——以上海市侵犯公民个人信息刑事案件为样本
谢佳兴
(华东政法大学上海市普陀区200050)
摘要:随着互联网大数据与公众生活的密不可分,公民个人信息被当作具备财产价值的“商品”,不仅广泛体现于商业用途,更被不法分子当成犯罪的工具或媒介。近年来出现的“徐玉玉案”、“清华教授被骗1700万”,公民个人信息被泄露对公民的人身和财产安全构成了极大的威胁。本文拟以上海市2010年至2017年侵犯公民个人信息刑事案件裁判文书为研究对象,通过对公民个人信息犯罪案件刑事保护现状进行实证研究,分析未来公民个人信息保护的实现路径。
关键词:公民个人信息刑事保护现状实证研究实现路径
直至2009年2月28日通过的《刑法修正案(七)》,我国才初次设立了侵犯公民个人信息犯罪的两个罪名,2013年最高人民法院、最高人民检察院和公安部联合发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》。根据司法实践中侵犯公民个人信息犯罪暴露出来的问题,2015年8月29日通过的《刑法修正案(九)》第十七条对出售或非法提供以及非法获取公民个人信息罪进行了补充修改,2015年10月,两高联合发布《关于执行中华人民共和国刑法确定罪名的补充规定(六)》,将两个罪名整合为一个罪名。2017年5月最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),对公民个人信息的界定、入罪标准等作出相对明确的规定。通过刑法制裁这种最严厉的惩罚手段,来打击侵犯公民个人信息的行为。这使我国法律对公民个人信息信息的保护上向前迈进一大步,体现国家机关对民生的重视和保护,有助于加强对公民人权的全面保障。
互联网大数据时代背景下,信息被视为“数字时代的石油”,成为现今各国政府、互联网公司等控制、加工、利用的重要资源,也成为不法个人攫取利益的新媒介。公民个人信息关系公民个体的利益,正如《中国网民权益保护调查报告(2016)》中所揭示的情况,公民个人信息泄露、非法利用事件的频发极大地冲击了民众的安全感,而由此引发的下游犯罪更危及公民的人身、财产安全。笔者拟通过研究侵犯公民个人信息犯罪较为高发的上海市,了解侵犯公民个人信息犯罪的刑法保护现状。笔者以“中国裁判文书网”、“无讼案例”为检索数据库,以“公民个人信息”、“公民个人信息罪”为关键词进行全文检索,并分别限制关键词为上海市、刑事案件,不限年限与法院层级,经筛选后获得相关裁判文书358份。
一、侵犯公民个人信息犯罪的数据统计及分析
(一)年度案件数量变化统计
上海市侵犯公民个人信息犯罪刑事案件数量的统计情况表明,自刑法规定侵犯公民个人信息犯罪以来,这类案件在总量上并不多,但是案件数量逐年增长的趋势非常明显。
从数据中,我们可以得出2013年以前,单纯地实施侵犯公民个人信息的行为不多。这是因为对使用非法获取的个人信息,实施犯罪行为,构成数罪的,一般作为其他犯罪例如诈骗罪的共犯处理。直到,2013年4月23日最高人民法院、最高人民检察院、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》中规定了:“对于使用非法获取的个人信息,实施其他犯罪行为,构成数罪的,应当依法予以并罚。”由此,案件数量在2013年以后得到明显的体现,案件数量大幅提升。
《刑法修正案(九)》于2015年11月1日起施行,将出售、非法提供公民个人信息罪与非法获取公民个人信息罪整合为侵犯公民个人信息罪,取消了明确列举的方式,扩大了犯罪主体的范围,扩大了侵犯个人信息行为的范围。正是由于这种刑事立法的积极态势,使得我们可以看到2015年以后仍然保持较多的案件数量,有效地打击了侵犯公民个人信息的行为。
(二)上海市区域案件数量分布
上海市经济实力较强的区域有浦东新区、黄浦区、闵行区、徐汇区等,但从图表数据中表明,侵犯公民个人信息犯罪与各区域的经济发展状况并不直接相关,这些区并不必然成为侵犯公民个人信息犯罪高发的区域,譬如,黄浦区此类犯罪数量就很少。上海市经济实力较弱的崇明县、金山区、奉贤区,也并不必然是侵犯公民个人信息犯罪的案件数量少的区域,譬如,金山区就是侵犯公民个人信息犯罪最为高发的区县之一。
排除了侵犯公民个人信息行为的发生与经济发展水平的正相关性。除崇明县以外,上海市区县辖区面积越大,人口流动量较大的宝山、浦东,发生侵犯公民个人信息犯罪的刑事案件数量就很高。主要原因很有可能与该区县的人口数量、人口成分与人口流动率有关,即人口数量越多、人口成分越复杂、人口流动率越高,为侵犯公民个人信息犯罪的实施提供更多的“犯罪目标”,即公民个人信息的数据更为丰富,由此引发该犯罪行为。可以发现,侵犯公民个人信息犯罪与地理分布状况、区划面积大小、人员流动有关。
(三)裁判结果分析
表中的数据表明,侵犯公民个人信息的犯罪行为主要集中在非法获取公民个人信息上,而不是合法持有者的非法出售与提供行为。这说明公民个人信息的合法持有者即特殊主体利用公民个人信息实施犯罪的可能性比较低,而一般主体窃取公民个人信息以期获利的可能性高。由此可见,《刑法修正案(九)》将出售、非法提供公民个人信息罪的犯罪主体改为一般主体,意味着出售或违反规定提供,情节严重的都要追究,这样就可以更好地斩断非法获取、买卖个人信息的黑色产业链,这对于打击侵犯公民个人犯罪是非常大的进步。
侵犯公民个人信息罪所占的比重不高,主要的原因在于侵犯公民个人信息罪是由《刑法修正案(九)》新设的,年份并不长。其他涉及个人信息的犯罪主要是利用获取的公民个人信息实施其他犯罪的情形。笔者分析裁判文书,找出的其他罪名有:诈骗罪、信用卡诈骗罪、妨害信用卡管理罪、非法经营罪。出现这种情况主要是司法实践中有两种处理方式:第一是侵犯公民个人信息罪作为其他罪名的牵连犯,以其他罪名一罪定罪;第二是进行数罪并罚。
二、司法实践中侵犯公民个人信息犯罪的客观构成要件
(一)侵犯公民个人信息犯罪的主体构成
1.国家机关、公共服务部门及其工作人员。国家行政机关和公共服务部门基于其管理社会公共服务的职能,掌握着大量的个人信息。业务部门将其收集到的公民个人信息进行筛选、处理、归纳,有序地存入数据库内进行管理和利用,如我们常见的公安机关存储的公民户籍信息、车辆信息、指纹信息等。不法分子惦记这块“肥肉”已久,时常将犯罪之手伸向国家行政机关和公共服务部门掌握的公民个人信息,诱骗或者伙同对其所掌握的个人信息进行出售、贩卖。如被告人梁某某担任上海市公安局闵行分局刑侦六队辅警期间,私自使用民警数字证书进入公安系统查询公民个人信息20余条,并将查询结果使用手机截屏通过微信发送给他人,获取非法利益人民币2,000余元。
2.金融等服务机构及其工作人员。金融机构作为经济领域沟通社会主体间融资借贷的桥梁,为社会提供经济鉴证、融资担保等金融服务。其中银行作为金融机构的核心,对客户信息负有保密义务,即不得将储户的账户情况、银行交易内容外泄,不得未经客户同意或单位授权利用内部管理系统随意搜寻客户资料后告知他人。如被告人杨某某在担任光大银行上海浦东支行零售业务部副经理期间,利用自己的工号或冒用其同事的工号登录光大银行个贷查询系统,非法查询并下载他人征信信息共计10,000余条。嗣后,被告人杨某某将上述信息以每条25元至50元不等的价格出售给他人,非法获利人民币374,985元。这起判决是《刑法修正案(九)》从2015年11月1日起开始施行以来,上海首例判决的侵犯公民个人信息罪的刑事案件。
3.私营企业及个人。2012年3·15晚会曾曝光上海罗维邓白氏营销服务有限公司单位代表研究决定利用其直复营销的业务从银行、证券等金融机构违法购买信息数据以建立自己的信息库,然后根据客户的需求筛选和定位某一特定主体的个人信息进行违法销售为单位牟取利益,其中信息以涉及内容的详细程度为标准进行定价,每条收取几十元至上百元的费用,最后公司将从事这项业务的违法所得分配给全部公司成员。更为常见是不法分子通过技术盗取电脑、手机上的个人信息,通过网络进行贩卖。
(二)公民个人信息的认定
通过侵犯公民个人信息刑事案件进行梳理,公民个人信息范围非常广泛,主要涉及有:公民身份信息、电话网络通讯信息、法人工商登记信息、财务权属信息、个人行踪信息记录、理财倾向信息、考生信息、个人履历等信息。司法实践中的公民个人信息认定几乎包括了生活的方方面面,远超《解释》第一条对“公民个人信息”的规定。笔者再对比2017年6月1日实施的《网络安全法》第76条第5款以及电子商务法(草案)第45条第2款对“个人信息”的规定,我国立法上对“公民个人信息”的认定没有形成统一标准。在没有对“公民个人信息”下一个准确定义前,法官们只能凭借自身的经验和社会的一般评价进行规范的构成要件要素的判断,而这也是造成目前公民个人信息认定混乱的主要原因。
(三)案件中公民个人信息的运转操作
1.涉案信息获取途径。上海市侵犯公民个人信息刑事案件中通过网络购买获取公民个人信息的案件为251起,占所有案件数量的70%。非购买的形式中包括了利用职务或者工作便利,利用黑客技术盗取有漏洞的网络平台收集的信息、利用民警的数字证书在公安部内网上进行非法查询、信息交换等方式。可见在司法案例中合法持有公民个人信息的主体占少数,也就是说特殊主体通过职务与工作便利获取公民个人信息并非法利用的案件比重并不大,这契合了《刑法修正案(九)》对侵犯公民个人信息罪修改的精神。
2.涉案信息用途。上海市侵犯公民个人信息犯罪的案件中涉及的信息用途以出卖牟利为目的为215起,约占所有案件数量的60%。其他用途包括了业务推广或者利用收集到的公民个人信息从事其他违法犯罪活动。诈骗、盗刷信用卡、伪造证件都是常见的侵犯公民个人信息犯罪的下游犯罪。所以除了在强化打击侵犯公民个人信息犯罪的同时,还应有效的预防下游犯罪的发生。
(四)侵犯公民个人信息犯罪的量刑适用
在整理的358份裁判文书中,经统计,上海市侵犯公民个人信息犯罪案件中涉及公民个人信息数量超过5000条的有269起案件,占所有案件数量的75%,涉及公民个人信息有的案件多达160万余条及248万余条。然而有347起案件均在“三年以下有期徒刑或者拘役”的法定刑档次内量刑,只有11起在三年以上量刑,且只有一起判处四年有期徒刑,一起判处五年六个月有期徒刑。如,方某通过互联网购买木马病毒,随后群发含有木马病毒的短信至他人手机中,诱使他人点击木马病毒,该病毒将被害人手机中的信息自动发送至方某的作案手机及邮箱,从而获得被害人手机内通讯录、短信等数据共计58,996条进行诈骗活动,对其判处有期徒刑八个月的法定刑,缓刑一年,并处罚金3000元人民币。由此可见,现有裁判结果整体上量刑偏轻。
这与当前打击公民个人信息犯罪的态势不符,究其原因,有学者认为是审判人员对案件事实认定及其反映出的社会危害性的不“确信”。同时,笔者认为虽然司法解释中列举规定了“情节严重”、“情节特别严重”的情形,但司法实践在具体的认定中还是没有达到统一的认定标准也会导致此种状况的出现。
三、侵犯公民个人信息刑事案件中具体的问题
(一)公民是否包括外国公民与无国籍人
在整理案件中,没有发现有外国人作为犯罪主体。公民个人信息中的公民有如下观点:观点一,从文义解释的角度,公民不包括外国公民;观点二,我国应一视同仁地对本国公民、外国人和无国籍人提供刑法保护。观点二的主要依据在于《最高人民法院研究室关于刑法第二百五十三条之一第二款有关内容理解问题的研究意见》指出的“公民还包括在中国居住生活或工作、学习、旅游的外国公民。”笔者赞同观点二,现实中侵犯公民个人信息的行为人提供或获取外国人、无国籍人的个人信息,与提供或获取中国公民的个人信息的社会危害性相比,并无差别。
(二)司法解释的规定难以涵盖实践中信息种类
网络大数据时代下,数据加工产业纵深发展,个人信息种类不断增多,列举式规定不利于保护特殊种类的公民个人信息。司法解释规定过细则限制了自由裁定,过宽又会使得操作不一。就目前来说,《解释》对情节的列举是对原先法律过于原则的规定的一种进步,但是,司法解释的列举式规定还是难以涵盖司法实践出现的信息种类。
为了克服法律条文的僵化而设置了“其他”,属于一种封闭式与开放式相结合的立法模式,此时对于“其他”我们应该作何理解?对比总结个人信息的定义,主要有“身份识别说”、“隐私权利说”、和“关联说”,再进行对比观察时可以发现“身份识别说”和“关联说”的着重点都在于识别性。也即,对个人信息概念定义的差别主要分歧集中在识别性和隐私性。赵秉志教授对个人信息是否等同于个人隐私持否定性的态度,即个人信息并不同等于个人隐私,即便个人信息已经公开,仍有可能成为刑法典所规定之犯罪侵犯的对象。周汉华教授认为,个人信息是指个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可以识别特定的个人的信息。诚如曲新久教授所述,具有可识别性的个人身份信息能够识别公民个体,进而能够将公民个人信息进行分类,形成公民个人身份信息系统“资源”,如此,才可能扰乱公民生活的安宁以及间接地威胁人身、财产权利。因此,将“公民个人信息”限缩为可直接识别特定个人身份的公民个人信息具有其合理性与正当性。我国目前司法实践对公民个人信息的界定也印证了笔者的这一观点。
(三)不同信息种类的计算问题
《解释》第五条第三、四、五款规定的信息入罪分别为50条、500条和5000条,可以看出,这些信息的重要性之间呈递减关系,在比例上呈现1:10:100的关系。《解释》第五条第六款规定“没有达到上述标准的,但是按相应比例合计达到有关数量标准的也可以认定为情节研究。”,这款规定应该作何理解呢?解释并没有进一步规定。
举例而言,若提供40条财产信息、出售400条通信记录、非法获取其他信息4000条时,这三种公民个人信息的数量分开来看都未达到相应入罪标准。可问题在于,应该以哪类信息及其侵犯的信息数量为标准予以入罪?根据《解释》第五条第六款中的按相应比例,这这个按比例的计算公式是什么呢?笔者赞同的按比例计算方法是:第一种情况(50条对应)列举的公民个人信息记为N1,第二种情况(500条对应)列举的公民个人信息记为N2,上述两种情况以外的情况(5000条对应)列举的公民个人信息记为N3,计算公式为:N1*100+N2*10+N3≥5000或者N1*10+N2≥500,符合公式计算结果的即可以认定为“情节严重”。
(四)犯罪行为方式的规定欠缺
《刑法修正案(九)》中仅对出售、提供、窃取以及其他非法获取的行为方式进行规制,概括式的法律语句表述使得对侵犯个人信息行为的认定在司法实践中存在许多争议,甚至影响到对是否能够构成该罪以及是否构成犯罪。通过对刑事案例的分析,不法分子不仅是对公民个人信息进行侵犯,其侵犯后衍生的下游犯罪对于公民人身、财产的安全才构成致命的打击,甚至形成了从“获取—销售—转卖—非法滥用”的黑色信息产业链。司法实践中,不仅存在刑法中规定的行为,还有其他如“非法利用行为”需要纳入刑法规制的范围。
常见的利用行为有通过非法使用、冒用他人个人信息,对信息主体进行犯罪的情形,因法律并未明确将此行为归于侵犯公民个人信息的行为方式,所以只能以一般案件进行定罪量刑,而对于真正的冒名顶替者却不构成犯罪,未承担相应的刑事责任。现实生活中,还有恶意破坏、散播所持有的公民个人信息等行为的发生,法律对此若不进行明令禁止,将会使侵犯公民个人信息现象更加猖狂。单纯地从泄漏公民个人信息的主要上游行为进行法律规制已无法阻挡侵犯公民个人信息罪的发展势头,立法机关以及司法机关很有必要结合目前我国个人信息犯罪的特点重新界定本罪的行为方式,增加入罪行为,完善刑事法律关于犯罪客观方面的规定,更有力地全面打击行为人乱钻法律空子的违法行为。
四、公民个人信息保护的实现路径
通过以上对侵犯公民个人信息刑事案件现状的流弊分析,笔者提出以下对策与建议,完善公民个人信息保护的实现路径。
(一)加大处罚力度与“有利于被告人”的平衡
《刑法修正案九》将侵犯公民个人信息犯罪的最高刑提高到了七年,可见,在立法目的上是对侵犯公民个人信息的行为加大了相应的处罚力度,想进一步遏制侵犯公民个人信息犯罪的发生。但是,在司法实践中,侵犯公民个人信息的刑事案件面临着取证难,海量信息证据认定难、真伪性存疑,从而导致举证难。并且,相关概念未界定清楚,使得司法实践中在量刑上存在偏轻的整体现状,显然,这与立法目的是相违背的。
由此,司法实践中,在量刑时应当将传统标准与《解释》的新标准相关联,破解侵犯公民个人信息的海量数据认定问题、综合考量违法所得数额以及行为情节等因素。寻求刑事政策加大处罚力度精神与“有利于被告人”原则的平衡。完善徒刑以外的刑罚设置,增设罚金刑与从业禁止的规定,做到罪刑相适应。
(二)完善公民个人信息保护刑事立法
《刑法》是我国打击侵犯公民个人信息犯罪的唯一一部法律,为应对现实中出现的法律适用障碍时,我国采取的是颁布修正案以及司法解释进行指导的模式。正如前文对司法实践现状的分析,我国现行刑法对个人信息的保护仍存在较多不足之处:“情节严重”的认定标准不统一,法官自由裁量的标准不一,给法律和司法结果的可预测性增加了不确定性,罪刑法定原则很难得到实现;规范犯罪行为较少,忽视了司法实践中非法利用个人信息犯罪行为的增多,刑法未能进一步周延犯罪行为,为犯罪分子提供了可乘之机;“非法”获取公民个人信息中的“非法”判断标准不一,刑法以空白罪状表述进行规定,符合立法超前的特征,但“非法”指代不明,理论界与实务界对此也争议颇多,无法认定“非法”,就不能对犯罪分子进行定罪处罚,就会使其逍遥法外得不到法律的制裁。
因此,针对当前刑法中存在的相关问题,推进立法精细化的进程,构建打击侵犯公民个人信息犯罪刑法体系,以维护法律的权威以及明确法律所要保护的法益内容,实现刑法罪行法定的基本原则,达到主客观相一致的要求是非常有必要的。
(三)尽快出台《个人信息保护法》
侵犯公民个人信息罪是法定犯,需要有“违反国家有关规定”情况下才能认定为犯罪。《解释》第2条规定,“违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为《刑法》第253条之一的‘违反国家有关规定’”。我国关于个人信息范围的界定、保护标准都没有统一规定,关于个人信息的规定散见于各个部门法及规章制度当中,导致在侵犯公民个人信息案件的司法实践中司法机关难以在前置性法律规范中寻找依据。
欧盟通过立法确定个人信息保护的各项基本原则和具体的法律规定。欧洲议会制定的《保护自动化处理个人数据公约》,作为基础性的个人信息保护法律,对个人信息保护规定了八项原则。美国较欧洲而言,更关注个人信息保护和信息自由流动的平衡。美国于1974年通过《隐私权法》,在一些比较敏感的领域,如儿童信息、医疗档案、金融数据等,采取分别立法的方式保护个人信息,如《消费者网上隐私法》、《儿童网上隐私保护法》和《电子通讯隐私法案》等。2017年3月全国人大代表吴晓灵、周学东以及45位全国人大代表提交了《关于制定<中华人民共和国个人信息保护法>的议案》,建议尽快制定《中华人民共和国个人信息保护法》。基于互联网大数据背景下,呼吁制定一部统一的、能够为个人信息保护提供明确标准的《个人信息保护法》法由来已久,我国很有必要借鉴欧美的先进做法制定一部个人信息保护法律,规范公民个人信息范畴,加强公民个人信息保护。
(四)建立多元化的公民个人信息保护模式
侵犯公民个人信息犯罪的形成是由很多方面的因素促成,不能只是通过刑罚手段来进行事后处罚。刑法打击只是最后的一种保护途径,仅仅通过刑罚的手段,司法实践证明刑法在打击侵犯公民个人信息犯罪方面的作用是有限的,需要其他的措施进行跟进。目前,在民事领域上,仅仅侵权责任法对侵害公民个人信息进行规定,在行政领域上,尚未有个人信息相关的行政规范出台。很多国家成立专门的公民个人信息保护机构,将公民个人信息的保护提升到国家信息安全的战略高度。我国可以考虑成立相关机构,通过行政的手段加强对处理公民个人信息机构的监管,要求其设立专门的数据保护库。同时,培育促使中立第三方的行业组织形成,完善行业自律规范,加强公民个人信息服务行业的管理。
全面保护公民个人信息安全,还需建立健全相应的民事、行政保护机制,进行专项法规建设,民法、行政法等各部前置性法律与刑法保护有效衔接,多维度地完善我国法律体系的构置,构建轻重有序的公民个人信息犯罪法律保护体系,形成多元化的公民个人信息保护机制。