|
来源:上海法治报 转自:腾讯网络安全与犯罪研究基地(ID:tencentCCC) 作者:吴波 上海市人民检察院政治部办公室主任 法学博士 俞小海 上海市高级人民法院研究室法官助理 法学硕士  Tencentccc 题图 | 网络 随着我国经济社会的快速发展和信息网络的广泛普及,个人信息的价值日益凸显,而随之而来的侵害公民个人信息的违法犯罪日益突出,严重侵害公民的人身、财产安全和生活安宁,人民群众反映强烈。我国《刑法》规定了侵犯公民个人信息罪,2017年6月1日最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“两高”《解释》)对该罪的司法适用问题也进行了明确。然而,由于司法实践的复杂性以及法律条文本身的原则性,关于侵犯公民个人信息犯罪的理解与适用仍存在较大争议,需要进一步加以分析。 侵犯公民个人信息犯罪的法律沿革 我国1979年《刑法》并无关于公民个人信息犯罪的条文。1997年《刑法》第253条规定了私自开拆、隐匿、毁弃邮件、电报罪,将邮政工作人员私自开拆或者隐匿、毁弃邮件、电报的行为纳入刑法调整的范围,可以说是我国刑法保护公民个人信息的雏形。而侵犯公民个人信息的行为真正意义上进入刑法评价的视野则始于2009年2月28日《刑法修正案(七)》。《刑法修正案(七)》在我国《刑法》中增设了侵犯公民个人信息犯罪,包括出售、非法提供公民个人信息罪和非法获取公民个人信息罪两个罪名,为准确惩处该类犯罪行为提供了法律依据,对于遏制该类犯罪行为起到了良好的作用。 但是也应当看到,受犯罪主体、犯罪客观方面和刑法配置方面的限制,《刑法修正案(七)》新增的侵犯公民个人信息犯罪在实践中的威慑力稍显不足。尤其是随着互联网技术的高速发展和信息化建设的推进,侵犯公民个人信息犯罪仍呈现高发、多发态势,且与电信网络诈骗、敲诈勒索等犯罪存在密切关联,社会危害日益严重。据统计,2009年2月至《刑法修正案(九)》颁行前的2015年10月,全国法院新收出售、非法提供公民个人信息、非法获取公民个人信息刑事案件988起,审结969起,生效判决人数1415人。 为切实加大对公民个人信息的刑法保护力度,2015年8月29日通过、2015年11月1日起施行的《刑法修正案(九)》对侵犯公民个人信息犯罪进行了修改完善,主要体现在三个方面: 一是扩大犯罪主体的范围,将“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”修改为一般主体,规定任何单位和个人均可构成本罪; 二是拓展了客观行为方式,将“违反国家规定”修改为“违反国家有关规定”,将“本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人”修改为“向他人出售或者提供公民个人信息”,且明确规定将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚; 三是提高法定刑配置,增加规定“情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。修改后,出售、非法提供公民个人信息罪和非法获取公民个人信息罪被整合为侵犯公民个人信息罪。 关于公民个人信息范围的界定 公民个人信息的范围,是理解与适用侵犯公民个人信息罪的核心问题之一,不仅关系到本罪的入罪边界,也是刑法保护公民个人信息力度的直接体现。“两高”《解释》对“公民个人信息”的范围作了界定,根据“两高”《解释》第1条,“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。对此我们认为可以从三个方面予以进一步理解: 一是“两高”《解释》关于公民个人信息范围的界定以《网络安全法》关于公民个人信息的界定为基础,但外延大于《网络安全法》。《网络安全法》第76条规定的个人信息,仅指“单独或者与其他信息结合识别自然人个人身份的各种信息”,而“两高”《解释》规定的个人信息,既包括个人身份信息,也包括反映特定自然人活动情况的各种信息。“两高”《解释》列举了7种个人信息,除此之外,只要是能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,均属于本罪中的公民个人信息,比如《网络安全法》和“两高”《解释》中均未列举的年龄、婚姻状况、工作单位、学历、履历等。 二是公民个人信息必须与特定自然人相关联,具有“识别性”。这是公民个人信息的关键属性。因此,经过处理无法识别特定个人且不能复原的信息,虽然也可能反映自然人活动情况,但与特定自然人无直接关联,不能成为公民个人信息的范畴。需要注意的是,这里的“识别性”、关联性并非要求信息与特定自然人的一一对应关系,如果某条信息与其他信息相结合可以实现与特定自然人的关联,也具有“识别性”。比如,单一的身份证号码能准确对应特定自然人,其与公民个人当然具有关联性;单一的工作单位或家庭住址等信息通常无法准确对应特定自然人,但是其与电话号码等信息相结合即可实现与特定自然人的关联性,因而其也属于公民个人信息的范畴。 三是公民个人信息既包括中国公民的个人信息,也包括外国公民和其他无国籍人的个人信息,但是不包括单位信息。 公民个人信息罪客观行为的界定 侵犯公民个人信息罪的客观行为主要有“出售”、“提供”和“窃取或者以其他方法非法获取”。“出售”和“提供”,都是将本人知悉的个人信息告知他人,不同的是“出售”包含了获取报酬的内容。从对象来看,向特定人提供公民个人信息,属于“提供”,对此不存在疑义。但是随着信息网络技术的发展,通过信息网络或者其他途径发布公民个人信息的行为也日益多见,根据“举轻以明重”的法理,既然向特定人提供个人信息的行为属于本罪中的“提供”,对于传播范围更广、危害可能更大的通过信息网络或者其他途径发布公民个人信息,也应当认定为本罪中的“提供”。 值得注意的是,侵犯公民个人信息罪属于行政犯,以“违反国家有关规定”为前提,即具有“非法性”。如何理解这里的“非法性”?对此理论上存在争议,有观点认为,应采取主观判断标准,比如《刑法修正案(九)》草案一次审议稿将出售或者提供个人信息入罪的前提要件设置为“未经公民本人同意”,即采用的是主观判断的标准。有观点则认为,应采取客观判断标准。最终公布的《刑法修正案(九)》明确“违反国家有关规定”。“两高”《解释》进一步规定,违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为“违反国家有关规定”。 尽管如此,综合本罪的实际情况,我们依然认为,对于“非法性”的判断应采用客观+主观的标准。比如,对于“出售”和“提供”行为,违反法律、行政法规、部门规章规定,向他人出售或者提供公民个人信息,显然具有“非法性”,这是客观标准。根据《网络安全法》第41条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。据此,对于合法收集的公民个人信息,未经被收集者同意而向他人提供的,也属于本罪中的“提供公民个人信息”,应当认定为“非法性”,此时就包含了主观因素的考虑。 除了“出售”、“提供”行为,本罪的客观行为方式还有“窃取或者以其他方法非法获取”。刑法条文关于获取公民个人信息的行为并未明确“违反国家有关规定”的前置要件,而是使用了“非法”二字,对此,理论上存在争议,一种观点认为,在具体案件涉及的获取公民个人信息行为是否“非法”的判断上,对判断依据“国家有关规定”可以作相对灵活的把握,只要有一般性规定即可,而不应要求专门性规定; 另一种观点认为,刑法有关侵犯公民个人信息罪中的“非法”与“违反国家有关规定”的含义相同。我们认为,根据体系解释的原理,同一法律语境下的法律用语含义应尽量保持一致,因此,在“非法获取公民个人信息”的“非法性”的判断上,应坚持与“违反国家有关规定”同一标准。根据“两高”《解释》,“以其他方法非法获取公民个人信息”包括购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息。 侵犯公民个人信息罪与相关犯罪行为的界限 “两高”《解释》根据信息用途、信息类型和数量、违法所得数额、主体身份、违法犯罪次数和时间等情况,对侵犯公民个人信息罪的定罪量刑标准作了详尽的规定,确定了统一的适用标准,对此不再赘述。这里主要论述侵犯公民个人信息罪与其他相关犯罪行为的界分。 一是非法使用公民个人信息行为的定性问题。应当看到,实践中非法使用公民个人信息的行为日益常见,该种行为同样严重侵害公民的人身、财产安全和生活安宁。根据现有法律规定,将本人知悉或掌握的个人信息出售、提供给他人,将在履行职责或者提供服务过程中获得的公民个人信息出售、提供给他人,或者窃取或者以其他方法非法获取公民个人信息的行为,有可能构成侵犯公民个人信息罪,但是将自己知悉或者掌握的公民个人信息(包括合法获取或者非法获取的公民个人信息)非法使用(或者滥用)的,却无法直接依据我国《刑法》第253条之一的规定处理。 对此,我们认为,在遵循罪刑法定原则的前提下,对于非法使用公民个人信息的行为,可以根据其前段行为或后续行为的刑事违法性、刑罚当罚性等予以相应评价。比如,行为人使用的公民个人信息系窃取或者以其他方法非法获取的,可以对前段行为即窃取或者以其他方法非法获取行为认定为侵犯公民个人信息罪;行为人使用公民个人信息,实施电信诈骗、敲诈勒索、故意伤害等行为的,则按照相应犯罪论处。 二是与信息网络相关犯罪的界分。根据“两高”《解释》第5条第1款规定,“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的”,构成侵犯公民个人信息罪。我们认为,这是指行为人与利用公民个人信息实施犯罪的人并无通谋,仅仅是“知道或者应当知道他人利用公民个人信息实施犯罪”这一事实而向其出售或者提供公民个人信息的情形。如果行为人与利用公民个人信息实施犯罪的人存在事前通谋,并向其出售或者提供公民个人信息的,则行为人既构成侵犯公民个人信息罪,同时也构成利用获得的公民个人信息实施相应犯罪的帮助犯,对出售或者提供信息者应按照想象竞合犯的原则,从一重罪处理。 随着信息网络的日益普及,公民个人信息更多以数字化、数据化、网络化的形式出现,因而利用互联网技术或者在网络空间实施涉公民个人信息的行为也日益增多,比如,设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照《刑法》第287条之一规定的非法利用信息网络罪定罪处罚,同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。 又如,网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照《刑法》第286条之一规定的拒不履行信息网络安全管理义务罪定罪处罚。 |
|
|
