[内容摘要]我国于2009 年3 月通过的 《刑法修正案( 七) 》 虽然确立了全
面保护公民个人信息的立法精神, 然而, 在司法实践中还存在着很多争议, 在理
论的具体刑法保护方面也仍有着较大的改进和完善空间, 如对公民个人信息范
围的认定、 侵犯公民个人信息犯罪的主观罪过等问题都需要深入地探究与明确。
本文主要从相关的立法评价、 司法认定、 立法改进三个方面, 对公民个人信息的
刑法保护问题进行详细的探讨, 并结合我国澳门特别行政区在相关方面较为成
熟的立法及适用经验, 提出适当的建议, 以期对我国大陆相关的刑事立法及其完
善尽一份微薄之力。
[ 关 键 词] 个人信息 公民 刑法保护
一、 前言
现代社会是信息社会。离开各种资讯和信息, 人们甚至无法在现代社会中生存, 更遑论
发展。更重要的是, 现代社会中每个成员自身的情况也已经是社会信息中不可分割的部分。
我国近年来开始注意积极保护社会成员的个人信息, 尽管至今尚未制定完整、 统一的个人信息保护法律, 但在宪法、 民法、 行政法等法律中都有一定的涉及;尤其是我国立法机关于2009 年2 月28 日通过的 《刑法修正案(七)》 , 首次在刑法规范中增设了侵犯公民个人信息的犯罪, 确立了对公民个人信息给予全面保护的立法精神, 并为公民个人信息提供了最严厉的法律保护, 从而在社会成员个人信息的法律保护上迈进了一大步, 体现出对民生的重视和保护, 有助于加强对公民人权的全面保障。〔1〕不过, 由于种种原因 , 《个人信息保护法》 在我国至今仍迟迟未出台, 这不仅妨碍对公民个人信息给予全面的法律保护, 而且也严重影响了对刑法典中侵犯公民个人信息犯罪之法条的理解、 适用和完善。而且 , 《刑法修正案(七)》在公民个人信息的全面保护上也还有所欠缺, 留下了较大的改进和完善空间。深入研究对公民个人信息之刑法保护的司法适用和立法完善问题, 仍是我国刑事法治乃至社会文明进
步一个重要课题。这里需要专门指出的是, 相比之下, 我国澳门特别行政区在居民个人信息
和资料的保护方面有较为成熟的立法规定和法律适用经验, 在一定程度上能为我国公民个
人信息之法律保护(尤其是刑法保护)的改进提供重要的借鉴和参考。
二、 刑法保护之立法评价
( 一) 立法概况
我国自1949 年新中国成立以来到两部刑法典(即1979 年刑法典与1997 年刑法典)中,均未直接、 明确地规定专门的罪刑条文对个人信息进行保护。直到2009 年2 月, 国家立法机关才在 《刑法修正案(七)》 中增设了出售、 非法提供公民个人信息罪和非法获取公民个人信息罪这两种侵犯公民个人信息的犯罪, 开始以刑法手段对公民个人信息予以全面的保护。具体而言 , 《刑法修正案(七)》 第7 条所增设的刑法典第253 条之一分三款对侵犯公民个人信息的犯罪做出了规定。第1 款表述为:“国家机关或者金融、 电信、 交通、 教育、 医疗等单位的工作人员, 违反国家规定, 将本单位在履行职责或者提供服务过程中获得的公民个人信息, 出售或者非法提供给他人, 情节严重的, 处三年以下有期徒刑或者拘役, 并处或者单处罚金。 ” 第2 款表述为:“窃取或者以其他方法非法获取上述信息, 情节严重的, 依照前款的规定处罚。 ” 第3 款表述为:“单位犯该罪的, 对单位判处罚金, 并对其直接负责的主管人员和其他直接责任人员, 依照各该款的规定处罚。 ” 根据最高人民法院、 最高人民检察院于2009年10 月16 日颁布的 《关于执行 〈中华人民共和国刑法〉 确定罪名的补充规定(四)》 的规定,上述第1 款规定之犯罪的罪名为“出售、 非法提供公民个人信息罪” , 第2 款规定之犯罪的
罪名为 “非法获取公民个人信息罪”。
根据上述第1 款和第3 款的规定, 出售、 非法提供公民个人信息罪是指国家机关或者金融、 电信、 交通、 教育、 医疗等单位或者其单位的工作人员, 违反国家规定, 将本单位在履行职责或者提供服务过程中获得的公民个人信息, 出售或者非法提供给他人, 情节严重的行为。该犯罪的构成特征表现为以下几点:(1)犯罪主体是特定的单位或者自然人。可以构成本罪的单位是国家机关或者金融、 电信、 交通、 教育、 医疗等依其单位性质能够获取公民个人信息的单位;而可以构成本罪的自然人是上述单位的工作人员。(2)犯罪主观方面是故意。(3)犯罪客观方面表现为国家机关或者金融、 电信、 交通、 教育、 医疗等单位或者其工作人员, 违反国家规定, 将本单位在履行职责或者提供服务过程中获得的公民个人信息, 出售或者非法提供给他人, 情节严重的情形。(4)犯罪客体表现为公民个人的信息自由和安全。根据上述第2 款和第3 款的规定, 非法获取公民个人信息罪是指窃取或者以其他方法非法获取公民个人信息, 情节严重的行为。该犯罪的构成特征具体有:(1)犯罪主体是一般主体, 既可以是单位, 又可以是自然人, 单位的性质和自然人的身份没有特别的限制。(2)犯罪主观方面表现为故意。(3)犯罪客观方面表现为窃取或者以其他方法非法获取公民个人信息, 情节严重的情形。(4)犯罪客体也表现为公民个人的信息自由和安全。[2]
对《刑法修正案(七)》 的上述立法规定, 我们可以从进步和不足两个方面予以评价。
( 二) 进步之处
1.对公民个人信息率先确立全面保护的立法精神
近年来,我国对公民个人信息的保护逐渐引起重视, 并陆续在相关法律中作出了规定,
如 《护照法 》 、 《身份证法》 、 《统计法》 等。〔3〕有关部门在所发布的相关规定中也对某个方面个人信息的保护有所规定, 如信息产业部于2000 年11 月6 日发布了 《互联网电子公告服务管理规定》 , 要求电子公告服务提供者对上网用户的个人信息保密。最高司法机关也曾发布司法文件, 强调对个人信息的保护。〔4〕
但是, 这些法律法规、 规范性文件或者规定对特定人群的信息保护, 如 《未成年人保护法 》 、 《妇女权益保障法》 , 或者规定对特定领域的个人信息保护, 如 《执业医师法 》 、 《律师法 》 、 《传染病防治法》 。相比之下 , 《刑法修正案(七)》 则
突破性地确立了对公民个人信息给予毫无例外之全面刑法保护的原则, 因为其第7 条所增加的刑法典第253 条之一将“公民个人信息” 作为该罪刑条文所规定之危害行为的对象, 而并未对 “公民个人信息” 的范围作出任何限制和例外性规定, 因而可以确定,我国刑法典载明对每个公民的所有个人信息均予以刑法的保护。
2. 以叙明罪状详尽规定犯罪成立的全部要素
《刑法修正案(七)》 第7 条对刑法典增加之第253 条之一, 分三款比较详尽地规定了侵犯公民个人信息的犯罪。其中, 第253 条之一第1 款规定的是“出售、 非法提供公民个人信息罪” , 对该犯罪的行为主体、 主观罪过、 客观行为以及构成犯罪的危害程度都作了详尽的描述, 如该犯罪的主体是 “国家机关或者金融、 电信、 交通、 教育、 医疗等单位的工作人员”;根据该条第3 款的规定, 还包括 “国家机关或者金融、 信、 交通、 教育、 医疗等单位” 本身。因而该条款对 “出售、 非法提供公民个人信息罪” 规定的罪状属于刑法上所说的叙明罪状。比较而言, 第2 款对 “非法获取公民个人信息罪” 仅简要地规定了客观实行行为, 但是, 根据第1 款和第3 款的规定, 其实比较容易确定该罪的犯罪构成要件。
显然, 叙明罪状的立法模式在一定程度上增强了司法实践中认定和处理侵犯公民个人信息犯罪行为的可操作性。如果分析近年来刑法修正案对刑法典所新增的具体犯罪, 我们不难发现, 越是新型的犯罪, 刑法修正案越是尽可能地以叙明罪状的形式详尽地罗列其犯罪构成的各种要件和要素, 如 《刑法修正案(六)》 新增加之刑法典第162 条之二所规定的“虚假破产罪”,〔5〕《刑法修正案(八)》 新增加之刑法典第133 条之一规定的“危险驾驶罪”等,〔6〕都是如此。
3.灵活处理成立犯罪之侵犯行为的危害程度问题
时至今日, 我国对公民个人信息的保护尚未建立全面和完备的法律机制, 因而对于侵犯
公民个人信息的行为, 哪些属于行政违法行为而需要受到行政处罚, 哪些具备刑事违法性而需要受到刑事制裁, 这一问题在一定程度上也曾造成了立法的困扰, 引起了一定的争论。[7]显然, 若纠缠于对这些行为构成犯罪之危害程度的争论, 那就不可能顺利地在我国刑法典中规定侵犯公民个人信息的具体犯罪。我国的立法机关比较明智地跳出了上述争论, 以“情节严重” 的概括性表述予以应对, 较为灵活地对上述难题作出了处理。
(三)不足之处
1. 缺乏完备的行政法律制裁前提
根据我国刑法典第253 条之一第1 款的规定, 出售、 非法提供公民个人信息罪的成立,
以行为 “违反国家规定” 为前提。尽管根据刑法典第96 条的规定 , “国家规定” 包括 “全国人民代表大会及其常务委员会制定的法律和决定, 国务院制定的行政法规、 规定的行政措施、发布的决定和命令”;但是, 就个人信息保护而言, 我国针对个人信息保护并没有颁行统一的法律。有研究认为, 中国大陆目前有24 个法律或者规范性文件各自从某方面涉及对公民个人信息的保护, 且均具有行政法律法规的性质。〔8〕
因而可以确定, 侵犯公民个人信息的危害行为从产生之时起就具备行政违法的性质, 其所成立的犯罪就符合行政犯的特征。〔9〕然而, 对侵犯公民个人信息之行为, 我国尚未确立统一、 完备的行政法律制裁体系与刑事制裁相衔接。连 《治安管理处罚法》 都未将侵犯公民个人信息的行为作为行政违法行为规定处罚的措施。这就使得我国刑法典第253 条之一所规定的两种犯罪成为非典型的行政犯,也使得 《刑法修正案(七)》 第7 条的规定成为一种法定犯时代之下颇为尴尬的立法。〔10〕
2.尚未彻底贯彻罪刑法定原则
虽然我国刑法典第253 条之一第1 款和第2 款中 “情节严重” 的表述本身并不违背罪刑法定原则的要求, 但是, 这并不是说第253 条之一的规定就较好地贯彻了罪刑法定原则。我国尚未制定和颁布 《公民个人信息保护法》 , 对公民、 个人、信息等词语尚无明确的定义, 引起了刑事法律界的争议。例如, 关于 “个人信息”,国家立法机关的有关专家认为是“可以实现对公民个人情况识别” 的信息;〔11〕 而有学者则认为是“体现个人隐私权”的信息。 〔12〕另外, 对于第253 条之一第2 款规定的 “非法获取公民个人信息罪” , 在主体、 行为方式等要素的内涵上, 同样存在相当大的分歧。而且, 因为我国对侵犯公民个人信息的各种行为还没有建立统一和完备的行政法律制裁体系, 应该如何协调刑法典第253 条之一所确立的刑事制裁与有关行政法律法规规定之行政法律制裁的关系, 也是亟待解决的重要问题。因此 , 《刑法修正案(七)》 第7 条的突破性规定在一定程度上存在着有关要素之内涵并不清晰、 不明确的先天性不足的问题, 该罪刑条文由于自身功能有限而无法弥补这些不足, 没有很好地实现罪刑法定原则之明确性的要求。
3.对网络上的危害行为的防治力不从心
尽管早在2003 年4 月, 国务院信息化办公室对个人信息立法研究活动就进行了部署, 有关专家在2005 年初就提交了 《个人信息保护法(草案)》 ,〔13〕 但是, 这并不意味着对个人信息法律保护的问题进行了全面和系统的研究。其实, 在 《刑法修正案(七)》 制定和颁布的前后,围绕网络上比较常见的“人肉搜索” 是否入罪的问题, 理论界就展开了比较激烈的争论。〔14〕而且, 对于我国刑法典第253 条之一第2 款的规定, 在理解和适用上也存在争议, 如关于该款中的 “上述信息” , 有论者认为, 应当 “尽量限定在公权力范围内, 或者是提供垄断性、 强制性的公共服务的领域” 。〔15〕但对于从网络上搜集、 整理他人个人信息予以出卖或者非法利用, 情节严重的情形, 上述规定就完全无法予以应对, 成为刑法典第253 条之一第2 款在罪刑法定原则之下的一种自我束缚, 放纵了一部分侵犯公民个人信息的违法行为。而这在一定意义上也表明, 国家立法机关对侵犯公民个人信息之网络行为的普遍危害性及其严重程度显然缺乏充分的重视和足够的前瞻, 造成了现行规定对网络上日益加剧的严重侵犯公民个人信息之危害行为难以予以刑事制裁的窘境。
参考文献:
[1]参见赵秉志:《〈刑法修正案(七)〉的宏观问题研讨》 ,载《华东政法大学学报》2009 年第2 期。
[2]参见赵秉志主编:《刑法修正案最新理解适用》 , 中国法制出版社2009 年版, 第114 -126 页。
[3]参见赵秉志主编:《刑法修正案(七)专题研究》 , 北京师范大学出版社2011 年版, 第142 页。
[4]参见最高人民法院、 最高人民检察院 《关于切实保障司法人员依法履行职务的紧急通知》 , 法 〔2005〕173 号,2005 年8 月25 日颁布施行。第十届全国人民代表大会常务委员会第二十二次会议于2006 年6 月29 日通过的 《刑法修正案(六)》 , 在第6
条中规定, 在刑法第一百六十二条之一后增加一条, 作为第一百六十二条之二:“公司、 企业通过隐匿财产、 承担虚构的债务或者以其他方法转移、 处分财产, 实施虚假破产, 严重损害债权人或者其他人利益的, 对其直接负责的主管人员和其他直接责任人员, 处五年以下有期徒刑或者拘役, 并处或者单处二万元以上二十万元以下罚金。 ”
[5]第十一届全国人民代表大会常务委员会第十九次会议于2011 年2 月25 日通过的 《刑法修正案(八)》,在第22 条中规定, 在刑法第一百三十三条后增加一条,作为第一百三十三条之一:“在道路上驾驶机动车追逐竞驶,情节恶劣的,或者在道路上醉酒驾驶机动车的,处拘役,并处罚金。”“有前款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。 ”
[7]参见朗胜:《 〈刑法修正案(七)〉 立法背景与理解适用》 , 来源:http:/ /www.
criminallawbnu.cn/criminal/info/showpage.asp? ProgramID = &pkID = 22113&keyword = % D0% CC% B7% A8% D0% DE% D5% FD% B0% B8% A3% A8%C6%DF%A3%A9,2013 年5 月2 日访问。
[8]参见卢建平:《我国侵犯公民个人信息犯罪的治理》 , 载 《法律适用》2013 年第4 期。也有资料显示, 我国目前有近40 部法律、30 余部法规, 以及近200 部规章涉及个人信息保护, 其中包括规范互联网信息规定、 医疗信息规定、 个人信用管理办法等。参见 《个人信息保护将出台国标 明确使用后立即删除》 , 载 《新京报》2012 年4 月5 日第A06 版。
[9]关于行政犯的特征,有论者认为主要是 “对行政法上之义务的反” , 参见刘军:《刑法与行政法的一体化建构— — —兼论行政刑法理论的解释功能》 , 载 《当代法学》2008 年第4 期。
[10]有论者认为, 在中国, 法定犯(行政犯)时代已经到来, 其标志是 “犯罪形态在数量变化上由传统的自然犯占绝对优势演变为法定犯占绝对比重” 。参见储槐植:《要正视法定犯时代的到来》 , 载 《检察日报》 2007 年6 月1 日第2 版。
[11]参见朗胜:《 〈刑法修正案(七)〉 立法背景与理解适用》 , 来源:http://www.
criminallawbnu.cn/criminal/info/showpage.asp? ProgramID = &pkID = 22113&keyword = % D0% CC% B7% A8% D0% DE% D5% FD% B0% B8% A3% A8%
C6%DF%A3%A9,2013 年5 月2 日访问。
[12]参见蔡军:《侵犯公民个人信息犯罪立法的理性反思》 , 载 《现代法学》2010 年第4 期。
[13]参见 《个人信息保护将出台国标 明确使用后立即删除》 , 载 《新京报》2012 年4 月5 日第A06 版。
[14]参见刘宪权、 方晋晔:《个人信息刑法保护的立法及完善》 , 载 《华东政法大学学报》2009 年第3 期。
[15]雷建斌:《 〈刑法修正案(七)〉 的法条争议及解析》 , 载赵秉志主编:《刑法修正案(七)专题研究》 , 北京师范大学出版社2011 年版.