四)建议将非法利用个人信息的行为入罪
根据我国刑法典第253条之一的规定,对于合法或者非法获取公民个人信息的单位和个人非法利用个人信息的行为,目前还不能追究刑事责任。但是,这种情况在现实生活中却变得愈来愈严重。例如,2009年3月,在中央电视台的“3·15”晚会上,山东省移动通信公司滥发垃圾短信的情况遭到曝光。据报道,该公司利用短信群发器和基站向用户发送短信来牟利。平时,社会大众也经常收到各种骚扰性的电话或者信息,正常的生活受到干扰。这些行为活动不是出售、非法提供而是非法使用公民个人信息。对于这种滥用个人信息或者秘密的情形,很多国家或者地区在刑法典中规定专门的罪名予以应对,如德国刑法典第204条就规定了“利用他人秘密罪”,澳门特区刑法典第190条规定了“不当利用秘密罪”。当然,上述立法例所规定的具体犯罪成立条件还是比较严格的,如澳门特区刑法典第190条对不当利用秘密罪规定了“未经同意”、“造成他人或者本地区损失”两个要件,以避免不当地扩大处罚,这值得国家立法机关借鉴。笔者建议,可在我国刑法典第253条之一第2款中规定“非法利用”的行为,即该款可表述为“非法获取、利用他人个人信息,情节严重的,依照前款的规定处罚”。
五、结语
国家立法机关2009年所颁行的《刑法修正案(七)》在刑法典中增设了侵犯公民个人信息犯罪的罪刑条文,尽管还有很多不足,在司法实践中产生了很多争议,理论界也对其提出了不少的立法完善建议,但是仍可以说,这一立法进展反映出国家立法机关在科技发展和网络信息技术普及的现实状况下关注民生和反映社会发展的正确导向,通过刑罚手段对涉及民众人身、财产安全和隐私权利的新型危害行为予以惩治和防范,符合我国刑事法治发展的现实需要,进一步完善了对公民人权的刑事法保护措施。当然,这并不是说关于个人信息之刑法保护立法就可以止步不前了。相反,我国刑事法治还有必要根据时代发展的实际情况,参考和借鉴其他国家和地区(如我国港澳台地区)刑事法的规定,对个人信息规定更加全面和完备的刑法保护措施。
【注释与参考文献】
⑴参见赵秉志:《〈刑法修正案(七)〉的宏观问题研讨》,载《华东政法大学学报》2009年第2期。
⑵参见赵秉志主编:《刑法修正案最新理解适用》,中国法制出版社2009年版,第114—126页。
⑶参见赵秉志主编:《刑法修正案(七)专题研究》,北京师范大学出版社2011年版,第142页。
⑷参见最高人民法院、最高人民检察院《关于切实保障司法人员依法履行职务的紧急通知》,法[2005]173号,2005年8月25日颁布施行。
⑸第十届全国人民代表大会常务委员会第二十二次会议于2006年6月29日通过的《刑法修正案(六)》,在第6条中规定,在刑法第一百六十二条之一后增加一条,作为第一百六十二条之二:“公司、企业通过隐匿财产、承担虚构的债务或者以其他方法转移、处分财产,实施虚假破产,严重损害债权人或者其他人利益的,对其直接负责的主管人员和其他直接责任人员,处五年以下有期徒刑或者拘役,并处或者单处二万元以上二十万元以下罚金。”
⑹第十一届全国人民代表大会常务委员会第十九次会议于2011年2月25日通过的《刑法修正案(八)》,在第22条中规定,在刑法第一百三十三条后增加一条,作为第一百三十三条之一:“在道路上驾驶机动车追逐竞驶,情节恶劣的,或者在道路上醉酒驾驶机动车的,处拘役,并处罚金。”“有前款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。”
⑺参见朗胜:《〈刑法修正案(七)〉立法背景与理解适用》,来源:http://www.criminallawbnu.cn/criminal/info/showpage.asp?ProgramID=&PkID=22113&keyword=%D0%CC%157%A8%D0%DE%D5%FD%B0%B8%A3%A8%C6%DF%A3%A9,2013年5月2日访问。
⑻参见卢建平:《我国侵犯公民个人信息犯罪的治理》,载《法律适用》2013年第4期。也有资料显示,我国目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定、医疗信息规定、个人信用管理办法等。参见《个人信息保护将出台国标明确使用后立即删除》,载《新京报》2012年4月5日第A06版。
⑼关于行政犯的特征,有论者认为主要是“对行政法上之义务的违反”,参见刘军:《刑法与行政法的一体化建构——兼论行政刑法理论的解释功能》,载《当代法学》2008年第4期。
⑽有论者认为,在中国,法定犯(行政犯)时代已经到来,其标志是“犯罪形态在数量变化上由传统的自然犯占绝对优势演变为法定犯占绝对比重”。参见储槐植:《要正视法定犯时代的到来》,载《检察日报》2007年6月1日第2版。
⑾参见朗胜:《〈刑法修正案(七)〉立法背景与理解适用》,来源:http://www.criminallawbnu.cn/criminal/info/showpage.asp?ProgramID=&pkID=22113&keyword=%D0%CC%B7%A8%D0%DE%D5%FD%130%B8%A3%A8%C6%DF%A3%A9,2013年5月2日访问。
⑿参见蔡军:《侵犯公民个人信息犯罪立法的理性反思》,载《现代法学》2010年第4期。
⒀参见《个人信息保护将出台国标明确使用后立即删除》,载《新京报》2012年4月5日第A06版。
⒁参见刘宪权、方晋晔:《个人信息刑法保护的立法及完善》,载《华东政法大学学报》2009年第3期。
⒂雷建斌:《〈刑法修正案(七)〉的法条争议及解析》,载赵秉志主编:《刑法修正案(七)专题研究》,北京师范大学出版社2011年版。
⒃最高人民法院研究室经有关领导批准,按照特定程序,于2010年3月发函委托北京师范大学刑事法律科学研究院,对办理侵犯公民个人信息刑事案件具体应用法律问题展开研究,并代拟解释草案。笔者作为课题负责人邀请黄晓亮副教授、张磊副教授、王东阳博士组成课题组,对有关问题进行调研,展开研究工作,并撰写调研报告,形成司法解释征求意见稿并如期提交给委托单位。参见赵秉志主持:《北京师范大学刑事法律科学研究院刑事法治发展研究报告(39):关于办理侵犯公民个人信息刑事案件具体应用法律若干问题的解释》(2010年11月8日)。
⒄参见赵秉志主编:《刑法修正案(七)专题研究》,北京师范大学出版社2011年版,第150页。
⒅参见朗胜:《〈刑法修正案(七)〉立法背景与理解适用》,来源:http://www.criminallawbnu.cn/criminal/info/showpage.asp?ProgramID=&pkID=22113&keyword=%D0%CC%B7%A8%D0%DE%D5%FD%B0%B8%A3%A8%C6%DF%A3%A9,2013年5月2日访问。
⒆参见张磊:《司法实践中侵犯公民个人信息犯罪的疑难问题及其对策》,载《当代法学》2011年第1期。
⒇参见赵军:《侵犯公民个人信息犯罪法益研究》,载《江西财经大学学报》2011年第2期。
(21)参见张玉华、温春玲:《侵犯公民个人信息安全犯罪解读》,载《中国检察官》2009年第8期。
(22)参见赵秉志主编:《刑法修正案(七)专题研究》,北京师范大学出版社2011年版,第150页。
(23)参见张磊:《司法实践中侵犯公民个人信息犯罪的疑难问题及其对策》,载《当代法学》2011年第1期。
(24)黄太云:《〈刑法修正案(七)〉解读》,载《人民检察》2009年第6期。
(25)参见张磊:《司法实践中侵犯公民个人信息犯罪的疑难问题及其对策》,载《当代法学》2011年第1期。
(26)参见《全国人民代表大会法律委员会关于〈中华人民共和国刑法修正案(七)〉(草案二次审议稿)重要问题修改情况的汇报》(2009年2月17日)。
(27)在笔者所主编的教材中,对该罪进行分析的参编者李韧夫教授持这种观点,参见赵秉志主编:《刑法新教程(第3版)》,中国人民大学出版社2009年版,第541页。
(28)参见高铭暄、马克昌主编:《刑法学(第5版)》,北京大学出版社、高等教育出版社2011年版,第111页。
(29)参见赵秉志主编:《刑法修正案(七)专题研究》,北京师范大学出版社2011年版,第150页。该观点是参与该著作的一位年轻学者的观点。
(30)参见王昭武、肖凯:《侵犯公民个人信息犯罪认定中的若干问题》,载《法学》2009年第12期。
(31)参见赵军:《侵犯公民个人信息犯罪法益研究》,载《江西财经大学学报》2011年第2期。
(32)参见张明楷著:《刑法格言的展开》,法律出版社1998年版,第158页。
(33)澳门特区刑法典第189条(违反保密)规定,未经同意,泄漏因自己之身份、工作、受雇、职业或技艺而知悉之他人秘密者,处最高一年徒刑,或科最高二百四十日罚金。第190条(不当利用秘密)规定,未经同意,利用因自己之身份、工作、受雇、职业或技艺而知悉之有关他人之商业、工业、职业或艺术等活动之秘密,而造成他人或本地区有所损失者,处最高一年徒刑,或科最高二百四十日罚金。
(34)参见赵秉志主编:《刑法修正案(七)专题研究》,北京师范大学出版社2011年版,第169页。
(35)来源:http://tech.163.com/10/0104/06/5S5PMK4F000915BE.html,2013年5月2日访问。
来源:《华东政法学院学报》2014年第1期