返回上一页 文章阅读 登录

赵秉志:公民个人信息刑法保护问题研究

更新时间:2014-03-27 23:58:39
作者: 赵秉志 (进入专栏)  
放纵了一部分侵犯公民个人信息的违法行为。而这在一定意义上也表明,国家立法机关对侵犯公民个人信息之网络行为的普遍危害性及其严重程度显然缺乏充分的重视和足够的前瞻,造成了现行规定对网络上日益加剧的严重侵犯公民个人信息之危害行为难以予以刑事制裁的窘境。

    

   三、相关犯罪之司法认定

   《刑法修正案(七)》将侵犯公民个人信息的危害行为纳入刑法的调整范围,但由于相关具体罪刑条文的规定比较原则和概括,加之以我国现在并无个人信息保护的专门法律,且最高司法机关也未出台规范性文件对如何理解和适用该罪刑条文作出解释,因而司法实践中出现了较多的法律适用难题。为了准确地认定和处理此类犯罪,有必要对这些疑难问题进行深入的研究。笔者曾经在2010年10月接受最高人民法院研究室的委托,组成课题组对侵犯公民个人信息犯罪的法律适用问题进行了较为全面的研讨,并向最高人民法院提交了《关于办理侵犯公民个人信息刑事案件具体应用法律若干问题的解释(征求意见稿)》,但因故最高人民法院迄今仍未发布正式的相关司法解释文件。{16}时至今日,客观而言,对于侵犯公民个人信息犯罪之司法处理的很多疑难问题,我国刑事法律界并未达成一致的意见,仍有深人分析和研讨之必要。

   (一)公民个人信息范围的认定难题

   《刑法修正案(七)》第7条没有对公民个人信息的概念和范围作出具体的界定,因而对于“公民”、“个人信息”都存在理解和适用上的问题。

   1.关于“公民”的界定

   “公民”是一个法律概念,是指具有某个国家国籍或者某个地区居民资格的人。《中华人民共和国宪法》第33条的规定,凡具有中华人民共和国国籍的人都是中华人民共和国公民。对于国籍的取得,我国《国籍法》第4-6条做出了具体的规定,主要采取的是血统主义为主、出生地为辅的原则。那么,侵犯公民个人信息犯罪中的“公民”是否局限于具有中华人民共和国国籍的人呢?笔者认为,此处的公民不应当仅仅局限于我国公民,事实上任何人的个人信息都可以成为该罪的犯罪对象。

   第一,对侵犯中国公民个人信息的犯罪行为以及侵犯外国人、无国籍人个人信息的我国有刑事管辖权的行为,都要按照中国大陆刑法典的规定追究刑事责任。也就是说,我国对处在中国境内的外国人、无国籍人,像对待中国公民一样,提供平等的刑法保护,对虽不在中国境内但遭受发生于中国境内之危害行为侵犯的外国人、无国籍人,也提供刑法的保护。因而在个人信息的刑法保护上,我国对中国公民、处在中国境内的外国人和无国籍人以及遭受中国领域内危害行为侵犯的外国人和无国籍人,一视同仁地提供刑法的保护,不主张有例外。{17}

   第二,对非中国公民的个人信息不提供刑法保护也是与现实情况不符合的。我国的国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员,在履行职责或者提供服务过程中不仅有可能获得中国公民的个人信息,也完全有可能获得境内外外国人、无国籍人的个人信息。不法分子也完全有可能出售、非法提供其所获得的处在境外之外国人、无国籍人的个人信息。我国的司法机关不可能放纵这部分犯罪行为。

   2.关于个人信息的范围

   关于个人信息有哪些,理论和实务界有着很大的争论,主要有如下几种认识:(1)个人信息是指能实现对公民个人情况的识别,被非法利用时可能对公民个人生活和安宁构成损害和威胁的信息。{18}(2)个人信息是指本人不希望扩散,具有保护价值,一旦扩散,将可能对公民权利造成损害的信息。{19}有论者也从刑法典第253条之一侵犯之法益的角度认为,个人信息具有个人隐私的特征。{20}(3)个人信息是指以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。{21}分析上述不同认识,可以看到,个人信息具有如下两个基本特征:(1)个人的专属性,即其与公民的个人身份紧密相关,既包括其生理特征的信息,也包括其本人在社会上从事各种活动的社会特征的信息。由此可将国家秘密、情报或者商业秘密、交易信息排除在外。(2)信息的重要性,即公民的诸多个人信息关乎公民的人格、尊严,甚至影响到其财产权利、人身安全。这一点也可以认为是个人信息的保护价值。但是,对于个人信息是否等同于个人隐私,则没有统一的看法。笔者对此持否定性的态度,即个人信息并不同等于个人隐私,即便个人信息已经公开,仍有可能成为刑法典第253条之一所规定之犯罪侵犯的对象。例如,有关国家机关或者部门为救济、救助或者奖励而公示了公民个人信息,若其工作人员将在工作中收集的这些公示信息出售或者非法提供给他人,情节严重的,就构成出售、非法提供公民个人信息罪。

   另外,还需要注意的是,刑法典第253条之一第1款与第2款在犯罪对象上是否完全一致?法律界对此有肯定和否定的两种看法。肯定说认为,第2款中的“上述信息”指的就是第1款中“国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员,在履行职责或者提供服务过程中获得的公民个人信息”;{22}否定说则认为,第2款中的“信息”不限于第1款中所说的个人信息,还包括其他符合条件的各种信息。{23}在笔者看来,从立法本意来看,肯定说是合适的,但以对公民个人信息法律保护的不断加强来看,否定说又是符合社会发展的实际情况的。笔者趋向于赞同否定说的看法,但同时也认为,不能将所有信息都视为第2款所述之信息,毕竟,第2款将该条款中危害行为的对象表述为“上述信息”,因而即便不将二者完全等同,也要注意第2款所指的信息与第1款所述的信息有共通之处;根据第1款的表述,这里的个人信息是“国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员,在履行职责或者提供服务过程中获得的公民个人信息”,即他人为了获得公共服务而按照要求必须提供给公共服务单位或者其工作人员的个人信息,国家机关或者其他单位及其工作人员是通过公共服务渠道获得的;第2款所指的信息像第1款所述的信息一样,也具有这种特征,即属于各种公共服务单位所收集或者发布的个人信息,从而将行为人直接从公民个人那里刺探或者收集信息的情形排除出本款。对于隐秘或者公开地从公民个人那里直接刺探或者收集个人信息的行为,可根据手段行为的性质以及后续利用行为的性质来追究法律责任。

   (二)出售、非法提供公民个人信息罪的主体问题

   根据刑法典第253条之一的规定,出售、非法提供公民个人信息罪的犯罪主体有两类:(1)国家机关或者金融、电信、交通、教育、医疗等单位;(2)国家机关或者金融、电信、交通、教育、医疗等单位的工作人员。对于这里所说的单位的范围,有国家立法工作机关的专家指出,“考虑到本条主要是对在履行职责或提供公共服务过程中利用某种程度的‘公权力’采集到的公民个人信息的国家机关或者单位,违反法律规定的保密义务应负的刑事责任,……不宜将公民个人信息的刑事保护范围扩大到没有利用‘公权力’采集的一切单位和个人。”{24}有学者也支持该观点,主张应当明确本罪的主体为国家机关或者金融、电信、交通、教育、医疗等利用公权力获取公民个人信息的单位及其工作人员。对于非利用公权力获取公民个人信息的单位及个人,暂时不宜将其作为本罪主体。其他单位必须也具有和金融、电信等单位类似的国家所赋予的采集公民个人信息的公权力,如电力公司、自来水公司、煤气公司等单位。{25}对此,笔者认为,具有公权力并非本罪之单位主体的基本特征。理由如下:第一,除了国家机关之外,从事金融、电信、交通、教育、医疗的单位既有国有的,又有非国有的,刑法典第253条之一第1款本身没有限定单位的国有性质;第二,非国有的金融、电信、交通、教育、医疗单位(如非国有的保险公司、快递公司)同样有可能在工作过程中获取公民的个人信息,在出售、非法提供的情况下也会严重地侵犯他人的合法权益;第三,在《刑法修正案(七)》起草过程中,对于构成侵犯公民个人信息罪的单位,国家立法机构并未对其限定特定性质,刑法典第253条之一第3款在规定单位可构成前两款犯罪时并未指出哪些单位构成第1款之罪,哪些单位构成第2款之罪。{26}

   (三)侵犯公民个人信息犯罪的主观罪过问题

   对于刑法典第253条之一所规定之两种犯罪的主观罪过,有学者界定为“直接犯罪故意和间接犯罪故意”。{27}现在来看,这种界定并不是很严谨。根据我国的刑法理论,间接犯罪故意是指行为人明知自己的行为可能发生危害社会的结果,并且放任这种结果发生的心理态度;行为人对危害社会的结果在主观上既有较为明确的认识,又有听任其发生的意志。对于间接故意的犯罪,特定危害结果的发生与否,具有决定性的意义,即只有特定危害结果发生,才能认定间接故意犯罪的成立。{28}但是,根据刑法典第253条之一第1款的规定,出售、非法提供公民个人信息的危害行为只有在“情节严重”时才成立犯罪;而“情节严重”并不必然包括给他人造成危害结果的情形。换言之,行为人认识到出售、非法提供公民个人信息的危害行为可能给他人造成危害结果,且不顾该结果仍然实施该行为,造成危害结果,才成立间接故意的犯罪。不过,这种情况往往是不存在的,因为“出售、非法提供”公民个人信息的行为人在主观上往往具有谋取经济利益或者其他好处的动机或者意图,其实是追究“公民个人信息被不应当知道的人知道”这种后果状态,即符合直接故意的态度。因此,严格地讲,应将出售、非法提供公民个人信息罪的犯罪主观方面确定为“直接故意”。

   (四)非法获取公民个人信息行为的司法认定问题

   刑法典第253条之一第2款将非法获取公民个人信息罪的实行行为规定为“窃取或者以其他方法非法获取上述信息”。对“非法获取”的理解主要存在两个问题:(1)“非法”性质是否来源于手段的非法性?(2)“获取”的渠道和来源究竟是什么?

   对于第一个问题,有论者指出,窃取,即秘密取走,其本身就是一种非法手段,无论是道德上还是法律上都不具有正当性。{29}那么,能否根据窃取手段本身的非法性质而认为“非法获取”是指采用非法手段获取他人信息呢?如果对此给予肯定的回答,那就意味着,“其他方法”必须自身就具有非法的性质,如诈骗、胁迫或者暴力侵害等;那些自身不具有非法性质或者比较中性的方法,就不会使得获取行为具备非法的性质,如购买、获赠等。如此一来,对后者就无法给予刑事处罚,显然不符合对公民的个人信息给予刑法保护的刑法精神。因而这里的“非法”并非指获取手段或者方法行为的性质,而是指行为人的获取行为在本质上是非法的,即行为人不符合获取公民个人信息的法律或者法规的规定。因而笔者在此也不同意有论者所提出的“获取行为违背法律禁止性规定”的看法,{30}即笔者认为,行为人只要没有获取公民个人信息的法律依据或者资格而获取相关个人信息的,就可能构成犯罪。

对于第二个问题,就目前来看,法律界的关注似乎并不多。笔者认为,研究该问题的目的在于否定对某些人直接从他人处获得个人信息以及收集分散的公民个人信息的行为按照本罪处罚。如前所述,刑法典第253条之一第2款中“上述信息”是指公共服务提供者在服务过程中收集接受服务的公民个人信息。因而“非法获取”其实是指没有获得资格或者根据的人以窃取或者其他方法获取公共服务提供者在服务过程中收集或者发布的公民个人信息。换言之,刑法典既要制裁公共服务提供者将自己保有的公民个人信息非法提供给他人的行为,又要处罚他人侵犯公共服务提供者对公民个人信息之保有状态的行为。{31}从这个层面上看,侵犯公民个人信息的行为其实是侵犯了公民在接受公共服务时所享有的个人信息保密权利。所以,某些人直接从他人处获得个人信息,不管方法是否非法,都没有直接侵犯公民在接受公共服务时所享有的信息保密权利,例如,通过钓鱼软件从他人电脑里获取他人的身份证号码、血型、婚姻状况、受教育状况、兴趣爱好、电话号码等。(点击此处阅读下一页)


爱思想关键词小程序
本文责编:frank
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/73375.html
文章来源:《华东政法大学学报》2014年第1期
收藏