Wonderful activities
【行业资讯】侵犯公民个人信息犯罪疑难问题分析 (一)
发布时间:2021-04-18 21:56:01
来源:电子物证 作者| 房慧颖
摘要:公民个人信息是指能够识别公民个人身份和涉及公民个人隐私的电子信息。违法将履行职责或者提供服务过程中获得的公民个人信息出售、提供给他人是侵犯公民个人信息罪的从重处罚情节。网络服务提供者泄露公民个人信息犯罪是一种纯正的不作为犯,必须是致使用户信息泄露,造成严重后果时才构成犯罪,但主观罪过是故意。
侵犯公民个人信息罪
《刑法修正案(九)》第17条规定将《刑法》第253条之一修改为:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的 公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”该条款修改了原《刑法》第253条之一出售或者非法提供公民个人信息罪的规定,使得该规定更为合理。此条规定即为“侵犯公民个人信息罪”。与原条文相比,它作出了四个方面的修改:一是取消了原第253条之一第1款的“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”的主体身份限制。二是将原有的“出售或者非法提供”行为的表述修改为“违反国家有关规定,向他人出售或者提供”。三是将履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的行为作为侵犯公民个人信息罪的从重处罚情节。四是修改了法定刑,原来只有一个量刑幅度,即“三年以下有期徒刑或者拘役,并处或者单处罚金”,现在增加一个量刑幅度,即“情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。
根据《刑法修正案(九)》的上述修改,侵犯网络公民个人信息犯罪在司法鉴定和法律适用方面也产生了新的问题,在此就可能引起的争议点予以分析。
(一)关于“违反国家有关规定”的界定
应当看到,无论是通常情况下的出售或者提供,还是履行职责或者提供服务过程中的出售或者提供公民个人信息的行为,要构成犯罪,都必须是“非法”地出售或者提供。如果“合法”地提供,就不可能构成犯罪。对于何谓“非法”, 《刑法修正案(九)》在两个条款中特别限定为“违反国家有关规定”。这两个条 款中“违反国家有关规定”的表述,表明其犯罪类型为法定犯。法定犯与自然犯 的区别在于,自然犯的违法性确认标准是,只要实施了刑法分则所预定的行为类型就可以推定行为人的行为具有违法性,而法定犯的构成需要以行为人实施了违反前置性法律、法规的行为为前提。法定犯的功能在于提示行为人必须尽到最大的注意义务以确认自己的行为是否违法,或者说,给行为人提供了违法性认识的契机。①(蒋铃:《刑法中“违反国家规定”的理解和适用》,《中国刑事法杂志》2012年第7期。)这两个条款中的“违反国家有关规定”也具有判定是否具有违法性的功能。根据《刑法》第96条的规定,违反国家规定是指“违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令”。据统计,我国目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括《规范互联网信息服务市场秩 序若干规定》、《个人征信管理办法》等。②(参见卢建平:《我国侵犯公民个人信息犯罪的治理》,《法律适用》2013年第4期;《个人信息保护将出 台国标明确使用后立即删除》,《新京报》2012年4月5日,第A06版。)因而可以确定,侵犯公民个人信息的危害行为从产生之时起就具备行政违法的性质,其所成立的犯罪就符合法定犯的特征。然而,对侵犯公民个人信息的行为,我国尚未确立统一完备的行政法律制裁体系与刑事制裁相衔接,连《治安管理处罚法》都未将侵犯公民个人信息的行为作为行政违法行为。我国现有的关于公民个人信息保护的规定较为零散,表现为制定和发布主体不一,散见于不同的法律、法规或规章,如《电信条例》、《邮政法》、《档案法》、《居民身份证法》、《道路交通安全法》、《反洗钱法》、《律师法》、《公证法》、《劳动争议调解仲裁法》、《银行业监督管理法》等。不过,笔者认为,虽然我国没有统一的个人信息保护法,但上述有关公民个人信息保护的分散规定,应当作为认定行为是否“非法”的依据。对于“违反国家规定”界限的确定,我们可以从以下两个方面把握:
1.必须严格按照《刑法》第96条的规定确定“国家规定”的界限
“国家规定”的制定主体仅限于全国人民代表大会及其常务委员会和国务院。2011年4月8日最高人民法院《关于准确理解和适用刑法中“国家规定”的有关问题的通 知》(以下简称《通知》)中也指出,根据《刑法》第96条的规定,刑法中的“国家规定”是指,全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的 行政法规、规定的行政措施、发布的决定和命令。其中,“国务院规定的行政措施”应当由国务院决定,通常以行政法规或者国务院制发文件的形式加以规定。以国务院办公厅名义制发的文件,符合以下条件的,亦应视为刑法中的“国家规定”:(1)有明确的法律依据或者同相关行政法规不相抵触;(2)经国务院常务会议讨论通过或者经国务院批准;(3)在国务院公报上公开发布。该《通知》第2 条规定,对于违反地方性法规、部门规章的行为,不得认定为“违反国家规定”。
2.违反国家规定的内容必须以明确规定为前提
罪刑法定原则不禁止在一 定条件下将部分构成要件的认定委诸于行政法规等相关“国家规定”。关于国务 院部门的规章对行政法规的具体化规定是否属于“国家规定”,在实践中存在争 议。这涉及如何认定法律、行政法规“二次授权”的部门规章、地方性法规的效力。如《行政许可法》第14条规定,法律、行政法规以及国务院发布的决定可以设定行 政许可;第16条第2款、第3款作出“二次授权”,其明确规定:“地方性法规可以在法律、行政法规设定的行政许可事项范围内,对实施该行政许可作出具体规定。规章可以在上位法设定的行政许可事项范围内,对实施该行政许可作出具体规定。笔者认为,部门规章、地方性法规等虽然效力层级未达到主体资格要求,但其效力得到《行政许可法》的授权和认可,它是对《行政许可法》在某一具体领域的细化规定。此时,违反部门规章或地方性法规的行为,实质上就是违反《行政许可法》。因此,当部门规章、地方性法规的规定是对行政法规的进一步细化时,可以将其作为认定是否“违反国家规定”的依据,因为其实质是上位法的具体展开。
(二)侵犯网络公民个人信息犯罪的主体及行为表现的认定
对于履行职责或者提供服务过程中非法出售或提供公民个人信息行为主体的确定,《刑法修正案(九)》第17条第2款取消了“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”的“等”字的限定,也即表明了,只要是“履行职责或者提供服务过程中”的人员,将其获得的公民个人信息出售或者非法提供给他人,就可以按照非法出售、提供公民个人信息罪从重处罚。因此可以认为无论何种单位的人员(不限定为公共机构),即使是社会中介,甚至无单位隶属的纯粹个人,只要其将履行职责或者提供服务过程中获得的公民个人信息出售或者非法提供给他人,均应按该条款处理。
根据《刑法修正案(九)》第17条规定,侵犯公民个人信息的行为方式主要有两类:非法获取和非法提供。所谓“非法获取”,即任何采用非法方法取得的手段,可以是非法窃取、骗取、夺取、逼取和劫取等方法。其中,有暴力方法,也有非暴力方法;有秘密方法,也有非秘密方法。但是,在网络上侵犯公民个人信息,笔者认为是不可能采用劫取、夺取等暴力方法的。因为网络是一个虚拟的空间,行为人无法在虚拟空间中实施暴力。行为人如果用暴力手段殴打被害人,让被害人通过网络方式告诉相关公民个人信息,这种情形虽然是可能发生的,但笔者认为这种方式主要仍是通常意义上的劫取行为,并不是完全在网络上实施的侵犯公民个人信息犯罪。网络上侵犯公民个人信息犯罪的特点是,行为人与被害人应该不具有在现实空间中的“当场性”的特征,即通常行为人与被害人不在同一现场,而是在互联网的两个终端。
所谓“非法提供”是指以有偿(即出售)或无偿的方式将公民个人信息提供给他人的行为。出于同样的理由,网络上的非法出售或提供公民个人信息行为也要求行为人与被害人不在同一现实空间中的“当场性”的特点。
值得探讨的是,在《刑法修正案(九)》第I7条第2款的行为方式中,行为人是合法取得公民个人信息的,这在理论上形成了共识,但在第1款中的公民个 人信息的来源究竟是合法取得还是也包括非法取得却不十分明确。如果从条文“违反国家有关规定”的规定看,似乎只包括合法取得的公民个人信息。因为非法取得公民个人信息就不可能期待其不违反国家有关规定,法条中“违法国家有关规定”的规定就多此一举了。但如果认为第1款中的公民个人信息的来源是合法取得,那么其与第2款中的规定就没有多大差异了。笔者认为,第1款中的公民个人信息的来源只能理解为两种情形:一是非法取得的公民个人信息。此时,法条中“违反国家有关规定”的规定,只是“非法”的另一种表达而已,即行为人将非法取得的公民个人信息予以非法出售或提供。另外,根据《刑法修正案(九)》的规定,行为人非法获取后又非法提供的,不需要数罪并罚,仍按侵犯公 民个人信息罪一罪处理;二是非履行职责或提供服务过程中的合法取得的公民个 人信息,如行为人并没有采用非法获取的手段,而是捡拾取得或偶然听到等。
(三)侵犯公民个人信息罪与窃取、收买、非法提供信用卡信息罪的法条竞合的处理
信用卡信息是公民个人信息中的一种特殊信息。行为人窃取、收买、非法提供信用卡信息与侵犯公民个人信息罪之间只是犯罪对象上的差别。前者为特殊对象,后者为一般对象,两者之间存在法条竞合关系。
1.自然人窃取、收买、非法提供信用卡信息罪的处理
刑法理论上一般认为,法条竞合的处理原则是:特别法优于普通法,例外情 形下,重法优于轻法。根据《刑法》第177条之一的规定,有下列情形之一,妨害信用卡管理的,处3年以下有期徒刑或者拘役,并处或者单处1万元以上10万元以下罚金;数量巨大或者有其他严重情节的,处3年以上10年以下有期徒刑, 并处2万元以上20万元以下罚金:(一)明知是伪造的信用卡而持有、运输的,或者明知是伪造的空白信用卡而持有、运输,数量较大的;(二)非法持有他人信用卡,数量较大的;(三)使用虚假的身份证明骗领信用卡的;(四)出售、购买、为他人提供伪造的信用卡或者以虚假的身份证明骗领的信用卡的。窃取、收买或者非法提供他人信用卡信息资料的,依照前款规定处罚。因此,窃取、收买、非法提供他人信用卡信息资料的,法定最高刑是10年有期徒刑,但法定最低刑是“拘役”,而《刑法修正案(九)》关于侵犯公民个人信息罪法定最高刑是7年有期徒刑,法定最低刑是“拘役”。按照法条竞合的处理原则,无论是按照特别法优于普通法,还是重法优于轻法,对于自然人窃取、收买、非法提供信用卡信息的,应该按照窃取、收买、非法提供信用卡信息罪定罪处罚。
2.单位实施窃取、收买、非法提供信用卡信息罪的处理
此问题的提出源于《刑法》对于窃取、收买、非法提供信用卡信息罪只规定了自然人犯罪,而未规定单位犯罪的现状。如果单位实施了窃取、收买、非法提 供信用卡信息罪,是按自然人窃取、收买、非法提供信用卡信息罪处理,还是按 照单位侵犯公民个人信息罪处理?根据2014年4月24日全国人大常委会通过 的立法解释,公司、企业、事业单位、机关、团体等单位实施刑法规定的危害社会的行为,刑法分则和其他法律未规定追究单位的刑事责任的,对组织、策划、实施该危害社会行为的人依法追究刑事责任。似乎我们对于单位实施窃取、收 买、非法提供信用卡信息罪可按照自然人窃取、收买、非法提供信用卡信息罪处 理。但信用卡信息又是公民个人信息中的一种特殊信息,我们也完全可以按照单位侵犯公民个人信息罪处理。笔者认为,既然按照《刑法修正案(九)》第17条的规定,单位可以构成侵犯公民个人信息罪,对于单位实施的窃取、收买、非法提供信用卡信息的行为,就可以按照单位侵犯公民个人信息罪定罪,而不必认定为自然人窃取、收买、非法提供信用卡信息罪。
在这里,需要讨论两个问题:一是个人犯罪条款与单位犯罪条款是否属于法条竞合?二是无单位犯罪的窃取、收买、非法提供信用卡信息罪与单位侵犯公民个人信息罪之间,是否属于法条竞合?就第一个问题而言,笔者认为,法条竞合解决的是两个罪名之间选择何种罪名更符合构成特征、更体现刑法公正的问题。同一条文内的自然人犯罪和单位犯罪虽然行为方式相同,只是主体不同,但我们不能把单位看成是个人的特殊主体。因为这两种主体是完全并立的主体,不存在一种主体是一般、另一种主体是特殊的问题。因此,在同一条款内的自然人犯罪与单位犯罪之间不属于法条竞合。就第二个问题而言,笔者认为,法条竞合必须是两个法条确实在刑法上实际存在时才考虑选择的问题。如果行为人以单位的名义实施了所谓的单位窃取、收买、非法提供信用卡信息犯罪,其实仍属于自然人的窃取、收买、非法提供信用卡信息犯罪。此时,不存在所谓的法条竞合,按照自然人犯罪处理即可。但如果确实是单位实施了窃取、收买、非法提供信用卡信息犯罪(即行为完全是以单位名义实施、体现单位意志、违法所得亦归单位所有),此时,这种单位犯罪亦符合了单位侵犯公民个人信息罪的构成要件,理应按照单位侵犯公民个人信息罪定罪量刑。这里采用的原则并不是法条竞合的重法优于轻法原则,而是法律效力上的新法优于旧法原则。因为全国人大常委会通过的立法解释是在2014年4月24日,而《刑法修正案(九)》生效的时间是2015年11月1日。《刑法修正案(九)》是新法,全国人大常委会通过的立法解释是旧法。当然,一般情况下,法律的效力也要高于法律解释,只是全国人大常委会通过的立法解释其效力等同于法律,所以,笔者仍按照新法优于旧法原则来处理。
