公民个人信息的法律保护包括刑法保护已经成为当前国际社会关注的立法热点问题。《刑法修正案(七)》第七条规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”此条规定应该是增加了两个罪名(第1 款、第2 款),有待两高司法解释准确确定罪名。从本条文的内容看,无疑是我国刑法保护公民人身权利的又一重大突破。但是,到目前为止,我们仍没有看到此罪名被司法适用的报道,原因之一就是,作为个人信息不受严重侵犯的“防弹衣、防火墙”的这一刑法新规因为我国个人信息保护基本法律的不健全和其本身规范的概括性,势必造成司法适用上的困难。事实说明,我们的个人信息仍在源源不断地被非法泄露着、传播着、侵害着。[1]这一立法的威慑作用和刑罚目的尚难显现。我们认为,在加快个人信息专门法律立法步伐的同时, 亟待两高尽快制定侵犯公民个人信息犯罪具体应用法律若干问题的司法解释, 来弥补刑法条文的法律漏洞和可操作性不足的问题。 一、 犯罪对象“公民个人信息”的范围有待明确本条规定在刑法第四章侵犯公民人身权利、民主权利罪中,其侵犯的客体是公民对个人信息的所有权、使用权和支配权, 犯罪对象是公民个人信息。刑法对“公民个人信息”并未做出明确定义,在罪状中只是模糊地概述为“违反国家规定”。据悉,有关部门起草的《个人信息保护法(草案)》已提交国务院讨论审议,正在制定过程中。有观点认为“由于刑法保护与行政法保护在手段严厉性上具有明显差异, 两者对公民个人信息保护的范围理应有所区分。公民个人信息的刑法认定不能完全依赖行政法对个人信息的概念界定。”[2]我们认为,这种观点欠妥。公民个人信息作为法律保护的对象,无论是民法、行政法、刑法保护的范围应当是一致的, 只是因为公民个人信息所遭受侵害的严重程度不同而采取轻重不同的法律保护手段, 即只有到了刑法所规定的“情节严重的”程度,才给予刑法保护而已。所以, 公民个人信息的内涵和外延在法律保护的范畴内应当是一致的。在定义个人信息之前, 应先弄清个人信息与个人隐私之间是什么关系? 有的观点认为,个人信息具有公开性, 其对公民个人生活的影响在大多数情况下也要低于个人隐私, 个人信息的范围显然远远大于个人稳私。[3]我们认为,不能简单地认定个人信息具有公开性,如果是这样,那就根本谈不上构成侵犯之罪了;将其与个人隐私分立开来,评价为价值低于隐私,也未正确表现两者关系。有的学者则认为,个人信息只不过是互联网时代对传统“隐私”概念的扩展,虽然二者的侧重点不同,但并无本质差异,只是所“隐”的程度和范围不同而已;信息安全问题的实质是隐私权问题,可以将个人信息理解为一种广义的隐私。[4]民法上,隐私权的内容主要包括个人生活安宁权、个人信息和生活情报的控制、保密权、个人通讯秘密权、个人对其隐私的利用权。个人信息和生活情报是指仅与特定人相联系的信息和资料,包括的内容很广泛,诸如个人的身高、体重、病史、生活经历、信仰、爱好、婚姻、财产状况以及社会关系等情况。[5]综上,我们认为,个人信息与个人隐私之间属于相互包容关系,本质上无差别,不能将两者对立分立起来;个人信息一定程度上属于个人隐私,受隐私权法律保护;从另一个角度讲,个人隐私又属于个人信息之内容;通常意义上,个人信息概念的外延要比隐私更为宽泛。那么,如何设定“公民个人信息”的定义呢? 我们赞同采用定义与列举相结合的方式来明确, 以保证随着科学技术和时代的发展, 立法的周延性能够满足公民个人信息范围不断扩展的要求和趋势。有人提出,个人信息是指公民所有的有关自身的或者其他民事主体不愿被特定人群以外的人知悉的、且该信息一旦泄露足以对公民的正常生活产生消极影响的信息。[6]中国社科院法学研究所研究员周汉华曾参与《个人信息保护法》的起草, 其介绍称个人信息是指现实生活中能够识别特定个人的一切信息,包括姓名、年龄、体重、档案、医疗记录、收入、家庭住址、电话号码等等。当然,我们能列举的还有很多,如音频视频文件、指纹、财产状况、职业情况、婚姻家庭生活情况、爱好、教育背景、宗教信仰、银行卡信息、私人汽车信息、考试信息等一切与人身相关联的信息。个人信息是人权的基本内容。据悉,《个人信息保护法(草案)》规定了掌握个人信息的企业与团体应承担的法律责任, 禁止任何团体在未经个人同意的情况下,将个人信息泄露给第三方,犯罪、税收记录、媒体调查除外。且个人不良信息不应受到保护。 二、犯罪主体有待进一步扩展该法条规定三款,第 款的犯罪主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,根据第3 款的规定第1 款的犯罪主体还包括单位。这一列举式的主体表述方式与其它罪名的立法技术不一致,纵观刑法典,如果包括其他选择,一般表述为“或者其他手段(机构、人员、情节)等”,但是该法条却表述为“等单位的工作人员”,这里的“等”是“等内”还是“等外”,直接影响到本罪主体是特殊主体还是一般主体的认定。有的观点分析,基于罪刑法定明确性的要求,刑法规范中的“等”原则上应解释为“等内”,因此本款的主体应当限定为国家机关工作人员以及特定单位的工作人员。[7]由于条文在列举行为人所属各种单位之后用“等” 字作结而未像多数条文那样附加“以及其他单位”,这表明行为主体的范围是封闭的,而不包括其他单位的工作人员。[8]如果第1 款的“等”被理解为“等内”,那么其对应的第3 款单位犯罪中的“单位”,在构成第1 款之罪时就被限定为上述特定行业的单位了。我们认为,对此应当做文理解释、扩大解释,把第1 款规定的“等”解释为“等外”。当然,这最好是由有权机关明确作出法律解释, 以免司法实践中引起不同的理解和运用,造成执法不一。理由为:一是《刑法修正案(七)》之所以要明确列举出这些人员,主要目的在于国家机关、金融、电信等单位因履行职责或提供公共服务掌握了大量的公民个人信息, 承担着对这些信息的保密义务, 现实中它们已成为侵害公民个人信息最为严重的主体,所以刑法给予了明确入罪。但是,现实生活中, 不仅仅是以上单位和其工作人员能够接触并大量掌握公民个人信息,随着互联网等技术的发展,社会交往、商业贸易和公共权力的扩大,能够掌握大量公民个人信息的单位或个人比比皆是。比如各类办理会员制的商家(房地产公司、汽车销售公司、电器公司、美容院、商场超市、医药店等等)、律师事务所或房屋租赁等中介服务机构、居民委员会等群众自治组织、各类社会团体、人才市场和招聘公司、网络公司、网站、市场调查公司、报纸期刊等媒体等等,均通过各种渠道收集、存储了大量公民个人信息。这些单位及工作人员同样可能存在着非法侵害公民个人信息的行为, 造成严重的侵害情节或后果, 如果不将这些单位及其工作人员纳入刑法规范的主体范围之内, 恐怕会造成刑法适用的不平衡,个人信息刑法保护的作用亦将大打折扣。二是就这些主体的性质来看,金融、教育、医疗等单位早已不仅仅是国有单位,私人或外资已涉足这些行业,所以把该罪主体理解为特定主体有失偏颇。三是从世界各国的立法例来看, 对公民个人信息的刑法保护中犯罪主体一般不是特定主体, 通常只强调行为人的目的和动机,以及信息来源系其工作或职责所得,很少对行为人的岗位或领域进行限制。四是如果第1 款的犯罪主体特定化,则可能造成“中间商”的定罪难题。特定主体将个人信息转让给他人后, 如果信息接受者(即中间商)并非是特定主体,当其获取信息的行为不被第2 款限制时,其以再出售等方式非法提供给第三人的,依第1 款就不能入罪,这不但造成刑罚适用的不公平,也无法有效保护个人信息。至于第2 款的犯罪主体并未明确列举, 是一般主体,结合第3 款规定,既可以是单位,也可以是自然人。这样规定是无可争议的,是适当的。 三、犯罪客观方面有待进一步完善该条罪名的客观方面表现为: 将本单位在履行职责或者提供服务过程中获得的公民个人信息出售或者非法提供给他人,情节严重的行为;窃取或者以其他方法非法获取上述信息,情节严重的行为。如何认定情节严重是适用该法条罪名的关键所在, 目前尚无司法认定标准,需要法律解释加以完善。有观点认为,信息登记单位(特别是国家机关)的工作人员,大量出售个人信息的;非法兜售个人信息造成严重财产损失的;造成恶劣的社会影响,对当事人的信息安全、个人生活和人身安全产生影响的; 对国家安全以及社会民生造成影响的。[9]我们认为,应当根据调研,在概括性规定的前提下, 进一步明确列举出部分侵犯个人信息情节严重的情形,比如应当从非法出售个人信息的数量、性质、违法所得的数额、财产损失情况、个人生活或人身安全的影响程度、社会影响的严重程度等方面予以细化。本罪的客观表现行为应当进一步周延。该法条明确了犯罪行为表现为“出售、非法提供给他人、窃取、以其他方法非法获取个人信息”。疏忽了侵犯公民个人信息的最直接的一种行为———“非法使用”。尽管通常情况下,上述行为一般都是为了“非法使用牟利”,但其行为状态并不是必然包含的,就如同刑法规定假币犯罪表现为伪造、出售、购买、运输、持有、使用一样,应当予以明确规定。如,央视09 年3·15 晚会上曝光的山东多家移动公司向客户大量发送垃圾短信而牟取暴利, 这种行为并非出售、非法提供,而是非法使用公民个人信息,如果其违法获利数额等达到情节严重的情形, 应当予以刑罚制裁。除此之外,还有一些可能严重侵犯个人信息的行为如“人肉搜索”等有待进一步研讨是否入罪。 四、本罪取
证困难的程序问题非法泄露个人信息因为环节众多等因素影响,调查举证工作往往困难重重, 困扰办案机关有效侦办案件。有人认为,个人信息被泄露的举证应象医疗官司一样,实行“举证倒置”,即由被告方来举证自己没泄露信息。[10]我们认为,这一观点仅为“一丝之利”而断送程序正义之根本,违反了无罪推定原则,不足为取。众所周知,在刑法罪名中只有巨额财产来源不明罪是举证责任倒置的,这是其犯罪性质决定的。虽然要想证明犯罪主体非法泄露了公民个人信息,并非易事,但是不能因此就将举证责任推给犯罪嫌疑人或被告人, 由其自证清白,也不能因其不能证明自己没有侵犯便推定其有罪。刑事犯罪纷繁复杂,取证困难的比比皆是,唯有不断加强侦办力度、提高侦查技术水平和质量,才是正道。 五、此罪与彼罪的界限本条文第1 款、第2 款的犯罪主体在非法泄露公民个人信息的过程中触犯其它罪名, 可能造成罪数认定上的疑难,即是认定一罪还是数罪的问题。比如,利用职务便利,收受他人贿赂,为他人牟取获得公民个人信息的利益,或通过行贿手段非法获得公民个人信息,情节严重的; 通过非法进入他人计算机系统的手段而获得公民个人信息,情节严重的;利用非法取得的个人信息公然侮辱他人的; 很多大企业可能会把收集到的客户信息作为商业秘密加以保护,侵犯商业秘密的;等等。我们认为,对于本条罪名与受贿罪、行贿罪、非国家工作人员受贿罪、破坏计算机信息系统罪、侵犯通信自由罪、侵犯商业秘密罪、非法使用窃听、窃照专用器材罪等出现竞合时, 需要我们依据法条竞合、想象竞合犯、牵连犯的刑法理论来分析罪数,随着现实案情的不断丰富, 在制定本罪的法律解释时需进一步明确如何确定罪数和处罚原则,以更有效地打击犯罪。 注释:[1]勿庸置疑,我们每个人都在因个人信息遭受着日益严重的泄露而烦恼。我们收到的垃圾短信有增无减,对外交往被收集的信息越来越多。重大侵犯个人信息的事件随处可见,如2008 年4 月存贮4 万多名深圳孕妇信息的光盘被贩卖,每张售价1.2 万元;央视3·15晚会上曝光了分众传媒掌握全国两亿多手机用户个人信息;山东多家移动公司大量非法发送垃圾短信事件;互联网上随意搜索即可查到非法出卖各种个人信息的网站;等等。[2]吴盛:《对〈刑法修正案(七)〉(草案)第六条的完善建议》,载《检察日报》2008 年9 月16 日。[3]温国鹏:《公民个人信息刑事保护的难点分析》,中国法院网2008 年9 月4 日。[4]沈海平:《为保护公民个人信息织就更严密的法网》,载《人民检察》2008 年第23 期。[5]参见魏振瀛主编:《民法》,北京大学出版社、高等教育出版社2000 年版,第662 页。[6]同[4]。[7]同[3]。[8]同[5]。[9]曹素馨:《对〈刑法修正案七〉(草案)泄露公民个人信息罪的思考》,载《金卡工程(经济与法)》2009 年第1 期。[10]周娜:《刑法画出红线,惩戒泄露个人信息》,载《民营经济报》2008 年9 月3 日。
|
|