非法获取公民个人信息罪是《刑法修正案(七)》中新增设的罪名,按照该修正案第七条之规定:第1款,国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。第2款,窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。但对于何谓“公民个人信息”、“非法获取”、“情节严重”等,修正案未予以明确。笔者将对非法获取公民个人信息罪的概念、犯罪构成、司法实践中的认定谈些看法。
一、犯罪构成:非法获取公民个人信息罪
《中华人民共和国刑法修正案(七)》第二百五十三条规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”从该条的规定,非法获取公民个人信息罪是指窃取或者以其他方法非法获取公民个人信息,情节严重的行为。
该罪侵犯的客体是公民个人身份信息的安全和公民身份管理秩序;该罪客观方面表现为行为人以窃取或者以其他方法非法获取公民个人信息,情节严重的行为;该罪犯罪主体为一般主体,单位可以构成本罪;主观方面表现为故意。所谓故意,即明知公开、泄露他人信息会侵犯他人的权益和危害社会,却仍然去实施这种行为的心理状态。
二、涵义特征:公民个人信息
日本20xx年颁行的《个人信息保护法》第2条规定,本法中的个人信息,是指根据包含在该信息之内的姓名、出生年月日等其他记录,可以识别特定个人的信息。由于我国尚无公民个人信息保护法,对公民个人信息没有明确的规定,修正案也没有对公民个人信息作出界定。一般来说,公民个人信息是指能够识别公民个人身份的信息,主要包括姓名、年龄、性别、身份证号码、职业、职务、学历、民族状况、婚姻状况等相关信息。但笔者认为,作为侵犯公民个人信息犯罪对象的个人信息不同于普通意义上的个人信息。侵犯公民个人信息犯罪的对象必须是一旦泄露即可能导致公民权利受到严重侵害的信息。因此,在这种意义上的个人信息应是本人不希望为一般人所知晓,具有法律保护价值的能反映公民个人生理及身份特征、社会生活经历及家庭、财务状况及社会生活过程中取得、采用的个人识别代码。它具有以下几个特征,一是主观上不希望他人知晓,二是具有法律保护价值的,三是一旦泄露即可能导致公民权利受到严重侵害的。
三、范围界定:公民个人信息
《刑法修正案(七)》第二百五十三条是这样规定的“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”从该条文的规定看出,非法获取公民个人信息罪的规定有一个修饰语句,“上述信息”,那么它应当是指国家机关或者金融、电信、交通、教育、医疗等单位的工作人员在履行职责或者提供服务过程中获得的公民个人信息。但在实践中除了上述几类行业所掌握的个人信息外,还有很多包含公民姓名、电话号码、家庭住址等与公民个人存在关联并可以识别特定个人的信息,同样对公民的人身安全、财产安全和个人隐私构成严重威胁,如从房地产销售渠道流出的购房信息、从保险公司流出的客户信息等等,这些公民个人信息被窃取或者被非法获取,情节严重的也应该构成非法获取公民个人信息罪,因此,笔者认为,只要是窃取或者以其他方法非法获取公民个人信息,情节严重的均构成非法获取公民个人信息罪,而不局限于国家机关或者金融、电信、交通、教育、医疗等部门和行业掌握的个人信息。
四、司法认定:“非法获取”行为
非法获取公民个人信息罪首先是“非法”。所谓“非法”,一般认为是指没有法律根据而获取。[1]但笔者认为,非法应理解为“违反法律法规的禁止性规定”,理由:1、就法理而言,公民有权实施法律法规并未禁止的任何行为,即便该行为违反公共道德,也不应直接上升到刑罚处罚的高度。2、就途径而言,公民获取他人信息的途径有很多,并非全部都有成文法上的根据,过度扩大处罚范围,有使得“非法”这一限制流于空洞之虞。但在现行法律体系下,只要不是利用职务之便,不是捏造事实诽谤他人,没有超出一般人所能承受的正常限度而严重影响他人的平稳生活,就不应认定为犯罪。3、就规定而言,第1款要求是“违反国家规定”,[2]将第2款中的“非法”理解为“没有法律根据”,这不符合法条的文义。因为第1款中的机关或单位虽明显处于强势地位,却利用此地位背离职责违背信赖,出售或非法提供个人信息,其处罚限制条件理应不比第2款宽松。4、就界定而言,若采取该观点,司法实践的某些问题也难以界定。例如,在大型招聘场所,招聘单位在活动结束后随意丢弃应聘人员材料的情况屡见不鲜,某无业人员进入场内将被丢弃的材料收集整理后,大量出卖给某房地产中介公司,显然,该无业人员的行为并无任何法律依据,是否也应定非法获取公民个人信息罪呢?
若公民个人信息保护法这一前置法律得以制定,这里的“非法”当然主要是指违反了该法的明文规定。[3]但是,在前置法律缺位以及宪法、民法对个人信息的保护并不十分明确的情况下,事实上,很难区分究竟是并无法律根据还是违反了法律的明文规定,作为次善之策,当下只能是从法益保护的角度去理解:没有明确的法律根据,且足以危及公民信息安全。同样,对第1款中的“非法”提供也可作此理解。
其次,基于对“非法”的解释。“非法获取”似乎应是一切违反法律法规禁止性规定,取得公民个人信息的行为。对此,刑法仅作了例示性规定。笔者认为,行为手段应与窃取具有大致相同的危害性,因而,除窃取(包括偷拍、秘密录音、秘密跟踪调查等)之外,通过骗取、利诱、胁迫、抢夺、抢劫、恐吓、非法侵入他人计算机系统等法律明文禁止的手段而获取的,均可视为“非法获取”。
但值得思考的是第2款中的“非法获取”是否当然包括“收买”、“收受”他人信息的行为?
思考一:作为“出售”、“非法提供”的对向行为的“收买”、“收受”的性质界定。显然,“购买”、“收受”行为是第1款中的特殊主体即相关机关或单位的工作人员“出售”、“非法提供”公民个人信息行为的对向行为,有必要明确第1款中为何没有针对“收买”、“收受”行为的处罚规定。
这实际上涉及对向犯的处理。对向犯是必要共犯的一种形式,是指以存在二人以上相互对向的行为为要件的犯罪,其处罚形式分为三种:一是双方的罪名与法定刑相同,如重婚罪;二是双方的罪名与法定刑均不同,如行贿罪与受贿罪;三是只处罚一方的行为,如贩卖淫秽物品牟利罪,只处罚贩卖者而不处罚收买者。[4]问题在于,对于第三种类型的对向行为,究竟是由于缺乏明文的处罚规定而不具有可罚性,还是应当然适用总则的共犯规定而具有可罚性呢?从理论上讲,这两种结论均有可能。对此,形式说(立法者意思说)认为,在具有对向犯性质的a、b两个行为中,当法律仅将a行为作为犯罪类型加以规定时,当然定型性地预见到了b行为,既然立法者没有规定处罚行为,就应解释为立法宗旨是不认为b行为是犯罪。[5]换言之,形式说认为,必要性共犯的不可罚根据在于对向性参与行为所具有的定型性、通常性,因而当参与行为超过通常程度时,便可认定成立共犯。例如,就出售、非法提供公民个人信息罪而言,仅仅是说“卖给我”或“送给我”,这种行为不具有可罚性,但若特别积极地给对方作工作,鼓动对方出售或提供的,就应认定构成教唆犯。尽管形式说被普遍接受,但对于何为不可罚的定型性、通常性参与行为,其界限并不明确。[6]对此,实质说认为,必要性共犯的不可罚根据在于缺乏违法性或有责性。现在,多数学者主张“实质说与立法者意思说的并用”,[7]认为是否应处罚对向行为,首先要看该对向行为是否超出了定型性、通常性的程度,难以判断之时,还需结合考虑对向行为的违法性、有责性是否达到了“应受刑罚处罚的程度”。也就是说,关键在于该“收买”、“收受”行为是否仍可评价为通常意义上的“收买”、“收受”,若该行为在侵犯公民个人信息的犯罪中不可或缺,与其对向行为互为一体不可分割,形成共犯关系之时,则仍应处罚。
总之,单就第1款的规定而言,通常的“购买”、“收受”行为一般不具有可罚性。
思考二、“非法获取”行为与“收买”、“收受”行为的关系。按照对向犯的理论,第1款一般并不处罚“收买”、“收受”行为,但并不能由此而得出本条一般并不处罚收买、收受行为的结论,而应根据条文的整体结构来判断。因为有别于并不处罚收买行为的贩卖淫秽物品牟利罪(《刑法》第363条),本条第2款规定处罚“非法获取”行为,收买、收受行为仍有可能包括其中。[8]因而有必要探讨收买、收受行为的性质。
1、正因为有收买者、收受者存在,才会出现出售、非法提供行为,并且非法获取个人信息,往往也是为了转售牟利或者通过提供而获取其他非财产性利益,故在很多情况下,收买、收受行为是侵犯个人信息犯罪的土壤或诱因;而且,收买、收受行为也不限于从相关机关或单位的工作人员处收买、收受,例如,从电脑黑客手中收买大量公民个人信息的,也有处罚的必要。显然,直接处罚收买、收受行为(收买者、收受者一般也知道对方是非法出售、非法提供),可以从源头上杜绝出售行为、非法提供行为,也利于打击非法获取行为,这一点毋庸置疑。
2、仅有处罚的必要显然不能成为处罚的充分理由,关键还在于判断该行为是否已经具备相当的危害性。作为“非法获取”的行为手段,第2款例示性地列举了“窃取”,因而作为“非法获取”的其他手段,至少应与“窃取”具有相当程度的危害性。至于收买、收受行为是否有此危害性,这一点可以从刑法条文的规定形式中找到答案。例如,第111条规定,“为境外的机构、组织、人员窃取、刺探、收买、非法提供国家机密或者情报的”;第177条之一第2款规定,“窃取、收买或者非法提供他人信用卡信息资料的”;第282条规定,“以窃取、刺探、收买方法,非法获取国家秘密的”;第431条第1款规定,“以窃取、刺探、收买方法,非法获取军事秘密的”;第431条第2款规定,“为境外的机构、组织、人员窃取、刺探、收买、非法提供军事秘密的”。由此可见,涉及信息、秘密等犯罪的,我国刑法多将“窃取”与“收买”作为行为手段并列规定。这至少表明,立法者对“收买”与“窃取”具有大致相同的危害性持肯定态度。因而,认为第2款中的“非法获取”包括“收买”行为,具有一定法律根据。
反之,也可看出,立法者并不当然认为“收受”行为与“窃取”行为具有大致相当的危害性。这一点相对容易理解:收买行为多是积极的作为方式,对相对人具有利益诱惑性;而收受行为尽管不排除通过积极劝诱对方而获取,但更多地是一种消极的不作为方式,其危害性一般低于收买、窃取行为。因此,有必要限制收受行为的人罪,不应将“收受”一律认定为“非法获取”,只能将其作为“非法提供”的对向行为来处理,只有当行为人实施的“收受”行为超过定型性、通常性,对“非法提供”这一犯罪的完成起到不可或缺的作用时,才可将“收受”行为作为“非法提供”的共犯来处理。
3、虽可以认为“收买”行为危及公民个人信息的安全,属于第2款的“非法获取”,只要达到“情节严重”,就应予以处罚。但“收买”行为毕竟不同于窃取、抢夺等为法律所明文禁止的手段行为,处罚所有“收买”行为既有过度扩大处罚范围之虞,在司法实践中也并不现实(例如,为掌握“销声匿迹”的债务人的行踪,以讨还合法债务,债权人从第三者处收买债务人的信息),而且,例如,私人侦探出售非法获取的个人信息,我国刑法并不处罚一般主体的出售行为,[9]却要处罚收买行为,这之间也存在不均衡。因此,笔者认为,虽同样是要求“隋节严重”,但应区别对待,“收买”行为的入罪标准应更加严格。
另外,若收买人与符合第1款中的特殊主体要件的出售人就买卖信息达成一定默契,相互分工协作,通过支付一定对价而利用对方去非法获取个人信息,共同完成侵犯公民信息的犯罪,能认定为共犯甚至是间接正犯之时,当然并非不能适用第1款。然而,既然可直接将“收买”行为认定为第2款的实行行为,且第1款与第2款在法定刑上完全相同,则直接适用第2款即可。
关于非法获取公民个人信息的行为解释2篇侵犯公民个人信息罪入罪要件“情节严重”如何界定?拒不履行公民个人信息安全管理义务的行为是否担责?涉案公民个人信息的数量计算遵守怎样的规则?今天上午,最高人民法院、最高人民检察院联合召开新闻发布会,发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《解释》),对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。最高法、最高检有关部门负责人就《解释》相关亮点在新闻发布会上回应了媒体关切。
从五个角度准确认定“情节严重”
侵犯公民个人信息罪的入罪要件为“情节严重”。
最高法研究室主任颜茂昆介绍说,根据法律精神,结合司法实践,《解释》第五条第一款设十项对“情节严重”的认定标准作了明确规定,大致涉及如下五个方面:
一是信息类型和数量。基于不同类型公民个人信息的重要程度,《解释》分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准,以体现罪责刑相适应。
二是违法所得数额。出售或者非法提供公民个人信息往往是为了牟利,基于此,《解释》将违法所得五千元以上的规定为“情节严重”。
三是信息用途。《解释》将“非法获取、出售或者提供行踪轨迹信息,被他人用于犯罪”“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供”规定为“情节严重”。
四是主体身份。公民个人信息泄露案件不少系内部人员作案,对此,《解释》明确,“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人”的,认定“情节严重”的数量、数额标准减半计算。
五是前科情况。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的,行为人屡教不改、主观恶性大,《解释》将其也规定为“情节严重”。
设立网站侵犯个人信息可构成非法利用信息网络罪
实践中,一些行为人建立网站、通讯群组供他人进行公民个人信息交换、流转、销售,以非法牟利。
颜茂昆说,根据刑法有关规定,设立用于实施违法犯罪活动的网站、通讯群组,情节严重的,构成非法利用信息网络罪。供他人实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组实际上属于“用于实施违法犯罪活动的网站、通讯群组”。
对此,《解释》规定:“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。”
拒不履行管理义务,网络运营者或触刑法
当前,不少网络运营者因为履行职责或者提供服务的需要,掌握着海量公民个人信息,这些信息一旦泄露将造成恶劣社会影响和严重危害后果。对此,网络安全法明确规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”
为进一步促使网络服务提供者切实履行个人信息安全保护义务,《解释》规定,网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。
破解公民个人信息数量“计算难”
公民个人信息数量是侵犯公民个人信息案件定罪量刑标准的主要依据,至关重要。实践中,司法机关查获的涉案信息数量动辄上万条、数十万条,甚至以兆计算,怎样科学、合理认定信息数量是办案部门一直难以解决的问题。
新闻发布会上,最高检法律政策研究室副主任缐杰介绍说,为增强《解释》的可操作性,《解释》专门规定了数量计算规则。如《解释》规定:“非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。”
“非法获取了他人拨打电话的记录五十条,将其出售给同一人或者单位的,应当认定为侵犯公民个人信息五十条。”缐杰解释道。
按照《解释》,公民个人信息向不同对象分别出售、提供的,属于重复出售或者提供个人信息,社会危害性较一次性出售或提供危害性更大,数量应累计计算。比如,非法获取了他人拨打电话的记录五十条,将其出售给两个人或者单位的,应当认定为侵犯公民个人信息一百条。
针对涉案的公民个人信息上万条甚至更多的,可能存在信息重复的情况,《解释》特别规定:“对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。”
关于非法获取公民个人信息的行为解释3篇刑法修正案(七)增设了非法获取公民个人信息罪,只有情节严重才构成犯罪,什么是情节严重,目前尚无立法或司法解释。笔者认为,可以从以下四个方面认定本罪中的“情节严重”:
关于信息数量标准。司法实践中,行为人常常非法获取的信息数据较大,但法律或司法解释并没有规定具体数量。笔者认为,对信息数量上的认定,可以参照《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条对非法获取计算机信息系统数据或者非法控制计算机信息系统罪的情节严重所作出的解释,获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上的;获取前述信息以外的身份认证信息500组以上的。
关于公民个人信息内涵。对于公民个人信息,法律并没有给出明确规定,理论和实务界争论较大。理论界认为,公民个人信息可以概括为公民本人不愿公开、扩散,如果公开、扩散可能为他人利用从而会造成严重干扰个人生活的信息。笔者认为,公民个人信息是与公民个人密切相关的、其不愿被特定人群以外的其他人群所知悉的信息,即属于公民的隐私信息。此类信息如果泄露,后果比较严重,故情节亦更为严重。
关于危害后果。一是个人信息扩散的范围。笔者认为,个人信息的知情范围扩大的区域越大,越可能引起社会舆论广泛关注,无论从时间上还是空间上,均可认定为情节严重;二是个人信息被泄露后给被害人带来伤害程度。一般而言,知道范围越广说明危害性越严重,社会恐惧程度越高危害性越严重。笔者认为,因侵权行为造成被害人生产、生活等方面受到严重影响,导致精神失常、家庭破裂、患病等情况的,或遭受重大财产损失的,应认定为情节严重。
关于获取公民个人信息的目的。在本罪犯罪动机上,可能是多种多样的,但出于以营利目的而非法获取公民个人信息的行为与因日常生活和工作需要而非法获取公民个人信息的行为相比,前者主观恶性明显更大。因为,将公民个人信息转卖给他人的行为,既扩大了信息的传播范围,同时也放任了他人对该信息所有者可能造成的危害。若个人信息被用于违法犯罪活动,将严重侵害信息所有人的人身、财产安全以及名誉,后果更严重,故以营利为目的非法获取公民个人信息应认定为情节严重。
查看全文