2009年2月28日,十壹屆全國人大常委會七次會議表決通過了《刑法修正案(七)》,修正案的第7條在刑法典第253條後增加了壹條關於侵犯公民個人信息罪的規定,作為第253條之壹,具體條文如下:
“國家機關或者金融、電信、交通、教育、醫療等單位工作人員,違反國家規定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金。
竊取或者以其他方法非法獲取上述信息,情節嚴重的,依照前款的規定處罰。
單位犯前兩款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照各該款的規定處罰。”
對上述條款的含義,有學者認為,該條第1款和第2款分別規定了“出售、非法提供個人信息罪”和“非法獲取個人信息罪”的構成要件及量刑,第3款將單位納入本罪的主體範圍。出售、非法提供個人信息罪,是指特殊主體(即國家機關或者金融、電信、交通、教育、醫療等單位工作人員)在明知自己出售或者非法提供其所獲得的公民個人信息的行為會對公民個人信息安全造成傷害,而希望或者放任這種危害結果發生的主觀心態支配下,違反國家法律、法規或者規章中關於公民個人信息的規定,實施的將本單位在履行職責或者提供服務過程中合法獲得的公民個人信息,出售或者非法提供給他人,造成公民個人信息大量泄露、使個人信息大量流向境外、造成被害人人身嚴重傷害以及造成財產重大損失的危害行為。非法獲取個人信息罪,是指壹般主體在明知自己竊取或者以其他方法非法獲得公民個人信息的行為會對公民個人信息安全造成危害,希望或者放任這種危害後果發生的主觀心態支配下,實施的秘密竊取或者以其他方法非法獲取公民個人信息,造成公民個人信息大量泄露、使個人信息大量流向境外、造成被害人人身嚴重傷害以及造成財產重大損失的危害行為。
從規範刑法學角度看,上述理解符合法條的字面含義。但此文並非探討對字面意義的再理解,而是結合司法實踐,從本罪法條設置的應然角度解讀,筆者認為上述理解存在可完善空間。
壹、對本罪規定特殊主體的必要性思考
從學界對《刑法修正案(七)》第7條撰文理解適用的相關內容看,認為本條文前兩款規定了兩個罪名:第1款是關於“出售、非法提供個人信息罪”的規定,其主體為特殊主體;第2款是關於“非法獲取個人信息罪”的規定,其主體是壹般主體。侵犯個人信息的行為,區分特殊主體和壹般主體從而分別設立兩個法定刑完全壹致的罪名是否必要?條文中所做出的列舉性主體是否表明此條文所涉及的犯罪只能由特殊主體構成?筆者認為,從刑法理論及司法實踐看,分款設置區分特殊主體、壹般主體的意義不大,主要理由如下:
(壹)從立法保護的法益分析
壹種行為之所以被規定為犯罪,是因為其對法所保護的利益和價值造成了侵害或者侵害的危險性。我國刑法分則十章的劃分標準,正是行為侵害的法益。修正案新增侵犯公民個人信息的犯罪並將其納入刑法分則的第四章“侵犯公民人身權利、民主權利罪”第253條之壹進行明確規定,可以看出,侵犯公民個人信息罪的本質是對公民人身權利侵害,其所保護的法益不會因主體不同而導致受侵害程度不同,故筆者認為,本條文所要強調的核心內容是因為侵犯公民個人信息而導致公民人身權利受到侵害的行為應當追究其刑事責任,是否具備特殊身份並不會影響到犯罪本質的認定和量刑的區別,換言之,如果特殊主體和壹般主體實施行為會導致侵犯法益的區別,或者會導致量刑的不同,立法做出主體的區別在司法實踐中才有其存在的必要性和意義,否則就不必做出區分。
根據前述理由,結合第253條之壹的內容,筆者認為,不應將該條第1款理解為特殊主體。
第壹,第253條之壹規定的侵犯公民個人信息的犯罪,其懲罰的是因侵犯公民個人信息而導致公民人身權利被侵害的行為,行為主體不同不會導致定性不同。這完全不同於必須是特殊主體實施行為的犯罪,例如,刑法規定貪汙罪的犯罪主體是特殊主體,是因為貪汙罪主要是侵犯了職務的廉潔性,國家工作人員的特殊身份與法益受到侵害有直接聯系,如果不具有該身份就不可能造成國家公職人員職務廉潔性這壹法益的侵害。故貪汙罪只能由特殊主體構成。而第253條之壹規定侵犯公民個人信息罪的犯罪行為不會因為主體不同而產生定性的不同。
第二,結合司法實踐看,侵犯公民個人信息的犯罪並不僅限於條文中所列舉的主體,除國家機關或者金融、電信、交通、教育、醫療等單位工作人員外,包括房地產公司、酒店、高級會所等在內的服務機構甚至公民個人(如心理咨詢師、個體醫生、理療師等),都能獲得公民個人信息,都可能實施本條所規定的犯罪行為。因此,筆者認為,只要是在其履職或者是服務過程中能夠獲取公民個人信息的單位,都可能實施出售、非法提供公民個人信息的行為,都會對公民的人身權利造成侵害。如此看來,該條所作的國家機關或者金融、電信、交通、教育、醫療等單位工作人員的規定,理解為對壹般主體的列舉性規定似乎更為恰當,不至於因為特殊主體而成為入罪之限制。
綜上,筆者認為,修正案第7條的犯罪主體,應當理解為壹般主體,立法只是采用列舉的方法將常見的主體加以明示,以利於對法律條文的理解、司法機關實務操作。
如果認為條文中所指的國家機關或者金融、電信、交通、教育、醫療等單位工作人員這樣具有特定身份的主體應當嚴懲,也可以借非法拘禁罪的立法例,將上述特殊的單位作為身份加重情況,設置從重處罰的條款。當然,如果要這樣的話,就涉及到立法的修改了,而頻繁的立法修改不是本文所贊同的,筆者認為,在刑法解釋(包括立法、司法、學理解釋)能夠和打擊犯罪目標壹致時,修改立法的必要性就不大了。
(二)從法條條文的內容分析
從第253條之壹的法條規定看,若將第1款和第2款規定的犯罪主體分別理解為特殊主體和壹般主體,則此兩款的題中之義是:特殊主體(國家機關或者金融、電信、交通、教育、醫療等單位工作人員)將依職權或者服務合法獲取的信息出售或者非法提供給他人,情節嚴重的構成犯罪;壹般主體只有竊取或者以其他方法非法獲取信息,情節嚴重的才構成犯罪。由此會產生以下問題:
1.壹般主體具備第253條之壹第1款行為定性問題
當壹般主體具備符合第253條之壹第1款規定的行為時如何定罪?即壹般主體將合法持有的信息出售牟利或者非法提供給他人是否構成犯罪?
根據刑法修正案的規定,出售、非法提供個人信息罪的主體是國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,若將此規定理解為特殊主體,帶來的問題是:第壹,除法條列舉主體以外的其他單位的工作人員只要取得信息的手段是合法的,不是竊取或者以其他方法非法獲取,即使故意實施了將公民個人信息出售牟利或者非法提供給他人的行為,都不得定侵犯公民個人信息罪。但結合前述關於法益分析的內容可以看出,既然本罪立法所保護的法益是公民的人身權利,則只要實施了出售、非法提供等侵犯公民個人信息的行為,達到情節嚴重的程度,就已經侵害了法益,此時行為對法益的侵害程度和主體是否第1款規定的那些主體沒有必然聯系,例如,商務會所、房地產公司都可能出現將個人信息出售謀利或者非法提供給他人的行為。第二,第253條第1款中規定的“國家機關或者金融、電信、交通、教育、醫療等單位工作人員”中的“等”是否應當理解成其他沒有列舉出來的各種在履職或者服務過程中能夠獲取公民個人信息的各種單位,如果包括其他諸如商務會所、房產公司等單位,則我們如果將第1款理解為特殊主體才能實施的犯罪,那麽就會縮小此類行為法網控制的範圍。
此外,公民個人也可能在服務過程中合法獲取其他公民的信息,如心理診療所、個體診所都可能擁有患者的個人信息,若將第253條第1款采用列舉式的立法模式等同於這就是特殊主體的話,則法律無法對此部分人入罪。
當然,可能有學者會質疑:若將本罪理解為壹般主體,會不會使刑法的規制範圍過泛,犯罪圈過大,有違刑法的謙抑性?但筆者認為這種擔憂是多余的,因為當第253條第1款理解為壹般主體後,似乎擴大了犯罪圈,從而加大了打擊面。其實不然,擴大犯罪圈與刑罰處罰量不是同比增長,因為從實體法角度看可以通過刑法總則第13條但書的規定進行控制,從程序法角度看可以依靠不起訴制度將輕微的該類行為排除在刑罰處罰之外,不會施之過泛,也不違反刑法謙抑性。
不可否認,依筆者觀點,將第253條之壹第1款理解為壹般主體後,是會壹定程度上擴大了犯罪圈,但這種擴大是必要的:壹方面,只有這樣規定才能夠保證刑法立法上對侵犯個人信息罪規定的周延性和科學性;另壹方面,能體現我國的法治化程度,因為目前我國實際上對侵犯公民個人信息的行為加大了控制力度,但更多的是通過行政手段在規制,比如前述提到的國家廣電總局嚴禁炒作名人醜聞、緋聞、劣跡的禁令以及公安部聯手開展打擊違法短信行動 等等。筆者認為,與其賦予行政手段過大的裁量權,不如將其納入到刑法的框架之內,通過司法程序規制。
綜上,第253條之壹第1款的主體為壹般主體,只要將合法持有的信息出售牟利或者非法提供給他人,情節嚴重的,亦應構成本罪。
2.對第1款列舉的主體的理解
換句話講,除了國家機關或者金融、電信、交通、教育、醫療等單位以外是否還有其他單位的工作人員將依職權合法獲取的信息出售或者非法提供給他人,如房地產公司、高級會所、酒店和網絡公司等單位。通過前面的論述我們可以得出結論,只要是符合能夠依職權或者服務獲取公民個人信息的單位或者個人,都可以構成本罪的主體。在此結合前面論述,進壹步闡釋第235條之壹應為壹般主體的理由:
(1)這些單位能夠實施完全符合本罪客觀方面的行為。該條第1款規定的行為的客觀方面可以概括為“合法獲取+非法提供”。何謂合法獲取?筆者理解為主體依照職權、依照相關規定取得或者相對人自願提供。如為了治安需要,規定入住酒店必須出示身份證並進行嚴格登記;又如學生或者社會人員為考試、註冊等提供的個人信息,上述情形下取得的公民個人信息是合法的。何謂非法提供?筆者理解為以獲得對價的商業目的賣出或者違反國家規定而提供公民個人信息。如房地產開發公司將商戶信息出賣給房屋中介機構就是典型的非法提供。
(2)司法實踐中,除國家機關或者金融、電信、交通、教育、醫療等單位的工作人員外,其他單位諸如房地產公司、商務會所等單位工作人員實施的侵犯公民個人信息行為的危害程度可能旗鼓相當,甚至更為嚴重。綜上,第235條之壹第1款列舉中的“等”其意義即昭示出該罪主體的廣泛性,並從中可以進行壹個合理的推斷:侵犯公民個人信息罪主體的判斷標準為,是否依職權或者在服務過程中能夠獲取公民個人信息?是,則能夠成為本罪主體,否,則不能成為本罪主體。
(三)從量刑設置上考慮
刑法第235條之壹的第1、第2款設置了相同的法定刑,筆者認為這兩款的區別主要是行為方式不同,如前所述,當第1、2款中區分特殊主體和壹般主體沒有意義後,不同行為方式產生出的不同罪名可以采用選擇性罪名模式概括出本條的罪名(即行為選擇性罪名,在刑法典中類似的罪名諸如走私、販賣、運輸、制造毒品罪),如此而言,將本條中的兩款分別解釋為兩個不同的罪名就不符合罪名確立的原則。基於此,筆者認為,在對本條確定罪名時,采用選擇性罪名(行為選擇)模式加以規定比較合理,即定為“出售、非法提供、非法獲取公民個人信息罪”。
基於上述論述,筆者認為,刑法第235條之壹的主體應當理解為壹般主體,罪名采用選擇性罪名模式確定壹個罪名即“出售、非法提供、竊取公民個人信息罪”足矣。
二、對本罪中“個人信息”的界定
目前,無論學術界還是實踐中,對於個人信息概念的界定處於混亂無序的狀態,個人隱私、個人資料、個人數據和個人信息等名詞紛見。分類標準也有區別,筆者擬從宏觀和微觀兩個方面探討個人信息的內容。
(壹)宏觀的個人信息概念
宏觀的個人信息概念即從壹般意義上探討的個人信息,因為個人信息的概念界定離不開個人隱私和個人資料等相關概念的理解,結合相關概念剖析,我們認為,個人信息是指自然人的姓名、住址、出生日期、身份證號碼、聯系方式、指紋、婚姻、學歷、職業、醫療記錄、財務狀況等單獨或者與其他資料相結合能夠將本人識別出來的,本人不願為不特定人所獲知的個人資料。
(二)微觀的個人信息概念
在此,我們認為,微觀的個人信息概念要把握的標準是:在宏觀概念保護的由多個要素組成的個人信息範疇中,足夠影響到個人人身權利的那些要素就是微觀個人信息要素,根據這些要素歸納出來的個人信息的概念就是刑法第235條之壹中公民個人信息的含義。
在宏觀的個人信息概念中,組成個人信息的要素很多,但在不同的場合,只需其中的部分要素足夠,例如,在法院的法律文書中,個人信息要素為:姓名,性別、出生日期、民族、文化程度、身份證號、家庭住址、電話等。在公證文書中的要求也基本同上。在房地產交易合同中,個人信息要素為:姓名、身份證號、婚姻狀況(尤其是在貸款購房時要求提供配偶明知的證明)。電話號碼等。在醫院病歷中,個人信息要素為:姓名、性別、婚否、過敏史、家庭住址等。基於此,在不同行為表現的形形色色侵犯個人信息犯罪案件中,個人信息概念不要求是宏觀概念,而是微觀即可,而微觀概念中個人信息要素標準應當為:這些要素是否具備在這類案件中足以侵犯到公民人身安全的條件。
深入理解宏觀的個人信息概念會發現:當獲知姓名、住址或出生日期等信息要素中的壹個就可以將信息本人識別出來的情況下,出售、竊取或者非法獲取提供這個信息要素就構成對個人信息的侵犯;而當需要多個信息要素相結合才能夠將信息本人識別出來的情況下,同時出售、竊取或者非法獲取提供這些信息要素才構成對個人信息的侵犯。可見,具體案件中的個人信息概念並不是壹成不變的,在不同案件中,雖然都是對公民個人信息自由安全的侵犯,但對構成侵犯個人信息罪所要披露的個人信息要素量的要求是不同的。例如,在涉嫌房地產管理部門或者房地產公司將個人信息披露給房屋中介機構的案例中,房屋中介機構只需獲得對不動產具有實質處分權的產權人的姓名、聯系方式、不動產的坐落位置等少數幾個信息要素就能夠準確的識別定位信息本人,構成侵犯個人信息的行為只需是針對這有限幾個信息要素即可成立,因此在涉嫌房地產管理部門或者房地產開發商侵犯公民個人信息的犯罪中,達到入罪條件的個人信息要素只要求產權人姓名、聯系方式、不動產坐落地等即可。而其他的諸如產權人的出生日期、身份證號碼、婚姻狀況、醫療記錄等則在所不問。但如果涉及醫療機構將分娩患者的信息泄露給孕婦保健公司或嬰兒用品公司的案件中,則孕婦的姓名、聯系方式、出生日期、婚姻狀況、醫療記錄和嬰兒生育狀況就成為能夠識別信息本人的信息要素。故對個人信息的理解應當以宏觀概念為基礎,在具體案件中把握微觀概念的不同。
換言之,個人信息的宏觀概念具有壹般性、基礎性特征,而微觀概念具有群體性特征。當信息本人屬於不同群體時,如屬文藝界、商界、房主、會員等不同的群體,對個人信息概念外延的界定有所不同,而識別屬於相同群體的信息本人所要求的信息要素具有相似性。相對不同群體而言,公眾認知度越高的群體,構罪對信息要素要求的量就越低 。例如年齡,對於普通人來講僅僅泄露年齡可能尚不構成對其個人信息的侵犯,但對於明星這樣的公眾人物卻可能帶來物質上或精神上的嚴重侵害 。雖然在不同群體中侵犯個人信息導致情節嚴重所需的個人信息要素範圍有不同的判斷尺度,但有壹個基本標準是應當遵循的:即信息要素的披露對公民人身安全構成了威脅。這是由該條款所要保護的法益所決定的。綜上,對於個人信息微觀概念的把握不應壹刀切,應貫徹該標準做到具體案件具體分析。
三、關於“情節嚴重”的理解
刑法第253條之壹第1款和第2款都規定了情節嚴重的才構成犯罪,判斷情節嚴重的標準,是司法實踐中的重大問題,也直接影響了犯罪圈的大小和法網的嚴疏。出現什麽樣的情況,就達到了情節嚴重呢?是以獲利金額為標準嗎?筆者認為不然,壹方面並不是所有侵犯個人信息罪都是牟利的,有的犯罪根本不存在獲利金額;另壹方面,判斷入罪標準應嚴格因循犯罪本質,本罪侵害的法益是公民的人身權利安全,那麽把握情節嚴重的標準也應該圍繞法益展開。筆者認為,可以考慮從侵犯個人信息行為的“量”和“質”兩個方面來把握情節嚴重:
1.情節嚴重的“量”,顧名思義,具體指泄露公民個人信息行為造成損害的橫向考察,即侵害廣度、人群的範圍大小和獲利多少,簡言之,無論是合法持有的還是非法持有的個人信息,只要出售或者以其他方法非法提供或者竊取達到壹定的數目規模,就認定情節嚴重,追究犯罪人的刑事責任,關於這個人數多少規模大小問題,因沒有相關橫向法條作為參考,筆者提出以100人作為量的起點。 ,關於獲利額,結合刑法典相關犯罪的規定,筆者認為以非法獲利5000元為犯罪起點。
2.情節嚴重“質”的體現,具體指泄露公民個人信息行為造成損害的縱深考察,即個體在信息受非法披露後受到損害的程度。這是當侵犯公民個人信息行為的波及面和獲利數額雖然不大,達不到前述量的標準,無法入罪,但是因為侵犯公民個人信息導致被害人人身權利受到嚴重侵害,例如,從購買者為少數人甚至是壹個人的個人信息所支付的金錢數額來看,出賣人應該知道購買者獲取信息後對被害者侵犯的收益應該大於支付的對價,並可以推知對方獲得信息後實施危害行為的嚴重程度,若行為人在此情形下仍然出賣相關信息牟利,並現實造成了信息被泄露者人身傷害的,應當構成犯罪。至於人身傷害的程度,結合故意傷害罪中入罪的傷害程度,筆者認為可以考慮以輕傷為標準,即在侵犯公民個人信息達不到前述量的要求(人數100人或者獲利5000元)時,如果實施侵犯公民個人信息牟利行為直接導致被害人人身受到輕傷以上程度的傷害的,應當視為情節嚴重,定罪處罰。
四、結論
《刑法修正案(七)》規定的侵犯個人信息罪的出臺,表明了我國在尊重人權和公民個人信息保護上所做出的努力,具有重要意義。本文認為:目前,應當在尊重條文、不修改條文的基礎上,本著打擊侵犯公民個人信息犯罪的立法目的來對該條文進行釋義:首先,第253條之壹犯罪主體為壹般主體;其次,應當將該條文以壹個選擇性罪名模式確定具體罪名即“出售、非法提供、非法獲取公民個人信息罪”;最後,在法條具體運用過程中,對個人信息內涵和外延的理解應註重其群體性特征,以人身權是否受到侵犯為基準,做到具體案件具體分析,準確把握情節嚴重的“質”與“量”的標準,以充分發揮刑法在保護公民個人信息方面應有作用。
謝謝閱讀!