公民个人信息刑法保护综述

时间:2022-08-02 10:40:52

公民个人信息刑法保护综述

【摘要】进入二十一世纪后,随着社会经济的不断发展以及互联网络的快速普及,司法实践中,公民个人信息遭到非法侵害的情形十分普遍,并且呈现出愈演愈烈的趋势,严重影响了公民的正常生活,引发了诸多社会问题。从法律角度分析,侵犯公民个人信息行为具有较强的社会危害性,有必要在刑法层面上构建一套系统、科学、合理的公民个人信息保护体系,从而切实有效地保障公民的合法权益,净化社会风气,为公民提供一个良好的生活、工作环境。

【关键词】公民个人信息;侵犯公民个人信息罪;个人信息保护法;法定刑

近些年来,全国范围内发生了多起大规模的公民个人信息泄露事件,如“美团用户个人信息倒卖案”“携程官网漏洞案”“连锁酒店开房信息泄露案”等,这些公民个人信息泄露事件在社会上带来了一系列消极影响,引发了公众的恐慌。公民个人信息与公民的人身权益和财产权益具有十分密切的关系,为了充分保障公民个人信息,防止公民个人信息被非法获取、泄露,在我国学者们的呼吁下,2015年颁布的《刑法修正案(九)》于第17条增设了侵犯公民个人信息罪(对应《刑法》法条为第253条之一),对达到情节严重程度的侵犯公民个人信息行为予以刑事处罚。《刑法修正案(九)》的颁布具有一定的进步意义,体现出立法者对规制侵犯公民个人信息行为的充分重视以及对侵犯公民个人信息行为的打击决心,但是,侵犯公民个人信息罪的规定依然存在一些不合理、不完善之处,需要予以进一步完善。

一、公民个人信息概述

(一)公民个人信息的概念。关于“公民个人信息”的概念,现行《刑法》并未予以明确规定,法学理论界亦存在不同的观点。概念的不统一不利于司法工作的开展,基于此,最高人民法院、最高人民检察院于2017年5月8日了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),《解释》第1条采用“概括+列举+兜底”的方式对“公民个人信息”进行了定义:“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”另外,理论界有学者主张,“公民个人信息”也称为“公民个人数据”,二者可以进行同义替换。[1]本文认为,这两个术语虽然具有较大的相似性,但依然存在细微的差别,“公民个人信息”与“公民个人数据”是包含与被包含的关系,前者的外延比后者更大,因此不宜将二者混为一谈。(二)公民个人信息刑法保护的必要性。1.保障公民的合法权益。公民个人信息与公民的人身权益和财产权益具有十分密切的关系。首先,个人信息中往往包含个人隐私,一旦这些个人隐私被泄露或者被不法分子利用,公民的隐私权将被严重侵害;其次,很多经营者掌握了公民个人信息后,会以打电话、发短信、发邮件等方式向目标消费者推送店铺或商品信息,影响公民的正常生活;最后,一些不法分子利用公民个人信息大肆实施诈骗行为,侵害公民的财产权益。综上所述,侵犯公民个人信息将会使公民的合法权益处于极大的风险之中,因此,有必要在刑法层面上对公民个人信息予以充分保障。2.促进社会经济的发展。如前所述,公民个人信息具有较高的经济价值,一些经营者获得公民个人信息后,能够快速筛选出目标消费群体并向该群体进行商品推销,从而在市场中脱颖而出。然而,这种以非法手段获利的行为对其他经营者来说是非常不公平的,扰乱了正常的市场经济秩序,带来诸多消极影响。另外,随着泄露公民个人信息事件的不断增多,部分消费者出于个人信息安全的考虑,选择放弃线上购物渠道,这不利于我国电子商务的长远发展。通过刑法手段保障公民个人信息,加大不法分子的犯罪成本,能够有效遏制非法获取、出售、提供公民个人信息的情形,维护正常的市场经济秩序,推动电子商务行业的发展。

二、我国公民个人信息刑法保护的现状及问题分析

(一)我国公民个人信息刑法保护的现状。1.《刑法修正案(九)》的规定。上世纪末期,侵犯公民个人信息的情形在我国较为少见,且社会危害性较低,因此1997年颁布的《刑法》并未设置与公民个人信息有关的法律规定。进入二十一世纪后,随着侵犯公民个人信息行为的愈演愈烈,该行为也得到了立法者的充分重视,在这种情况下,2009年出台的《刑法修正案(七)》增加了出售、非法提供公民个人信息罪以及非法获取公民个人信息罪。不过,基于当时的立法背景,这两项罪名的犯罪主体具有特殊性,仅限于“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。近年来,侵犯公民个人信息的现象愈发普遍,实施该行为的行为人主体门槛也呈现出越来越低的趋势,《刑法修正案(七)》难以有效规制侵犯公民个人信息行为,其滞后性十分明显。基于此,2015年出台的《刑法修正案(九)》设置了侵犯公民个人信息罪,加大了对公民个人信息的保护力度。与《刑法修正案(七)》相比,《刑法修正案(九)》进行了如下修改:一方面,将犯罪主体从特殊主体修改为一般主体,即任何人只要实施了出售、提供、非法获取公民个人信息的行为,一律构成侵犯公民个人信息罪,不考虑其身份是否为国家机关或公共服务机构的工作人员。另一方面,拓宽了非法获得公民个人信息的来源,即不限于工作原因。从相关法条的内容来看,我国刑法对公民个人信息的保护力度逐渐加强,立法者对侵害公民个人信息行为愈发重视。2.《解释》的规定。为了更好地保障公民个人信息,最高人民法院和最高人民检察院于2017年了《解释》,进一步对侵犯公民个人信息罪予以说明。具体而言,第一,以“概括+列举+兜底”的方式界定了“公民个人信息”的概念;第二,明确了非法提供、获取公民个人信息的认定方式。根据《解释》第3条、第4条的规定,无论向特定人提供公民个人信息,还是通过网络或其他途径向不特定人提供公民个人信息,均属于提供公民个人信息行为。另外,获取公民个人信息可能通过非法方式,也可能通过合法方式,只要获取公民个人信息行为违反国家有关规定,均属于非法获取公民个人信息行为;第三,列举了“情节严重”和“情节特别严重”的具体情形,并设置兜底性条款,使法律更加灵活。《解释》大幅提高了侵犯公民个人信息罪的实践可操作性,从而有效指导相关司法工作的开展。(二)我国公民个人信息刑法保护存在的问题。1.配套立法不健全。根据《刑法》第253条之一的规定,出售、提供、非法获得公民个人信息行为构成犯罪的前提是“违反国家有关规定”,关于“国家有关规定”究竟指的是何种规定,《解释》第2条进行了详细说明,即“违反法律、行政法规、部门规章有关公民个人信息保护的规定”。然而,从当前我国立法现状来看,相关规定散乱地分布于不同的法律性文件中,如《民法总则》《电子商务法》《身份证法》等。这些均不是专门规范公民个人信息保护方面的立法,且相关规定大多为原则性规定,实践可操作性较低。缺乏统一、专门的前置法会产生诸多问题,如依据混乱、处罚不一等,这些问题均会在一定程度上影响司法工作的开展,甚至引发“同案不同判”现象,不利于司法公信力的提升。因此,健全配套立法,制定一部专门规制公民个人信息保护方面的法律具有必要性和紧迫性。2.法定刑设置不合理。根据罪责刑相适应原则,犯罪行为的社会危害性应与行为人所受刑罚成正比,即社会危害性越大,刑罚越重。然而,从《刑法》第253条之一第1款及第3款的内容来看,出售、提供公民个人信息行为与非法获取公民个人信息行为的刑罚处罚相同,但这两项行为的社会危害性存在显著差异,通常来说,非法获取公民个人信息行为是出售、提供公民个人信息行为的“上游产业”,前行为是后行为的必要前提,因此前行为的社会危害性应大于后行为,但第三款却规定“……依照第一款的规定处罚”,可见,侵犯公民个人信息罪的法定刑设置缺乏合理性,与罪责刑相适应原则的要求相违背。3.法律救济机制单一。司法实践中,存在大量经过公民同意的获取公民个人信息的行为,这些行为是否属于《刑法》第253条之一第3款规定的“以其他方法非法获取公民个人信息”行为?对此,《刑法》及《解释》均未明确说明。举个例子,某些网站以提供积分或现金奖励等方式获取公民个人信息,并与主动填写个人信息的公民签订免责协议,此时,网站的行为难以界定。上述“大规模的微型侵害”案件在实践中十分普遍,很多公民的法律保护意识较为淡薄,或者认为诉讼成本远高于可获得的赔偿,因此绝大部分受害者均未通过法律途径维权,导致侵犯公民个人信息行为愈发猖獗,屡禁不止。在这种情况下,公诉机关是否应提起公诉?抑或是借鉴澳门“刑法”的规定按亲告罪处理?若救济程序不完善,受害者极有可能遭到二次伤害,公民个人信息难以获得全面的保障。[2]

三、我国公民个人信息刑法保护之完善

(一)尽快出台《个人信息保护法》。如前所述,建立系统、完善的公民个人信息保护法律体系,为侵犯公民个人信息罪设置配套前置法是非常有必要的,有利于该罪的贯彻实施。近年来,我国法学理论界对颁布《个人信息保护法》的呼声越来越高,国务院也提出了推动加快《个人信息保护法》立法进程的要求。在这种情况下,《个人信息保护法(草案)》于2017年3月公布,草案对个人信息的概念、立法原则、个人信息权的内容、不同信息处理主体对个人信息的收集、处理和利用行为及法律责任等问题进行了系统规范。与其他仅在个别法条中规范个人信息保护的法律相比,《个人信息保护法(草案)》更加系统、全面,也更具有可操作性,能够为相关司法工作的开展提供明确的法律指引。不过,草案的规定依然存在一些缺陷,如缺乏个人信息的分类、法律责任及处罚力度不足、未设置监督管理制度等。对此,本文建议,我国应尽快出台《个人信息保护法》,同时对草案的规定进行进一步完善,从而为《刑法》对公民个人信息的保护提供依据,确保公民个人信息能够得到充分保障。另外,在出台《个人信息保护法》的同时,还应对《民法总则》《身份证法》等法律的内容予以修正,避免与《个人信息保护法》的规定产生冲突,确保法律制度的统一性。(二)完善《刑法》第253条之一的规定。1.设置科学的法定刑。在设置法定刑的过程中,应遵循罪责刑相适应原则,确保对行为人实施的刑罚处罚科学、合理。在司法实践中,通常情况下,非法获取公民个人信息行为作为“上游产业”,其社会危害性要显著大于出售、提供公民个人信息行为,因此,针对前行为设置的法定刑理应高于后行为,现行《刑法》第253条之一第1款和第3款对二行为设置同样的法定刑的规定不甚合理。本文建议,可以对第3款的内容进行适当修改,即将第3款修改为“窃取或者以其他方法非法获取公民个人信息的,依照第1款的规定从重处罚”,对非法获取公民个人信息行为施以更重的刑罚,从而充分体现刑法的罪责刑相适应原则。2.增设禁业规定。从整体上看,侵犯公民个人信息罪的刑罚较轻,自由刑为“三年以下有期徒刑或者拘役”以及“七年以下有期徒刑”两个档次。基于当前公民个人信息的价值有增无减,且行为人在服刑期间往往与其他罪犯“交叉感染”,行为人刑罚执行完毕后,极有可能“重操旧业”,继续实施侵犯公民个人信息行为,这不仅会造成刑罚资源的极大浪费,还会使侵犯公民个人信息行为更加难以控制,引发诸多负面影响。本文认为,为了加大犯罪成本,有效控制侵犯公民个人信息行为,应借鉴《刑法》第37条之一的规定,在《刑法》第253条之一后增加第5款:“犯前三款罪的,人民法院可以根据犯罪情况和预防再犯罪的需要,禁止其自刑罚执行完毕之日或者假释之日起从事与公民个人信息相关的职业,期限为三年至五年。”(三)完善刑事追究程序。1.引入自诉的追诉方式。刑事诉讼包括公诉和自诉,根据《刑事诉讼法》及其司法解释的规定,当前我国有四类告诉才处理的案件,分别为侮辱诽谤案、暴力干涉婚姻自由案、虐待案以及侵占案,这些案件的共同之处在于均保护特定人的私权利。理论界有学者提出,公民个人信息权同样具有私权利的特征,而且绝大多数侵犯公民个人信息行为情节较为轻微,另外,考虑到公民个人信息中往往涉及公民的个人隐私,国家公权力不宜强行介入。基于此,应当将侵犯公民个人信息罪纳入告诉才处理的犯罪类型之中,赋予被害人自诉的权利。[3]本文赞同该观点,实际上,德国、日本等大陆法系国家对侵犯公民个人信息行为均采取自诉的追诉方式,这些立法经验具有一定的借鉴意义。

综上所述,侵犯公民个人信息罪宜采用“自诉为主、公诉为辅”的追诉方式,只有在犯罪情节特别严重时才适用公诉,否则一律适用自诉。2.确立新的举证责任配置原则司法实践中,侵犯公民个人信息行为往往呈现出专业性和隐蔽性的特点,公安机关在开展侦查工作的过程中尚且会遭遇诸多困难,被侵犯个人信息的被害人作为弱势群体,其举证能力更是非常有限。在这种情况下,难以对行为人进行定罪,使得侵害公民个人信息的不法行为更加肆无忌惮,公民个人信息难以得到充分保障。针对举证难的问题,本文建议,可以借鉴《刑法》第395条巨额财产来源不明罪的相关规定,对侵犯公民个人信息罪适用有限制的举证责任倒置,即由被害人承担初步的举证责任,证明行为人曾通过打电话、发短信、发邮件等方式联系被害人,只要确有证据证明上述事实,被害人即完成了举证责任,行为人需要就其未侵犯被害人个人信息进行举证,否则将构成侵犯公民个人信息行为,在达到情节严重时需要承担刑罚处罚。

四、结语

当前世界已经进入大数据时代,司法实践中,侵犯公民个人信息行为比比皆是,不利于对公民合法权益的充分保障。虽然《刑法修正案(九)》设置了侵犯公民个人信息罪,但该罪依然存在一些不完善之处,对此,有必要结合我国实际国情,对《刑法》第253条之一进行进一步完善。只有在立法层面上构建一套科学、合理、完善的公民个人信息刑法保护体系,才能确保公民个人信息得到充分保障,进而维护公民的基本人权。

参考文献:

[1]高富平,王文祥:出售或提供公民个人信息入罪的边界——以侵犯公民个人信息罪所保护的法益为视角[J].政治与法律,2017(2).

[2]王强军,郭荣艳:个人信息刑法保护的理性思考[J].沈阳工业大学学报(社会科学版),2018(4).

[3]黄祖帅:中国个人信息的刑法保护研究[J].首都师范大学学报(社会科学版),2015(5).

作者:卫晓旻 单位:华东政法大学