【202324118】侵犯公民个人信息的入罪与出罪
文/李勇;邓姗姗;闫君剑
随着大数据时代到来,个人信息的性质与意义均发生了巨大变化,具有以往任何时代所不具备的价值。继网络安全法、数据安全法颁布后,2021年8月,个人信息保护法颁布标志着我国在全面、综合治理个人信息的法治轨道上又迈出了重要一步。随之而来的是倡导对侵犯公民个人信息行为刑法规制的调整和完善。笔者认为,应从以下方面对侵犯公民个人信息罪的构罪标准进行完善,切实维护公民个人隐私权利。
一、将非法使用行为纳入规制范围
刑法第253条之1侵犯公民个人信息罪规定的行为方式主要包括非法出售、提供、窃取以及以其他方法非法获取等4种,[1]难以满足司法实践需要,有必要将滥用个人信息的行为纳入该罪的规制范围。一方面,从学界对侵犯公民个人信息罪的研究现状看,推动非法使用个人信息行为入罪已逐渐成为共识。不少学者认为,非法使用公民个人信息的行为对个人权益、社会秩序乃至国家安全具有多重复合型危害。另一方面,个人信息保护法在法律责任部分规定了违规处理个人信息的责任内容,为了保持法律规制上的内在递进层次,有必要将非法使用个人信息行为纳入刑法规制范围。考虑到与现行刑法规定的4种侵犯个人信息的行为方式相比,非法使用行为法益侵害性有所不同,建议在原条文中新设一款,条文可表述为“违反国家有关规定,利用公民个人信息,情节严重的,依照第一款的规定处罚”。其中,“情节严重”的情形,可以参照最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),对个人信息的类型、数量、违法所得数额、严重后果或恶劣影响等进行规定。
二、对定罪量刑标准进行必要细化完善
(一)将侵犯不满 14 周岁未成年人的个人信息和生物识别信息的行为纳入追诉范围
其一,个人信息保护法将不满14周岁未成年人的个人信息列为“敏感个人信息”予以重点保护,刑法亦应对不满14周岁未成年人的个人信息予以特别保护。对此类信息的追诉标准,应结合信息的重要性和隐私程度确定。建议将行踪轨迹、医疗健康等敏感信息的追诉标准定为50条,其他信息的追诉标准定为500条。其二,生物识别信息是指面部特征、指纹、声纹、虹膜等可识别自然人生理特性与行为特征的信息。侵犯生物识别信息的行为可能对公民人身、财产等权利造成持续且不可逆的损害,具有刑法保护必要性与紧迫性,应当在追诉标准中列明。因其与医疗健康信息具有一定的同质性,建议将追诉标准设定为500条。
(二)明确经济损失的入罪标准
《解释》第5条第2款第2项将“造成重大经济损失或者恶劣社会影响”作为“情节特别严重”的认定标准之一,但并未明确具体损失数额。笔者认为,可以参考刑法第285条第2款非法获取计算机信息系统数据、非法控制计算机信息系统罪中关于“情节特别严重”的认定标准,将损失数额设定为5万元。同时,为了保持追诉标准体系内行为类型的完整性,应当将“造成经济损失”增列为“情节严重”的情形之一,同样参照上述罪名的追诉标准,将损失金额设定为1万元。
三、秉承刑法谦抑性原则,明确出罪情形
个人信息保护法第13条第1款、第2款和民法典第1036条,从事后责任免除与事前行为规范的角度对个人信息的处理规则作出规定。主要包括:在信息主体同意的范围内合理使用、合理处理已合法公开的信息、为维护公共利益或信息主体合法权益而处理等情形。在此情况下,该行为既然不违反前置法的有关规定,就不构成侵犯公民个人信息罪中“违反国家有关规定”的要件。鉴于相关条款已规定在新颁布的法律中,为贯彻刑法谦抑性原则,有必要在《解释》中列明上述不宜认定为侵犯公民个人信息罪的相关行为。
实践中有观点提出,应参照个人信息保护法对个人信息采用的二级分类法,将《解释》中对个人信息采用的三级分类标准予以修改。笔者认为,司法解释作为对刑法条文的补充与说明,力求详细、精确,以更好地指导司法办案。故应当坚持刑法判断的一定独立性,保持《解释》中对个人信息的三级分类标准,以便应对实务中出现的纷繁复杂情形,更好贯彻罪责刑相适应原则。
四、侵犯公民个人信息罪其他实务问题的厘清
(一)明确从一重罪处理原则
从司法实践看,不少侵犯公民个人信息的行为人是通过侵入或非法控制他人计算机来获取个人信息,进而出售、提供给他人或非法使用。故侵犯公民个人信息罪同非法获取计算机信息系统数据、非法控制计算机信息系统罪常常发生关联。有的案件中,该行为被认定为其中一罪;而有的案件处理则是认定为两个罪名。笔者认为,既然侵犯公民个人信息罪中包含了非法获取、提供和出售行为,那么行为人以非法获取计算机信息系统数据、非法控制计算机信息系统等方式侵犯公民个人信息的,应当属于牵连犯或想象竞合犯,定罪量刑上应按照从一重罪的原则处理,而非数罪并罚。建议将该情形在《解释》中予以明确。
(二)明确“批量公民个人信息”的数量
侵犯公民个人信息刑事案件涉案信息数量往往非常庞大,为提高办案效率,《解释》借鉴域外司法经验,规定了“对批量公民个人信息的条数,根据查获的数量直接认定”,不再逐一核对。但关于“批量公民个人信息”的数量认定规则和举证责任的规定较为笼统,应予细化。[2]针对入罪数量较低的50条敏感信息和500条重要信息,应当检验其真实性和重复率。如果信息量达到5000条以上,则信息类型就不再是处罚核心,刑事处罚的本质主要在于侵害公民个人信息数量过多的行为。因此,“批量”的标准可以设定为5000条以上。当存在批量信息时,可以查获的数量直接认定,而无须核实每一条信息的真伪和重复性。实践中,司法机关可采取抽样检测的方法,对样本信息的真实性和重复率进行检验,从而强化证据证明力和指控的精准性。
(三)体现新时代刑事诉讼制度和理念
2018年修改的刑事诉讼法将认罪认罚从宽制度正式纳入我国刑事诉讼制度体系。2021年2月,中央全面深化改革委员会第十八次会议审议通过《关于加强诉源治理推动矛盾纠纷源头化解的意见》,进一步强调加强矛盾纠纷源头预防、前端化解。一方面,为更好落实宽严相济刑事政策,保障当事人合法权益,建议在《解释》第10条中增加“行为人自愿认罪认罚”的表述,强化认罪认罚从宽制度对侵犯公民个人信息行为的效用。另一方面,为提升对侵犯公民个人信息行为的治理成效,加强行刑反向衔接,对于被不起诉的行为人,需要给予行政处罚、处分或者需要没收其违法所得的,检察机关应当能动履职,向有关主管机关提出检察意见,做好不起诉的“后半篇文章”。
[编辑:姜梦]
【注释】
*湖北省武汉市人民检察院法律政策研究室副主任;
**湖北省武汉市人民检察院法律政策研究室四级高级检察官;
***湖北省武汉市口区人民检察院第六检察部副主任。
[1]刑法第253条之1规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
[2]参见张旭:《侵犯公民个人信息犯罪刑事治理研究》,载《吉林大学社会科学学报》2022年第6期。
|