三、相关犯罪之司法认定
《刑法修正案(七)》 将侵犯公民个人信息的危害行为纳入刑法的调整范围, 但由于相关具体罪刑条文的规定比较原则和概括, 加之以我国现在并无个人信息保护的专门法律,且最高司法机关也未出台规范性文件对如何理解和适用该罪刑条文作出解释, 因而司法实践中出现了较多的法律适用难题。为了准确地认定和处理此类犯罪, 有必要对这些疑难问题进行深入的研究。笔者曾经在2010 年10 月接受最高人民法院研究室的委托, 组成课题组对侵犯公民个人信息犯罪的法律适用问题进行了较为全面的研讨,并向最高人民法院提交了《关于办理侵犯公民个人信息刑事案件具体应用法律若干问题的解释(征求意见稿)》,但因故最高人民法院迄今仍未发布正式的相关司法解释文件。〔16〕时至今日, 客观而言, 对于侵犯公民个人信息犯罪之司法处理的很多疑难问题, 我国刑事法律界并未达成一致的意见, 仍有深入分析和研讨之必要。
(一)公民个人信息范围的认定难题
《刑法修正案(七)》 第7 条没有对公民个人信息的概念和范围作出具体的界定, 因而对于 “公民 ”、“个人信息” 都存在理解和适用上的问题。
1.关于“公民” 的界定
“公民” 是一个法律概念, 是指具有某个国家国籍或者某个地区居民资格的人 。《中华
人民共和国宪法》 第33 条的规定, 凡具有中华人民共和国国籍的人都是中华人民共和国公民。对于国籍的取得, 我国 《国籍法》 第4 -6 条做出了具体的规定, 主要采取的是血统主义为主、 出生地为辅的原则。那么, 侵犯公民个人信息犯罪中的“公民” 是否局限于具有中华人民共和国国籍的人呢? 笔者认为, 此处的公民不应当仅仅局限于我国公民, 事实上任何人的个人信息都可以成为该罪的犯罪对象。
第一,对侵犯中国公民个人信息的犯罪行为以及侵犯外国人、 无国籍人个人信息的我国有刑事管辖权的行为, 都要按照中国大陆刑法典的规定追究刑事责任。也就是说, 我国对处在中国境内的外国人、 无国籍人, 像对待中国公民一样, 提供平等的刑法保护,对虽不在中国境内但遭受发生于中国境内之危害行为侵犯的外国人、 无国籍人, 也提供刑法的保护。因而在个人信息的刑法保护上, 我国对中国公民、 处在中国境内的外国人和无国籍人以及遭受中国领域内危害行为侵犯的外国人和无国籍人, 一视同仁地提供刑法的保护, 不主张有例外。〔17〕
第二,对非中国公民的个人信息不提供刑法保护也是与现实情况不符合的。我国的国家机关或者金融、 电信、 交通、 教育、 医疗等单位及其工作人员, 在履行职责或者提供服务过程中不仅有可能获得中国公民的个人信息, 也完全有可能获得境内外外国人、 无国籍人的个人信息。不法分子也完全有可能出售、 非法提供其所获得的处在境外之外国人、 无国籍人的个人信息。我国的司法机关不可能放纵这部分犯罪行为。
2. 关于个人信息的范围
关于个人信息有哪些, 理论和实务界有着很大的争论, 主要有如下几种认识:(1)个人信息是指能实现对公民个人情况的识别, 被非法利用时可能对公民个人生活和安宁构成损害和威胁的信息。〔18〕(2)个人信息是指本人不希望扩散, 具有保护价值, 一旦扩散,将可能对公民权利造成损害的信息。〔19〕有论者也从刑法典第253 条之一侵犯之法益的角度认为,个人信息具有个人隐私的特征。〔20〕(3)个人信息是指以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。〔21〕分析上述不同认识, 可以看到, 个人信息具有如下两个基本特征:(1)个人的专属性, 即其与公民的个人身份紧密相关, 既包括其生理特征的信息, 也包括其本人在社会上从事各种活动的社会特征的信息。由此可将国家秘密、 情报或者商业秘密、 交易信息排除在外。(2)信息的重要性, 即公民的诸多个人信息关乎公民的人格、 尊严, 甚至影响到其财产权利、 人身安全。这一点也可以认为是个人信息的保护价值。但是, 对于个人信息是否等同于个人隐私, 则没有统一的看法。笔者对此持否定性的态度,即个人信息并不同等于个人隐私, 即便个人信息已经公开, 仍有可能成为刑法典第253 条之一所规定之犯罪侵犯的对象。例如, 有关国家机关或者部门为救济、 救助或者奖励而公示了公民个人信息, 若其工作人员将在工作中收集的这些公示信息出售或者非法提供给他人, 情节严重的, 就构成出售、 非法提供公民个人信息罪。
另外, 还需要注意的是, 刑法典第253 条之一第1 款与第2 款在犯罪对象上是否完全一致? 法律界对此有肯定和否定的两种看法。肯定说认为, 第2 款中的 “上述信息” 指的就是第1 款中 “国家机关或者金融、 电信、 交通、 教育、 医疗等单位及其工作人员, 在履行职责或者提供服务过程中获得的公民个人信息”;〔22〕 否定说则认为, 第2 款中的 “信息” 不限于第1 款中所说的个人信息, 还包括其他符合条件的各种信息。〔23〕在笔者看来, 从立法本意来看, 肯定说是合适的, 但以对公民个人信息法律保护的不断加强来看, 否定说又是符合社会发展的实际情况的。笔者趋向于赞同否定说的看法, 但同时也认为, 不能将所有信息都视为第2 款所述之信息, 毕竟, 第2 款将该条款中危害行为的对象表述为 “上述信息” , 因而即便不将二者完全等同,也要注意第2 款所指的信息与第1 款所述的信息有共通之处;根据第1 款的表述, 这里的个人信息是 “国家机关或者金融、 电信、 交通、 教育、 医疗等单位及其工作人员, 在履行职责或者提供服务过程中获得的公民个人信息” , 即他人为了获得公共服务而按照要求必须提供给公共服务单位或者其工作人员的个人信息, 国家机关或者其他单位及其工作人员是通过公共服务渠道获得的;第2 款所指的信息像第1 款所述的信息一样, 也具有这种特征, 即属于各种公共服务单位所收集或者发布的个人信息, 从而将行为人直接从公民个人那里刺探或者收集信息的情形排除出本款。对于隐秘或者公开地从公民个人那里直接刺探或者收集个人信息的行为, 可根据手段行为的性质以及后续利用行为的性质来追究法律责任。
( 二) 出售、 非法提供公民个人信息罪的主体问题
根据刑法典第253 条之一的规定, 出售、 非法提供公民个人信息罪的犯罪主体有两类:
(1)国家机关或者金融、 电信、 交通、 教育、 医疗等单位;(2)国家机关或者金融、 电信、 交通、教育、 医疗等单位的工作人员。对于这里所说的单位的范围, 有国家立法工作机关的专家指出 , “考虑到本条主要是对在履行职责或提供公共服务过程中利用某种程度的‘公权力’ 采集到的公民个人信息的国家机关或者单位, 违反法律规定的保密义务应负的刑事责任, ……不宜将公民个人信息的刑事保护范围扩大到没有利用‘公权力’ 采集的一切单位和个人。 ”〔24〕 有学者也支持该观点, 主张应当明确本罪的主体为国家机关或者金融、 电信、 交通、教育、 医疗等利用公权力获取公民个人信息的单位及其工作人员。对于非利用公权力获取公民个人信息的单位及个人, 暂时不宜将其作为本罪主体。其他单位必须也具有和金融、 电信等单位类似的国家所赋予的采集公民个人信息的公权力, 如电力公司、 自来水公司、 煤气公司等单位。〔25〕对此, 笔者认为, 具有公权力并非本罪之单位主体的基本特征。理由如下:第一, 除了国家机关之外, 从事金融、电信、 交通、 教育、 医疗的单位既有国有的, 又有非国有的, 刑法典第253 条之第1 款本身没有限定单位的国有性质;第二, 非国有的金融、 电信、交通、 教育、 医疗单位(如非国有的保险公司、 快递公司)同样有可能在工作过程中获取公民的个人信息, 在出售、 非法提供的情况下也会严重地侵犯他人的合法权益;第三, 在《刑法修正案(七)》 起草过程中, 对于构成侵犯公民个人信息罪的单位, 国家立法机构并未对其限定特定性质, 刑法典第253 条之一第3 款在规定单位可构成前两款犯罪时并未指出哪些单位构成第1 款之罪, 哪些单位构成第2 款之罪。〔26〕
( 三) 侵犯公民个人信息犯罪的主观罪过问题
对于刑法典第253 条之一所规定之两种犯罪的主观罪过, 有学者界定为“直接犯罪故
意和间接犯罪故意” 。〔27〕现在来看, 这种界定并不是很严谨。根据我国的刑法理论, 间接犯罪故意是指行为人明知自己的行为可能发生危害社会的结果, 并且放任这种结果发生的心理态度;行为人对危害社会的结果在主观上既有较为明确的认识, 又有听任其发生的意志。对于间接故意的犯罪, 特定危害结果的发生与否, 具有决定性的意义, 即只有特定危害结果发生, 才能认定间接故意犯罪的成立。〔28〕但是, 根据刑法典第253 条之一第1 款的规定, 出售、 非法提供公民个人信息的危害行为只有在“情节严重” 时才成立犯罪;而“情节严重” 并不必然包括给他人造成危害结果的情形。换言之, 行为人认识到出售、 非法提供公民个人信息的危害行为可能给他人造成危害结果, 且不顾该结果仍然实施该行为, 造成危害结果, 才成立间接故意的犯罪。不过, 这种情况往往是不存在的, 因为“出售、 非法提供” 公民个人信息的行为人在主观上往往具有谋取经济利益或者其他好处的动机或者意图, 其实是追究 “公民个人信息被不应当知道的人知道” 这种后果状态, 即符合直接故意的态度。因此, 严格地讲, 应将出售、 非法提供公民个人信息罪的犯罪主观方面确定为 “直接故意” 。
( 四) 非法获取公民个人信息行为的司法认定问题
刑法典第253 条之一第2 款将非法获取公民个人信息罪的实行行为规定为“窃取或者以其他方法非法获取上述信息” 。对“非法获取” 的理解主要存在两个问题:(1)“非法” 性质是否来源于手段的非法性? (2)“获取” 的渠道和来源究竟是什么?
对于第一个问题, 有论者指出, 窃取, 即秘密取走, 其本身就是一种非法手段, 无论是道德上还是法律上都不具有正当性。〔29〕那么, 能否根据窃取手段本身的非法性质而认为“非法获取” 是指采用非法手段获取他人信息呢? 如果对此给予肯定的回答, 那就意味着 , “其他方法” 必须自身就具有非法的性质, 如诈骗、 胁迫或者暴力侵害等;那些自身不具有非法性质或者比较中性的方法, 就不会使得获取行为具备非法的性质, 如购买、 获赠等。如此一来, 对后者就无法给予刑事处罚, 显然不符合对公民的个人信息给予刑法保护的刑法精神。因而这里的 “非法” 并非指获取手段或者方法行为的性质, 而是指行为人的获取行为在本质上是非法的, 即行为人不符合获取公民个人信息的法律或者法规的规定。因而笔者在此也不同意有论者所提出的 “获取行为违背法律禁止性规定” 的看法,〔30〕 即笔者认为, 行为人只要没有获取公民个人信息的法律依据或者资格而获取相关个人信息的, 就可能构成犯罪。
对于第二个问题, 就目前来看, 法律界的关注似乎并不多。笔者认为, 研究该问题的目的在于否定对某些人直接从他人处获得个人信息以及收集分散的公民个人信息的行为按照本罪处罚。如前所述, 刑法典第253 条之一第2 款中“上述信息” 是指公共服务提供者在服务过程中收集接受服务的公民个人信息。因而“非法获取” 其实是指没有获得资格或者根据的人以窃取或者其他方法获取公共服务提供者在服务过程中收集或者发布的公民个人信息。换言之, 刑法典既要制裁公共服务提供者将自己保有的公民个人信息非法提供给他人的行为, 又要处罚他人侵犯公共服务提供者对公民个人信息之保有状态的行为。〔31〕从这个层面上看, 侵犯公民个人信息的行为其实是侵犯了公民在接受公共服务时所享有的个人信息保密权利。所以, 某些人直接从他人处获得个人信息, 不管方法是否非法, 都没有直接侵犯公民在接受公共服务时所享有的信息保密权利, 例如, 通过钓鱼软件从他人电脑里获取他人的身份证号码、 血型、 婚姻状况、 受教育状况、 兴趣爱好、 电话号码等。而行为人自行从网络、 书报刊物、 电视电影广告等公开的信息发布渠道收集他人的个人信息, 尽管可能侵犯他人的隐私权利或者信息安全, 但同样与公民在接受公共服务时要求服务提供单位保密的权利没有直接的联系。
四、 刑法保护之立法改进
尽管有论者鲜明地认为“法律不是嘲笑的对象” ,〔32〕 但是, 自《刑法修正案(七)》 通过并颁行之始, 就有论者分析该修正案第7 条的不足, 提出对侵犯公民个人信息犯罪之立法完善的建议。有意思的是, 一直到如今, 我国学者对刑法典第253 条之一的立法完善和改进的研究就没有中断, 表明我国刑法典第253 条之一确实有着较大的改进空间。笔者在这里主要对 “个人信息” 之刑法保护的如下四个改进和完善问题予以简要的探讨。
(一) 建议删去 “公民” 一词如前所述, 尽管对 “公民” 可以通过扩张解释的方法解释为包括外国人、 无国籍人在内的任何人, 但是 , “公民” 毕竟是一个严格的法律概念, 也有着固定的内涵和外延, 通过解释将外国人、 无国籍人概括到刑法典第253 条之一第1 款所述的“公民” 中, 就严重地扭曲了“公民” 的本来概念, 未对 “公民” 这一法律术语给予应有的严肃对待。而且, 其他国家和地区在规定个人信息保护时, 并未在 “个人信息” 之前加上“公民” 来修饰, 如中国澳门特区刑法典第189 条规定之违反保密罪, 第190 条规定之不当利用秘密罪, 均没有在“他人秘密”前加 “居民”之类的修饰性的语词。所以, 既为了简洁, 也为了避免解释上的误区, 完全可以将我国刑法典第253 条之一第1 款中的 “公民” 一词删除。
(二) 建议明确规定 “个人信息” 的概念
很多国家和地区在刑法典中规定侵犯个人信息或者秘密的犯罪时, 确实没有对个人信息或者秘密的概念和范围作出规定, 如中国澳门特区刑法典第189 条、 第190 条就是如此。〔33〕但不同于其他国家和地区的是, 我国至今没有颁布《个人信息保护法》 因而如何确定个人信息的概念和范围, 是 《刑法修正案(七)》 颁行以来的一个重要问题, 引起了相当多的争论。而解决该问题并消除争论的最佳途径, 无疑是在我国刑法典关于侵犯个人信息犯罪的罪刑条文中以单独的一款规定个人信息的概念。这种立法模式在刑法典中多处出现, 比较典型且与刑法典第253 条之一比较接近的, 莫过于第219 条关于侵犯商业秘密罪的规定。我国刑法典第219 条不仅规定了侵犯商业秘密罪的罪状和法定刑, 而且以独立的两款对该罪涉及的商业秘密、 权利人这两个概念做出了明确的规定。其实 , 《商业秘密法》 对这两个概念已作出了规定。既然对其他部门法已经明确规定概念的法律术语, 刑法典仍然可以规定, 那么, 对于其他部门法没有明确规定的法律术语或者尚无部门法涉及的法律术语, 刑法典更应该对其概念作出明确的规定。
( 三) 建议对两种侵犯个人信息犯罪规定不同的犯罪对象
对于我国刑法典第253 条之一前两款的规定, 如前所述, 笔者认为, 第2 款所指的 “信息”与第1 款所述的 “信息” 具有相同之处。尽管这种分析符合立法本意, 也符合对非法获取公民个人信息活动的惩治, 但是, 随着社会的发展, 这种分析并不能适应司法实务与侵犯个人信息非法活动作斗争的现实需要。因为按照我国刑法典第253 条之一第2 款的规定, 无法对下述两种有危害性的行为作出合理的处理:(1)直接从他人处非法获取个人信息或者从公开渠道收集整理个人信息的行为(如 “人肉搜索”),(2)从非公共服务单位的个人或者其他单位那里窃取、 购买、 骗取个人信息的行为。关于第一种行为, 其实, 在刑法修正案(七)》 颁行之前, 将 “人肉搜索” 行为入罪的呼声就很高。但这种行为随着行为主体的主观意图和对信息的使用方法在危害性上有不同的表现, 因而可能不宜直接以刑罚手段来处置。〔34〕关于第二种行为, 从司法实践的情况看, 有些司法机关其实也已经悄然改变刑法典第253 条之一第2 款所规定之 “信息” 的范围,对利用公开渠道收集他人信息并予以出卖的行为追究刑事责任, 如 《刑法修正案(七)》 颁行之后的全国首例侵犯公民信息犯罪案, 司法机关对向诈骗案被告人非法出售个人信息资料的被告人周某按照非法获取公民个人信息罪定罪处罚。〔35〕而且, 其他国家或者地区
的刑法典也没有对个人秘密或者信息在获取单位是否有公权力的问题上作太多的规定, 如1998 年 《德国刑法典》 第十五章关于侵害私人生活和秘密的规定, 中国澳门特区刑法典第189条也只是将个人秘密规定为 “因自己之身份、 工作、 受雇、 职业或者技艺而知悉之他人秘密” 。当然, 考虑到我国的实际情况, 对公共服务单位及其工作人员在履行职责或者提供服务过程中获得的个人信息还是应给予必要的保障, 但同时, 也要对非公共服务单位的个人或者单位获取的个人信息给予刑法保护, 即对刑法典第253 条之一第1 款中的个人信息与第2 款中的个人信息作区别性的规定, 将第1 款的个人信息仍限定于公共服务单位及其工作人员在履行职责、提供服务过程中收集的他人个人信息, 将第2 款的个人信息界定为有关单位或者个人因工作、职业而获得的个人信息。
( 四) 建议将非法利用个人信息的行为入罪
根据我国刑法典第253 条之一的规定, 对于合法或者非法获取公民个人信息的单位和个人非法利用个人信息的行为, 目前还不能追究刑事责任。但是, 这种情况在现实生活中却变得愈来愈严重。例如,2009 年3 月, 在中央电视台的“3·15” 晚会上, 山东省移动通信公司滥发垃圾短信的情况遭到曝光。据报道, 该公司利用短信群发器和基站向用户发送短信来牟利。平时, 社会大众也经常收到各种骚扰性的电话或者信息, 正常的生活受到干扰。这些行为活动不是出售、 非法提供而是非法使用公民个人信息。对于这种滥用个人信息或者秘密的情形, 很多国家或者地区在刑法典中规定专门的罪名予以应对,如德国刑法典第204条就规定了 “利用他人秘密罪” , 澳门特区刑法典第190 条规定了“不当利用秘密罪” 。当然, 上述立法例所规定的具体犯罪成立条件还是比较严格的, 如澳门特区刑法典第190 条对不当利用秘密罪规定了 “未经同意 ” 、 “造成他人或者本地区损失” 两个要件, 以避免不当地扩大处罚, 这值得国家立法机关借鉴。笔者建议, 可在我国刑法典第253 条之一第2 款中规定 “非法利用” 的行为, 即该款可表述为“非法获取、 利用他人个人信息, 情节严重的, 依照前款的规定处罚” 。
五、 结语
国家立法机关2009 年所颁行的 《刑法修正案(七)》 在刑法典中增设了侵犯公民个人信
息犯罪的罪刑条文, 尽管还有很多不足, 在司法实践中产生了很多争议, 理论界也对其提出了不少的立法完善建议, 但是仍可以说, 这一立法进展反映出国家立法机关在科技发展和网络信息技术普及的现实状况下关注民生和反映社会发展的正确导向, 通过刑罚手段对涉及民众人身、 财产安全和隐私权利的新型危害行为予以惩治和防范, 符合我国刑事法治发展的现实需要, 进一步完善了对公民人权的刑事法保护措施。当然, 这并不是说关于个人信息之刑法保护立法就可以止步不前了。相反, 我国刑事法治还有必要根据时代发展的实际情况,参考和借鉴其他国家和地区(如我国港澳台地区)刑事法的规定, 对个人信息规定更加全面和完备的刑法保护措施。
参考文献:
[16] 最高人民法院研究室经有关领导批准, 按照特定程序, 于2010 年3 月发函委托北京师范大学刑事法律科学研究院, 对办理侵犯公民个人信息刑事案件具体应用法律问题展开研究, 并代拟解释草案。笔者作为课题负责人邀请黄晓亮副教授、 张磊副教授、 王东阳博士组成课题组, 对有关问题进行调研, 展开研究工作, 并撰写调研报告, 形成司法解释征求意见稿并如期提交给委托单位。参见赵秉志主持:《北京师范大学刑事法律科学研究院刑事法治发展研究报告(39):关于办理侵犯公民个人信息刑事案件具体应用法律若干问题的解释》(2010 年11 月8 日)。
[17]参见赵秉志主编:《刑法修正案(七)专题研究》 , 北京师范大学出版社2011 年版, 第150 页。
[18]参见朗胜:《 〈刑法修正案(七)〉 立法背景与理解适用》 , 来源:http://www.
criminallawbnu.cn/criminal/info/showpage.asp? ProgramID = &pkID = 22113&keyword = % D0% CC% B7% A8% D0% DE% D5% FD% B0% B8% A3% A8%C6%DF%A3%A9,2013 年5 月2 日访问。
[19]参见张磊:《司法实践中侵犯公民个人信息犯罪的疑难问题及其对策》 , 载 《当代法学》2011 年第1 期。
[20]参见赵军:《侵犯公民个人信息犯罪法益研究》 , 载 《江西财经大学学报》2011 年第2 期。
[21]参见张玉华、 温春玲:《侵犯公民个人信息安全犯罪解读》 , 载 《中国检察官》2009 年第8 期。
[22]参见赵秉志主编:《刑法修正案(七)专题研究》 , 北京师范大学出版社2011 年版, 第150 页。
[23]参见张磊:《司法实践中侵犯公民个人信息犯罪的疑难问题及其对策》 , 载 《当代法学》2011 年第1 期。
[24]黄太云:《 〈刑法修正案(七)〉 解读》 , 载 《人民检察》2009 年第6 期。
[25]参见张磊 :《司法实践中侵犯公民个人信息犯罪的疑难问题及其对策》 , 载 《当代法学》2011 年第1 期。
[26]参见 《全国人民代表大会法律委员会关于 〈中华人民共和国刑法修正案(七)〉(草案二次审议稿)重要问题修改情况的汇报》(2009 年2 月17 日)。
[27]在笔者所主编的教材中, 对该罪进行分析的参编者李韧夫教授持这种观点, 参见赵秉志主编:《刑法新教程(第3 版)》 , 中国人民大学出版社2009 年版, 第541 页。
[28]参见高铭暄、 马克昌主编:《刑法学(第5 版)》 , 北京大学出版社、 高等教育出版社2011 年版, 第111 页。
[29]参见赵秉志主编:《刑法修正案(七)专题研究》 , 北京师范大学出版社2011 年版, 第150 页。该观点是参与该著作的一位年轻学者的观点.
[30]参见王昭武、 肖凯:《侵犯公民个人信息犯罪认定中的若干问题》 , 载 《法学》2009 年第12 期。
[31]参见赵军:《侵犯公民个人信息犯罪法益研究》 , 载 《江西财经大学学报》2011 年第2 期。
[32]参见张明楷著:《刑法格言的展开》 , 法律出版社1998 年版, 第158 页。
[33]澳门特区刑法典第189 条(违反保密)规定, 未经同意, 泄漏因自己之身份、 工作、 受雇、 职业或技艺而知悉之他人秘密者, 处最高一年徒刑, 或科最高二百四十日罚金。第190 条(不当利用秘密)规定, 未经同意, 利用因自己之身份、 工作、 受雇、 职业或技艺而知悉之有关他人之商业、 工业、 职业或艺术等活动之秘密, 而造成他人或本地区有所损失者, 处最高一年徒刑, 或科最高二百四十日罚金。
[34]参见赵秉志主编:《刑法修正案(七)专题研究》 , 北京师范大学出版社2011 年版, 第169 页。
[35]来源:http:/ /tech.163.com/10/0104/06/5S5PMK4F000915BE.html,2013 年5 月2 日访问。