2009年2月28日,十壹屆全國人大常委會第七次會議通過了刑法修正案(七)。修正案第七條在刑法第二百五十三條之後增加了侵犯公民個人信息罪的規定,作為第二百五十三條之壹。具體規定如下:
挑逗國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,違反國家規定,出售或者非法提供本單位在履行職責或者為他人提供服務過程中獲取的公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金。
竊取或者以其他方法非法獲取上述信息,情節嚴重的,依照前款的規定處罰。
單位犯前兩款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照各款的規定處罰。陸地
對於上述條款的含義,有學者認為,該條第1款和第2款分別規定了教唆出售、非法提供個人信息罪和教唆非法獲取個人信息罪的構成要件和量刑,第3款將單位納入本罪主體範圍。出售或者非法提供個人信息罪,是指特定主體(即國家機關或者金融、電信、交通、教育、醫療等單位的工作人員)在明知其出售或者非法提供所掌握的公民個人信息的行為會對公民個人信息安全造成危害,但在主觀心態下希望或者放任這種危害結果發生的情況下,違反國家法律、法規或者規章關於公民個人信息的規定。出售或者非法提供本單位在履行職責或者為他人提供服務過程中合法獲取的公民個人信息,造成公民個人信息大量泄露,致使大量個人信息流向境外,給受害人造成嚴重人身傷害,造成重大財產損失的危害行為。非法獲取個人信息罪,是指壹般主體明知竊取或者非法獲取公民個人信息的行為會對公民個人信息安全造成危害,希望或者放任危害後果發生,致使公民個人信息大量泄露,個人信息大量流向境外,受害人人身受到嚴重傷害,財產遭受重大損失的危害行為。
從規範刑法的角度來看,上述理解符合法律的字面意思。但本文並非重新理解字面意思,而是結合司法實踐,從本罪法律規定的角度進行解讀。筆者認為,上述認識還有提升的空間。
第壹,規定本罪特殊主體的必要性。
從刑法修正案(七)第七條適用的學術理解來看,認為該條前兩款規定了兩個罪名:第1款是關於出售、非法提供個人信息罪,其主體是特殊主體;第二款是關於煽動非法獲取個人信息罪的規定,其主體是壹般主體。是否需要區分特殊主體和壹般主體才能設置兩個法定刑完全相同的犯罪,取決於文中列舉的主體是否表明本文涉及的犯罪只能由特殊主體構成。我認為,從刑法理論和司法實踐的角度來看,設立分款區分特殊主體和壹般主體意義不大。主要原因如下:
(壹)從立法保護的法益分析
壹種行為之所以被定義為犯罪,是因為它侵犯了受法律保護的利益和價值,或者有被侵犯的危險。我國刑法分則十章的劃分標準是行為侵害的法益。修正案增加了侵犯公民個人信息罪,並將其納入刑法分則第四章第二百五十三條,以明確規定侵犯公民人身權利和民主權利罪。可見,侵犯公民個人信息罪的本質是對公民人身權的侵害,其所保護的法益不會因主體不同而導致不同程度的侵害。因此,筆者認為,本文要強調的核心內容是,侵犯公民個人信息的行為應當追究公民個人權利的刑事責任。是否具有特殊身份,並不影響犯罪性質的認定和量刑的差異。換句話說,如果特殊主體和壹般主體實施的行為會導致侵害法益的差異或者導致量刑的差異,那麽在司法實踐中就有必要在立法上有所區別,否則就沒有必要進行區分。
根據上述理由,結合第253條之壹的內容,筆者認為第1條不應理解為特殊主體。
第壹,第253-1條規定的侵犯公民個人信息罪,處罰的是因為侵犯公民個人信息而侵犯公民人身權利的行為,不同的行為人不會導致不同的性質。這與必須由特殊主體實施的犯罪完全不同。比如刑法規定貪汙罪的主體是特殊主體,因為貪汙罪主要侵犯的是職務上的廉潔性,國家工作人員的特殊身份直接關系到法益的侵害。如果他們沒有這種身份,就不可能造成國家公職人員法益的侵害。因此,貪汙罪只能由特殊主體構成。第253-1條規定,侵犯公民個人信息罪不會因為主體不同而有質的區別。
第二,結合司法實踐,侵犯公民個人信息罪不限於文中列舉的主體。除了國家機關或金融、電信、交通、教育、醫療等單位的工作人員,還包括房地產公司、酒店、高級會所等服務機構甚至公民個人(如心理咨詢師、個體醫生、理療師等。)可以獲取公民個人信息,並可能實施該條規定的犯罪行為。因此,筆者認為,只要壹個單位在履行職責或者服務過程中能夠獲取公民的個人信息,就有可能出售或者非法提供公民的個人信息,這就侵犯了公民的人身權利。從這個角度來看,將該條關於國家機關或者金融、電信、交通、教育、醫療等單位工作人員的規定理解為對壹般主體的列舉性規定,以免因為特殊主體而成為對定罪的限制,似乎更為妥當。
綜上所述,筆者認為修正案第七條的犯罪主體應理解為壹般主體,立法僅采用列舉的方式表述共同主體,以利於法律條文的理解和司法機關的實際操作。
如果認為《規定》所指的國家機關或者金融、電信、交通、教育、醫療等單位的工作人員應當從重處罰,也可以以非法拘禁罪為立法例,設定從重處罰條款。當然,如果是這樣的話,就會涉及到立法的修改,頻繁的立法修改不是本文所認可的。筆者認為,當刑法解釋(包括立法、司法和學術解釋)能夠與打擊犯罪的目標相壹致時,就沒有必要修改立法。
(二)從法律條文的內容分析
從第253-1條的規定來看,如果將第1條和第2條規定的犯罪主體分別理解為特殊主體和壹般主體,這兩款中的含義是:特殊主體(國家機關或者金融、電信、交通、教育、醫療等單位的工作人員)將依據職權合法取得的信息或者服務出售或者非法提供給他人,情節嚴重的,構成犯罪;壹般主體只是竊取或者以其他手段非法獲取信息,情節嚴重的構成犯罪。這將導致以下問題:
1.壹般主體存在第253-1條第1款的行為定性問題。
壹般主體有符合第253-1條第1款規定的行為時如何定罪,要看壹般主體出售合法持有的信息以牟利,或者非法提供給他人,是否構成犯罪。
根據刑法修正案的規定,出售、非法提供個人信息罪的主體是國家機關或者金融、電信、交通、教育、醫療等單位的工作人員。如果將這壹規定理解為特殊主體,會帶來以下問題:第壹,只要獲取信息的手段合法,就不屬於竊取或者以其他方式非法獲取,即使其他單位的工作人員故意出售公民個人信息牟利或者非法提供給他人。但結合前面提到的法益分析可以看出,由於本罪立法保護的法益是公民的人身權,只要是侵犯公民個人信息的行為,如出售、非法提供等,都已經侵犯了法益。此時行為侵害法益的程度與主體是否為1條規定的主體沒有必然聯系。例如,商業俱樂部和房地產公司可能會出售個人信息以獲取利潤或非法提供給他人。其次,是否挑逗第253條第1款規定的國家機關工作人員或者金融、電信、交通、教育、醫療等單位的工作人員的場所,應當理解為在履行職責或者服務過程中能夠獲取公民個人信息的其他各類單位,如果將商務會所、房地產公司等其他單位包括在內,那麽如果我們將第1款理解為只有特殊主體才能實施的犯罪,
此外,公民個人還可能在服務過程中合法獲取其他公民的信息,如心理診所、個體診所等,都可能有患者的個人信息。如果第253條第1款所采用的列舉立法模式等同於這是壹個特殊主體,法律無法給某些人定罪。
當然,也有學者可能會質疑:如果將本罪理解為壹般主體,是否會使刑法適用範圍過寬,犯罪圈子過大,有違刑法的謙抑性?但筆者認為這種擔心是多余的,因為當253條的1被理解為壹般主體時,似乎擴大了犯罪圈,從而加大了打擊範圍。事實上,犯罪圈的擴大和處罰金額並不是逐年增加的,因為從實體法的角度來看,可以通過《刑法總則》第13條的但書來控制,從程序法的角度來看,可以依靠不起訴制度將輕微的這類行為排除在刑事處罰之外,不會太廣泛,也不會違背刑法的謙抑性。
不可否認,按照筆者的觀點,將第253-1條的1理解為壹般主體後,會在壹定程度上擴大犯罪圈子,但這種擴大是必要的:壹方面,只有這樣才能保證刑法立法中侵犯個人信息罪規定的GAI性和科學性;另壹方面也能體現出我國的法治程度,因為目前我國實際上已經加強了對侵犯公民個人信息行為的管控,但更多的是通過行政手段來規範,比如廣電總局上文提到的對名人醜聞、醜聞、劣跡的封殺,以及公安部打擊非法短信的聯合行動。筆者認為與其賦予行政手段過多的自由裁量權,不如將其納入刑法框架,通過司法程序進行規範。
綜上,第253-1條第1款的主語是壹般主語。只要將合法持有的信息出售牟利或者非法提供給他人,情節嚴重的,也應構成本罪。
2.對條款1中所列主題的理解
換句話說,除了國家機關或者金融、電信、交通、教育、醫療等單位之外,是否還有其他單位的員工將依據職權合法獲取的信息出售或者非法提供給他人,比如房地產公司、高檔會所、酒店、互聯網公司等。通過前面的論述,我們可以得出這樣的結論:任何單位或者個人,只要根據職權或者服務能夠獲取公民個人信息,都可以構成本罪的主體。結合前面的論述,本文進壹步說明了第235條之壹應當是壹般主體的理由:
(1)這些單位可以實施完全符合本罪客觀方面的行為。該條第1條規定的行為客觀方面可以概括為“非法取得+非法提供”。什麽是合法取得,取決於作者的理解,是主體依職權取得,符合有關規定或由相對人自願提供。如果是治安需要,規定入住酒店必須出示身份證,嚴格登記;再比如學生或社會人員為考試、報名等提供的個人信息。上述情況下獲取的公民個人信息是合法的。什麽是非法提供,要看作者的理解,是以獲取對價為商業目的,違反國家規定出售或者提供公民個人信息。比如房地產開發公司向房屋中介出售商戶信息,就是典型的違法條款。
(2)司法實踐中,除國家機關或者金融、電信、交通、教育、醫療等單位的工作人員外,房地產公司、商務會所等其他單位的工作人員侵犯公民個人信息的危害可能相當甚至更嚴重。綜上所述,第235-1條第1款所列的挑逗等處的意思,說明了本罪主體的廣泛性,從中可以作出合理的推論:侵犯公民個人信息罪主體的判斷標準是是否能夠依職權或者在服務過程中獲取公民個人信息,因此可以成為本罪的主體,否則不能成為本罪的主體。
(3)考慮量刑設置。
1款與刑法第235條第2款設定了相同的法定刑。筆者認為這兩段的區別主要是行為方式的不同。如前所述,在1段和第2段區分特殊主體和壹般主體毫無意義的情況下,不同的行為方式所產生的不同犯罪,可以用選擇性犯罪模式(即行為選擇性犯罪,刑法典中的走私、販賣等類似犯罪)來概括,基於此,筆者認為,在確定本條罪名時,采用選擇性犯罪(行為選擇)模式更為合理,即將其定為出售、非法提供或者非法獲取公民個人信息罪。
基於以上論述,筆者認為刑法第235條的主體應理解為壹般主體,采取選擇性犯罪模式,足以認定為調取、出售、非法提供、竊取公民個人信息罪。
二、本罪中調取個人信息的界定
目前,無論是學術界還是實務界,對個人信息概念的界定都處於混亂狀態,個人隱私、個人數據、個人資料、個人信息等術語匱乏。分類標準也有差異,筆者擬從宏觀和微觀兩個方面討論個人信息的內容。
(壹)個人信息的宏觀概念
個人信息的宏觀概念是壹般意義上討論的個人信息,因為個人信息的定義離不開對個人隱私、個人數據等相關概念的理解。結合相關概念的分析,我們認為個人信息是指姓名、住址、出生日期、身份證號、聯系方式、指紋、婚姻、學歷、職業、病歷、財務狀況等。壹個自然人的,我不想不具體。
(二)個人信息的微觀概念
在這裏,我們認為個人信息的微觀概念應該這樣把握:在宏觀概念保護的個人信息範疇中,那些足以影響個人人身權利的要素就是個人信息的微觀要素,根據這些要素概括的個人信息概念就是刑法第235條中公民個人信息的含義。
在個人信息的宏觀概念中,構成個人信息的要素有很多,但在不同的場合,只需要其中的壹部分就夠了。比如在法院法律文書中,個人信息要素有:姓名、性別、出生日期、民族、文化程度、身份證號、家庭住址、電話號碼等。公證文書中的要求基本同上。在房產交易合同中,個人信息要素為:姓名、身份證號、婚姻狀況(尤其是買房時,要求提供配偶知情的證明)。電話號碼等。在病歷中,個人信息要素有:姓名、性別、婚姻狀況、過敏史、家庭住址等。基於此,在各種不同行為的侵犯個人信息刑事案件中,個人信息的概念不應該是壹個宏觀概念,而應該是壹個微觀概念,而微觀概念中個人信息要素的標準應該是:這些要素在此類案件中是否具備足夠的侵犯公民人身安全的條件。
如果我們深入理解個人信息的宏觀概念,就會發現,當姓名、住址或出生日期等信息要素中的某壹項能夠被知曉時,出售、竊取或非法獲取該信息要素即構成對個人信息的侵權;但是,當需要結合多個信息要素來識別信息本身時,同時出售、竊取或者非法獲取這些信息要素就構成了對個人信息的侵犯。可見,個人信息在具體案件中的概念並不是壹成不變的。在不同的情況下,雖然是對公民個人信息自由和安全的侵害,但對個人信息要素公開的數額要求是不同的。例如,在房地產管理部門或房地產公司涉嫌向房屋中介機構泄露個人信息的案件中,房屋中介機構只需獲取對該房地產享有實質處分權的房地產權利人的姓名、聯系方式、所在地等少數信息要素,就可以對信息本身進行準確識別和定位,只有針對這些有限的信息要素,侵犯個人信息的行為才能成立。因此,在房地產管理部門或房地產開發商侵犯公民個人信息罪中,符合定罪條件的個人信息要素只需要產權人姓名、聯系方式、房產所在地即可。其他的,比如產權人的出生年月、身份證號、婚姻狀況、病歷等都不問。然而,在涉及醫療機構將分娩患者的信息泄露給孕婦保健公司或嬰兒用品公司的案件中,孕婦的姓名、聯系方式、出生日期、婚姻狀況、病歷和嬰兒生育狀況成為可以識別信息人的信息要素。因此,對個人信息的理解應以宏觀概念為基礎,在具體案例中把握微觀概念的差異。
換句話說,個人信息的宏觀概念具有壹般性和基礎性特征,而微觀概念具有群體性特征。當信息人屬於不同群體時,如文藝界、企業界、房主、會員等不同群體,個人信息概念外延的定義不同,但識別屬於同壹群體的信息人所需的信息要素是相似的。與不同群體相比,公眾意識越高,犯罪所需的信息要素量越低。比如年齡,對於普通人來說,僅僅透露年齡可能不構成對其個人信息的侵犯,但可能會給明星這樣的公眾人物帶來嚴重的物質或精神傷害。雖然判斷不同群體嚴重侵犯個人信息所需的個人信息要素範圍有不同的標準,但有壹個基本標準是應該遵循的:信息要素的泄露對公民的人身安全構成威脅。這是由該條款所要保護的法益決定的。綜上所述,個人信息的微觀概念不應該壹刀切的去把握,應該執行標準,做具體的案例分析。
第三,對情節嚴重性的認識
刑法第1條和第253-1條第2款規定,只有情節嚴重才構成犯罪,而情節嚴重的判斷標準是司法實踐中的重大問題,也直接影響犯罪圈的大小和法網的嚴密程度。發生什麽樣的情況,情節嚴重?是基於利潤的多少嗎?我不這麽認為。壹方面,並不是所有侵犯個人信息的犯罪都是以營利為目的的,有些犯罪根本不具備獲利的數額;另壹方面,判斷有罪的標準應嚴格遵循犯罪的性質,本罪侵犯的法益是公民人身權利的安全,因此對嚴重情節的把握標準也應以法益為重。筆者認為可以從搞笑的地方和搞笑的質感兩個方面來考慮侵犯個人信息的嚴重性:
1.顧名思義,情節嚴重是指對泄露公民個人信息行為所造成的損害進行橫向考察,即侵害的廣度、人群的大小、獲利的多少。總之,只要是出售或者非法提供或者以其他方式竊取的個人信息,無論是合法持有的還是非法持有的,都視為情節嚴重,追究違法者的刑事責任。這個數字的大小沒有相關的橫向規律。關於獲利數額,結合刑法典相關罪名的規定,筆者認為該罪的起點是非法獲利5000元。
2.情節嚴重戲弄的表現形式,是指對泄露公民個人信息行為造成的損害進行深入調查,即信息被非法泄露後對個人造成的損害程度。這是因為侵犯公民個人信息,雖然侵權行為的傳播和獲利數額不大,達不到上述數額的標準,導致受害人的人身權利受到嚴重侵害的時候。比如,從買家為幾個人甚至壹個人的個人信息所支付的金錢數額來看,賣家應該知道,買家獲得信息後對受害人的侵權所得,應該大於所支付的對價。也能在獲取信息後推斷出對方危害行為的嚴重程度。如果行為人在本案中仍然出售相關信息牟利,並實際對信息被泄露的人造成人身傷害,則應構成犯罪。至於人身傷害程度,結合故意傷害罪中的傷害程度,筆者認為可以考慮以輕傷為標準,即當公民個人信息未達到上述要求(100人或5000元)時,侵犯公民個人信息的營利行為直接導致被害人人身傷害的,應當認定為情節嚴重,定罪處罰。
四。結論
刑法修正案(七)規定的侵犯個人信息罪的出臺,表明我國在尊重人權、保護公民個人信息方面的努力意義重大。本文認為,目前應在尊重條文、不修改條文的基礎上對條文進行解釋,符合打擊侵犯公民個人信息犯罪的立法目的:壹是第253條的犯罪主體為壹般主體;其次,該條應界定為選擇性犯罪模式,以確定具體罪名,即挑逗出售、非法提供、非法獲取公民個人信息罪;最後,在法律的具體適用中,對個人信息內涵和外延的理解應註意其群體性特征,以人身權利是否受到侵害為基準,具體案件具體分析,準確把握情節嚴重的戲弄質地和戲弄地點的標準,從而充分發揮刑法保護公民個人信息的應有作用。
感謝閱讀!