公民个人信息的刑法保护
来源:网络 时间:2022-03-19
引言
在我国,个人信息保护一直是一个不为人所关注的问题,相关立法和理论研究都远远落后于世界发达国家。随着计算机的普及,我国信息化的步伐逐步加快,公民个人信息保护问题日益凸显。中国社会科学院法学研究所调查发现,社会上出现了大量兜售房主信息、股民信息、车主信息、患者信息的现象,并形成了一个新的产业。公民个人信息频繁遭受侵犯,给公民的人身、财产安全留下隐患。国家以先刑后民的方式介入公民个人信息保护,反映了国家打击此类犯罪、保护人民的坚定决心。
为了刑法修正案(七)第七条能够准确、顺利实施,保证立法目的的实现,有必要对第七条规定的内容进行深入的研究和分析。刑法的准确、顺利实施离不开相关民事制度的支持,而我国到目前为止还没有专门的个人信息保护法。因此,逐步完善我国公民个人信息的刑事保护制度,以期实现对公民个人信息的全面保护。
一、公民个人信息的相关概念
(一)“公民个人信息”的界定
由于刑法修正案(七)未对“公民个人信息”定义,导致司法实践中对是否侵犯“公民个人信息”难以认定。笔者认为,所谓“公民个人信息”,是指包括姓名、职业、职务、年龄、婚姻状况、学历、专业资格、工作经历、家庭住址、电话号码、信用卡号码、指纹、网上登录账号和密码,以及个人私生活等单独或结合后能够识别公民个人身份的信息。
(二)公民个人信息与隐私的关系
按照民法学者梁彗星的观点,隐私是指自然人不愿意公开的个人事务、个人信息或个人领域。其基本特征表现为在客观方面隐私的内容从根本上属于特定个人单方面即可作为的事务、单方面即可操纵的信息或单方面即可控制的领域;在主观方面特定的个人对其内容具有秘而不宣,不希望社会或他人知晓的愿望。在公民个人信息中,有一部分公民个人信息属于个人隐私,但也有一部分信息不属于个人隐私范畴。因此,公民个人信息与隐私存在相互交叉的部分。相对于个人隐私而言,公民个人信息具有相对的公开性,其范围要远远大于隐私,对公民个人生活的影响在大多数情况下要低于个人隐私,有些公民个人信息或许谈不上隐私,然而一旦泄露同样会给公民的正常生活带来不便,甚至给整个社会正常秩序造成不法伤害。有学者认为,公民个人信息并非隐秘信息,公民并不介意这些个人信息被外界所知悉,即使泄露也不会给公民造成精神上的实质性伤害,并以此作为否定侵犯公民个人信息入罪的一个理由。笔者认为,在一般情况下,公民的这些个人信息都限定在一定范围内的人知晓,一旦这些个人信息被公布于众或被不相关的人员获取,同样会给公民的正常生活带来不便,甚至会影响整个社会正常秩序。因此,以公民个人信息并非隐秘信息不能作为否定侵犯公民个人信息入罪的理由。
二、我国公民个人信息的刑法保护现状与存在的问题(一)我国公民个人信息的刑法保护现状1.台湾地区我国台湾地区在1995年8月通过了《电脑处理个人资料保护法》及实施细则,1996年又公布了《电脑处理个人资料保护法之个人资料类别》,对个人资料的保护提出了详细的保护措施。我国台湾“资料法”第五章“刑罚”第33条规定了“公务员”职务中“以营利为目的”侵害个人资料行为,并造成他人损害时,该侵害个人资料行为构成犯罪行为,处以2年以下有期徒刑、拘役或科或并科新台币4万元以下罚金;第34条规定了“非公务机关”以为自己或第三人牟取不法利益为目的或以损害他人利益为目的,实施违反本法规定的,并造成他人损害时,该侵害个人资料行为构成犯罪行为,处以3年以下有期徒刑、拘役或科或并科新台币5万元以下罚金。
2.香港地区
香港地区法律受英美法的影响,具有鲜明的英美法立法特点,其关于个人资料保护方面的立法主要是《个人资料(隐私)条例》,条例中明确规定了除非获得资料本人的同意,否则个人资料只可用于收集资料时所表明的用途或与直接有关的用途;须采取切实可行的措施保障个人资料免受未获准许的查阅、处理、删除或其他方法使用。当事人对违反该条例的行为有权向专员投诉,受到损害的有权向该资料使用者请求补偿,以及任何资料使用者无合理辩解而违反本条例下的任何规定,一经定罪,可处罚款及监禁。
3.大陆
相比台湾和香港地区的法律,我国大陆的一些国家权力机关和电信、金融、医疗、交通、教育等单位的工作人员在履行公务或者行使权力过程中将基于行使合法权力而获得的公民个人信息以谋取利益等为目的用以出售或非法提供给其他非国家机关、企事业单位的情况时有发生,这种出售或非法提供个人信息给不具有获取信息权力主体的行为将对公民本人的人身和财产安全,以及为他人侵犯自己的个人隐私提供了便利条件,具有符合刑法所规定的犯罪行为具有较为严重的社会危害性。但是尽管目前个人信息的保护处于这样困窘境地,我国现行的1997年刑法在通过《修正案(七)》之前中并没有惩罚此种泄露或者非法提供公民个人信息行为的相应条款和罪名,从而导致了司法机关在司法实践中对于一些泄露了公民个人信息,严重影响个人正常生活秩序,甚至危害公民生命,以及侵犯了国家对公民个人信息管理规范的行为只能停留在民事法律或者行政法律层面上加以惩处,效果不佳也达不到惩罚侵害人的作用。
《刑法修正案(七)》第7条规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
(二)我国公民个人信息刑法保护现状中存在的问题在我国,个人信息一般是指“自然人的姓名、出生年月日、身份证号码、户籍、遗传特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动及其他可以识别该个人的信息”,在国外亦有“个人隐私”、“个人数据”的称谓。事实上,这三者的外延并不吻合,隐私主要指私人秘密的、不受非法干扰、非法搜集、刺探和公开的相关信息和行为,二者的范围有重合之处,但后者还应当包括琐碎的、可以公开的有关信息;而个人数据则一般指通过人工或机器进行储存、处理、传递的以数据库形式存在的具体信息,个人信息还应当覆盖不以物化形式存在的信息。作为广泛调整社会关系存在的刑法,应当保护具有严重社会性的、侵犯个人隐私、个人数据在内的广义的个人信息的行为。个人信息具有强烈的人身属性,与职业等生活状态息息相关,对其保护颇为必要。
由于历史上我国是一个传统的宗法社会的国家,为维护森严的封建等级秩序,历来轻视个人的信息权利;加之现行法律缺乏对侵犯个人信息行为的有效救济,使得我国的信息化进程中,公民在享受信息便捷的同时,也品尝着接踵而至的烦恼。科技的双刃剑特性在个人信息的滥用中体现得尤为明显。某招聘企业将求职者的简历遗失,被犯罪分子捡拾并冒充招聘企业将求职女孩骗出奸杀;复印店将印制名片人的信息出售引发跟踪绑架、抢劫案;某公司以市场调查为名搜集被访者的个人信息,随后再向这些群众非法销售未上市公司的股权,导致不少群众投资非法证券;某快递公司老总为筹措运营资金,盗用应聘者身份资料在数家银行冒领信用卡978张,大肆透支450余万元……个人信息的泄露尚且引发如此频繁的刑事案件,遑论不胜枚举的日常骚扰:百万股民的最新资料网上叫卖;购买新房后的装修电话络绎不绝;参加司法考试报名后辅导班的推销短信五花八门……令人惊呼:个人信息的泄露已成为社会公害!从法律的角度看,侵害个人信息的行为表现如下:
1.违背了信息保护的公开收集、信息安全、职业义务、限制利用等基本精神。我国尚无专门性的信息保护法律,《个人信息保护法》仍在国务院讨论阶段,所以无实体法意义上的信息保护原则。但是结合法理,我国宪法、《民通意见》等涉及个人信息的相关规定仍然折射出公开收集、信息安全、职业义务、限制利用等基本精神。公开是指对个人信息的搜集、储存、利用及提供的程序原则上要保持公开,个人信息所有人也有权知道信息的收集与利用情况,事实上,大量的信息收集都是在通过秘密或不告知相对人的情形下收集的,为信息的非法利用“大开绿灯”;信息被收集后,无论是公权力机关、事业单位还是公司企业,都对信息负有保守秘密的职业义务,不得以告知、转卖等方式披露或提供给他人,并采取必要措施,防止信息的泄露、丢失、毁损或其他安全事故,然而,在现实生活中,个人信息被泄露、被转卖的情况却屡见不鲜;信息主体还应当在收集目的的范围内使用,而超出收集目的的使用情形却在屡屡发生。
2.收集渠道多样,收集形式“合法”.根据一项权威的调查显示,电信机构、招聘网站和猎头公司、各类中介机构拥有并泄露了大量的个人信息;一些商家或个人通过问卷调查、网络注册、会员登记等方式收集用户信息;消费者在就医、求职、买车、买房、买保险或办理各种会员卡、优惠卡或银行卡时的信息被收集;甚至网络登录申请邮箱、注册进入聊天室或游戏厅、名片代印机构等都会接触到大量的个人信息,这些机构收集信息时都以合法的理由进行,但通过非法的渠道销售或泄露,从而将个人信息暴露在世人面前。
3.侵害后果严重,造成恶劣影响。个人信息被侵害后,往往因为被滥用从而给信息主体带来不同程度的负面影响,轻者丢失工作、家庭破裂,重者人身安全直接受到威胁。“2009年央视3·15晚会揭秘了个人信息被出售或被人盗取后牟取暴利的链条”,这一现象几年来不但没有得到有效遏止,反而愈演愈烈,使诚信缺失在社会进一步蔓延,人人自危,彼此之间无法产生信任,极大地提高了社会交际成本,阻碍了社会的进步,这绝非危言耸听。无处不在的个人信息泄露引起人们的恐慌,引发社会安全心理的溃堤。
三、我国个人信息刑法完善对策
因立法语言的简洁性,修正条款的直接应用存在一定困难,需要制定相关的司法解释予以配套实施。笔者认为,司法解释应当从以下方面进行完善。
(一)价值冲突下进行良好的沟通与协调
在信息社会里,个人信息既是促进经济发展的资源,也是推动社会整合、制度变迁的动力,因而对个人信息的利用成为常态,过度的保护和内敛必将阻碍信息的有效流动和功用的发挥,不足的保护又将导致个人信息的被滥用,引发诚信危机和公民权利体系的紊乱。论文格式在合法保护与合理利用之间应当形成一种平衡的张力,在价值冲突下进行良好的沟通与协调。这也正是秩序、正义与自由、效益等价值之间冲突的表现。
“刑法保护社会关系中最具有公共性和重要性的利益,使得刑法的适用具有最后性”,既作为整个法律规范体系有效性的最后保障而存在,也作为其他法律部门力度不足性的补充而发挥作用,因此,刑法的谦抑性成为制定司法解释与司法适用的基本指导精神。在此精神指导下,根据罪刑相适应、罪刑法定等基本原则,把侵害个人信息的行为纳入犯罪圈装上“安全阀”,通过对行为对象进行合理限制、行为方式进行清晰界定、行为情节明确阐释等解释方法,准确有效地打击犯罪行为,保护个人信息正常、有序地流动。
(二)刑法适用的情形下给出本罪的对象范围
“行为对象是指犯罪行为所侵犯或直接指向的人、物或信息”,具体到本罪,即指个人信息。作为犯罪行为存在的载体,个人信息外延的大小直接决定了入罪情形的多少,直接影响着社会对个人信息利用的积极性。然而该范围的界定并非信手拈来的易事。个人信息是信息时代的产物,瞬息万变、更新频繁是信息事物的共性特征,对个人信息的外延很难给出明确的、具有普适性的限定;而且,个人信息的法律问题涉及到民法、行政法、刑法等跨学科的知识,不同学科在各自领域划定的范围未必为其他领域所能接受。考虑到刑法与其他部门法保护手段严厉性的差异,司法解释应当在刑法适用的情形下给出本罪的对象范围。
笔者认为,适宜采用定义与列举并用的方式对个人信息进行界定,即抽象一般规范、列举具体内容,这主要是基于刑法规范的明确性与科学技术发展性的现实考虑。“刑法的弹性形式要求在解释上有弹性方法”,罪刑法定的原则又要求法律条文具有明确性,因此,通过定义的方式为本罪的保护客体设定实质内容,而个人信息的领域不断更新,过于确定的定义难以保证立法的稳定性。因此,通过列举式、开放式的个人信息范围有利于与日后的科技发展相衔接,能够保证刑法随着不断演进的社会现实而进行自我更新,而且有助于在出现疑难案件时,法官可以根据一般定义,结合列举信息的具体特征进行认定,保证司法解释的弹性空间。
另外,这里的个人信息的主体应当是自然人,不宜包括法人。理由有:一是“一般认为个人信息的保护源于自然人的人格权,一些具体的信息权具有自然人专有属性而法人并不具有”,将法人纳入其中不妥;二是法人成立的目的一般是对外提供营业和服务,其信息较自然人相比具有更大的公开性和公益性,纳入本罪则显得保护过度,不利于法人活动的开展;三是刑法典中已有相关的罪名,对于严重侵犯法人信息的犯罪,完全可以通过“侵犯商业秘密罪”、“损害商业信誉、商品声誉罪”等罪名进行认定和处罚。
(三)清晰界定行为方式
对于社会生活中出现的某类新型犯罪行为,应当通过类型化的方式对其进行归类总结,提炼出最一般的行为模式,给予刑法评价。日常生活中,常见的个人信息泄露只是侵害行为的表现之一,立法语言所使用的“出售”、“提供”、“窃取”概括了最常见的形式,为了适应社会生活的变动不居,让司法工作者有发挥主观能动性的余地,立法还使用了“其他方法”的兜底词汇,这正是司法解释需要重点予以解决的问题。行为方式作为犯罪构成最核心的要件,直接决定着罪与非罪的甄别。借鉴国际立法经验,考虑我国信息被滥用的实际情形,应当将非法泄露个人信息、非法获取个人信息、向有关机关提供不实信息、申报信息不作为、非法删除、破坏、损害或更改个人信息、非法向第三国转移信息等形式纳入其中,严密信息保护的刑事法网。
还需要注意的两个问题是,由于个人信息在社会经济和日常生活中具有较高频率的适用性,司法解释还可以对何种情况下提供信息是合法的进行规制,即规定特殊的排除犯罪事由。另外,本罪容易出现与受贿、侵犯个人权利等犯罪牵连或竞合的情形,许多时候难以处理,司法解释也可以作出提示性条款。
(四)适度扩张行为主体
根据刑法修正案的规定,本罪第一款规定了在“履行职责”或“提供服务”过程中犯罪的主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,属于身份犯,第二款规定了以窃取或其他方法获取信息构成犯罪的主体是一般人员,无特殊身份限制,并在第三款中确定了前两款的单位犯罪主体。可以说,第一款主要针对个人信息的泄漏源而言,第二款主要针对个人信息的利用源而言,构成了对向关系,较完整地保护了信息所有人的利益。
但是,本罪的主体覆盖面是否完善,笔者认为值得商榷。除了本条所规定的工作人员之外,其他单位的工作人员同样能够接触到大量公民个人信息。前面的调查已显示招聘网站、猎头公司、房产中介、印刷业公司成为重要的信息泄露源,而国际立法通常只规定本罪主体由工作或职务性质所决定,却极少对行为人所处的岗位或领域作出限制。从应然的角度分析,其利用履行职责与提供服务上的便利非法出售或者提供公民个人信息,同样应当受到刑法的规制。“对于同属于侵犯个人信息且情节严重的行为,如果刑法作出不同的规范认定,将会导致规范的不平等与打击面的失衡。”因此,司法解释应当拓展本罪的犯罪主体范围,将中介机构等公司企业、居民委员会等群众自治组织、报纸期刊等新闻媒体以及其他能够直接接触公民个人信息的单位的工作人员,均纳入侵犯公民个人信息犯罪的主体范围,从而实现刑法对公民个人信息的全面有效保护。而且本罪第三款规定了单位犯罪的主体,在日常生活中,大量的侵害行为正是公司、企业等以单位名义实施的,因此,司法解释对本罪主体作扩张解释当属法理之义。
(五)明确划分行为后果
对于本罪危害性程度的成立要件,修正案采取了刑事立法的惯常做法———“情节严重”的表述方式,这一表述历来为学者所诟病,认为语言过于模糊、内涵不清、适用性不强。实务中往往通过制定司法解释予以具体适用。
笔者认为,对于何谓情节严重的考量,应当在参考与本罪具有等值性法益的犯罪基础上进行。本罪置于侵犯公民人身权民主权利的客体之内,并位于私自开拆、隐匿、毁弃邮件、电报罪之后,因此,它的情节危害性与上述各罪具有相当性,可以考虑将多次侵害个人信息、滥用个人信息进行违法犯罪活动、给被害人造成人身伤害、重大财产损失或其他严重后果、致使某一领域的社会秩序混乱以及其他给国家、社会和人民造成重大利益损失的行为认定为情节严重,使司法工作人员在适用本罪时有具体的参考标准,而且,需要注意的是,“‘情节严重’中的情节,不是指特定的某一方面的情节,而是指任何一个方面的情节,只要有一方面情节严重,其行为的社会危害性就达到了应当追究刑事责任的程度,应构成犯罪。”
在资讯高度发达的信息社会,人们不可能做与世隔绝的隐士,离开各种通信工具,正常的生活将难以为继。频繁地与外界交往,个人信息经常遭遇泄露,已成为现代社会的共同烦恼。刑法的“亮剑”,为个人信息的保护提供了最坚实的保障。但是,刑法单枪匹马的作战,容易陷入孤立无援的境地,实在难为个人信息的保护提供严密的恢恢法网,在刑法即将发挥重要作用的同时,企盼构筑起民事、行政、刑事立体化的规范体系,使社会在畅享信息便捷优势的同时,不再为信息安全问题而瞻前顾后,实现个人信息的合法收集、有序流动、合理利用的局面。[Buhui.Com]