侵犯公民个人信息罪定罪标准研究
了打击愈加猖狂的侵害公民个人信息行为,2009年出台的《刑法修正案(七)》将出售、非法提供、非法获取公民个人信息的行为认定为犯罪,为保护公民个人信息奠定了刑法基础。但时隔六年以来,立法再无新增相关的法律条文或司法解释对本罪的具体认定予以规范,造成司法实践中对于本罪的适用存在较多的问题。新出台的《刑法修正案(九)》虽然对本罪条文进行了修改,扩大了犯罪主体的范围以及增加了“情节特别严重”情形下的法定刑档次,却并没有涉及审判实践中最为关心的“个人信息”和“情节严重”的认定标准问题。在当前侵害个人信息犯罪呈现高发态势的背景下,《刑法》第二百五十三条之一的规定独木难支。本文即在此基础上对侵害公民个人信息罪定罪标准的相关问题展开研究。
一、现状探究:信息类别的认定差异与“情节严重”的自由裁断
本文对S市辖区内所有法院自《刑法修正案(七)》颁布后至2015年4月30日期间审理的侵害公民个人信息类案件进行了梳理和统计,其中一审案件共142件,涉案人数278人,出售、非法提供公民个人信息犯罪17件,非法获取公民个人信息犯罪125件。在这142起案件中,法官在对个人信息类型的认定和在“情节严重”的判断上存在明显的差异。
(一)个人信息类别的认定种类繁多
图表1:个人信息类别的司法认定情况
信息类型
| 具体信息类别
| 法院认定次数
| 总计
|
身份信息
| 姓名、电话、地址等
| 52
| 68
|
家庭成员信息
| 1
|
手机登记信息
| 2
|
婴幼儿信息
| 7
|
企业法人信息
| 5
|
银行卡会员名单
| 1
|
财产信息
| 存款信息
| 6
| 29
|
车辆信息
| 12
|
房产信息
| 5
|
信用报告
| 6
|
行踪信息
| 宾馆住宿信息
| 11
| 25
|
民航登机信息
| 3
|
电话定位信息
| 3
|
行踪信息
| 1
|
车辆位置信息
| 1
|
出入境信息
| 6
|
通讯信息
| 通话详单
| 9
| 9
|
交易信息
| 黄金、白银、期货、股票交易信息
| 4
| 23
|
电信购物成单
| 1
|
订单、快递单信息
| 18
|
教育信息
| 考生信息
| 2
| 3
|
学生资料
| 1
|
未明确认定
|
| 52
| 52
|
从上表可以看出,法官对公民个人信息的认定错综复杂,跨类繁多。在信息类型上,既有身份信息、财产信息、交易信息,还有行踪信息、通话信息、教育信息等,几乎囊括了个人生活的各个方面。在没有对公民个人信息下一个准确定义前,法官们只能凭借自身的经验和社会的一般评价进行规范的构成要件要素的判断,而这也是造成目前公民个人信息认定混乱的主要原因。
(二)“情节严重”的判断弹性较大
图表2:“情节严重”的司法认定情况
“情节严重”的类型
| 认定次数
|
信息数量
| 112
|
信息类型
| 41
|
营利数额
| 27
|
信息用途
| 43
|
危害后果
| 10
|
获取手段
| 8
|
从上表反映的情况来看,司法实践中对“情节严重”的判断主要集中在信息数量、信息类型、营利数额等六个方面。不仅考量范围不全面,而且在这六种情形当中也存在认定上的差异。例如在信息数量这一情节中,认定的标准就存在较大的不同,既有以万为单位认定侵害公民个人信息数量巨大,情节严重的;也有以几十条个人信息认定行为人构成犯罪的。(见图表3)
二、路径探索:个人信息的刑法认定
(一)国内外研究现状
目前,国内刑法理论界对于公民个人信息的概念存在着不同的学术主张,主要集中在关联说、隐私说和识别说的争论上。关联说认为,凡是与个人存在关联的信息都属于个人信息,如“公民个人信息是指以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。其外延十分广泛,几乎有关个人的一切信息、数据或者情况都可以被认定为个人信息”。[1]隐私说认为,只有与个人隐私相关的才属个人信息,如“个人信息是指社会成员中大部分人不愿向外透露的信息;还包括不愿他人知道的个人极其敏感的信息(如大部分社会成员并不在意其他社会成员知道自己的身高,但有的人对自己的身高却极为敏感,不愿被他人知道)”。[2] 识别说认为,公民个人信息是指姓名、职业、职务、年龄、婚姻状况、学历、专业资格等能够识别公民个人身份的信息。[3]
而在国外的立法研究中,各国对公民个人信息的定义也存在着差别。例如,美国将个人信息的保护归入隐私保护之中。其对隐私权的定义为:“个人对控制个人信息范围的请求权,在这一范围内主体收集、披露和利用确认为自己的信息。”[4]而欧洲诸国在立法中则多沿用个人数据这一概念。在其法律语境中的个人数据是指设定了一定限制或者说出于某一目的而甄别出来一组个人信息,包括已识别信息主体身份的信息和可用来识别信息主体身份的信息。日本在《个人信息保护法》第二条中规定:“所谓个人信息就是指有关活着的个人的信息,根据该信息所含有姓名、出生年月以及其他一些描述,能把该个人从他人中识别出来的与该个人相关的信息。”[5]
(二)刑法认定的基础:个人信息的识别性
比较国内理论界和国外立法对个人信息的定义,可以看到,对个人信息概念定义的差别主要集中在识别性和隐私性两种分歧上。关联说对个人信息的定义较为宽泛,其将所有与个人相关的信息都囊括其中,“以任何形式存在并与个人存在关联的信息”涵盖了社会生活的各个方面,其概念仍然具有模糊性,不利于司法实践中对个人信息的准确认定;而且事实上任何信息都能与不特定的人沾上千丝万缕的关系,如果将所有与个人相关联的信息都纳入刑法保护范围,也容易造成犯罪打击面的扩大化。因此,本文并不赞同关联说。
而在识别性与隐私性之中,本文倾向于将识别性作为认定个人信息的核心属性。理由在于:第一,相对于识别性而言,隐私性并没有一个符合社会一般标准的定义,是否属于个人私密领域,是需要通过权利人的主观感受来进行辨认和定夺的。同样类别的个人信息,有的人认为属于隐私,而另外的人却并不介意公开。以隐私性作为个人信息的核心属性并不能做到有效甄别和区分。第二,个人隐私与个人信息并不完全等同,部分个人信息虽然可以公开,但仍然应当在法律的保护范围内。法律对个人信息的保护不仅仅是对于个人隐私的保护,更重要的是对社会秩序的保护,保障社会个人免受因信息泄露而可能遭受的危害。第三,信息泄露的危害在于获取信息者能够通过信息锁定特定的个人,并通过信息反映的特定个人的具体情况,进行有针对性的侵害行为甚至犯罪行为。保护公民个人信息本质上就是为了保障根据个人信息所识别出来的每一个具体个人享有的免受侵害而正常生活的权利。因此,以识别性作为个人信息的核心属性,能够合理地涵盖刑法所应保护的范围,从而有效、精确地打击犯罪,保护公民合法权益。
(三)刑法认定的路径:构建不同类型个人信息效力等级的计算框架
在确定公民个人信息的核心属性后,我们回到图表1所反映的问题:个人信息认定的杂乱无序和跨类繁多。根据统计情况来看,实践中认定的个人信息类型大概有身份信息、财产信息等6大类,姓名、电话、地址等22小类。但同时,未明确认定个人信息类型的案件有52起,占到总数的36.6%。显然,这52起案件中的个人信息能否成为适格的犯罪对象,法官并不能作出有效判定。那么,哪些信息单独或同时存在时能够达到可识别性的要求,从而成为适格的犯罪对象呢?本文认为可以从以下几个方面进行考虑。
1.划定个人信息识别效力等级
个人信息的基本功能在于识别特定的个人,而不同种类的信息在识别能力上是不同的,因此,虽然较多种类的信息都属于刑法保护的范围,但并非每一类信息都能独立成为本罪的犯罪对象。在司法实践中认定本罪的个人信息时,就需要先对信息的识别效力进行分类和划定,可以包括以下三类:第一,唯一性信息。如身份证号、指纹、DNA鉴定等,该类信息为个人唯一专有,具有完整的识别能力,即使群体众多,也能从中毫无差错地识别出单独的个人。第二,有效性信息。如姓名、电话、消费记录等。该类信息一般情况下为个人专有,但并不具有唯一性,存在重复的可能。第三,共享性信息。如年龄、职业、学校等。该类信息并非个人专有,而是部分群体共同享有的信息,识别效力较低。在效力等级上,唯一性信息>有效性信息>共享性信息。
2.构建个人信息识别效力计算框架
在划定的个人信息识别效力等级中,属于第一层级的唯一性信息识别效力最高,如指纹、DNA等生物性信息属于先天个人专属信息,以目前医学角度来看,每个人的DNA结构都各不相同,能够直接锁定特定的个人。与此相类似,身份证号等标识性信息属于后天个人专属信息,是国家为了进行有效地识别和区分个人而设立的信息,其本身存在的功能即是个体识别,也具有最高识别效力。因此,属于该第一层级的信息是以点对点的形式对应独立的个人,故其单独存在也达到了可识别性的标准。
属于第二层级的为有效性信息,该类信息识别效力较高,但因其存在重复的可能性而无法直接对应具体个人,例如姓名、电话等信息在一定范围内足以识别单独的个人,但当搜索范围扩大时其具有的识别效力将明显降低,属于该第二层级的信息所对应的多人可以用线段的形式予以表达,而想要凭借线段识别独立的点,就需要至少两条以上的线段进行交叉。因此,属于该层级的信息独立存在不能达到可识别性的标准,只有包含有两条以上该层级信息的个人信息才符合标准。以目前司法实践认定情况来看,姓名和电话的组合是认定个人信息的最低要求,其即是包含了两条以上的有效性信息。
属于第三层级的为共享性信息,此类信息因由部分群体共享,所以每一信息所识别的都是对应的群体,例如职业、学校等信息所包含的个体繁多,很难识别单独的个人。属于该第三层级的信息所对应的群体可以用圆的形式予以表达,而无论多少圆的交叉,其所共同涵盖的区域只是不断缩小范围而无法成为独立的点。因此,属于第三层级的信息即使数量众多,也无法达到可识别性的标准。
当三个层级的信息互有存在时,需要考虑的是后两个层级的信息组合如何达到可识别的标准的问题,即存在一条有效性信息和多条共享性信息时是否符合标准。同样以图形的形式予以模拟,当存在一条有效性信息和一条共享性信息时,此时线段和圆的交叉的结果可能存在一个点,也可能为两个点。例如当个人信息包含姓名和单位时,一般情形下足以准确地识别个人(此时即交叉结果为一个点),但不排除同一单位同姓名的人存在(此时即交叉结果为两个点)。当存在一条有效性信息和两条共享性信息时,此时线段和圆的交叉的结果可能有唯一点(即线段通过两圆切面)。因此,当不同层级信息混杂时,至少需要一条有效性信息和两条共享性信息才符合可识别性标准。当然,此处借助图形模拟分析是为了方便和直观,司法实践中对于不同层级信息混杂的,仍然需要在此基础上结合具体信息种类予以最后认定。
3.最终认定路径和体系
综上,公民个人信息的具体认定路径包括:第一步,按照效力等级将个人信息予以分类;第二步,将不同等级的个人信息予以组合;第三步,将组合后个人信息按照计算标准予以认定;第四步,确定最终是否构成公民个人信息。
三、标准构建:“情节严重”的规范框架
根据《刑法》第二百五十三条之一的规定,本罪只有在对公民个人信息的侵害达到某种严重程度时才构成犯罪,情节是否严重是判断行为人是否构成犯罪的标准。目前理论界对本罪情节严重的判断标准主要有:三因素说[6]、四因素说[7]、五因素说[8]等。这些观点从信息数量、行为次数等多个方面对影响情节严重的要素进行了不同程度的列举,但单独分析每一个观点,我们可以看到无论是几因素说,其对情节严重的因素考量都没有在一个完整的逻辑框架下进行分析和论证,其在列举上都缺乏周延性。例如从图表2所列举的6种情形来看,上述观点对获取信息的类型、获取手段等情节都没有进行考量,而且在各种情节的具体认定标准上也没有进行探讨并给出适用建议。
本文赞同张明楷教授的观点,“情节严重”作为一种概括性的定罪情节,其内涵与外延应当从犯罪的客体、客观方面、主体、主观方面等多角度予以考察。[9]要具体考量影响定罪的情节,并不能单纯地从个罪的角度出发,仍应当回到犯罪构成的逻辑框架当中,以之为基础和角度对个罪进行全方面的考察。在这样一个整体逻辑框架下进行要素考量,能够较为全面地考察影响定罪的各项因素,从而避免遗漏。
(一)不同类别信息的差异标准构建
侵害公民个人信息罪的犯罪客体是公民的个人信息权,犯罪对象即是公民的个人信息。因此,在客体因素方面,对情节严重的认定结合图表2所反映的情况主要考量侵害公民个人信息的数量和类型两个方面。
1.个人信息的数量。个人信息的数量即指行为所具体侵害的个人信息的条数。以个人信息的数量作为量化的标准,最能直接地反映本罪行为的社会危害性。在具体标准方面,有学者提出可以参照传播淫秽电子信息相关司法解释的规定,以一万条信息作为本罪“数量较大”的具体标准。[10]本文对此并不赞同。首先,淫秽电子信息虽然与个人信息共有“信息”二字,但二者本质相距甚远。淫秽电子信息的传播范围并不广泛,所造成的社会危害性也较小,而公民个人信息则牵连着公民个人的人身安全和财产安全,其被侵害后极易引发后续诈骗、敲诈勒索等犯罪的发生,具有更为严重的社会危害性。其次,由于目前本罪取证困难,对行为人交易记录、存储的信息等均需要固定电子证据,造成司法实践中很多案件对信息数量难以进行有效认定。从图表1反映的情况看,在对信息数量的112次认定中,有42次认定的信息数量是不足一万条的,占比高达37%。因此,如果硬性以一万条作为标准,将很难起到震慑犯罪的作用。在这里,本文认为可以参照《最高人民法院、最高人民检察院关于办理诈骗刑事案件具体应用法律若干问题的解释》(以下简称《诈骗解释》)第五条第二款第一项的规定:“利用发送短信、拨打电话、互联网等电信技术手段发送诈骗信息五千条以上的,以诈骗罪(未遂)定罪处罚”,以五千条作为侵害公民个人信息定罪处罚的基准。
2.个人信息的类型。在同等识别效力下,个人信息依照其敏感程度的不同而划分为不同的类型。无论是个人一般信息还是隐私信息,都可能成为被侵害的对象。信息的敏感程度不同,所属的权重就不同,天平两端重量的倾斜不仅取决于砝码的数量,也取决于砝码的质量。如果犯罪行为侵害的是个人敏感信息,即使数量较少其对社会的危害并不一定比数量较多的普通信息更轻。在敏感程度上,按照信息类别从高到低划分为:个人隐私信息>个人金融信息>个人身份信息。
综上,本文认为,侵害个人身份等普通信息的应以五千条作为情节严重的标准,侵害个人金融信息的应以二千五百条作为情节严重的标准,侵害个人隐私信息的应以一千条作为情节严重的标准。
(二)实质社会危害的客观要求
本罪客观方面的因素在图表2中体现为营利数额、获取手段和危害结果三个方面,对于营利数额因素的考量本文拟将其结合牟利目的放在主观方面进行探讨,而在客观方面因素中需要增加的是实践中有所忽视的对行为次数的考量。
1.获取手段。在非法获取公民个人信息犯罪中对行为方式的表述为“窃取或者以其他方法非法获取”。通过正常途径以外的任何方法获取公民个人信息的都可以界定为非法,即可以包括购买、索要,也可以包括窃取、胁迫等方法。法条在此将窃取行为单独列举出,显然是认为以窃取方式获取公民个人信息的,较之一般方法在行为恶性程度上更深,对此应当认定为情节严重的情形。而法条在之后用“或者以其他方法非法获取”,表明认定情节严重情形的其他方法应是在恶性程度上与“窃取”相当的。因此,根据行为的暴力程度及结合司法实践中的认定情形,本文认为有以下行为情形的,可以认定为情节严重:(1)以暴力、胁迫、欺诈等方式获取公民个人信息的;(2)采用欺诈等手段从国家机关或者金融、电信、交通、教育、医疗等单位获取公民个人信息的;(3)以非法侵入公民计算机系统等方式获取公民个人信息的。
2.行为次数。侵害行为的次数体现了行为人的主观恶性程度。行为人多次实施侵害公民个人信息的行为,表明其侵害法益的坚决程度,其社会危害性明显高于同种行为的单次犯。因此,在单次侵害行为并不符合本罪“情节严重”的标准,而行为人又继续多次实施侵害行为的,行为人侵害行为的次数就应当成为本罪“情节严重”的考量因素。在我国《刑法》中已有较多犯罪将行为次数作为定罪情节,尤以盗窃罪为典型。在此,本文认为可以参考2013年出台的《“两高”关于办理盗窃刑事案件适用法律若干问题的解释》的相关规定,以两年内三次为限。即两年内出售、非法提供或非法获取公民个人信息三次以上的,可以认定为情节严重。
3.危害结果。危害结果作为直接客体遭受损害的事实,是社会危害性的直接体现。行为人获取公民个人信息从尚未造成危害结果,到可能造成危害结果,最后到已实际造成危害结果的,社会危害性程度是逐级递增的。因此,行为人非法获取公民个人信息造成严重危害结果的,应当认定为情节严重。此处的严重危害结果,根据《关于依法惩处侵害公民个人信息犯罪活动的通知》,结合司法实践中的实际危害结果应当包括以下情形:(1)造成他人人身伤害或重大经济损失的;(2)造成国家较大经济损失或具有严重社会影响的。
(三)期待可能性下的合理宽宥
本罪在主体内容方面并没有相关因素需要考量为“情节严重”的情形,而主观方面则主要考虑行为人侵害个人信息的目的,即图表2所列举的信息用途。
在出售、非法提供公民个人信息罪中,行为人侵害个人信息的目的一般是为了牟利。大部分学者提出行为人非法获利金额的多少是本罪情节严重的反映,牟取利润不仅是刺激、促使行为人犯罪的原动力,也是其社会危害性的准确体现。本文对此不予认同:首先,以牟利为目的构成犯罪的,是贪利型犯罪所需的要件,例如以营利为目的聚众赌博的才构成犯罪。本罪中,法律保护公民个人信息的目的并非在于信息本身,在于防止因个人信息被他人非法获知而对公民的正常生活所可能造成的损害。而获利数额是对个人信息本身价值的对应,而非对个人信息所可能造成公民权益损害的价值对应。其次,个人信息并没有一个标准的价值考量,没有市场一般行情价值,更无法对其进行估价鉴定。行为人交易个人信息的金额是交易双方的自由定价,无法凭此对犯罪的社会危害性进行有效判断。最后,与贩卖毒品罪相类似,贩毒行为人同样具有牟利的目的,但我们对于行为人定罪处罚的依据在于其贩卖毒品的克数,而非交易金额。因此,在本罪中,行为人是否获利、获利多少并不影响其行为性质的判断,不能成为情节严重的判断标准之一。
在非法获取公民个人信息罪中,行为人侵害个人信息的目的各不相同,有仅供自己使用,有为了进行商业推销,也有为了用于实施其它犯罪活动。如前所述,法律保护个人信息的目的在于防止信息泄露所带来的进一步侵害。如果行为人利用获取的个人信息实施其他犯罪活动,使公民的人身、财产安全等陷入高风险状态或已经造成实质危害结果的,确实应当以刑法加以规制,但行为人仅将信息供自己使用或进行商业推销的则只是一定程度上对公民的生活安宁造成了影响,其后果的严重程度和社会危害性较小,以行政处罚等即可加以规制,并不需要启动刑法将其作为犯罪处理。因此,对于行为人将信息供自己使用或进行商业推销的不应当认定为情节严重的情形。
(四)竞合标准构建:社会危害性总量的加权计算
本文从犯罪主客观三个方面对本罪情节严重的各项情形进行了推演认定,但“社会危害性是个综合性指数,它是由一系列主客观因素决定的,这些因素从犯罪的过程来看就是一个个具体的犯罪情节”。[11]实践中往往出现的情形是行为人的行为并不符合任一单一严重情节的标准,但却存在多种情节的竞合。此时若只按照单一情节进行考量,行为人就并不符合情节严重的标准,也就不构成犯罪,但实际上却有可能偏离了对其行为本质危害性的评价,也容易诱使犯罪分子利用此“漏洞”逃避打击。因此,对本罪“情节严重”的判断,除考量单一情节外,还需对案件总体情况进行综合判断和认定。
1.单一数量标准严重情节与从重情节的竞合标准
在上文认定的本罪情节严重的各项情形中,个人信息的数量、危害行为的次数即属于数量标准情节,行为不符合最低数量标准的就不构成犯罪。但从行为社会危害性的综合性评价来说,如果行为人在数量标准情节之外,尚有其他应当考量的从重处罚情节时,该从重处罚情节对行为的影响,或者说对行为人社会危害性的评价是否能够弥补数量标准情节评价不足的部分,引起行为总量的“质变”评价,是在此需要考虑的问题。本文认为,同样是以数量为标准对犯罪情节进行评价,可以参考财产型犯罪相类似的规定,以《“两高”关于办理盗窃刑事案件适用法律若干问题的解释》中第二条之规定为参照,在侵害公民个人信息犯罪中,也以百分之五十作为数量标准的加权前提,至于同等社会危害性评价的“从重情节”,本文认为可以有以下几种情形:(1)曾因侵害公民个人信息受过刑事处罚的;(2)将公民个人信息用于实施违法活动的;(3)严重影响他人正常工作、学习、生活的;(4)在特定机构担任领导职务的行为人出售、非法提供公民个人信息的。
2.多个数量标准严重情节的竞合标准
当行为人具有多个数量标准的情节,而又均未达到严重程度时,对行为人社会危害性的整体评价仍需要通过对各个数量标准情节进行加权计算后进行判断。加权计算并非简单地按照比例计算相加,因为各个情节所反映的社会危害性的量不同,单纯通过比例计算所得出的结果在总量上仍然是存在差异的。对此,有学者提出可以参照《关于人民检察院直接受理立案侦查案件立案标准的规定(试行)》附则中的相关规定,以百分之八十作为各个数量标准情节的加权前提,当多个数量标准情节均已达到该数量的百分之八十以上的,可以视为“情节严重”。[12]本文赞同这一观点,在不能完全精确计算各项情节所反映的社会危害性的量的情形下,以均达到百分之八十为标准,能够有效弥补和涵盖剩余缺失部分评价社会危害性的量,使在总量评价上不低于单一严重情节。
(五)法定刑升格:“情节特别严重”的判定
在对单一情节和综合情节标准分别进行构建后,本罪“情节严重”的判定体系已经基本确立。但还需要注意的是,在新出台的《刑法修正案(九)》中,对本罪新增了一档法定刑档次,即“情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。那么,如何进一步认定“情节特别严重”的情形?本文认为,(下转第19页)(上接第15页)在司法实践中,对于情节特别严重的判定主要集中在数量标准和严重后果两个方面。第一,数量标准的认定其实已经有了很好的借鉴,在之前参照的《诈骗解释》中第五条第三款规定:“实施前款规定行为,数量达到前款第(一)、(二)项规定标准十倍以上的,或者诈骗手段特别恶劣、危害特别严重的,应当认定为刑法第二百六十六条规定的‘其他特别严重情节’。”即以十倍数量标准作为“情节严重”和“情节特别严重”的区分。参考图表3中142起案件对于信息数量从几十条至几十万条数量认定的跨越情况来看,以十倍标准来对本罪的“情节严重”和“情节特别严重”进行区分,完全不会导致因跨度过大而造成区分的混同,具有一定的合理性。第二,严重后果的认定主要是基于本罪最终所造成的危害性的严重程度,主要区分为两个方面:一是对个人的危害。对个人的危害表现在于所造成的经济损失和引起的人身损害两个方面,此处较难予以细致划分,需要根据具体案件的情况进行裁断,一般造成他人非常重大经济损失或造成他人精神严重受损及死亡的,应当认定为“情节特别严重”。二是对国家和社会的危害。公民个人信息除了具有的身份和经济价值之外,还具有一定的社会价值和战略价值。表现在于部分公民个人信息的泄露可能造成引起社会恐慌或危害国家安全的后果。因此,侵害公民个人信息造成国家重大经济损失或具有恶劣社会影响,以及将公民个人信息传递至境外造成国家安全及利益受到损害的,应当认定为“情节特别严重”。
来源:上海法院网