作者简介:
汤健敏,女,1992年出生,2014年毕业于广东财经大学法律专业,2015年参加工作,现任广东省四会市人民法院民二庭法官助理,主要负责案件审理的庭前送达、沟通调解、庭审记录、草拟文书、案卷整理、装订归档等一系列工作。联系方式:0758-3113461、18026115591;电子邮箱:791580153@qq.com。
论文独创性声明
本人郑重声明:所呈交的论文是我个人进行研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写的研究成果,特此声明。
作者签名: 日期:
公民个人信息的刑法保护问题研究
论文提要:
随着网络信息化的快速发展,我们的生产、生活得到了极大的便利,但与此同时公民个人信息的泄露也极大地影响我们的正常生活。个人信息的泄露使得我们经常收到垃圾短信、垃圾邮件、骚扰电话,甚至严重的利用个人信息进行盗窃、诈骗、勒索等犯罪行为,以致公民在经济、精神和名誉等方面遭受严重损失。因此,保护公民个人信息尤为迫切重要。2017年5月8日,最高人民法院、最高人民检察院联合颁布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,该司法解释对《刑法》第二百三十五条之一规定的侵犯公民个人信息罪的理解与适用问题作出了明确而详尽的细化规定,在一定程度上厘清了该罪设立以来所凸显的司法争议和疑难问题,有助于促进刑法司法的统一性和准确性,同时为保护公民个人信息安全自由提供了有力的保障。结合这一最新的司法解释,本文将对公民个人信息的刑法保护问题进行具体分析研究。全文共6121字。
主要创新观点:
本文主要研究观点如下,公民个人信息包括身份识别信息和特定自然人的活动情况信息,其具有可识别性、隐私性和价值性等特点。刑法设定侵犯公民个人信息罪保护的法益是公民个人的信息自由、安全和隐私权。侵犯公民个人信息的行为主要有违反国家有关规定向他人出售或者提供公民个人信息、将在履行职责或者提供服务过程中获取的公民个人信息出售或者提供给他人、窃取或者以其他方法非法获取公民个人信息。确定“情节严重”和“情节特别严重”的认定标准对侵犯公民个人信息罪的定罪量刑至关重要,除违法所得数额、信息用途、主管恶性等情节外,最重要的是根据信息的类型确定了不同的数量标准,即准确认定不同类型的个人信息直街影响到是否构成犯罪及罪行轻重。
以下正文:
随着网络科技的发展,侵犯公民个人信息犯罪情况日益严重,近年来甚至已经发展到了猖獗的地步,由公民个人信息的泄露引发的一系列诈骗、绑架、敲诈勒索等犯罪,严重侵害公民的人身财产安全,扰乱社会良好的公共秩序、引发社会信任危机。公民的个人信息安全不断受到威胁,如何加强公民个人信息的保护成为当下一大重点。从根本上解决公民个人信息泄露的问题在很大程度上依赖于刑法保护。因此,本文拟从公民个人信息出发,在刑法保护的视野下,对侵害公民个人信息犯罪的变革、公民个人信息的认定、侵害公民个人信息罪定罪量刑的标准等问题作出简单的阐述。
一、侵犯公民个人信息罪名变更沿革。
侵犯公民个人信息犯罪在不同时期对罪名的规定也不尽相同。2009年2月28日实施的《中华人民共和国刑法修正案(七)》第七
条规定:在刑法第二百五十三条后增加一条,作为二百五十三条之一。
2009年10月16日起实施的《最高人民法院、最高人民检察院关于执行<中华人民共和国刑法>确定罪名的补充规定(四)》对此做出了相应罪名的补充修改,对刑法第253条之一第1款(《刑法修正案七》第7条第1款)新增罪名出售、非法提供公民个人信息罪;对刑法第253条之一第2款(《刑法修正案七》第7条第2款)新增罪名非法获取公民个人信息罪。
2015年11月1日实施的《中华人民共和国刑法修正案(九)》第十七条规定对刑法第二百五十三条之一进行修改。2015年11月1日实施的《最高人民法院、最高人民检察院关于执行<中华人民共和国刑法>确定罪名的补充规定(六)》将罪名修改为侵犯公民个人信息罪,同时取消出售、非法提供公民个人信息罪和非法获取公民个人信心罪罪名,侵犯公民个人信息罪一直沿用至今。
《刑法修正案七》、《刑法修正案九》先后对此类犯罪进行了规制,扩大犯罪圈,加重刑罚量,重视财产刑。而实践中,其司法适用普遍存在一些问题,尤其是对“公民个人信息”的认定,出现不少概念混淆、把握不一的现象。2017年5月9日,最高人民法院、最高人民检察院正式发布了《关于办理侵犯公民个人信息刑事案件适用法律的解释》,规定了公民个人信息的范围,侵犯公民个人信息罪的定罪量刑标准,侵犯公民个人信息犯罪所涉及的宽严相济、犯罪竞合、单位犯罪、数量计算等问题(1)。
近两年全国两会都将公民个人信息保护列为讨论重点,全国人大代表和全国政协委员多次呼吁国家能够尽快制定《个人信息保护法》。2018年3月15日,《个人信息保护法》(专家建议稿)宣布起草完成,该建议稿已是我国学界就个人信息保护发布的第三部研究报告,为保护公民个人信息和社会信息化发展提供了有力保障。
二、公民个人信息的认定。
《关于办理侵犯公民个人信息刑事案件适用法律的解释》(以下简称《解释》)第一条规定:公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。简单来说,公民个人信息就是可以用来识别特定自然人身份或者活动情况的各种信息。除上述规定列举的种类之外,通过一些典型案例及实务案件来看,涉及到公民个人信息的还有快递行业的客户个人信息、网络的订单信息、银行客户的个人信息、酒店行业的住宿信息、公安机关内网的公民个人信息等等。因此,公民个人信息的内涵可以包括以下四个特征:一是公民个人信息包括身份识别信息和活动情况信息;二是公民个人信息需是与特定自然人直接或者间接发生关联,单独或与其他信息结合可识别特定具体自然人的身份的;三是公民个人信息具有隐私性,该信息是信息主体不愿意公开,不愿意提供给他人的;四是公民个人信息具有价值性,其价值的等级是由公民信息的属性来决定的,一方面是人格属性,一方面是财产属性。
三、刑法保护公民个人信息的重要性。
通过分析公民个人信息的基本属性特点,能够在一定程度上认识到公民个人信息之于公民个人的重要性。在网络信息技术不断发展的背景下,公民的个人信息保护存在很大的隐患,利用信息技术能够快速地获取公民个人信息,对公民造成人身、财产伤害。因此,为了进一步保障人民的生命、财产安全,维护社会稳定发展秩序,必须通过法律法规对掌握个人信息的机构相关法律责任作出明确规定,对泄露公民个人信息的组织和个人加大打击力度和处罚力度。
利用刑法对我国公民个人信息进行保护是刑法的目的和功能所在。通过加强刑法建设能够很好地惩罚犯罪行为,对犯罪分子进行严惩和打击,进而起到威慑作用,降低犯罪率,起到预防犯罪的目的。刑法是法律的最后一道防线,也是最严酷的一种法律手段,属于强制性的规定,对犯罪行为具有很严厉的约束、管制作用。虽然目前对于公民个人信息在宪法、行政法、民商法等法律条规中具有模糊的体现,但是这些法律的作用并不大,并不能够很好地处置公民信息侵犯行为。但是刑法不同,在刑法中规定侵犯公民个人信息的行为属于一种犯罪行为,对参与的犯罪分子进行刑法处置,可以剥夺犯罪分子的财产,限制、剥夺犯罪分子的自由,剥夺犯罪分子的终生权利。因此,刑法的建立不仅能够很好地保护公民的个人信息不被侵犯,还能够降低相似犯罪行为发生的几率。
四、侵犯公民个人信息罪保护的法益。
确定侵犯公民个人信息罪保护的法益对明确“公民个人信息”的具体内容也有重要意义。时下关于侵犯公民个人信息罪保护的法益理论上主要有三种观点。一是认为,本罪保护的法益是公民个人隐私权。(2)二是认为,本罪保护的法益是公民个人的信息自由和安全(3)。三是认为,本罪保护的法益是公民个人的信息自由、安全和隐私权。(4)笔者认为对于侵犯公民个人信息罪保护的法益可以综合考虑,立法者设立侵犯公民个人信息罪的初衷在于保护公民个人信息不被泄露,保护公民人身、财产安全和个人隐私以及正常的工作、生活不受非法侵害和干扰,(5)因此,侵犯公民个人信息罪保护的应该是双重法益,即公民个人信息的自由、安全权以及隐私权,因而也就决定了侵犯公民个人信息犯罪对象内容的多样性。
五、侵犯公民个人信息罪的行为类型。
第一种类型是违反国家有关规定,向他人出售或者提供公民个人信息。“违反国家有关规定”的范围较为宽泛,虽然我国尚未出台公民个人信息保护法,但一些特殊的法律法规对特定领域公民个人信息的保护有专门规定,由此可以进行法律引用。“出售”也属于“提供”,因为出售是一种常见类型,故法条将其独立规定。“提供”的方式没有限定,凡是使他人可以知悉公民个人信息的行为均属于提供。
第二种类型是违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人。“在履行职责或者提供服务过程中获得的公民个人信息”包括作为主体的单位以及自然人在履行职责或者提供服务过程中正当、正常获得的公民个人信息。例如,银行工作人员在工作中获得的储户个人信息,宾馆工作人员在工作中获得的旅客个人信息,网络电信服务商在提供网络、电信服务过程中获得的公民个人信息等。
第三种类型是窃取或者以其他方法非法获取公民个人信息。“窃取”是指采用秘密的或者不为人知的方法取得他人个人信息的行为,也是“非法获取”的一种方式,只是由于窃取的方式较为常见,故法条将其独立规定。凡是非法获得公民个人信息的行为均属于以其他方法非法获取,如收买、骗取、胁迫等。
六、侵犯公民个人信息罪定罪量刑标准。
侵犯公民个人信息罪,是指违反国家有关规定向他人出售或者提供公民个人信息,或者将在履行职责或者提供服务过程中获取的公民个人信息出售或者提供给他人以及窃取或者以其他方法非法获取公民个人信息情节严重的行为。(6)根据《刑法》第二百五十三条之一的规定,侵犯公民个人信息罪只有在对公民个人信息的侵害达到某种严重程度时才构成犯罪,因此,情节是否严重是判断行为人是否构成犯罪的标准。
(一)“情节严重”的认定标准。
1.关于信息数量的标准。侵害公民个人信息罪的对象是公民个人信息,以公民个人信息的数量作为量化标准,根据非法获取、出售或者提供的公民个人信息数量来设定入罪标准,最能反映该罪的社会危害性。在实践中,由于公民个人信息的类型繁多,重要程度不一,特别是各类公民个人信息背后关联的法益存在较大差异,因此,基于不同类型公民个人信息的重要程度,《解释》分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准,以实现罪责刑相适应的原则。具体而言,一是非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的。上述四项信息内容是属于高度敏感信息,与公民的人身安全、财产安全直接相关,如果其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性,因此,设定的入罪门槛标准较低。二是非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的。上述公民个人信息虽然在重要程度上不及行踪轨迹信息、通信内容、征信信息、财产信息,但也是与公民人身安全、财产安全直接相关的,往往被用于诈骗等违法犯罪活动,因此,司法解释将侵犯该类个人信息的入罪标准设定为五百条以上。三是非法获取、出售或者提供一般公民个人信息五千条以上的。在司法实践中,除前述公民个人敏感信息外,出售、提供公民个人信息往往数量较大,动辄数万条甚至数十万条,因此对出售、提供一般公民个人信息的入罪掌握在数量五千条以上,基本可以满足严厉打击此类犯罪的需要,且给行政处罚留有一定空间。
2.针对违法所得数额的标准。出售或者非法提供公民个人信息往往是为了牟取利益,故《解释》单独规定了情节严重的金额标准为“违法所得五千元以上”。由于数量标准是侵犯公民个人信息罪的重要入罪条件,两高对于该项5000元以上的金额规定属于兜底项,即数量达不到上述规定如果金额达到的话也足以构成犯罪。
3.根据信息用途认定“情节严重”。通常而言,非法获取公民个人信息,绝不仅是为了占有,而是有特定用途,甚至用于违法犯罪,因此,《解释》明确规定“出售或者提供行踪轨迹信息,被他人用于犯罪的”以及“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的”这两种情形都应当被认定为“情节严重“。这两种情形主要根据出售或者提供对象对信息的用途,同时结合信息种类来确定判断标准。
4.特殊主体的数量、数额标准认定。据统计,公民个人信息的泄露案件中八成是来自于内部人员作案。国家机关或者金融、电信、交通、教育、医疗等单位的工作人员将在履行职责或者提供服务过程中能够获取大量的公民个人信息,内部工作人员将获得的公民个人信息出售或者提供给他人,成为了侵犯公民个人信息违法犯罪泛滥的重要原因。为此,《解释》对上述情形认定“情节严重”设置了特殊标准,规定对服务提供者和内部工作人员在履行职责或者提供服务过程中将获得的公民个人信息出售或是提供给他人的,认定“情节严重”的数量、数额标准减半计算。
5.对行为人主观恶性的标准。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的,行为人屡罚屡犯,主观恶性大。不再考虑数量、数额及违法所得等标准,一经实施,就应认定为“情节严重”,体现了立法者对侵犯公民个人信息犯罪强调高压的态度(7)。
(二)“情节特别严重“的认定标准。
首先,是数量数额的标准。基于司法实践中侵犯公民个人信息犯罪涉案的公民个人信息数量相差悬殊,跨度从几十条到几十万条不等,因此,司法解释以十倍的标准对侵犯公民个人信息罪的“情节严重“和”情节特别严重“进行区分,具有一定的合理性。
其次,是严重后果的标准。严重后果的认定主要是基于侵害公民个人信息罪最终所造成的危害性的严重程度。一是对人的危害,表现为对个人造成的经济损失和人身损害。如果造成他人非常重大经济损失或者造成他人精神严重受损及死亡的,应当认定为“情节特别严重“。二是对国家和社会的危害,公民个人信息除了具有的身份和经济价值之外,还具有一定的社会价值和战略价值。表现为部分公民个人信息的泄露可能造成引起社会恐慌或者危害国家安全的后果。因此,侵犯公民个人信息造成国家重大经济损失或者具有恶劣社会影响,以及将公民个人信息传递至境外造成国家安全及利益受到损害的,应当认定为”情节特别严重“。
(三)为合法经营活动购买、收受公民个人信息定罪量刑的特殊标准。
在实践中,购买、收受公民个人信息从事广告推销等活动的情形较为普遍,《解释》第六条第一款规定:“为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:(一)利用非法购买、收受的公民个人信息获利五万元以上的;(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;(三)其他情节严重的情形。“这是《解释》针对合法经营活动而购买、收受公民个人信息的行为设置的专门的定罪量刑标准,而且考虑到此类行为的社会危害性不大,即使构成犯罪,通常也不需要升档量刑,故只规定了”情节严重“的具体情形。但是,适用该定罪量刑标准需满足三个条件,一是为了合法经营活动;二是限于一般公民个人信息,即不包括可能影响人身、财产安全的敏感信息;三是信息没有再流出扩散,即行为方式限于购买、收受。(8)另外,根据《解释》第六条第二款规定,如果将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准应当适用《解释》第五条的规定。
综上所述,具有核心价值的公民个人信息日益成为信息社会建设和网络产业发展的战略要素,公民的个人信息应被重视和保护,对与个人信息相关犯罪的有效防治也成为国家、产业和公众高度关切的重大命题。为了进一步保障人民的生命、财产安全,维护社会稳定发展秩序,必须要加强刑法建设。在刑法层面上及时转变应当思路、理性阐释规范体系、科学创新裁断机制,进而真正提升刑事法治对法益的保护水平,实现信息空间的综合治理。
(8) 喻海松:《侵犯公民个人信息罪司法解释理解与适用》,中国法制出版社2018年版,第36页。