侵犯公民个人信息犯罪相关问题探析*
●徐州市人民检察院课题组**/文
摘 要 :近年来侵犯公民个人信息犯罪频发,因此有必要深入探讨相关争议问题。企业在网络上公开发布的联系人信息是否属于刑法保护的公民个人信息,当结合公民个人信息的内涵综合考量;“人肉搜索”行为情节严重的,应当归于“以其他方法非法获取”公民个人信息的行为范畴而具有刑事可罚性;司法实践中对公民个人信息的类别归属存在不清晰的问题,不同信息类型配置的构罪标准和罪量档次是否合理,有待进一步商榷。
关键词 :网络公开信息 公民个人信息 以其他方法非法获取
当世界迈向信息时代,“一个致命缺点在于数据共享的价值或福利是集体体验,而风险却是由个人承担的。”[1]大数据时代在改变人类基本的生活与思考方式的同时,也在推动公民信息管理准则的重新定位。[2]我国2015 年《刑法修正案(九)》和2017 年“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)强化了对公民个人信息的刑法保护,但侵犯公民个人信息犯罪频发,我们还须从法律适用层面进一步破解司法实践中的争议问题。
一、网络公开信息的界定
[案例一] 王某等人开发了一款可以从公开的网站上采集企业联系人信息的软件,后成立公司将搜集的企业信息数据备份至公司数据库内,又以收取会员费的形式向社会不特定群体推销该公司开发的软件,购买会员后可以大批量搜索相关数据信息。
案例一中,王某等人的行为能否认定为侵犯公民个人信息罪,其在网络搜集的企业联系人信息是否属于刑法保护的“公民个人信息”,存在争议。有观点认为,网络公开信息不宜纳入刑法保护的范围,信息权利人主动公开就应推定其放弃了该信息的隐私性,对该信息的获取存在概括的同意和授权,任何人都有权利获取。笔者认为,考察网络公开信息是否属于公民个人信息的范畴应当先对刑法意义上的公民个人信息进行全方位地界定。
公民个人信息,包含“公民”“个人”“信息”三个词语。“公民”,不仅限于中国公民,外国人和无国籍人的信息也同样受到刑法的平等保护;“信息”既包括身份识别信息,如手机号、身份证号、银行账号等,也包括反映特定自然人活动情况的信息,比如航班信息、住宿记录、手机定位信息等。
“个人”则强调了信息的专属性和隐私性。专属性,即指直接或间接与特定自然人的身份相连接,从功能上讲亦可称作可识别性。可识别性,是“公民个人信息”的核心特征,即该信息能够直接指向特定主体或与其他信息相结合指向特定主体。“直接(单独)识别”很易理解,比如身份证号就是能够单独识别特定自然人身份的信息,那么“间接识别”如何理解呢?在大数据时代,很多相关信息经过整合处理后都有可能关联到特定个人,这些单独不具识别性的公民个人信息因通过大数据的超强智慧分析而具有了识别性。笔者认为,这样的信息就属于“间接识别”信息,理应纳入公民个人信息的范畴,而不应因其本身识别性不强而将其排除在公民个人信息的范畴之外。例如,快递单信息和网购订单信息虽然不能直接识别到特定的主体,但通过网络和数字系统均可以查询到与其相关联的自然人,因此非法买卖快递单信息或网购订单信息情节严重的,构成侵犯公民个人信息罪。又如,医药代表通过私人渠道获取的病床号和使用特定药品情况,无病人姓名、身份证号等信息,对于该信息是否具识别性、能否认定为公民个人信息就存在争议。笔者认为,在特定时间段,病床号与住在该病床的病人是一一对应的,由病床号足以关联到特定自然人,且获知其使用特定药品情况就侵犯了其隐私,存在进一步打扰其个人生活安宁的可能性,应当认定行为人获取的信息是受刑法保护的公民个人信息。有论者认为,只有一项信息或多项信息组合具有特定指向时,方能将这个或这些信息认定为公民个人信息[3],这显然狭隘地理解了公民个人信息的定义和范围。但是,如果某信息必须通过极其不合理的时间、成本和技术整合处理后,方能与特定的主体相关联,则认为该信息不具备可识别性。[4]
世界著名心理学家威廉·詹姆士有段名言:播下一个行动,收获一种习惯;播下一种习惯,收获一种性格;播下一种性格,收获一种命运。习惯对于人的一生都是至关重要的。我们所处的时代,是一个高速发展的时代,我们都希望把孩子培养成优秀的人,使孩子拥有良好的思想道德,拥有健康的人格,才拥有健康的人生,快乐的生活,我们的社会才能进步,国家才有希望。所以,我们应该从培养幼儿良好习惯开始,强化孩子的思想道德教育,这是我们留给孩子最为宝贵、受用终生的财富。
根据以上特点,网络公开信息似乎可以排除在刑法保护的公民个人信息之外,然而不能一概而论,当综合考量。笔者认为,应当考量网络信息发布人对信息公开程度和被利用渠道的主观意愿与信息被收集、售卖之后具体用途之间的差异性。比如律师在微博上发布联系方式是为了获得诉讼代理或案件委托,并不想接受贷款、保险等广告推销甚至诈骗电话,其在网络发布联系方式并不意味着完全放弃了个人信息的隐私性,上文案例中企业在网络发布联系人信息,也是为了经营需要,各种类型的广告推销和诈骗电话只会影响其正常的经营活动,甚至会使其企业财产安全陷入风险中。主动公开并不等于主动接受“被骚扰”[7],如果收集此类信息并向他人提供,获取信息者进行推销、诈骗等打扰信息发布者私人生活安宁甚至影响人身财产安全的行为,情节严重的应当认定为侵犯公民个人信息罪。
二、“获取”公民个人信息行为的认定
我国《刑法》第253 条对“获取”公民个人信息行为的规定是“窃取或者以其他方法非法获取”。那么,“以其他方法非法获取”包括那些方法?
星形细胞瘤是最致命的和最难治疗的神经上皮肿瘤之一。目前,星形细胞瘤的主要治疗方法为手术治疗、药物治疗、放射治疗或者综合治疗[9]。星形细胞瘤的确切发病机制尚不明确,探寻星形细胞瘤发生发展的分子机制有助于改进星形细胞瘤的诊断和治疗。
[案例三] 行为人李某在论坛上发布希望得到某方面公民个人信息的帖子,解某看到这个帖子后,无偿向李某提供了其需要的公民个人信息。
[案例二] 证券公司赵某用其手机号码登录注册某股票网站时,发现此手机号码已在该网站上注册过,如果某手机号码已在网站上注册,再用该号码注册时,页面上就会显示“该手机号码已经注册”。于是,赵某通过网络搜索获取了其所在省的手机号码号段,编排了一系列手机号码,在该股票网站尝试登录,并将页面显示“该手机号码已经注册”的手机号码予以收集,用于电话推销证券业务。
案例二中赵某通过尝试登录网站并排查注册号码从而获取股民手机号的行为,是否属于“以其他方法非法获取”公民个人信息的行为?案例三中,对于发布帖子并收受信息的李某能否认定为“以其他方法非法获取”公民个人信息?与之类似的还有“人肉搜索”,在《刑法修正案(九)(草案)》审议过程中,就有将“人肉搜索”入罪的呼声。上述行为是否归于“以其他方法非法获取”公民个人信息的行为范畴而具有刑事可罚性,存在不同认识。
有观点认为,“其他方法”应当限于与“窃取”危害性相当的方式(如抢夺),不宜将“购买”等手段包括在内。[8] “两高”《解释》显然持相反观点,将购买、收受、交换等方式认定为获取公民个人信息的“其他方法”,争议关键点在于对“违反国家有关规定”和“非法”的理解。我国《刑法》第253 条对于“提供”公民个人信息行为规定了“违反国家有关规定”的前提性条件,对于“获取”公民个人信息行为则规定了“非法”的要求,那么,如何理解“违反国家有关规定”与“非法”呢?关于“非法”,德国法学家克劳斯·罗克新认为,德国有些刑法分则条文中规定的“违法”或“非法”的字眼,并非构成要件要素,仅仅是一种对违法性的一般犯罪特征的提示(本身是多余的)。[9]笔者认同此观点,“以其他方法非法获取公民个人信息”中的“非法”只是对该行为违法性的提示,不属于构成要件要素,即这里的“非法”并非指获取手段或方法行为的性质,而是指行为人获取公民个人信息的行为在本质上是违法的。因此,获取公民个人信息的“其他方法”并不要求是与窃取具有相当社会危害性或违法性的手段、方法。
《解释》在将购买、收受、交换等方式认定为获取公民个人信息的“其他方法”时,放置了“违反国家有关规定”的前提性条件,与提供公民个人信息的规定相统一,均以“违反国家有关规定”作为前置性要件。这属于典型的空白罪状,即在条文中没有详细地规定某一犯罪构成的特征,具体认定还要参照其他法律、法规。根据《解释》,“违反国家有关规定”是指违反法律、行政法规、部门规章中有关公民个人信息保护的规定。但是,由于我国目前有关公民个人信息保护的法律、法规极为分散、不成系统,散见于我国《居民身份证法》《护照法》《邮政法》《档案法》《消费者权益保护法》《电信条例》《道路交通安全法》《反洗钱法》《律师法》《公证法》《劳动争议调解仲裁法》《银行业监督管理法》《网络安全法》等涉及不同行业的法律法规中,导致侵犯个人信息犯罪的刑法适用遭遇构成要素内容含混不清的困境,这给司法实践的具体适用造成较大障碍,因此有学者建议取消“违反国家有关规定”这样的前置性条款。笔者认为,当务之急是尽快完善有关公民个人信息保护的法律、法规,制定专门的个人信息保护法,以提高前置法规的保护密度,充实侵犯个人信息犯罪的法律适用依据,防止因前置法规的不完善而阻却构成要件符合性,不当限缩该罪处罚范围,降低公民个人信息的刑法保护力度。
在个人信息保护法尚未出台的情况下,有必要对“违反国家有关规定”进行符合立法原意、司法实践和社会现状的解读。笔者认为,“违反国家有关规定”可以解读为:提供或获取公民个人信息“没有法律依据、法律授权和法律资格”,即无权提供或获取公民个人信息的行为人实施了提供或获取公民个人信息的行为,情节严重的,构成侵犯公民个人信息罪。这就要排除行为人具有法律依据、法律授权和法律资格的情形——依照法律的行为、执行命令的行为、正当业务行为、经权利人承诺的行为。具体来说,一是依职权提供或获取公民个人信息;二是经当事人同意提供或获取公民个人信息;三是提供或获取公民个人信息具有明确的法律依据、法律授权和法律资格。第一种情形,比如公检法机关在办理案件过程中因办案需要而依法提供或获取公民个人信息,显然是具有法律依据和法律授权的。但是,如果仅仅是在履行职责和提供服务的过程中有权接触公民个人信息,并无法律依据和法律授权可以获取或对外提供其接触的公民个人信息,那么其擅自将接触到的信息私自记录保存(收集)的行为就属于违反国家有关规定,获取公民个人信息的行为。第二种情形,以经权利人允诺而作为阻却违法的正当化事由,因为“信息自决权为个人信息保护立法的权利基础,公民个人信息权是公民个人自决权范围内的个人权利”[10],所以在未经当事人同意或授权的情况下提供或获取公民个人信息的,应以侵犯信息自决权作为认定行为违法的实质根据。从“违反国家有关规定”的角度讲,实际上违反了《网络安全法》《消费者权益保护法》《居民身份证法》等相关法律法规的内容,以及《民法总则》对公民隐私权、个人信息权的保护。那么,如果行为人不具备前述三种情形,则认为行为人提供或获取公民个人信息的行为“违反国家有关规定”,符合侵犯公民个人信息罪的行为方式要件。
在网络如此发达的今天,应鼓励学生充分利用网络视频,视频中图文并茂的讲解,可以使学生一下子明白操作的要点,比起看课本来说,效率要高很多,收到事半功倍的结果。比如在百度视频输入“水蒸气蒸馏”,就可以了解水蒸气蒸馏的原理、要求条件、仪器的安装及注意的要点。这样,学生不仅学习了具体的知识,更重要的是培养了他们的自学能力,而这种自学能力的培养,在以后的学习和科研工作中发挥着重要的作用;再则,学生在网络上学习时,会感知自身知识的不足,从而进一步激发他们的求知欲,取得更大的进步。
由此可见,上文案例中通过尝试登录股票网站并排查注册号码从而获取股民手机号的行为、生活中的“人肉搜索”行为,都应当属于《刑法》第253 条“以其他方法非法获取公民个人信息”中的“其他方法”,属于《解释》第4 条“违反国家有关规定,通过购买、收受、交换等方式”中的“等方式”。其中“人肉搜索”行为,并非单纯地通过搜索引擎搜索网络公开信息的行为,而是通过某个网络ID 在百度、微博、贴吧等各种公开和内置的搜索引擎搜索相关资料,再进一步将这些资料比对、分析、过滤,最终找到搜索对象的个人信息,其“人肉”到的信息通常都是搜索对象作为隐私进行保护的信息,而且后续往往伴随着网络公布和网络暴力行为,对搜索对象的生活安宁和人身安全造成极大的伤害。从获取信息的手段上来看,“人肉搜索”是一种积极、主动搜集他人隐私信息的行为,其可罚性并不低于购买、收受信息行为,而且“人肉搜索”行为并没有法律依据和法律授权,符合“违反国家有关规定”的前置性要件,情节严重的情况下应当入罪处理。
“在对实质的公民个人信息法益进行规范化的过程中,需要准确而精致地界定行为。”[11]司法实践中,获取公民个人信息的行为存在多种样态,必须准确界定何为“以其他方法非法获取”,方能使严重侵害公民个人信息法益的行为受到刑罚惩处。
三、公民个人信息的类别归属
注释:
[案例四] 被告人刘某、谭某从樊某处购买了一批非法微信扫号软件,又从网上购买了含有大量用户名、密码的微信登录数据,将这些登录数据导入上述软件,通过运行软件并采用“撞库”的手段,非法获取可以直接登录的微信用户名及密码4000 余组,之后将获取的微信信息转卖给他人。[13]
本案中的“微信信息”包含“朋友通讯录、聊天记录、朋友圈信息、微信支付、微信零钱、微信运动”等,甚至还可能有实时位置这样的行踪轨迹信息,那么此类信息应当归属《解释》第5 条中的“高度敏感信息”(50条构罪)、“重要信息”(500 条构罪)还是上述信息以外的“普通信息”(5000 条构罪)?公民个人信息归属类别不同,适用不同定罪标准将涉及到罪与非罪的问题,即使构罪也会涉及到罪轻与罪重的问题。“高度敏感信息”“重要信息”“普通信息”界限不清、“财产信息”“交易信息”“征信信息”等信息概念不明以及“可能影响人身、财产安全”的判断标准模糊,导致司法实践中公民个人信息的归类障碍和归类差异,存在法律适用的不确定性、不稳定性和不准确性。
本文采用马歇尔法对工程中用到的矿料级配进行设计,最终得到的试验段上面层AC—16型矿料级配见表3所示。
因此,笔者对《解释》的罪量配置有一定的异议。从《解释》第5 条第3、4 款列举的8 类公民个人信息来看,行踪轨迹信息应严格把握其范围,只宜理解为GPS 定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息,[14]这类信息之于人身、财产安全的重要度毋庸置疑,一旦被泄露给不法分子,极易触发侵犯人身、财产安全的犯罪,使权利人的人身、财产安全陷入高风险状态或者造成实质危害。而通信内容、征信信息、财产信息是否就要比住宿信息、通信记录、健康生理信息、交易信息更重要呢?笔者认为,这些信息之于人身、财产安全的重要性难以区分高下,都属于“可能影响人身、财产安全的公民个人信息”,比如徐玉玉案,就是其身份、考学等信息被泄露后引发的诈骗犯罪,最终导致了悲剧的发生;再如,很多人将生理健康信息看作非常重要的个人隐私,一旦泄露很可能对当事人产生较严重的影响和伤害。此外,在司法实践中,很多信息的内涵和外延都存在交叉,比如财产信息,既包括银行账户、第三方支付结算帐户、证券期货等金融服务账户的身份认证信息[15],也包括存款、房产等财产状况信息,那么房产交易、抵押或资金借贷信息究竟是属于征信信息、交易信息还是财产信息很难具体界定,进一步说明这些信息之于人身、财产安全的重要性和敏感程度并没有显著差异。因此,建议将行踪轨迹信息单独置于第一档中,适用“50 条以上”的入罪标准;通信内容、征信信息、财产信息、交易信息、住宿信息、通信记录、健康生理信息等可能影响人身、财产安全的公民个人信息作为第二档的保护对象,适用“500 条以上”的入罪标准。这样的罪量配置更科学合理也更具可操作性,可在一定程度上解决司法实践中公民个人信息归类不清晰、法律适用不确定的问题。
公路建设是一项复杂的系统性工程,衡量其好坏的最关键、最直接的评价标准就是质量。通常在公路施工过程中总会遇到一些突发事件,如果质量管理体系不完善,就会严重影响道路的施工质量;另外,也会出现施工队伍为了谋取自身利益,在施工过程中偷工减料、以次充好的现象,因此,相关施工单位应当重视质量管理工作,完善质量管理体系,防止幕后暗箱操作,增强质量控制的严格性,使监管过程更加透明化、制度化,同时,企业应当加强质量检测的宣传教育,让每一名施工人员都能够树立质量意识,将质量管理理念牢记于心,严把质量关,进而提升公路工程的施工质量。
基于不同类型公民个人信息之于人身、财产安全的重要程度,《解释》分别设置了“50 条以上”“500条以上”“5000 条以上”的入罪标准,以实现罪责刑相适应。[12]然而司法实践中,办案人员对于公民个人信息的类别归属常会产生争议和分歧,有些信息很难被清晰地界定究竟属于哪一档信息类型。
刘雁衡无聊地看雾的运动变迁,直到它们渐渐不见。就在白雾即将散尽之际,一阵尖利的呼啸,由远及近而来,仿佛要撕裂什么。这种刺耳的声音,刘雁衡一干人并不感到陌生。城市里,这怪物惯于东蹿西跳,将乱糟糟的破城扯得破布一般。但这次,这怪物来得很是古怪,吱的一声,警车居然刹在他们诗社门口。
[1][美]帕特里克·塔克尔:《大数据时代:如何预见未来的生活和自己》,钱峰译,江苏凤凰文艺出版社2014 年版,第54 页。
[2]参见[英]维克托·迈耶·舍恩伯格:《大数据时代:生活、工作与思维的大变革》,盛杨燕、周涛译,浙江人民出版社2013 年版,第504 页。
[3]参见薛检祥、黄志:《刑法中“非法获取公民个人信息”的认定》,江苏省法学会刑法学研究会2017年年会《“新时代刑事法治的理论前沿及司法适用”论文集》。
[4]欧盟《通用数据保护条例》(GDPR)就以识别手段的合理性作为判断信息是否可识别的标准。
式(4)中:α,β及K,T都与船舶的航速相关,且与船舶和舵的水动力性能有关;δf为非线性船舶模型的反馈项,其求取方法可参考文献[4]。
[8]参见张明楷:《刑法分则的解释原理》,中国人民大学出版社2011 年版,第51 页。
[6]参见[日]大谷实:《刑法讲义各论》,黎宏译,中国人民出版社2008 年版,第142 页。
至于隐私性,有学者认为刑法保护的个人信息应当是反映公民隐私权的个人信息,这涉及到个人信息是否具有保护价值的判断基准问题。[5]从比较法的角度看,德日等大陆法系国家对于泄露秘密罪中秘密的认定,是否要考虑被害人的主观期待存在不同见解。以日本法为例,主观说认为只要本人主观上具有作为秘密的意思就够了,客观说认为必须是对于本人来说具有作为秘密加以保护的客观价值,综合说认为必须是在客观上具有作为秘密的价值,而且本人也具有将其作为秘密的愿望,择一说认为二者只要具备其一即可。[6]笔者认为,刑法保护的公民个人信息应当采用择一说,即该信息或者客观上具有作为隐私加以保护的价值或者本人主观上具有将其作为隐私不被外人所知的意思。如果采综合说,只有主客观均具有隐私特征的信息才属于公民个人信息,那么很多信息都会被排除在公民个人信息的范畴外,显然不利于刑法对公民个人信息的保护。比如在下载手机app 时的“隐私权限授权”,虽然app 使用者将个人隐私信息和定位信息授权软件开发商,似乎不具备将个人信息作为隐私保护的意思,但站在客观角度从社会通念来看,使用者只是为了方便使用app,并非想将自己的个人信息被外人所知,因此这种授权并不能改变个人信息的隐私性,如果将通过这种方式获取的个人信息进行出售且情节严重的,应当构成侵犯公民个人信息罪。
[7]于广飞、贾飞林:《出售网络上公开信息应当构成侵犯公民个人信息罪》,江苏省法学会刑法学研究会2017 年年会《“新时代刑事法治的理论前沿及司法适用”论文集》。
[5]参见蔡军:《侵犯公民个人信息犯罪立法的理性分析——兼论对该罪立法的反思与展望,《现代法学》2010 年第7 期。
1)局部和全局的兼顾:总体设计的首要视角是要跳出局部环境的束缚和影响,站在全局互联和全网通用的整体高度和视野,基于“一张图”和“大数据分析”的思想实现统一管理的问题。
[9]参见[德]克劳斯·罗克新:《德国刑法学总论》,王世洲译,法律出版社1997 年第3 版,第190 页。
[10]张东生、戴有举:《侵犯公民个人信息研究》,《河南财经政法大学学报》2018 年第5 期。
《易经》所提到的“天行健,君子以自强不息;地势坤,君子以厚德载物”,其意思是天(即自然)的运动刚强劲健,相应于此,君子处世,应像天一样,自我力求进步,刚毅坚卓,发愤图强,永不停息;大地的气势厚实和顺,君子应增厚美德,容载万物。中国几千年来所积淀的传统文化精髓告诉我们,不论是做人还是做事,都必须把“修身”“修德”作为人生的第一课。“自强不息、厚德载物”这也是做人应该具备的态度、胸怀与品格。
[11]于志刚、李源粒:《大数据时代数据犯罪的类型化与制裁思路》,《政治与法律》2016 年第9 期。
[12]第一档是50 条标准,行踪轨迹信息、通信内容、征信信息、财产信息等高度敏感信息是该档标准的保护对象;第二档是500 条标准,“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上的”,属于“情节严重”;第三档是5000 条标准,适用于前两档以外的公民个人信息。
[13]参见江苏省常州市新北区人民法院(2017)苏0411 刑初4 号刑事判决书。
[14]参见喻海松:《侵犯公民个人信息罪司法解释理解与适用》,中国法制出版社2018 年版,第172 页。
[15]一组确认用户操作权限的数据,包括账号、口令、密码、数字证书等。
通过对忠县长江穿越隧道工程防治水施工技术的阐述,提出了“以防为主、防治相结合、先探后治、先治后掘”的防治水施工对策,解决类似江底穿越隧道的突水和涌渗水是合理的、可行的。
*本文系江苏省人民检察院检察理论研究课题“公民个人信息的刑法保护”部分成果。
**课题组负责人:鲍书华,江苏省徐州市人民检察院副检察长;课题组成员:姚辉,江苏省徐州市人民检察院政治部主任;刘宇,江苏省徐州市人民检察院第四检察部副主任;赵卿,江苏省徐州市人民检察院法律政策研究室副主任;张晨,江苏省徐州市经济技术开发区人民检察院检察综合业务部检察官[221006]
标签:网络公开信息论文; 公民个人信息论文; 以其他方法非法获取论文; 江苏省徐州市人民检察院论文; 江苏省徐州市人民检察院政治部论文; 江苏省徐州市人民检察院第四检察部论文; 江苏省徐州市人民检察院法律政策研究室论文; 江苏省徐州市经济技术开发区人民检察院检察综合业务部论文;