《刑法》第253条之一的立法完善探讨
[摘 侵害公民个人信息要]《刑法修正案(七)》及后续的司法解释,确立了出售、非法提供公民个人信息罪和窃取、非法获取公民个人信息罪两个侵犯个人信息类犯罪罪名,此举有力地打击和预防了此类及关联犯罪。但各种新型犯罪形式不断涌现使得该法条的适用逐渐显现出其局限性。笔者将在本文中结合房山区实际案例的办理情况,浅析《刑法》第253条之一的立法之完善建议。
一、基本案情
2009年3月份至2009年12月,被告人陈甲(女)以营利为目的,从互联网上下载和利用网络传输工具从他人处购买,获取公民的姓名、电话、住址等个人信息。而后将此信息卖给包括被告人侯乙在内的多人,共计获取公民信息40余万条并出售,获利4万余元。经北京市公安局刑侦总队刑事科学技术研究所检验,在扣押自陈甲家中的笔记本电脑上检出涉案文件869个,共计182MB。
2008年6月份至2009年12月28日案发,侯乙通过互联网QQ、网络论坛等渠道从他人处(包
括陈甲)多次购买公民个人信息的(包括个人姓名、电话、地址和更新时间等)。侯乙先后雇佣付某(女)、刘某(女)、王某(女)为其在网站论坛、QQ里推销、出售个人信息。经北京市公安局刑侦总队刑事科学技术研究所检验,在侯乙等人使用电脑及移动硬盘上检出涉案文件共计34508个,共计约36.87GB。
2011年1月10日房山区人民检察院以被告人陈甲、侯乙犯非法获取公民个人信息罪向房山区人民法院提起公诉, 2011年6月17日房山区人民法院以被告人陈甲、侯乙犯非法获取公民个人信息罪,对二人均判处有期徒刑1年6个月缓刑2年,并处罚金15000元及10000元。
王某、付某、刘某虽然实施了非法推销、出售公民个人信息的行为,但因现行刑法没有对此行为作出犯罪评价,根据《刑法》第三条的规定,法律没有明文规定为犯罪行为的,不得定罪处刑。房山区人民检察院建议公安机关撤回对该三人的移送审查起诉;2011年1月17日公安机关撤回对王某、付某、刘某三人的移送审查起诉,对其分别予以相应的行政处罚。
二、立法不足
《刑法修正案(七)》新增第253条之一,规定了出售、非法提供公民个人信息罪和非法获
取公民个人信息罪。但由于法律规定不周延,放纵了一部分犯罪行为。结合案件办理情况,笔者简单总结出以下几方面的立法缺陷亟待修正。
(一)对“公民个人信息”缺乏明确的法律界定
首先,“公民”的范围不明确,公民是指中国人还是包括外国人,“人”是否包括死人等问题至今缺乏明确法律规定。再者,个人信息与个人隐私的区别和联系、法律对两者保护方式的交叉与分工等问题亦没有解决。其次,我国法律至今未对“个人信息”的内涵和外延作出准确的规定,法律保护的对象不明确将无法界定犯罪。
(二)该法条所定之罪的构成要件规定不当
第一,非法提供公民个人信息罪的犯罪主体规定不当。由《刑法》第253条之一法条的规定①可见本罪的主体是特殊主体,即能够合法持有公民个人信息的相关单位及其工作人员。这里存在两个实践难题,第一是法条中“等”字的含义不确定,能否扩大解释为所有可以合法接触到公民个人信息的单位及其工作人员?但这种解释有悖于罪刑法定原则和刑法谦抑性原则之嫌。司法实践该何去何从,司法部门至今没有作出规定。第二是该法条规定的犯罪主体的
局限性已经难以有效保护公民个人信息。例如上述案例中陈甲和侯乙以及付某等三人均是一般主体,但五人都有为牟利而大量出售、非法提供公民个人信息的行为,社会危害性并不低于特殊主体。
第二,本类犯罪的客观行为涵盖范围过窄。分析法条可知,刑法仅对非法提供和非法获取公民个人信息做出了犯罪处理,但是实际社会生活中,滥用公民个人信息是侵犯信息类犯罪危害后果发生的直接环节。如果滥用行为构成了其他犯罪,可以有其他司法救济,但是面对“”和“网络水军”等“网络暴力”行为给个人和社会带来的巨大伤害,法律没有做出回应,显然是失去了法律“保护伞”作用。
第三,对“情节严重”无明确的规定。本法条涉及的两个罪名都以 “情节严重”为犯罪构成要件,但是目前法条和司法解释没有对此予以阐明,给司法实践带来适用上的困难,自由裁量权过宽也将不利于执法的公平统一。
三、立法建议
(一)司法机关应对“公民个人信息”明确法律界定
第一,保护对象应包括我国公民、外国公民和无国籍人。根据国际法的规则,保护外国公民在华期间的合法权益是我国法律的应有之义。另外,公民这一概念无法保护无国籍人的利益,建议我国法律将“公民个人信息”扩大为“自然人个人信息”,简称“个人信息”即可化解这一尴尬。
第二,逝者的个人信息不需要法律单独保护。个人信息的特点就在于通过信息与某个具体的人联系在一起从而利用,逝者的信息相对而言价值较小,其在利用时往往充当的是生者个人信息的一部分,因此无需单独保护。
第三,法律应尽快对“个人信息”做出准确的定义。从域外法律讲,韩国、日本等国家都将个人信息定义为与活着的人有关的信息。欧盟地区所称的“个人数据”相对韩、日,规定的范围更为宽泛,包括自然人一切可以识别出特定个人的精神、文化、经济因素中的一个或者几个信息。就国内法而言,《个人信息保护法》专家建议稿中对个人信息定义为:“个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或者与其他信息对照可识别出特定个人的信息。”②这一定义采用了列举典型加抽象概括的方式,基本能够涵盖我国个人信息的范围,笔者同意此观点,加之社会生活的实际情况,笔者认为个人信息是指“个人姓名
、住址、户籍信息、身份证号码、医疗记录、人事记录、照片、通讯方式等一切可以直接或者间接与其他信息对照可识别出特定个人的信息总和。”但此份专家建议稿至今未通过,刑事司法机关有必要先行出台司法解释,保证法律实施的统一性和公平性。司法实践中,还应注意不要随意做法律概念的扩大解释,对于现代人常用的QQ号、等虚幻的信息,过期、被更新了的信息以及涉及侵犯个人隐私权的信息等都应排除在此概念之外。(二)将出售、非法提供公民个人信息犯罪的主体扩大为一般主体
首先,将该罪规定为特殊主体违反刑法的平等适用原则。同样实施了犯罪行为却不同法律评价,显然不利于对法益的保护。该法条没有穷尽列举单位的类型及其工作人员,但即便做扩大解释,仍然不能够涵盖可以实施犯罪的主体。譬如可以合法获取个人信息而实施了非法提供行为的非单位工作人员和本案行为人,其行为都是对个人信息自主决定权的侵害,均应该承担相应的法律责任。
其次,将本罪限定为一般主体更符合社会现状,有效保护法益。分析类案可得出,侵犯个人信息的过程除信息源头的提供者和最后滥用者外,往往是经过很多人倒手,经过获取——持有——提供(出售)的过程从中牟利。另外,即使没有实体源头存在,行为人通过互联网软
件自动采集或低成本下载,并无限复制和传播,其危害性并不小于特殊主体所为。因此,将此罪的主体规定为一般主体,将使司法走出这一困境。
第三,对于非法提供公民个人信息罪,笔者认为有必要通过量刑幅度区别对待特殊主体和一般主体。首先,对于特殊主体,国家相关法律法规和单位规章制度对其设定了保密或者保管的义务,知法犯法,主观恶性大。再者,特殊主体持有的信息泄露较一般信息内容所造成的危害后果更直接、更严重。例如公安机关户籍管理部门掌握的居民身份证号、户籍信息等、金融机构掌握的个人财务账号等。另一方面,他们在很多犯罪中是泄露信息的源头,侵犯个人信息自主处置权的同时,也是对单位公信力的削弱。综上所述,在量刑幅度设置上,特殊主体应较一般主体量刑重。
(三)法律应对“情节严重”作出司法解释
《刑法》第253条之一规定的两个罪名均以“情节严重”为犯罪构成要件,但是刑法及其司法解释并没有权威的定罪标准。笔者认为,由于每个人在日常生活和工作中都会直接或间接接触到个人信息,所以法律不宜将获取或者提供个人信息的数量、次数作为单一的量化标准,而应该考虑行为人的主观恶性、目的、手段、是否盈利、获利多少、提供或者获取是否形成一
定规模、在同行内的影响、给公民造成的人身伤害程度或者财产损失数额、精神损害承担等因素综合评价行为人的行为。总之,在处理此类犯罪时,要将危害结果和主观目的结合起来,否则将扩大了刑法的适用,不利于实际操作。司法工作者也要不断摸索经验、互相交流,提高办案质量,避免同罪不同刑、同命不同价的结果。
(四)关于侵犯个人信息犯罪客观方面的完善
侵犯个人信息类犯罪的重中之重应该是打击和预防滥用个人信息的行为。较为典型的,例如互联网的“”及“网络水军”,他们不同程度地给当事人和社会带来的巨大伤害,对此类行为予以一定法律制裁是立法的必然趋势,但是笔者认为目前将此类行为入罪,应该谨慎。
第一,笔者不同意将“”入罪处理。众所周知,“”一般是单纯的个人行为,主要由一些违法道德、有悖公序良俗的敏感事件引发,这与传统的中华文化紧密相联,大多没有恶意或者是谋利意图。尽管造成了一定的社会危害性,但不可否认,我国网民的睿智和社会责任感也送一部分违法犯罪分子锒铛入狱,将此行为规定为犯罪,在一定程度上是对个人言论自由的剥夺,是对公民舆论监督权的限制,甚至抹杀了人们最朴实最原始的正义感和道德意识,恐怕会造成更大法益的伤害。
第二,对于目前充斥互联网的网络公关公司雇佣大量“网络水军”利用个人信息盈利的行为,可以考虑慎重入罪。首先这些组织以牟取经济利益为目的,是一种产业化的经营。他们不关注事件本身的真伪,利用网民操纵舆论,泄漏个人信息打击竞争对手、进行炒作、报复等,对当事人及社会的道德风尚都造成了巨大伤害,更是对舆论秩序的严重破坏。当行为人侵犯的是商业秘密、国家秘密或者是恶意造谣、诽谤时,相关单位和个人可以通过侵权责任法、知识产权法、刑法其他罪名寻求救济。笔者认为,当行为人的对象是个人信息时,将这类非以道德谴责为初衷,以营利为目的,客观上滥用了个人信息,并造成了社会危害性的行为写进侵犯个人信息类犯罪的客观方面,是刑法的责任所在。
[注释]
①《刑法》第253条之一:国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,以出售、非法提供公民个人信息罪论处。
②周汉华:《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》[M]北京:法律出版社,2006年版。
[参考文献]
[1]周汉华.中华人民共和国个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006,(3).
[2]刘宪权,方晋晔.个人信息刑法保护的立法及完善[J].华东政法大学学报,2009,(3):120-130.
发布评论