刘伟东
长春财经学院法学院,吉林 长春 130000
随着科技和信息技术的快速发展,在为人们生活提供便利的同时,也造成了个人信息泄露的问题。而由于立法具有滞后性,当前我国刑法对于个人信息的保护方面还有待完善,因此研究个人信息的刑法保护问题及对策具有很强的现实意义。
目前,我国刑法明确规定了侵犯公民个人信息属于违法行为,但对于公民个人信息的概念缺乏准确界定,不够统一和系统化,在公民信息所有权、知情权、使用权方面的规定也不够精细。这会造成在案件审理过程中法官对信息所属范围具有极高的自由裁量权,从而出现同案不同判的现象[1]。
在社会经济发展过程中,公民个人信息在考试、办理证件、网购、招聘等许多方面都会用到,能够获得公民个人信息的人员和机构大量增加,这也明显提高了公民个人信息泄露的可能性。但是我国目前的刑法中侵犯公民个人信息的犯罪主体只包括国家机关、教育机构、医疗机构、电信行业和金融行业的相关从业人员,而实际上包括购物网站、招聘网站在内的手机应用也是当前公民个人信息泄露的主要渠道,说明我国刑法对于信息泄露主体的规定具有局限性,需要进一步健全和完善。
在关于侵犯公民个人信息犯罪行为的认定上仍然有待完善,刑法中只规定了出售、非法提供、非法获取三种侵犯个人信息犯罪的行为方式,而实际上除了上述三种侵犯个人信息犯罪的行为方式以外,仍然存在其他对公民个人信息构成侵犯的行为方式。比如非法使用个人信息以及过失泄露个人信息,前者是指合法掌握个人信息的主体不按规定的范围使用个人信息,比如一些网店向顾客发送垃圾短信。后者是指合法获取公民个人信息的主体由于对其掌握的个人信息管理不当导致信息泄露。
前置性法律是指民事或行政的相关法律,一般来说首先民事或行政法律对某种行为进行禁止,对于严重违反上述法律的行为,再由刑法认定为犯罪。当前我国个人信息保护的法律规定在宪法、民法、行政法和刑法中都有分布,对于专门的个人信息保护法,在法律适用当中要全面检索所有有关个人信息保护的法律才能判断是否构成“违反法律规定”。同时,涉及到个人信息保护的法律规定也存在不够完善的问题。
1.对个人信息的界定加以明确
对于目前我国现行刑法中对个人信息的界定不明确的问题,立法部门要在刑法中对公民个人信息的概念及内容做出准确界定,并规定出识别个人信息的方法,从而能够更准确地判定侵犯公民个人信息的行为,同时也有利于使公民了解自身的合法权益、保障其隐私权和信息权益等。世界上很多国家和地区都在个人信息的界定上进行了积极实践,比如欧盟和台湾地区在个人信息认定上采用识别界定法,就是将关于信息所有人的,所有能够通过单个或多个数据去区分特定主体的信息认定为公民个人信息。因此在个人信息的界定方面,我国可以将与主体关系密切并具备专属性质的信息如公民的姓名、家庭成员、指纹等信息认定为法律保护的内容。
2.规范个人信息的采集和使用
除了要对个人信息的界定加以明确,还要规范公民个人信息的采集、管理和使用等流程。具体来说可以参考以下方面对个人信息的采集和使用做出规范。第一,保证合法获取。首先在公民个人信息的采集上要保证目的的合法性与正当性,采集手段上要保证合法性,不可采用非法手段获取公民个人信息。第二,保证信息采集目的与使用目的具有一致性,信息采集主体在信息的使用上不能用于其采集目的以外,不然则属于侵犯公民信息权。第三,信息采集与使用主体要保证对于公民个人信息的妥善管理,保障公民个人信息的安全,如果信息采集与使用主体由于管理不当造成信息泄露或被非法使用,则需要承担法律责任。第四,在保证采集公民信息目的具有正当合法性基础上,信息采集要有一定限度,只可以收集与使用目的有关的信息,而不应收集其他无关或不必要的信息。
1.完善刑法中犯罪主体的范围
对于目前我国刑法中犯罪主体范围有待完善的问题,立法部门可以在充分考虑现实情况的基础上对法案进行适当修改,扩大公民个人信息犯罪主体的范围,加强立法的完善程度。比如,《刑法修正案(九)》中明确指出,任何单位和个人违反国家相关规定,进行公民个人信息的提供或者出售,情节严重的,可以构成违法行为,需要受到刑事惩罚[2]。这一立法扩充了侵犯公民个人信息的犯罪主体,也是我国完善公民个人信息立法过程中的一项有效举措。
2.完善对于情节严重的认定
《刑法修正案(九)》当中对“侵犯公民个人信息罪”有关内容进行了一定程度的完善,但是其中对于“情节严重”的认定缺乏统一标准,不利于进行司法实践,因此需要对“情节严重”的认定标准进行统一,才能保证量刑结果的准确性与合理性。2017年出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》列出了9种可认定为“情节严重”的情况,统一了“情节严重”的认定标准。因此对于“情节严重”的认定标准可以概括为以下几方面。第一是个人信息数量,在被侵害的公民个人信息数量较大、范围较广、后果较为严重时可以认定为“情节严重”,比如行踪轨迹信息、通信内容等四类信息的数量50条以上或住宿通信信息、交易信息500条以上,否则应以民法和行政法的相关规定进行处理。第二是根据违法行为的次数,对于多次行政处罚后仍然实行侵害行为的可认定为“情节严重”。第三是根据行为人违法所得数额,在5000元以上属于“情节严重”[3]。
3.制定合理的刑罚体系
根据罪责刑相适应的原则,犯罪行为、社会危害、刑法责任三方面要适应,根据犯罪行为的后果和危害程度对行为人采取不同刑罚。目前我国刑法在出售个人信息、非法提供个人信息以及通过窃取等途径获得个人信息采用了相同的量刑标准,无法体现出不同行为社会危害程度的差异性。比如购买个人信息的行为相对于采用盗窃等手段获取公民个人信息的行为危害性小,这一差异也应在量刑上得到体现。
4.增设侵犯个人信息相关罪名
还应对侵犯个人信息的相关罪名进行补充和完善。比如近年来出现的“罗某”、“王某”等冒用他人名字和身份顶替上大学事件,属于一种非法利用他人信息的行为,此类行为不同于将个人信息用于诈骗等非法获利为目的的行为,但危害比较严重。许多国家都有相关的法律对非法利用公民个人信息行为加以规范,比如美国的《防止身份盗窃及假冒法》和《身份盗窃处罚加重法》。而目前我国刑法中并没有关于此类行为的罪名,导致这类行为无法得到有效制裁。因此应该增设“非法利用公民个人信息”相关罪名,对这类行为采取有效制裁措施。
对于信息收集主体由于过失造成信息泄露的现象,在出现严重后果的情况下,也需要有相关的法律加以制裁。本罪应以有权收集公民个人信息的单位和个人为主体,由于属于过失犯罪,在量刑上要轻于故意犯罪。
另外,还要完善相关的配套制度,起到辅助刑法实施的作用。首先要完善个人信息保护制度,从而避免个人信息的泄露。建立相关的个人信息保护制度,约束信息收集者和管理者的行为,同时明确合法的信息采集者与使用者所承担的安全保障义务与责任。这样可以有效避免信息采集者、管理者由于过失或故意造成信息泄露的情况,比如假借发放住房补贴和退税进行诈骗的行为。同时还要完善个人信息保护的监管制度,促进个人信息保护制度更好地落实。
目前,我国刑法在公民个人信息的保护方面仍有需要完善之处,应采取针对性的措施加以完善。具体可以从个人信息法律保护体系、个人信息犯罪的规定以及相关配套制度三方面进行完善和加强。