理论撷英
 
论侵犯公民个人信息犯罪的司法认定
 
日期:2013年07月30日    作者:顾静薇等
  

    信息化是现代社会发展的重要标志之一。个人信息作为信息资源的一部分,无疑具有极其特殊的地位,往往附带巨大的经济价值,[1]而 泄露和非法利用个人信息将严重威胁着公民的人身权利、财产安全和个人隐私。早在2003年国务院信息办就委托科研单位调查研究,并于2005年形成《个人 信息保护法(专家建议稿)及立法研究报告》,2008年《个人信息保护法(草案)》呈交国务院审议,但由于种种原因至今尚未出台。2009年2月《刑法修 正案(七)》经全国人大常委会审议通过,在我国首次将公民个人信息纳入刑法保护范围。自全国首例侵犯公民个人信息犯罪案在广东宣判后,新疆、浙江、北京、 上海等地也相继报道了各地首例侵犯公民个人信息犯罪案件。因《刑法修正案(七)》刚刚颁布,相关法律及司法解释均未出台,法律条文的具体含义也未能达成共 识,导致司法机关在适用法律时产生了很多的困惑。[2]当然,《刑法修正案(七)》出台后理论和实务界针对法律适用中遇到的问题对该罪名的具体解释作了不少有益的探讨。本文围绕司法案例,针对司法实践中出现的法律适用难点提出建议和设想。

  

  一、“公民个人信息”的内涵与外延

  由于我国尚未制定专门的公民个人信息保护法律,现有法律法规亦无公民个人信息的单行规定,因此在司法实践中对于如何确定刑法保护的公民个人信息 的范围有较大的争议。纵观世界各国个人信息保护立法,有采用个人信息(personal information)的概念,如日本(Act on the Protection of Personal Information),也有采用隐私(privacy)的概念,如美国(Privacy Act),[3]还有采用个人数据(personal date)的概念,如:德国(Federal Data Protection Act)。[4]从 概念的基本内涵来说,三者大体一致,从立法动机和基本原则来说,三者的背景也基本一致。从权利基础来说,个人信息、个人数据的概念和隐私的概念代表着当今 世界两种保护公民个人信息的模式,即人格权保护模式和隐私保护模式。前者如德国等国家,坚持个人对其个人信息的控制而实现其维护主体人格权和人格尊严的价 值理念,强调对个人信息,尤其是敏感个人信息和可识别个人信息的收集必须得到个人的明示同意。[5]后者如美国,个人信息被认为是一种非常实在的利益,原则上,只要个人没有明确反对的话,应该允许对个人信息的收集和使用,但是,不能对个人信息进行滥用,如果消费者觉得商家的信息行为不妥当,他可以选择退出。

  在我国,理论界大多主张采取德国式的人格权保护模式,并且从现有的法律法规来看,对公民个人信息的保护也基本采取了人格权保护的模式,如:最高 人民法院《关于审理名誉权案件若干问题的解答》第七条、《关于确定民事侵权精神损害赔偿责任若干问题的解释》第一条和第三条分别以名誉权和一般人格权保护 个人隐私。《刑法修正案(七)》将侵犯公民个人信息犯罪置于第二百五十三条之后,刑法分则第四章“侵犯公民人身权利、民主权利罪”之下,更表明了我国立法 者的态度。

  那么,公民个人信息到底应当包括哪些呢?有观点将公民个人信息定位于姓名、职业、职务、年龄、婚姻状况、学历等“能够识别公民个人身份的信息”。6也有观点认为“公民个人信息是指以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。其外延十分广泛,几乎有关个人的一切信息、数据或者情况都可以被认定为个人信息”。7还有观点认为,确定刑法保护的公民个人信息范围时应综合考虑个人意愿和社会评价。8尽管各种观点所表述的范围不同,但基础是相同的——“识别性”(identified or identifiable),也就是采用直接或间接的方式,能识别出公民个人身份。

  笔者认为,公民个人信息是指能直接指明或间接推断出公民个人身份的信息,比如:姓名、身份证号码、电话号码、家庭住址、职业、医疗记录等。从内 涵上讲,公民个人隐私也应包括在内。不能因为要控制刑罚适用而人为的随意扩大或缩小公民个人信息的外延。关于公民个人信息的界定,应采取概括加列举方式, 以适应社会的发展需求,同时在刑法适用上根据不同信息对于个人的重要性以及公共利益的需要在“情节严重”的认定上做差别认定,以适当控制刑罚的适用,保持 刑法的谦抑性。应当指出的是,法人等其他组织的信息不在刑法本条的保护之内。不法分子在贩卖公民个人信息的同时,一般也经营企业的工商资料等信息交易,在 买卖信息的过程中,个人信息和工商信息不分,在认定过程中应当严格区分两者,将非公民个人信息予以剔除,但涉及企业法定代表人或者其他经营者的个人信息 的,应当认定为公民个人信息。还比如,在一些车主信息数据中,既包括个人车主信息,同时包括单位车主信息,在认定中同样应当剔除单位车主信息。司法实践中 应当严格按照认定公民个人信息的标准去伪存真,准确计算。有条件的话,办案单位可以委托相关部门进行鉴定,确定涉案公民个人信息的数量等。

  应该指出的是,公民个人信息不仅包括能识别公民个人身份的静态信息,还包括能够体现公民行踪的动态信息,如宾旅馆住宿信息,机场登机、到达信息 等。如:上海浦东新区人民法院审理的赖某非法获取公民个人信息罪一案中,被告人赖某为开展帮人讨债寻人、婚外恋跟踪取证、打假等业务,为满足客户需求,由 赖某利用朋友职务便利及互联网搜寻等方式购买、收集所需信息,并以高价出售给客户获取利益,总计获利人民币60余万元。其中,赖某与吴某约定,由吴某通过 内部网查询大量人口信息和客人入住宾馆信息并传给赖某,赖某获得相关信息后,再转售牟利。经查证,自2009年3月至案发之前,赖某获取公民个人信息5O 余条,支付给吴某好处费37300元。上海市浦东新区法院于2010年1月,以非法获取公民个人信息罪判处赖某有期徒刑一年,并处罚金人民币二万元。个人 入住宾馆记录这类信息体现公民行踪的动态信息,往往比姓名、家庭住址、电话号码等静态信息更关乎公民人身安全,一旦被不法分子掌握,极易造成重大危害结 果,理应纳入公民个人信息保护的范围。

  另外,我们还应当注意法律中的“例外”情形,保护公民个人信息权利的同时还应当保持其与保障信息公开和鼓励电子商务等公共利益之间的平衡。加拿 大《隐私权法》第三条在列举隐私的范围同时亦列举了豁免的数种情形,如:与公职人员职务相关的个人信息等。台湾地区《电脑处理个人资料保护法》第八条规定 了数种例外的情形,如:为维护国家安全、为增进公共利益、为防止他人权益之重大危害而有必要等等。将来我国在制定公民个人信息相关细则或者个人信息立法时 应做相应的考虑,将为保护国家与公共安全的需要以及公民本人同意采集公民信息作为保护公民个人信息的例外。

  二、犯罪主体的性质和范围

  依据《刑法》第二百五十三条之一的规定,出售、非法提供公民个人信息罪的犯罪主体是特殊主体,也即“国家机关或者金融、电信、交通、教育、医疗 等单位的工作人员”,非法获取公民个人信息罪的犯罪主体为一般主体,这一点并无异议,但是对于出售、非法提供公民个人信息罪中“等单位”的理解,理论界和 实务界仍存有争议。除列举的“国家机关或者金融、电信、交通、教育、医疗等单位”之外,这里的“单位”是否还包括在提供服务中合法采集公民个人信息的保 险、房地产销售或中介、汽车销售、公民职业技能培训等其他单位呢?有观点认为,“考虑到本条主要是对在履行职责或提供公共服务过程中利用某种程度的‘公权 力’采集到的公民个人信息的国家机关或者单位,违反法律规定的保密义务的应负的刑事责任……不宜将公民个人信息的刑事保护范围扩大到没有利用‘公权力’采 取的一切单位和个人。”9

  理解法律条文应该结合法律条文内部的逻辑以及法律目的和宗旨。公民个人信息的泄露无非两种途径,一是合法占有该信息的单位或个人非法泄露,二是 不具有该信息的单位或个人通过非法手段获得,对照《刑法修正案(七)》第七条第三款,第一款规范的是前者,第二款规范的是后者,如果将前者狭义的理解为具 有公权力的国家机关或其他单位,则会造成保护公民个人信息的漏洞。既然通过第二种途径非法泄露公民个人信息的单位或个人应受到处罚,为什么通过第一种途径 非法泄露公民个人信息的非公权力机关或单位就不应该受到处罚呢?法条本身只是规定“本单位在履行职责或者提供服务过程中”,既没有强调利用某种程度的“公 权力”,也没有要求必须是在“提供公共服务过程中”,因此作此限定亦无法律依据。10“金 融、电信、交通、教育、医疗等单位”既包含国有单位、集体单位亦包括私营单位,如果遵照法条的原意,私营教育、医疗、金融等单位理应包括在内,那么其他能 够在提供服务中依法获取公民个人信息的私营单位又有什么理由应当被排除在外呢?反观其他国家的立法经验来看,均未规定泄露公民个人信息的主体必须是享有公 权力或者提公共服务的单位或其工作人员。如:1974年《日本改正刑法草案》第三百十七条规定:从事医疗业务、法律业务、会计业务或者其他基于与委托人的 信赖关系而知悉他人秘密的业务的人或者其辅助者,或者曾经处于这种地位的人,无正当理由,泄露就其业务所知悉的他人的秘密的,处一年以下惩役、禁锢或者二 十万元以下罚金。从事宗教职业的人或者曾经从事宗教职业的人,无正当理由,泄露就其业务所知悉的他人秘密的,与前项同。1999年奥地利颁布的《奥地利联 邦个人数据保护法》第五十一条第一款规定:“无论何人,如果使用已经被委任的,或者由于专业原因而获得的个人数据,或者非法获取数据,并为个人使用或者把 这些数据提供给他人或者为营利或致害目的而公开这些数据,除去数据所有人应受保护的利益外,应该由法院处以1年的监禁处罚,除非另外的条款规定了更重的处 罚。”

  出售、非法提供公民个人信息罪中“单位的工作人员”应限于依职权管理公民个人信息的人,即根据单位的相关规定或工作安排,对公民个人信息履行职 责或提供服务的人员,出售或者向他人非法提供公民个人信息,情节严重的,应构成出售、非法提供公民个人信息罪。如行为人虽是单位工作人员,但不具有采集或 管理公民信息职责,仅利用容易获知公民信息的工作便利,秘密窃取公民个人信息,应以非法获取公民个人信息罪论处。浙江省温州市苍南县人民法院审理的郑某、 苏某非法获取公民个人信息一案中,被告人苏某系苍南县公安局交警大队灵溪中队协警,其利用利用灵溪交警中队晚上无人值班之际,多次利用窃取的公安数字身份 证书登陆公安内网全国交通管理信息查询系统,非法查询和下载了55万条车辆车主信息,并通过互联网全部发给郑某,得款3万余元。苏某尽管是交警大队协警, 但其获取个人信息时并未利用自身的职权管理职责,而是通过窃取的方式,故苍南县人民法院以非法获取公民个人信息罪判处苏某有期徒刑一年六个月并处罚金。11

  三、“非法获取”的理解与认定

  《刑法》第二百五十三条之一第二款规定,“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”所谓“非法获取”,有观点认为即没有法律根据而获取。12对比该条前款发现,前款的要求是“违反国家规定”,如果将该款中的“非法”理解为“没有法律根据”,是不符合立法精神的,因为前款中的机关或单位虽明显处于强势地位,却利用职权便利,出售或非法提供个人信息,其处罚限制条件理应不比该款宽松。13本 条的“非法”理应是“违反法律禁止性规定”的含义而非“没有法律依据”。但也有观点担心,我国公民个人信息保护法尚未出台,如果理解为“违反法律禁止性规 定”会导致前位法律缺失最终影响本罪名的适用。从法理上分析,法无明文规定不禁止,除非该行为损害公共利益和社会秩序、违反社会公德,因此将此处的“非 法”理解为“违反法律禁止性规定或社会公序良俗”更为恰当。14

  本条在“非法获取”前加了“窃取或者以其他方法”的定语,如果我们把“非法获取”理解为没有明文法律规定,那么“窃取”又违背了那一条法律规范 呢?其实不然,窃取行为是明显违背社会伦理道德,侵害公共秩序和善良风俗而为一般社会正义所不容,是天然的“非法”,这也正是“自然犯”理论的基础。以此 类推,其他譬如:抢劫、抢夺、骗取、胁迫等类似行为理应认定为天然的“非法”。

  那么常见的“购买”、“交换”公民个人信息等行为是否属于“非法获取”呢?从立法经验来看,现有刑法体系内,“窃取”多与“收买”相提并论, 如:刑法第一百一十条规定,“为境外的机构、组织、人员窃取、刺探、收买、非法提供国家机密或者情报的”;刑法第一百七十七条第二款规定,“窃取、收买或 者非法提供他人信用卡信息资料的”。当然,仅有立法经验或惯例还不够,关键是看“购买”公民个人信息到底有没有违反法律禁止性规定。追根溯源,“购买”的 公民个人信息要么来自于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员出售或者非法提供,要么来自于他人窃取、抢劫、抢夺、骗取、胁迫等。对 于后者,购买他人通过非法手段获取的应属“非法”应无异议;对于前者,明知或者应当明知是他人违反相关法律法规出售或者非法提供的公民个人信息仍予以购 买,同样是违反前述法律法规的,应为“非法”。“交换”本身就是同“价值”信息之间的流转,本质上与“购买”无异,自不待言。

  当然,非法侵入他人计算机系统获取他人所有或者管理的公民个人信息亦属“非法获取”,因为“非法入侵他人计算机系统”本身就已触犯刑法,系非法 手段。另外,为经营、买卖公民个人信息或者其他非法目的,以“合法的形式”收集公民的个人信息,是“以合法形式掩盖非法目的”,同样应属“非法”。

  四、“情节严重”的认定

  “情节严重”是侵犯公民个人信息犯罪的客观构成要件,也是区分罪与非罪的重要标准,因此受到司法实务界和理论界的极 大关注。由于该罪名属新型犯罪,司法实践经验少,情况复杂,标准难以制定,所以相关司法解释也未能出台。但对于具体办案单位来说,又急需明确情节严重的标 准问题,因为情节严重的标准关系立案与否、逮捕与否、起诉与否乃至如何量刑等一系列问题。

  对此实务界、学界讨论亦较多,基本达成一些标准,情节严重一般是指,因出售、非法提供、非法获取公民个人信息获利数额较大、出售或非法提供多人 信息、多次出售或者非法提供公民个人信息,以及公民个人信息被非法提供、出售给他人后,给公民造成了经济上的损失,或者严重影响到公民个人正常生活,或者 被用于进行违法犯罪活动等情形。还有一些司法机关通过公、检、法三家共同研讨和会签发文的形式,制定了更为具体的入罪标准。本文中提到的赖某非法获取公民 个人信息案中,赖某从事非法获取公民个人信息犯罪行为时间长、次数多、涉及人员范围广、非法获利数额大,且被用于讨债寻人、婚外恋跟踪等非法活动,浦东检 察院据此认定其为“情节严重”,以非法获取公民个人信息罪起诉后,得到浦东法院判决认可。

  从司法实践操作的角度讲,具体且确定的标准易于操作,若能规定具体的出售信息的获利数额、非法提供信息的次数或数量、非法获取信息的次数或数 量,无疑会满足司法人员的需求。但僵化的标准也会带来诸多问题,不同的公民个人信息及其组合对于个人的重要性差别巨大,对个人的危害性也是会差别巨大,确 定的金额、数量、次数标准只能是一种基本因素,完全以该标准来决定罪与非罪有失妥当。全国首例侵犯公民个人信息犯罪的周建平非法获取公民个人信息案中,被 告人周建平共计非法获取14位政府官员的个人信息并提供给他人用于诈骗犯罪活动,获利1.6万元,被珠海市香洲区人民法院判处有期徒刑一年六个月,并处罚 金2000元。15又如上海市浦东新区人民法院审理的周某、李某等人非法获取公民个人信息一案,被告人李某于2009年获取的股民资料、长沙车主、北京车主、银行客户、保险客户、高收入人群名单等公民个人信息高达3000余万条。16对 比上述两案,如果仅参照数量标准,周建平一案,其非法获取的公民个人信息数量较少,完全可以不入罪,但从危害结果来看,周建平非法获取的公民个人信息被用 于他人实施诈骗活动,其社会危害性更大。因此,司法人员只有综合考量全案的犯罪事实、犯罪情节、社会危害性等各种因素后才能作出正确的定罪判断。

  五、小结

  判断侵犯公民个人信息犯罪罪与非罪的标准应当包括:首先是犯罪主体的界定,国家机关或者金融、电信、交通、教育、医疗等单位的工作人员作为依法 获取并管理公民个人信息的主体,是大部分个人信息泄露的源头,其违法行为不仅侵犯了公民的人身权利还侵犯了公民个人信息管理制度,应当较之普通犯罪主体予 以较重处罚;其次是主观恶性标准,即出售、非法提供、非法获取公民个人信息的用途,是用于经营牟利、从事违法犯罪活动、窥探隐私,或是其他用途,对于他人 的用处是否明知等;再次是客观方面,即出售、非法提供、非法获取公民个人信息的数量、次数、手段及用途,非法获利金额;最后是客观后果,即公民个人信息泄 露给公民造成的经济损失和人身伤害、对公民个人生活造成的影响等。

  

  作者简介:“侵犯公民人格权犯罪问题”课题组组长:顾静薇,上海市虹口区人民检察院研究室主任。课题组成员:周健,上海市虹口区人民检察院公诉科干部;王英杰,上海市人民检察院第一分院二审处干部;赵宁,上海市长宁区人民检察院检察员。

  

  


 

  [1]周伟萌、齐爱民:《论我国保险业个人信息保护的行业自律》,《甘肃社会科学》2011年第5期。

  2例如安徽省合肥市检察院在办理该市首例侵犯公民个人信息犯罪时,由于逮捕标准尚无确定标准,因此从“审慎”的态度出发建议公安机关对犯罪嫌疑 人取保候审。http://www.chinacourt.org/html/article/200908/03/367906.shtml,2010 年11月24日访问。

  [3]隐 私的概念源自美国,1960年,Prosser教授提出了四种侵犯隐私权的类型,奠定了美国隐私权的基础。美国将公民对个人信息享有的权利视为一种隐私利 益,并对其保护,1970年制定的《公平信用报告法》、1974年制定的《隐私法》和1998年制定的《儿童网上隐私保护法》等主要规制政府机构处理个人 信息的行为,同时侵权法、合同法或财产法等普通法主要规制私人侵犯隐私的行为。

  [4]个 人数据的概念则源自欧盟,欧盟1995年《个人数据保护指令》以个人数据作为其基本范畴,其所谓的个人数据,是指任何与一个明确的自然人或可识别的自然人 (数据主体)身份有关的信息,其中,“可识别的人”是指可以直接或间接识别的人,尤其是借助于身份证号码或其他一些有关身体、心理、精神、经济、文化或社 会身份等特定因素可以直接或间接识别其身份的信息。

  [5]按 照个人信息的敏感程度将个人信息区分为敏感个人信息和琐碎个人信息,据此采取不同程度的保护措施是欧盟等许多国家和地区立法的做法。所谓的敏感信息,一般 是指那些对个人有重要影响的个人信息。一般来说,敏感个人信息包括主体的种族起源、政治观点、宗教与道德信仰、工会组织、代理关系及与此有关的诉讼、性生 活等方面的个人信息。它与个人隐私有很多的重合或重叠之处,但却又与人们一般意义上的隐私范围有所不同。而所谓的琐碎个人信息,是指个人信息中除了敏感信 息之外的其他信息。

  6 、9黄太云:《刑法修正案(七)解读》,载《人民检察》,2009年第6期。

  7 、12赵秉志:《刑法修正案最新理解适用》,中国法制出版社2009年版,第117页。

  8 、10、13王昭武、肖凯:《侵犯公民个人信息犯罪认定中的若干问题》,载《法学》2009年第12期。

  11参见《浙江温州首例非法获取公民个人信息案一审宣判》, http://society.people.com.cn/GB/42733/12226420.html,2010年11月24日访问。

  14凌 鸿:《目前立法不完善、司法解释缺位的情况下,在司法实践中——非法获取公民个人信息罪的认定》,载《人民法院报》,2010年6月17日。文章中将“非 法获取”三个特征即概述为:“一是违背了信息所有人的意愿或真实意思表示;二是信息获取者无权了解、接触相关公民个人信息;三是信息获取的手段违反了法律 禁止性规定或社会公序良俗”。

 
 
 
 
 
上海市人民检察院 版权所有
建议使用1024*768以上的屏幕分辨率和6.0以上版本的IE来访问本站
您是本站第115556位访问者