No.20,2013 M现代商贸工业 odern Business Trade Industry 2013年第2O期 出售、非法提供公民个人信息罪探讨 余意然 (杭州市拱墅区人民检察院,浙江杭州310000) 摘 要:随着我国经济的迅猛发展和信息网络技术的升级,我国公民个人信息比之前任何一个时期都曼易受到侵害, 《中华人民共和国刑法修正案(七)》新增了出售、非法提供公民个人信息罪来保护公民的个人信息。然而,《刑法》并没有对 何为公民个人信息做出界定,对犯罪主体及情节严重的规定也过于笼统,给实务操作带来困惑。为此,拟就出售、非法提供 公民个人信息罪所存在的一些问题进行探讨,并提出改进思路。 关键词:个人信息;犯罪主体;情节严重 中图分类号:D9 文献标识码:A 文章编号:1672—3198(2013)2O一0161—02 1公民个人信息的界定 直接影响了该法律条文的适用。笔者认为本罪的犯罪主体 何为公民个人信息?《刑法》并没有对此直接做出规 为一般主体。首先,从立法背景来看,当时立法机构考虑到具有“公 定,《个人信息保护法》热议多年但尚未出台。2013年公安 部《关于依法惩处侵害公民个人信息犯罪活动的通知》中对 权力”的机构能收集到大量的公民个人信息,因此更易侵害 个人信息的内容做了列举,指出“公民个人信息包括公民的 公民的个人信息权。这样的初衷是对的,但随着互联网的 姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履 飞速发展以及商品贸易关系的螺旋式扩张,现状是,除了 公安部、自来水公司、煤气公司”这类具有公共 历、家庭住址、电话号码等能够识别公民个人身份或者涉及 “国家机关、公民个人隐私的信息、数据资料”。 职能的单位外,还有大量的企事业单位能够轻易地收集到 并且这些单位的工作人员除了具有一定的 笔者认为,应根据公民个人信息的特点,对公民个人信 公民个人信息,缺少良好的内部管理和外部监督机制,在各种 息做广义的理解。首先,个人信息的主体是个人。个人信 职业操守外,息是与个人有关的各种资料,涉及个人的过去、现在与未来 经济利益的诱惑下很容易出售、非法提供其在履行职责或 提供服务中获取的公民个人信息。 的情况。其次,个人信息可以直接或间接识别本人。直接 其次,从法律解释的角度看,本罪名的表述“国家机关 识别本人的个人信息,如肖像、姓名、身份证号码、社会保险 号码等;间接识别本人的个人信息指虽不能单独识别本人, 但与其他信息相结合能够识别本人的信息,如性别、爱好、 或者金融、电信、交通、教育、医疗等单位的工作人员”本身 便暗含了其他单位也可以成为该罪主体的解释。对含义不 明的“等”字应用目的解释的方法对其做出说明 目的解释 的“目的”,可能是法律明确规定的,更多的则藏于法律规定 之后;有的是立法当时的目的,有的则是后来赋予的。刑法 修正案将公民个人信息纳入刑法保护法益,目的是为了更 兴趣、习惯、职业、收入、学历等。第三,个人信息并不必然 为本人所知。个人信息保护法保护的不仅是本人知晓的个 人信息,而且也保护本人不知晓的个人信息。第四,个人信 息兼具人格和财产双重属性。就此,笔者认为所谓个人信 息,是指自然人的姓名、性别,出生年月日、民族、婚姻状况、 家庭状况、教育背景、工作履历、健康信息、财务状况等任何 单独或与其他信息比对可以识别特定的个人的客观信息。 好保护公民个人信息免受不法行为侵害,而将“等单位”的 解释扩大为一般主体,将保险公司、招聘网站、房产中介等 单位作为犯罪主体有利于实现刑法保护的目的。 再次,从世界各国的立法现状来看,很少有国家对侵害 公民个人信息的犯罪主体限定为特殊主体。如美国《隐私 2 出售、非法提供公民个人信息罪的适用疑点及完 善路径 2.1犯罪主体范围的界定 权法》规定“任何由具工作或职务性质所决定……如以任何 方式向任何无权获得之个人或机关泄露上述材料,则应被 《刑法》第253条之一将出售、非法提供公民个人信息 判为轻罪并处以5000美元以下的罚金”,奥地利《联邦个人 罪的主体限定为“国家机关或者金融、电信、等单位的工作 数据保护法》规定“无论何人,如果使用已经被委任的,或者 人员”,针对该罪名的主体,有学者认为在目前相关法律法 由于专业原因而获得的个人数据,或者非法获取数据,并为 规以及行业条例还不完善的情况下,只针对利用“公权力” 个人使用或者把这些数据提供给他人或者为营利或致害目 采集信息的单位和个人进行规制,有利于控制打击面同时 的而公开这些数据,除去数据所有人应受保护的利益以外, 也符合刑法的谦抑性原则,待今后条件成熟后可再将本罪 应该由法院处以1年的监禁处罚,除非另外的条款规定了 的触角延伸至一般主体。也有学者认为,不应对该条主体 更重的惩罚。”我国对公民个人信息的保护才刚刚开始,而 做过于封闭的解释,既然法条中使用了“等单位”的字眼,表 发达国家的相关法律已经实施了数十年,其经过实践检验 明立法者并未在形式上严格限定以上五类单位,已经给予 证明将侵害公民信息犯罪的犯罪主体界定为一般主体更有 司法者进行裁量的空间。对该罪名犯罪主体的不同理解, 利于保护公民个人信息。 作者简介:余意然(1987一),女,浙江杭州人,杭州市拱墅区人民检察院,硕士研究生,研究方向:刑法,民商法。 现代商贸工业 Modern Business Trade Industry 2.2“情节严重”的认定 2013年第2O期 情况是复杂的,部分情形虽然具备了社会危害性和刑事违 本罪在立法表述上的另一个诟病是对“情节严重”的认 法性,但是并不符合单一标准,需要多种情节综合判断。定不清,在尚未出台相关司法解释的情况下,司法实践中没 2.3取证难题的破解 有可供遵循的统一裁量尺度,易造成裁判的严疏有别。刑 一方面,由于出售、非法提供的公民个人信息数量巨 法学界对“情节严重”的理解有三要素说、四要素说、五要素 大,通常有数十万条,信息内存容量达数十上百G,这给司 说和六要素说,参考刑法其他条文对“情节严重”的规定,通 法机关的证据认定带来很大困难。另一方面,从犯罪嫌疑 常是从犯罪行为的次数、被害人的人数、获利数额、危害后 人处查获的个人信息的数量和真实性还有待进一步确认。 果等方面认定“情节严重”。 获取的个人信息数量和真实性直接关系到是否达到“情节 是是否构成犯罪的重要因素。而在司法实践 对“情节严重”的认定,笔者认为应从两方面考虑。首 严重”的标准,先,本罪的“情节严重”是定罪标准而不是量刑标准,没有达 中,由于所查获的个人信息数量巨大,且可能涉及部分信息 无法准确计算所获取的个人信息数量。另外,犯 到“情节严重”的不构成本罪。其次,应对“情节严重”采用 重复问题,单一标准和综合标准。“情节严重”的认定应以侵犯个人信 息权利的严重程度为评价核心。综合我国刑法的立法模式 及相关司法解释的评价体系,笔者认为可从以下几方面认 定本罪的“情节严重”: (1)出售、非法提供个人信息的数量。该数量包括信息 所涉及的被害人的数量和信息本身的数量。至于数量多少 才能达到较大的标准,则应根据实务中出现的出售、非法提 供个人信息的数量,结合相关法条所规定的数量标准,确定 一个较为合适的数额。有学者提出应当区分敏感信息和非 敏感信息的数量,笔者认为可操作性不强。虽然敏感信息 受到侵害的后果比非敏感信息更严重,但是在本罪的司法 实践中,侵害公民个人信息的数量通常达到数十万条,要从 海量的信息中区分是否为敏感信息再进行归类计算数量, 将耗费大量的时间和司法资源,不具有可操作性。因此,这 里的个人信息数量包括任何与个人有关的信息,而不区分 信息的类型。 (2)出售、非法提供个人信息的次数。行为次数能够体 现行为人的人身危险性,实施的次数越多就说明该行为人 实施犯罪的决心越坚定、社会危害性越大,因此要给予刑事 处罚。刑法中,多将三次作为多次的起点,本罪也可以参照 适用。 (3)非法获利或出售金额的大小。在出售、非法提供个 人信息罪中,行为人多以牟利为目的,在利益的驱使下不断 将应予保密的个人信息出售给第三人,将个人信息陷于危 险之中。非法获利或出售的金额越多,个人信息越有可能 遭受严重侵害。金额的大小应参考每条信息的市场价格等 情况综合认定。 (4)造成后果的严重程度。若个人信息被公开或者传 播后,对被害人造成了难以挽回的重大财产损失,或对其造 成了严重的精神伤害,致其自伤自残,或造成恶劣的社会影 响,即属于情节严重的范畴。 (5)所出售、非法提供的个人信息是否被用于实施违法 犯罪活动 将个人信息出售或非法提供给他人后,他人将 所获信息用以实施敲诈勒索、诈骗等违法犯罪行为,则属于 情节严重。司法机关在实践中也感慨道,公民个人信息的 泄露正逐渐成为一些犯罪分子实施犯罪的方便之门。 除了以上的单一标准外,还应对“情节严重”设立综合 标准。在现实中,对侵害公民个人信息行为方式和数量等 罪嫌疑人所获取的公民个人信息真实性的确认看似也是一 项不可能完成的任务。海量的数据和信息仅仅通过司法机 关有限的人力和资源进行一一核实是很难操作的。由于信 息数量庞大,实践中一般都是随机挑选若干信息,通过拨打 电话等方式予以核对信息的真实性,从而推定全部信息为 真。这样的抽样调查并不科学,样本的真实性并不以同等 比例排列,且样本选取的数量和方式都没有标准,这样的随 机挑选不能准确查证信息的真实性。 因此,有学者提出应实行举证责任倒置的方式来解决 取证难问题,笔者认为,举证责任倒置的确能减轻司法机关 的工作量,化解司法实践中举证难的问题,但是举证责任倒 置实际上是一种有罪推定思路,由犯罪嫌疑人证明自己无 罪有违程序正义。遇到新型犯罪取证难题,司法机关不能 以牺牲程序正义的方式随意将举证责任推卸给犯罪嫌疑 人,更可取的做法是提高侦查技术、提升侦查水平,注意与 相关部门的配合。在调查取证过程中,司法机关一是要注 重与各大门户网站和搜索引擎合作,利用网络技术追查信 息来源;二是要加强与司法鉴定机构的沟通,主动了解信息 数量认定的技术手段;三是要加强与金融、电信、交通、教 育、医疗等单位的配合,利用单位的数据库来核实信息来源 的真实性;四是要向社会宣传保护好公民的个人信息,积极 预防个人信息被侵害。多管齐下,破解个人信息犯罪举证 难问题。 参考文献 [1]慈健.非法提供与荻取公民个人信息行为的刑法规制[J].西南科 技大学学报(哲学社会科学版),2010,(1). [23庄晓晶,林洁,白磊.非法获取公民个人信息犯罪区域性实证分析 [刀.人民检察,2011,(9). [3]张文显.法理学(第三版)[M].北京:高等教育出版社,北京大学 出版社,2007. [4]梁恒.风险・制裁・完善:刑法视域下的个人信息保护EJ3.重庆 邮电大学学报(社会科学版),2009,(6). [5]利子平,周建达.非法获取公民个人信息罪“情节严重”初 ̄eEJ3. 法学评论,2012,(5). [63林霖.非法获取公民个人信息罪“情节严重”的认定[D].南昌:南 昌大学,2011. E73陈晓英.刑法亮剑“倒逼”个人信息保护法出台[N].法制日报, 2O08—09—05(8).