侵犯公民个人信息犯罪认定中的若干问题
反之,也可看出,立法者并不当然认为“收受”行为与“窃取”行为具有大致相当的危害性。这一点相对容易理解:收买行为多是积极的作为方式,对相对人具有利益诱惑性;而收受行为尽管不排除通过积极劝诱对方而获取,但更多地是一种消极的不作为方式,其危害性一般低于收买、窃取行为。因此,有必要限制收受行为的人罪,不应将“收受”一律认定为“非法获取”,只能将其作为“非法提供”的对向行为来处理,只有当行为人实施的“收受”行为超过定型性、通常性,对“非法提供”这一犯罪的完成起到不可或缺的作用时,才可将“收受”行为作为“非法提供”的共犯来处理。
第三,我们虽可以认为“收买”行为危及公民个人信息的安全,属于第2款的“非法获取”,只要达到“情节严重”,就应予以处罚。但“收买”行为毕竟不同于窃取、抢夺等为法律所明文禁止的手段行为,处罚所有“收买”行为既有过度扩大处罚范围之虞,在司法实践中也并不现实(例如,为掌握“销声匿迹”的债务人的行踪,以讨还合法债务,债权人从第三者处收买债务人的信息),而且,例如,私人侦探出售非法获取的个人信息,我国刑法并不处罚一般主体的出售行为,[28]却要处罚收买行为,这之间也存在不均衡。因此,笔者认为,虽同样是要求“隋节严重”,但应区别对待,“收买”行为的入罪标准应更加严格。
另外,若收买人与符合第1款中的特殊主体要件的出售人就买卖信息达成一定默契,相互分工协作,通过支付一定对价而利用对方去非法获取个人信息,共同完成侵犯公民信息的犯罪,能认定为共犯甚至是间接正犯之时,当然并非不能适用第1款。然而,既然可直接将“收买”行为认定为第2款的实行行为,且第1款与第2款在法定刑上完全相同,则直接适用第2款即可。
在赖某非法获取个人信息案中,赖某虽表面上是通过支付一定对价而获取公民个人信息,但赖某与吴某“一拍即合”,通过谋议达成实施犯罪的共识,其行为实质上已不再是一般意义上的“一手交钱,一手交货”的“收买”行为,而是相互分工协作完成了犯罪,因而无论是否认为“收买”行为属于第2款的“非法获取”,均可认定其行为属于本条的规制对象。
五、“情节严重”的标准认定
由于“情节严重”是本条的客观成罪条件,是区分罪与非罪的重要标准,其认定有赖于司法裁量权的行使。就当下而言,由于缺乏司法实践的积累和检验,细化的司法解释近期内也难以出台(尽管笔者对司法解释的“法律化”深感忧虑),因而对具体办案来讲(如公安机关的立案侦查和检察机关的审查起诉),必须明确情节严重的标准问题。
从现有的学界讨论来看,有观点给出了相对抽象的标准,认为“第1款中的情节严重是指出售公民个人信息获利较大,出售或者非法提供多人信息,多次出售或者非法提供公民个人信息,以及公民个人信息被非法提供、出售给他人后,给公民造成了经济上的损失,或者严重影响到公民个人的正常生活,或者被用于进行违法犯罪活动等情形”;[29]第2款中的情节严重,“主要指非法或取得公民个人信息数量大、使个人信息大量外泄、造成了被害人人身严重危害、造成财产的重大损失等情况。”[30]
站在实践操作的立场上,具体且确定的标准当然最易于把握。若能像经济犯罪规定具体的起刑金额那样,规定具体的出售信息的获利数额、非法提供信息的次数或份数、相对方的人数、非法获取信息的数量、次数,无疑会满足司法适用上的确定性要求。但是,仅以量化指标来寻求确定性,这种做法难免有僵化之虞,更难以一以贯之。具体个案千变万化,一次或一份信息与数次或数份信息之间并无可比性,危害的大小往往取决于信息的重要性与准确度(例如,将某举报人的信息透露给被举报人,有时候甚至会给该举报人招来“灭顶之灾”),因此,数量标准至多只能是一种参考因素,无法以绝对数量来决定罪与非罪。这样,就有必要回溯到本罪的立法宗旨,即取决于受害程度。不可否认,很多情况下司法实践就受害程度往往难以一一取证,而更容易掌握行为人的行为。
有鉴于此,笔者认为,至少就本条而言,硬性量化标准仅具有参考意义,司法机关自由裁量权的合理行使更为重要。因此,是否情节严重,只能是按照社会一般人的标准,看行为人的行为是否足以严重危及公民的正常平稳生活。在具体认定中,有几点值得注意。
第一,由于信息的获取者的目的往往不在于信息本身,而是为了利用所获取的信息实施其他危及公民财产、人身的行为,因此,凡行为人所出售或提供的个人信息,被他人用于实施犯罪活动的;或者行为人非法获取个人信息后,用于自己或他人实施犯罪活动的,一般应直接认定为情节严重。
第二,第1款强调的是出售个人信息的“主体的特殊性”,即属于可利用公权力或在提供服务过程中合法获取个人信息的单位工作人员,而第2款强调的是获取信息的手段非法。较第2款而言,第1款中特殊主体的行为践踏了公民对相关单位尤其是公权力机关的信赖,往往会极大地冲击甚至摧毁作为社会道德体系根基的诚信。因此,同样是要求“情节严重”,且刑款设置相同,第1款与第2款在具体入罪程度上仍应有所区别:第2款的入罪程度标准应比第1款更加严格。
第三,第1款中的出售行为无疑是为了牟利,要达到情节严重,获利金额的大小当然是重要标准。相反,虽然非法提供行为往往是为了获得某种非财产性利益,非法获取行为也往往是为了转卖牟利,而且是否获取了财产性或非财产性利益相对容易取证,但法条本身对行为动机并无要求。显然,立法者看重的是行为的性质,处罚的是非法的提供、获取行为本身。尤其是就非法获取而言,在立法者看来,即便没有出售、向第三者提供,其行为本身就已经直接威胁到公民个人信息的安全,更给公民个人生活带来隐患,因而主要应从行为手段是否恶劣等因素来判断情节是否严重,而行为动机只应视为量刑情节。而且,在以收买手段非法获取的情况下,既然刑法处罚的是“非法获取”行为本身,就应以为了非法获取信息所支付的对价而不是获取之后出售所获利益、以实际获取的信息数量而非获取后经过取舍而非法出售的信息数量作为标准。
概言之,是否达到“情节严重”,可依次考虑以下三个因素:第一,只要该信息被用于实施犯罪活动,均可认定为情节严重;第二,看是否严重危及本人的正常生活,或者给本人带来较大经济损失;第三,在无法认定前二者的情况下,根据出售、非法提供或者非法获取信息数量的多少、次数的多少,其中,在出售的情况下还包括获利金额,在非法获取的情况下还考虑手段的恶劣程度或者支付的对价金额。
在赖某非法获取个人信息案中,虽不能查明被害人生活上受到多大影响、经济上受到多大损失,但赖某利用吴某的“身份”,通过本应严格控制的公安内部网大量获取信息之后转卖牟利,既扰乱了公安机关对公民信息的管理秩序,更损害了公民对国家机关的信赖,手段可谓恶劣,且在3个月的时间内,获取了50余条信息,支付了“好处费”3万7千余元,已足以认定为“情节严重”。
六、结语
综上所述,笔者认为,赖某出于转卖牟利的故意从吴某处收买大量公民个人信息的行为方式、主观故意、犯罪对象均符合本条第2款的要求;且在3个月的时间内,获取了50余条信息,支付了“好处费”3万7千余元,也足以认定为“情节严重”,因此,赖某的行为应构成非法获取公民个人信息罪。
另外,在处理本案时,还涉及到本条的溯及力问题。显然,只能就自2009年3月至案发的作案事实适用本条。对如何处理2009年3月之前的赖某的行为,有两种做法:一是不认为是犯罪;二是认定赖某构成行贿罪,与本罪实行数罪并罚。但要认定赖某构成行贿罪,取决于吴某是否利用了职务便利,还取决于如何认定二人相互勾结非法获取公民个人信息的行为性质。
【注释】
[1]广州检察机关已于2009年6月25日在全国首次以出售公民个人信息罪、非法获取公民个人信息罪分别批捕了犯罪嫌疑人李某、黎某。
[2]参见李适时:《关于(中华人民共和国刑法修正案(七)(草案))的说明》,《全国人民代表大会常务委员会公报》2009年第2期。
[3]公民个人信息一旦遭受侵害,往往事后难以弥补、救济,给公民正常生活带来长久隐患,进而危及整个社会的稳定。
[4]缺乏前置的民法和行政法对公民个人信息的严格保护机制,也是司法实践中如何适用本条尤其需要注意的问题。
[5]日本2003年颁行的《个人信息保护法》第2条规定,本法中的个人信息,是指根据包含在该信息之内的姓名、出生年月日等其他记录,可以识别特定个人的信息。该法更多的是规定掌握个人信息的机构或单位应如何采集、使用、管理个人信息,规定机构的职责、单位的资质与职责以及相关政府部门的监督职责。其目的在于防止未经本人同意的个人信息的流失、转让与买卖,防止有权管理个人信息的企业出现信息管理上的混乱。虽然规定了刑罚。但并非处罚泄漏行为本身,而是处罚掌握个人信息的企业违反主管部门命令的行为,属于一种“间接处罚”,而且必须有受害人投诉,因而又被称作“并无实际效果的法律”。不过《日本刑法典》并无保护个人信息的条款,更多以特别法(行政法规中的附属刑法)或者刑法中的背任罪、盗窃罪、侵占罪等财产性犯罪来处罚。但若所泄漏的信息事关个人秘密,则可能构成泄漏秘密罪;若泄漏信息的行为本身符合毁损名誉罪或侮辱罪,则以此来处罚。若不违反相关行政法规,也不构成财产性犯罪,行为本身又不符合毁损名誉罪或侮辱罪,即便是泄漏了个人信息,也不被处罚。
[6]参见黄太云:《刑法修正案(七)解读》,《人民检察》2009年第6期。
[7]赵秉志主编:《刑法修正案最新理解适用》,中国法制出版社2009年版,第117页以下。另见赵秉志、王东阳:《信息时代更应强化人权保障》,《法制日报》2009年3月4日。
[8]该观点由杨兴培教授于2009年7月13日在浦东新区检察院案例研讨会上所主张。
[9]如美国早在1974年就制定的《隐私权法》以及欧盟1995年颁布的《欧盟数据保护指令》。我国目前正在草拟中的《个人信息保护法》(草案)采用了信息这一指称。
[10]参见(日)佐伯仁志:《针对名誉与隐私的犯罪》,栽芝原邦尔等编:《刑法理论的现代性展开(各论)》,日本评论社1996年版,第90页。
[11]我国《宪法》在2004年修订时增设第33条第3款规定,国家尊重和保护人权。可以认为,目前刑法修正案对侵犯个人信息入罪也正是在弥补这种宪法与刑法之间的张力。
[12]反观德日刑法则无此立法疏漏。具体可参考日本《刑法》第134条“泄露秘密罪”、德国《刑法》第203条“侵害私人秘密罪”。
[13]同前注[7],赵秉志、王东阳文。
[14]同前注[7],赵秉志主编书,第123页。
[15]同前注[7],赵秉志、王东阳文。
[16]同前注[7],赵秉志主编书,第122页以下。
[17]同前注[6],黄太云文。
[18]同前注[2]。
[19]同前注[7],赵秉志、王东阳文。
[20]同前注[7],赵秉志主编书,第122页。
[21]由于我国尚未制定《个人信息保护法》,“违反国家规定”中的“规定”还有待于具体界定。但至少可以宪法、民法、行政法(《邮政法》、《律师法》、《居民身份证法》、《公证法》、《人民银行法》、《保险法》等)作为其根据。例如,《警察法》第22条就规定,人民警察不得实施“泄露国家秘密、警务工作秘密”、“从事营利性的经营活动或者受雇于任何个人或者组织”等行为。笔者认为,对有权单位而言,采集公民个人信息的行为应依照严格的程序,尤其必须明确特定用途,在此意义上,毋宁说,所谓“违反国家规定”,其实质内涵就在于违背了获取公民信息的本来目的。当然,若事先征得本人的同意,可作为被害人的承诺而认定阻却违法性;若事后征得本人同意,宜认定为尚未达到“情节严重”的程度。
[22]在学者起草的《个人信息保护法(专家建议稿)》中,第11条规定政府机关只能在法定职权范围内,为履行其职责收集个人信息,政府机关收集个人信息必须有明确、合法和特定的使用目的。第15条明确对政府机关的个人信息处理作出“使用限制”,即政府机关只能在收集个人信息时所明确的使用目的范围内处理个人信息。其他个人信息处理者除了需登记申请行政许可外,其收集或处理个人信息也同样必须有明确、特定的使用目的(第44条),超出该使用目的处理个人信息的,必须经信息主体事先同意(第45条)(参见周汉华:《个人信息保护法(专家建议稿)及立法研究报告》,法律出版社2006年版,第4~16页)。这事实上即已排除了买卖、非法提供、非法获取个人信息的合法性。
[23]参见张明楷:《刑法学》,法律出版社2007年版,第312页。
[24]参见(日)团藤重光:《刑法纲要总论》,创文社1990年版,第432页。
[25]参见(日)山口厚:《刑法总论》,有斐阁2007年版,第339页。
[26]参见(日)西田典之:《刑法总论》,弘文堂2006年版,第355页。
[27]第2款的“非法荻取”尽管可包括第1款的“出售”、“非法提供”的对象行为即“收买”、“收受”行为,但第1款与第2款之间并非对应关系。
[28]究其原因,可能是立法者认为,一般主体合法获取大量公民个人信息的可能性较小,其出售或非法提供行为多为··非法获取”的后续行为;即便一般主体实施了出售或非法提供行为,其危害性远远小于特殊主体的类似行为。但至少可明确的是。立法如此规定符合刑法的谦抑性原则。
[29]同前注[6],黄太云文。
[30]同前注[7],赵秉志主编书,第122页。
