个人信息安全的刑法保障——《刑法修正案(七)》第7条析解
关键词: 刑法修正案;立法价值;罪名;评判
内容提要: 对于正处于信息化转型时期的我国社会而言,个人信息已成为具有基础性价值的社会资源。侵犯个人信息行为入罪化,是刑法人性化价值理念的重要回归,也是公平原则与人权保障理念的彰显。《修正案(七)》第7条在罪名上宜确定为“侵犯个人信息罪”;其行为既可以表现为作为,也可以表现为不作为,但列举式的行为描述方式欠缺妥当性;关于“情节严重”的认定,应当从所侵犯的信息量、信息的重要程度、信息的影响力、以及行为的次数等方面进行。
《中华人民共和国刑法修正案(七)》(以下简称《修正案》)于2009年2月28日第十一届全国人民代表大会常务委员会第七次会议上审议通过,此次刑法修改的内容主要包括了贪污贿赂、市场经济发展重要领域、公民权益保护等,是国家继《刑法修正案(六)》之后对刑法的又一次重大修改。其中第7条关于侵犯个人信息安全犯罪的规定,既是当前处于信息转型时期的我国社会的实际需要,也是刑法价值理念回归的重要体现。
一、立法背景
信息集约化是现代社会发展的重要标志之一,在高速发展的科技支撑下,我国已进入社会的信息化转型时期。密集化、立体化的信息网络,彻底改变了信息作为交流工具的单一功能而蜕变为具有基础性价值的社会资源。作为信息资源的一部分,个人信息无疑具有着极其特殊的地位,它不仅体现了整个信息网络的完善化程度,更承载了公众的人格利益及社会的人文主义关怀。
个人信息是关于基本权利与自由的综合信息,体现的是公民的一般人格利益,以及因可利用性而带来的经济价值。构成个人信息的实质要素如肖像、姓名、身份证号码、社会医疗保险号码、DNA、以及个人职业、兴趣、家庭状况、社会关系、学历、收入等,无论是否为本人所认知,都体现了一定的人格价值,一旦被非法利用,公民将面临人格及其他合法权益受损的危险。《个人信息保护法》的迟迟未予出台及相关保护措施的缺乏,使得我国目前普遍存在的消费者在就医、求职、买车、买房、买保险,办理各种会员卡、优惠卡或银行卡时填写的个人信息被出售、物业泄露业主信息、以及因其他正常社会行为而导致的个人信息被不法侵犯的现象缺乏有效的法律规制依据,而“网上通缉令”、“人肉搜索”等无视个人信息隐私的所谓“道德利器”对公民合法权益造成的极大损害,最终引发了以具有严重社会危害性的行为为规制对象的刑法关于人权保障机能在个人信息保护层面如何得以有效发挥的思考并由此启动了立法程序。
在《刑法修正案(七)》(以下简称《修正案》)的草案制定阶段,一些全国人大代表和有些部门提出,应当对国家机关、电信、金融等单位在履行公务或提供服务活动中获得的公民个人信息被泄露的情况加以规制,情节严重的,应当追究刑事责任。全国人大常委会法工委经同有关部门研究,建议在刑法第253条后增加一条,作为第253条之一。经全国人大常委会三审通过,正式形成《修正案》第7条:
“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。
单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
二、立法价值
从“惩罚犯罪、保护人民”的立法宗旨到保障人权理念的逐步深入,刑法经历了由“驭民之术、钳民之法”向“自由人的大宪章”的艰难转变,刑法不再受制于政治需求而以为社会民众提供有效的法律救济为己任。《修正案》第7条首次将个人信息纳入刑法的保护视野,是我国刑事立法价值理念的重大转折,体现了本源性的刑法价值理念的回归。
(一)维护公平价值
“正义是社会制度的首要价值,正像真理是思想体系的首要价值一样。”{1}作为社会存在最大价值的正义,其主要支撑在于公平,因为,“正义原则是在公平的条件下产生的,它本身就是公平的契约,而它的实行将使社会趋向最大可能的公平。”{2}对于刑法而言,公平意味着刑罚创置与分配的双阶正义。对严重侵犯公民个人信息的行为是否分配刑罚以及如何分配刑罚,直接关系到刑法规范对于公平的理解与选择。
社会的信息化使得个人信息成为诸多利益主体竞相掌控并试图以此作为牟取更多利益的工具,然而,作为重要的个体化识别系统,个人信息承载着公民的各种显性或潜在利益,侵犯个人信息,即意味着对信息所有者合法权益的可能损害。所以,除特定情况下的公共利益需要之外[1],未经权利人许可不得泄露或利用个人信息应当成为法律的禁止规范,《修正案》第7条关于侵犯个人信息情节严重者犯罪化及刑罚创置的规定,是刑法层面个人信息保护的首次立法确认,也是刑法公平价值在信息保护领域的充分体现[2]。
在刑罚的配置方面,《修正案》第7条关于“3年以下有期徒刑或者拘役,并处或者单处罚金”的量刑配置与其所处的罪刑体系是协调的,符合公平原则所要求的刑罚分配正义。刑罚设定,一与价值观念相关,二与技术问题相关。对于处于信息社会转型期的我国来说,立法者及社会民众对于信息资源的重要性认识不足、以及因立法技术等原因而导致的《个人信息保护法》的迟迟未能出台,使得对个人信息的保护仍处于一种盲动的零散状态之中。因而,在前置性的法律体系尚未有效建立的目前情势下,将行为人出于牟利或其他特定目的而非法出售、泄露、收买、窃取个人信息情节严重的行为归入轻罪,是谨慎之举,也是较为妥当之选择。从立法技术层面来看,《修正案》所采取的在刑法第253条后以另起一条并作为第253条之一的规定方式,表明侵犯个人信息罪的量刑应当与第253条关于私自开拆、隐匿、毁弃邮件、电报罪“2年以下有期徒刑或者拘役”的法定刑相匹配,考虑到两者都是行为犯且侵犯个人信息罪由于同时对公民的人格与相关利益形成威胁而具有较之于后者而言相对严重的规范违反性,《修正案》的这一规定是妥当的,同时也使得公平价值在刑罚的分配方面得到充分体现。
(二)彰显人权理念
人权是指个体在国家、社会中所应有的基本价值与权利,主要表现为三种形态:应有权利、法定权利与实有权利{3}。应有权利是人类对于个体状态的极致追求,其所具有的理想化特征决定了法干预的不可期待性;实有权利是个体所实际享有的权利,因受制于政治、经济、文化等多种因素而呈界域相对确定状态,也是法所实际发挥效应并力求进一步拓展其范围之权利域;相对而言,法定权利是以立法形式确定的个体权利,其内涵界于应有权利与实有权利之间,是立法者通过以宪法为母法的各位阶法所确定的权利范畴。对法定权利扩容量的考查,是衡量一国人权保护状况的重要指标,也是为达致个体应有权利实现及实有权利提升的重要保障。刑法对人权的保障,是以法定权利为具体内容、以实有权利为考核指标的对公民应有权利的保障。
然而,长期以来占据主流的刑法工具论无论是在对应有人权的认识上、还是法定人权的自我担责上,都缺少清醒的使命感与敢于实践的勇气,倚重保护机能而轻视人权保障机能,导致刑法层面法定人权的非理性压缩。1979年刑法对类推制度的承认与普遍适用,即为刑法无限制地介入私权提供了立法上的形式合理。1997年刑法虽然在一定程度上遏制了这种蔓延与扩张,但对私权救济的明显不足,仍是困扰刑法理论与实务的重要问题。在纳人刑法规制视野的十大类罪中,涉及到侵犯公民私权的仅有两类,所占条文比例不足十分之一,且多限于对传统的人身权利的保护,而涉及到公民隐私权保护的,只有第252条与第253条[3],而对于作为个人隐私权的一部分[4]的个人信息,则未有所涉及。《修正案》第7条的规定,是刑法对可测性的法定权利内容的扩充与完善。个人信息保护刑法化,是对刑法人权保障机能的强化与倾斜,在社会保护机能占充分优势的现行情势中,对个体人权的彰显,充分显示了刑法现代化的决心与勇气。
三、罪名确定
根据《修正案》第7条规定,该条应作为刑法第253条的内容之一。考虑到第253条前两款已分别成罪且确定有独立的罪名,为保持刑法适用的稳定性与可预测性考虑,本文认为,应在保持原罪名不变的基础上,对《修正案》第7条所规定内容另行确定罪名。由于《修正案》第7条以三款的方式对罪状及法定刑进行描述与规定,因而在对罪名的确定上,存在着罪名模式的选择问题与具体罪名的确定问题。
(一)罪名模式选择
罪名一般分为三种:一是单一性罪名模式,该种模式下的罪名在犯罪的犯罪主体、行为方式、犯罪对象等方面都具有确定性、单一性,是目前采用最多的一种罪名模式;二是选择性罪名,是指将在同一条文中所规定的几种性质相似、彼此之间具有内在联系的、处于同一构成地位的数个构成要件要素归纳并排列于一个具有可选性的统一罪名之中的罪名模式,我国刑法中的选择性罪名主要存在主体并列、行为方式并列、行为对象并列等几种,如刑法第306条规定的辩护人、诉讼代理人毁灭证据、伪造证据、妨害证据罪、第307条规定的帮助毁灭、伪造证据罪等。出于对其规范结构及功能的考虑,本文认为,《修正案》第7条不宜采用选择性罪名模式,理由在于:
从规范结构来看,该条共分为三款,其中第1款规定的主体为国家机关等单位的工作人员,行为方式表现为将因职务行为而获得的个人信息出售或者非法提供给他人的职务延出行为,第2款中的主体为一般自然人,行为方式是与第1款所规定行为方式大致呈对合关系的取得行为[5]。因而,从主体方面来看,两款之间是包容关系,有异于通常情况下选择性罪名所要求的构成要件要素的并列性;从行为方式来看,第1款规定的“出售”与“非法提供”之间,前者包容于后者,不符合选择性罪名中各选择性要素地位的平行性、并列性要求,第2款规定的“以其他方法非法获取”采用的是概括式的规定方式,也不符合选择性罪名对各选择性要素予以列举的规定方式。第3款是对单位实施的侵犯个人信息行为构成犯罪的规定,从我国目前的罪名确定规则来看,同一法条所规定数款之间,对除主体因分别表现为自然人和单位而不同外、其他构成要件均相同者,尚未出现选择性罪名的情况,因而,单位侵犯个人信息构成犯罪的,其罪名完全可以涵括于前两款所规定罪名之中。
从规范功能来看,选择性罪名以对处于同一构成地位的数个并列的构成要件要素的列举为其主要特征,具有较强的确定性,如在第306条关于辩护人、诉讼代理人毁灭证据、伪造证据、妨害作证罪中,行为主体仅限于辩护人和诉讼代理人、行为方式仅限于毁灭证据、伪造证据与妨害作证,除此之外的任何自然人或单位以任何方式对证据与作证本身构成损害的,均不得成立本罪。比较而言,单一性罪名则具有较强的容括性。从目前情况来看,我国刑法中的单一性罪名主要分为两类,一类是所涉规范内容绝对确定的单一性罪名,如故意杀人罪、故意伤害罪等,所指犯罪多集中于刑事犯;另一类是所涉规范内容相对开放的单一性罪名,如逃汇罪、洗钱罪等,所指犯罪多集中于行政犯,其特点在于,犯罪构成的认定必须依赖于对一定行政利益的价值判断。将严重侵犯个人信息的行为入罪化,是基于刑事政策理由对信息社会中作为利益载体、具有利益价值的个人信息的刑法保护,这种保护必须以对侵犯个人信息的行为内容作出判断为前提。在科技迅猛发展、风险成本陡增的当今社会,侵犯个人信息的行为方式将呈不断发展、变化之势,刑法对个人信息的保护也将因之而表现为一个开放式系统。采用单一性罪名模式,是侵犯个人信息犯罪作为行政犯对罪名功能的规范性要求。
(二)具体罪名确定
罪名是对具体犯罪本质特征或主要特征的高度概括。除了要遵循合法性、科学性与概括性原则{4}外,罪名的确定还必须以罪状为基础,对罪状作抽象化提炼。从《修正案》第7条的罪状描述来看,“侵犯个人信息”是该类行为的本质化或定性化特征,“情节严重”作为入罪界限,是对该类犯罪行为的量化标准。无论是国家机关或者金融、电信、交通、教育、医疗等单位的工作人员违反国家规定、将本单位在履行职责或者提供服务过程中获得的公民个人信息出售或者非法提供给他人的行为,还是其他主体以窃取或者其他方法非法获取上述信息的行为,都是对个人信息的侵犯,因而本文认为,应当将本条所规定犯罪的罪名统一确定为“侵犯个人信息罪”。这一罪名的确定,罪名简洁、概括、清晰明了,对任何主体实施的侵犯个人信息的行为,只要符合“情节严重”的构成标准,刑法就有权进行规制,能够有效满足扩大解释的需要并尽可能地减少因客观情势变化而引发的不断修法活动。
