侵犯公民个人信息犯罪认定中的若干问题
关键词: 个人信息 非法获得 情节严重
内容提要: 《刑法》第253条之一是针对侵犯公民个人信息犯罪的规定,该条文由2009年2月《刑法修正案(七)》增设,旨在保护公民个人生活的安全,惩戒因个人信息被非法泄露而导致的人身、财产和个人隐私受到的严重侵害。结合上海首例侵犯公民个人信息犯罪的案例,在司法实践适用中,应该以折中说限定个人信息的范围,明确“收买”与“收受”个人信息行为的性质,并主要以受害程度,并辅之以信息数量、牟利数额、行为手段等作为情节严重的判断标准。
一、问题的提出
2009年7月,上海市浦东新区人民检察院以非法获取公民个人信息罪批准逮捕犯罪嫌疑人赖某,指认犯罪嫌疑人赖某自2006年3月至2009年6月案发之前,伙同他人以成立咨询公司为名,开展帮人讨债寻人、婚外恋跟踪取证、打假等业务。为满足客户需求,犯罪嫌疑人采取跟踪、守候等方式,非法获取公民个人信息并高价出售,获利人民币60余万元。其中,自2006年初结识某公安分局消防支队士官吴某后,约定吴某通过公安内部网查询大量人口信息和客人人住宾馆信息,然后以手机短信、传真及电话等方式告知,由赖某支付一定报酬。赖某获得相关信息后,再转售牟利。经查证,赖某自吴某处共获取信息1万余条,其中自2009年3月至案发之前,获取公民个人信息50余条,支付给吴某好处费3万7千余元。
该案是2009年2月28日全国人大常委会颁布的《刑法修正案(七)》增设侵犯公民个人信息罪以来,国内较早适用相关罪名保护公民个人信息的案件。[1]因《刑法修正案(七)》刚刚出台,且首次以刑法手段保护公民个人信息,尚未有相关判例,理论研究也并不充分,在司法实践中如何适用该新罪名值得深入探讨。
按照《刑法修正案(七)》第7条的规定,为了强化对公民个人信息安全的保护,在《刑法》第253条后增加一条,作为第253条之一(以下简称“本条”),规定侵犯公民个人信息,情节严重的构成犯罪。这是对近年来日益严峻的公民个人信息被无端泄露的刑法回应。[2]个人信息被不当采集、随意泄露、任意篡改、恶意使用乃至非法转卖牟利,不仅是对公民权益的严重侵害,[3]而且一旦个人信息流人犯罪分子手中而引发盗窃、诈骗、绑架等刑事犯罪,会给公民造成二次甚至三次侵害,成为其他犯罪的源头犯罪。长期以来,我国刑法更侧重对公共利益的保护,侧重对个人财产权、生命权的保护,而缺乏对公民个人信息、个人隐私的保护。从目前来看,侵害公民个人信息的行为已远非民事法律、行政法律所能抑制,因此,尽管我国尚未出台作为前置法的公民个人信息保护法,此次修正案依然将严重侵犯个人信息的行为人罪,以彰显对公民权利的保护。[4]
由于侵犯个人身份信息的主体、行为性质明显不同,可认为分别规定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”。司法解释也作出了这样的罪名界定。然而,从目前而言,无论是个人信息的范围、非法获取信息的方式,还是情节严重的界定标准,都缺乏量化的定型,为司法适用带来了不便,导致条文很难化为现实。
二、“公民个人信息”的界定
(一)公民个人信息的范围与界定标准
侵犯了公民个人信息是入罪底线,明确其内涵是适用本条的前提。然而,我国尚无公民个人信息保护法,[5]如何理解“公民个人信息”,尚存争议。有观点将公民个人信息定位于姓名、职业、职务、年龄、婚姻状况、学历等“能够识别公民个人身份的信息”。[6]也有学者主张从广义上界定,认为“是指以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。其外延十分广泛,几乎有关个人的一切信息、数据或者情况都可以被认定为个人信息”。[7]此外,还有观点主张适当限制,认为是指与公民人身、人格密切相关,为公民个人所有,与公共生活无关且不为公共生活所知悉的信息。[8]比较国外相关立法,有关个人信息的范围界定不一,常见的概念包括数据、信息、隐私三个指称。[9]一般认为,个人信息保护法存在两个重要的基础原则:即个人信息权利保护原则与信息自由流动原则。这由个人信息的双重属性所决定:一方面,个人信息关乎私人生活的安定有序,涉及人格权和人身权的核心内容;另一方面,当代社会的公共生活也是建立在个人信息的统合和自由流动的基础上。因此,不能将个人信息的保护绝对化。就法律所要保护的个人信息而言,首先应该排除事关公共生活的信息。譬如对犯罪嫌疑人的追捕,通过媒体公开嫌疑人的姓名、年龄、身高等能够识别其人的具体信息,既正当亦合法。除了受公共利益的限制外,知情权以及新闻和言论自由等也制约公民个人信息的法律保护范围。
然而,就刑法而言,姓名、年龄、身高、体重、学历等单纯的数据是否应视为受到刑法保护的个人信息?应如何理解本条中的“公民个人信息”?其刑法意义上的判断标准如何确定?
对此,笔者以为,既然立法者认为民事法律、行政法律并不足以有效保护公民个人信息,而需要运用刑罚作为最后的保障手段,那么作为保护对象的个人信息就必须具有刑法保护的价值。除了有些情节、手段需要予以刑罚规制外,还需要考虑个人信息本身的价值。由此可见,姓名、年龄、身高、体重等单纯的数据性信息,虽能起到识别公民个人身份的作用,侵害行为也会给公民生活带来不便,但是否值得超越民事法律、行政法律等保护手段而运用刑罚,便值得商榷。
那么,公民的既往病史、奖惩记录、恋爱经历、具体行踪等本人不希望为他人所知晓的隐私(或称隐秘)能否包含其中呢?例如,某大龄女新近谈了梦寐以求的男友,欲步入婚姻殿堂。然而在婚前体检时,医师却告知其男友,该女曾三次堕胎。男友于是与之分手,该女觉得人生无望,遂自杀身亡。这里,行为人提供的是真实隐私(难以构成侮辱罪或诽谤罪),也并非一般意义上能够识别公民个人身份的信息,对此,刑法是否就束手无策呢?
有必要从本条的立法宗旨、刑法保护个人隐私的必要性这两个方面考察此问题。首先,刑法保护个人信息,旨在禁止任何他人或单位非法侵入公民的私人领域,从而达到保护个人信息所体现的公民的隐私权——即可自主掌控自己个人信息的权利[10]、进而维护公民现有平稳生活状态。只要非出于公益目的,并严格依照相关法律法规的规定,就必须最大限度地尊重公民隐私权。其次,我国刑法严格保护国家以及企业的秘密,而没有保护个人秘密的条款,这种不均衡的刑法条款体系在某种意义上是与《宪法》中的人权保障精神相违背的。[11]事实上,作为社会人,每个人都或多或少地依赖个人隐私而相对平稳地生活在这个社会之中,个人隐私理应与个人的财产权、人身权作同等保护。因此,考虑到我国刑法尚未设置侵犯个人秘密或隐私的犯罪这一立法疏漏,[12]就不应将个人隐私排斥在本条的犯罪对象之外,甚至可以期待,本条能发挥侵犯个人隐私罪或者泄露个人隐私罪的功能。
基于以上分析,对个人信息的定义采取限制说更为妥当。接下来的问题就是如何确定具体的判断标准?对此,存在主观说(只要本人主观上有保护的意思即可)、客观说(必须是客观上对本人具有保护的价值)、折中说、择一说(只要本人主观上有保护的意思或者客观上对本人具有保护的价值即可)四种观点。笔者认为,折中说更为合适,应同时考虑个人意愿与社会评价。具体而言,首先,必须是本人不希望为一般人所知晓的个人信息,若本人希望更多地公开个人信息以扩大知名度,甚至有意借此炒作,即便采取不法手段获取了这些信息,符合本条犯罪的客观方面要件,也不宜作为犯罪来处理。其次,客观上还需存在值得保护的价值。质言之,即对于一般人--而言,若放任侵害,会足以危及公民的个人生活乃至社会生活的平稳。其中,传真号码、电话号码、家庭住址是比较特殊的信息,它既不同于身份证号码、银行卡账号等私密性极强的信息,又不同于姓名、年龄等尚不值得刑法保护的单纯的数据性信息。对此,虽不可一概而论,但一般情况下,宜以民法、行政法规制为善。
概言之,应结合本条的立法宗旨来决定犯罪对象即个人信息的范围,不应过于狭义地理解,个人隐私的保护应是题中之义;同时,也不能作过于宽泛的理解,还应看客观上有无保护的价值。重要的是,要看披露这些信息是否违背公民个人意愿,且足以影响其现有平稳生活。
值得注意的是,犯罪对象的具体形态不限于文字,还包括录音、图像、图片等其他可揭示个人信息的资料;同时,也不限于静态信息,还包括动态信息,例如本案中的“客人人住宾馆信息”。
(二)何为第2款中的“上述信息”?
根据法条的明文规定,第1款中的个人信息,必须是国家机关或相关单位“在履行职责或者提供服务过程中获得的公民个人信息”。第2款的罪状表述中使用了“上述信息”这一指代性词语,对此存在两种理解:一种观点认为应按照条文的上下结构,将“上述信息”理解为第1款中“国家机关或者金融、电信、交通、教育、医疗等单位在履行职责或者提供服务的过程中收集、保存、管理的公民个人信息”;[13]另一观点主张直接理解为“公民个人信息”[14]。
第一种观点是文理解释,符合条文结构与文义。而且,通过对第1款中的犯罪主体作扩大解释,将合法收集公民个人信息的单位均作为本罪的犯罪主体,[15]能够在法意所及的范围内并在严格限制处罚范围的基础上,适度扩大第2款的对象范围。但问题是这会留下处罚上的真空,是否真正符合立法本意也不无疑问。例如,对于诸如行为人利用网络技术或者其他手段从公民个人处直接非法获取该公民本人或其他人的大量信息的行为,或者以窃取等其他方法非法获取机关或单位在履行职务的过程中“不法”获取的个人信息的行为,按照其观点便不能处罚。不仅如此,相关单位和个人所能合法采集的公民个人信息相对有限,且多限于数据性信息。如下所述,本条所谓“公民个人信息”不限于此,侵犯公民的动态信息、图像、影像等事关公民个人隐私的信息,造成的危害可能更大,现实生活中也并不少见,而按其观点,则只能将此类信息排除在外。
采取第二种观点的最大障碍在于,这是否是为了处罚而处罚?这是否有违罪刑法定原则?分析第1款中的词句结构,“在‘信息’之前有两类限定和修饰语:一是国家机关或者金融、电信、交通、教育、医疗等单位在履行职责或者提供服务过程中获得的,二是‘公民个人’。”[16]单从文理解释的角度,两种观点均可成立,直接理解为“公民个人信息”也属于条文的应有之义,不能说一定违反罪刑法定原则。进一步而言,若从合目的性解释来看,后一种观点能更切实地解决司法实践中的实际问题,应该说更符合立法宗旨。因此,虽有具体指代关系不明之嫌,但笔者仍倾向于第二种观点。
当然,在赖某非法获取个人信息案中,无论采取哪一种观点,赖某通过吴某从公安内部网获取的“人口信息和客人人住宾馆信息”均属于本条的犯罪对象。
三、如何理解“国家机关或者金融、电信、交通、教育、医疗等单位”及其工作人员的范围
本条第1款的犯罪主体是特殊主体,即国家机关或者金融、电信、交通、教育、医疗等单位的工作人员;第3款的犯罪主体是上述单位;第2款是一般主体,对此基本不存在疑义。但就“单位”、“单位的工作人员”的范围界定,仍有探究的余地。
第一,除列举的“国家机关或者金融、电信、交通、教育、医疗等单位”之外,这里的“单位”是否还包括保险、房地产销售或中介、汽车销售、技能培训等其他单位呢?对此,有观点认为,“考虑到本条主要是对在履行职责或提供公共服务过程中利用某种程度的‘公权力’采集到的公民个人信息的国家机关或者单位,违反法律规定的保密义务的应负的刑事责任……不宜将公民个人信息的刑事保护范围扩大到没有利用‘公权力’采取的一切单位和个人。”[17]笔者认为,该观点虽有一定的合理性,但并无必要作此限制。首先,法条本身只是规定“本单位在履行职责或者提供服务过程中”,既没有强调利用“某种程度的‘公权力”’,也没有要求必须是在“提供公共服务过程中”,作此限定并无法律依据。相反,在全国人大常委会法制工作委员会关于《刑法修正案(七)(草案)》的说明中将“履行公务”和“提供服务”并列起来,[18]似也表明“等单位”并不限于公权力行使单位。其次,虽然具有一定“公权力”的机关或单位侵害公民个人信息的行为的社会危害性相对更大,但在现实生活中,公民在享受或者购买某种服务之时,往往不得不按照对方单位的要求如实提供个人相关信息。而且,往往也正是这些单位的工作人员所实施的出售或非法提供信息的行为扰乱甚至实际威胁到了公民的个人生活,若将这些单位排除在外,既不符合客观现实,也不能真正达到保护公民个人信息乃至正常生活的目的。事实上,相对于个人而言,强势主体除了代表公权力的相关机关之外,还包括具有市场支配力的各种商业或服务组织,后者同样会构成对个人生活的重大影响甚至控制。因此,“本罪的犯罪主体应作扩张性解释,将合法收集公民个人信息的单位均作为本罪的犯罪主体。”[19]换言之,只要是合法成立的单位均可成为本罪主体。例如,现实生活中大量存在的招聘网站、猎头公司、各类中介机构、市场调查公司、房地产公司等均应包括在内。当然,如果是非法成立的单位,即便获取个人信息的手段貌似合法,也只能认定为“非法获取”,而由本条第2款、第3款来规制。
第二,“单位的工作人员”应限于有权人员,即按照机关或单位的相关规定或工作安排,有权对本机关或本单位合法获取的个人信息行使管理、控制、查阅等权力的部分人员,而不能简单地认为,只要是该机关或单位的成员即具备这里的特殊主体身份。若无权人员未经授权而获取了本单位合法采集的个人信息之后出售或者非法提供的,只能构成非法获取个人信息罪;但若无权人员并非非法获取,例如,无意看到或拾到本单位所掌握的个人信息之后再出售或非法提供的,则非本款乃至本条的规制对象。
在赖某非法获取个人信息案中,赖某是一般主体,虽然检察机关将吴某-的行为另案处理,但笔者认为,确定吴某的身份仍有助于认定赖某行为的性质。这是因为,正如后述,若认为第2款中的“非法获取”包括“收买”行为,赖某自然实施的是“非法获取”的实行行为,可构成“非法获取公民个人信息罪”;反之,若认为“非法获取”不包括“收买”行为,则赖某的行为与吴某的行为构成共同犯罪,其性质当然取决于吴某的身份以及由此所决定的罪名。具体而言,作为一名普通的消防支队士官,吴某是否有权接触公民个人信息不得而知,有必要查明其行为是否是职务授权行为。若属于职务行为,吴某构成出售公民个人信息罪。否则,只能以非法获取公民个人信息罪论处。
四、“非法获取”行为的认定
首先,构成本罪的获取个人信息的行为首先应该是“非法”。所谓“非法”,一般认为是指没有法律根据而获取。[20]但笔者认为,非法应理解为“违反法律法规的禁止性规定”。这是因为:第一,就法理而言,公民有权实施法律法规并未禁止的任何行为,即便该行为违反公共道德,也不应直接上升到刑罚处罚的高度。第二,公民获取他人信息的途径有很多,并非全部都有成文法上的根据,过度扩大处罚范围,有使得“非法”这一限制流于空洞之虞。最为典型的就是“人肉搜索”。人肉搜索很难说有明确的法律依据,甚至不排除会有人利用这种便捷方式以达到个人目的乃至非法目的。但在现行法律体系下,只要不是利用职务之便,不是捏造事实诽谤他人,没有超出一般人所能承受的正常限度而严重影响他人的平稳生活,就不应认定为犯罪。第三,第1款要求是“违反国家规定”,[21]将第2款中的“非法”理解为“没有法律根据”,这不符合法条的文义。因为第1款中的机关或单位虽明显处于强势地位,却利用此地位背离职责违背信赖,出售或非法提供个人信息,其处罚限制条件理应不比第2款宽松。第四,若采取该观点,司法实践的某些问题也难以界定。例如,在大型招聘场所,招聘单位在活动结束后随意丢弃应聘人员材料的情况屡见不鲜,某无业人员进入场内将被丢弃的材料收集整理后,大量出卖给某房地产中介公司,显然,该无业人员的行为并无任何法律依据,是否也应定非法获取公民个人信息罪呢?
若公民个人信息保护法这一前置法律得以制定,这里的“非法”当然主要是指违反了该法的明文规定。[22]但是,在前置法律缺位以及宪法、民法对个人信息的保护并不十分明确的情况下,事实上,很难区分究竟是并无法律根据还是违反了法律的明文规定,作为次善之策,当下只能是从法益保护的角度去理解:没有明确的法律根据,且足以危及公民信息安全。同样,对第1款中的“非法”提供也可作此理解。
其次,基于对“非法”的解释,“非法获取”似乎应是一切违反法律法规禁止性规定,取得公民个人信息的行为。对此,刑法仅作了例示性规定。笔者认为,行为手段应与窃取具有大致相同的危害性,因而,除窃取(包括偷拍、秘密录音、秘密跟踪调查等)之外,通过骗取、利诱、胁迫、抢夺、抢劫、恐吓、非法侵入他人计算机系统等法律明文禁止的手段而获取的,均可视为“非法获取”。
问题在于,第2款中的“非法获取”是否当然包括“收买”、“收受”他人信息的行为?
1.作为“出售”、“非法提供”的对向行为的“收买”、“收受”的性质界定。显然,“购买”、“收受”行为是第1款中的特殊主体即相关机关或单位的工作人员“出售”、“非法提供”公民个人信息行为的对向行为,有必要明确第1款中为何没有针对“收买”、“收受”行为的处罚规定。
这实际上涉及对向犯的处理。对向犯是必要共犯的一种形式,是指以存在二人以上相互对向的行为为要件的犯罪,其处罚形式分为三种:一是双方的罪名与法定刑相同,如重婚罪;二是双方的罪名与法定刑均不同,如行贿罪与受贿罪;三是只处罚一方的行为,如贩卖淫秽物品牟利罪,只处罚贩卖者而不处罚收买者。[23]问题在于,对于第三种类型的对向行为,究竟是由于缺乏明文的处罚规定而不具有可罚性,还是应当然适用总则的共犯规定而具有可罚性呢?从理论上讲,这两种结论均有可能。对此,形式说(立法者意思说)认为,在具有对向犯性质的a、b两个行为中,当法律仅将a行为作为犯罪类型加以规定时,当然定型性地预见到了b行为,既然立法者没有规定处罚行为,就应解释为立法宗旨是不认为b行为是犯罪。[24]换言之,形式说认为,必要性共犯的不可罚根据在于对向性参与行为所具有的定型性、通常性,因而当参与行为超过通常程度时,便可认定成立共犯。例如,就出售、非法提供公民个人信息罪而言,仅仅是说“卖给我”或“送给我”,这种行为不具有可罚性,但若特别积极地给对方作工作,鼓动对方出售或提供的,就应认定构成教唆犯。尽管形式说被普遍接受,但对于何为不可罚的定型性、通常性参与行为,其界限并不明确。[25]对此,实质说认为,必要性共犯的不可罚根据在于缺乏违法性或有责性。现在,多数学者主张“实质说与立法者意思说的并用”,[26]认为是否应处罚对向行为,首先要看该对向行为是否超出了定型性、通常性的程度,难以判断之时,还需结合考虑对向行为的违法性、有责性是否达到了“应受刑罚处罚的程度”。也就是说,关键在于该“收买”、“收受”行为是否仍可评价为通常意义上的“收买”、“收受”,若该行为在侵犯公民个人信息的犯罪中不可或缺,与其对向行为互为一体不可分割,形成共犯关系之时,则仍应处罚。
总之,单就第1款的规定而言,通常的“购买”、“收受”行为一般不具有可罚性。
2.“非法获取”行为与“收买”、“收受”行为的关系。按照对向犯的理论,第1款一般并不处罚“收买”、“收受”行为,但并不能由此而得出本条一般并不处罚收买、收受行为的结论,而应根据条文的整体结构来判断。因为有别于并不处罚收买行为的贩卖淫秽物品牟利罪(《刑法》第363条),本条第2款规定处罚“非法获取”行为,收买、收受行为仍有可能包括其中。[27]因而有必要探讨收买、收受行为的性质。
第一,正因为有收买者、收受者存在,才会出现出售、非法提供行为,并且非法获取个人信息,往往也是为了转售牟利或者通过提供而获取其他非财产性利益,故在很多情况下,收买、收受行为是侵犯个人信息犯罪的土壤或诱因;而且,收买、收受行为也不限于从相关机关或单位的工作人员处收买、收受,例如,从电脑黑客手中收买大量公民个人信息的,也有处罚的必要。显然,直接处罚收买、收受行为(收买者、收受者一般也知道对方是非法出售、非法提供),可以从源头上杜绝出售行为、非法提供行为,也利于打击非法获取行为,这一点毋庸置疑。
第二,仅有处罚的必要显然不能成为处罚的充分理由,关键还在于判断该行为是否已经具备相当的危害性。作为“非法获取”的行为手段,第2款例示性地列举了“窃取”,因而作为“非法获取”的其他手段,至少应与“窃取”具有相当程度的危害性。至于收买、收受行为是否有此危害性,这一点可以从刑法条文的规定形式中找到答案。例如,第111条规定,“为境外的机构、组织、人员窃取、刺探、收买、非法提供国家机密或者情报的”;第177条之一第2款规定,“窃取、收买或者非法提供他人信用卡信息资料的”;第282条规定,“以窃取、刺探、收买方法,非法获取国家秘密的”;第431条第1款规定,“以窃取、刺探、收买方法,非法获取军事秘密的”;第431条第2款规定,“为境外的机构、组织、人员窃取、刺探、收买、非法提供军事秘密的”。由此可见,涉及信息、秘密等犯罪的,我国刑法多将“窃取”与“收买”作为行为手段并列规定。这至少表明,立法者对“收买”与“窃取”具有大致相同的危害性持肯定态度。因而,认为第2款中的“非法获取”包括“收买”行为,具有一定法律根据。
