陈丹婷
摘 要:我国公民个人信息的刑法保护始于《刑法修正案(七)》,该修正案第七条增设了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个罪名。《刑法修正案(九)》对两个罪名进行了修订,扩大了对于公民个人信息的刑法保护半径。然而实践中仍存在可操作性不强、对于“公民个人信息”界定无统一标准的问题。为此,2017年5月发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,使侵犯公民个人信息犯罪的司法适用更加准确、周延。“公民个人信息”的内涵界定应采取“识别说”,将“识别性”作为其本质属性。本罪所保护的“公民”除我国国籍公民外,还包括外国人、无国籍人以及“公众人物”这一类特殊群体,但是侵犯“单位”的信息不属于本罪的规制范围。
关键词:个人信息;公民;识别说
一、侵犯公民个人信息犯罪行为的刑法规制历程
刑法直接规制侵犯公民个人信息行为始于2009年,1997年《刑法》以及《刑法修正案(五)》中都未直接规定侵犯公民个人信息的罪名,仅在个别罪名中涉及个人信息类犯罪,比如侵犯商业秘密罪等。
(一)《刑法修正案(七)》的规定
刑法直接保护公民个人信息始于《刑法修正案(七)》的出台,该修正案第七条增设了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个罪名,将侵犯公民个人信息情节严重的行为规定为犯罪。《刑法修正案( 七) 》的出台在一定程度上为打击侵犯公民个人信息犯罪行为提供了较为明确的法律依据。然而其规定自身存在一些不合理之处,难以有效应对侵犯公民个人信息犯罪发展的新情况与新类型。按照《刑法修正案( 七) 》的规定,出售、非法提供公民个人信息罪,必须是有关单位或者个人将其在履行职责或者提供服务的过程中获得的公民个人信息予以出售、非法提供给他人的,才构成本罪; 如果出售、非法提供的不是在履行职责或者提供服务的过程获得的公民个人信息,则不构成本罪。将犯罪主体仅仅限制为特殊主体导致实践中很多非基于履行职责或者提供服务获得的公民个人信息犯罪难以定罪量刑,无法做到对公民个人信息的有效刑法保护;另外其法定刑单一亦不符合罪责刑相适应原则。实践中侵犯公民个人信息犯罪涉案信息数量特别巨大,仅上海市浦东新区人民法院审理的龙某、易某某等非法获取公民个人信息罪一案中涉案公民个人信息就多达一亿条。或者是造成严重危害结果,但是法定刑最高只能判三年有期徒刑,明显不符罪行刑相适应原则,有违刑法的公平正义理念。
(二)《刑法修正案(九)》的规定
为加强对公民个人信息的刑法保护力度,适应社会新的发展需求,2015年11月1日实施的《刑法修正案(九)》对两个罪名进行了修订,将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”。首先,将本罪的犯罪主体由特殊主体扩大至一般主体。其次,针对特殊主体在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供他人的行为,认定为从重处罚情节。最后,增加“情节特别严重”的法定刑,处三年以上七年以下有期徒刑,并处罚金。《刑法修正案(九)》关于侵犯公民个人信息罪的修改,在一定程度上加了对公民个人信息的刑法保护力度,但是该修正案在如何认定“公民个人信息”上依旧未制定统一的标准,导致在实践中认定“公民个人信息”出现的混乱态势。另外对于法条中的“情节严重”和“情节特别严重”亦未予以详尽阐释以致各地做法不一。为此,最高人民法院、最高人民检察院于2017年发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),以此回应本罪中公民个人信息内涵、违反“国家有关规定”等问题。
(三)《解释》的规定
为了进一步解决《刑法修正案(九)》的历史遗留问题,明确“公民个人信息”的内涵所在,统一法律适用标准,最高人民法院研究室及时启动了司法解释的起草工作,最终通过了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,自2017年6月1日起施行。《解释》结合当前侵犯公民个人信息犯罪的特點和司法实践反映的问题,根据刑法、刑事诉讼法的规定,对侵犯公民个人信息罪的定罪量刑标准和相关法律适用问题作了全面系统的规定。《解释》第1条首次在刑法领域对“公民个人信息”作了具体定义,“公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”《解释》对公民个人信息所下的定义采取了概括列举的方式,首先用概括法抽象地描述了公民个人信息的定义,而后采用列举的方式对其内涵做了进一步阐述,列举了一些实践中的常见类型。《解释》为确定侵犯公民个人信息的犯罪对象之确立提供了明确的法律依据,使惩处公民个人信息类犯罪有法可依成为可能,其重要意义不容忽视。
二、公民个人信息概念界定
(一)公民个人信息概念界定域外经验
“公民个人信息”在国外多被表述为“个人隐私”、“个人数据”、“个人资料”。英美法系国家比较注重个人信息的隐私性,例如美国立法将个人信息作为“个人隐私”进行保护,英国则是将个人信息界定为“敏感个人信息”。英美法系国家对于公民个人信息刑法保护范围较之大陆法系国家更为广泛。大陆法系国家对于“公民个人信息”的定义比较注重信息的可识别性。日本《个人信息保护法》将“个人信息”定义为“与生存着的个人有关的信息中因包含有姓名、出生年月以及其他内容而可识别出特定个人的部分”。《葡萄牙个人数据保护法》规定“个人数据指在不考虑所涉媒介类型的情况下,与已识别或可识别的自然人(数据主体)相关的任何类型的信息”。同时该法详述了“可识别”的概念,认为“可识别”是指“可以直接或间接地被识别,特别是以指示号码为参考,或是以个人特定的自然、生理、心理、经济、文化或社会身份相关的一个或若干个因素为参考”。德国将个人数据定义为“是能够用以确认特定主体情况的信息”。
(二)公民个人信息界定标准之理论学说
根据《解释》的规定,“公民个人信息”是指:以电子或其他形式记录、能单独或结合其他信息、识别特定自然人身份或反映特定自然人活动的各种信息。我国《网络安全法》也对于公民个人信息定义做出了相关界定。《网络安全法》第七十六条第五项:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”随后,《民法总则》首次将个人信息权纳入保护范围。其对于刑事立法惩治侵犯公民个人信息类犯罪奠定了良好的基础。
很多学者都对“侵犯公民个人信息罪”的法益做出了解释,主要存在关联说、隐私说、财产说、识别说四种观点:
1.关联说主张关联性是个人信息的核心属性
公民个人信息是指以任何形式存在的、与公民个人存在关联并可识别特定个人的信息。其外延涵盖与个人有关的一切信息,譬如个人的身份信息、财产信息、家庭信息、工作信息等具有识别和隐私功能的各方面信息。关联说是较为早期的学说,存在些许不妥之处。关联说主张凡是与个人相关的信息均可以纳入到个人信息的范畴,注重“个人”与“信息”之间的关联性。此学说过于扩大公民个人信息刑法保护半径,使得个人信息的外延十分广泛。运用到实践中会使法官的自由裁量权过大,刑法打击面过大等局面,有违刑法的谦抑性,且可操作性也不强.
2.隐私说主张隐私性是个人信息的核心属性
隐私权说普遍认为,侵犯公民个人信息罪保护的是个人信息所体现的公民隐私权,只有属于个人隐私部分的个人信息才是刑法保护的对象。此观点明显缩小了侵犯公民个人信息罪所保护的法益范围,也极大地限缩了刑法对严重侵犯公民个人信息犯罪的打击力度,不利于公民个人信息的刑法保护。曾经有学者提出隐私说保护范围太过狭窄,限制了公民个人信息的保护范围。王利明老师便提出隐私权不能替代个人信息权,个人信息这一概念远远超出了隐私权的范畴。并且隐私权是一次性权利,不存在统一的社会评价标准,其具有较强的主观性。随着社会生活的新发展,隐私权说也被赋予了新的时代内涵。张新宝老师谈到现代信息处理技术之下,个人信息所蕴含的公共管理价值和商业价值,将成为公私机构不当收集、处理、利用和传输个人信息的巨大诱因,并且,此种信息不限于传统隐私权之下的私人生活秘密,而且及于个人所有具有可识别性的信息。美国是坚持隐私说的典型国家,其1974年《隐私法》着力规制各类信息的收集、持有、使用和传输行为,以隐私权为基础保护个人信息。此外,值得注意的是,美国法上的隐私概念经历了从保护个人私生活安宁和私生活秘密,到扩张解释“隐私”为其他个人数据的一个历程,逐步突出传统“隐私”的保护范围,不断完善,形成了关于“信息隐私权”的概念。
3.财产说主张财产性是个人信息的核心属性
随着大数据时代的发展,个人信息所包含的财产性利益不断增强。有学者将公民个人信息的权利属性理解为所有权的一种,即公民对于自身信息享有占有、使用、收益、处分的权利。继而提出了财产权说。财产权说认识到了个人信息的商业价值和利益,但是其过分强调财产权益而忽视了“公民个人信息”与“人”之间的具体关系。
4.识别说主张可识别性是个人信息的核心属性
识别说通常认为凡单独或者与其他信息相结合能够识别出特定个人的信息都属于个人信息,包括公民的姓名、年龄、现行有效的证件号码、工作单位、学历、履历、婚姻现状、家庭地址、联系方式等在内的,能够辨别公民身份的,或者牵涉公民个人隐私的数据、信息、资料等。.识别说又分为广义识别说和狭义识别说。广义识别说包含直接可识别性和间接可识别性,而狭义识别说只认定直接可识别性。广义识别说范围较之狭义识别说更大,它既包括单独就可以识别个人身份的信息,又包括借助其他信息可以间接识别个人身份的信息。前述《网络安全法》第七十六条第五项对个人信息的定义采用的则是广义的可识别性。识别说是学术界最为主流的学说,笔者亦认同将识别性作为刑法所保护的公民个人信息的本质属性。将识别性作为公民个人信息的基本屬性在实践中具有较强的可操作性,有益于刑法对公民个人信息的保护。
三、“公民个人信息”之“公民”概念界定
在公法上,公民是指具有一个国家国籍并享有其全部权利和承担全部义务的自然人。 “我国对中国公民、处在中国境内的外国人和无国籍人以及遭受中国领域内危害行为侵犯的外国人和无国籍人,一视同仁地提供刑法保护,不主张有例外。”所以侵犯公民个人信息犯罪的保护主体应不限于中国公民。对于本罪的保护主体是否包括死者,学界存在一定争议。瑞典《个人数据保护法》、英国的《数据保护法案》、日本《个人数据保护法》在此方面有类似的规定,将个人数据、个人信息的主体分别限定为“在世的自然人”、 “生存着的个人”和“活着的自然人”。当然,也有少数国家和地区如加拿大、冰岛等,和我国国内的部分学者认为认为死者可以作为个人信息的主体。笔者赞同前一观点,即认为侵犯公民个人罪的保护主体不应包括死者。因为死者随着生命故去其民事权利能力与行为能力也即不复存在,直接保护其个人信息于法理上说不通。如果侵犯到了死者的其他人格利益,可以用刑法上其他罪名予以规制。
另外,不能将单位纳入侵犯公民个人信息犯罪保护主体上来。理由如下:首先,本罪的保护法益是“公民个人信息”,“个人”与“单位”属于截然不同的两种属性,“个人”不可能经由解释为“单位”,“单位”亦无法被解释为“个人”。其次,单位不可能享有“个人”所享有的隐私权等人格权。单位不享有“个人”所享有的人格权,当然也不享有人格权下的个人信息权、生命权、健康权、人身自由权、隐私权等。虽然在某些情况下单位也具有财产权、名称权等权利,其产品信息、交易信息、商业秘密等在某种程度上受到立法的规制与保护,但是其对于个人信息权还是截然不同的概念。甚至在某些情况下单位还需要承担信息公开的义务与责任。再则,单位、企业也具有一定范围刑法需要保护的信息权,例如,企业所具有的“商业秘密”、“商业信誉”和“商品声誉”权等,但是对于侵犯企业有关商业秘密、商业信誉和商品声誉等信息权,完全可以按照刑法中侵犯商业秘密罪和损害商业信誉、商品声誉罪等罪名追究相关行为人的刑事责任。
公众人物作为特殊群体,应做特殊把握。公众人物作为在社会上拥有较高知名度的社会群体,他们在享受知名度等带来的社会地位与经济利益的同时,其个人信息在一定程度上应当适当让步。公众人物的某些个人信息是主动公开的,但是也存在部分信息是违背其意愿予以公开的。纵使某些情况下公众人物在个人信息项下的某些权利被弱化,但是法律仍然保障除此之外的公众人物的人格权,这一部分的人格权与普通社会民众同样是受法律保护的。比如说其手机号码、身份证号码、护照信息等没有向社会公众公开的义务,应当同普通社会群众一样平等地受到法律保护。
参考文献:
[1]喻海松.侵犯公民个人信息罪司法解释理解与适用[M].中国法律出版社,2018:11-12.
[2]蔡金燕:论侵犯公民个人信息犯罪之“公民个人信息”,浙江大学学位论文.
[3]周汉华.域外个人数据保护法汇编[G].北京:法律出版社,2006.
[4]赵秉志.刑法修正案最新理解适用[M].北京:中国法制出版社,2009:117.
[5]蔡军.现代法学,2010年第4期.
[6]张新宝.隐私权与个人信息保护[J].法制日报,2016-5-11(011).
[7]王利明.论个人信息权的法律保护:以个人信息权与隐私权的界分为中心[J].现代法学,2013(4):62-72.
[8]赵宏.比较法研究,2017年第2期.
[9]汤擎.试论个人数据与相关的法律关系[J].华东政法学院学报,2005(5).
[10]张明楷.刑法学[M].法律出版社,2016:921.
[11]郑旭江.侵犯公民个人信息罪的述与评——以《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》为视角[J].法律适用,2018(7):32.
[12]赵秉志.刑法修正案(七)专题研究[M].北京师范大学出版社,2011:150.
[13]张海燕:“论侵犯公民个人信息罪犯罪对象之认定”,山东大学硕士学位论文.
[14]刘宪权,房慧颖.侵犯公民个人信息罪定罪量刑标准再析[J].华东政法大学学报,2017(6):110.31.