1、公民信息刑法修正思考法律论文 最近通过的刑法修正案(七)规定在刑法第二百五十三条后增加一条,作为第二百五十三条之一:国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。对于该规定,笔者认为存在不足之处,现谈谈自己的理解。 一、打击对象不明确 主要表现在,对公民个人信息的接受
2、行为(尤其是购买行为)是否入罪规定不明确,存在不同理解。 (一)、立法者所透露的本意仅在于规制信息提供者 从立法说明来看,信息接受者不在被惩处之列。依全国人大常委会对修正案的说明,“一些全国人大代表和有些部门提出,近年来,一些国家机关和电信、金融等单位在履行公务或提供服务活动中获得的公民个人信息被非法泄露的情况时有发生,对公民的人身、财产安全和个人隐私构成严重威胁。对这类侵害公民权益情节严重的行为,应当追究刑事责任。”在立法者看来,公民个人信息的犯罪规定打击的主要是提供者,不是与提供者相对应存在的接受者。 (二)、从立法实际行文来看,接受行为是否可视作“以其他方法非法获取”入罪不明确。一方面,
3、在立法上,“窃取”与“其他方法非法获取”相提并论,要求“其他方法”与“窃取”在性质以及危害性上大致相当,“窃取”本身带有非法性,而不论对象。这就要求,“其他方法”必须首先也是非法的,如要胁,这种非法性是行为本身就具备的,而不是通过与对象的结合而获得。相比之下,一般接受信息行为,如“购买”似乎难以与“窃取”相匹配、难以纳入“其他方法”之范畴。从实践来看,“窃取”虽然不排除传统意义上的有形的侵占和控制,但是更主要的是对存储于计算机内的各种数据库侵入、复制等行为,此与购买等接受行为相比危害性不可同日而语。因此,接受行为似乎不应被视作“以其他方法非法获取”。 但是,从另一角度分析,任何没有合法依据并且
4、严格于约定或法定的目的及其程序而获得个人信息的行为,都是非法的,可被视为以其他方法非法获取。以购买为例,购买可以、同时也应当属于“其他方法非法获取”,理由在于,购买虽然表面符合意思自治、支付对价等民事交易行为的特征,但是,购买公民个人信息,具有明显的违法性:第一,公民个人信息承载的是买卖双方之外的第三人的信息,而这种买卖并没有、也不可能征得该第三人的同意,因此,买卖双方没有对信息的擅自处分权,为之买卖或者其他法律或习惯上的处分为非法;第二,有可能带来、甚至已经造成对信息主体的骚扰和侵害,而这恰恰是立法者进行刑法规制的初衷,“追究情节严重的非法泄露和使用公民个人信息行为的刑事责任,体现了刑法关注
5、民生和反映社会实际需要的导向。”第三,可以更严格地说,由于公民对其个人信息权利的绝对权利性质,“现代意义上的、作为个人信息控制权的隐私权具有了支配权的特点,所保障的已不限于传统意义上的尚不为所知、不愿或者不便为人所知的个人私事,而是扩展到了所谓的个人信息,即识别出或者可以识别出个人的所有信息,这些信息可以附载于纸张、电磁媒体等任何媒介之上,这种认识转变促使隐私权逐步由一种私法上的民事权利演变为一种公民在宪法上的基本人权”,因此,任何缺少正当理由如契约和合法程序如告知,获取公民个人信息的行为都是非法的,应被视为以其他方法非法获取。 (三)、信息接受行为的犯罪化,可以解决“中间商”的入罪问题,使刑
6、事责任主体范围更为完整和科学。事实上,同时也是完全可以预见的,公民个人信息资料外泄很难查实源头,就象盗版书籍与毒品一样,经常进入人们视野的是作为传播者的中间商。而限制个人信息的扩散,除了打击源头外,也必须对大量的二手及以后的中间商特别是零售商施以重拳,从而形成一个完整的科学的刑事责任主体体系。但是,由于二百五十三条之一的第一款非法提供公民个人信息罪为特殊主体,一般主体包括中间商所实施的非法提供公民个人信息的行为,因主体上的不合格,明显不符合第一款的犯罪构成,而如果认为信息“中间商”获取信息的行为不属于第二款规定的其他手段,那么将会使“中间商”的行为游离于刑法规制范围之外,而这将会使司法实务中打
7、击“中间商”的行为碰到困难。而如果将信息接受行为入罪,中间商一定难逃法网,因为其也是作为信息资料的上一手之接受者,只是此时对其罪名不是非法提供,而是非法获取了。 因此,如果从立法字面上理解,在公民个人信息犯罪中,接受者也可以作为犯罪主体,这显然与立法说明出现了矛盾,而司法实践需要考虑将接受行为入罪。因此,这一问题需要立法者再予以明确。全国人大常委会法工委刑法室副主任黄太云发表文章认为,“出售、非法获取公民个人信息的活动 之所以越来越猖獗,一个十分重要的原因就在于有一个庞大的市场需求。一些公司、个人出于谋利等目的,以窃取、收买等方法大肆收集公民个人信息,对公民个人信息泄露起到了推波助澜的作用,有
8、严重社会危害性。”这是到目前为止,笔者所注意到的唯一明确提到“收买”这种方法,并将其与“窃取”相并列进而认为买方亦是犯罪主体的学者,作者身份上的特殊性使其揣摩立法者的整体意图变得便捷和准确,或许其表述代表了立法者的某些意图。但是这种学术文章的形式欠缺规范性,既无法统一认识,也不利于执行,仍需立法上明确。 二、罪状表述不严谨 立法者在第二百三十五条之一第一款中区分出售与一般非法提供,前者逐利,此情形在经济社会里是常见和主要的,后者为非逐利目的,如出于人情需要。立法者有相应的考量,但是却忽略了措辞本身,未能注意到行为选择的排他性。稍加琢磨,在公民个人信息的语境下,“出售”其实是“非法提供”的主要的
9、但不是唯一的表现形式,换言之,两者并不是并列或者说同级的行为概念,在逻辑上的种属包含关系明显,“出售”是“非法提供”的外延之一。比较之下,第二款规定的选择性行为就符合法律用语的严谨性要求,“窃取”与“其他方法非法获取”相互照应、彼此排斥,“窃取”属于非法获取的典型手段,而“其他方法”则表示典型手段之外的立法所不能列举穷尽、不能预见的方法,体现出立法的严密性和适用上的张力。 “严谨是立法语言文字的基本规则之一,立法文字的使用应当严密周详,逻辑合理,无懈可击。”在第一款,“出售”这种行为无必要进行单列,“非法提供”足以概之,不必区分行为人的行为表现及其主观目的。刑法典已有先例,如刑法第431条规定
10、非法获取军事秘密罪,罪状是“以窃取、刺探、收买方法,非法获取军事秘密”,以“非法获取”总领和涵盖“窃取”、“刺探”、“收买”三种行为方法。 三、公民个人信息外延需明确 公民个人信息尚未有明确的立法定义,但是明确其外延对于认定刑事责任完全有必要并且随着修正案生效施行而紧迫起来。“罪状描述的模糊,不仅使司法机关在具体案件的裁量中无所适从,而且有可能引发法官裁量权的泛滥,从而最终有悖罪刑法定原则限制权力、保障人权的宗旨。” 作为第一部涉及并以公民个人信息为核心词汇的部门法,个人信息保护法已进入立法程序。“2003年我国开始起草个人信息保护法(专家建议稿),2008年9月个人信息保护法草案呈交国务院,
11、刑法修正案(七)的通过对个人信息保护法产生了一种倒逼作用,个人信息保护的立法进程将大大加快。”为了保持不同层级、不同领域的法律的内在统一以及不同形式的责任追究相互衔接,刑法上的个人信息可以延用至少是可以借鉴其他部门法上如个人信息保护法的概念加以明确。一些个人信息保护法的立法建议中对个人信息进行了界定,如认为个人信息“指个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或者与其他信息对照可以识别特定的个人的信息。”11当然,现实生活中常用、常见的电话号码、电子邮箱未列举出来,但应当属于个人信息范畴。这些可作为刑事领域界定个人信息的参考。 四、“情节严重”的界定 刑法修正案(七)
12、认定构成侵犯个人信息犯罪的条件之一是“情节严重”,没有定罪量刑的详细标准,容易使得“司法部门无以为据,至少在短时间内,难以统一,在一定程度上损害了执法的统一性和严肃性。”12在配套司法解释出台之前,会导致公民个人信息保护条款处于无法适用的搁浅状态。13 作为犯罪构成要件,公民个人信息犯罪的情节,应当充分考虑司法中的实际情况,以约束司法裁量权为核心,合理划定罪与非罪及其刑罚轻重的界限,既给行政权力预留空间,又保证必要的刑事威慑。“情节严重”可以从以下四方面进行细化和衡量,同时互为补充: 一是人数或信息条数。以涉及一定量的公民(信息主体)或者行为人提供信息的数量为依据,认定情节严重。由于司法实践中
13、提供或者获取公民个人信息,绝大多数情况下都是成千上万条的批量处理,14加上刑罚谦抑性的要求,这里的人数、条数宜以十万为单位。 二是非法所得。这个需要结合实际中个人信息的“市场价”,同时考虑与其他各罪的协调问题,避免畸轻畸重。据中央电视台2009年3?15晚会节目曝光,100元可以买到1000条各式各样的信息,记录有姓名、手机号码、身份证号等。其他媒体所披露以及现实中偶遇到的价位情况也大致如此,共同特点是100元起步、1000条成交并以之为计算单位。比照非法经营罪中的普通非法经营行为(即除了外汇、期货、保险等特种对象),其构罪起点是经营数额5万元或者违法所得1万元,考虑到公民信息不可能存在合法市
14、场交易,行为人的经营成本也失去了合法依据,基于此,公民个人信息犯罪可以以非法所得1万元为起点,构成情节严重。 三是影响和后果。非法提供(获取)公民个人信息,造成恶劣影响或者严重后果,构成情节严重。具体包括:对信息者本人造成严重精神损害的;严重影响其 正常工作生活的;导致其自杀等严重后果的;张扬其隐私、侮辱其人格、破坏其名誉的;给公民造成较大经济损失的;信息被用于犯罪活动的。 四是行政处罚史。这主要是考虑与行政处罚的衔接,当行政处罚不足以取得遏制效果时,刑事追究就有了必要性。虽然目前尚未有专门的行政处罚的立法规定,但是可以为今后预留空间,可以考虑规定,在一定期限内,行为人因提供或获取他人个人信息
15、,受到行政处罚两次以上又实施相同行为的视为具有严重情节。15 刑法修正案(七)草案全文及说明,。查询日期:2009年4月10日。 如立法对强奸罪与抢劫罪的表述分别为“以暴力、胁迫或者其他手段”、“以暴力、胁迫或者其他方法”,所谓的其他手段、方法,都必须达到与暴力、胁迫相当的程度和效果,而不包括与其明显失衡的行为方式,才构成强奸罪与抢劫罪。 窃取公民个人信息因对象上的不同,入罪颇为复杂:窃取电脑数据库当然是刑法修正案所规定的犯罪行为,至于窃取记载有公民个人信息的文字、图表等资料的,比如,入室盗窃过程中将公民个人信息资料顺手牵走,从行为性质上看,依然属于“窃取公民个人信息”,至于入不入罪,还得结合
16、“情节严重”才能确定。而此前,由于刑法未予规定,对在实施其他犯罪过程中发生的非法获取公民个人信息的行为,既没有数罪并罚,甚至没有作为量刑情节予以体现。 许永安:刑法修正案(七)的立法背景与主要内容,查询日期:2009年4月10日。 周汉华著:个人信息保护法(专家建议稿)及立法研究报告,法律出版社2006年版,第49页。 但是从理论上说,原始的一手买卖公民个人信息资料,双方的罪与非罪的倒置买者入罪、卖者无罪的现象并没有彻底消除。然而,不通过流转环节,行为人获取原始的一手的公民个人信息资料,要么其就是第一款规定的特殊主体,要么其就是非法获取或者合法持有,所谓合法持有,指有合法根据的占有(如拾遗),
17、或者无法断定信息来源的非法与否,但是行为人对信息的占有处于合法无争议状态之下,合法持有人若无特殊身份,对信息非法提供的,则不受刑法规制。 黄太云:刑法修案(七)解读,人民检察2009年第6期。 周旺生著:立法学教程,北京大学出版社2006年版,第517页。 赵秉志著:刑法总则问题专论,法律出版社2004年版,第125页。 洪黎明:刑法对黑客亮剑,个人信息保护法出台指日可待,(中国信息产业网),查询日期:2009年4月8日。 11周汉华著:个人信息保护法(专家建议稿)及立法研究报告,法律出版社2006年版,第3页。 12赵秉志、蒋熙辉:试论刑法修正案,贵州法学论坛2000年12月。 13司法解释
18、特别是与新法律配套的解释滞后动辄经年累月,并不少见,仅以罪名为例:刑法修正案(四)2002年12月通过,最高法院、最高检察院确定相应罪名的补充规定(二)2003年8月才发布;修正案(五)、(六)分别在2005年2月、2006年6月通过,两高确定罪名的补充规定(三)直到2007年11月才公布。 14“网站公开叫卖河南老板手机号码名录,经理人11269个,工商版13796个,精准版8820个,报价300至320元”(邓红阳:万名老板信息被叫卖,法律缺失致个人信息泄露,法制日报2009年3月16日);“1500元可以买到大连市15500名车主个人信息,包括车辆型号、车主姓名、联系电话、地址等信息”(杨大为:车主资料每条一角钱,律师称出售个人信息违法,半岛晨报2008年6月3日)。 15如非法行医罪中,“非法行医被卫生行政部门行政处罚两次以后,再次非法行医”被视为情节严重,侵犯著作权罪也有类似的司法解释规定。第 10 页 共 10 页
