——论侵犯公民个人信息罪
江南燕
(四川大学四川成都610207)
摘要:随着信息化建设的推进,信息资源成为重要的生产要素和社会财富。与此同时,个人信息泄露问题严重,个人信息安全成为一个全世界高度关注的问题。到目前为止,不少国家都制定了关于个人信息保护的立法,我国也在加快保护立法,为进一步加强个人信息的保护,两高出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对侵犯个人信息犯罪规定进一步细化,本文旨在对新司法解释进行解读。
关键词:个人信息;司法解释;信息处理
1.关于保护个人信息立法的概述
1.1国际个人信息保护立法
最早的关于保护个人信息的立法,当属1970年德国的《黑森州资料保护法》。以此为开端,世界范围内掀起了波澜壮阔的为个人资料提供保护的立法运动,许多国家紧随其后,制定了专门的法律。例如,瑞典于1973年通过了《资料法》,奥地利于1978年通过了《联邦资料保护法》,德国联邦政府于1977年颁布了《联邦资料保护法》,将联邦层面的个人信息保护问题进行了统一规范。美国1974年颁布了《隐私权法》,在此之后又相继出台了《信息保护和安全法》、《网上隐私保护法》、《消费者隐私保护法》等多部法律;英国1984年就制定了《数据保护法》,旨在杜绝以欺骗手段从数据所有者手里获取信息,搜集他人的信息必须征得所有人的同意;亚洲国家中,有韩国的《促进信息化基本法》、《信息通信基本保护法》《促进信息通信网络使用及保护信息法》等法律,这些法律为保证信息在正常流通过程中的安全起到了保驾护航的作用。除此之外,一些国际组织(如欧盟、经济合作与发展组织、亚太经合组织、联合国等)也都先后通过了个人资料保护方面的规范。
1.2国内个人信息保护的刑法立法
当然目前来看,我国在刑事立法方面,也作了不小的努力。最早在2009年2月28日起施行的《刑法修正案(七)》中,增设了刑法第二百五十三条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。通过中国裁判文书网上的数据可知,在《刑法修正案(七)》施行后,从2009年2月至2015年10月,全国法院共审结出售、非法提供公民个人信息、非法获取公民个人信息刑事案件969起,生效判决人数1415人。
其次,为加大对公民个人信息的保护力度,在2015年11月1日起施行的《刑法修正案(九)》中,对刑法第二百五十三条之一作出修改完善。一是扩大犯罪主体的范围,规定任何单位和个人违反国家有关规定,获取、出售或者提供公民个人信息,情节严重的,都构成犯罪;二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚;三是加重法定刑,增加规定“情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。四是修改后,“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两罪被整合为“侵犯公民个人信息罪”一罪。《刑法修正案(九)》施行以来,各级公检法机关依据修改后的刑法规定,严肃惩处侵犯公民个人信息犯罪,案件数量显著增长。2015年11月至2016年12月,全国法院新收侵犯公民个人信息刑事案件495件,审结464件,生效判决人数697人。
在今年的5月9日,最高人民法院、最高人民检察院联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称为解释)。该解释对司法实践中出现的问题做了明确的规定。首先,解释明确界定了公民个人信息的范围,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。其次,明确了入罪的个人信息数量与情节严重的十种情况,并将信息根据重要程度的不同分为了三类,每一类所要求的入罪数额也不同。对于行踪轨迹信息、通信内容、征信信息、财产信息,非法获取、出售或者提供50条以上即算“情节严重”;对于住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息,标准则是500条以上;对于其他公民个人信息,标准为5000条以上。第三,对内鬼进行严打,降低了内部人员入罪门槛。在解释中,规定在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到司法解释规定的相关标准一半以上的,即可认定为刑法规定的“情节严重”,构成犯罪。第四,合法经营而非法购买个人信息的情况作了专门规定。故司法解释规定,利用非法购买、收受的公民个人信息获利五万元以上的;曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的属于“情节严重”,需依法定罪处罚。第五,明确罚金刑的适用,最高可罚违法所得的5倍。司法解释明确,对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的1倍以上5倍以下。
2.司法解释的解读
2.1公民个人信息的定义
要对是否构成非法获取公民个人信息罪进行判断,首要的是对案中公民个人信息,根据司法解释,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
识别特定个人个性特征是指公民个人信息中包含能够反映信息主体个性特征的数据,如有关该信息主体的兴趣爱好、购物记录,获取该公民个人信息的人可以通过此类信息对信息主体各个方面的性格特征或需求进行分析。如果单纯出售、提供可识别特定个人个性特征的个人信息(比如对个人信息作了去身份化处理),而不包含身份信息,不能直接侵害或威胁该个人的隐私或人格尊严,不具有直接危害性。因为可识别特定个人个性特征的个人信息在不包含个人身份信息的情况下,虽然该个人信息同样指向某个人,但无法明确知道该个人的身份,也即无法特定化。即便某些爱好或习惯具有一定的敏感性,但由于无法特定化至一个明确的信息主体的身份,对该信息主体的侵犯也就无从谈起。
2.2侵犯公民个人信息的行为
侵犯公民个人信息的行为分为两类,一类是对信息的外泄行为,根据是否有偿又分为出售和提供行为。出售自然是指有偿提供,而提供大致包括三种情况:1、向特定人免费提供。这是区别于出售。2、通过信息网络或者其他途径发布公民个人信息,指的是向不特定对象提供公民个人信息。3、合法收集的信息,未经被收集者同意向他人提供,匿名化处理的除外。合法收集公民个人信息的途径有很多,主要有以下三种。(1)公共服务单位依职权获取。基于公共服务与公共利益的需要,我国部分公共服务单位在履行工作职权的过程中可以依法获知公民个人信息。例如我国《商业银行法》、《邮政法》、《统计法》和《传染病防治法》等。但需要注意是,上述公共服务单位不仅享有依法获取个人信息的职权,同时也必须恪守保密义务,并且不得非法泄露个人信息或将公民个人信息用于其他用途。(2)以商业方式获取,但非经本人同意不得扩散。这类信息的获取,主要是在公民接受商业服务的过程中,基于后续服务或效果反馈等方面的需要而提供于服务方的。其往往表现为售后服务卡、维修单、服务效果跟踪单等形式。(3)以信息赠与的方式获取他人信息,但非经本人同意不得过度扩散。此类信息的获取是基于信息所有人的本人意愿而对外公布的,并且公布的范围较小。一般来说,此种信息获取方式多以口头传述(例如朋友间的闲聊——是一种变相赠予行为)为主,信息获取方对该信息所有人的识别往往随着传述次数与范围的增加而不断降低。因此,以信息赠与的方式获取个人信息对“本人意愿”、“扩散范围”的要求强度较小。只要非过渡扩散,便不认为构成侵权。
另一类是对信息的收集行为,包括窃取和其他方法非法获取。“窃取”是指采取不为权利人所知晓的方法,秘密地取得。而其他方法包括购买、收受、交换等对应上述外泄个人信息的行为,还有在履行职责、提供服务过程中非法收集。
2.3情节严重的量刑起点
刑法第二百五十三条之一的侵犯公民个人信息罪中规定到:“……情节严重的,处三年以下有期徒刑或者拘役,……情节特别严重的,处三年以上七年以下有期徒刑。”说明侵犯公民个人信息的行为需要达到情节严重才能入罪,而在司法解释颁布以前,关于量刑并没有一个明确的指导。为规范量刑,统一标准,在本次司法解释中,专门列举十项达到情节严重的行为,同时根据个人信息的重要程度将其分为三类,分别是五十条入罪、五百条入罪、五千条入罪。所以首先需要对本案中涉及到的个人信息定性,可知案中涉及到的行驶的路线、停车地点等应该属于行踪轨迹。
在解释的第十条第一项中提到:“出售或者提供行踪轨迹信息,被他人用于犯罪的”认为是情节严重,由于本案案发时,获取到的行踪轨迹尚未用于犯罪,故不适用该项规定。同时,司法解释中还其中第三项规定:“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的”达到情节严重。根据该条规定,本案中若收集到的行踪轨迹信息数量达到了五十条以上就构成侵犯公民个人信息罪了。
2.4获取信息条数认定
由于在司法解释颁布以前,并没有一个明确标准打得情节认定的量刑标准。不过,笔者认为,针对不同种类的个人信息,需要做到具体问题具体分析。例如行踪轨迹,一条行踪轨迹应具有连续性,是不间断的发生的,如若中间有较大间断,应认为是两条行踪轨迹。所以本案中被告人是否构成侵犯公民个人信息罪还需结合案发时获取到的具体行踪轨迹信息的数量进行判断。
3.反思与改进
在信息爆炸的时代,保护个人隐私与信息的有效利用之间的冲突是无法避免的,如何做到最大化的利用信息时代的便利的同时,更全面的保护个人信息,是个很有价值的问题。借鉴国外国际组织的做法,考虑我国国情,有以下几点改进意见。
3.1权利人同意原则
权利人同意原则并不是一个新的提法,早在1980年,世界经合组织载《隐私保护和个人数据跨国流通指南》中就提出了保护个人信息安全的八项原则,其中就要求个人信息收集必须征得信息主体的同意。同时,在20世纪90年代欧共体制定的《个人数据保护指令》规定如果获取数据主体的明确或者明示的同意,可以处理个人数据甚至是个人敏感数据。适用权利人同意原则的国家还有日本、加拿大、英国等等,可见这是一个较成熟的手段。
但同时,这个方法也存在一些缺点。例如在实际操作中存在成本较高的问题。一是数据处理者发出通知获得权利人同意的成本。二是权利人做出同意或不同意选择的成本,只有在充分知情的前提下,人们才能做出正确的选择,因而所有的个人信息保护制度都设计了(告知)环节,一般要求采用书面形式,要详细告知与个人数据处理相关的各方面内容。
除此之外,同意的有效性也值得思考。第一,个人对同意后果的认知能力有限经验和社会科学研究表明,认知的不足损害了人们的能力,即人们了解收集、使用或公开个人数据的成本与收益等相关知识并进行理性选择的能力。第二,双方地位的不平等。即数据主体在做出同意选择时处于弱势地位,在自由市场上离不开讨价还价!即使个人知道自己的某些信息或数据被收集利用是很重要的事情,可能会带来风险,单独的个人也没有讨价的余地,我们面临两种选择要么屈服交出对方想要的个人数据,要么无法接受到任何服务或者优惠。
3.2个人信息去身份化处理
个人信息去身份化是指由数据控制者通过改变或删除数据集中的个人可识别信息方式,使数据使用人难以识别数据主体身份的过程。目前我国还没有采取这一手段,不过参照国外做法,首先去除或者改变个人信息中的直接标识符,再去除个人信息中的间接标志符,使个人信息剩下部分无法定位识别出具体的个人。可以说去身份化处理能很好的调和信息数据合理使用与个人信息全面保护之间的冲突,但风险也是存在的,例如直接标识符较好判断,但针对间接标识符,如何判断是否需要去除无疑是一个难题,同时针对已经去身份化处理的个人信息,如何保障与避免被再识别也是值得研究的问题。
参考文献:
[]高富平,王文祥.出售或提供公民个人信息入罪的边界——以侵犯公民个人信息罪所保护的法益为视角[J].政治与法律,2017(2):46-55.
[2]徐丽枝.个人信息处理中同意原则适用的困境与破解思路[J].图书情报知识,2017(1):106-113.
[3]金耀.个人信息去身份的法理基础与规范重塑[J].法学评论,2017(3).
作者简介:江南燕(1994.8—),女,四川省眉山人,成都市双流区四川大学刑法专业硕士研究生