Wonderful activities
【行业资讯】侵犯公民个人信息犯罪疑难问题分析 (二)
发布时间:2021-04-18 21:56:01
来源:电子物证 作者| 房慧颖
泄露公民个人信息犯罪
《刑法修正案(九)》第28条规定,在《刑法》第286条后增加拒不履行信息网络安全管理义务罪,作为第286条之一:“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者赞制,并处或者单处罚金: (一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使案件证据灭失,情节严重的;(四)有其他严重情节的。”其中,第二种行为中“致使用户信息泄露,造成严重后果的”就涉及公民个人信息被泄露的情况。
对于该犯罪,有以下问题值得讨论:
(一)对于该罪行为方式的理解
笔者认为,本罪是一种纯正不作为犯,是网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正的行为。在刑法理论上,纯正不作为犯的作为义务通常都有法律的明文规定,这是罪刑法定原则的基本要求。③(网络服务提供者的不作为义务来源是有关网络行政、民事法律、法规的规定。如2012年12月28日全国人大常委会通过《关于加强网络信息保护的决定》第3条规定,网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。第4条规定,网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。第5条规定,网络服务提供者应当加强对其用户发布的信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。就泄露公民个人信息来看,其结果是“致使用户信息泄露,造成严重后果”。如果未造成严重后果,不能作为犯罪处理,可按照该《决定》第11条规定,对有违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。侵害他人民事权益的,依法承担民事责任。)
本罪中,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,造成一定后果的,即可构成犯罪。《刑法修正案(九)》并未规定网络服务提供者必须具有信息网络安全管理的能力。那么,如果网络服务提供者不具备信息网络安全管理的能力,是否还可能构成犯罪呢?因为理论上一般认为构成刑法上的不作为犯罪必须具备三个条件:一是行为人必须负有实施某种特定行为的义务;二是行为人必须具有能够履行特定义务的能力;三是行为人没有切实履行特定的义务,从而产生相应的危害。④(刘宪权:《刑法学名师讲演录》,上海人民出版社2014年版,第148页。)其中,第二个条件就是要求有能够履行特定义务的能力。刑法不强人所难,法律法律规范与法律秩序只是要求能够履行义务的人履行义务,而不会强求不能履行义务的人履行义务。至于行为人能否履行义务,应从行为人履行义务的主观能力与客观条件两方面进行判断。在拒不履行信息网络安全管理义务罪中,立法者在法条中并未规定“履行能力”是可以理解的。因为网络服务提供者既然经许可从事网络经营服务,有关监管部门就认为其是具备履行能力的,也即无履行能力和履行资格者就不能从事信息网络服务。因此,法条中虽并未规定“履行能力”但其要求有“履行能力”是不言自明的,或者说是隐含在其中的。特别是法条中采用的是“经责令改正而拒不改正”的表述,更表明网络服务提供者是具备履行能力的。如果网络服务提供者缺乏相应的技术能力,有关监管部门也就不可能去责令其改正。当然,在网络服务领域,如果发生了公民个人信息泄露的行为,而这种泄露的防治在网络技术上确实超出了网络服务提供者能够履行的能力范围,网络服务提供者没有采取相应的改正措施的,就不应作为犯罪处理。
对比类似的犯罪,如拒不支付劳动报酬罪,刑法就特别规定了“履行能力”的要求。《刑法》第276条之一规定:“以转移财产、逃匿等方法逃避支付劳动者的劳动报酬或者有能力支付而不支付劳动者的劳动报酬,数额较大,经政府有关部门责令支付仍不支付的,处3年以下有期徒刑或者拘役,并处或者单处罚金;造成严重后果的,处3年以上7年以下有期徒刑,并处罚金。”该罪规定了两种行为方式:一是积极的不支付方式,以转移财产、逃匿等方法逃避支付劳动者的劳动报酬;二是消极的不支付方式,有能力支付而不支付劳动者的劳动报酬。第二种行为方式即是不作为行为,法条要求“有能力支付”方可构成犯罪。如果因各种原因确实无支付能力,比如雇工单位资金暂时周转不开,雇工单位因经营决策失误而导致大量亏损,或因受其他企业欺骗、受整体经济不景气影响(如全球性金融危机致使出口型企业遭受重创)等因素作用,造成客观上无力支付劳动者报酬的,不能认定为犯罪。⑤(蔡英:《拒不支付劳动报酬罪的理解与适用》,载朱孝清等主编:《社会管理创新与刑法变革》,中国人民公安大学出版社2011版,第857页。)
笔者认为,上述两罪是存在一定区别的。网络服务提供者经许可批准从事网络经营服务,其履行能力是自始就有并一直保持的,一旦其失去了履行能力,就应该取消这种许可。因此,网络服务提供者履行信息网络安全管理义务的能力是始终存在的,法条无须予以专门的规定。而在拒不支付劳动报酬罪中,雇工单位的支付能力是受外界因素的影响随时都会发生变化的。这种支付能力的失去是通常都可能出现的。法律不能强迫无支付能力的雇工单位因为不支付而作为犯罪处理。所以,刑法在拒不支付劳动报酬罪的不作为行为方式中规定了“履行能力”的要求。
另外,构成拒不履行信息网络安全管理义务罪必须“经监管部门责令采取改正措施而拒不改正”的前置程序。之所以做这样的规定,主要是因为拒不履行信息网络安全管理义务行为本来是由信息网络管理民事、行政、经济等非刑事法律规范所调整的。为了限定刑法处罚范围,给网络服务提供者一个出罪的机会,要求构成本罪须先由“监管部门责令采取改正措施”,只有在应改正而拒不改正的前提下才以犯罪论处。这也是刑法谦抑性的表现。
(二)本罪的犯罪主体
笔者认为,本罪的主体是特殊主体,只能由网络服务提供者才能构成。一般主体不能构成。
就本罪而言,普通网络用户在网络上散布、传播他人隐私,如果构成侮辱罪等其他相关犯罪的,则按其他犯罪处理。例如所谓的“网络通缉令”,就是针对一个人进行“人肉搜索”,通常的结果是把被“通缉”的那个人的所有隐私都公布在网络上。这种行为极大地损害了个人隐私,严重地影响了他人的生活,具有一定的社会危害性。但是,根据《刑法修正案(九)》“拒不履行信息网络安全管理义务罪”的规定,从罪刑法定原则出发,非网络服务提供者不能构成本罪,不能构成犯罪,只能按照民事侵权处理。
根据《刑法修正案(九)》第28条第2款的规定,“单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。”因此,本罪也可由单位构成,对单位犯罪,实行双罚制。
(三)本罪的主观方面
由于本罪是新设立的犯罪,对于其主观方面的心理态度理论上还无专门的讨论。笔者认为,本罪的主观方面是故意。当然,或许有人认为,行为人虽然对于不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正的行为是故意的,但对可能会造成的有关后果(如用户信息泄露)是持否定或排斥态度的,即行为人不希望危害结果发生。所以,本罪仍可能是一种过失犯罪,或者是一种包含故意或过失的双重罪过犯罪。类似的争论在其他犯罪中也曾出现过。如对于《刑法》第129条规定的丢失枪支不报罪的主观罪过,有论者主张是故意,⑥(参见张穹主编:《刑法适用手册》,中国人民公安大学出版社1997年版,第498页。)有论者主张是过失,⑦(参见邓又天主编:《中华人民共和国刑法释义与司法适用》,中国人民公安大学出版社1997年版,第189 页。)还有论者认为既可能是过失,也可能是间接故意。⑧(参见叶峰主编:《刑法新罪名通论》,中国法制出版社1997年版,第34页。)认为是故意的论者主要考虑的是不及时报告的行为,认为是过失的论者主要考虑的是造成严重后果的事实。再如《刑法》第186条第1款规定的违法发放贷款罪,行为人就行为而言显然是故意的;但就结果而言,认定故意似乎不妥当。于是有人认为本罪由故意构成,⑨(参见陈兴良:《刑法疏议》,中国人民公安大学出版社1997年版,第325页。)有人认为本罪由过失构成,⑩(参见刘家琛主编:《新罪通论》,人民法院出版社1996年版,第238页。)有人认为本罪既可以是过失,也可以是间接故意,(参见张穹主编:《修订刑法条文实用解说》,中国检察出版社1997年版,第244页。)有人认为本罪对行为是故意的,对结果是过失的。(赵秉志主编:《新刑法教程》,中国人民大学出版社1997年版,第64页。)其他许多条文都存在类似问题。这些条文所规定的犯罪的共同点是,行为人明显出于故意实施犯罪行为,但对于刑法明文要求发生的结果却可能不是出于故意,而是过失。拒不履行信息网络安全管理义务罪也属于相同情况,但笔者认为该罪的主观方面是故意,不是过失,也不属于包含故意和过失的双重罪过。
理由是:
第一,双重罪过的说法是违背我国刑法基本原则的
因为我国《刑法》规定了罪刑法定原则和罪刑相适应原则,这两个原则要求,犯罪人所受的处罚应该与其所犯罪行的严重程度相适应,重罪重罚,轻罪轻罚。而罪行轻重程度不仅仅是客观行为及其造成的后果,也包括行为人的主观恶性大小。在其他所有条件相同的情况下,故意犯罪的处罚应该高于过失犯罪。而一个犯罪中有双重罪过的说法,则无法真正贯彻罪刑法定和罪刑相适应原则。
第二,认为本罪属于过失犯罪的说法也违背我国刑法的有关规定
因为我国《刑法》第15条第2款规定,过失犯罪,法律有规定的才负刑事责任。在我国的刑事立法中,立法者通常对于故意犯罪作出处罚规定,对于过失犯罪只是在 有必要处罚时才进行例外规定。可以说,立法处罚故意是原则,处罚过失是例外。由此,我们也可以推导出,有故意犯罪,不一定有过失犯罪(过失行为是存在的,但刑事立法不规定);但有过失犯罪,必然有相对应的故意犯罪。对拒不履行信息网络安全管理义务罪,如果我们把该罪的主观方面理解为是过失,那么,刑法必然会规定相应的故意犯罪。从举轻以明重的角度我们也可以得出这种结论。而目前我们找不到《刑法修正案(九)》中有相应的故意犯罪规定。所以说,认为本罪属于过失犯罪的说法也是不成立的。
第三,用户信息泄露的后果应该属于客观的超过要素,不能作为评价罪过的对象
根据我国刑法有关规定,评价一个犯罪的罪过只能以行为人对危害结果的认识为标准,而不能以对于危害行为的认识为依据。如在交通肇事罪中,行为人对于违章行为是故意的,但对于发生死伤结果是过失的,所以,从危害结果的角度看,我们认为交通肇事罪的主观罪过仍是过失的。然而,在有些犯罪中,这种结果只是一种对于客体侵犯的抽象结果,而具体结果却只是客观的超过要素。客观的超过要素不能作为我们评价一个犯罪的主观罪过的标准。如《刑法》第129条规定的丢失枪支不报罪,造成严重后果虽然是构成要件,但不需要行为人对严重后果具有认识与希望或放任态度。造成严重后果便成为超出故意内容的客观要素,属于客观的超过要素。(张明楷:《“客观的超过要素”概念之提倡》,《法学研究》1999年第3期。)按照张明楷教授的理解,超过的客观要素只应存在于有双重危害结果的犯罪中。具体有四种情况:第一,犯罪行为既有物质性结果也有非物质性结果时,可能只要求行为人认识到其中的一种结果,而另一种结果是超过的客观要素。例如,《刑法》第186条规定的违法发放贷款罪,违法发放贷款行为本身,就是对金融秩序的破坏,属于非物质性结果,行为人对此至少具有放任态度。但刑法还规定有行为造成重大损失的物质性结果,这种物质性结果便是客观的超过要素,不需要行为人对之持放任或者希望态度,但对这种物质性结果的预见可能性则是完全可以肯定的。第二,犯罪行为造成了危险状态,但刑法还要求实害结果时,实害结果可能是客观的超过要素。第三,犯罪行为既存在无具体对象的危害结果,又存在针对具体对象的危害结果时,后者可能是客观的超过要素。第四,犯罪行为存在直接危害结果与间接危害结果时,间接危害结果可能是客观的超过要素。笔者认为,《刑法修正案(九)》规定的拒不履行信息网络安全管理义务罪就属于第一种情形的适例。因此,该罪的主观罪过应该是故意。
