張玉華 溫春玲

為了打擊日益嚴(yán)重的侵犯公民個人信息安全的行為,《刑法修正案(七)》第7條規(guī)定了侵犯公民個人信息安全犯罪。雖然該修正案對侵犯公民個人信息安全犯罪進(jìn)行了較為全面的規(guī)定,但在司法實(shí)踐中仍然會遇到執(zhí)法上的困難。本文圍繞該規(guī)定進(jìn)行解析。

一、個人信息的界定

關(guān)于公民個人信息的范圍,我們認(rèn)為,應(yīng)當(dāng)從廣義上對其進(jìn)行界定。所謂“個人信息”,是指以任何形式存在的、與公民個人存在關(guān)聯(lián)并可以識別特定個人的信息。其外延十分廣泛,幾乎有關(guān)個人的一切信息、數(shù)據(jù)或者情況都可以被認(rèn)定為個人信息;“個人信息”是一個相對較抽象的概念,但不是所有的可公開或半公開的信息都由刑法來保護(hù),應(yīng)從立法本義和法益保護(hù)的初衷相對確定由刑法保護(hù)的對象。通常需要保護(hù)的個人信息可以理解為任何生物的、物理的和其他用于識別個人的信息,具體包括姓名、身份證號碼、職業(yè)、學(xué)歷、婚姻狀況、收入和財產(chǎn)狀況、家庭住址、電話號碼、血型、醫(yī)療記錄、書寫的簽名、電子簽名、網(wǎng)上登錄的帳號和密碼、信用卡號碼、賬號、護(hù)照號碼、駕駛證號碼、指紋、DNA親子鑒定結(jié)論等。刑法保護(hù)的應(yīng)該是那些能給他人謀取正當(dāng)或不正當(dāng)?shù)睦嫣峁┍憷倚孤逗髮⒔o公民本人合法利益帶來嚴(yán)重侵害的個人信息。侵犯公民個人信息安全犯罪保護(hù)的犯罪對象主要應(yīng)為以下三個方面:一是與公民個人身份密切相關(guān)的信息,如公民個人的身份證上的信息,這些信息的泄露往往會給不法分子實(shí)施詐騙等犯罪帶來便利,從而給公民個人的人身、財產(chǎn)安全帶來嚴(yán)重的危害。二是與公民個人財產(chǎn)狀況相關(guān)的信息,如公民在購買房屋和私家車等財產(chǎn)時,一般都必須在銷售單位或者中介機(jī)構(gòu)留下詳細(xì)的個人信息,這些信息經(jīng)常被相關(guān)單位出售或非法提供給單位或個人,導(dǎo)致眾多公民的生活受到嚴(yán)重的干擾甚至遭受重大的財產(chǎn)損失。三是涉及公民個人隱私方面的信息,如公民個人的醫(yī)療記錄、DNA親子鑒定結(jié)論等,這些個人信息一旦泄露,將嚴(yán)重侵犯公民的隱私權(quán)。

應(yīng)當(dāng)注意的是,《刑法修正案(七)》第7條在條文中明確地限制了侵犯公民個人信息安全罪的對象,[1]對象范圍僅限于國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位在履行職責(zé)或者提供服務(wù)的過程中收集、保存、管理的公民個人信息,即利用公權(quán)力或提供服務(wù)過程中依法獲得的公民個人信息。根據(jù)罪刑法定原則,行為人通過其他途徑獲得公民個人信息的行為,例如,利用網(wǎng)絡(luò)技術(shù)或者其他手段從公民個人處直接非法獲取個人信息,即使非法獲取的個人信息數(shù)量巨大,也不能以侵犯公民個人信息安全罪定罪處罰。

《憲法》第33條規(guī)定國家尊重和保障人權(quán)。個人基礎(chǔ)信息在一定范圍內(nèi)屬于個人秘密,是公民所應(yīng)享有的基本權(quán)利,不容許非法獲取,不允許以公民個人信息進(jìn)行非法營利,或私自利用公民個人信息進(jìn)行交易。如,某個醫(yī)生在醫(yī)療過程中獲悉患者得了艾滋病,醫(yī)生就不得隨便透露患者的相關(guān)信息;整容醫(yī)生為患者(諸如某位明星等公眾人物)施行了整容手術(shù),也不得向他人泄露患者的個人信息。我們不應(yīng)當(dāng)將是否采取保密措施作為判斷是否屬于個人信息的標(biāo)準(zhǔn),因?yàn)閭€人信息不同于國家秘密和商業(yè)秘密,它是每個人都有的,具有普遍存在性,且不以采取保密措施為刑法保護(hù)的要件,公民的這項權(quán)利應(yīng)該是國家主動進(jìn)行保護(hù)的,而不論公民個人是否采取了保密措施。

二、侵犯公民個人信息安全犯罪的罪名

《刑法修正案(七)》第7條的規(guī)定應(yīng)為兩個罪名,該條第1款和第2款規(guī)定的犯罪主體、行為方式明顯不同。第1款規(guī)定的犯罪主體應(yīng)為特殊主體,第2款規(guī)定的主體應(yīng)為一般主體;第1款規(guī)定的行為方式是“出售或者非法提供公民個人信息”,第2款規(guī)定的行為方式是“竊取或者非法獲取公民個人信息”。

(一)《刑法修正案(七)》第7條第1款的罪名

確定罪名必須以罪狀為根據(jù),罪名的表述應(yīng)當(dāng)簡明、精煉。因此,關(guān)于《刑法修正案(七)》第7條第1款的罪名,該罪名宜確定為“出售、非法提供公民個人信息罪”。理由在于:(1)該款犯罪的核心內(nèi)容是將公民個人信息“出售或者非法提供給他人”。將罪名稱作“出售、非法提供公民個人信息罪”,把該罪最本質(zhì)的特征全面反應(yīng)在了罪名中;(2)根據(jù)該款的規(guī)定,雖然該罪的主體是特殊主體,但是從罪名簡潔性的角度,將這些限制性內(nèi)容都納入罪名之中會使罪名顯得過于冗長、繁瑣。因此,不宜將這些內(nèi)容納入罪名中,而可以通過對“出售、非法提供”的主體和公民個人信息的獲得途徑進(jìn)行限制性解釋。這樣既有利于保證罪名的概括性、簡明性,又不失罪名的準(zhǔn)確性。[2]

(二)《刑法修正案(七)》第7條第2款的罪名

對于《刑法修正案(七)》第7條第2款的罪名宜確定為“非法獲取公民個人信息罪”。理由在于:(1)該款規(guī)定的行為方式是“非法獲取”行為,“竊取或者以其他方法”都是非法獲取的手段,在確定該款罪名時只需體現(xiàn)“非法獲取”的行為特征,而不必將“竊取或者以其他方法”的罪狀表述納入罪名;(2)該款在內(nèi)容上沒有對“公民個人信息”的范圍進(jìn)行限定,所有的“公民個人信息”都可成為本款行為的對象。因此,將本款的罪名確定為“非法獲取公民個人信息罪”,能夠較為準(zhǔn)確地反映該款犯罪的基本特征。

三、侵犯公民個人信息安全犯罪的犯罪主體

(一)“出售、非法提供公民個人信息罪”的犯罪主體

1.本罪的主體是特殊主體,即國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位及其工作人員。上述列舉的五個單位以外的其他單位及其工作人員是否屬于本罪的主體范圍,則涉及對本條規(guī)定中的“等”字的理解。在漢語中,“等”有表示完全列舉后的煞尾之義,也可以表示未盡列舉。我們認(rèn)為,本條中的“等”應(yīng)理解列舉未盡,與上述五個單位性質(zhì)相同或者相似的單位也應(yīng)包含在其中。實(shí)踐中,也存在與上述五個單位不是相同性質(zhì)的單位,例如網(wǎng)絡(luò)公司、市場調(diào)查公司,房地產(chǎn)公司、物業(yè)管理公司、律師事務(wù)所、會計師事務(wù)所、會員俱樂部等也存在合法收集個人部分信息的情況,這些單位也應(yīng)當(dāng)涵蓋其中。根據(jù)一家社會調(diào)查中心對2422名公眾開展的調(diào)查顯示,電信機(jī)構(gòu)、招聘網(wǎng)站和獵頭公司、各類中介機(jī)構(gòu)被公眾列為泄露個人信息的“罪魁禍?zhǔn)住?。對于這些單位及其工作人員將其在提供服務(wù)過程中獲得的公民個人信息出售或者非法提供給其他單位和個人,情節(jié)嚴(yán)重的行為應(yīng)當(dāng)加以懲處。因此,我們認(rèn)為,從目前公民個人信息受到侵害的客觀情況看,探求立法的本意,本罪的主體應(yīng)作擴(kuò)張性解釋,將可以合法收集到公民個人信息的單位及其工作人員均應(yīng)納入本罪的主體范圍。

國家機(jī)關(guān)負(fù)有公共管理職能,金融、電信、交通、教育、醫(yī)療等單位肩負(fù)著為社會和大眾提供公共服務(wù)的職責(zé),在這些機(jī)關(guān)或單位工作的人員,可以很容易接觸到大量的公民個人信息。本款規(guī)定的“金融單位”是指從事金融活動的機(jī)構(gòu)或金融部門,一般是指各種銀行、保險公司、信托投資公司、證券機(jī)構(gòu)、財務(wù)公司、信用合作組織等銀行金融機(jī)構(gòu)和非銀行金融機(jī)構(gòu);“電信單位”是指電信部門和電信營業(yè)機(jī)構(gòu);“交通單位”是指從事旅客和貨物等運(yùn)輸部門;“教育單位”是指各級各類學(xué)?；蚺嘤?xùn)機(jī)構(gòu),包括公辦和民辦的教育機(jī)構(gòu);“醫(yī)療單位”是指依據(jù)《醫(yī)療機(jī)構(gòu)管理條例》和《醫(yī)療機(jī)構(gòu)管理條例實(shí)施細(xì)則》的規(guī)定,經(jīng)登記取得《醫(yī)療機(jī)構(gòu)執(zhí)業(yè)許可證》的機(jī)構(gòu)。

2.本罪的主體包括單位和自然人。認(rèn)定單位是否構(gòu)成出售、非法提供公民個人信息罪,應(yīng)從以下三個方面作出認(rèn)定:一是行為人出售、非法提供公民個人信息的行為必須在其職務(wù)范圍內(nèi)進(jìn)行的;二是行為人出售、非法提供公民個人信息的行為是以單位的名義進(jìn)行的,并且是為了本單位的利益,而不是為了個人利益;三是出售、非法提供公民個人信息的行為達(dá)到構(gòu)成犯罪的程度。本罪的自然人主體應(yīng)是國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員,其出售、非法提供公民個人信息的行為應(yīng)界定為行為人不是履行職務(wù)之內(nèi)的行為,但出售、非法提供的公民個人信息是基于其履行職務(wù)時合法獲取的。