河北省饶阳县人民检察院 李宏才 孔新茸
一、犯罪对象“公民个人信息”的内涵有待明确
公民个人信息主要包括姓名、年龄、性别、身份证号码、职业、职务、学历、民族和婚姻状况等,这些信息的主要作用在于识别。将某一特定个体从群体中区别出来,这是公民个人信息被侵犯的主要原因。但是,作为侵犯公民个人信息犯罪对象的个人信息不同于普通意义上的个人信息。侵犯公民个人信息犯罪的对象必须是一旦泄露即可能导致公民权利遭受侵害的信息。关于这类信息的范围主要有以下观点:(1)公民个人信息应当从广义上界定,指以任何形式存在的、与公民个人存在关联并可识别特定个人的信息,包括与公民个人身份和公民个人财产状况密切相关、涉及公民个人隐私等。(2)公民个人信息指反映个人生理及身份特征、社会生活经历及家庭财产状况,也包括公民在社会生活过程中取得、采用的个人识别代码。该信息必须具有法律保护价值;该信息的保护不以信息所有人请求为前提。(3)必须是本人不希望为他人知晓的个人信息;客观上还需存在值得保护的价值。后两种观点赞同作为侵犯公民个人信息犯罪对象的个人信息不指普通意义上的个人信息,而应进行一定限制,只不过限制的标准不同。并不是任何个人信息公布后都可能对公民权益造成损害。而且,信息的扩散对于不同公民的意义不同。同样泄露某信息,甲的权利可能造成损害,但对于乙则可能是其所希望的。所以,对于不同公民,某信息是否可以成为本罪对象具有不确定性。笔者认为,作为本罪对象的公民个人信息应当具有以下特点:主观上本人不希望扩散该信息;客观上该信息具有保护价值,一旦扩散,将可能对公民权利造成损害。
侵犯公民个人信息犯罪两个罪名的犯罪对象并不相同:(1)出售、非法提供公民个人信息罪的对象仅限于国家机关或者金融、电信、交通、教育、医疗等单位在履行职责或者提供服务过程中收集、保存、管理的公民个人信息:首先获取公民个人信息的主体必须是国家机关或者是金融、电信、交通、教育、医疗等具有合法获取个人信息权力的单位;其次获取的个人信息必须是这些单位利用公权力所获。(2)非法获取公民个人信息罪的对象可以包括任何符合前述主客观条件的个人信息。实际上,《刑法修正案(七)》对于该条款中作为本罪对象的“上述信息”可以有不同理解。从刑法第253条之一第1款可以看到,“信息”前有两个修饰语:一是国家机关或者金融、电信、交通、教育、医疗等单位在履职或者提供服务过程中获得;二是“公民个人”。对于“上述信息”既可理解为国家机关或者金融、电信等单位在履职或者提供服务过程中获得的公民个人信息,也可理解为任何符合条件的“公民个人信息”。这种理解的分歧在于立法的模糊不清,两种理解都可以说得通。但是,立法的目的在于保护个人权益。如果对于实践中大量的非利用公权力获取他人信息的行为不加以规制,将难以有效保护公民权益。所以,我们倾向于后一种观点,即本罪的对象是一切符合条件的个人信息。
该法条规定三款,第一款的犯罪主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,根据第三款的规定第一款的犯罪主体还包括单位。这一列举式的主体表述方式与其它罪名的立法技术不一致。纵观刑法典,如果包括其他选择,一般表述为“或者其他手段(机构、人员、情节)等”,但该法条却表述为“等单位的工作人员”,这里的“等”是“等内”还是“等外”?直接影响到本罪主体是特殊主体还是一般主体的认定。有观点分析,基于罪行的法定明确性要求,刑法规范中的“等”原则上应解释为“等内”,因此本款的主体应当限定为国家机关工作人员以及特定单位工作人员。由于条文在列举行为人所属各单位后用“等”字作结,而未像多数条文那样附加“以及其他单位”,这表明行为主体的范围是封闭的,而不包括其他单位工作人员。如果第一款的“等”被理解为“等内”,那么其对应的第三款单位犯罪中的“单位”,在构成第一款之罪时就被限定为上述特定行业的单位了。我们认为,对此应当做文理解释、扩大解释,把第一款规定的“等”解释为“等外”。当然,这得由权威机关作出,以免司法实践中引起不同的理解运用,造成执法不一。理由为:一是刑法修正案(七)之所以要明确列举出这些人员,主要目的在于国家机关、金融、电信等单位因履职或提供服务中掌握了大量的公民个人信息,承担对这些信息的保密义务,现实中它们已成为侵害公民个人信息最严重的主体,所以刑法予以明确入罪。但现实中,不仅仅是以上单位及其工作人员能接触并大量掌握公民个人信息。随着互联网等技术的发展,社会交往、商业贸易和公共权力的扩大,能掌握大量公民个人信息的单位或个人有很多。如各类办理会员制的商家(房地产公司、汽车销售公司、电器公司、美容院、商场超市、药店等)、律师事务所、房屋租赁等中介机构、居委会等群众自治组织、各类社会团体、人才市场、招聘公司、网络公司、网站、市场调查公司、报纸期刊等媒体,等等,均能通过各种渠道收集存储大量公民个人信息。这些单位及工作人员同样可能存在非法侵害公民个人信息的行为,造成严重的侵害情节或后果。如果不将这些单位及其工作人员纳入刑法规范主体范围内,恐怕会造成刑法适用的不平衡,个人信息刑法保护的作用亦将大打折扣。二是金融、教育、医疗等单位有的早已不是国有单位,私人或外资已涉足这些行业,所以把该罪主体理解为特定有失偏颇。三是从世界各国立法例来看,对公民个人信息的刑法保护中犯罪主体一般不是特定主体,通常只强调行为人的目的和动机,以及信息来源系其工作或职责所得,很少对行为人的岗位或领域进行限制。四是如果第一款犯罪主体特定化,则可造成“中间商”的定罪难。特定主体将个人信息转给他人后,如信息接受者(即中间商)并非是特定主体,当其获取信息的行为不被第二款限制时,其以再出售等方式非法提供给第三人,依第一款就不能入罪,这不但造成刑罚适用的不公平,也无法有效保护个人信息。至于第二款的犯罪主体并未明确列举,是一般主体,结合第三款规定,既可是单位也可是自然人。这样规定无可争议,是适当的。
“违反国家规定”是构成出售、非法提供公民个人信息罪的前提,如何理解“违反国家规定”是学者们讨论的焦点。笔者认为,“违反国家规定”应具备以下特点:首先,符合刑法规定。刑法第96条规定:“本法所称违反国家规定,是指违反全国人民代表大会及其常委会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。”所以,只有违反全国人大及其常委会、国务院制定的符合上述条件的规范性文件才可能构成本罪。违反部门规章、地方性法规、地方政府规章等规范性文件,不是构成本罪的前提。其次,违反的国家规定必须涉及对公民个人信息的保护,即必须为有关单位或工作人员规定了保守公民信息秘密的义务。在违反这些义务的前提下出售、非法提供公民个人信息才能构成犯罪。具体来说,这些国家规定主要包括我国宪法、《民法通则》、《律师法》、《商业银行法》、《邮政法》、《执业医师法》、《护士条例》等规定有保护公民个人信息和隐私的规范性文件。
根据条文罪状,本罪的主观方面表现为故意,即行为人明知是公民的个人信息而故意实施侵犯的特定行为,过失不构成本罪。构成本罪一般情况下是出于牟取非法利益动机。此利益不应仅限于经济上的,还可以是其它。犯罪动机还可以是泄愤、报复、满足私欲或出于对他人隐私的好奇心等。过失泄露个人信息情节严重的是否应受到刑罚追究,有待探讨规范。有些情况下,因管理不善可能造成严重泄露个人信息的事件发生,行为人实际上违反了对个人信息的保密职责,导致严重后果。如某单位人员违反规定,使用存有重要个人信息资料的电脑上网,造成他人侵入计算机窃取了大量重要个人信息,构成情节严重。
目前关于“情节严重”具体标准的设定问题主要有以下几种观点:
第一种认为,对于何为情节严重应该考量以下因素:“(一)个人或单位侵犯公民个人信息次数较多的;(二)个人或单位侵犯公民个人信息数量众多的;(三)是否造成了被害人人身或财产的严重损害;(四)侵犯公民个人信息违法所得数额较大的;(五)是否造成恶劣的社会影响”。
第二种认为,“情节严重”应包括以下几种情形:“(1)多次实施侵犯公民个人信息的;(2)侵犯多人的公民个人信息的;(3)获利较多的;(4)因侵犯公民个人信息造成严重后果或者造成严重影响的;(5)其他情节严重的情形”。
第三种认为,“情节严重主要是指非法获取公民个人信息数量较大、获利较多、手段恶劣、对信息所有人的名誉、财产等权利造成了严重损害,等等。”
目前,对“情节严重”具体标准的设计主要可概括为五条路径:(1)非法获取公民个人信息行为的次数;(2)非法获取公民个人信息的数量;(3)通过相关行为获利受益的多少;(4)非法获取行为手段的恶劣程度;(5)非法获取公民个人信息造成的损害后果和社会影响。我们认为,要解决非法获取公民个人信息罪中“情节严重”的问题,必须首先明确本罪中“情节严重”的属性。首先,非法获取公民个人信息罪中的“情节”是指定罪情节而非量刑情节,属于犯罪构成中的客观构成要件要素内容,是区分罪与非罪的客观事实因素。而立法者之所以在成立犯罪的罪状中规定“情节严重”,在于明示本罪行为的社会危害性应当达到追究刑事责任的程度。其次,非法获取公民个人信息罪侵犯的是公民个人信息的秘密性,即公民个人信息秘密的存在状态,非经公民个人允许与授权他人不得随意处置,认定相关实行行为是否属于“情节严重”时,应当以公民个人信息秘密性被侵犯的程度为评价核心。
综合考虑相关因素和已有立法模式,结合现有司法经验和实践的可操作性,笔者认为,可以从行为人非法获取公民个人信息的目的、非法获取行为的实施次数,以及非法获取公民个人信息的数量等方面来认定“情节严重”。具体可分为两个梯次:第一,直接出售信息牟利或推销假冒伪劣产品、不法业务为目的而非法获取公民个人信息的。行为人出售信息牟利的行为将导致公民信息的进一步扩散,导致危害后果的横向扩展;而推销伪劣商品、不法业务则不仅侵害公民隐私,也扰乱了社会经济秩序,造成危害后果的纵向延伸。由于二者均具有主观目的上的非法性并由此构成潜在的严重后果,性质十分恶劣,因此只要实施获取行为即可构成本罪;若与其他犯罪形成牵连关系,则应择一重处罚。第二,在行为人不具有非法目的的情况下,应对情节进行量化,以行为人获取公民个人信息的次数或数量作为定罪依据:(1)多次实施非法获取公民个人信息行为的。笔者认为,“多次”的界定应以三次以上为宜。(2)非法获取公民个人信息10000条以上的。