随着社会和科技的快速发展,信息网络的高速流通,公民个人信息流转加快,更易于受到侵犯,且受到侵犯的形式多样、范围广泛、数量庞大。个人信息安全和保护成为全社会愈发强烈的呼吁,基于此,国家机器强势介入,在立法上,2009年《刑法修正案(七)》增设了相关罪名,2015年的《刑法修正案(九)》进一步加以修改,扩大了犯罪主体的范围和对公民个人信息保护的范围,添加了“情节特别严重”的刑档,加大了惩治力度,彰显了“从严治内鬼”的立法精神。但是由于立法修改过于笼统宽泛,司法适用分歧较多,为此司法重拳出击,于2017年6月1日颁布的《关于办理侵犯公民个人信息刑事案件适用法律》为刑法较为原则的规定明确了界限、提供了指引,进一步强化了公民个人信息的刑法保护。
一、“公民个人信息”的内涵、特性及范围
我国《民法总则》加强了个人信息权的独立保护,将其规定为一项基本的民事权利,个人信息权作为一种新型的人格财产权,同时兼有财产属性和人格属性。民法是私益保护的主要法律手段,刑法对公共利益的保护终归要落实到私益保护之上。因而,民法中“个人信息”的性质界定为刑法中区分“个人信息”概念提供了理论指引,也为刑法“个人信息”的判定范围奠定了基础。确立 “公民个人信息”人身性与财产性的双重性质, 更利于体现个人信息在大数据时代的社会价值和战略价值。
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第一条明确了刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。《解释》确立了“个人信息” 的这一性质,确证了个人信息既具备身份识别功能,也具备活动反馈功能,两者代表不同类型的信息功效。前者表明信息具有可识别性,能够指向特定的个人身份;后者表明信息集可识别性和隐私性与一身。可识别性表现在个人信息能够识别特定自然人的活动情况,隐私性表现在个人信息能够反映特定自然人的隐私活动情况。但是我们需要注意的是,“特定自然人活动情况”不应包含一切非隐私活动。隐私活动在“活动情况”范围之内,不必赘言。非隐私活动只要能够有效反映特定自然人关联信息活动就应当被纳入“特定自然人活动情况”的范围。如果信息无效或部分有效但不能反映特定自然人、特定自然人的活动情况,那么该信息也不能称之为“公民个人信息”。同样,如果行为人获取的公民信息不真实,甚至是虚假的个人信息, 但其若能有效反映公民特定活动情况,亦由“公民个人信息”参酌适用。因此当无法判断信息是否具有识别性或隐私性时,可以通过关联性作为补充内容辅助认定。
公民个人信息的类型繁多,《解释》也只是采用例举而并未列举的方式予以表述。从明确的公民个人信息范围看,公民个人信息的刑法保护不单指向公民的隐私权与信息自由权,还包含个人信息自身及其衍生的经济价值。因为“公民个人信息”并非专属于特定个人法益,还包括与个人法益相关联的社会法益、公共法益。侵犯公民个人信息罪已经成为电信诈骗、网络诈骗、敲诈勒索、软暴力行为等人身、财产犯罪的上游犯罪,直观展示电信诈骗之害的“徐玉玉”案背后即是贩卖高考考生信息的“杜天禹”侵犯公民个人信息案。
二、侵犯公民个人信息的方式
根据刑法第二百五十三条之一的表述,侵犯公民个人信息罪有两种类型的行为方式: 出售、提供型和非法获取型。尽管两类行为的处罚相同,但是对于两类不同的行为,刑法对其分别规定,既是罪刑法定原则明确性的实质要求,也有助于人们确切了解违法行为的内容,从而对自己的行为有合理的预期,有利于规范个人的行为,从而实现立法的初衷,保护个人的隐私。
关于“提供”型侵犯公民个人信息,《解释》第三条第二款明确,未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。因为基于大数据发展的现实需要,法律层面是允许合法的个人信息交易和流动的,且保护的是具有识别性、隐私性、关联性的个人信息,对于未违反国家有关规定,经得被收集者同意,将合法收集的公民个人信息提供给他人的,或者匿名化处理,提供剔除个人关联性、不具有识别性的个人信息,不能纳入刑事打击范围。
“非法获取”型侵犯公民个人信息,主要表现为窃取、购买、收受、交换、在履行职责或者提供服务过程中非法收集公民个人信息和其它非法方法获取公民个人信息的手段。至于“非法”的判断,基于体系解释的原理,应当以是否违反国家有关规定作为标准,因为违法性的实质是行为对法益造成了侵害和威胁。只要“以其他方法非法获取的行为”与“窃取行为”在法益侵害程度上保持相当性,行为的现实危害、影响范围、发展情况达到了刑法规制的标准,那么行为就应当犯罪化,而不论行为违反了何种法律前提。比如,“购买”、“交换”与“窃取”在危害性上似乎并不相当,但是购买、交换往往是后续出售、提供的前端环节,也是实施诈骗等违法犯罪活动的前置环节。例如,我市东海县人民检察院办理的一起15名被告人侵犯公民个人信息、诈骗案,就是利用购买的公民个人信息注册滴滴出行司机端骗取补贴款。
三、侵犯公民个人信息罪的入罪标准
《解释》对侵犯公民个人信息罪适时设置了两种不同的认定标准:一般认定标准与特殊认定标准。针对一般认定标准,《解释》从侵犯个人信息的数量、信息类型、用途、违法所得数额、主体身份和行为人的主观恶性等多个因素加以考察。针对特殊认定标准,基于社会生活中购买、收受公民个人信息从事广告、推销等业务活动的情形十分普遍,《解释》将为合法经营而非法购买、收受相关信息并具有相应严重情节的行为规定为犯罪。
在一般认定标准上,《解释》将具有不同利用效力的信息与对应的数量标准相结合,使社会危害性评定能够从质与量两个方面进行综合评定。为了量化实质的社会危害性,《解释》将“信息效力+数量”的模型分为三级别。第一级别效力信息包括行踪轨迹信息、通信内容、征信信息、财产信息四种。由于前述四种信息与公民的生命健康和个人财产关系密切,且存在特定的对象,具有高度敏感性,一旦被不法分子利用会变现为犯罪,因而该级别效力信息的入罪门槛极低,且《解释》采用穷尽列举的方式确定了前述四种信息不允许司法适用中采用等外解释以扩大本级别个人信息的范围。第二级别效力信息包括住宿信息、通信记录、健康生理信息、交易信息等可能影响人身、财产安全的公民个人信息。这一级别信息的敏感性和重要性弱于第一级别信息,但仍然与人身、财产权利相关,往往被用于“精准”诈骗、敲诈勒索等违法犯罪活动。第三级别效力信息是指除第一级别、第二级别外的信息。此类信息虽效力较低,但往往数量较大,涉及公民生活方方面面,二者综合后,使得信息人的现实紧迫危险性升高。因此,此类信息也应当具有刑事可罚性。另外,情节作为一个宽泛的概念,违法所得又是危害后果的一种类型。《解释》将“违法所得五千元以上的”属于“情节严重”的情形之一。通过出售或非法提供个人信息以谋利是部分行为人的犯罪动机,谋利的多寡又从侧面反映了行为人的主观恶性,因此在对信息类型和用途难以界定的情况下,可以根据违法所得数额认定“情节严重”。
在特殊认定标准上,《解释》第六条规定了为进行合法经营活动而非法购买、收受公民个人信息的“情节严重”标准。但是此类犯罪对象限于第三级别普通的公民个人信息而非可能影响人身或财产安全的敏感信息;且行为人客观上仅限于购买、收受,如果将购买、收受的公民个人信息非法出售或者提供的或者交换信息的,按一般认定标准定罪量刑。笔者办理的一装饰公司经营人即是此种情形,将自己收受的小区业主信息打包发送给一“号贩子”作为交换,笔者起诉时直接以数量标准认定;行为后果以获利数额而不是销售或违法所得,进一步提高入罪门槛;行为人根本目的是进行合法经营活动、获取合法利益,社会危害性不大,因此即使构成犯罪,通常也不需要升级别处理,所以《解释》只规定了“情节严重”的具体情形。
四、侵犯公民个人信息刑法保护存在的问题及对策思考
2018年是侵犯公民个人信息的行为入罪的第十年,随着2017年《解释》的颁布和实施,应当说刑事手段治理侵犯公民个人信息的规范体系相对完备,相关司法适用争议问题有了明确的法律依据,但是侵犯公民个人信息作案手段的多样化、被侵犯客体的不特定化、受害人群的扩大化、维权途径过小、法律适用不健全等诸多现实问题仍然给个人信息的刑事保护造成了巨大的难题。通过对我市办理的相关案件进行梳理、总结以及对典型案件进行思考,在办理侵犯公民个人信息犯罪案件存在如下具体问题及存在的困惑:
(一)公民个人信息范围、类别如何认定
虽然笔者在上文中已分析了公民个人信息的区分特性及《解释》中规定的三级别效力信息,但是对现实中关于是否属于公民个人信息的判断、信息是否需要对应真实的姓名才能符合“公民个人信息”等问题仍然存在困惑,如填写不完整的快递单信息、公司购买房产记录的法人信息。在信息分类上,小区业主信息属于房产等财产状况信息还是一般公民个人信息,孕产妇信息、分娩日期、新生儿出生医院等属于健康生理信息还有一般公民个人信息,实践中容易产生分歧。
(二)批量公民个人信息的认定问题
根据《解释》,批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实的或者重复的除外。该解释免除了公诉机关的证明责任,公诉机关无需证明批量公民个人信息的真实性和唯一性。但是实际上,法庭上,辩护人多会提出公诉机关指控的部分信息不真实或者不能识别特定的自然人、亦或有重复部分,特别对入罪、升格标准上下的案件,如果出现反证,将带来极为被动的局面。
(三)犯罪目的的多样化如何体现宽严相济的刑事政策存在困惑
《解释》只对“窃取以及其他方法”等行为进行具体的解释,换言之,侵犯公民个人信息行为的多样性还没有引起足够重视。出于交情提供公民个人信息同以谋利为目的出售公民个人信息的犯罪行为的社会危害性不能等同一致,如果采用一样的定罪标准,难以体现罪责刑相适应的刑法基本原则。犯罪目的的表现不一,会导致犯罪行为也表现不一,如果以传播和牟利为目的,或者以报复为目的非法收集公民信息以作他用,如抹黑、诽谤或者实施其他犯罪行为的,不仅会影响本罪的认定,甚至有可能因为数量问题不构成本罪而成立他罪;如果以毁损为目的,黑客入侵某存储公民个人信息的存储媒介中并不窃取,而是直接毁损又当如何定义该行为的性质,如果对此不加以重视,将会给实践造成很大的问题。
另外,对合法经营而购买收受公民个人信息的定罪做特殊认定标准,但是没有犯罪目的“单独提供公民个人信息”的定罪标准却是一般的,会出现对同一公司内部员工被追责,而公司主管却未达到入罪标准而出罪,显示公平。
通过对个人信息保护在刑事领域存在的问题进行剖析,笔者试图列举一些思考建议,以完善侵犯公民个人信息的刑事保护。
(一)明确分类依据,详举常见种类
虽然《解释》列举了多种公民个人信息,字面上似乎都能区分出来,但是实践中情况复杂,同一种信息认定不同理解有不同性质争议。基于《解释》以及本市工作实际,公检法可以联合会签有关问题,明确信息的具体类别,也希望上级司法机关能进一步明确个人信息的分类依据以及常见公民个人信息的种类,使司法解释的适用更具有操作性,从严惩治侵犯公民个人信息犯罪。
(二)规范量刑标准,调适罪责刑罚
量刑应当按照主客观相一致原则,充分考虑犯罪的社会危害性、犯罪人的主观恶性以及案件的社会影响,结合考量犯罪目的,具体问题具体分析,依法予以从宽或者从严处理,对《解释》规定的出罪条款,积极适用,解决实践中存在的罪行不相适应的问题,实现办案的法律效果与社会效果的相统一。
(三)加强整治预防,宣传警示教育
《中国网民权益保护调查报告2016》、《中国个人信息安全和隐私保护报告》在个人信息维权部分的调研中,大多数的参与调研者选择了掐断电话、不予理睬或选择拉黑及拒接,但是仅有20%左右的参与调研者选择了举报、投诉、报警等积极应对措施。多数参与调研者表示不知道怎么维权或者因资金等个人利益未受损而放弃维权。针对广大群众对侵犯公民个人信息罪入刑可能存在的认识误区或者理解错误,可以充分利用新闻媒体,通过典型案例发布、检察官说法、集中起诉等形式加大宣传力度,特别可以通过已经造成危害后果的典型案例进行宣传警示,让人们对侵犯公民个人信息犯罪有一个全方位认识,减少违法行为的发生;另一方面,检察机关可以加强对公安、电信、银行、教育等单位的联系,通过召开联席会议、发出检察建议等形式,建立衔接机制,形成打击合力,从源头上防控公民个人信息泄露。
五、结语
2018年8月28日爆发的“华住”5亿条用户信息成批泄露事件,又将个人隐私保护推上风口,此次折射出的是企业管理问题。希望此次“疑似泄露”事件能够在各方力量积极介入下降低社会危害性,企业能够加强自身数据保护安全建设,认识到保护个人信息安全,不仅是企业的社会责任,更多的是法律义务。
信息保护是我国现代化建设过程中面临的全新问题,是一场社会化、长效化、系统化工程。正确界定公民个人信息的内涵,明确公民个人信息的类别和具体范围,严格执行出入罪的标准及规则,对完善侵犯公民个人信息罪、建构完备的信息刑法体系大有裨益。也唯有此,才能精准打击侵害公民个人信息犯罪及其关联犯罪,保障公民的人身和财产安全,社会的稳定与发展。
参考文献:
1. 刘司墨.侵犯公民个人信息罪的司法适用探究.天中学刊.2018.08;
2. 赵连庆.公民个人信息安全的刑法保护.学习与探索.2017.09;
3. 高富平、王文祥.出售或提供公民个人信息入罪的边界.政治与法律.2017.02;
4. 康建光、余少威. 刑法中公民个人信息保护困境之突破. 中图法分类号TP309;
5. 缐杰.依法严惩公民个人信息犯罪专题讲座文稿;
6. 周加海.关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释培训文稿.
(海州区院 田玉琼)