侵犯公民个人信息犯罪认定中的若干问题
发布日期:2022-12-18 文章来源:互联网
内容提要: 《刑法》第253条之一是针对侵犯公民个人信息犯罪的规定,该条文由2009年2月《刑法修正案(七)》增设,旨在保护公民个人生活的安全,惩戒因个人信息被非法泄露而导致的人身、财产和个人隐私受到的严重侵害。结合上海首例侵犯公民个人信息犯罪的案例,在司法实践适用中,应该以折中说限定个人信息的范围,明确“收买”与“收受”个人信息行为的性质,并主要以受害程度,并辅之以信息数量、牟利数额、行为手段等作为情节严重的判断标准。
关键词: 个人信息 非法获得 情节严重
一、问题的提出
2009年7月,上海市浦东新区人民检察院以非法获取公民个人信息罪批准逮捕犯罪嫌疑人赖某,指认犯罪嫌疑人赖某自2006年3月至2009年6月案发之前,伙同他人以成立咨询公司为名,开展帮人讨债寻人、婚外恋跟踪取证、打假等业务。为满足客户需求,犯罪嫌疑人采取跟踪、守候等方式,非法获取公民个人信息并高价出售,获利人民币60余万元。其中,自2006年初结识某公安分局消防支队士官吴某后,约定吴某通过公安内部网查询大量人口信息和客人人住宾馆信息,然后以手机短信、传真及电话等方式告知,由赖某支付一定报酬。赖某获得相关信息后,再转售牟利。经查证,赖某自吴某处共获取信息1万余条,其中自2009年3月至案发之前,获取公民个人信息50余条,支付给吴某好处费3万7千余元。
该案是2009年2月28日全国人大常委会颁布的《刑法修正案(七)》增设侵犯公民个人信息罪以来,国内较早适用相关罪名保护公民个人信息的案件。 [1]因《刑法修正案(七)》刚刚出台,且首次以刑法手段保护公民个人信息,尚未有相关判例,理论研究也并不充分,在司法实践中如何适用该新罪名值得深入探讨。
按照《刑法修正案(七)》第7条的规定,为了强化对公民个人信息安全的保护,在《刑法》第253条后增加一条,作为第253条之一(以下简称“本条”),规定侵犯公民个人信息,情节严重的构成犯罪。这是对近年来日益严峻的公民个人信息被无端泄露的刑法回应。[2]个人信息被不当采集、随意泄露、任意篡改、恶意使用乃至非法转卖牟利,不仅是对公民权益的严重侵害,[3]而且一旦个人信息流人犯罪分子手中而引发盗窃、诈骗、绑架等刑事犯罪,会给公民造成二次甚至三次侵害,成为其他犯罪的源头犯罪。长期以来,我国刑法更侧重对公共利益的保护,侧重对个人财产权、生命权的保护,而缺乏对公民个人信息、个人隐私的保护。从目前来看,侵害公民个人信息的行为已远非民事法律、行政法律所能抑制,因此,尽管我国尚未出台作为前置法的公民个人信息保护法,此次修正案依然将严重侵犯个人信息的行为人罪,以彰显对公民权利的保护。[4]
由于侵犯个人身份信息的主体、行为性质明显不同,可认为分别规定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”。司法解释也作出了这样的罪名界定。然而,从目前而言,无论是个人信息的范围、非法获取信息的方式,还是情节严重的界定标准,都缺乏量化的定型,为司法适用带来了不便,导致条文很难化为现实。
二、“公民个人信息”的界定
(一)公民个人信息的范围与界定标准
侵犯了公民个人信息是入罪底线,明确其内涵是适用本条的前提。然而,我国尚无公民个人信息保护法,[5]如何理解“公民个人信息”,尚存争议。有观点将公民个人信息定位于姓名、职业、职务、年龄、婚姻状况、学历等“能够识别公民个人身份的信息”。[6]也有学者主张从广义上界定,认为“是指以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。其外延十分广泛,几乎有关个人的一切信息、数据或者情况都可以被认定为个人信息”。[7]此外,还有观点主张适当限制,认为是指与公民人身、人格密切相关,为公民个人所有,与公共生活无关且不为公共生活所知悉的信息。[8]比较国外相关立法,有关个人信息的范围界定不一,常见的概念包括数据、信息、隐私三个指称。[9]一般认为,个人信息保护法存在两个重要的基础原则:即个人信息权利保护原则与信息自由流动原则。这由个人信息的双重属性所决定:一方面,个人信息关乎私人生活的安定有序,涉及人格权和人身权的核心内容;另一方面,当代社会的公共生活也是建立在个人信息的统合和自由流动的基础上。因此,不能将个人信息的保护绝对化。就法律所要保护的个人信息而言,首先应该排除事关公共生活的信息。譬如对犯罪嫌疑人的追捕,通过媒体公开嫌疑人的姓名、年龄、身高等能够识别其人的具体信息,既正当亦合法。除了受公共利益的限制外,知情权以及新闻和言论自由等也制约公民个人信息的法律保护范围。
然而,就刑法而言,姓名、年龄、身高、体重、学历等单纯的数据是否应视为受到刑法保护的个人信息?应如何理解本条中的“公民个人信息”?其刑法意义上的判断标准如何确定?
对此,笔者以为,既然立法者认为民事法律、行政法律并不足以有效保护公民个人信息,而需要运用刑罚作为最后的保障手段,那么作为保护对象的个人信息就必须具有刑法保护的价值。除了有些情节、手段需要予以刑罚规制外,还需要考虑个人信息本身的价值。由此可见,姓名、年龄、身高、体重等单纯的数据性信息,虽能起到识别公民个人身份的作用,侵害行为也会给公民生活带来不便,但是否值得超越民事法律、行政法律等保护手段而运用刑罚,便值得商榷。
那么,公民的既往病史、奖惩记录、恋爱经历、具体行踪等本人不希望为他人所知晓的隐私(或称隐秘)能否包含其中呢?例如,某大龄女新近谈了梦寐以求的男友,欲步入婚姻殿堂。然而在婚前体检时,医师却告知其男友,该女曾三次堕胎。男友于是与之分手,该女觉得人生无望,遂自杀身亡。这里,行为人提供的是真实隐私(难以构成侮辱罪或诽谤罪),也并非一般意义上能够识别公民个人身份的信息,对此,刑法是否就束手无策呢?
有必要从本条的立法宗旨、刑法保护个人隐私的必要性这两个方面考察此问题。首先,刑法保护个人信息,旨在禁止任何他人或单位非法侵入公民的私人领域,从而达到保护个人信息所体现的公民的隐私权——即可自主掌控自己个人信息的权利[10]、进而维护公民现有平稳生活状态。只要非出于公益目的,并严格依照相关法律法规的规定,就必须最大限度地尊重公民隐私权。其次,我国刑法严格保护国家以及企业的秘密,而没有保护个人秘密的条款,这种不均衡的刑法条款体系在某种意义上是与《宪法》中的人权保障精神相违背的。[11]事实上,作为社会人,每个人都或多或少地依赖个人隐私而相对平稳地生活在这个社会之中,个人隐私理应与个人的财产权、人身权作同等保护。因此,考虑到我国刑法尚未设置侵犯个人秘密或隐私的犯罪这一立法疏漏,[12]就不应将个人隐私排斥在本条的犯罪对象之外,甚至可以期待,本条能发挥侵犯个人隐私罪或者泄露个人隐私罪的功能。
基于以上分析,对个人信息的定义采取限制说更为妥当。接下来的问题就是如何确定具体的判断标准?对此,存在主观说(只要本人主观上有保护的意思即可)、客观说(必须是客观上对本人具有保护的价值)、折中说、择一说(只要本人主观上有保护的意思或者客观上对本人具有保护的价值即可)四种观点。笔者认为,折中说更为合适,应同时考虑个人意愿与社会评价。具体而言,首先,必须是本人不希望为一般人所知晓的个人信息,若本人希望更多地公开个人信息以扩大知名度,甚至有意借此炒作,即便采取不法手段获取了这些信息,符合本条犯罪的客观方面要件,也不宜作为犯罪来处理。其次,客观上还需存在值得保护的价值。质言之,即对于一般人--而言,若放任侵害,会足以危及公民的个人生活乃至社会生活的平稳。其中,传真号码、电话号码、家庭住址是比较特殊的信息,它既不同于身份证号码、银行卡账号等私密性极强的信息,又不同于姓名、年龄等尚不值得刑法保护的单纯的数据性信息。对此,虽不可一概而论,但一般情况下,宜以民法、行政法规制为善。
概言之,应结合本条的立法宗旨来决定犯罪对象即个人信息的范围,不应过于狭义地理解,个人隐私的保护应是题中之义;同时,也不能作过于宽泛的理解,还应看客观上有无保护的价值。重要的是,要看披露这些信息是否违背公民个人意愿,且足以影响其现有平稳生活。
值得注意的是,犯罪对象的具体形态不限于文字,还包括录音、图像、图片等其他可揭示个人信息的资料;同时,也不限于静态信息,还包括动态信息,例如本案中的“客人人住宾馆信息”。
(二)何为第2款中的“上述信息”?
根据法条的明文规定,第1款中的个人信息,必须是国家机关或相关单位“在履行职责或者提供服务过程中获得的公民个人信息”。第2款的罪状表述中使用了“上述信息”这一指代性词语,对此存在两种理解:一种观点认为应按照条文的上下结构,将“上述信息”理解为第1款中“国家机关或者金融、电信、交通、教育、医疗等单位在履行职责或者提供服务的过程中收集、保存、管理的公民个人信息”;[13]另一观点主张直接理解为“公民个人信息”[14]。
第一种观点是文理解释,符合条文结构与文义。而且,通过对第1款中的犯罪主体作扩大解释,将合法收集公民个人信息的单位均作为本罪的犯罪主体,[15]能够在法意所及的范围内并在严格限制处罚范围的基础上,适度扩大第2款的对象范围。但问题是这会留下处罚上的真空,是否真正符合立法本意也不无疑问。例如,对于诸如行为人利用网络技术或者其他手段从公民个人处直接非法获取该公民本人或其他人的大量信息的行为,或者以窃取等其他方法非法获取机关或单位在履行职务的过程中“不法”获取的个人信息的行为,按照其观点便不能处罚。不仅如此,相关单位和个人所能合法采集的公民个人信息相对有限,且多限于数据性信息。如下所述,本条所谓“公民个人信息”不限于此,侵犯公民的动态信息、图像、影像等事关公民个人隐私的信息,造成的危害可能更大,现实生活中也并不少见,而按其观点,则只能将此类信息排除在外。
采取第二种观点的最大障碍在于,这是否是为了处罚而处罚?这是否有违罪刑法定原则?分析第1款中的词句结构,“在‘信息’之前有两类限定和修饰语:一是国家机关或者金融、电信、交通、教育、医疗等单位在履行职责或者提供服务过程中获得的,二是‘公民个人’。”[16]单从文理解释的角度,两种观点均可成立,直接理解为“公民个人信息”也属于条文的应有之义,不能说一定违反罪刑法定原则。进一步而言,若从合目的性解释来看,后一种观点能更切实地解决司法实践中的实际问题,应该说更符合立法宗旨。因此,虽有具体指代关系不明之嫌,但笔者仍倾向于第二种观点。
当然,在赖某非法获取个人信息案中,无论采取哪一种观点,赖某通过吴某从公安内部网获取的“人口信息和客人人住宾馆信息”均属于本条的犯罪对象。
三、如何理解“国家机关或者金融、电信、交通、教育、医疗等单位”及其工作人员的范围
本条第1款的犯罪主体是特殊主体,即国家机关或者金融、电信、交通、教育、医疗等单位的工作人员;第3款的犯罪主体是上述单位;第2款是一般主体,对此基本不存在疑义。但就“单位”、“单位的工作人员”的范围界定,仍有探究的余地。
第一,除列举的“国家机关或者金融、电信、交通、教育、医疗等单位”之外,这里的“单位”是否还包括保险、房地产销售或中介、汽车销售、技能培训等其他单位呢?对此,有观点认为,“考虑到本条主要是对在履行职责或提供公共服务过程中利用某种程度的‘公权力’采集到的公民个人信息的国家机关或者单位,违反法律规定的保密义务的应负的刑事责任……不宜将公民个人信息的刑事保护范围扩大到没有利用‘公权力’采取的一切单位和个人。”[17]笔者认为,该观点虽有一定的合理性,但并无必要作此限制。首先,法条本身只是规定“本单位在履行职责或者提供服务过程中”,既没有强调利用“某种程度的‘公权力”’,也没有要求必须是在“提供公共服务过程中”,作此限定并无法律依据。相反,在全国人大常委会法制工作委员会关于《刑法修正案(七)(草案)》的说明中将“履行公务”和“提供服务”并列起来,[18]似也表明“等单位”并不限于公权力行使单位。其次,虽然具有一定“公权力”的机关或单位侵害公民个人信息的行为的社会危害性相对更大,但在现实生活中,公民在享受或者购买某种服务之时,往往不得不按照对方单位的要求如实提供个人相关信息。而且,往往也正是这些单位的工作人员所实施的出售或非法提供信息的行为扰乱甚至实际威胁到了公民的个人生活,若将这些单位排除在外,既不符合客观现实,也不能真正达到保护公民个人信息乃至正常生活的目的。事实上,相对于个人而言,强势主体除了代表公权力的相关机关之外,还包括具有市场支配力的各种商业或服务组织,后者同样会构成对个人生活的重大影响甚至控制。因此,“本罪的犯罪主体应作扩张性解释,将合法收集公民个人信息的单位均作为本罪的犯罪主体。”[19]换言之,只要是合法成立的单位均可成为本罪主体。例如,现实生活中大量存在的招聘网站、猎头公司、各类中介机构、市场调查公司、房地产公司等均应包括在内。当然,如果是非法成立的单位,即便获取个人信息的手段貌似合法,也只能认定为“非法获取”,而由本条第2款、第3款来规制。
第二,“单位的工作人员”应限于有权人员,即按照机关或单位的相关规定或工作安排,有权对本机关或本单位合法获取的个人信息行使管理、控制、查阅等权力的部分人员,而不能简单地认为,只要是该机关或单位的成员即具备这里的特殊主体身份。若无权人员未经授权而获取了本单位合法采集的个人信息之后出售或者非法提供的,只能构成非法获取个人信息罪;但若无权人员并非非法获取,例如,无意看到或拾到本单位所掌握的个人信息之后再出售或非法提供的,则非本款乃至本条的规制对象。
在赖某非法获取个人信息案中,赖某是一般主体,虽然检察机关将吴某-的行为另案处理,但笔者认为,确定吴某的身份仍有助于认定赖某行为的性质。这是因为,正如后述,若认为第2款中的“非法获取”包括“收买”行为,赖某自然实施的是“非法获取”的实行行为,可构成“非法获取公民个人信息罪”;反之,若认为“非法获取”不包括“收买”行为,则赖某的行为与吴某的行为构成共同犯罪,其性质当然取决于吴某的身份以及由此所决定的罪名。具体而言,作为一名普通的消防支队士官,吴某是否有权接触公民个人信息不得而知,有必要查明其行为是否是职务授权行为。若属于职务行为,吴某构成出售公民个人信息罪。否则,只能以非法获取公民个人信息罪论处。
四、“非法获取”行为的认定
首先,构成本罪的获取个人信息的行为首先应该是“非法”。所谓“非法”,一般认为是指没有法律根据而获取。[20]但笔者认为,非法应理解为“违反法律法规的禁止性规定”。这是因为:第一,就法理而言,公民有权实施法律法规并未禁止的任何行为,即便该行为违反公共道德,也不应直接上升到刑罚处罚的高度。第二,公民获取他人信息的途径有很多,并非全部都有成文法上的根据,过度扩大处罚范围,有使得“非法”这一限制流于空洞之虞。最为典型的就是“人肉搜索”。人肉搜索很难说有明确的法律依据,甚至不排除会有人利用这种便捷方式以达到个人目的乃至非法目的。但在现行法律体系下,只要不是利用职务之便,不是捏造事实诽谤他人,没有超出一般人所能承受的正常限度而严重影响他人的平稳生活,就不应认定为犯罪。第三,第1款要求是“违反国家规定”,[21]将第2款中的“非法”理解为“没有法律根据”,这不符合法条的文义。因为第1款中的机关或单位虽明显处于强势地位,却利用此地位背离职责违背信赖,出售或非法提供个人信息,其处罚限制条件理应不比第2款宽松。第四,若采取该观点,司法实践的某些问题也难以界定。例如,在大型招聘场所,招聘单位在活动结束后随意丢弃应聘人员材料的情况屡见不鲜,某无业人员进入场内将被丢弃的材料收集整理后,大量出卖给某房地产中介公司,显然,该无业人员的行为并无任何法律依据,是否也应定非法获取公民个人信息罪呢?
若公民个人信息保护法这一前置法律得以制定,这里的“非法”当然主要是指违反了该法的明文规定。[22]但是,在前置法律缺位以及宪法、民法对个人信息的保护并不十分明确的情况下,事实上,很难区分究竟是并无法律根据还是违反了法律的明文规定,作为次善之策,当下只能是从法益保护的角度去理解:没有明确的法律根据,且足以危及公民信息安全。同样,对第1款中的“非法”提供也可作此理解。
其次,基于对“非法”的解释,“非法获取”似乎应是一切违反法律法规禁止性规定,取得公民个人信息的行为。对此,刑法仅作了例示性规定。笔者认为,行为手段应与窃取具有大致相同的危害性,因而,除窃取(包括偷拍、秘密录音、秘密跟踪调查等)之外,通过骗取、利诱、胁迫、抢夺、抢劫、恐吓、非法侵入他人计算机系统等法律明文禁止的手段而获取的,均可视为“非法获取”。
问题在于,第2款中的“非法获取”是否当然包括“收买”、“收受”他人信息的行为?
1.作为“出售”、“非法提供”的对向行为的“收买”、“收受”的性质界定。显然,“购买”、“收受”行为是第1款中的特殊主体即相关机关或单位的工作人员“出售”、“非法提供”公民个人信息行为的对向行为,有必要明确第1款中为何没有针对“收买”、“收受”行为的处罚规定。
这实际上涉及对向犯的处理。对向犯是必要共犯的一种形式,是指以存在二人以上相互对向的行为为要件的犯罪,其处罚形式分为三种:一是双方的罪名与法定刑相同,如重婚罪;二是双方的罪名与法定刑均不同,如行贿罪与受贿罪;三是只处罚一方的行为,如贩卖淫秽物品牟利罪,只处罚贩卖者而不处罚收买者。[23]问题在于,对于第三种类型的对向行为,究竟是由于缺乏明文的处罚规定而不具有可罚性,还是应当然适用总则的共犯规定而具有可罚性呢?从理论上讲,这两种结论均有可能。对此,形式说(立法者意思说)认为,在具有对向犯性质的a、b两个行为中,当法律仅将a行为作为犯罪类型加以规定时,当然定型性地预见到了b行为,既然立法者没有规定处罚行为,就应解释为立法宗旨是不认为b行为是犯罪。[24]换言之,形式说认为,必要性共犯的不可罚根据在于对向性参与行为所具有的定型性、通常性,因而当参与行为超过通常程度时,便可认定成立共犯。例如,就出售、非法提供公民个人信息罪而言,仅仅是说“卖给我”或“送给我”,这种行为不具有可罚性,但若特别积极地给对方作工作,鼓动对方出售或提供的,就应认定构成教唆犯。尽管形式说被普遍接受,但对于何为不可罚的定型性、通常性参与行为,其界限并不明确。[25]对此,实质说认为,必要性共犯的不可罚根据在于缺乏违法性或有责性。现在,多数学者主张“实质说与立法者意思说的并用”,[26]认为是否应处罚对向行为,首先要看该对向行为是否超出了定型性、通常性的程度,难以判断之时,还需结合考虑对向行为的违法性、有责性是否达到了“应受刑罚处罚的程度”。也就是说,关键在于该“收买”、“收受”行为是否仍可评价为通常意义上的“收买”、“收受”,若该行为在侵犯公民个人信息的犯罪中不可或缺,与其对向行为互为一体不可分割,形成共犯关系之时,则仍应处罚。
总之,单就第1款的规定而言,通常的“购买”、“收受”行为一般不具有可罚性。
2.“非法获取”行为与“收买”、“收受”行为的关系。按照对向犯的理论,第1款一般并不处罚“收买”、“收受”行为,但并不能由此而得出本条一般并不处罚收买、收受行为的结论,而应根据条文的整体结构来判断。因为有别于并不处罚收买行为的贩卖淫秽物品牟利罪(《刑法》第363条),本条第2款规定处罚“非法获取”行为,收买、收受行为仍有可能包括其中。[27]因而有必要探讨收买、收受行为的性质。
第一,正因为有收买者、收受者存在,才会出现出售、非法提供行为,并且非法获取个人信息,往往也是为了转售牟利或者通过提供而获取其他非财产性利益,故在很多情况下,收买、收受行为是侵犯个人信息犯罪的土壤或诱因;而且,收买、收受行为也不限于从相关机关或单位的工作人员处收买、收受,例如,从电脑黑客手中收买大量公民个人信息的,也有处罚的必要。显然,直接处罚收买、收受行为(收买者、收受者一般也知道对方是非法出售、非法提供),可以从源头上杜绝出售行为、非法提供行为,也利于打击非法获取行为,这一点毋庸置疑。
第二,仅有处罚的必要显然不能成为处罚的充分理由,关键还在于判断该行为是否已经具备相当的危害性。作为“非法获取”的行为手段,第2款例示性地列举了“窃取”,因而作为“非法获取”的其他手段,至少应与“窃取”具有相当程度的危害性。至于收买、收受行为是否有此危害性,这一点可以从刑法条文的规定形式中找到答案。例如,第111条规定,“为境外的机构、组织、人员窃取、刺探、收买、非法提供国家机密或者情报的”;第177条之一第2款规定,“窃取、收买或者非法提供他人信用卡信息资料的”;第282条规定,“以窃取、刺探、收买方法,非法获取国家秘密的”;第431条第1款规定,“以窃取、刺探、收买方法,非法获取军事秘密的”;第431条第2款规定,“为境外的机构、组织、人员窃取、刺探、收买、非法提供军事秘密的”。由此可见,涉及信息、秘密等犯罪的,我国刑法多将“窃取”与“收买”作为行为手段并列规定。这至少表明,立法者对“收买”与“窃取”具有大致相同的危害性持肯定态度。因而,认为第2款中的“非法获取”包括“收买”行为,具有一定法律根据。
反之,也可看出,立法者并不当然认为“收受”行为与“窃取”行为具有大致相当的危害性。这一点相对容易理解:收买行为多是积极的作为方式,对相对人具有利益诱惑性;而收受行为尽管不排除通过积极劝诱对方而获取,但更多地是一种消极的不作为方式,其危害性一般低于收买、窃取行为。因此,有必要限制收受行为的人罪,不应将“收受”一律认定为“非法获取”,只能将其作为“非法提供”的对向行为来处理,只有当行为人实施的“收受”行为超过定型性、通常性,对“非法提供”这一犯罪的完成起到不可或缺的作用时,才可将“收受”行为作为“非法提供”的共犯来处理。
第三,我们虽可以认为“收买”行为危及公民个人信息的安全,属于第2款的“非法获取”,只要达到“情节严重”,就应予以处罚。但“收买”行为毕竟不同于窃取、抢夺等为法律所明文禁止的手段行为,处罚所有“收买”行为既有过度扩大处罚范围之虞,在司法实践中也并不现实(例如,为掌握“销声匿迹”的债务人的行踪,以讨还合法债务,债权人从第三者处收买债务人的信息),而且,例如,私人侦探出售非法获取的个人信息,我国刑法并不处罚一般主体的出售行为,[28]却要处罚收买行为,这之间也存在不均衡。因此,笔者认为,虽同样是要求“隋节严重”,但应区别对待,“收买”行为的入罪标准应更加严格。
另外,若收买人与符合第1款中的特殊主体要件的出售人就买卖信息达成一定默契,相互分工协作,通过支付一定对价而利用对方去非法获取个人信息,共同完成侵犯公民信息的犯罪,能认定为共犯甚至是间接正犯之时,当然并非不能适用第1款。然而,既然可直接将“收买”行为认定为第2款的实行行为,且第1款与第2款在法定刑上完全相同,则直接适用第2款即可。
在赖某非法获取个人信息案中,赖某虽表面上是通过支付一定对价而获取公民个人信息,但赖某与吴某“一拍即合”,通过谋议达成实施犯罪的共识,其行为实质上已不再是一般意义上的“一手交钱,一手交货”的“收买”行为,而是相互分工协作完成了犯罪,因而无论是否认为“收买”行为属于第2款的“非法获取”,均可认定其行为属于本条的规制对象。
五、“情节严重”的标准认定
由于“情节严重”是本条的客观成罪条件,是区分罪与非罪的重要标准,其认定有赖于司法裁量权的行使。就当下而言,由于缺乏司法实践的积累和检验,细化的司法解释近期内也难以出台(尽管笔者对司法解释的“法律化”深感忧虑),因而对具体办案来讲(如公安机关的立案侦查和检察机关的审查起诉),必须明确情节严重的标准问题。
从现有的学界讨论来看,有观点给出了相对抽象的标准,认为“第1款中的情节严重是指出售公民个人信息获利较大,出售或者非法提供多人信息,多次出售或者非法提供公民个人信息,以及公民个人信息被非法提供、出售给他人后,给公民造成了经济上的损失,或者严重影响到公民个人的正常生活,或者被用于进行违法犯罪活动等情形”;[29]第2款中的情节严重,“主要指非法或取得公民个人信息数量大、使个人信息大量外泄、造成了被害人人身严重危害、造成财产的重大损失等情况。”[30]
站在实践操作的立场上,具体且确定的标准当然最易于把握。若能像经济犯罪规定具体的起刑金额那样,规定具体的出售信息的获利数额、非法提供信息的次数或份数、相对方的人数、非法获取信息的数量、次数,无疑会满足司法适用上的确定性要求。但是,仅以量化指标来寻求确定性,这种做法难免有僵化之虞,更难以一以贯之。具体个案千变万化,一次或一份信息与数次或数份信息之间并无可比性,危害的大小往往取决于信息的重要性与准确度(例如,将某举报人的信息透露给被举报人,有时候甚至会给该举报人招来“灭顶之灾”),因此,数量标准至多只能是一种参考因素,无法以绝对数量来决定罪与非罪。这样,就有必要回溯到本罪的立法宗旨,即取决于受害程度。不可否认,很多情况下司法实践就受害程度往往难以一一取证,而更容易掌握行为人的行为。
有鉴于此,笔者认为,至少就本条而言,硬性量化标准仅具有参考意义,司法机关自由裁量权的合理行使更为重要。因此,是否情节严重,只能是按照社会一般人的标准,看行为人的行为是否足以严重危及公民的正常平稳生活。在具体认定中,有几点值得注意。
第一,由于信息的获取者的目的往往不在于信息本身,而是为了利用所获取的信息实施其他危及公民财产、人身的行为,因此,凡行为人所出售或提供的个人信息,被他人用于实施犯罪活动的;或者行为人非法获取个人信息后,用于自己或他人实施犯罪活动的,一般应直接认定为情节严重。
第二,第1款强调的是出售个人信息的“主体的特殊性”,即属于可利用公权力或在提供服务过程中合法获取个人信息的单位工作人员,而第2款强调的是获取信息的手段非法。较第2款而言,第1款中特殊主体的行为践踏了公民对相关单位尤其是公权力机关的信赖,往往会极大地冲击甚至摧毁作为社会道德体系根基的诚信。因此,同样是要求“情节严重”,且刑款设置相同,第1款与第2款在具体入罪程度上仍应有所区别:第2款的入罪程度标准应比第1款更加严格。
第三,第1款中的出售行为无疑是为了牟利,要达到情节严重,获利金额的大小当然是重要标准。相反,虽然非法提供行为往往是为了获得某种非财产性利益,非法获取行为也往往是为了转卖牟利,而且是否获取了财产性或非财产性利益相对容易取证,但法条本身对行为动机并无要求。显然,立法者看重的是行为的性质,处罚的是非法的提供、获取行为本身。尤其是就非法获取而言,在立法者看来,即便没有出售、向第三者提供,其行为本身就已经直接威胁到公民个人信息的安全,更给公民个人生活带来隐患,因而主要应从行为手段是否恶劣等因素来判断情节是否严重,而行为动机只应视为量刑情节。而且,在以收买手段非法获取的情况下,既然刑法处罚的是“非法获取”行为本身,就应以为了非法获取信息所支付的对价而不是获取之后出售所获利益、以实际获取的信息数量而非获取后经过取舍而非法出售的信息数量作为标准。
概言之,是否达到“情节严重”,可依次考虑以下三个因素:第一,只要该信息被用于实施犯罪活动,均可认定为情节严重;第二,看是否严重危及本人的正常生活,或者给本人带来较大经济损失;第三,在无法认定前二者的情况下,根据出售、非法提供或者非法获取信息数量的多少、次数的多少,其中,在出售的情况下还包括获利金额,在非法获取的情况下还考虑手段的恶劣程度或者支付的对价金额。
在赖某非法获取个人信息案中,虽不能查明被害人生活上受到多大影响、经济上受到多大损失,但赖某利用吴某的“身份”,通过本应严格控制的公安内部网大量获取信息之后转卖牟利,既扰乱了公安机关对公民信息的管理秩序,更损害了公民对国家机关的信赖,手段可谓恶劣,且在3个月的时间内,获取了50余条信息,支付了“好处费”3万7千余元,已足以认定为“情节严重”。
六、结语
综上所述,笔者认为,赖某出于转卖牟利的故意从吴某处收买大量公民个人信息的行为方式、主观故意、犯罪对象均符合本条第2款的要求;且在3个月的时间内,获取了50余条信息,支付了“好处费”3万7千余元,也足以认定为“情节严重”,因此,赖某的行为应构成非法获取公民个人信息罪。
另外,在处理本案时,还涉及到本条的溯及力问题。显然,只能就自2009年3月至案发的作案事实适用本条。对如何处理2009年3月之前的赖某的行为,有两种做法:一是不认为是犯罪;二是认定赖某构成行贿罪,与本罪实行数罪并罚。但要认定赖某构成行贿罪,取决于吴某是否利用了职务便利,还取决于如何认定二人相互勾结非法获取公民个人信息的行为性质。
【注释】
[1]广州检察机关已于2009年6月25日在全国首次以出售公民个人信息罪、非法获取公民个人信息罪分别批捕了犯罪嫌疑人李某、黎某。
[2]参见李适时:《关于(中华人民共和国刑法修正案(七)(草案))的说明》,《全国人民代表大会常务委员会公报》2009年第2期。
[3]公民个人信息一旦遭受侵害,往往事后难以弥补、救济,给公民正常生活带来长久隐患,进而危及整个社会的稳定。
[4]缺乏前置的民法和行政法对公民个人信息的严格保护机制,也是司法实践中如何适用本条尤其需要注意的问题。
[5]日本2003年颁行的《个人信息保护法》第2条规定,本法中的个人信息,是指根据包含在该信息之内的姓名、出生年月日等其他记录,可以识别特定个人的信息。该法更多的是规定掌握个人信息的机构或单位应如何采集、使用、管理个人信息,规定机构的职责、单位的资质与职责以及相关政府部门的监督职责。其目的在于防止未经本人同意的个人信息的流失、转让与买卖,防止有权管理个人信息的企业出现信息管理上的混乱。虽然规定了刑罚。但并非处罚泄漏行为本身,而是处罚掌握个人信息的企业违反主管部门命令的行为,属于一种“间接处罚”,而且必须有受害人投诉,因而又被称作“并无实际效果的法律”。不过《日本刑法典》并无保护个人信息的条款,更多以特别法(行政法规中的附属刑法)或者刑法中的背任罪、盗窃罪、侵占罪等财产性犯罪来处罚。但若所泄漏的信息事关个人秘密,则可能构成泄漏秘密罪;若泄漏信息的行为本身符合毁损名誉罪或侮辱罪,则以此来处罚。若不违反相关行政法规,也不构成财产性犯罪,行为本身又不符合毁损名誉罪或侮辱罪,即便是泄漏了个人信息,也不被处罚。
[6]参见黄太云:《刑法修正案(七)解读》,《人民检察》2009年第6期。
[7]赵秉志主编:《刑法修正案最新理解适用》,中国法制出版社2009年版,第117页以下。另见赵秉志、王东阳:《信息时代更应强化人权保障》,《法制日报》2009年3月4日。
[8]该观点由杨兴培教授于2009年7月13日在浦东新区检察院案例研讨会上所主张。
[9]如美国早在1974年就制定的《隐私权法》以及欧盟1995年颁布的《欧盟数据保护指令》。我国目前正在草拟中的《个人信息保护法》(草案)采用了信息这一指称。
[10]参见(日)佐伯仁志:《针对名誉与隐私的犯罪》,栽芝原邦尔等编:《刑法理论的现代性展开(各论)》,日本评论社1996年版,第90页。
[11]我国《宪法》在2004年修订时增设第33条第3款规定,国家尊重和保护人权。可以认为,目前刑法修正案对侵犯个人信息入罪也正是在弥补这种宪法与刑法之间的张力。
[12]反观德日刑法则无此立法疏漏。具体可参考日本《刑法》第134条“泄露秘密罪”、德国《刑法》第203条“侵害私人秘密罪”。
[13]同前注[7],赵秉志、王东阳文。
[14]同前注[7],赵秉志主编书,第123页。
[15]同前注[7],赵秉志、王东阳文。
[16]同前注[7],赵秉志主编书,第122页以下。
[17]同前注[6],黄太云文。
[18]同前注[2]。
[19]同前注[7],赵秉志、王东阳文。
[20]同前注[7],赵秉志主编书,第122页。
[21]由于我国尚未制定《个人信息保护法》,“违反国家规定”中的“规定”还有待于具体界定。但至少可以宪法、民法、行政法(《邮政法》、《律师法》、《居民身份证法》、《公证法》、《人民银行法》、《保险法》等)作为其根据。例如,《警察法》第22条就规定,人民警察不得实施“泄露国家秘密、警务工作秘密”、“从事营利性的经营活动或者受雇于任何个人或者组织”等行为。笔者认为,对有权单位而言,采集公民个人信息的行为应依照严格的程序,尤其必须明确特定用途,在此意义上,毋宁说,所谓“违反国家规定”,其实质内涵就在于违背了获取公民信息的本来目的。当然,若事先征得本人的同意,可作为被害人的承诺而认定阻却违法性;若事后征得本人同意,宜认定为尚未达到“情节严重”的程度。
[22]在学者起草的《个人信息保护法(专家建议稿)》中,第11条规定政府机关只能在法定职权范围内,为履行其职责收集个人信息,政府机关收集个人信息必须有明确、合法和特定的使用目的。第15条明确对政府机关的个人信息处理作出“使用限制”,即政府机关只能在收集个人信息时所明确的使用目的范围内处理个人信息。其他个人信息处理者除了需登记申请行政许可外,其收集或处理个人信息也同样必须有明确、特定的使用目的(第44条),超出该使用目的处理个人信息的,必须经信息主体事先同意(第45条)(参见周汉华:《个人信息保护法(专家建议稿)及立法研究报告》,法律出版社2006年版,第4~16页)。这事实上即已排除了买卖、非法提供、非法获取个人信息的合法性。
[23]参见张明楷:《刑法学》,法律出版社2007年版,第312页。
[24]参见(日)团藤重光:《刑法纲要总论》,创文社1990年版,第432页。
[25]参见(日)山口厚:《刑法总论》,有斐阁2007年版,第339页。
[26]参见(日)西田典之:《刑法总论》,弘文堂2006年版,第355页。
[27]第2款的“非法荻取”尽管可包括第1款的“出售”、“非法提供”的对象行为即“收买”、“收受”行为,但第1款与第2款之间并非对应关系。
[28]究其原因,可能是立法者认为,一般主体合法获取大量公民个人信息的可能性较小,其出售或非法提供行为多为··非法获取”的后续行为;即便一般主体实施了出售或非法提供行为,其危害性远远小于特殊主体的类似行为。但至少可明确的是。立法如此规定符合刑法的谦抑性原则。
[29]同前注[6],黄太云文。
[30]同前注[7],赵秉志主编书,第122页。