论网络空间中个人信息的刑法保护
张阳
摘 要: 面对民事法律、行政法律保护力度的不足,刑法对网络空间中个人信息的保护作用日益受到立法者重视。合理设置个人信息保护之刑法规范的前提是准确界定个人信息。从实质内涵上分析,个人信息应具有真实性、可识别性、载体性和价值性;从司法认定的角度看,个人信息还应具备关联性和目的性。刑法对侵犯个人信息行为的惩治体现了对公共安全的保护,因而侵犯公民个人信息罪的法益具有公共安全性。为强化网络空间中个人信息的刑法保护,应当完善侵犯公民个人信息罪的刑法规定,在客观方面增加非法利用行为、明确主管人员的替代者责任以及网络信息控制者的不作为责任等,并且对影响定罪量刑的因素进行调整,真正实现量刑规范化。
关键词: 个人信息;非法利用;替代者责任;定罪量刑因素
中图分类号:D924.11 ?????文献标识码:A
文章编号: 1003-0751(2018)08-0058-05
近年来,利用网络侵犯公民个人信息的事件频繁发生,严重影响了社会秩序。针对不同领域的个人信息安全屡遭侵犯的状况,我国颁布了相应的部门法予以应对。 ① 但仅有民事法律、行政法律,保护力度显然不够,还需要刑事立法及时跟进。2015年《刑法修正案(九)》整合了侵犯公民个人信息罪的罪名,扩大了犯罪主体的范围,增加了客观行为方式并加重了法定刑;2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《侵犯公民个人信息刑事案件解释》)进一步细化了实践操作标准。然而,我国现行刑法对侵犯公民个人信息行为的规制仍存在疏漏,难以应对实践中的复杂问题。本文审视网络空间中个人信息的刑法保护状况,尝试提出更加全面、有效的保护路径。
一、刑法中的个人信息及相关法益界定
解决网络空间中侵犯公民个人信息行为的司法认定问题,首先需要准确界定个人信息的内涵和外延,这也是对相关危害行为予以量化或者标准化的基础。刑法学界对个人信息的界定存在不同认识。有观点认为,个人信息体现了公民的隐私权,只要信息具备隐秘性,对其进行侵犯的行为就侵犯了个人隐私。 ② 这种观点认定的个人信息较为宽泛,倾向于英美法系的个人信息保护模式 ③ ,但不符合我国立法现状。我国现行刑法规定了侵犯公民个人信息罪,但未针对侵犯隐私权的行为进行规制。即使从应然的角度考虑隐私权的刑法保护,隐私权与个人信息的刑法保护目标及价值取向也会有较大差异。 ④ 有观点将个人信息与隐私进行区分,强调个人信息的可识别性,指出与自然人相关的、单独或与其他信息组合后可以识别特定个人身份的信息,都是公民个人信息。 ⑤ 不过,网络空间中“可识别与不可识别、隐私与公开的界限变得越来越模糊” ⑥ ,仅强调可识别性尚难以对个人信息进行准确界定。事实上,随着大数据等信息技术及其应用的不断发展,个人信息的范围逐步扩大,刑法中个人信息的界定不能流于表象与形式,而要进行全面、深入的思考。
在实质内涵上,受刑法保护的个人信息应同时具备真实性、可识别性、载体性和价值性。通过判断信息真实与否,一方面便于界定罪与非罪,如果行为人在故意心态支配下实施了利用虚假信息的行为,就不可能造成法益侵害的后果,也就不能纳入刑法规制;另一方面还能区分此罪与彼罪,如果行为人明知是虚假的个人信息却仍然出售或者提供,就不再符合侵犯公民个人信息罪的构成要件,而有可能构成诈骗罪。所谓可识别性,是指相关信息具有一定的专属性(与特定个体相关联),经由相关信息符号能够直接或间接地将信息主体的身份识别出来。 ⑦ DNA信息、身份证号码、指纹等信息具有唯一性,司法机关可依据这些信息直接确定具体个人。所谓载体性是指个人信息能够以电子或其他形式在一定载体上记录下来。要求个人信息具有载体性,一方面是出于固定证据的需要,防止出现因网络空间中个人信息的不确定性、易删减性而导致保护范围扩大的情况;另一方面可以避免对个人信息的过度保护。价值性是指个人信息须与人身、财产等利益相关联。如果被侵犯的个人信息不能对其他违法犯罪活动提供帮助,该信息就不具有刑法保护价值。 ⑧
从司法认定的角度考察,个人信息还应具备关联性与目的性。关联性主要有两方面要求:其一,与公民利益相关联,通过关联的紧密程度可以判断行为危害性的大小,从而决定是否予以刑法规制。例如,网络空间中身份识别信息与公民利益的关联程度较之网络浏览信息更为密切,身份识别信息被非法获取并出售或者提供给他人,会带来人身安全或者财产安全被侵犯的风险,而网络浏览信息被获取后,至多可被用于分析用户访问的习惯、时间、类型等。其二,与其他信息相关联,通过关联的紧密程度可以认定某行为是否具有刑法意义。例如,电子钱包中的财产一般都有账号和密码保护,行为人只掌握账号信息而缺乏密码信息是无法窃取财物的。目的性是从主观认定方面提出的要求。行为人利用公民个人信息的目的关系着是否带来信息被滥用的风险。 ⑨ 行为人主观目的的有无及大小在一定程度上能够反映其行为后果的严重程度。如果网络浏览信息只是被网站用来改善自己的营销策略以提升对用户的个性化服务水平,则信息被滥用和泄露的风险较低。如果行为人利用保存于某网站的用户账号密码、交易订单信息等登录其他网站,轻则存在消费者隐私被泄露的风险,重则由于第三方支付平台的信息被泄露而导致用户的财产利益受损。因此,在对个人信息进行司法认定时,不仅要把握其显性特征,还要考量具体案件中的相关因素。只有当信息本身或与其他信息结合后具备威胁人身安全和财产安全的可能性,并且行为人主观上具备一定的不法目的时,这种信息才属于刑法意义上的个人信息。
明确个人信息的范围之后,还须厘清侵犯公民个人信息罪的法益。对此,刑法学界有观点认为,侵犯公民个人信息罪的法益是公民的人格权。 ⑩ 也有觀点认为侵犯公民个人信息罪的法益是公民的信息权。 ?还有观点认为,在公民个人的信息自由和安全或公民个人隐私的背后,必定隐藏着在立法者看来保护意义更为重大、更居优位的法益。 ?公权(益)关联主体在业务中依法获取的个人信息事关国家和社会整体的公共利益,因此,侵犯公民个人信息罪的法益具有公共安全性。首先,从犯罪对象与法益的关联性来看,侵犯公民个人信息罪所侵犯的信息不仅是自然人信息,还包括单位信息。在网络环境下,任何主体均可以信息化的形式和形象存在,自然人和单位的信息均关联具体的法益,因此,非法获取、提供、利用单位信息的行为也具有相当的社会危害性。其次,从法益重要性的角度分析,只有当某行为侵犯多数公民的信息安全时,其侵害的法益才能被认为具有相当程度的重要性而进入刑法视野,该行为才值得动用刑罚处罚。如果某行为仅侵犯一个或几个公民的个人信息,没有对社会造成较大危害,其就被排除在刑法规制范围之外。当然,该行为对公民个人的人身、财产安全造成严重危害的,应直接以侵犯人身权利或财产权利的犯罪论处。最后,从法益保护紧迫性的角度考量,网络空间中涉及个人信息的犯罪呈产业化趋势,这必然导致犯罪对象的不特定,而不特定人的安全就是一种公共安全。例如,行为人非法获取一万个公民的银行账户信息,尚未对其中任何一人造成实际侵害甚至尚未产生盗窃财产的故意时即被发现,就不应认定为侵犯个人法益的犯罪,而只能处以危害公共安全的相关罪名。界定侵犯公民个人信息罪的法益时应摆脱个人法益的局限性,重视法益的公共性。这将在相当程度上影响甚至决定侵犯公民个人信息罪的司法认定思路。
二、侵犯公民个人信息罪的行为类型
网络空间中个人信息的流转过程可分为提供、收集、控制三个阶段,相应地,我国现行刑法对侵犯公民个人信息罪规定了出售、提供、非法获取、窃取四种行为方式,不仅对常见的出售公民个人信息以获利的行为进行处罚,还规制了该行为的上游犯罪即窃取、非法获取、提供公民个人信息的行为,将犯罪打击提前化,从犯罪预防的角度保护公民个人信息安全。但是,刑法规定的这些行为方式仍不够周全。对于在控制阶段利用、使用非法获取的个人信息且情节严重的行为,刑法条文并未涉及,这是一个立法漏洞。在犯罪产业化链条中,非法利用行为是非法获取行为、非法提供行为的源动力,侵犯公民个人信息罪已经从以获取行为为中心转向以利用行为为中心。 就达到犯罪目的而言,如果没有非法利用行为,非法获取行为、非法提供行为就毫无意义。尤其在通过网络实施共同犯罪的场合,存在多个犯罪人分工负责的行为链条,对非法获取的个人信息的利用行为因主体不同、目的不同而与其他行为相分离,犯罪行为的连续性、整体性渐趋弱化,使得侵犯公民个人信息罪的认定面临诸多困难。现有立法对非法利用、使用个人信息行为的规制缺失,制约了对网络空间中侵犯公民个人信息的共同犯罪以及相关下游犯罪的认定。
司法实践中非法使用、利用公民个人信息的行为并不少见。典型的如2008年“西电卡门事件”:西安电子科技大学财务处在未经学生同意的情况下,利用所掌握的学生身份证号码、家庭住址等资料,为一万多名学生办理了“中国工商银行牡丹运动圆梦学生卡”,而这一万多名学生对自己拥有此信用卡的情况一无所知,最终学校公开致歉并注销了此信用卡。在这一事件中,西安电子科技大学并未窃取或者以其他非法方法获取学生的个人信息,也未将所掌握的学生个人信息出售或者非法提供给他人,而是违反国家规定和权利人意愿,非法使用所掌握的公民个人信息,其行为虽然造成了不良社会影响,但刑法对之束手无策。刑事法律应当尽可能从源头即对公民个人信息的控制、传播、使用等层面进行限制,关注信息流转的每一个环节可能存在的不法行为,在规定出售、提供、非法获取、窃取等行为方式之外,增加“利用”这一常见的行为作为侵犯公民个人信息罪的独立的行为类型。这一点在一些国家的刑法中,如《德国刑法典》关于使用他人秘密罪的规定中已有所体现。不过,基于刑法谦抑性的考虑,利用他人信息的行为需要达到一定的程度才能纳入刑法体系。具体条款可规定为:利用他人的个人信息,情节严重的,处两年以下有期徒刑或者拘役,并处或者单处罚金。至于情节严重的标准,可以考虑利用他人信息的数量,是否利用他人信息进行非法犯罪活动或营利活动等方面因素进行设计。
三、侵犯公民个人信息罪的主体责任
我国现行刑法将侵犯公民个人信息罪的主观方面规定为故意,但在司法实践中,单位泄露信息的案件中监管人员或直接主管人员大多是出于过失的心理,并不具备主观故意,他们的失职行为即使情节严重也因欠缺主观要件而无法予以刑事处罚。这显然不利于对公民个人信息进行全面保护。鉴于此,很多国家刑法中都规定了替代者责任制度。刑法中的替代者责任制度源于民法中的代理制度,主要内容是由主管人员对直接实施者的危害行为承担刑事责任。如日本刑法中有从业人员在从业过程中的违法行为归责于业主的规定,即只处罚业主,不处罚从业人员。在替代者责任制度下,对于员工将单位搜集的客户资料利用工作便利在网上进行售卖以牟利的情况,可以将直接实施者的责任归属于主管人员。作为一种严格责任,替代者责任提高了对监管人员、主管人员的责任要求,有利于从源头防范信息泄露的风险。 ?我国刑法中应借鉴、引入替代者责任制度,完善侵犯公民个人信息罪的主观责任体系。
从责任承担的角度分析,我国现行刑法对于侵犯公民个人信息罪,主要规制向他人出售或者提供公民个人信息的行为,强调信息持有者、控制者的积极作为责任。为强化网络平台的责任,我国刑法还设置了拒不履行信息网络安全管理义务罪,规制信息持有者的不作为责任。随着实名制在网络空间的实施,几乎任何一个网络账号的注册、使用都需要公民提供相应的个人信息,大量的公民个人信息因而为网络信息控制者、网络服务提供者所共享。网络信息控制者、网络服务提供者由此具有了“保证人” 身份,应当履行必要的监督义务。“倘若网络服务提供者由于不履行网络监督义务,致使发生了危害结果,如果不存在违法性阻却事由,那么我们就可以认为其已经满足了刑法规定的不法要件。”但是,刑法中拒不履行信息网络安全管理义务罪的构成除了不作为犯罪的必备要件,还包括“经监管部门责令采取改正措施而拒不改正”这一要件。这种行政处置前置的规定显然不当限制了处罚范围。首先,网络平台等个人信息持有者、控制者应当积极主动地履行法律法规规定的网络安全管理义务,并直接承担不履行、不正确履行义务的法律责任,监管部门的行政处理不应成为其承担责任的必经前置程序。其次,如果網站存在技术漏洞、不能及时提升安全防护标准等问题,网络信息控制者所储存的公民个人信息就面临被侵犯的危险,即使网站后来采取了一定的补救措施,由于网络传输的即时性,也仍然存在公民个人信息被泄露的可能性。在这样的情形下,行政处置前置的规定会导致刑法对网站没有履行网络安全管理义务、造成严重后果的行为无法予以规制。最后,如果监管部门没有积极履行监管义务,按照我国现行刑法规定,就要承担渎职的法律责任。这在一定程度上弱化了网络信息控制者、网络服务提供者的管理义务,增加了行政监管部门的监督压力,最终使得拒不履行信息网络安全管理义务罪这一罪名“备而无用”,加剧信息控制者权利与义务的失衡。因此,“经监管部门责令采取改正措施而拒不改正”这一要件应予以删减。为实现限制处罚范围的立法目的,只需要将网络安全管理义务设定为注意义务而不是结果避免义务就可以了。
四、侵犯公民个人信息罪的定罪量刑因素
《侵犯公民个人信息刑事案件解释》从行为次数、非法获取公民个人信息的数量、非法获利数额、对被害人权利侵害的后果等方面,设定了侵犯公民个人信息罪的定罪量刑因素。这些因素与司法实践存在一定的脱节。例如,该司法解释第5条第1项、第2项并没有对出售、提供信息的数量进行限制,只要行为人出售、提供的公民个人行踪轨迹信息被用于犯罪,或者其知道、应当知道他人将利用这些信息实施犯罪却予以出售、提供,则不论信息数量之多寡,一律入罪。据此,侵犯少数或者单个公民行踪轨迹信息的行为也可能被认定为犯罪。但司法实践中,几乎每个侵犯公民个人信息的犯罪行为所涉及的信息数量都不是单一的,尤其是通过网络实施犯罪加大了信息流转的数量与速度。如果行为人非法提供或出售的单个公民信息尚未被他人用于实施下游犯罪,则根据侵犯公民个人信息罪之法益的公共性,此种情形不宜予以刑法规制。如果行为人非法提供或出售的单个公民信息被他人用于实施犯罪,此时再去追诉该犯罪行为的上游行为——非法提供或出售单个公民信息的行为,在司法实践中实为不易。更何况网络空间中少数或单个公民的个人信息受到侵犯的证据难以固定,非法利用单个公民信息的行为在我国现行刑法中缺失,对此只能作为量刑情节或者下游犯罪的共犯行为予以处理。因此,对于侵犯公民个人信息行为的定罪量刑因素的设计,不能固守针对传统犯罪的犯罪数额、犯罪次数、犯罪结果等因素,而应充分考虑网络犯罪行为隐蔽、犯罪对象广泛、危害不可控、影响范围大等特点。网络信息传播的特性决定了网络犯罪具有一些新的内容和表现形式,如实际点击次数、被浏览次数、转载次数、下载量、系统和信息时长等因素,以此界定侵犯公民个人信息罪更能体现其危害程度,相应的刑罚处置也更加科学合理。具体的法律条文可设计为:“第X条 通过信息网络发布的方式提供公民个人信息,具有下列情形之一的,应当认定为《刑法》第253条规定的情节严重:(一)公民个人信息实际被点击、浏览次数达到五千次以上,或者被转发次数达到五百次以上的;(二)其他情节严重的情形。”
網络空间中侵犯公民个人信息犯罪的过程比较复杂,因而应立足于公共安全的法益性,合理调整定罪因素与量刑因素,并严格遵循规范化的程序分步骤进行规范化量刑。首先根据侵犯公民个人信息罪的定罪情节确定量刑幅度的起点,然后根据法定基础型情节调整、确定基准刑,最后综合个案的浮动量刑情节确定宣告刑。具体而言,个案中同时具备不同的情节,如行为与下游犯罪的联系、信息数量、违法所得数额等方面情节时,基于上述量刑规范化要求,应首先区别定罪情节与量刑情节,在以数额情节作为入罪情节的前提下,在量刑因素的排序上,将数额情节放在基准刑之前确定量刑幅度的起点;然后将犯罪结果或犯罪完成后出现的其他情节作为量刑情节,放到基准刑与宣告刑之间予以考量,调整、确定基准刑。
五、结语
根据我国现行刑法的规定,侵犯公民个人信息罪是情节犯,相关行为只有达到情节严重才构成犯罪。对情节严重的认定虽然有相关司法解释指导,但司法实务中仍存在同罪不同罚、情节与刑罚不匹配等现象。例如,对于将信息数量作为犯罪情节严重的标准,各地认定不一。上海市法院系统有研究人员认为,侵犯个人身份等普通信息的,信息数量应达到5000条;侵犯个人金融信息的,信息数量应达到2500条;侵犯个人隐私信息的,信息数量应达到1000条。重庆市政法系统有研究人员则认为,就侵犯个人信息的数量而言,只要达到200条即可构成犯罪情节严重。实现量刑规范化的设计与司法实践合理对接,在目前的司法体系下最现实、有效的途径是发布刑事指导案例。这一途径一方面使侵犯公民个人信息罪的认定中影响定罪量刑的因素得以固定;另一方面通过展示最新、最适宜的裁判而更快、更及时地反映社会需求。从既判个案中提炼出的裁判要点使具备类似情节的案件有了可以参考的法律适用依据,一些不能被直接适用的量刑规则得以彰显,从而有效弥补法律的滞后性,统一侵犯公民个人信息罪的法律适用,实现规则与实践相契合。
注释
①我国《网络安全法》是针对个人信息保护的专项立法,《身份证法》《旅游法》《护照法》《消费者权益保护法》中都有关于个人信息保护的条款,《电信和互联网用户个人信息保护规定》《邮政行业安全信息报告和处理规定》《征信业管理条例》等行政法规中也有相关规定。
②参见王昭武、肖凯:《侵犯公民个人信息犯罪认定中的若干问题》,《法学》2009年第12期。
③英美法系中,个人信息是作为隐私权的一个分类受到保护的,由于隐私权的范围较为开放,个人信息的范围也相对宽泛。
④参见凌萍萍、焦冶:《侵犯公民个人信息罪的刑法法益重析》,《苏州大学学报》(哲学社会科学版)2017年第6期。
⑤参见胡胜:《侵犯公民个人信息罪的犯罪对象》,《人民司法》2015年第7期。
⑥张勇:《公民个人信息刑法保护的碎片化与体系解释》,《社会科学辑刊》2018年第2期。
⑦张勇:《个人信息去识别化的刑法应对》,《国家检察官学院学报》2018年第4期。
⑧赵宗涛:《网络安全视野下“个人信息”范围的刑法界定》,《山东青年政治学院学报》2017年第3期。
⑨参见于志刚、李源粒:《大数据时代数据犯罪的类型化与制裁思路》,《政治与法律》2016年第9期。
⑩参见翁孙哲:《个人信息的刑法保护探析》,《犯罪研究》2012年第1期。
参见赵秉志:《刑法修正案最新理解适用》,中国法制出版社,2009年,第119页。
参见赵军:《侵犯公民个人信息犯罪法益研究——兼析〈刑法修正案(七)〉的相关争议问题》,《江西财经大学学报》2011年第2期。
参见陈璐:《论〈网络安全法〉对个人信息刑法保护的新启示——以两高最新司法解释为视角》,《法治研究》2017年第4期。
皮勇、王肃之:《大数据环境下侵犯个人信息犯罪的法益和危害行为问题》,《海南大学学报》(人文社会科学版)2017年第5期。
参见王作富主编:《刑法分则实务研究》(中),中国方正出版社,2013年,第857页。
参见王立志:《风险社会中刑法范式之转换——以隐私权刑法保护切入》,《政法论坛》2010年第2期。
刑法意义上负有防止结果发生之特别义务的人可称为“保证人”,如果其没有履行好应尽的义务,造成法益受侵害的后果,该不作为就符合犯罪构成要件。参见张明楷:《外国刑法纲要》,清华大学出版社,1999年,第95—96页。
马荣春、万邵鹏:《略论拒不履行网络监管义务的不法与责任——立于公民个人信息保护的考量》,《南昌大学学报》(人文社会科学版)2018年第2期。
《全国人民代表大会常务委员会关于加强网络信息保护的决定》第4条规定“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失”,第5条规定“网络服务提供者应当加强对其用户发布的信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告”。
B20李怀胜:《公民个人信息的刑法保护思路》,《中国信息安全》2017年第1期。
B21参见于志刚、郭旨龙:《网络刑法的逻辑与经验》,中国法制出版社,2015年,第94—110页。
B22《最高人民法院关于常见犯罪的量刑指导意见》对量刑规范化规定了明确的步骤,即确定量刑起点→确定基准刑→确定宣告刑。
B23参见陈萍:《侵犯公民个人信息行为刑事规制路径及其优化》,《民主与政治》2017年第11期。
责任编辑:邓 林 ?
On the Criminal Law Protection of Personal Information in Cyberspace
Zhang Yang
Abstract: Faced with the insufficient protection of personal information in cyberspace by civil law and administrative law, legislators began to pay more and more attention to this area in criminal law. The prerequisite of the criminal law setting reasonable protection of personal information is to define citizens′ personal information accurately. From the essence point of view, personal information should be authentic, identifiable, and contain information and value. From the perspective of judicial confirmation, personal information should also have relevance and purpose. The punishment of infringement of personal information in criminal law embodies the protection of public security. To strengthen comprehensive protection to personal information in cyberspace, we should perfect the criminal law provisions of the crime of infringing on citizens′ personal information, increase the illegal use of behavior in an objective way, clarify the responsibility of the substitutes of the supervisors and the responsibility of the network information controllers for omission, and adjust the factors affecting conviction and sentencing. Thus, standardization of sentencing can be achieved.
Key words: personal information; illegally utilize; replacer liability; conviction and sentencing factors
摘 要: 面对民事法律、行政法律保护力度的不足,刑法对网络空间中个人信息的保护作用日益受到立法者重视。合理设置个人信息保护之刑法规范的前提是准确界定个人信息。从实质内涵上分析,个人信息应具有真实性、可识别性、载体性和价值性;从司法认定的角度看,个人信息还应具备关联性和目的性。刑法对侵犯个人信息行为的惩治体现了对公共安全的保护,因而侵犯公民个人信息罪的法益具有公共安全性。为强化网络空间中个人信息的刑法保护,应当完善侵犯公民个人信息罪的刑法规定,在客观方面增加非法利用行为、明确主管人员的替代者责任以及网络信息控制者的不作为责任等,并且对影响定罪量刑的因素进行调整,真正实现量刑规范化。
关键词: 个人信息;非法利用;替代者责任;定罪量刑因素
中图分类号:D924.11 ?????文献标识码:A
文章编号: 1003-0751(2018)08-0058-05
近年来,利用网络侵犯公民个人信息的事件频繁发生,严重影响了社会秩序。针对不同领域的个人信息安全屡遭侵犯的状况,我国颁布了相应的部门法予以应对。 ① 但仅有民事法律、行政法律,保护力度显然不够,还需要刑事立法及时跟进。2015年《刑法修正案(九)》整合了侵犯公民个人信息罪的罪名,扩大了犯罪主体的范围,增加了客观行为方式并加重了法定刑;2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《侵犯公民个人信息刑事案件解释》)进一步细化了实践操作标准。然而,我国现行刑法对侵犯公民个人信息行为的规制仍存在疏漏,难以应对实践中的复杂问题。本文审视网络空间中个人信息的刑法保护状况,尝试提出更加全面、有效的保护路径。
一、刑法中的个人信息及相关法益界定
解决网络空间中侵犯公民个人信息行为的司法认定问题,首先需要准确界定个人信息的内涵和外延,这也是对相关危害行为予以量化或者标准化的基础。刑法学界对个人信息的界定存在不同认识。有观点认为,个人信息体现了公民的隐私权,只要信息具备隐秘性,对其进行侵犯的行为就侵犯了个人隐私。 ② 这种观点认定的个人信息较为宽泛,倾向于英美法系的个人信息保护模式 ③ ,但不符合我国立法现状。我国现行刑法规定了侵犯公民个人信息罪,但未针对侵犯隐私权的行为进行规制。即使从应然的角度考虑隐私权的刑法保护,隐私权与个人信息的刑法保护目标及价值取向也会有较大差异。 ④ 有观点将个人信息与隐私进行区分,强调个人信息的可识别性,指出与自然人相关的、单独或与其他信息组合后可以识别特定个人身份的信息,都是公民个人信息。 ⑤ 不过,网络空间中“可识别与不可识别、隐私与公开的界限变得越来越模糊” ⑥ ,仅强调可识别性尚难以对个人信息进行准确界定。事实上,随着大数据等信息技术及其应用的不断发展,个人信息的范围逐步扩大,刑法中个人信息的界定不能流于表象与形式,而要进行全面、深入的思考。
在实质内涵上,受刑法保护的个人信息应同时具备真实性、可识别性、载体性和价值性。通过判断信息真实与否,一方面便于界定罪与非罪,如果行为人在故意心态支配下实施了利用虚假信息的行为,就不可能造成法益侵害的后果,也就不能纳入刑法规制;另一方面还能区分此罪与彼罪,如果行为人明知是虚假的个人信息却仍然出售或者提供,就不再符合侵犯公民个人信息罪的构成要件,而有可能构成诈骗罪。所谓可识别性,是指相关信息具有一定的专属性(与特定个体相关联),经由相关信息符号能够直接或间接地将信息主体的身份识别出来。 ⑦ DNA信息、身份证号码、指纹等信息具有唯一性,司法机关可依据这些信息直接确定具体个人。所谓载体性是指个人信息能够以电子或其他形式在一定载体上记录下来。要求个人信息具有载体性,一方面是出于固定证据的需要,防止出现因网络空间中个人信息的不确定性、易删减性而导致保护范围扩大的情况;另一方面可以避免对个人信息的过度保护。价值性是指个人信息须与人身、财产等利益相关联。如果被侵犯的个人信息不能对其他违法犯罪活动提供帮助,该信息就不具有刑法保护价值。 ⑧
从司法认定的角度考察,个人信息还应具备关联性与目的性。关联性主要有两方面要求:其一,与公民利益相关联,通过关联的紧密程度可以判断行为危害性的大小,从而决定是否予以刑法规制。例如,网络空间中身份识别信息与公民利益的关联程度较之网络浏览信息更为密切,身份识别信息被非法获取并出售或者提供给他人,会带来人身安全或者财产安全被侵犯的风险,而网络浏览信息被获取后,至多可被用于分析用户访问的习惯、时间、类型等。其二,与其他信息相关联,通过关联的紧密程度可以认定某行为是否具有刑法意义。例如,电子钱包中的财产一般都有账号和密码保护,行为人只掌握账号信息而缺乏密码信息是无法窃取财物的。目的性是从主观认定方面提出的要求。行为人利用公民个人信息的目的关系着是否带来信息被滥用的风险。 ⑨ 行为人主观目的的有无及大小在一定程度上能够反映其行为后果的严重程度。如果网络浏览信息只是被网站用来改善自己的营销策略以提升对用户的个性化服务水平,则信息被滥用和泄露的风险较低。如果行为人利用保存于某网站的用户账号密码、交易订单信息等登录其他网站,轻则存在消费者隐私被泄露的风险,重则由于第三方支付平台的信息被泄露而导致用户的财产利益受损。因此,在对个人信息进行司法认定时,不仅要把握其显性特征,还要考量具体案件中的相关因素。只有当信息本身或与其他信息结合后具备威胁人身安全和财产安全的可能性,并且行为人主观上具备一定的不法目的时,这种信息才属于刑法意义上的个人信息。
明确个人信息的范围之后,还须厘清侵犯公民个人信息罪的法益。对此,刑法学界有观点认为,侵犯公民个人信息罪的法益是公民的人格权。 ⑩ 也有觀点认为侵犯公民个人信息罪的法益是公民的信息权。 ?还有观点认为,在公民个人的信息自由和安全或公民个人隐私的背后,必定隐藏着在立法者看来保护意义更为重大、更居优位的法益。 ?公权(益)关联主体在业务中依法获取的个人信息事关国家和社会整体的公共利益,因此,侵犯公民个人信息罪的法益具有公共安全性。首先,从犯罪对象与法益的关联性来看,侵犯公民个人信息罪所侵犯的信息不仅是自然人信息,还包括单位信息。在网络环境下,任何主体均可以信息化的形式和形象存在,自然人和单位的信息均关联具体的法益,因此,非法获取、提供、利用单位信息的行为也具有相当的社会危害性。其次,从法益重要性的角度分析,只有当某行为侵犯多数公民的信息安全时,其侵害的法益才能被认为具有相当程度的重要性而进入刑法视野,该行为才值得动用刑罚处罚。如果某行为仅侵犯一个或几个公民的个人信息,没有对社会造成较大危害,其就被排除在刑法规制范围之外。当然,该行为对公民个人的人身、财产安全造成严重危害的,应直接以侵犯人身权利或财产权利的犯罪论处。最后,从法益保护紧迫性的角度考量,网络空间中涉及个人信息的犯罪呈产业化趋势,这必然导致犯罪对象的不特定,而不特定人的安全就是一种公共安全。例如,行为人非法获取一万个公民的银行账户信息,尚未对其中任何一人造成实际侵害甚至尚未产生盗窃财产的故意时即被发现,就不应认定为侵犯个人法益的犯罪,而只能处以危害公共安全的相关罪名。界定侵犯公民个人信息罪的法益时应摆脱个人法益的局限性,重视法益的公共性。这将在相当程度上影响甚至决定侵犯公民个人信息罪的司法认定思路。
二、侵犯公民个人信息罪的行为类型
网络空间中个人信息的流转过程可分为提供、收集、控制三个阶段,相应地,我国现行刑法对侵犯公民个人信息罪规定了出售、提供、非法获取、窃取四种行为方式,不仅对常见的出售公民个人信息以获利的行为进行处罚,还规制了该行为的上游犯罪即窃取、非法获取、提供公民个人信息的行为,将犯罪打击提前化,从犯罪预防的角度保护公民个人信息安全。但是,刑法规定的这些行为方式仍不够周全。对于在控制阶段利用、使用非法获取的个人信息且情节严重的行为,刑法条文并未涉及,这是一个立法漏洞。在犯罪产业化链条中,非法利用行为是非法获取行为、非法提供行为的源动力,侵犯公民个人信息罪已经从以获取行为为中心转向以利用行为为中心。 就达到犯罪目的而言,如果没有非法利用行为,非法获取行为、非法提供行为就毫无意义。尤其在通过网络实施共同犯罪的场合,存在多个犯罪人分工负责的行为链条,对非法获取的个人信息的利用行为因主体不同、目的不同而与其他行为相分离,犯罪行为的连续性、整体性渐趋弱化,使得侵犯公民个人信息罪的认定面临诸多困难。现有立法对非法利用、使用个人信息行为的规制缺失,制约了对网络空间中侵犯公民个人信息的共同犯罪以及相关下游犯罪的认定。
司法实践中非法使用、利用公民个人信息的行为并不少见。典型的如2008年“西电卡门事件”:西安电子科技大学财务处在未经学生同意的情况下,利用所掌握的学生身份证号码、家庭住址等资料,为一万多名学生办理了“中国工商银行牡丹运动圆梦学生卡”,而这一万多名学生对自己拥有此信用卡的情况一无所知,最终学校公开致歉并注销了此信用卡。在这一事件中,西安电子科技大学并未窃取或者以其他非法方法获取学生的个人信息,也未将所掌握的学生个人信息出售或者非法提供给他人,而是违反国家规定和权利人意愿,非法使用所掌握的公民个人信息,其行为虽然造成了不良社会影响,但刑法对之束手无策。刑事法律应当尽可能从源头即对公民个人信息的控制、传播、使用等层面进行限制,关注信息流转的每一个环节可能存在的不法行为,在规定出售、提供、非法获取、窃取等行为方式之外,增加“利用”这一常见的行为作为侵犯公民个人信息罪的独立的行为类型。这一点在一些国家的刑法中,如《德国刑法典》关于使用他人秘密罪的规定中已有所体现。不过,基于刑法谦抑性的考虑,利用他人信息的行为需要达到一定的程度才能纳入刑法体系。具体条款可规定为:利用他人的个人信息,情节严重的,处两年以下有期徒刑或者拘役,并处或者单处罚金。至于情节严重的标准,可以考虑利用他人信息的数量,是否利用他人信息进行非法犯罪活动或营利活动等方面因素进行设计。
三、侵犯公民个人信息罪的主体责任
我国现行刑法将侵犯公民个人信息罪的主观方面规定为故意,但在司法实践中,单位泄露信息的案件中监管人员或直接主管人员大多是出于过失的心理,并不具备主观故意,他们的失职行为即使情节严重也因欠缺主观要件而无法予以刑事处罚。这显然不利于对公民个人信息进行全面保护。鉴于此,很多国家刑法中都规定了替代者责任制度。刑法中的替代者责任制度源于民法中的代理制度,主要内容是由主管人员对直接实施者的危害行为承担刑事责任。如日本刑法中有从业人员在从业过程中的违法行为归责于业主的规定,即只处罚业主,不处罚从业人员。在替代者责任制度下,对于员工将单位搜集的客户资料利用工作便利在网上进行售卖以牟利的情况,可以将直接实施者的责任归属于主管人员。作为一种严格责任,替代者责任提高了对监管人员、主管人员的责任要求,有利于从源头防范信息泄露的风险。 ?我国刑法中应借鉴、引入替代者责任制度,完善侵犯公民个人信息罪的主观责任体系。
从责任承担的角度分析,我国现行刑法对于侵犯公民个人信息罪,主要规制向他人出售或者提供公民个人信息的行为,强调信息持有者、控制者的积极作为责任。为强化网络平台的责任,我国刑法还设置了拒不履行信息网络安全管理义务罪,规制信息持有者的不作为责任。随着实名制在网络空间的实施,几乎任何一个网络账号的注册、使用都需要公民提供相应的个人信息,大量的公民个人信息因而为网络信息控制者、网络服务提供者所共享。网络信息控制者、网络服务提供者由此具有了“保证人” 身份,应当履行必要的监督义务。“倘若网络服务提供者由于不履行网络监督义务,致使发生了危害结果,如果不存在违法性阻却事由,那么我们就可以认为其已经满足了刑法规定的不法要件。”但是,刑法中拒不履行信息网络安全管理义务罪的构成除了不作为犯罪的必备要件,还包括“经监管部门责令采取改正措施而拒不改正”这一要件。这种行政处置前置的规定显然不当限制了处罚范围。首先,网络平台等个人信息持有者、控制者应当积极主动地履行法律法规规定的网络安全管理义务,并直接承担不履行、不正确履行义务的法律责任,监管部门的行政处理不应成为其承担责任的必经前置程序。其次,如果網站存在技术漏洞、不能及时提升安全防护标准等问题,网络信息控制者所储存的公民个人信息就面临被侵犯的危险,即使网站后来采取了一定的补救措施,由于网络传输的即时性,也仍然存在公民个人信息被泄露的可能性。在这样的情形下,行政处置前置的规定会导致刑法对网站没有履行网络安全管理义务、造成严重后果的行为无法予以规制。最后,如果监管部门没有积极履行监管义务,按照我国现行刑法规定,就要承担渎职的法律责任。这在一定程度上弱化了网络信息控制者、网络服务提供者的管理义务,增加了行政监管部门的监督压力,最终使得拒不履行信息网络安全管理义务罪这一罪名“备而无用”,加剧信息控制者权利与义务的失衡。因此,“经监管部门责令采取改正措施而拒不改正”这一要件应予以删减。为实现限制处罚范围的立法目的,只需要将网络安全管理义务设定为注意义务而不是结果避免义务就可以了。
四、侵犯公民个人信息罪的定罪量刑因素
《侵犯公民个人信息刑事案件解释》从行为次数、非法获取公民个人信息的数量、非法获利数额、对被害人权利侵害的后果等方面,设定了侵犯公民个人信息罪的定罪量刑因素。这些因素与司法实践存在一定的脱节。例如,该司法解释第5条第1项、第2项并没有对出售、提供信息的数量进行限制,只要行为人出售、提供的公民个人行踪轨迹信息被用于犯罪,或者其知道、应当知道他人将利用这些信息实施犯罪却予以出售、提供,则不论信息数量之多寡,一律入罪。据此,侵犯少数或者单个公民行踪轨迹信息的行为也可能被认定为犯罪。但司法实践中,几乎每个侵犯公民个人信息的犯罪行为所涉及的信息数量都不是单一的,尤其是通过网络实施犯罪加大了信息流转的数量与速度。如果行为人非法提供或出售的单个公民信息尚未被他人用于实施下游犯罪,则根据侵犯公民个人信息罪之法益的公共性,此种情形不宜予以刑法规制。如果行为人非法提供或出售的单个公民信息被他人用于实施犯罪,此时再去追诉该犯罪行为的上游行为——非法提供或出售单个公民信息的行为,在司法实践中实为不易。更何况网络空间中少数或单个公民的个人信息受到侵犯的证据难以固定,非法利用单个公民信息的行为在我国现行刑法中缺失,对此只能作为量刑情节或者下游犯罪的共犯行为予以处理。因此,对于侵犯公民个人信息行为的定罪量刑因素的设计,不能固守针对传统犯罪的犯罪数额、犯罪次数、犯罪结果等因素,而应充分考虑网络犯罪行为隐蔽、犯罪对象广泛、危害不可控、影响范围大等特点。网络信息传播的特性决定了网络犯罪具有一些新的内容和表现形式,如实际点击次数、被浏览次数、转载次数、下载量、系统和信息时长等因素,以此界定侵犯公民个人信息罪更能体现其危害程度,相应的刑罚处置也更加科学合理。具体的法律条文可设计为:“第X条 通过信息网络发布的方式提供公民个人信息,具有下列情形之一的,应当认定为《刑法》第253条规定的情节严重:(一)公民个人信息实际被点击、浏览次数达到五千次以上,或者被转发次数达到五百次以上的;(二)其他情节严重的情形。”
網络空间中侵犯公民个人信息犯罪的过程比较复杂,因而应立足于公共安全的法益性,合理调整定罪因素与量刑因素,并严格遵循规范化的程序分步骤进行规范化量刑。首先根据侵犯公民个人信息罪的定罪情节确定量刑幅度的起点,然后根据法定基础型情节调整、确定基准刑,最后综合个案的浮动量刑情节确定宣告刑。具体而言,个案中同时具备不同的情节,如行为与下游犯罪的联系、信息数量、违法所得数额等方面情节时,基于上述量刑规范化要求,应首先区别定罪情节与量刑情节,在以数额情节作为入罪情节的前提下,在量刑因素的排序上,将数额情节放在基准刑之前确定量刑幅度的起点;然后将犯罪结果或犯罪完成后出现的其他情节作为量刑情节,放到基准刑与宣告刑之间予以考量,调整、确定基准刑。
五、结语
根据我国现行刑法的规定,侵犯公民个人信息罪是情节犯,相关行为只有达到情节严重才构成犯罪。对情节严重的认定虽然有相关司法解释指导,但司法实务中仍存在同罪不同罚、情节与刑罚不匹配等现象。例如,对于将信息数量作为犯罪情节严重的标准,各地认定不一。上海市法院系统有研究人员认为,侵犯个人身份等普通信息的,信息数量应达到5000条;侵犯个人金融信息的,信息数量应达到2500条;侵犯个人隐私信息的,信息数量应达到1000条。重庆市政法系统有研究人员则认为,就侵犯个人信息的数量而言,只要达到200条即可构成犯罪情节严重。实现量刑规范化的设计与司法实践合理对接,在目前的司法体系下最现实、有效的途径是发布刑事指导案例。这一途径一方面使侵犯公民个人信息罪的认定中影响定罪量刑的因素得以固定;另一方面通过展示最新、最适宜的裁判而更快、更及时地反映社会需求。从既判个案中提炼出的裁判要点使具备类似情节的案件有了可以参考的法律适用依据,一些不能被直接适用的量刑规则得以彰显,从而有效弥补法律的滞后性,统一侵犯公民个人信息罪的法律适用,实现规则与实践相契合。
注释
①我国《网络安全法》是针对个人信息保护的专项立法,《身份证法》《旅游法》《护照法》《消费者权益保护法》中都有关于个人信息保护的条款,《电信和互联网用户个人信息保护规定》《邮政行业安全信息报告和处理规定》《征信业管理条例》等行政法规中也有相关规定。
②参见王昭武、肖凯:《侵犯公民个人信息犯罪认定中的若干问题》,《法学》2009年第12期。
③英美法系中,个人信息是作为隐私权的一个分类受到保护的,由于隐私权的范围较为开放,个人信息的范围也相对宽泛。
④参见凌萍萍、焦冶:《侵犯公民个人信息罪的刑法法益重析》,《苏州大学学报》(哲学社会科学版)2017年第6期。
⑤参见胡胜:《侵犯公民个人信息罪的犯罪对象》,《人民司法》2015年第7期。
⑥张勇:《公民个人信息刑法保护的碎片化与体系解释》,《社会科学辑刊》2018年第2期。
⑦张勇:《个人信息去识别化的刑法应对》,《国家检察官学院学报》2018年第4期。
⑧赵宗涛:《网络安全视野下“个人信息”范围的刑法界定》,《山东青年政治学院学报》2017年第3期。
⑨参见于志刚、李源粒:《大数据时代数据犯罪的类型化与制裁思路》,《政治与法律》2016年第9期。
⑩参见翁孙哲:《个人信息的刑法保护探析》,《犯罪研究》2012年第1期。
参见赵秉志:《刑法修正案最新理解适用》,中国法制出版社,2009年,第119页。
参见赵军:《侵犯公民个人信息犯罪法益研究——兼析〈刑法修正案(七)〉的相关争议问题》,《江西财经大学学报》2011年第2期。
参见陈璐:《论〈网络安全法〉对个人信息刑法保护的新启示——以两高最新司法解释为视角》,《法治研究》2017年第4期。
皮勇、王肃之:《大数据环境下侵犯个人信息犯罪的法益和危害行为问题》,《海南大学学报》(人文社会科学版)2017年第5期。
参见王作富主编:《刑法分则实务研究》(中),中国方正出版社,2013年,第857页。
参见王立志:《风险社会中刑法范式之转换——以隐私权刑法保护切入》,《政法论坛》2010年第2期。
刑法意义上负有防止结果发生之特别义务的人可称为“保证人”,如果其没有履行好应尽的义务,造成法益受侵害的后果,该不作为就符合犯罪构成要件。参见张明楷:《外国刑法纲要》,清华大学出版社,1999年,第95—96页。
马荣春、万邵鹏:《略论拒不履行网络监管义务的不法与责任——立于公民个人信息保护的考量》,《南昌大学学报》(人文社会科学版)2018年第2期。
《全国人民代表大会常务委员会关于加强网络信息保护的决定》第4条规定“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失”,第5条规定“网络服务提供者应当加强对其用户发布的信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告”。
B20李怀胜:《公民个人信息的刑法保护思路》,《中国信息安全》2017年第1期。
B21参见于志刚、郭旨龙:《网络刑法的逻辑与经验》,中国法制出版社,2015年,第94—110页。
B22《最高人民法院关于常见犯罪的量刑指导意见》对量刑规范化规定了明确的步骤,即确定量刑起点→确定基准刑→确定宣告刑。
B23参见陈萍:《侵犯公民个人信息行为刑事规制路径及其优化》,《民主与政治》2017年第11期。
责任编辑:邓 林 ?
On the Criminal Law Protection of Personal Information in Cyberspace
Zhang Yang
Abstract: Faced with the insufficient protection of personal information in cyberspace by civil law and administrative law, legislators began to pay more and more attention to this area in criminal law. The prerequisite of the criminal law setting reasonable protection of personal information is to define citizens′ personal information accurately. From the essence point of view, personal information should be authentic, identifiable, and contain information and value. From the perspective of judicial confirmation, personal information should also have relevance and purpose. The punishment of infringement of personal information in criminal law embodies the protection of public security. To strengthen comprehensive protection to personal information in cyberspace, we should perfect the criminal law provisions of the crime of infringing on citizens′ personal information, increase the illegal use of behavior in an objective way, clarify the responsibility of the substitutes of the supervisors and the responsibility of the network information controllers for omission, and adjust the factors affecting conviction and sentencing. Thus, standardization of sentencing can be achieved.
Key words: personal information; illegally utilize; replacer liability; conviction and sentencing factors
