关于侵犯公民个人信息罪的司法适用
在信息时代,“现代社会中每个成员自身的情况也已经是社会信息中不可分割的部分”。特别是,随着信息网络技术的不断发展,公民个人信息的安全性问题日益成为一个全社会关注的问题。为进一步加强对公民个人信息的保护,《刑法修正案(九)》将出售、非法提供公民个人信息罪和非法获取公民个人信息罪整合成侵犯公民个人信息罪,扩大犯罪主体的范围,提升法定刑配置。
(一)“违反国家有关规定”的含义
在《刑法修正案(九)》之前,出售、非法提供公民个人信息的入罪前提要件是“违反国家规定”。而刑法第九十六条规定:“本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。”因此,对于出售、非法提供公民个人信息非法性的判断标准应当是“国家规定”,即立法机关制定的法律和国务院制定的行政法规等。考虑到对出售、非法提供公民个人信息“违反国家规定”尚存争议,《刑法修正案(九)》将“违反国家规定”修改为“违反国家有关规定”。
本文认为,“违反国家有关规定”不同于“违反国家规定”,前者的范围更为宽泛。我国尚未制定专门的公民个人信息保护法,但一些专门的法律、法规对特定领域公民个人信息的保护有专门规定。此外,违反部门规章等国家规定关于公民个人信息保护的规定的,也可以认定为“违反国家有关规定”。但是,“国家有关规定”宜限于国家层面的有关规定,不包括地方性法规的等非国家层面的规定。
(二)“公民个人信息”的范围
“公民个人信息”的范围把握,直接影响侵犯公民个人信息罪在司法实践中的正确适用。然而,刑法未对“公民个人信息”的范围作出明确,其他法律规定也缺乏对“公民个人信息”的统一规定。
1.“公民个人信息”的“公民”如何把握?“公民”是一个严格的法律概念,也有着固定的内涵和外延。然而,对于刑法中“公民个人信息”的“公民”如何把握,特别是是否局限于中国公民(具有中华人民共和国国籍的人),还是包括外国公民、无国籍人在内,存在着认识分歧。
本文认为,公民个人信息犯罪中的“公民个人信息”,既包括中国公民的个人信息,也包括外国公民和其他无国籍人的个人信息。主要考虑如下:(1)从刑法规范用语的角度看,刑法第二百五十三条之一的用语是“公民个人信息”,但并未限定为“中华人民共和国公民的个人信息”,因此,从刑法用语的角度而言,不应将此处的“公民个人信息”限制为中国公民的个人信息。(2)外国人、无国籍人的信息应当同中国公民的信息一样受到刑法的平等保护,否则,会出现对外籍人、无国籍人个人信息保护的缺失,这显然不符合立法精神和主旨。从个人信息的刑法保护角度而言,“我国对中国公民、处在中国境内的外国人和无国籍人以及遭受中国领域内危害行为侵犯的外国人和无国籍人,一视同仁地提供刑法的保护,不主张有例外。”基于平等适用刑法原则,无论是侵犯我国境内的外国人、无国籍人个人信息的刑事案件,还是我国境内危害行为侵犯境外的外国人、无国籍人个人信息的刑事案件,我国均享有当然的刑事管辖权,对于这类刑事案件没有理由不适用我国刑法的规定追究刑事责任。(3)从司法实践的具体情况看,将大量外籍人、无国籍人个人信息排除在刑法保护之外,无疑放纵了犯罪。特别是,对于一起侵犯公民个人信息犯罪案件所涉及的个人信息既有我国公民的个人信息,也有外国公民、无国籍人的个人信息的,只处罚涉及我国公民个人信息的部分,既不合理,也难操作。
2.“公民个人信息”的“个人信息”如何把握?关于“个人信息”的含义,理论和实务界存在不同认识,主要有如下几种观点:第一种观点认为,个人信息是指能实现对公民个人情况的识别,被非法利用时可能对公民个人生活和安宁构成损害和危险的信息。第二种观点认为,个人信息是指本人不希望扩散,具有保护价值,一旦扩散,可能对公民权利造成损害的信息。其中,有论者也从刑法第二百五十三条之一侵犯之法益的角度认为,个人信息具有个人隐私的特征。第三种观点认为,个人信息是指以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。本文认为,上述关于“个人信息”的不同观点,实际上涉及对“个人信息”的范围把握问题。对此,宜把握两个原则:
(1)从更为有效地保护公民权利的角度出发,对个人信息的范围不宜限制过窄。一方面,不宜将个人信息限定为个人隐私。个人信息不等同于个人隐私,即便个人信息已经公开,仍有可能成为公民个人信息犯罪侵犯的对象,如有关部门为救济、救助而公示的公民个人信息。另一方面,也不宜将个人信息限定为能够识别公民个人身份的个人专属性信息。换言之,公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份的信息属于“个人信息”的范围,但并非全部。综上,个人信息既包括个人的专属性信息,也包括涉及公民隐私的信息。
(2)对个人信息范围的把握,应当充分考虑与有关法律法规的协调和一致。全国人大常委会《关于加强网络信息保护的决定》第一条第一款规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”上述规定虽然不是直接针对刑法第二百五十三条之一规定的“公民个人信息”,但为准确把握“公民个人信息”提供了可资借鉴的基础。在此基础上,“两高一部”《关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字〔2013〕12号,以下简称《通知》)明确规定:“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”
本文认为,《通知》关于“公民个人信息”的界定较为合理,明确了公民个人信息主要包括能够识别公民个人身份的信息和涉及公民个人隐私的信息两大类,实践中可以据此予以把握相关问题。需要提及的是,对于“能够识别公民个人身份的信息”,应当理解为能够单独或者与其他信息结合识别公民个人身份的信息。例如,身份证号与公民个人身份一一对应,可以单独识别公民个人身份;而工作单位、家庭住址等无法单独识别公民个人身份,需要同其他信息结合才能识别公民个人身份。但是,上述两类信息无疑都属于公民个人信息的范畴。
(三)“情节严重”的认定
根据刑法第二百五十三条之一的规定,出售、非法提供公民个人信息,窃取或者非法获取公民个人信息,均以“情节严重”为入罪要件。如果未达到情节严重的程度,如系初犯,涉案公民个人信息数量较小,获利较少等,则不构成犯罪,可以根据具体情况予以行政处罚。
关于“情节严重”的具体认定标准,刑法第二百五十三条之一未作规定,目前也未见相关司法解释对此予以明确。综合司法实践的具体情况,本文认为,可以从以下几个方面认定“情节严重”:(1)公民个人信息的数量。如果出售、非法提供或者窃取、非法获取公民个人信息的数量较大的,应当认定为“情节严重”。需要注意的是,各类公民个人信息的差异较大,在确定数量标准时应当区别对待。例如,手机位置、车辆轨迹等信息与公民人身安全直接相关,系高度敏感信息,对于此类信息的行为应当设置相对较低的入罪标准。(2)违法所得的数额。从实践来看,不少侵犯公民个人信息案件,特别是出售和非法提供公民个人信息案件,其目的主要在于牟取经济利益。因此,应当以违法所得的数额作为衡量“情节严重”的标准之一。(3)引发的后果的严重程度。对于违反国家有关规定,将所获取的公民个人信息出售或者提供给他人,被他人用以实施犯罪,造成受害人人身伤害甚至死亡,或者造成重大经济损失、恶劣社会影响的,可以认定为“情节严重”。对于窃取或者以其他方法非法获取公民个人信息,造成其他严重后果的,也可以认定为“情节严重”。(4)行为人的一贯表现。对于以出售、非法提供或者窃取、非法获取公民个人信息为业,特别是曾因侵犯公民个人信息受过行政处罚或者刑事处罚又实施此类行为的,在认定“情节严重”时应当加以充分考虑。
