侵犯公民个人信息犯罪认定中的若干问题

1/8侵犯公民个人信息犯罪认定中的若干问题关键词个人信息非法获得情节严重内容提要刑法第253条之一是针对侵犯公民个人信息犯罪的规定，该条文由2016年2月刑法修正案增设，旨在保护公民个人生活的安全，惩戒因个人信息被非法泄露而导致的人身、财产和个人隐私受到的严重侵害。结合上海首例侵犯公民个人信息犯罪的案例，在司法实践适用中，应该以折中说限定个人信息的范围，明确“收买”与“收受”个人信息行为的性质，并主要以受害程度，并辅之以信息数量、牟利数额、行为手段等作为情节严重的判断标准。一、问题的提出009年7月，上海市浦东新区人民检察院以非法获取公民个人信息罪批准逮捕犯罪嫌疑人赖某，指认犯罪嫌疑人赖某自XX年3月至2016年6月案发之前，伙同他人以成立咨询公司为名，开展帮人讨债寻人、婚外恋跟踪取证、打假等业务。为满足客户需求，犯罪嫌疑人采取跟踪、守候等方式，非法获取公民个人信息并高价出售，获利人民币60余万元。其中，自XX年初结识某公安分局消防支队士官吴某后，约定吴某通过公安内部网查询大量人口信2/8息和客人人住宾馆信息，然后以手机短信、传真及电话等方式告知，由赖某支付一定报酬。赖某获得相关信息后，再转售牟利。经查证，赖某自吴某处共获取信息1万余条，其中自2016年3月至案发之前，获取公民个人信息50余条，支付给吴某好处费3万7千余元。该案是2016年2月28日全国人大常委会颁布的刑法修正案增设侵犯公民个人信息罪以来，国内较早适用相关罪名保护公民个人信息的案件。LOCALHOST1因刑法修正案刚刚出台，且首次以刑法手段保护公民个人信息，尚未有相关判例，理论研究也并不充分，在司法实践中如何适用该新罪名值得深入探讨。按照刑法修正案第7条的规定，为了强化对公民个人信息安全的保护，在刑法第253条后增加一条，作为第253条之一，规定侵犯公民个人信息，情节严重的构成犯罪。这是对近年来日益严峻的公民个人信息被无端泄露的刑法回应。2个人信息被不当采集、随意泄露、任意篡改、恶意使用乃至非法转卖牟利，不仅是对公民权益的严重侵害，3而且一旦个人信息流人犯罪分子手中而引发盗窃、诈骗、绑架等刑事犯罪，会给公民造成二次甚至三次侵害，成为其他犯罪的源头犯罪。长期以来，我国刑法更侧重对公共利益的保护，侧重对个人财产权、生命权的保护，而缺乏对公民个人信息、个人隐私的保护。从3/8目前来看，侵害公民个人信息的行为已远非民事企业的秘密，而没有保护个人秘密的条款，这种不均衡的刑法条款体系在某种意义上是与宪法中的人权保障精神相违背的。11事实上，作为社会人，每个人都或多或少地依赖个人隐私而相对平稳地生活在这个社会之中，个人隐私理应与个人的财产权、人身权作同等保护。因此，考虑到我国刑法尚未设置侵犯个人秘密或隐私的犯罪这一立法疏漏，12就不应将个人隐私排斥在本条的犯罪对象之外，甚至可以期待，本条能发挥侵犯个人隐私罪或者泄露个人隐私罪的功能。基于以上分析，对个人信息的定义采取限制说更为妥当。接下来的问题就是如何确定具体的判断标准对此，存在主观说、客观说、折中说、择一说四种观点。笔者认为，折中说更为合适，应同时考虑个人意愿与社会评价。具体而言，首先，必须是本人不希望为一般人所知晓的个人信息，若本人希望更多地公开个人信息以扩大知名度，甚至有意借此炒作，即便采取不法手段获取了这些信息，符合本条犯罪的客观方面要件，也不宜作为犯罪来处理。其次，客观上还需存在值得保护的价值。质言之，即对于一般人而言，若放任侵害，会足以危及公民的个人生活乃至社会生活的平稳。其中，传真号码、电话号码、家庭住址是比较特殊的信息，它既不同于身份证号码、银4/8行卡账号等私密性极强的信息，又不同于姓名、年龄等尚不值得刑法保护的单纯的数据性信息。对此，虽不可一概而论，但一般情况下，宜以民法、行政法规制为善。概言之，应结合本条的立法宗旨来决定犯罪对象即个人信息的范围，不应过于狭义地理解，个人隐私的保护应是题中之义；同时，也不能作过于宽泛的理解，还应看客观上有无保护的价值。重要的是，要看披露这些信息是否违背公民个人意愿，且足以影响其现有平稳生活。值得注意的是，犯罪对象的具体形态不限于文字，还包括录音、图像、图片等其他可揭示个人信息的资料；同时，也不限于静态信息，还包括动态信息，例如本案中的“客人人住宾馆信息”。何为第2款中的“上述信息”根据法条的明文规定，第1款中的个人信息，必须是国家机关或相关单位“在履行职责或者提供服务过程中获得的公民个人信息”。第2款的罪状表述中使用了“上述信息”这一指代性词语，对此存在两种理解一种观点认为应按照条文的上下结构，将“上述信息”理解为第1款中“国家机关或者企业出现信息管理上的混乱。虽然规定了刑罚。但并非处罚泄漏行为本身，而是处罚掌握个人信息的企业违反主管部门命令的行为，属于一种“间接处罚”，而且必须有受害人投诉，因而又被称作“并无实际效5/8果的法律”。不过日本刑法典并无保护个人信息的条款，更多以特别法或者刑法中的背任罪、盗窃罪、侵占罪等财产性犯罪来处罚。但若所泄漏的信息事关个人秘密，则可能构成泄漏秘密罪；若泄漏信息的行为本身符合毁损名誉罪或侮辱罪，则以此来处罚。若不违反相关行政法规，也不构成财产性犯罪，行为本身又不符合毁损名誉罪或侮辱罪，即便是泄漏了个人信息，也不被处罚。6参见黄太云刑法修正案解读，人民检察2016年第6期。7赵秉志主编刑法修正案最新理解适用，中国法制出版社2016年版，第117页以下。另见赵秉志、王东阳信息时代更应强化人权保障，法制日报2016年3月4日。8该观点由杨兴培教授于2016年7月13日在浦东新区检察院案例研讨会上所主张。9如美国早在1974年就制定的隐私权法以及欧盟1995年颁布的欧盟数据保护指令。我国目前正在草拟中的个人信息保护法采用了信息这一指称。10参见佐伯仁志针对名誉与隐私的犯罪，栽芝原邦尔等编刑法理论的现代性展开，日本评论社1996年版，第90页。11我国宪法在XX年修订时增设第33条第3款规6/8定，国家尊重和保护人权。可以认为，目前刑法修正案对侵犯个人信息入罪也正是在弥补这种宪法与刑法之间的张力。12反观德日刑法则无此立法疏漏。具体可参考日本刑法第134条“泄露秘密罪”、德国刑法第203条“侵害私人秘密罪”。13同前注7，赵秉志、王东阳文。14同前注7，赵秉志主编书，第123页。15同前注7，赵秉志、王东阳文。16同前注7，赵秉志主编书，第122页以下。17同前注6，黄太云文。18同前注2。19同前注7，赵秉志、王东阳文。20同前注7，赵秉志主编书，第122页。21由于我国尚未制定个人信息保护法，“违反国家规定”中的“规定”还有待于具体界定。但至少可以宪法、民法、行政法作为其根据。例如，警察法第22条就规定，人民警察不得实施“泄露国家秘密、警务工作秘密”、“从事营利性的经营活动或者受雇于任何个人或者组织”等行为。笔者认为，对有权单位而言，采集公民个人信息的行为应依照严格的程序，尤其必须明确特定用途，在此意义上，毋宁说，所谓“违反国家规定”，其实质内涵就在7/8于违背了获取公民信息的本来目的。当然，若事先征得本人的同意，可作为被害人的承诺而认定阻却违法性；若事后征得本人同意，宜认定为尚未达到“情节严重”的程度。22在学者起草的个人信息保护法中，第11条规定政府机关只能在法定职权范围内，为履行其职责收集个人信息，政府机关收集个人信息必须有明确、合法和特定的使用目的。第15条明确对政府机关的个人信息处理作出“使用限制”，即政府机关只能在收集个人信息时所明确的使用目的范围内处理个人信息。其他个人信息处理者除了需登记申请行政许可外，其收集或处理个人信息也同样必须有明确、特定的使用目的，超出该使用目的处理个人信息的，必须经信息主体事先同意及立法研究报告，法律出版社XX年版，第416页）。这事实上即已排除了买卖、非法提供、非法获取个人信息的合法性。23参见张明楷刑法学，法律出版社XX年版，第312页。24参见团藤重光刑法纲要总论，创文社1990年版，第432页。25参见山口厚刑法总论，有斐阁XX年版，第339页。26参见西田典之刑法总论，弘文堂XX年版，第8/8355页。27第2款的“非法荻取”尽管可包括第1款的“出售”、“非法提供”的对象行为即“收买”、“