侵犯公民个人信息犯罪实证研究
2015-05-30杨新京叶萍黄成
杨新京 叶萍 黄成
内容摘要:本文以实证与理论研究的方法,对《刑法》第253条之一实施以来B市C区人民检察院所办理的侵犯公民个人信息犯罪案件为样本,分析了这类案件的特点及趋势,对司法实践中存在的关于主体范围、公民个人信息的范畴、行为模式认定及情节严重的标准等方面进行了分析,并提出了相应的立法及司法建言。
关键词:侵犯公民个人信息罪 非法获取 情节严重
《刑法修正案(七)》增设《刑法》第253条之一,首次在我国《刑法》中规定了侵犯公民个人信息的犯罪。
一、2009-2013年B市C区办理的侵犯公民个人信息犯罪案件的特点
据统计,2009-2013年B市C区人民检察院受理侵犯公民个人信息犯罪案件20件41人。主要呈现出以下特点:
一是案件数及人数增长明显。据统计,2012-2013年的案件量占到了五年案件量的90%,2013年的犯罪嫌疑人数是其余四年的总和,犯罪形势更加复杂和严峻。
二是犯罪对象种类繁多并具有针对性。信息类型的比重从高到低依次集中于消费购物信息、车主信息、业主信息、通讯信息、企业及高管信息、户籍信息、老年及病患人群信息等方面,且大多数案件经犯罪人的分类整合后,信息更加具有针对性。
三是犯罪目的主要是为广告推销及出售牟利。涉案信息中,公民的消费购物信息比重最大,其次是车主信息、业主信息、老人及患病信息等。一些公司、企业及个体经营者通过非法渠道购买以上信息,再通过电话、短信、上门等方式向目标客户推销保健品、收藏品、纪念品、高仿奢侈品等产品或服务。部分不法分子通过购买上述信息用于实施诈骗、伪造证件等违法犯罪活动。
四是“侦探、讨债”公司催生黑色产业链。数据显示,该部分犯罪群体的人数占到了总人数的50%以上,成为侵犯公民个人信息犯罪的主力军,其获取信息的针对性更强,手段更专业,非法获利更高,更容易形成侵犯公民个人信息的黑色产业链条,社会危害性更大。[1]
五是犯罪手段以互联网交易为主,新型高科技犯罪手段逐步涌现。经统计,约85%的案件为通过网络非法获取相应的信息。其中,通过网络直接传递数据的约占88%,通过U盘交付的约占12%。另外,通过高科技手段非法获取公民个人信息的案件也逐渐显现。如张某等10人通过研发“静默插件”,在用户不知情的情况下实现对手机的实际控制并获取手机短信、通话、通讯录、GPS定位等信息,仅三个月内便获取了十余万部手机高达上千万条通讯记录。
二、司法实践中法律适用的困惑与分析
(一)对犯罪主体的困惑与分析
《刑法》第253条第1款出售、非法提供公民个人信息罪的犯罪主体是“国家机关或者金融、交通、电信、医疗、教育等单位的工作人员”,该罪的主体究竟是一般主体还是特殊主体,法条规定的“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”中的“等”字如何理解,即除了法条列举的六类单位之外,是否还包括其他单位,其他单位的范围是什么?
根据体系解释及文义解释,一般认为,“等”应当包含其他单位。但对其他单位的范围有不同理解:一种观点认为,不宜将公民个人信息的刑事保护范围扩大到没有利用“公权力”采取的一切单位和个人。[2]据此,所未列举的单位也应当属于利用某种“公权力”采集公民个人信息的单位。另一种观点认为,没有必要作此限制,凡是合法成立的单位均属于法条规定的范围。[3]
以上两种观点均有其合理性,但我们更倾向于后者。首先,对单位范围作上述理解并未超出法条的文义范围。法条本身也并未对单位的性质或者特征作明确限制,更未提及获取公民的信息必须是要基于“公权力”。其次,更有利于加强对公民个人信息的保护。不可否认,“公权力”下的公民信息管理制度是本罪所保护的法益之一,但并非本罪保护的主要法益。根据体系解释的方法,本罪被规定在侵犯公民人身权利、民主权利罪一章中,其保护的主要法益应当是公民个人的信息权利及信息安全。如果仅将本罪中的单位作仅限具有“公权力”的狭义理解,将会使对公民个人信息的保护存在真空地带。逻辑上,对公民个人信息的侵犯,要么是合法占有者的非法利用(包括出售、非法提供),要么是非合法占有者的非法获取及利用。《刑法》第253条第2款所规制的正是后者,那么,为何同时还应承担保障信息安全义务的前者中,就仅具有“公权力”的才会被规制呢?实践中,诸如物流快递、房产销售、汽车销售、保险公司、旅游公司、物业公司、咨询公司以及各种网站等等,信息泄露的情况不在少数。这些单位同样不同程度地掌握着大量的公民个人信息,但相对于“公权力”下的单位,这些单位对所获信息的保护意识和强度又明显不足,反而更易被犯罪分子觊觎。若将这些单位排除在外,势必不利于对公民信息安全的保护,有违立法初衷及目的。第三,其他国家的立法例中对侵害公民个人信息犯罪的主体也鲜有限制。[4]日前全国人大常委会发布《刑法修正案九(草案)》,其中第16条对《刑法》第253条之一作出修改,取消了原条文中的“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,修改后的条文适用于所有掌握公民个人信息资料的人,如果违反国家规定,将公民个人信息出售或者非法提供给他人,情节严重的,就将受到刑罚处罚。笔者认为,草案解决了当前司法机关在办理侵犯公民个人信息犯罪方面存在的疑难问题,对于保护公民个人信息,惩治犯罪,具有重要意义。
(二)“公民个人信息”的适用困惑与分析
1.公民个人信息的界定。对此,较为有代表性的学说有关联说、隐私说、识别说三种[5]。全国人大常委会于2012年12月28日通过的《关于加强网络信息保护的决定》(下文简称《决定》)第1条规定,“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”可见同时采取了识别说与隐私说。笔者认为,首先是能够直接或间接识别特定公民个人身份的信息。“公民”应当我国公民和他国公民;“个人”是指单个的自然人,不包括单位。“个人信息”是指能识别出特定人的直接识别和间接识别的消息。其次,包含涉及公民个人隐私的信息。笔者认为,除法条所列举的国家机关、金融、电信、医疗等单位涉及的公民个人的隐私信息外,实践中大量存在的诸如消费记录、定位信息、宾馆入住、航班旅程等涉及个人秘密或隐私的信息,因与法条列举的单位掌握的个人信息具有等价性,也应纳入个人信息的范围。最后,应当排除依法公开或公民自愿在一定范围内公开的信息。例如,税务、工商等行政部门和司法机关依法公示的信息应视为公知信息。对于公民依约定公开以及公民单方自愿在一定范围内公开的信息,若相对人或者其他行为人超越既定范围使用仍可构成对公民个人信息的侵犯。
2.对“违反国家规定”的理解。由于《个人信息保护法》的缺位,加之《刑法》第96条对“国家规定”有着明确的解释,实践中确实会存在无法找到对应“国家规定”的情况。《决定》为上述问题的解决及对侵犯公民个人信息犯罪的认定提供了一定的依据和指引。但对于非网络信息、电子信息的其他信息,根据罪刑法定原则,现阶段不宜纳入《刑法》第253条之一的规制范围。
3.对“在履行职责或提供服务过程中获得的公民个人信息”的理解。笔者认为,至少包含两个方面的限定:首先,是指信息获取途径的合法性。即要求履行职责或者提供服务于法有据,符合法律规定程序,且所获取的信息在法律约束的范围内,否则该收集行为不具有合法性。其次,是指信息的获取应当是在履职或服务的时间和场合内,但对于该时间和场合应当作实质意义上的理解。如田某某非法经营案中,因田某某的公司通过欺骗手段非法获取他人工作单位及地址信息以非法从事私人侦探业务,不符合出售公民个人信息罪犯罪对象的要求,最终法院认定田某某成立非法经营罪。
4.对非法获取公民个人信息罪中“上述信息”的理解。如前所述,实践中,非法获取公民个人信息罪占绝大多数,且大多数案件中的信息源无法查明,其所获取的信息很可能是二手甚至多手信息,无法认定是否系“上述”单位在履行职责或者提供服务过程中获得。若仅当行为人非法获取了前述单位合法取得的公民个人信息时才成立本罪,而当行为人非法获取了前述单位非法取得、其他单位合法取得、其他单位非法取得及非法单位(个人)非法取得的信息时均不构成本罪,这样的结论难以让人接受。故笔者认为,对此处“上述信息”的理解,应当基于立法目的,从法益保护的角度,作相对于第1款更宽泛的理解。即只要是《刑法》上的“公民个人信息”即可,来源是否合法不论。《刑法修正案(九)草案》中将该条的“上述信息”直接规定为“公民个人信息”,显然也与笔者观点是相同的。
(三)对该罪客观行为的认定难点
1.“非法提供”的认定。非法提供,是指符合主体要求的单位或工作人员,违反法律法规及规范性文件、行业规范等规定和要求,将单位在履行职责或者提供服务过程中合法获得的公民个人信息无偿提供给他人的行为。对“非法提供”与“出售”的区别,笔者认为,并非仅在于是否获得利益,而关键要看行为人提供信息时是否具有获得利益的目的。能够判断其行为时具有该目的的(比如事前有约定的),自然构成出售公民个人信息罪。对于无法判断的,可以分情况讨论:对于仅有一次行为,事前没有约定,事后仅被动收受财物的,可以认定为非法提供;但对于有两次以上行为,虽事前也无约定,均事后才收受财物,但不应再认定为非法提供,而应认定为出售行为,因为当行为人在获得了利益之后再实施该行为并且再次收受了财物时,可以认定行为时行为人已经具有了对获得相应利益的信赖和期待,也即可以认定其行为时具有获得利益的目的。
2.“非法获取”的认定。依法条规定,“非法获取”是指“窃取或者以其他方法非法获取”。重点在于对“其他方法”的理解,这里应当是指与窃取的社会危害程度相当的方法,例如骗取、胁迫、利诱、恐吓、抢夺、购买等违反法律规定的获取方式。但非法获取与出售、非法提供并非是完全的对向关系,也即二罪并不属于典型意义上的对向犯。即使能够成立对向犯,也仅限于与第1款的规定所对应的购买、收受的行为。实践中易引起适用分歧的主要是“先买后卖”的行为认定。因现行规定对于先买后卖中的出售行为未规定为犯罪,则不管行为人出售的目的产生于何时,在定罪上均仅构成非法获取公民个人信息罪一罪。但当行为人不是以出售为目的,而是具有其他犯罪目的,又实施了其他犯罪行为时(如又利用信息实施诈骗等行为的),这种区分便具有了罪数认定上的意义。《刑法修正案九(草案)》中新增一款“未经公民本人同意,向他人出售或者非法提供其个人信息,情节严重的,处二年以下有期徒刑或者拘役,并处或者单处罚金。”在此情形下,先买后卖行为则可能出现牵连犯或者数罪可能性。如行为人购买信息时即具有出售的故意,则系手段行为与目的行为的牵连犯;如行为人购买信息时并不具有出售的目的,获取之后才具有该故意的,则前后系两个行为、两个故意,构成数罪。
(四)“情节严重”的认定
法条明确规定“情节严重”的才构成犯罪,但何为“情节严重”目前尚无据可依,实践中可能因司法者对法条的不同理解导致量刑不均衡。对此,理论界提出了三要素说[6]、六要素[7]说等多种标准。但从本质上看,均为单一标准,简单、直观、易于操作,具有一定的合理性,但也存在问题。其一,形式上仅能通过列举的方式进行,当无法穷尽列举或准确概括时,难免存在疏漏;其二,仅对情节严重进行扁平式的考量,缺乏考量的综合性,难免放纵犯罪。因此,我们建议,对本罪“情节严重”的解释应当以单一情节模式为基础,同时采用对多个情节进行加权考量的综合模式。以上几种观点中所列举的单一情节要素,基本上都包含了信息的数量、用途、行为次数、获利情况及危害结果等,故笔者认为可以单一标准中进行列举式规定。同时,再规定一条综合标准,对虽不符合某单一情节标准但有两项情节以上已接近单一情节标准的和虽不符合某一项单一情节标准但已接近该标准并具有其他规定情节的情形进行规定。
值得说明的是,实践中的具体案件情节严重的认定,还有赖于司法裁量权的行使,应当由司法官按照一般人的标准,判断行为人的行为是否已侵害或威胁了法益,是否达到了应受刑罚处罚的程度。
三、立法及司法建言
(一)建议立法机关对《刑法》第253条之一作出修改
笔者支持日前公布的《刑法修正案九(草案)》对第253条之一的修改,将本罪特殊主体改为一般主体,以及对出售和非法提供公民个人信息行为的进一步完善,即:“违反国家规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”
“窃取或者以其他方法非法获取公民个人信息,情节严重的,依照前款的规定处罚。”
“未经公民本人同意,向他人出售或者非法提供其个人信息,情节严重的,处二年以下有期徒刑或者拘役,并处或者单处罚金。”
“单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”[8]
(二)建议“两高”对办理侵犯公民个人信息犯罪作出相关司法解释
1.对“公民个人信息”的概念和范围作出释义。建议:“公民个人信息是指能够识别公民个人身份和涉及公民个人隐私的信息,包括姓名、性别、年龄、住址、身份证号码、电话号码等密切与公民个人身份相关的信息和就诊信息、银行信息、消费记录、定位信息、宾馆入住、航班旅程等涉及个人秘密或隐私的信息。”
2.对“情节严重”的认定标准作出规定。建议:“具有下列情形之一的,认定为《刑法》第253条之一规定的‘情节严重:(1)供他人或本人用于进行非法活动的;(2)出售、非法提供、非法获取公民个人信息1000条以上[9];(3)多次出售、非法提供、非法获取公民个人信息或曾因出售、非法提供、非法获取公民个人信息受过二次行政处罚又实施的;(4)违法所得较大的;(5)造成严重后果的[10];(6)非法获取公民个人信息手段恶劣的[11]。
具有下列情形之一的,可视为符合《刑法》第253条之一规定的‘情节严重:(1)出售、非法提供、非法获取公民个人信息,虽未达到前款数量、金额要求,但数量、金额已分别达到上述标准80%以上的;(2)出售、非法提供、非法获取公民个人信息,具有下列情节之一的,信息数量、违法所得金额超过前款规定的50%以上的:A.曾因出售、非法提供、非法获取公民个人信息受过刑事处罚的;B.一年内曾因出售、非法提供、非法获取公民个人信息受过行政处罚的。”
注释:
[1]数据显示,2009-2013年间,C区人民检察院共办理此类非法经营案件33件108人。
[2]参见黄太云:《刑法修正案(七)解读》,载《人民检察》2009年第6期。
[3]参见王昭武、肖凯:《侵犯公民个人信息犯罪认定中的若干问题》,载《法学》2009年第12期。
[4]参见刘宪权、方晋华:《个人信息权刑法保护的立法及完善》,载《华东政法大学学报》2009年第3期。
[5]参见齐爱民著:《中国信息立法研究》,武汉大学出版社2009年版,第76页-77页。
[6]参阅王昭武、肖凯:《侵犯公民个人信息犯罪认定中的若干问题》,载《法学》2009年第12期。
[7]参阅刘宪权、方晋晔:《个人信息权刑法保护的立法及完善》,载《华东政法大学学报》2009年第3期。
[8]《2014刑法修正案九最新消息:刑法修正案九草案》,引自找法网:http://china.findlaw.cn/bianhu/xingshidongtai/1160492_6.html#p6,访问日期2014年10月18日。
[9]参照2011年9月1日施行的《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条对非法获取计算机信息系统数据罪或者非法控制计算机信息系统罪的“情节严重”的解释,结合本罪的司法实践,笔者认为,限定在1000条以上较为合适。
[10]可以从以下几个方面考量:一是严重影响他人的工作、生活、生产、经营的;二是造成较大经济损失的;三是引起他人精神失常、自杀的。对于经济损失,结合前述关于非法获取计算机信息系统数据罪的解释及司法实践,可以考虑以人民币10000元为起点。
[11]可以从以下几个方面考量:一是以暴力、胁迫等方式非法获取的;二是通过行贿的方式非法获取的;三是通过非法侵入计算机信息系统的手段非法获取的。
