【摘要】 基于非法利用个人金融信息行为凸显的严重社会危害性、惩治侵财犯罪上游行为的需要,以及推进我国信息网络化发展的需要等,应强化对非法利用个人金融信息行为的刑法规制。然而,现行刑法尚未突出对非法利用个人金融信息行为的规制,也未与个人金融信息保护的行政法律法规相衔接;当前对非法利用个人金融信息行为的刑事司法规制也尚存定罪量刑缺乏统一性的突出问题。对此,在立法层面,应增设非法使用个人金融信息罪,并完善相关民事法律和行政法规;在司法层面,应调整司法解释对“情节特别严重”的倍化标准规定,增设目的要素不同情况下的法定刑升格标准,并在对“以其他方法非法获取公民个人信息”的司法解释中增加列举未尽之意的表述。
【中文关键词】 金融信息;侵犯公民个人信息罪;个人信息;金融隐私;金融安全
目次
一、非法利用个人金融信息行为刑法规制强化之必要
二、非法利用个人金融信息行为刑事立法规制之缺憾
三、非法利用个人金融信息行为刑事司法规制之疏忽
四、非法利用个人金融信息行为刑法规制强化之路径
五、结语
在信息技术高速发展的今天,金融信息安全与个人财产安全的关联度日益显现。近年来,因非法利用个人金融信息[1]而导致侵犯公民人身权和财产权的违法犯罪案件频发,并促发了洗钱、电信诈骗等诸多下游犯罪,不仅严重侵害了个人的隐私权,也严重侵害了民众的财产权,同时还损害了金融机构的声誉,阻碍了金融业的发展,给我国金融稳定和金融环境带来了诸多负面影响。面对时下愈演愈烈之非法利用个人金融信息行为,相关刑事立法和司法凸显出了诸多问题,例如非法使用个人金融信息等行为无法纳入侵犯公民个人信息罪中进行规制,司法不统一现象较为严重,相关司法解释的规定可能导致罪刑失衡等。这些问题或缺憾的存在,直接导致诸多社会危害性凸显的非法利用个人金融信息行为无法得到有效规制,也充分表明现行刑事立法和司法状况已无法满足现代社会对个人金融信息保护的需要。因此,如何继续完善刑事立法并妥适司法,强化对非法利用个人金融信息行为的刑法规制,以实现对个人金融信息的充分有效保护,仍是值得我们深究的一个重要课题。
一、非法利用个人金融信息行为刑法规制强化之必要
现行刑法中的侵犯公民个人信息罪对侵犯公民个人信息行为进行了规制,但因个人信息范围的宽泛、含糊而无法突出对个人金融信息之特别保护,同时侵犯公民个人信息行为却无法涵括所有非法利用个人金融信息行为。如同合同诈骗罪独立于诈骗罪,贷款诈骗罪等金融诈骗罪独立于合同诈骗罪,非法利用个人金融信息犯罪亦应独立于侵犯公民个人信息罪。强化对非法利用个人金融信息行为的刑法规制并非率性而为、心血来潮,而是基于非法利用个人金融信息行为所凸显的严重社会危害性,以及推进我国信息网络化之现实需要。这两个方面的因素从不同角度也在不同程度上说明了对非法利用个人金融信息行为的刑法规制强化之必要。
(一)非法利用个人金融信息行为凸显严重社会危害性
社会危害性始终是刑法视野中对某一行为考察关注的核心,其反映了社会在一段时间内对某一行为的容忍程度,系刑事立法中罪名设置与刑罚确定的标尺。对此,贝卡利亚曾指出:“什么是衡量犯罪的真正标尺,即犯罪对社会的危害。这是一条显而易见的真理,尽管认识这类明了的真理并不需要借助于象限仪和放大镜,而且它们的深浅程度都不超出任何中等智力水平的认识范围。”[2]我国《刑法》13条但书也规定,情节显著轻微危害不大的行为,不认为是犯罪。可见,我国刑法就是将社会危害性作为判断是否构成犯罪的标尺。
随着全世界信息化浪潮的展开,我国也迈入了信息化社会的转型与发展过程中,信息逐渐成为社会变革、产业转型升级的最重要资源。信息安全保障也逐渐引起了人们的重视,各种形式的信息侵权、信息犯罪侵害了人们的合法权益,损害了信息产业的健康发展,因而亟须法律规制。这也是《刑法修正案(七)》将侵犯公民个人信息行为纳入刑法规制范畴的主要原因。侵犯公民个人信息行为的社会危害性随着信息社会转型与信息产业发展出现了根本性变化。在其他部门法无法充分保护个人信息主体的合法权益,无法充分保障信息产业发展与信息社会深入转型的情况下,就有必要动用刑罚手段规制侵犯公民个人信息行为。
不可否认,社会危害性也具有一定程度的模糊性,人们对某种行为的社会危害性的认识在不同的时期与不同的社会背景下均会有所不同。在个人金融信息保护领域,对社会危害性大小或程度的判断也会因人们对金融信息敏感程度和保护意识存在差异而有所不同。在当今信息爆炸的大数据时代,个人金融信息不仅具有身份上的意义,而且能够产生巨大的经济利益,在很多领域都有着广泛的用途。与此同时,非法利用个人金融信息行为日益猖獗,从而导致个人金融信息被广泛地不当使用和传播。应当看到,个人金融信息被不当使用和传播的直接后果是,不法分子获取了大量个人金融信息,并由此成为诸多犯罪的源头。被获取的个人金融信息成了电信诈骗犯罪的最佳“原料”。个人金融信息含有丰富的财产信息内容,不法分子获取后,往往会利用其进行电信诈骗。在近来发生的多起电信诈骗案件中,均存在受害者个人金融信息被不当使用和传播的情况。[3]此外,被获取的个人金融信息还为冒名办理信用卡套现、复制银行卡盗取资金提供了诸多便利。一些不法分子在获取足够的个人金融信息后,便通过冒名办理信用卡、复制银行卡等手段,盗取客户资金,并且严重影响了真实客户的金融信用。而互联网的发展和普及则加剧了这些后果。同时,随着科技的发展,出现了更多可以存储数据的工具,如移动硬盘,各种网站的服务器、U盘、PC机、带库。这些设备的出现使得大量的数据能够被存储、传递、流通进而被利用。如果人们利用互联网对他人金融信息进行泄露,再被存储设备记录下来,被泄露的金融信息就会被永久地保存在信息主体完全不能控制的地方,随时有被再次传播的风险,以致会大大降低人们对自己金融信息安全的信心。
(二)惩治侵财犯罪上游行为的需要
近年来,通过非法手段获取他人银行卡及密码等个人金融信息后实施侵财犯罪的案件时有发生,严重危及了公众的财产安全。对于已经利用非法获取的个人金融信息实施侵财犯罪的行为,我们依据相关侵财犯罪进行规制并无障碍。然而,对于那些仅实施了非法获取个人金融信息而尚未利用这些信息实施侵财犯罪的行为,我们往往难以追究(证明其意图实施侵财的证据难以收集)甚至不追究其刑事责任(侵财犯罪的预备虽构成犯罪,但实践中一般不追究犯罪预备的刑事责任),而现行刑法规定的侵犯公民个人信息罪也仅可规制部分“情节严重”[4]的非法获取个人金融信息行为,而无法规制那些并非非法获取但非法使用个人金融信息的行为,由此可能导致对侵财犯罪上游行为的放任。
应当看到,对非法利用个人金融信息行为的刑法规制,有利于从犯罪准备行为阶段遏制诈骗、盗窃等后续犯罪的产生和发展,进而维护社会的稳定与发展。当今世界各国刑法大多对预备行为采取原则上不处罚的态度,而我国现行刑法却与此相反,对预备行为采取原则上处罚的态度。但是对于处罚预备犯来说,犯罪故意的证明是非常困难的,且将所有预备行为都宣告为刑事可罚,不仅违反刑法的经济性原则,而且容易造成国家刑罚权的滥用,无形中扩大了刑法处罚范围。非法利用个人金融信息行为往往会作为某个或某类严重犯罪的犯罪链中的准备行为而存在,对非法利用个人金融信息犯罪的打击,有利于从源头上遏制后续侵财等更严重犯罪的产生和发展。如果个人金融信息被不法采集、随意篡改、恶意使用乃至非法转卖牟利,轻则会导致公民信息权利遭受侵害,重则会造成直接经济损失甚至精神损害。例如,在涉信用卡犯罪中,利用网络诱骗个人用户透露他们的银行和金融账户信息或其他个人信息比如用户名和密码,再利用这些信息实施金融欺诈犯罪;也有行为人通过收购他人废置的信用卡,而后盗取其中的个人金融信息,为信用卡诈骗、行贿、赌博、洗钱等犯罪活动提供帮助。虽然公安机关在调查取证过程中容易查处非法收集个人信息的犯罪证据,但对后续犯罪行为,在没有足够的证据支持下,不能单凭主观臆断,对行为人以其他罪名定罪处罚。因此,由于对后续犯罪行为的准备行为存在定罪量刑上的困难,加上目前也无法用现行罪名囊括所有社会危害性严重的非法利用个人金融信息行为,致使一些严重危害社会的非法利用个人金融信息行为无法受到有效规制。而如果突出对非法利用个人金融信息行为的刑法规制,对后续犯罪行为从准备阶段加以遏制,则可弥补司法实践中证据不足难以用现有罪名的犯罪预备定罪处罚的问题,能够在某些犯罪链的第一个阶段破坏这个犯罪链,进而避免严重犯罪后果的发生。
(三)推进我国信息网络化发展的现实需要
从另一个方面来看,突出强调非法利用个人金融信息行为的刑法规制,实际上也是进一步推进我国信息网络化的现实需要,具体主要体现在以下两个方面。
1.提升信息化水平的需要
当今时代,信息化迅猛推进,给人类的生产和生活方式带来了巨大变革,人类社会正从工业社会迈向信息社会,信息化水平也由此成为衡量一个国家和地区现代化水平的重要标志。目前,许多国家和地区都在大力推进信息化建设,我国欲要加快实现现代化,就必须牢牢抓住世界信息技术革命和信息化发展带来的机遇,大力推进我国国民经济和社会的信息化。为此,中共中央办公厅、国务院办公厅印发的《2006—2020年国家信息化发展战略》中提出,“加快推进信息化法制建设,妥善处理相关法律法规制定、修改、废止之间的关系,制定和完善信息基础设施、电子商务、电子政务、信息安全、政府信息公开、个人信息保护等方面的法律法规,创造信息化发展的良好法制环境”。[5]其中,个人信息保护尤其是个人金融信息保护是加快推进信息化建设、提升信息化水平的重要内容。信息化在给人类社会带来诸多便捷的同时,也导致了个人信息被过度收集、被擅自披露及被非法买卖等滥用个人信息的问题。信息化给人们的生活带来越来越多的便利。例如,通过微信或支付宝等链接银行卡,省去许多传统上烦琐的操作程序,就可轻松便捷地实现在线支付。个人金融信息的安全性遭遇前所未有的种种风险,实际上就是我们获得生活的便利性所支付的代价。[6]因此,信息化时代解决个人金融信息保护问题的关键,是要解决对科技发展和生活便捷最大追求和将个人金融信息置于高风险的环境下进行暴露的平衡问题。正如有学者所言,此时“制约甚至决定人们设计或者选择具体理论方案的驱动力,是要回答一个宪法的,甚至是法哲学和公共政策上的一般性问题。那就是,一个行为可能在某些场合创造了风险,但同时,它又是一种在日常生活中大量出现的、被这个社会生活秩序允许和接纳的行为,那么,这个行为创设风险的后果,究竟是要归责给这个行为人,还是要作为社会存续和进步所必付的代价,而由这个社会自己消化、自我答责呢?”[7]诚然,社会存续和进步必然会付出一定的代价,需要社会对此进行消解,但实现社会消解的有效方法之一便是对违法犯罪者的行为予以否定评价,其中刑法评价往往是最直接、有效的方法。因此,要全面推进信息化,提升信息化水平,就必须突出强调对个人金融信息的法律保护尤其是刑法保护,突出强调非法利用个人金融信息行为的刑法规制。
2.促进电子商务发展的需要
随着互联网的不断发展与普及,电子商务已经成为国人所熟悉的商务模式。然而,在我国庞大的网民群体中,仍有一大部分网民从未进行过网络购物。据中国互联网络信息中心(CNNIC)中国互联网络发展状况统计报告显示,截至2018年6月,我国网民规模为8.02亿,上半年新增网民2968万人,较2017年末增加3.8%,互联网普及率达57.7%,庞大的用户基础为网络购物等网络消费的高速增长提供了强劲动力;截至2018年6月,我国网络购物用户规模达5.69亿。[8]相对于庞大的网民群体,网络购物用户的规模实际上并不算太大。笔者认为,我国网民参与网络购物的规模相对较小的一个重要原因就在于对互联网尚缺乏足够的信任。
在传统消费模式下,买卖双方进行面对面交易,商家一般不要求消费者提供联络方式、家庭住址等具有一定隐私性的个人信息,遑论是身份证号码、银行账号甚至支付密码等个人金融信息了。然而,在电子商务的消费模式中,这些则是经常且必须填写的信息。电子商务利用网络和现代的信息技术掌握了几乎最全面的商业数据信息,电子商务的数据中不仅包含了用户的基本信息、在支付过程中使用的银行账号、支付密码等涉及财产的信息,还包含了用户在网络中的各种活动信息,包括用户在各个网站网页的浏览情况、购买记录、对商品的评价,甚至是消费习惯和偏好等各种信息。[9]
在开放的信息网络中,即使是存储在电脑硬盘或者是网络虚拟空间中的个人信息,也有可能被泄露。实际上,一般电子商务企业的数据库安全等级也不是很高,其往往会因后台访问限制存在疏漏而导致用户的个人信息没有得到有效保护。不但黑客入侵电子商务企业数据库的概率及成功率较高,电子商务从业者也可以十分便捷地利用其数据库内的用户个人信息,他们可以在用户不知情的情况下对用户的个人信息进行使用、存储、分析甚至是出售。这些问题的存在在行业内已是公开的秘密,别有用心者可以用少量的花费买到大量的用户信息。[10]因此,很多网民在使用网上银行或快捷支付方式时往往会担心自己的账户、密码及其他个人金融信息会被泄漏,在参与购物时也总是会担心自己的个人金融信息被购物网站非法收集、利用,而频频发生的个人金融信息遭遇泄露或非法利用事件更是加剧了这一不信任。这些问题均在很大程度上制约了我国电子商务的进一步发展。面对日益严峻的个人信息安全危机和人们对电子商务的信任危机,除了在技术层面通过不断更新安全技术软硬件来应对外,还应在法律层面对非法利用个人金融信息行为加以规制,由此为我国电子商务的发展保驾护航。因此,突出强调非法利用个人金融信息行为的刑法规制,也是促进我国电子商务发展的一项重要工作。
二、非法利用个人金融信息行为刑事立法规制之缺憾
导致个人金融信息遭受非法利用的原因无疑是多方面的,但法律规制尤其是刑法规制的缺憾无疑是其中一个重要原因。虽然现行刑法已经对非法利用个人金融信息行为进行了一定程度的规制,但实际上在诸多方面仍与突出强调对非法利用个人金融信息行为刑法规制的现实要求不相适应。
(一)应受刑事处罚之非法利用个人金融信息行为未受规制
现行刑法专门适用于规制侵犯个人信息的罪名并不多,主要是《刑法》253条之一规定的侵犯公民个人信息罪和第177条之一第2款规定的窃取、收买、非法提供信用卡信息罪。而且,这些罪名在保护范围上较为狭窄,未能涵盖所有应受刑事处罚之非法利用个人金融信息行为。在《刑法》253条之一规定的侵犯公民个人信息罪中,侵犯公民个人信息的行为方式被规定为“出售”“非法提供”或“非法获取”等,但随着信息网络的普及,获取公民个人金融信息将更加便利,实践中侵犯公民个人金融信息的行为方式也愈加复杂多样,很多行为是《刑法》253条之一的规定所无法规制的,典型的如对非法使用个人金融信息这一与侵犯公民个人信息罪具有相当社会危害性的行为就无法予以规制。
非法使用个人金融信息是指未经信息主体许可,非法使用自己已经掌握的公民个人金融信息以期实现自己特定目的的行为。使用的范围包括冒用以及用于实施威胁、恐吓、盗窃、诈骗等行为。依据现行刑法规定,行为人非法获取他人金融信息的行为以及出售、非法提供他人金融信息的行为可以受到相应的刑事追究,但行为人实施的非法使用他人金融信息行为则不会受到刑事制裁。如果行为人既实施了非法获取他人金融信息行为,事后又非法使用了其通过非法手段获取的金融信息,那么司法机关可以根据“事后不可罚”的刑法理论,以侵犯公民个人信息罪追究行为人的刑事责任。如果司法实务中出现通过合法手段获取他人金融信息后再非法使用等情况,则现行刑法势必难以应对。尽管在某些情况下,现行刑法中的内幕交易罪、使用未公开信息交易罪可以规制非法使用他人金融信息进行内幕交易或者非法使用未公开信息进行交易的行为,但如果行为人使用他人金融信息实施了内幕交易或者使用未公开信息交易以外的其他行为,我们似乎很难在现行刑法中找到相应的罪名予以规制。鉴于金融信息的特殊性以及保护金融信息的重要性,如果刑法中缺乏相应的罪名对非法使用个人金融信息的行为加以规制,显然不利于对公民个人金融信息安全的保护。
此外,从加强对个人信息保护的角度分析,既然立法者已经将出售、非法提供公民个人信息、非法获取公民个人信息等行为纳入刑法规制的范围,那么我们也应当将更具社会危害性的非法使用个人金融信息行为纳入犯罪圈。实际上,非法利益链中的最后一个环节即“下家”实施的非法使用个人金融信息行为才会直接侵害公民权益,这种权益既包括财产权也包括人身权。比如我们在日常生活中司空见惯的白银现货之类的推销电话,正是“下家”非法使用公民个人信息的一种方式,一旦公民信以为真,即可能损失惨重;再如,讨债公司非法使用公民个人信息对公民进行暴力威胁、恐吓,可能会造成对公民的精神和身体的双重伤害。“没有买卖就没有伤害”,扼杀了使用公民个人信息牟利的“消费”市场后,“中间人”就没有了存在的意义,“上家”的信息产品也就只能压箱底,永无见天之日了。就此而言,在现行刑法没有将非法使用个人金融信息行为纳入侵犯公民个人信息罪的规制范围无疑是一个缺憾。虽然现行刑法并没有将非法使用个人金融信息行为纳入规制范围,但司法解释却率先作出了规定。根据2017年最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第6条第1款第1项的规定,为合法经营活动而非法购买、收受该司法解释第5条第1款第3项、第4项规定以外的公民个人信息,[11]利用非法购买、收受的公民个人信息获利5万元以上的,应当认定为《刑法》253条之一规定的“情节严重”。该司法解释将“使用”非法购买、收受的信息获利5万元以上的行为作为侵犯公民个人信息罪的情节严重的标准,从某种程度上说就是因为司法者已经充分认识到了“使用”行为的刑法规制必要性。
(二)未与个人金融信息保护的行政法律法规相衔接
虽然我国尚未制定关于个人金融信息保护的专门法律法规,但相关个人金融信息保护的法律法规较多,如《关于加强网络信息保护的决定》[12]《反洗钱法》《金融机构反洗钱规定》《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》《征信业管理条例》《个人存款账户实名制规定》《银行卡业务管理办法》《储蓄管理条例》《商业银行法》《银行存结办法》《个人存款账户实名制规定》《人民币结算账户管理办法》和《银行业监督管理办法》等。这些法律法规均或多或少对个人金融信息的保护进行了规定,其中规定了不少对非法利用个人金融信息行为的处罚原则,很多情况下还规定了情节严重的要追究刑事责任或移送司法机关处理。应当说,这些行政法规对非法利用个人金融信息行为的法律规制还是比较严密的,规定对那些社会危害性凸显的非法利用个人金融信息行为追究刑事责任也是非常有必要的。然而,这些行政法规所规定的应追究刑事责任的情形中,虽然有部分情形确实没有必要入刑,但有必要入刑的情形中,除了部分行为可以认定为现行刑法规定的侵犯公民个人信息罪外,很多行为在刑法中均找不到相应的罪名进行规制。针对非法利用个人金融信息行为法律规制的行刑衔接脱节问题之严重由此可见一斑。由此使得这些法规、规章的法律效果大打折扣,也由此导致无法实现对公民个人金融信息的充分保护。
例如,中国人民银行2005年颁行的《个人信用信息基础数据库管理暂行办法》39条规定:“商业银行有下列情形之一的,由中国人民银行责令改正,并处1万元以上3万元以下罚款,涉嫌犯罪的,依法移交司法机关处理(:一)违反本办法规定,未准确、完整、及时报送个人信用信息的;(二)违反本办法第七条规定的;(三)越权查询个人信用数据库的;(四)将查询结果用于本办法规定之外的其他目的的;(五)违反异议处理规定的;(六)违反本办法安全管理要求的。”然而,对于上述“未准确、完整、及时报送个人信用信息”“越权查询个人信用数据库”“违反异议处理规定”等非法利用个人金融信息违法行为,刑法中并无相应的罪名可以进行规制。此外,该暂行办法第41条规定,“征信服务中心工作人员有下列情形之一的,由中国人民银行依法给予行政处分;涉嫌犯罪的,依法移交司法机关处理(:一)违反本办法规定,篡改、毁损、泄露或非法使用个人信用信息的”。但现行刑法对于非法使用个人信用信息行为也没有相应的罪名可以进行规制。
又如,全国人大常委会2012年颁布的《关于加强网络信息保护的决定》2条规定:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息”。同时该决定第11条规定:“对有违反本决定行为的……构成犯罪的,依法追究刑事责任。”但对于其中的非法使用公民个人电子信息行为,现行刑法中并无相应罪名可以进行规制。
再如,国务院2013年颁行的《征信业管理条例》38条规定:“征信机构、金融信用信息基础数据库运行机构违反本条例规定,有下列行为之一的,由国务院征信业监督管理部门或者其派出机构责令限期改正……构成犯罪的,依法追究刑事责任:(一)窃取或者以其他方式非法获取信息;(二)采集禁止采集的个人信息或者未经同意采集个人信息;(三)违法提供或者出售信息;(四)因过失泄露信息;(五)逾期不删除个人不良信息;[13](六)未按照规定对异议信息进行核查和处理;(七)拒绝、阻碍国务院征信业监督管理部门或者其派出机构检查、调查或者不如实提供有关文件、资料;(八)违反征信业务规则,侵害信息主体合法权益的其他行为。”该条例第40条规定:“向金融信用信息基础数据库提供或者查询信息的机构违反本条例规定,有下列行为之一的,由国务院征信业监督管理部门或者其派出机构责令限期改正……构成犯罪的,依法追究刑事责任:(一)违法提供或者出售信息;(二)因过失泄露信息;(三)未经同意查询个人信息或者企业的信贷信息;(四)未按照规定处理异议或者对确有错误、遗漏的信息不予更正;(五)拒绝、阻碍国务院征信业监督管理部门或者其派出机构检查、调查或者不如实提供有关文件、资料。”该条例第42条规定:“信息使用者违反本条例规定,未按照与个人信息主体约定的用途使用个人信息或者未经个人信息主体同意向第三方提供个人信息,……构成犯罪的,依法追究刑事责任。”
然而,对于“采集禁止采集的个人信息或者未经同意采集个人信息”“因过失泄露信息”“逾期不删除个人不良信息”“未按照规定对异议信息进行核查和处理”“拒绝、阻碍国务院征信业监督管理部门或者其派出机构检查、调查或者不如实提供有关文件、资料”“违反征信业务规则,侵害信息主体合法权益的其他行为”“未按照与个人信息主体约定的用途使用个人信息”等按照上述行政法规定构成犯罪的行为,实际上现行刑法中均无相应的罪名可以进行规制。
三、非法利用个人金融信息行为刑事司法规制之疏忽
刑事立法存在的问题也不免会凸显于刑事司法中。笔者以“侵犯公民个人信息”为关键词在无讼案例库中共调取到2010年至2018年2398个侵犯公民个人信息刑事案件。这些案件基本上反映了我国对非法利用个人金融信息行为的刑事司法规制现状。综观这些案件,笔者发现,非法利用个人金融信息行为刑事司法规制过程中存在严重的缺乏统一性的问题。
《刑法》253条之一第一次将出售或非法提供公民个人信息等行为作为犯罪,显示出我国在刑事立法层面对个人金融信息保护的关注。但出售或非法提供公民个人信息行为入罪须以情节严重为前提,至于何谓情节严重,刑法并未明确规定,由此导致司法实践中对侵犯公民个人金融信息行为的定罪量刑不一。[14]有的法院仅仅根据侵犯公民个人信息行为所造成的后果进行定罪处罚,如根据侵犯公民个人信息行为是否给公民个人造成严重财产损失或精神损害,是否导致大量公民个人信息泄露,是否造成恶劣社会影响等进行定罪处罚;[15]也有的法院主要根据行为人的主观恶性、盈利情况以及是否形成产业化等因素进行定罪处罚;[16]还有的法院主要根据行为人出售、非法提供或非法获取的公民个人信息的次数和数量等进行定罪处罚。[17]虽然《解释》明确了“情节严重”的标准,有利于维护司法的统一性,但其中仍存在一些悬而未决的问题,其中比较突出的是以下三个问题。
(一)对“情节特别严重”的倍化标准规定不甚合理
从横向比较来看,《解释》第5条规定的“情节特别严重”的标准是“情节严重”的十倍以上。十倍以上的数额看起来似乎难以达到,但结合“情节严重”的标准,我们就会发现,即便是不可能影响人身、财产安全的公民个人信息,只要数量达到5万条,即属于情节特别严重。然而,应当看到,司法实践中大多数侵犯公民个人信息案件所涉及的个人信息数量动辄就是几百万、几千万条,即大多案件均可达到情节特别严重的标准,由此势必会导致实践中大量侵犯公民个人信息案件均要适用侵犯公民个人信息罪中最重一档的法定刑,该罪法定刑的区分度和适应性明显降低。
从纵向比较来看,同样被规定为“情节特别严重”的“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的”“造成重大经济损失或者恶劣社会影响的”与“数量或者数额达到前款第三项至第八项规定标准十倍以上的”很难称得上具有相当性或同质性。上述三种情形同时被规定于《解释》第5条第2款中,分别作为侵犯公民个人信息罪“情节特别严重”的独立认定标准,理当具有同质性或社会危害相当性。然而,“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的”和“造成重大经济损失或者恶劣社会影响的”是侵犯公民个人信息行为难以导致的后果,故而是司法实践中较为少见的情形,但“数量或者数额达到前款第三项至第八项规定标准十倍以上的”则是侵犯公民个人行为十分容易实现的情形,故而是司法实践较为常见的情形。司法解释却将此两种因不具有同质性或社会危害相当性而出现频率悬殊较大的情形同等对待,虽然体现了对侵犯公民个人信息行为的从严惩治,但明显会导致罪刑失衡。因此,笔者认为,《解释》对侵犯公民个人信息罪“情节特别严重”所规定的倍化标准的合理性值得商榷。
(二)规定了目的要素不同情况下的入罪标准却没有规定相应的法定刑升格标准
《解释》第6条第1款规定:“为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的‘情节严重’:(一)利用非法购买、收受的公民个人信息获利五万元以上的;(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的。”由此规定可见,是否基于合法经营活动目的将直接影响到侵犯公民个人信息罪的“情节严重”的标准,即入罪标准。换言之,如果行为人基于合法经营活动目的而实施侵犯公民个人信息行为,其入罪门槛就会高一些,反之则会低一些。然而,对于“情节特别严重”的标准即法定刑升格标准,《解释》却没有相应的规定,而仅在该司法解释第6条第2款规定:“实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。”可见,该司法解释认为,在基于合法经营活动目的的情况下,非法购买和收受公民个人信息的行为通常社会危害性不大,无需升格法定刑,但如果其将购买、收受的个人信息非法出售或提供的,造成信息流散的,方可认定为“情节特别严重”的情形以升格法定刑处罚。
那么,问题是在基于合法经营活动目的的情况下,是否就一定不存在或不应该存在情节特别严重的情形?目的要素是否应该是侵犯公民个人信息罪量刑的最关键的要素?对此,笔者不以为然,从《解释》第6条第1款的规定可知,在基于合法经营活动目的的情况下,既然利用非法购买、收受相关公民个人信息获利五万元以上的,可以构成侵犯公民个人信息罪,那么基于相同目的实施相同行为,如果获利数额是五万的数十倍、数百倍甚或数千数万倍的,是否也仍然应当在相同的法定刑幅度内处罚?既然曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的,可以构成侵犯公民个人信息罪,那么在因侵犯公民个人信息受过多次刑事处罚或者一年内甚至半年内多次受过行政处罚,又非法购买、收受公民个人信息的,是否也仍然应当在相同的法定刑幅度内处罚?答案不言自明,既然相同类型的行为或情形可以构成犯罪,那么也势必应当在其罪量增加到一定程度的情况下予以升格法定刑。《解释》在规定了目的要素不同情况下的入罪标准却没有规定相应的法定刑升格标准,这样就无法根据罪量来分别适用不同幅度的刑罚,如此势必会导致罪刑失衡。
(三)对“以其他方法非法获取公民个人信息”的规定并不周延
根据《刑法》253条之一第3款的规定,窃取或者以其他方法非法获取公民个人信息的行为也依照侵犯公民个人信息罪定罪处罚。窃取即秘密盗窃,但对于何谓“其他方法”,刑法并没有规定,而实践中非法获取公民个人信息的行为方式多种多样,如盗取、骗取、非法收集、购买等。但具体哪些行为应入罪,各地司法机关做法不一,有的法院将安装定位器、派人跟踪等手段获取个人信息的行为认定为“其他方法”;[18]有的法院将购买个人信息的方法认定为“其他方法”;[19]也有的法院将向他人索取个人信息行为认定为“其他方法”;[20]还有的法院将互联网搜索个人信息的行为认定为“其他方法”。[21]由此可见,由于立法规定的原则性以及缺乏相关司法解释,司法实践中对“其他方法”的认定存在一定程度的混乱。对此,《解释》第4条规定:“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的‘以其他方法非法获取公民个人信息’。”虽然该司法解释的规定可以在一定程度上缓解司法认定不一的问题,但该司法解释同时又作茧自缚,将“以其他方法非法获取公民个人信息”仅仅限定为“通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息”这几种情况。如此,对于行为人利用刑法和该司法解释均没有明确规定的方法非法获取公民个人信息的行为,就无法追究刑事责任。
四、非法利用个人金融信息行为刑法规制强化之路径
应当看到,我国对非法利用个人金融信息行为刑法规制所存在的诸多缺憾已经严重影响了刑法对非法利用个人金融信息行为的规制效果,无法实现对个人金融信息安全的有效保护。针对这些缺憾,我们理应通过立法和司法两条路径予以补正和强化,以期为公民个人金融信息安全提供有效的法律和司法保障。
(一)立法路径:相关法律规定的完善和协调
非法利用个人金融信息行为刑法规制补正的根本路径无疑是立法路径,即通过增设相关专门性罪名,完善相关民事法律和行政法规并加强其与刑法条文之间的协调,以此对非法利用个人金融信息行为进行有针对性的惩治和预防。
1.非法使用个人金融信息罪的增设
在金融行业以及网络技术飞速发展的今天,公民个人金融信息的安全不仅事关个人隐私,也和国家的金融管理秩序息息相关,故而对个人金融信息的法律保护,理应实现全方位、全覆盖,能够全面规制非法利用个人金融信息行为。就此而言,我们理应在现行刑法中增设非法使用个人金融信息罪,以填补对非法利用个人金融信息行为刑法规制重要环节上的空缺和疏漏。对此,有人可能会提出,《刑法》253条之一所规定的侵犯公民个人信息罪也囊括了部分非法使用个人金融信息犯罪行为,在此情形下再规定非法使用个人金融信息罪是否存在重复之处?况且,为何不设立非法使用个人信息罪而仅限于非法使用个人金融信息?笔者认为,上述问题确实需要考虑,但实际上都不成问题。
第一,拟增设的非法使用个人金融信息罪与侵犯公民个人信息罪之间系法条竞合关系。在《刑法》253条之一已规定侵犯公民个人信息罪的情况下,又规定非法使用个人金融信息罪,可能会存在重复之处,但这属于法条竞合现象而绝非纯粹的重复。实际上,刑法中法条竞合的现象并不鲜见,我们不会因其存在重复而否定其存在的合理性。应当看到,随着经济社会的发展,某些行为社会危害性凸显,在此情形下将某些行为独立出来设立单独的罪名可以进行更为准确、有效的规制,也更能实现罪刑相适应的刑法原则。
第二,仅有非法使用个人金融信息行为具有刑罚当罚性。之所以增设非法使用个人金融信息罪而不是非法使用个人信息罪,主要是为了突出保护个人金融信息,突出保护的理由前文已经做了较为详细的论证。个人金融信息作为个人信息中最为重要且被非法使用会产生严重社会危害性的信息,已经达到了需要动用刑法加以保护的程度。而在非法使用其他个人信息行为的社会危害性尚未达到值得用刑法加以评价的情况下,我们就不能贸然动用刑法这一“双刃剑”进行规制。
第三,设立该罪是实现行刑衔接的需要。前文已经指出,对于相关行政法规中规定的构成犯罪要追究刑事责任的“违反法律、法规的规定和双方的约定收集、使用信息”“非法使用个人信用信息”“未按照与个人信息主体约定的用途使用个人信息”等行为,现行刑法中却没有相应的罪名,而非法使用个人金融信息罪的增设则可在很大程度上加强对非法利用个人金融信息行为法律规制的行刑衔接,以填补这一疏漏。
第四,“非法使用”型犯罪在现行刑法中有先例可循。因非法使用特定对象而构成犯罪的情形在我国刑法中已有规定,分别是《刑法》284条规定的非法使用窃听、窃照专用器材罪和第375条第3款规定的非法使用武装部队专用标志罪。该两个“非法使用”型犯罪中的非法使用的对象均为专用物品,具有较强的排他使用性,即只能由特定的主体或只能在特定的场合进行使用。公民个人金融信息实际上也具有这样的特点。正如前文所述,公民个人金融信息除了具有个人信息的私密性等一般特性外,还具有其自身的突出特性,如因发生在金融活动中而具有显著的经济性、具有相当的信用性等。因此,个人金融信息也只能由特定的主体或只能在特定的场合进行使用,非法使用个人金融信息行为同样具有可罚性,并可借鉴《刑法》284条和第375条第3款的立法。
2.完善相关民事法律和行政法规
除了完善刑法规定之外,相关的民事法律和行政法规也亟须加以完善。应该看到,尽管刑法是社会最后一道防线,但刑法绝非解决社会问题和社会矛盾的“万灵药”。刑法在惩治犯罪行为、维护社会秩序的同时,其严厉的刑罚也会产生相应的副作用——过度限制公民自由、侵害公民合法权益。在此情形下,笔者认为,对于非法利用个人金融信息法律规制的行刑衔接脱节问题,应当通过“两条腿走路”的方式予以解决:一是针对那些某些值得科处刑罚的非法利用个人金融信息行为,在刑法中增设相应的罪名,就如前述非法使用个人金融信息罪的增设;二是针对那些不应入罪的非法利用个人金融信息行为,则应在相关行政法规中直接删除“追究刑事责任”或“构成犯罪的”等规定,并加重行为人的民事责任和行政责任。以金融机构违反守秘义务行为为例,笔者认为,对于该行为就无需在刑法中增设相应的罪名,而完全可以通过加重其民事责任和行政责任的方式予以规制。我国现行法律不仅对金融机构守秘范围规定不全面,而且更欠缺违反守秘义务的法律责任规定。由于金融机构并无明确的法律责任,因而其守密义务履行现状不尽如人意,一旦客户的金融隐私权受到侵害,很难通过法律途径得到救济。因此,应当建立民事赔偿制度,对于因金融机构或其工作人员违反守秘义务侵犯客户金融隐私权造成损害的行为,应给予民事赔偿和救济。此外,金融监管当局对行业内违反守秘义务行为亦可给予行政处罚,如警告、罚停业整顿,直至吊销经营金融业务资格。[22]
(二)司法途径:司法的适度扩张
为了更好地保护个人金融信息安全,更有效地规制非法利用公民个人金融信息行为,我们既要完善立法,又要妥适司法。为加大对个人金融信息安全的保护力度,拓宽金融信息安全的保护维度,在相关立法修改完善之前,我们可以在司法适用的领域扩张刑事制裁的范围。当然,这种扩张并非毫无底线,而是在遵循刑法基本原则前提下的适度扩张。
1.调整对“情节特别严重”的倍化标准规定
《解释》对侵犯公民个人信息罪“情节特别严重”的倍化标准规定,虽体现了对侵犯公民个人信息行为的从严惩治,但同时会导致罪刑失衡。因此,根据罪刑相适应的基本原则,为提高该罪法定刑的区分度和适应性,应当适当调整对“情节特别严重”的倍化标准规定。具体而言,可以从以下两个方面着手调整:一是将十倍以上的标准提高到二十倍以上,即将《解释》第5条第2款第3项规定的“数量或者数额达到前款第三项至第八项规定标准十倍以上的”修改为“数量或者数额达到前款第三项至第八项规定标准二十倍以上的”;二是将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”和“造成重大经济损失或者恶劣社会影响”等侵犯公民个人信息行为难以导致的情形,作为靠近7年以下有期徒刑量刑的考量标准;而将“数量或者数额达到前款第三项至第八项规定标准二十倍以上”相对较为常见的情形,作为靠近3年以上有期徒刑量刑的考量标准。
2.增设目的要素不同情况下的法定刑升格标准
《解释》仅在第6条第1款规定了基于合法经营活动目的而实施侵犯公民个人信息行为的入罪标准,但对于“情节特别严重”的标准即法定刑升格标准,《解释》却没有相应的规定。实际上,在基于合法经营活动目的的情况下,情节特别严重的情形仍然存在也应当存在,在其罪量增加到一定程度的情况下仍然应当予以升格法定刑,如此方可实现罪刑相适应。因此,应当在《解释》第6条中增设第3款规定:“实施第一款规定,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的‘情节特别严重’:(一)利用非法购买、收受的公民个人信息获利五十万元以上的;(二)曾因侵犯公民个人信息多次受过刑事处罚,又非法购买、收受公民个人信息的;(三)其他情节特别严重的情形。”
3.在对“以其他方法非法获取公民个人信息”的解释中增加列举未尽之意的表述
《解释》第4条将《刑法》253条之一第3款规定的“其他方法非法获取公民个人信息的行为”仅仅限定为“通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息”这几种情况,势必无法适应不断推陈出新的非法获取公民个人信息行为方式。因此,应当在列举典型、常见的非法获取公民个人信息行为之后,增加表示列举未尽之意的表述,具体可将《解释》第4条修改为:“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息等非法获取公民个人信息行为,属于刑法第二百五十三条之一第三款规定的‘以其他方法非法获取公民个人信息’。”
五、结语
在司法机关对非法利用个人金融信息进行刑事司法规制过程中,司法机关更应该严把罪刑法定这道“原则关”。随着金融信息法律保护重要性的日益凸显,金融信息法律规制的大网必然日益扩大,司法机关以及相关部门对于非法利用个人金融信息行为的打击力度也势必日益加大。在此情形下,为了更好地保护金融信息,司法实务中极有可能出现一些“规制过度”的现象,即某些行为可能并没有触犯刑法中相应的罪名,但由于这些行为对个人隐私以及金融管理秩序造成了严重侵害,司法机关就套用与之相近的罪名对这类行为进行刑事追究。这类举措无疑违背了罪刑法定原则,也对公民的自由造成了严重侵害,理应为司法机关所杜绝。当然,某些行为可能对时下个人金融信息的法律保护造成了严重的冲击,但只要刑法对这类行为没有明文规定,我们就不能对其以犯罪认定。有人可能会认为这种“不定罪、不处罚”的倾向,似乎不利于我们对个人金融信息安全的保护。但笔者认为,刑法并非解决所有社会问题的“万能钥匙”,既然我们明确了罪刑法定原则是刑法中的基本原则,那么,当我们面临这类选择时,理应保持应有的司法理性。
【注释】 *李振林,华东政法大学副教授,法学博士。本文系华东政法大学科研项目“非法利用金融信息行为刑法规制研究”(项目号14HZK001)、国家社科基金重大项目“涉信息网络违法犯罪行为法律规制研究”(项目号14ZDB147)和国家社会科学基金一般项目“法秩序统一性视野中的刑民矛盾及其排除”(项目号14BFX042)的阶段性研究成果。
[1]“个人金融信息”的定义参见2011年1月21日中国人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》(银发[2011]17号)第1条应当看到,相对于个人信息,个人金融信息除了具有个人信息的一般特性外,还具有其自身的突出特性,如因发生在金融活动中而具有显著的经济性、具有相当的信用性等。因此,对个人金融信息的刑法保护实际上也有其自身的突出特点。也正是因为这样,我们需要特别突出对个人金融信息的保护。本文所说的非法利用个人金融信息行为是指因非法利用个人金融信息而侵犯公民个人信息权、信用权或信息财产利益,破坏国家对个人信息保护制度的行为,其包含了不当泄漏、查阅、擅自篡改、损毁、使用、盗窃个人金融信息,以及拒绝更正虚假、错误的个人金融信息等行为。
[2][意]切萨雷·贝卡利亚:《论犯罪与刑罚》,黄风译,中国法制出版社2005年版,第21页。
[3]仅在2016年就发生了多起严重的电信诈骗案,山东临沂的准大学生徐玉玉被电信骗子骗取学费9900元,之后因心脏骤停离世;清华大学一名教授被电信诈骗骗取了1760万元;吉林工商学院一大二男生因被电信诈骗骗光5000元学费而自杀身亡。这几起电信诈骗案的共同特点是,被害人的手机号、身份证号、银行卡号等个人金融信息均遭泄露。2017年也发生了多起电信诈骗案,其中最典型的是通过利用公民个人金融信息实施的河南焦作特大电信诈骗案。2018年更是发生了多起利用公民个人金融信息实施的电信诈骗案,最典型的如2018年1月4日破获的开封特大电信诈骗案。
[4]根据2017年5月9日最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条第3、4项的规定,下列两种情形应当认定为侵犯公民个人信息罪的“情节严重”:一是非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的;二是非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上的。
[5]《2006—2020年国家信息化发展战略》,来源:http://www.xuecheng.gov.cn/ArticleShow.asp?ArticleID=3564,2018年1月3日访问。
[6]孙政伟:《大数据时代个人信息的法律保护模式选择》,载《图书馆学研究》2016年第9期。
[7]车浩:《谁应为互联网时代的中立行为买单》,载《中国法律评论》2015年第1期。
[8]参见CNNIC发布的第42次《中国互联网络发展状况统计报告》。
[9]后台服务器相关人员可以利用这些数据针对性分析,体现用户偏好,反映市场需求,如淘宝移动客户端中的“猜你喜欢”等电子商务平台提供的商品推荐服务。国外如网飞(Netflix)和脸谱(Facebook)等互联网企业,较早就利用用户遗留在网络上的数据痕迹(Digital Traces)分析用户需求。参见裘坚杰:《大数据时代电子商务用户信息保护》,载《中国科技信息》2016年第13期。
[10]邵若男:《大数据时代下电子商务用户个人信息安全问题及保护》,载《商》2015年第23期。
[11]《解释》第5条第1款第3项、第4项规定的个人信息包括:轨迹信息、通信内容、征信信息、财产信息,以及住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息。
[12]全国人大常委会2012年颁布的《关于加强网络信息保护的决定》是迄今为止我国唯一一部针对个人信息保护的单行法规,但其并未突出对个人金融信息的保护,而且区区十二个条文根本无法实现对个人信息的全面保护。
[13]现在金融客户能从金融机构获得越来越多的服务,不仅包括传统意义上的存款、保险等中介业务,也包括贷款、信用卡消费等新兴业务。金融客户在享受这些服务的同时有可能形成不良信息,如违约、逾期不偿还贷款。不良金融信息在金融机构判断客户的信用时具有重要的作用,但不良金融信息不应永久保留,应当给客户刷新自己信息记录的机会。因此立法规定要定期删除客户不良信息记录。
[14]虽然《刑法修正案(九)》删去了“窃取或者以其他方法非法获取公民个人信息”行为入罪的“情节严重”的规定,但实际上不可能对情节轻微的该行为进行定罪处罚。故而修正案的修订反而会导致更严重的司法不一现象。
[15]例如,福建省安溪县人民法院判定黄某某、廖某甲非法获取公民个人信息罪案的被告人构成非法获取公民个人信息罪,主要就是因为被告人在互联网上购买学生资料等公民个人信息后又利用这些信息实施了诈骗,致使多名学生的财产遭受损失,进而认定其符合非法获取公民个人信息罪的“情节严重”的标准。参见福建省安溪县人民法院(2015)安刑初字第459号刑事判决书。
[16]例如,河南省通许县人民法院判定陈某某、黄某某非法获取公民个人信息罪案的被告人构成非法获取公民个人信息罪,主要就是因为被告人以查询或购买公民个人信息后再出售赚取差额为业,进而认定其符合非法获取公民个人信息罪的“情节严重”的标准。参见河南省通许县人民法院(2015)通刑初字第499号刑事判决书。
[17]例如,广东省深圳市南山区人民法院判定曾令波非法获取公民个人信息案的被告人构成非法获取公民个人信息罪,主要就是因为被告人以非法购买等方式大量获取公民的姓名、住址、联系电话等个人信息,且进行售卖牟利,严重侵犯他人权益,进而认定其符合非法获取公民个人信息罪的“情节严重”的标准。参见广东省深圳市南山区人民法院(2014)深南法刑初字第301号刑事判决书。
[18]例如,李德发非法获取公民个人信息案中的被告人实施的安装定位器、派人跟踪等手段获取公民个人信息行为,被苏州市虎丘区人民法院认定为“以其他方法非法获取”行为。参见苏州市虎丘区人民法院(2016)苏0505刑初1号刑事判决书。
[19]例如,刘文明、刘某甲非法获取公民个人信息案中的被告人实施的以购买的方法获取公民个人信息的行为,被福建省安溪县人民法院认定为“以其他方法非法获取”行为。参见福建省安溪县人民法院(2015)安刑初字第482号刑事判决书。
[20]例如,吴某甲非法获取公民个人信息案中被告人在未经信息所有者同意的情况下采用索取等方式从他人处获取小区业主个人信息用于业务活动的行为,被江苏省张家港市人民法院认定为“以其他方法非法获取”行为。参见江苏省张家港市人民法院(2015)张刑初字第00871号刑事判决书。
[21]例如,林某某非法获取公民个人信息案中的被告人实施的通过互联网搜索等方式非法获取公民个人信息行为,被福建省安溪县人民法院认定为“以其他方法非法获取”行为。参见福建省安溪县人民法院(2015)安刑初字第602号刑事判决书。
[22]李朝晖:《个人金融信息共享与隐私权的保护》,载《特区实践与理论》2008年第3期。
【期刊名称】《华东政法大学学报》【期刊年份】 2019年 【期号】 1
