侵犯公民个人信息安全犯罪解读

张玉华 温春玲

为了打击日益严重的侵犯公民个人信息安全的行为,《刑法修正案(七)》第7条规定了侵犯公民个人信息安全犯罪。虽然该修正案对侵犯公民个人信息安全犯罪进行了较为全面的规定,但在司法实践中仍然会遇到执法上的困难。本文围绕该规定进行解析。

一、个人信息的界定

关于公民个人信息的范围,我们认为,应当从广义上对其进行界定。所谓“个人信息”,是指以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。其外延十分广泛,几乎有关个人的一切信息、数据或者情况都可以被认定为个人信息;“个人信息”是一个相对较抽象的概念,但不是所有的可公开或半公开的信息都由刑法来保护,应从立法本义和法益保护的初衷相对确定由刑法保护的对象。通常需要保护的个人信息可以理解为任何生物的、物理的和其他用于识别个人的信息,具体包括姓名、身份证号码、职业、学历、婚姻状况、收入和财产状况、家庭住址、电话号码、血型、医疗记录、书写的签名、电子签名、网上登录的帐号和密码、信用卡号码、账号、护照号码、驾驶证号码、指纹、DNA亲子鉴定结论等。刑法保护的应该是那些能给他人谋取正当或不正当的利益提供便利且泄露后将给公民本人合法利益带来严重侵害的个人信息。侵犯公民个人信息安全犯罪保护的犯罪对象主要应为以下三个方面:一是与公民个人身份密切相关的信息,如公民个人的身份证上的信息,这些信息的泄露往往会给不法分子实施诈骗等犯罪带来便利,从而给公民个人的人身、财产安全带来严重的危害。二是与公民个人财产状况相关的信息,如公民在购买房屋和私家车等財产时,一般都必须在销售单位或者中介机构留下详细的个人信息,这些信息经常被相关单位出售或非法提供给单位或个人,导致众多公民的生活受到严重的干扰甚至遭受重大的财产损失。三是涉及公民个人隐私方面的信息,如公民个人的医疗记录、DNA亲子鉴定结论等,这些个人信息一旦泄露,将严重侵犯公民的隐私权。

应当注意的是,《刑法修正案(七)》第7条在条文中明确地限制了侵犯公民个人信息安全罪的对象,[1]对象范围仅限于国家机关或者金融、电信、交通、教育、医疗等单位在履行职责或者提供服务的过程中收集、保存、管理的公民个人信息,即利用公权力或提供服务过程中依法获得的公民个人信息。根据罪刑法定原则,行为人通过其他途径获得公民个人信息的行为,例如,利用网络技术或者其他手段从公民个人处直接非法获取个人信息,即使非法获取的个人信息数量巨大,也不能以侵犯公民个人信息安全罪定罪处罚。

《宪法》第33条规定国家尊重和保障人权。个人基础信息在一定范围内属于个人秘密,是公民所应享有的基本权利,不容许非法获取,不允许以公民个人信息进行非法营利,或私自利用公民个人信息进行交易。如,某个医生在医疗过程中获悉患者得了艾滋病,医生就不得随便透露患者的相关信息;整容医生为患者(诸如某位明星等公众人物)施行了整容手术,也不得向他人泄露患者的个人信息。我们不应当将是否采取保密措施作为判断是否属于个人信息的标准,因为个人信息不同于国家秘密和商业秘密,它是每个人都有的,具有普遍存在性,且不以采取保密措施为刑法保护的要件,公民的这项权利应该是国家主动进行保护的,而不论公民个人是否采取了保密措施。

二、侵犯公民个人信息安全犯罪的罪名

《刑法修正案(七)》第7条的规定应为两个罪名,该条第1款和第2款规定的犯罪主体、行为方式明显不同。第1款规定的犯罪主体应为特殊主体,第2款规定的主体应为一般主体;第1款规定的行为方式是“出售或者非法提供公民个人信息”,第2款规定的行为方式是“窃取或者非法获取公民个人信息”。

(一)《刑法修正案(七)》第7条第1款的罪名

确定罪名必须以罪状为根据,罪名的表述应当简明、精炼。因此,关于《刑法修正案(七)》第7条第1款的罪名,该罪名宜确定为“出售、非法提供公民个人信息罪”。理由在于:(1)该款犯罪的核心内容是将公民个人信息“出售或者非法提供给他人”。将罪名称作“出售、非法提供公民个人信息罪”,把该罪最本质的特征全面反应在了罪名中;(2)根据该款的规定,虽然该罪的主体是特殊主体,但是从罪名简洁性的角度,将这些限制性内容都纳入罪名之中会使罪名显得过于冗长、繁琐。因此,不宜将这些内容纳入罪名中,而可以通过对“出售、非法提供”的主体和公民个人信息的获得途径进行限制性解释。这样既有利于保证罪名的概括性、简明性,又不失罪名的准确性。[2]

(二)《刑法修正案(七)》第7条第2款的罪名

对于《刑法修正案(七)》第7条第2款的罪名宜确定为“非法获取公民个人信息罪”。理由在于:(1)该款规定的行为方式是“非法获取”行为,“窃取或者以其他方法”都是非法获取的手段,在确定该款罪名时只需体现“非法获取”的行为特征,而不必将“窃取或者以其他方法”的罪状表述纳入罪名;(2)该款在内容上没有对“公民个人信息”的范围进行限定,所有的“公民个人信息”都可成为本款行为的对象。因此,将本款的罪名确定为“非法获取公民个人信息罪”,能够较为准确地反映该款犯罪的基本特征。

三、侵犯公民个人信息安全犯罪的犯罪主体

(一)“出售、非法提供公民个人信息罪”的犯罪主体

1.本罪的主体是特殊主体,即国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员。上述列举的五个单位以外的其他单位及其工作人员是否属于本罪的主体范围,则涉及对本条规定中的“等”字的理解。在汉语中,“等”有表示完全列举后的煞尾之义,也可以表示未尽列举。我们认为,本条中的“等”应理解列举未尽,与上述五个单位性质相同或者相似的单位也应包含在其中。实践中,也存在与上述五个单位不是相同性质的单位,例如网络公司、市场调查公司,房地产公司、物业管理公司、律师事务所、会计师事务所、会员俱乐部等也存在合法收集个人部分信息的情况,这些单位也应当涵盖其中。根据一家社会调查中心对2422名公众开展的调查显示,电信机构、招聘网站和猎头公司、各类中介机构被公众列为泄露个人信息的“罪魁祸首”。对于这些单位及其工作人员将其在提供服务过程中获得的公民个人信息出售或者非法提供给其他单位和个人,情节严重的行为应当加以惩处。因此,我们认为,从目前公民个人信息受到侵害的客观情况看,探求立法的本意,本罪的主体应作扩张性解释,将可以合法收集到公民个人信息的单位及其工作人员均应纳入本罪的主体范围。

国家机关负有公共管理职能,金融、电信、交通、教育、医疗等单位肩负着为社会和大众提供公共服务的职责,在这些机关或单位工作的人员,可以很容易接触到大量的公民个人信息。本款规定的“金融单位”是指从事金融活动的机构或金融部门,一般是指各种银行、保险公司、信托投资公司、证券机构、财务公司、信用合作组织等银行金融机构和非银行金融机构;“电信单位”是指电信部门和电信营业机构;“交通单位”是指从事旅客和货物等运输部门;“教育单位”是指各级各类学校或培训机构,包括公办和民办的教育机构;“医疗单位”是指依据《医疗机构管理条例》和《医疗机构管理条例实施细则》的规定,经登记取得《医疗机构执业许可证》的机构。

2.本罪的主体包括单位和自然人。认定单位是否构成出售、非法提供公民个人信息罪,应从以下三个方面作出认定:一是行为人出售、非法提供公民个人信息的行为必须在其职务范围内进行的;二是行为人出售、非法提供公民个人信息的行为是以单位的名义进行的,并且是为了本单位的利益,而不是为了个人利益;三是出售、非法提供公民个人信息的行为达到构成犯罪的程度。本罪的自然人主体应是国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,其出售、非法提供公民个人信息的行为应界定为行为人不是履行职务之内的行为,但出售、非法提供的公民个人信息是基于其履行职务时合法获取的。