侵犯公民個人信息安全犯罪解讀

張玉華 溫春玲

為了打擊日益嚴重的侵犯公民個人信息安全的行為,《刑法修正案(七)》第7條規定了侵犯公民個人信息安全犯罪。雖然該修正案對侵犯公民個人信息安全犯罪進行了較為全面的規定,但在司法實踐中仍然會遇到執法上的困難。本文圍繞該規定進行解析。

一、個人信息的界定

關于公民個人信息的范圍,我們認為,應當從廣義上對其進行界定。所謂“個人信息”,是指以任何形式存在的、與公民個人存在關聯并可以識別特定個人的信息。其外延十分廣泛,幾乎有關個人的一切信息、數據或者情況都可以被認定為個人信息;“個人信息”是一個相對較抽象的概念,但不是所有的可公開或半公開的信息都由刑法來保護,應從立法本義和法益保護的初衷相對確定由刑法保護的對象。通常需要保護的個人信息可以理解為任何生物的、物理的和其他用于識別個人的信息,具體包括姓名、身份證號碼、職業、學歷、婚姻狀況、收入和財產狀況、家庭住址、電話號碼、血型、醫療記錄、書寫的簽名、電子簽名、網上登錄的帳號和密碼、信用卡號碼、賬號、護照號碼、駕駛證號碼、指紋、DNA親子鑒定結論等。刑法保護的應該是那些能給他人謀取正當或不正當的利益提供便利且泄露后將給公民本人合法利益帶來嚴重侵害的個人信息。侵犯公民個人信息安全犯罪保護的犯罪對象主要應為以下三個方面:一是與公民個人身份密切相關的信息,如公民個人的身份證上的信息,這些信息的泄露往往會給不法分子實施詐騙等犯罪帶來便利,從而給公民個人的人身、財產安全帶來嚴重的危害。二是與公民個人財產狀況相關的信息,如公民在購買房屋和私家車等財產時,一般都必須在銷售單位或者中介機構留下詳細的個人信息,這些信息經常被相關單位出售或非法提供給單位或個人,導致眾多公民的生活受到嚴重的干擾甚至遭受重大的財產損失。三是涉及公民個人隱私方面的信息,如公民個人的醫療記錄、DNA親子鑒定結論等,這些個人信息一旦泄露,將嚴重侵犯公民的隱私權。

應當注意的是,《刑法修正案(七)》第7條在條文中明確地限制了侵犯公民個人信息安全罪的對象,[1]對象范圍僅限于國家機關或者金融、電信、交通、教育、醫療等單位在履行職責或者提供服務的過程中收集、保存、管理的公民個人信息,即利用公權力或提供服務過程中依法獲得的公民個人信息。根據罪刑法定原則,行為人通過其他途徑獲得公民個人信息的行為,例如,利用網絡技術或者其他手段從公民個人處直接非法獲取個人信息,即使非法獲取的個人信息數量巨大,也不能以侵犯公民個人信息安全罪定罪處罰。

《憲法》第33條規定國家尊重和保障人權。個人基礎信息在一定范圍內屬于個人秘密,是公民所應享有的基本權利,不容許非法獲取,不允許以公民個人信息進行非法營利,或私自利用公民個人信息進行交易。如,某個醫生在醫療過程中獲悉患者得了艾滋病,醫生就不得隨便透露患者的相關信息;整容醫生為患者(諸如某位明星等公眾人物)施行了整容手術,也不得向他人泄露患者的個人信息。我們不應當將是否采取保密措施作為判斷是否屬于個人信息的標準,因為個人信息不同于國家秘密和商業秘密,它是每個人都有的,具有普遍存在性,且不以采取保密措施為刑法保護的要件,公民的這項權利應該是國家主動進行保護的,而不論公民個人是否采取了保密措施。

二、侵犯公民個人信息安全犯罪的罪名

《刑法修正案(七)》第7條的規定應為兩個罪名,該條第1款和第2款規定的犯罪主體、行為方式明顯不同。第1款規定的犯罪主體應為特殊主體,第2款規定的主體應為一般主體;第1款規定的行為方式是“出售或者非法提供公民個人信息”,第2款規定的行為方式是“竊取或者非法獲取公民個人信息”。

(一)《刑法修正案(七)》第7條第1款的罪名

確定罪名必須以罪狀為根據,罪名的表述應當簡明、精煉。因此,關于《刑法修正案(七)》第7條第1款的罪名,該罪名宜確定為“出售、非法提供公民個人信息罪”。理由在于:(1)該款犯罪的核心內容是將公民個人信息“出售或者非法提供給他人”。將罪名稱作“出售、非法提供公民個人信息罪”,把該罪最本質的特征全面反應在了罪名中;(2)根據該款的規定,雖然該罪的主體是特殊主體,但是從罪名簡潔性的角度,將這些限制性內容都納入罪名之中會使罪名顯得過于冗長、繁瑣。因此,不宜將這些內容納入罪名中,而可以通過對“出售、非法提供”的主體和公民個人信息的獲得途徑進行限制性解釋。這樣既有利于保證罪名的概括性、簡明性,又不失罪名的準確性。[2]

(二)《刑法修正案(七)》第7條第2款的罪名

對于《刑法修正案(七)》第7條第2款的罪名宜確定為“非法獲取公民個人信息罪”。理由在于:(1)該款規定的行為方式是“非法獲取”行為,“竊取或者以其他方法”都是非法獲取的手段,在確定該款罪名時只需體現“非法獲取”的行為特征,而不必將“竊取或者以其他方法”的罪狀表述納入罪名;(2)該款在內容上沒有對“公民個人信息”的范圍進行限定,所有的“公民個人信息”都可成為本款行為的對象。因此,將本款的罪名確定為“非法獲取公民個人信息罪”,能夠較為準確地反映該款犯罪的基本特征。

三、侵犯公民個人信息安全犯罪的犯罪主體

(一)“出售、非法提供公民個人信息罪”的犯罪主體

1.本罪的主體是特殊主體,即國家機關或者金融、電信、交通、教育、醫療等單位及其工作人員。上述列舉的五個單位以外的其他單位及其工作人員是否屬于本罪的主體范圍,則涉及對本條規定中的“等”字的理解。在漢語中,“等”有表示完全列舉后的煞尾之義,也可以表示未盡列舉。我們認為,本條中的“等”應理解列舉未盡,與上述五個單位性質相同或者相似的單位也應包含在其中。實踐中,也存在與上述五個單位不是相同性質的單位,例如網絡公司、市場調查公司,房地產公司、物業管理公司、律師事務所、會計師事務所、會員俱樂部等也存在合法收集個人部分信息的情況,這些單位也應當涵蓋其中。根據一家社會調查中心對2422名公眾開展的調查顯示,電信機構、招聘網站和獵頭公司、各類中介機構被公眾列為泄露個人信息的“罪魁禍首”。對于這些單位及其工作人員將其在提供服務過程中獲得的公民個人信息出售或者非法提供給其他單位和個人,情節嚴重的行為應當加以懲處。因此,我們認為,從目前公民個人信息受到侵害的客觀情況看,探求立法的本意,本罪的主體應作擴張性解釋,將可以合法收集到公民個人信息的單位及其工作人員均應納入本罪的主體范圍。

國家機關負有公共管理職能,金融、電信、交通、教育、醫療等單位肩負著為社會和大眾提供公共服務的職責,在這些機關或單位工作的人員,可以很容易接觸到大量的公民個人信息。本款規定的“金融單位”是指從事金融活動的機構或金融部門,一般是指各種銀行、保險公司、信托投資公司、證券機構、財務公司、信用合作組織等銀行金融機構和非銀行金融機構;“電信單位”是指電信部門和電信營業機構;“交通單位”是指從事旅客和貨物等運輸部門;“教育單位”是指各級各類學?；蚺嘤枡C構,包括公辦和民辦的教育機構;“醫療單位”是指依據《醫療機構管理條例》和《醫療機構管理條例實施細則》的規定,經登記取得《醫療機構執業許可證》的機構。

2.本罪的主體包括單位和自然人。認定單位是否構成出售、非法提供公民個人信息罪,應從以下三個方面作出認定:一是行為人出售、非法提供公民個人信息的行為必須在其職務范圍內進行的;二是行為人出售、非法提供公民個人信息的行為是以單位的名義進行的,并且是為了本單位的利益,而不是為了個人利益;三是出售、非法提供公民個人信息的行為達到構成犯罪的程度。本罪的自然人主體應是國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,其出售、非法提供公民個人信息的行為應界定為行為人不是履行職務之內的行為,但出售、非法提供的公民個人信息是基于其履行職務時合法獲取的。