个人信息安全的刑法保障——《刑法修正案（七）》第7条析解

　 四、具体问题研究

　 （一）关于条文设置的妥当性问题

　 《修正案》草案议定之初，尚存在关于侵犯个人信息行为入罪是否妥当之争，争议的焦点在于在我国目前尚未建立起有效的个人信息前置性法律保护的情况下，将侵犯个人信息的行为直接入罪，是否有违刑法的“底线法”、“最后法”价值诉求？

　 针对这一问题，本文认为，事实上，我国在宪法、民法、行政法、刑法、诉讼法等法律法规及相关司法解释中，已经形成了对公民隐私权的间接的、分散的法律保护[6]，其中的一些规定，也间接地涉及到个人信息，如民法在对隐私权的保护问题方面，采取的是以对名誉权、肖像权、姓名权分别予以保护的方式进行的；宪法与刑法关于通信自由的规定，也间接地保护了包括公民的通信方式及信件中可能涉及到的其他信息在内的个人信息；诉讼法上关于涉及个人隐私不公开审理的程序原则，也是对个人涉案信息的一种保护。因而，尚未建构起有效的个人信息保护的民事与行政性法律框架，并不等于前置性法律救济的缺乏。同时，业已启动的《个人信息保护法》及其中关于拥有个人信息的企业、团体，在未经个人同意的前提下，除因税收记录及媒体调查需要外、将个人信息泄露给第三方需承担行政责任的规定，以及关于政府部门收集利用个人信息的规定，完全有理由让我们相信，前置性的个人信息保护法体系的形成指日可待，因前置性法律不完善而形成的貌似“单兵突进”的《修正案》第7条，将更为有效地承担起捍卫公民信息权的重任。对侵犯个人信息犯罪化的《修正案》规定，是对专门性个人信息行政保护的召唤、对个人信息保护体系的促进与发展，更是刑法立法理念的提升与具体化。

　 （二）犯罪主体问题

　 根据《修正案》第7条的规定，侵犯个人信息罪的主体既包括国家机关或者金融、电信、交通、教育、医疗等单位的工作人员、以窃取或者以其他方法非法获取个人信息的人员，也包括以上述方式侵犯个人信息且情节严重的单位。这一规定弥补了《草案》一审及二审中将本罪主体限定为自然人的不合理作法。但是，有论者认为，应当在第1款中“将‘房地产’明确列举出来，因为近年来房地产企业侵犯公民个人信息的情况特别严重。”{5}本文认为，《修正案》第7条第1款属于提示性规定，旨在对可能导致个人信息受到严重侵害的主体进行立法上的特别提醒，并没有排除房地产及其他行业工作人员及其单位对个人信息造成侵害的可能，诸如商场、酒店等因促销需要而以不正当手段获取客户信息或以牟利为目的、对所掌握的客户信息予以非法泄露的，行为人及其单位均可构成本罪。因而，法条中“……等单位”的堵截性构成要件规定，完全有能力将条文未列及事项囊括在内，凡将因职务而获取的个人信息出售或者非法提供给他人且情节严重的，行为人都应受到相应的刑罚处罚。

　 （三）犯罪行为

　 行为是犯罪的基石，直接决定着犯罪的性质。对侵犯个人信息行为的研究，主要涉及到两个方面的问题：一是行为的表现形式问题，即作为与不作为问题；二是行为的方式问题，即侵犯他人个人信息所采取的手段。

　 作为与不作为的区别，在于前者表现为对禁止性规范的违反而后者则表现为对命令性规范的违反。行为人在侵犯他人个人信息的过程中，多表现为出售、非法提供、窃取、收买等违反禁止性规范的行为。对于行为人能否以不作为的方式侵犯他人的个人信息，本文认为，不作为是以“当为、能为、而不为”的核心特征的，在银行、电信、酒店等具有公共服务性质或律师事务所、会计师事务所等具有中介服务性质的场合，行为人对他人的个人信息负有保密义务，但由于没有采取适当措施而导致客户信息泄露的，即违反了应当替客户保密的命令性规范。因此，不作为也是侵犯个人信息的行为形式之一。

　 关于行为方式问题，有观点认为，本罪规定的行为方式难以满足现实的需要。在现实生活中，除《修正案》第7条规定的“出售或者非法提供给他人”以及“窃取或者以其他方法非法获取上述信息”的行为方式外，还存在非法购买、采集、存储、处理以及超期不消除、非法使用等侵犯公民个人信息的行为方式，而这些行为方式与《修正案》第7条规定的行为方式之社会危害性相差无几，理当入罪{6}。本文认为，这一观点是基本正确的。由于《修正案》第7条第1款明确规定国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，是采取“出售或者非法提供”的行为方式，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息提供给他人，鉴于上述单位工作人员也可能以超期不消除、非法使用等其他方式非法处理个人信息并造成严重影响，建议将这种列举式的规定方式改为概括式，即将第1款改为：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息进行非法处理，情节严重的，处3年以下有期徒刑或者拘役，并处或者单处罚金。”对于第2款中有关行为方式的规定，由于《修正案》已采取了列举加概括式的规定方式，因而对于以窃取、收买以外的其他方法如非法采集等获得个人信息的，完全可以在原条文范围内实现对应而无需再行修正。

　 （四）关于“情节严重”的认定

　 情节是构成事物的各种情况与环节，没有情节就没有犯罪。《修正案》第7条规定的“情节严重”中的“情节”，是指对行为构成犯罪具有决定性意义的情节，即定罪情节。作为一种事实存在，定罪情节必须在达到足以使行为入罪的严重程度时，始具有刑法学上的判断价值。就侵犯个人信息而言，行为人必须在以出售等方法非法提供他人信息、或者以收买、窃取等方法非法获取他人信息、以及非法使用他人信息的行为足以对公民的人格权与财产权构成严重威胁或造成严重损失时，才能构成侵犯个人信息罪。对侵犯个人信息“严重”程度的判断，本文认为，应当从以下方面进行考虑：

　 一是信息量。对侵犯个人信息量的判断，一般应通过信息所涉及主体的数量进行。在涉及个人姓名、性别、联系方式、肖像、家庭状况、职业、爱好、社会关系等相关信息时，即便行为人只是对其中的一个或简单数个信息的泄露、非法使用，但如果涉及人数较多、影响面较广，就应当构成“情节严重”。

　 二是信息的重要程度。对信息重要程度的判断，主要涉及对公众人物个人信息的重要程度判断及对普通社会公众个人信息重要程度的判断的两个方面。由公众人物的社会角色及职业需求决定，其个人信息在很多情况下需要为公众所周知，因而，媒体或其他社会主体以各种渠道获得其个人信息并加以使用的情况是允许的，即便是在涉及大量公众人物信息的情况下，也不能视作非法。但是，这些信息应当是信息主体以明示或默示的方式允许公开的，对于其采取措施加以保护的个人信息的侵犯、即对涉及个人隐私的、不希望为公众所知的个人信息而言，行为人的非法使用、收买、出售等行为应当是被禁止的，在对信息主体造成严重影响或涉及主体较多的情况下，应当以“情节严重”加以认定。对于普通社会公众而言，个人信息的重要程度是指根据信息主体的个体意愿及一般社会公众的认识、信息与其主体之间的利益关联程度，如果信息对信息主体的人格、名誉、家庭、经济利益、社会关系、以及与其有关的利益群体的生活、收入、声誉等而言关系重大的，对该信息的侵犯即应视作“情节严重”。

　 三是信息的影响力。信息的影响力主要是指个人信息的非正常公开对信息主体的影响程度，如网络上流行的“人肉搜索”、“网络通辑”等，虽然是对公民一般个人信息的公开，但由于网络的传播速度快、辐射面广、影响广泛，不仅造成了信息主体的正常生活及工作被扰乱，其家人也颇受其扰，更加严重的是，这种个人信息的非正常公开与使用的示范作用，也使社会秩序的正常运行面临威胁，民众人人自危。

　 四是行为的次数。国家机关、金融、电信、交通、教育、医疗等单位的工作人员，出于牟利或其他目的而将因职务所掌握的公民个人信息以出售等方式多次加以非法处置或者一般公民多次非法收买、使用个人信息的，应当被视为“情节严重”，由于我国刑法理论与实践中一般将“多次”认为是“三次以上”[7]，因而，对非法侵犯公民个人信息的入罪化认定，也应以三次为宜并以一年为限；在因上述行为而受到过相关行政处罚、行为人再次实施侵犯个人信息行为的，也应当考虑将其入罪。

 
【注释】
[1]公共利益必须被限定，是防止国家权力扩充的必要之举。除因国家安全、社会重大法益及公民人身或财产面临重大危险的场合，假公共利益之名而泄露或获取个人信息的，都应受到严格的限制与审查。
[2]长期以来，基于国家安全与经济发展之需，我国刑法关于信息安全的保护，主要集中于国家信息与商业信息的保护方面，如第111条规定的为境外窃取、刺探、收买、非法提供国家秘密、情报罪、第180条规定的泄露内幕信息罪、第 219条规定的侵犯商业秘密罪等，而对于事涉公民人身安全、人格尊严与价值利益的个人信息安全，却失之阙如。
[3]刑法第252条与第253条规定了对公民通信自由的保护，两个条文所规定的行为方式完全相同，只是由于主体不同，前者为一般主体而后者为邮政工作人员，因此涉及到两个罪名：侵犯通信自由罪与私自开拆、隐匿、毁弃邮件、电报罪。
[4]关于个人信息与隐私权之间的关系，学界存在争议。有论者认为，个人信息属于个人隐私的一部分，“个人资料保护的目的，即在保护个人隐私”（王郁琦：《NII与个人数据保护》，载《信息法务透析》1996年第1期），美国1974年的《隐私权法》、我国香港96条例和OECD也采取了这一立场；也有论者认为，“个人信息的范围大于个人隐私”，因为个人信息中的有些内容是可以公开的，而隐私一般仅指与特定人的利益或者人身发生联系且权利人不愿为他人所知晓的私人生活和私人信息（冯心明、戎魏魏：《个人信息保护立法若干问题思考》，载《华南师范大学学报》（社会科学版）2007年第4期）。本文认为，个人信息是与公民个人密切相关的信息圈，是否属于隐私，在于公民本身是否愿意将其公开，在违背个人意志的情况下，任何个人信息的透露都将涉及对隐私权的侵犯，因而应当认为，个人信息属于个人隐私权范畴。
[5]“窃取”虽然与第1款所规定行为方式不相对应，但从行为的作用力来看，“窃取”所具有的取得性与第1款所规定行为的延出性是相对合的。应当说明的是，区别于有形物转让时的单向流转性，信息的非法提供与出售都只是进一步扩充了信息知情者的范围，信息同时为提供者与被提供者所共同享有，因而其后果只是一种信息资源的延出而非让与。
[6]宪法第38条、39条、40条关于公民的人格权、住宅权、通信自由权的规定、民法第99条关于公民姓名权、第101条关于公民肖像权保护的规定、刑法第245条关于非法搜查罪、非法侵人住宅罪的规定、以及诉讼法上关于涉及个人隐私案件不公开审理原则的确定等。
[7]如1997年最高人民法院《关于审理盗窃案件具体应用法律若干问题的解释》中规定：“对于一年内入户盗窃或者在公共场所扒窃三次以上的，应当认定为“多次盗窃”，以盗窃罪定罪处罚;1999年最高人民检察院《关于人民检察院直接受理立案侦查案件立案标准的规定（试行）》中规定：“国家机关工作人员涉嫌利用职权非法拘禁，具有下列情形之一的，应予立案：……2．三次以上非法拘禁他人……”等司法解释中，“多次”均作“三次以上”解释。

 
【参考文献】
{1}［美］约翰·罗尔斯．正义论[M]．北京：中国社会科学出版社，1988. 1. {2}何怀宏．契约伦理与社会正义—罗尔斯正义论中的历史与理性[M]．北京：中国人民大学出版社，1993.120. {3}李步云．论人权的三种存在形态[J]．法学研究，1991,(4). {4}张明楷．刑法学[M]．北京：法律出版社，2003.514. {5}赵冷暖·对刑法修正案（七）草案的意见[EB/OL]. http//www. tianya. cn/2008/8/30. {6}北师大刑科院关于《刑法修正案（七）》的讨论意见[EB/OL]. http//www. criminallawbnu. cn/2008/9/21.