【201507039】侵犯公民个人信息罪的犯罪对象
文/胡胜
摘要:
《中华人民共和国刑法修正案(七)》新增设了侵犯公民个人信息犯罪,即出售、非法提供公民个人信息罪和非法获取公民个人信息罪,但目前无论是在刑法理论还是司法实践中,对该罪都有不同的理解。特别是在个人信息的判断上,以往刑法理论都未能从刑法视野出发,所谓的隐私说、身份识别说都不当扩大或缩小了个人信息的范围,无法对公民个人信息做出科学界定。在探求公民个人信息的内涵时,应紧扣刑法这一中心,以刑法的谦抑性原则为指导,结合生活实际和立法宗旨进行综合判断。在具体判断标准上,刑法视野中的公民个人信息判断应以“私人生活安宁”为标准,即任何与公民个人相关的信息,一旦泄露,可能威胁到私人生活安宁的,都是公民个人信息。至于对“上述信息”的理解,基于汉语的习惯表达、立法目的的衡量以及为了刑法条文之间的协调,应坚持形式解释论,理解成在履行职责或者提供服务过程中所获取的公民个人信息,而不应以打击犯罪为由过于追求实质解释,理解成一般意义上的公民个人信息。
一、问题的提出:从一个案例说起
被告人朱某然,自2013年2月起,采用在被害人卫某(系被告人前妻)驾驶的奔驰轿车上擅自安装GPS定位器、在卫某家中秘密放置录音笔,以及在办公室电脑中私自安装截屏软件等方法,非法获取卫某的个人车辆、对话录音、住宿、航班、网页浏览记录等私人信息,用于在现实生活中大肆宣传,并杜撰以卫某为原型的网络小说,给被害人的私人生活及其社会交往造成了重大困扰。上海市某基层人民法院以非法获取公民个人信息罪判处朱某然拘役六个月,并处罚金人民币一千元。朱某然不服,以非法获取公民个人信息罪中的“个人信息”应理解为国家机关或者金融、电信、交通、教育、医疗等单位的工作人员在履行职责或者提供服务过程中获取的公民个人信息,而非行为人自行通过各种途径所获取的公民个人信息为由,向上海市第二中级人民法院提起上诉,但在审理过程中,朱某然又撤回上诉。
对于本案而言,虽然是以被告人在二审中撤回上诉而告终,但其影响却不可小觑。法律语言固有的特点,以及相应司法解释的缺位,导致了目前无论是在刑法理论还是司法实务界,对刑法第二百五十三条之一侵犯公民个人信息犯罪中个人信息的理解都是见仁见智。在本案中,控辩双方争议的焦点就在于对“上述信息”的理解。由于上述信息的指代对象有“公民个人信息”的表述,也即上述信息是以公民个人信息为前提的,因而对上述信息的争议实际上就包含了对个人信息的争议。
二、公民个人信息概念探究
(一)现行法律对公民个人信息的基本规定不足
我国目前尚未出台专门的个人信息保护法律,在法律上“公民个人信息”一词的表述始见于《中华人民共和国刑法修正案(七)》中。虽然诸如2014年4月10日工业和信息化部发布的《电信和互联网用户个人信息保护规定》(征求意见稿)、商务部2012年12月18日颁布的《家庭服务业管理暂行办法》、内蒙古自治区2004年颁布的《内蒙古自治区实施<中华人民共和国消费者权益保护法>办法》等一些部门规章和地方性法规对个人信息进行了一定规制和细化,但现行刑法条文以及司法解释并未就何为公民个人信息作出比较完备的规范。2013年,最高人民法院、最高人民检察院、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称《通知》)对公民个人信息作出了探索性界定。《通知》指出,公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。《通知》界定了公民个人信息的范围,但仔细分析便会发现,该《通知》并未明确公民个人信息的定义。首先,从概念上来看,如若《通知》想界定公民个人信息,那么在语言上应为“公民个人信息是指公民的姓名、年龄…公民个人隐私的信息、数据资料。”而不是用“公民个人信息包括”的表达。因而,只能将《通知》理解为只是以列举的形式明确了公民个人信息的几种主要表现形式。其次,退一步讲,即使认为《通知》对个人信息做了界定,但在所列举的公民个人信息中,要达到什么程度、如何进行有效组合才能算得上是能识别公民个人身份,《通知》也未予以明确。比如单独的姓名或电话号码是否可识别公民个人身份?按《通知》的规定,在实践中仍无法把握。
(二)现行理论关于公民个人信息的缺陷
就刑法学界而言,目前对公民个人信息的概念界定主要存在四种观点。第一种观点主张借鉴美国隐私法的相关表述,或将个人信息与个人隐私的概念等同,认为隐私权的保障是公民个人信息保护的主要目的和逻辑前提,只要是公民不愿意公开、与公共利益无关、与个人相关的都属于公民个人信息;[1]或将隐私性作为公民个人信息的核心,认为只要在一定程度上体现公民身份、隐私、财产情况的信息,都是公民个人信息,相反,那些无法体现公民隐私性的信息,就不应列入犯罪对象;[2]第二种观点主张借鉴欧盟的身份识别模式,认为公民个人信息的本质属性就在于可识别性,并进一步提出与自然人相关,单独或与其他信息组合可以识别特定个人身份的信息都是公民个人信息;[3]第三种观点则是上述两种观点的折中,先对公民个人信息进行罗列,然后在此基础上总结出公民个人信息的特征,如《通知》事实上便采纳了此种观点;第四种观点采用的是最广义上的公民个人信息说,认为公民个人信息是指与公民个人相关的一切信息的总和。[4]
笔者认为,上述观点虽各有一定道理,但都存在一个致命弱点,那就是过于形式地理解公民个人信息,未能从刑法视野上对公民个人信息进行考量,或放大或缩小了公民个人信息的范围。第一种观点将个人信息与个人隐私等同,在很大程度上对自然意义上的公民个人信息进行了限制,同时我国宪法、民法等法律明确规定保护隐私权,因而,对于出售、非法获取他人隐私,情节严重的,以犯罪论并无不当。但问题在于,首先,隐私本身并非是个不言自明的概念,需要进行价值判断。隐私容易受个体知识水平、价值观以及民族、种族、地域等因素的影响,缺乏统一的评判标准。比如说年龄,在美国等西方国家是作为隐私保密的,询问对方年龄往往被视为不礼貌的行为,但在我国,则不存在询问年龄这一忌讳。其次是在个人隐私之外,还有无值得刑法保护的其他个人信息?随着社会的发展,新的犯罪手段层出不穷,诸如电话诈骗,电话、短信骚扰等屡见不鲜,严重影响到了民众安全感。根据我国学者的调研,96%的接受调查公众在个人信息泄露带来的困扰(多选)一题中,选择了“频繁接受商业推销电话或短信”。[5]若按第一种观点将个人信息界定为个人隐私,由于电话号码不属于隐私范畴,则对于非法获取他人电话号码的行为不能以非法获取公民个人信息罪追究刑事责任。这显然不合情理,因而第一种观点不可取。第二种观点认为,公民个人信息的核心在于可识别性。固然,大部分个人信息都具有身份识别性,此种表述在一定意义上是对个人信息的经验总结,但该观点首先是不当缩小或扩大了个人信息的范围。事实上,是否所有能识别公民个人身份的信息都值得刑法保护?比如说姓名、性别、年龄、身高、体重等资料,能识别公民个人身份,但对于泄露此类信息的,即使在民事上都未必构成侵权,何以动用刑法进行规制?而且公民个人信息除了能有效识别个人身份的信息之外,还存在一部分对公民个人十分重要,却未必能反映个人身份的信息。以电话号码为例,虽然现在电话号码已实行实名制,但在现实生活中还有很多未进行实名登记的号码在沿用。那么对于非法获取未进行实名登记的号码的行为是否应该追究刑事责任?按身份识别说,只有能识别个人身份的信息才是公民个人信息,对于单纯的电话号码由于不能进行身份识别,当然不能成为非法获取公民个人信息罪的犯罪对象,[6]自然也就无法追究刑事责任。笔者认为,虽然根据电话号码无法查知具体的公民,但事实上,不管号码是谁的,只要是有效号码,就会有公民在使用,就能将特定号码与抽象意义上的公民对应起来,自然也就属于公民个人信息(抽象意义上的)。同时,不管是具体的公民还是抽象的公民,一旦其号码被泄露,就有可能被骚扰,影响到私人生活,同样具备保护价值。其次,该观点在司法实践中也缺乏可操作性。根据身份识别说,是否为公民个人信息应进行身份识别判断,但身份识别本身就是个不明确的问题,各类信息的组合要达到什么样的程度才称得上能有效识别身份难以形成统一标准。再者,若以身份识别为标准,则必须对涉案信息一一进行识别,只有能核实的才能作为定案依据,如此一来,给裁判者制造不必要的麻烦,何其浪费司法成本。因而第二种观点也不可取。第三种观点是第一、二种观点的综合,当然也就同时存在第一、二种观点的缺陷。按第四种观点,公民个人信息是指与公民个人相关的一切信息的总和。这种解释最不可取,该观点事实上未能考虑刑法与其他部门法之间的关系,而是将公民个人信息不加区分地进行刑法保护。若此,不管是公开的还是私密的个人信息,也不论是否能识别个人身份的信息,只要是有非法获取行为就要处罚,这显然过于宽泛。
(三)公民个人信息认定的‘私人生活安宁’标准说之构建
用身份识别性、隐私性等去界定公民个人信息都是不科学的。笔者认为,要探求公民个人信息的概念,首先将语境限于“刑法”之下,以刑法的谦抑性原则为指导,结合生活实际和立法宗旨进行综合判断。犯罪,就其本质而言,是一种特别危险的侵害法益的不法行为。[7]国在进行立法的时候,只是选择将严重侵害法益的行为规定为犯罪,而对于情节较轻的,往往通过行政法、侵权责任法等其它非刑事法律进行规制。作为防范犯罪的最后手段,只有在侵权行为法与行政处罚法不足以控制犯罪的情况下,才动用刑法加以控制。[8]其实,刑法的这一谦抑性特点不仅是立法应该考虑的,同时也是在对刑法用语进行解释时所必须考量的。特别是在公民个人信息立法缺失的当下,决定了在对公民个人信息进行解释时必须紧扣刑法的目的和宗旨。
就侵犯公民个人信息犯罪的立法原意而言,全国人大法工委李适时主任在向全国人大常委会进行《刑法修正案(七)》的草案说明时指出:“近年来,泄露公民个人信息的情况时有发生,对公民的人身、财产和隐私造成严重威胁,这类侵害公民权益情节严重的行为,应当追究刑事责任。”[9]换言之,之所以将非法获取公民个人信息犯罪化,其实质就在于这种非法获取行为威胁到了公民的人身、名誉、财产安全。而人身、名誉、财产安全等事项无不涉及私人生活领域,事关私人生活安宁。因而,刑法视野中的公民个人信息,必须抓住“私人生活安宁”这一本质特质。在这一本质特质之外,企图从形式上、内涵上对公民个人信息进行界定,实践证明是徒劳的,也是不可能的。笔者认为,可从社会生活视角出发,以最广义的公民个人信息(也即与公民个人相关的一切信息)为筛选对象,以“私人生活安宁”为标准,建立起公民个人信息的判断标准。具体而言,所谓“私人生活安宁”标准,是指在判断刑法意义上的公民个人信息时,以信息泄露是否可能威胁到私人生活安宁为准。如若所涉及的信息,一旦泄露,可能威胁到私人生活安宁,就是刑法意义上的公民个人信息,否则就不是。以“私人生活安宁”标准,公民个人信息是指:公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等事关私人生活领域,泄露后可能威胁到私人生活安宁的各方面信息。按笔者的这一定义,我国学界所争议的个人隐私自然是公民个人信息,但公民个人信息却不限于个人隐私。同时,公民个人信息不仅包括部分能识别个人身份的信息,也包括部分无法识别个人身份的信息。
三、对“上述信息”的理解
在厘清公民个人信息概念的基础上,有必要对“上述信息”进行相应界定。目前,对于刑法第二百五十三条之一第二款规定的非法获取公民个人信息罪中“上述信息”的理解,主要存在三种观点。第一种观点认为,“上述信息”就是指上文提到的信息,即“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员在履行职责或者提供服务过程中获取的公民个人信息,而非泛指公民个人信息”;[10]第二种观点认为,“上述信息”是指履行职责或者提供服务过程中所获得的公民个人信息;[11]第三种观点认为,“上述信息是指任何符合条件的公民个人信息”。持该观点的论者进一步指出,只有将上述信息理解为一般意义上的公民个人信息,才能严密刑事法网,才能实现对公民个人信息全方位的保护。[12]由于2013年《通知》明确规定,出售、非法提供公民个人信息罪的犯罪主体,也包括在履行职责或者提供服务过程中获得公民个人信息的企事业单位的工作人员。因而,对“上述信息”的理解就变成了“在履行职责或者提供服务过程中所获得的公民个人信息”与“一般意义上的公民个人信息”之间的争议。
笔者认为,对“上述信息”的争议实际上是刑法解释立场之争。就刑法解释立场而言,近年来形式解释论与实质解释轮在刑法学界方兴未艾,对司法实务亦产生了重要影响。形式解释论主张,法官只能严格根据法条的字面意思进行解释;实质解释论则认为,可以处罚的必要性和合理性为由,对刑法进行扩张解释,而不必局限于字面含义。虽然在价值观和方法论上的选择各异,但就解释结果而言,形式解释论与实质解释论各有各的优点和不足。正如有的学者所言,形式解释运用文理解释法,强调犯罪成立与否远离价值判断,从而最大限度地发挥罪刑法定的人权保障机能,但如若将形式解释推向极致,则可能走向法律教条主义,无视法律用语的实质内涵,不利于刑法保护法益机能的发挥;实质解释运用论理解释方法,能将不该处罚的行为排除在刑法圈之外,但如将实质解释推向极致,则可能会走向法律虚无主义,有突破法律规定用语的形式含义的冲动,从而导致法律形同虚设,隐含侵犯人权的危险。[13]对于学术之争,笔者不敢轻言立场,虽然过于坚持形式解释有法律教条主义、放纵对罪犯的打击之嫌,但那种以打击犯罪为由,过于前卫地将“军警人员抢劫”解释为刑法第二百六十三条“冒充军警人员抢劫”[14]的实质解释做法实非笔者所能接受的。对司法实践而言,在一定程度上,坚持形式解释更具现实意义。具体在对“上述信息”的理解上,笔者主张形式解释,将其理解为“在履行职责或者提供服务过程中所获得的公民个人信息”,而非“一般意义上的公民个人信息”。具体理由主要有以下几个方面:
第一,这符合汉语的习惯表达。那种将“上述信息”理解为“一般意义上的公民个人信息”的观点,有断章取义之嫌。确实,在刑法第二百五十三条之一第一款中出现了“公民个人信息”的表述,但在公民个人信息之前有一个修饰前缀,“即国家机关等单位在履行职责或者提供服务过程中所获得的”,因而,这里的“公民个人信息”是特指。根据文理解释规则以及汉语习惯表达,理应将“上述信息”解释为上文提到过的信息。
第二,从立法沿革来看,也符合立法宗旨。刑法修正案(七)将侵犯公民个人信息犯罪化的重要背景就在于近年来,国家机关、金融、电信、交通、教育、医疗等单位的工作人员屡屡非法披露在履行职责或者提供服务过程中所获得的公民个人信息,严重影响了公民的安全感。因而,立法目的就在于规范此类工作人员的保密义务。从立法条文中也可以看出,出售、非法提供公民个人信息罪的犯罪主体为在履行职责或者提供服务过程中获得公民个人信息的机关、企事业单位的工作人员。如若立法目的是要打击所有出售、非法提供公民个人信息的行为,则不应该在公民个人信息之前加上“国家机关、金融、电信、交通、教育、医疗等单位在履行职责或者提供服务过程中”这样一个限制性前缀。按刑法第二百五十三条之一第一款的规定,出售、非法提供的公民个人信息,如果不是在履行职责或者提供服务过程中所获取的,是不构成出售、非法提供公民个人信息的。此外,如果立法者想将任何非法获取公民个人信息的行为都规定为犯罪,那么对刑法第二百五十三条之一第二款的规定理应为“窃取或者以其他方法非法获取公民个人信息,情节严重的,依照前款的规定处罚”才对,而不应用“窃取或者以其他方法非法获取上述信息”的表达。
第三,这也是刑法体系解释的要求。从刑法第二百五十三条之一第一款与第二款的关系来看,第一款规定的是提供者的责任,第二款规定的是获取者的责任。换言之,可将第一款与第二款规定的犯罪理解为对合犯的关系。正如上文所言,本条第一款的立法目的在于规范单位的保密义务,打击的是单位及其工作人员非法提供在履行职责或者提供服务过程中所获取的公民个人信息的行为。但既然对于非法提供职责之外或服务过程之外所获取的公民个人信息都不构成犯罪,为何对于非法获取此类公民个人信息的行为要以犯罪论?从法益侵害和主观恶性来看,至少可以认为提供者不轻于获取者,而对获取者以犯罪论,提供者却不以犯罪论,显然有失公平,不合情理。因而,将“上述信息”解释为“一般意义上的公民个人信息”,会导致刑法条文之间不和谐,有违刑法体系解释的要求。
第四,并不会轻纵犯罪。支持将“上述信息”解释为“一般意义上的公民个人信息”的一个重要理由就是,在司法实践中存在相当一部分信息无法查明来源,不能证明是国家机关等在履行职责或者提供服务过程中所获取的公民个人信息;只有将“上述信息”解释为任何符合条件的公民个人信息,才能有效打击非法获取公民个人信息犯罪。笔者认为,此种考量实无必要。这只是证据问题,可以通过证据规
则以及相应的程序设计进行完善。根据一般经验,除了在履行职责或者提供服务过程中,一般公民很难大量获取公民个人信息。因而,在证明是否为国家机关等在履行职责或者提供服务过程中所获取的公民个人信息时,采用推定即可;只要犯罪人无法说明所获取的公民个人信息来源,就可推定为是国家机关等单位在履行职责或者提供服务过程中所获取的公民个人信息,从而以犯罪论。
【注释】
[1]周汉华主编:《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》,法律出版社2006年版,第48页。
[2]付强:“非法获取公民个人信息罪的认定”,载《国家检察官学院学报》2014年第2期。
[3]方玉、张燕龙:“非法获取公民个人信息罪的犯罪对象研究——兼论《刑法修正案(七)》第七条之法律适用”,载万鄂湘主编:《建设公平正义社会与刑事法律适用问题研究——全国法院第24届学术讨论会获奖论文集》,人民法院出版社2012年版,第1345页。
[4]饶明党:“侵犯公民个人信息犯罪的司法认定”,载《河南警察学院学报》2011年第1期。
[5]李晋等:“公民个人信息刑法保护情况的调研报告”,载2014年1月13日《上海法制报》。
[6]付强:“非法获取公民个人信息罪的认定”,载《国家检察官学院学报》2014年第2期。
[7][德]李斯特:《德国刑法教科书》,徐久生译,法律出版社2006年版,第8页。
[8]陈兴良:《本体刑法学》,商务印书馆2001年版,第79页。
[9]李适时:“关于《中华人民共和国刑法修正案(七)草案的说明》”,载《全国人民代表大会常务委员会公报》2009年第2期。
[10]孙平、刘靖晟:“《刑法修正案(七)》关于侵犯个人信息罪的理解与适用问题探讨”,载赵秉志主编:《新中国刑法60年巡礼一下卷:聚焦刑法修正案(七)》,中国人民公安大学出版社2009年版,第1268页。
[11]门美子:“《刑法修正案(七)》第7条的理解与适用初探”,载赵秉志主编:《新中国刑法60年巡礼一下卷:聚焦刑法修正案(七)》,中国人民公安大学出版社2009年版,第1375页。
[12]饶明党:“侵犯公民个人信息犯罪的司法认定”,载《河南警察学院学报》2011年第1期。
[13]高翼飞、高爽:“立场选择与方法运用:刑法解释的‘道’与‘器’——以刑法修正案相关罪名为例展开”,载《中国刑事法杂志》2012年第10期。
[14]李立众、吴学斌主编:《刑法新思潮——张明楷教授学术观点探究》,北京大学出版社2008年版,第264-265页。
(作者单位:重庆市第二中级人民法院)
|