随着网络技术的快速发展,公民个人信息已经实现数字化,信息数据逐渐成为一种有价值的社会资源,这也给个人信息保护带来了风险。近年来我国侵犯公民个人信息的犯罪频发,同时滋生了大量电信诈骗、网络诈骗、敲诈勒索、盗窃等下游犯罪,非法采集、窃取、贩卖和利用公民个人信息从事其他犯罪的产业链不断成熟壮大,呈现产业化、集团化、跨境化、智能化的趋势。公民个人信息保护面临前所未有的严峻考验,如何有效保护公民个人信息已经成为社会各界广泛关注的重大社会现实问题。
2003年,国务院信息办基于推动保护个人信息立法,委托中国社会科学院法学研究所承担相关课题及草拟一份专家意见稿,2005年,中国社会科学院法学研究所课题组提交《个人信息保护法》专家意见稿。但至今这部法律仍然处于草案提交阶段。
全国人大常委会于2009年2月28日通过了《刑法修正案(七)》第七条第一款,对国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的行为规定为犯罪。《刑法修正案(七)》将出售、非法提供、非法获取公民个人信息的行为认定为犯罪,为保护公民个人信息奠定了刑法基础。
2015年11月1日施行的《刑法修正案(九)》对刑法第二百五十三条之一作了进一步修改:一是扩大了犯罪主体的范围,将违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的行为规定为犯罪;二是规定将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚;三是提升法定刑配置,增加规定“情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。但对于审判实践中最为关注的“个人信息”和“情节严重”的认定标准依然不明确,对“出售、提供、获取”等侵犯公民个人信息行为的界定、对法定刑的配置都有待通过司法实践进一步完善。
2017年5月9日,最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》及相关典型案例,明确了“公民个人信息”的范围、明确了非法“提供公民个人信息”的认定标准、明确了“非法获取公民个人信息”的认定标准、明确了侵犯公民个人信息罪的定罪量刑标准、明确了为合法经营活动而非法购买、收受公民个人信息的定罪量刑标准、明确了涉案公民个人信息的数量计算规则等长期困扰司法实践的问题。
侵犯公民个人信息罪侵犯的是公民的个人信息权。
侵犯公民个人信息罪的客观方面表现为违反国家有关规定向他人出售、提供或非法获取公民个人信息,且情节严重的行为。
(1)违反国家有关规定的认定
《刑法修正案(九)》将侵犯公民个人信息罪的前提要件由“违反国家规定”修改为“违反国家有关规定”。 “违反国家有关规定”不同于“违反国家规定”,前者的范围更为宽泛。国家有关规定所对应的规范性法律文件的范围不再受到制定主体必须是全国人大及其常委会或者国务院的限制。我国目前没有颁布统一的《个人信息法》,而针对公民个人信息的保护性规定则散见于不同效力层级的规范性法律文件中。
这是“国家有关规定”在目前的刑法典中仅有的出现。这一规定本身是为了方便对侵犯公民个人信息行为追究刑事责任,但是由于该用语的模糊性、当下针对公民个人信息犯罪立法的不完善,将会导致司法实践中出现不可避免的法律适用问题。同时,这一规定的模糊性,在某种意义上也使得其存在违反罪刑法定原则的嫌疑。
对此,最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第二条明确为“法律、行政法规、部门规章有关公民个人信息保护的规定”,即特指国家层面的涉及公民个人信息管理方面的规定,不包括地方性法规等非国家层面的规定。
(2)公民个人信息的认定
侵犯公民个人信息罪的犯罪对象是公民的个人信息。对公民个人信息的内涵进行准确界定是侵犯公民个人信息罪司法适用正确的前提和基础。相对于传统犯罪来说,侵犯公民个人信息罪是信息网络时代产生的一个新型罪名,其保护的具体法益是公民个人的信息安全。从《刑法修正案(七)》的两个罪名到《刑法修正案(九)》将二者合二为一,公民个人信息作为核心概念,信息的类型和范围是界定入罪、出罪的基础。
最高人民法院、最高人民检察院、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字〔2013〕12号)中规定,即“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”
根据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号),即“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
上述司法解释尽管以列举方式,列举了公民个人信息的内容,但如果出现新的信息内容,如何判断是否属于公民个人信息,目前争论很大。
法学界目前主要的争论集中在关联说、隐私说和识别说三种:
①关联说,即认为凡是与个人存在关联的信息都应当界定为公民个人信息,该理论的对于公民个人信息的表述可以概述为“公民个人信息是指以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息”。该观点将个人信息的外延界定的过于广泛,几乎有关个人的一切信息、数据或者情况都可以被认定为个人信息。
②隐私说,即认为只有与个人隐私相关的才属个人信息,如“个人信息是指社会成员中大部分人不愿向外透露的信息;还包括不愿他人知道的个人极其敏感的信息(如大部分社会成员并不在意其他社会成员知道自己的身高,但有的人对自己的身高却极为敏感,不愿被他人知道)”该理论基于个人信息的隐私权属性,随着科学技术的发展及社会经济的进步,个人信息所蕴含的除了隐私权的人格属性之外,更有着越来越大的市场价值,也让其具有了一定的财产权属性。
③识别说,即认为公民个人信息是指姓名、职业、职务、年龄、婚姻状况、学历、专业资格等能够识别公民个人身份的信息。
我们认为,关联说过于宽泛,对于隐私说,《刑法》中已有保护个人隐私的条文,如果将公民个人信息和公民个人隐私混为一谈,可能导致法条竞合。保护公民个人信息本质上就是为了保障根据个人信息所识别出来的每一个具体个人享有的免受侵害而正常生活的权利。因此,以识别性作为个人信息的核心属性,能够合理地涵盖刑法所应保护的范围,从而有效、精确地打击犯罪,保护公民合法权益。
(3)非法手段的认定
非法手段至少应当具备以下特点:
①是违背了信息所有人的意愿或真实意思表示;
②是信息获取者无权了解、接触相关公民个人信息;
③是信息获取的手段违反了法律禁止性规定或社会公序良俗。
(4)侵犯公民个人信息罪的行为表现:
①实施了出售、或提供、或窃取或者以其他方法非法获取公民个人信息的行为。
所谓“出售”,是指将自己掌握的公民个人信息以一定价格卖与他人,自己从中谋取利益的行为。
所谓“提供”,是指将自己掌握的公民个人信息,以出售以外的方式提供给他人、以及通过信息网络或者其他途径发布公民个人信息的行为。向特定人提供公民个人信息的,属于一对一的“提供”;通过信息网络或者其他途径发布公民个人信息的,实际是向社会不特定多数人提供公民个人信息,属于一对“多”的“提供”。未经被收集者同意,将合法收集的公民个人信息向他人提供的,也属于“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。这里的他人,包括单位和个人。
对于“人肉搜索”案件,行为人未经他人同意,将其姓名、身份信息、住址等个人信息公布于众,影响其正常的工作、生活秩序的,即属于上述向社会不特定多数人提供公民信息的行为,如果达到“情节严重”的标准,可以按照侵犯公民个人信息罪定罪处罚。
所谓“非法获取”,是指以非法的手段、方式获取公民个人信息,一般包括购买、诈骗、贿赂、收受、交换等等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息。
②情节严重。
情节严重是构成侵犯公民个人信息罪必备条件,是侵犯公民个人信息罪的认定罪与非罪的标准,“情节特别严重”则是作为加重情节以升格量刑标准。情节是否严重,可以从出售、提供、获取的公民个人信息的数量、次数、获利金额、手段、持续时间、动机目的、危害后果等多个方面进行综合判定。
最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定:
具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(二)造成重大经济损失或者恶劣社会影响的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。
侵犯公民个人信息罪的主体是一般主体,包括一切具有刑事责任能力的自然人,单位也可以构成侵犯公民个人信息罪。
侵犯公民个人信息罪在主观方面为故意,而且是直接故意。因疏忽大意等原因,过失导致公民个人信息泄漏,因而产生严重后果的,不构成侵犯公民个人信息罪。
实践中判断侵犯公民个人信息罪与非罪,主要看以下方面:
一是客观上是否实施了侵犯公民个人信息的行为;二是情节是否严重;三是行为人主观上是否是故意。全部具备了上述条件的,才构成侵犯公民个人信息罪;只要有一项不符合的,则不成立侵犯公民个人信息罪。
需要注意的是,侵犯公民个人信息罪的客观方面的行为,仅包括出售、提供或非法获取,不包括非法使用。对于实践中有的国家机关、企业事业单位或个人,对于在履行职责、提供服务过程中合法收集的公民个人信息,不是提供给他人使用,而是违反国家有关规定以及采集公民个人信息时的目的,自己非法使用该个人信息,不构成侵犯公民个人信息罪。
公民个人信息,一定情况下具有经营信息性,如顾客名单及个人信息详细情况,符合商业秘密的特征。因而侵犯公民个人信息的行为,有时会同时触犯侵犯公民个人信息罪与侵犯商业秘密罪。如实施的犯罪行为在给权利人造成了重大损失,在性质上可以归属于情节严重,此时符合两个犯罪构成要件,但由于只有一个行为,属于刑法中的想象竞合犯,按照处理这一犯罪形态的原则,应当择一重罪论处。但是如果没有造成权利人损失的情况下,由于不符合侵犯商业秘密罪的构成特征,在具有其他严重情况的条件下,只能以侵犯公民个人信息罪论处。
根据《刑法》第二百五十三条之一的规定,违反国家有关规定,向他人出售或者提供公民个人信息,或窃取或者以其他方法非法获取公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。单位犯本罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。