侵犯公民个人信息罪定罪量刑标准再析
2017-02-27刘宪权房慧颖
刘宪权 房慧颖
侵犯公民个人信息罪定罪量刑标准再析
刘宪权 房慧颖*
公民个人信息包括身份识别信息和特定自然人的活动情况信息。公民个人信息必须与特定自然人相关联,主体不限于中国公民,但不包括单位。公民个人信息不包括依法公开的个人信息。本罪中“国家有关规定”的范围将部门规章纳入其中,但应该排除地方性法规等非国家层面和国家层面部门规章之外的其他部门规范性文件等规定。“提供公民个人信息”可以分为“一对一”和“一对多”两种方式;“非法获取公民个人信息”中的“非法”与“违反国家有关规定”应作同样理解。确立“情节严重”、“情节特别严重”的认定标准和涉案公民信息的计算规则对于本罪的定罪量刑至关重要。提供者单方明知使用者实施犯罪仍为其提供公民个人信息,应以本罪论处;提供者与获得并利用信息者双方有通谋时,提供者构成本罪与获得并利用信息者实施犯罪共犯的想象竞合犯。
公民个人信息 出售或提供 窃取或非法获取 定罪量刑 共同犯罪
最高人民法院、最高人民检察院于2017年5月8日联合颁行了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)。《解释》对《刑法》第253条之一规定的侵犯公民个人信息罪的理解与适用问题作出了明确而详尽的细化规定,在一定程度上厘清了该罪设立以来所凸显的司法争议和疑难问题,有助于促进相关刑事司法的统一性和准确性。然而,由于刑事司法实践的复杂性以及相关刑法规定本身的原则性和模糊性,《解释》尚未完全厘清侵犯公民个人信息罪中的问题。立基于对个人信息更充分、有效的保护,也为相关司法实践提供些许借鉴和参考,本文拟结合《解释》的新规定,对侵犯公民个人信息罪的司法认定与适用问题作进一步的分析和探讨。
一、公民个人信息概念和范围界定的理解
侵犯公民个人信息罪的对象是公民个人信息,正确把握和界定“公民个人信息”的概念和范围,对于侵犯公民个人信息罪的适用具有重要意义。虽然《刑法》第253条之一未对“公民个人信息”的概念和范围作出明确的规定,但是《解释》与我国2016年颁布的《网络安全法》对于“公民个人信息”内涵的阐释,对我们确定和界定公民个人信息的概念和范围具有重要的启示。
《解释》第1条规定:“‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”可见,《解释》认定的“公民个人信息”包括身份识别信息和特定自然人的活动情况信息。而2016年11月7日颁布的《网络安全法》第76条对个人信息〔1〕应该看到,刑法条文与《解释》均使用了“公民个人信息”的提法,而《网络安全法》则使用“个人信息”的提法,笔者认为,其实两者只是提法上的不同而并无本质的区别。的定义规定为:“……个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。”由此可见,《网络安全法》认定的“个人信息”仅包括身份识别信息。对于《解释》与《网络安全法》对公民个人信息概念所作的不同规定,应从以下三个方面来理解。
第一,《解释》关于“公民个人信息”的概念以《网络安全法》对“个人信息”的定义为基础。在信息网络时代,公民的个人信息被暴露在网络空间中,信息泄露事件频繁发生,公民的个人信息安全受到前所未有的挑战。应该看到,《网络安全法》理顺了网络安全管理体制中各主体的权责界限,明确规定了网络运营商对用户信息保护的原则,提高了对隐私信息的管控程度,增强了对侵犯个人信息违法犯罪行为的打击力度。就此而言,笔者认为,《网络安全法》对个人信息的保护力度确实是空前的,对个人信息的界定也较为权威,这些与之后颁布生效的《解释》显然在方向上是完全一致的,从而也为《解释》对“公民个人信息”概念内容的界定奠定了基础,也即《解释》关于“公民个人信息”的概念应该是以《网络安全法》对“个人信息”的定义为基础的。
第二,《解释》对“公民个人信息”的定义不完全受制于《网络安全法》对“个人信息”的定义。2015年颁布生效的《刑法修正案(九)》新增设侵犯公民个人信息罪,但未对“公民个人信息”作出具体规定,《解释》实际上是弥补其空白。事实上,《解释》除参考《网络安全法》对个人信息的界定之外,还参考了其他相关法律法规,例如《电信和互联网用户个人信息保护规定》、《护照法》、《身份证法》、《商业银行法》等涉及对公民个人信息的保护条款。由于特定自然人的活动情况信息对公民人身安全和财产安全具有重要影响(如,行踪轨迹信息),如将其排除在“公民个人信息”之外,便不能体现侵犯公民个人信息罪的立法目的,因此,《解释》专门将特定自然人的活动情况信息纳入“公民个人信息”范畴之中。而显然这一内容《网络安全法》并未作规定。
第三,《解释》与《网络安全法》对公民个人信息的含义界定了不同的范围。有学者认为,《网络安全法》将体现特定自然人活动的信息涵括在“身份识别信息”的范畴内,即可以将身份识别信息作广义理解,认为其还包括特定自然人的活动情况信息。〔2〕喻海松:《侵犯公民个人信息罪司法适用探微》,载《中国应用法学》2017年第4期。对此,笔者认为,《网络安全法》提及的身份识别信息与《解释》中提及的特定自然人的活动情况信息,其实是并列且无法涵括的两个不同概念。从属性上分析,身份识别信息是一种静态的信息,而特定自然人的活动情况信息则是一种动态的信息。应该看到,《网络安全法》对“个人信息”进行了列举,如姓名、出生日期、身份证件号码等,且有“包括但不限于”的表述。但是,从立法的规范性要求分析,如果条文中出现列举后的“等”字,那么,条文中未列举的内容应当与已列举的内容具有相当性或同质性。由于身份识别信息与特定自然人的活动情况信息在属性上并不相同,对两者加以涵括解释似乎并不十分妥当。
需要指出的是,《解释》与《网络安全法》是从不同规制的侧重点出发对个人信息内涵进行定义的。《网络安全法》规制的侧重点是保障网络安全,维护网络空间主权和国家安全,尽管对公民合法权益的保护也在其规制的范围之中,但与网络安全保护相比,公民合法权益的保护显然不是《网络安全法》关注的重点。有基于此,《网络安全法》对个人信息作了较为狭义的界定,即只提及个人身份识别信息,而未提及特定自然人的活动情况信息。而《解释》规制的侧重点则是公民人身安全与财产安全利益的保护,在此基础上,当然就会对个人信息作较为广义的理解。因此,司法实践在追究行为人侵犯公民个人信息罪刑事责任时,没有必要因《网络安全法》与《解释》有关个人信息范围界定的不同而有所区别。
笔者认为,确定侵犯公民个人信息罪的客体(或法益)对于明确本罪中“公民个人信息”的具体内容具有重要意义。时下,有关侵犯公民个人信息罪的法益理论上主要有以下三种观点。一是认为,本罪保护的法益是公民个人的隐私权。〔3〕参见张明楷:《刑法学》(第5版),法律出版社2016年版,第921页;刘艳红主编:《刑法学》(第2版),北京大学出版社2016年版,第253、254页。二是认为,本罪保护的法益是公民个人的信息自由和安全。〔4〕参见郭自力主编:《中国刑法论》(第6版),北京大学出版社2016年版,第382页。三是认为,本罪保护的法益是公民个人的信息自由、安全和隐私权。〔5〕参见周光权:《刑法各论》(第3版),中国人民大学出版社2016年版,第71、72页;陈兴良主编:《刑法学》(第3版),复旦大学出版社2016年版,第256页。笔者赞同第三种观点,因其最符合立法原意。正如有学者指出的,立法者设立侵犯公民个人信息罪的初衷在于“保护公民个人信息不被泄露,保护公民人身、财产安全和个人隐私以及正常的工作、生活不受非法侵害和干扰”。〔6〕黄太云:《刑法修正案解读全编——根据〈刑法修正案(九)〉全新阐释》,人民法院出版社2015年版,第219页。可见,侵犯公民个人信息罪侵害的是双重法益——公民个人的信息自由、安全权以及隐私权。因而也就决定了侵犯公民个人信息犯罪对象内容的多样性。笔者认为,对于侵犯公民个人信息罪中“公民个人信息”具体内容的框定,应注意把握以下三点。
第一,公民个人信息必须与特定自然人相关联。根据《解释》第1条对公民个人信息作出的定义,能够与特定自然人相关联是公民个人信息的必备要件。《解释》第3条第2款有关“……经过处理无法识别特定个人且不能复原的除外”的规定从侧面印证了这一观点,即不能与特定自然人相关联的信息被《解释》排除在公民个人信息的范围之外。可以说,“识别性”(或曰与特定自然人的关联性)是公民个人信息的核心属性。应当看到,与特定自然人相关联并不意味着信息与特定个人都能一一对应。例如,单独的一条家庭住址信息通常无法准确与特定自然人相关联,但是如果与手机号码、工作单位等相结合就可以实现与特定自然人的关联,因而应当将其列入公民个人信息的范围之中。
第二,公民个人信息的主体不限于中国公民,但不包括单位。对侵犯公民个人信息罪中的“公民”,应采取相对宽泛的理解,不能将外国人和无国籍人的个人信息排除在本罪保护的范围之外。我国应一视同仁地对本国公民、外国人和无国籍人提供刑法保护。〔7〕参见赵秉志主编:《刑法修正案(七)立法背景与理解适用》,北京师范大学出版社2011年版,第150页。现实中侵犯公民个人信息的行为人提供或获取外国人、无国籍人的个人信息,与提供或获取中国公民的个人信息的社会危害性相比,并无差别。另外,笔者赞同不能将单位纳入“公民”涵盖的范围之内的观点,〔8〕参见刘艳红主编:《刑法学》(第2版),北京大学出版社2016年版,第253、254页。理由是:其一,本罪的罪名是“侵犯公民个人信息罪”,“个人”与“单位”是完全互斥的两个概念,无论作怎样的扩大解释,都不可能将“单位”解释到“个人”涵括的范围之内。其二,单位不享有个人所具有的信息自由、安全权和隐私权,从法律上分析,绝大多数信息自由、安全权和隐私权均是产生于个人人格权,而单位又不具有个人人格权,因而单位也就不可能具有这些只有个人才有的信息权。相反,有时甚至还需要承担信息公开的义务。例如,上市公司有依照法定方式公开其经营状况或者有可能影响股票价格的信息的义务。〔9〕参见吕明瑜:《论上市公司信息公开的基本原则》,载《中国法学》1998年第1期。其三,虽然单位也具有一定范围刑法需要保护的信息权,例如,单位所具有的“商业秘密”、“商业信誉”和“商品声誉”权等,但是对于侵犯单位有关商业秘密、商业信誉和商品声誉等信息权,完全可以侵犯商业秘密罪和损害商业信誉、商品声誉罪等罪名追究相关行为人的刑事责任。
第三,公民个人信息不包括依法公开的个人信息。正如前述,侵犯公民个人信息罪所侵害的法益是公民个人的信息自由、安全权和隐私权。在这些公民个人信息权益中,除涉及隐私权的信息不存在依法公开的问题外,其他已经被依法公开的个人信息不应当被纳入侵犯公民个人信息罪的对象中。理由是,依法公开的公民个人信息,意味着任何人都可能或有权利获取,此时的获取或提供不会违反国家规定,相关行为也就不可能具有非法性。但是,应当注意的是,对于非法“公开”的公民个人信息,如果行为人的获取或提供行为违反了国家规定,则仍然有可能构成侵犯公民个人信息罪。
二、侵犯公民个人信息罪客观行为的司法认定
根据《刑法》第253条之一的规定,侵犯公民个人信息罪是指违反国家有关规定,向他人提供(包括出售)公民个人信息或者非法获取(包括窃取)公民个人信息的行为。准确理解和认定“违反国家规定”“提供公民个人信息”和“非法获取公民个人信息”等客观行为的实际内容,对于本罪的司法认定无疑具有重要意义。
(一)对“违反国家有关规定”的理解
根据《刑法》第253条之一的规定,“违反国家有关规定”是出售或者提供公民个人信息行为的入罪前提。《解释》第2条规定,“违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为《刑法》第253条之一的‘违反国家有关规定’”。
应该看到,在《解释》出台前,对于侵犯公民个人信息罪中“国家有关规定”的范围,基本上均是按照《刑法》第96条“国家规定”的相关内容加以确定的。2011年4月8日最高人民法院《关于准确理解和适用刑法中“国家规定”的有关问题的通知》中指出,根据《刑法》第96条的规定,刑法中的“国家规定”是指,全国人民代表大会及其常务委员会制定的法律和发布的决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。《解释》的出台,明确了侵犯公民个人信息罪中“国家有关规定”的范围应大于《刑法》第96条的“国家规定”,即明确将部门规章纳入其中。但同时也应注意到,《解释》在确定“国家有关规定”的范围时,并未使用“等”字,而仅规定了法律、行政法规、部门规章三种国家层面的规定。这意味着,地方性法规等非国家层面的规定以及除国家层面部门规章之外的其他部门规范性文件等规定应予以排除。
特别需要指出的是,《刑法》只是将“违反国家有关规定”作为构成侵犯公民个人信息罪的前提,而并没有将“未经公民个人同意”作为行为入罪的必要要件。这是因为,行为人在违反国家有关规定的前提下获取或提供权利人的信息,其获取或提供的过程当然就会对权利人个人信息权益造成侵害,而不会因为权利人的同意而有所改变。
(二)“出售或者提供公民个人信息”行为的认定
《刑法》第253条之一第1款明确规定了侵犯公民个人信息罪的客观行为:即向他人出售或者提供公民个人信息。理论上一般认为,所谓“提供公民个人信息”是指将本人知悉的公民个人信息告知他人;所谓“出售公民个人信息”则是指将本人知悉的公民个人信息告知他人并因此而获得报酬。两者的共同点在于都是将本人知悉的公民个人信息告知他人,而两者的区别点则在于是否因此而获得报酬。换言之,“出售”比“提供”多一个“获得报酬”的内涵,“出售”的外延小于“提供”,即只要“出售”必然存在“提供”的内容。就此而言,我们完全可以说,出售可以包含在提供之中,但是由于“出售”是“提供”的一种常见且典型的方式,故而《刑法》第253条之一将出售这种方式单独列出。
《解释》第3条第1款规定,“向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第253条之一规定的‘提供公民个人信息’。”《解释》的这一规定实际上将“提供”分为两种类型:一种是向特定人提供,即提供者和获取者为“一对一”的方式;另一种是通过网络或其他途径发布,此时获取信息者为不特定多数人,即提供者和获取者为“一对多”的方式。应当看到,在“一对多”方式下信息的扩散范围是不可预期的,且通常会远远大于“一对一”方式下信息的扩散范围,社会危害性显然大于“一对一”方式。由于《刑法》第253条之一规定的出售或者提供对象是“他人”,之前对“他人”是否包括不特定多数人存在争议,《解释》则回答了这一问题。笔者认为,非法向特定人提供公民个人信息构成本罪应无异议,而根据“其应入罪者,则举轻以明重”〔10〕(唐)长孙无忌等:《唐律疏议•名例》。的原理,将危害更大的非法向不特定多数人提供公民个人信息的行为亦可纳入本罪规制的范畴。
《解释》第3条第2款规定,“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于《刑法》第253条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外。”《解释》的这一规定与《网络安全法》的规定在内容上是契合的。《网络安全法》第42条第1款规定,“网络运营者……未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人信息且不能复原的除外。”由此可以看出:一方面,法律不禁止合法的信息流动。在符合法律法规及相关规定的前提下,经被收集者同意,将公民个人信息提供给他人,不应作为犯罪处理。这既符合信息社会发展的现实需要,也与当下大数据产业的蓬勃发展相吻合。另一方面,经过匿名化处理的个人信息因不能与特定自然人相关联,不再是刑法及相关法律法规所保护的对象。
(三)“窃取或者非法获取公民个人信息”行为的认定
正如前述,对于出售或者提供公民个人信息的行为,刑法条文明确规定,“违反国家有关规定”是入罪前提。但是对于获取公民个人信息,条文中并未明确规定“违反国家有关规定”的要件,而是使用了“非法”二字。对“非法”二字的含义,可以根据体系解释的原理进行确定。“法律条文只有当它处于与它有关的所有条文的整体之中才显出其真正的含义,或它所出现的项目会明确该条文的真正含义。有时,把它与其他的条文——同一法令或同一法典的其他条款——进行比较,其含义也就明确了。”〔11〕[法]亨利•莱维•布律尔:《法律社会学》,许钧译,上海人民出版社1987年版,第243页。根据《刑法》第253条之一的规定,侵犯公民个人信息罪的行为手段包括“出售或者提供”和“窃取或者非法获取”两种,由于《刑法》对获取行为规定了与出售或者提供行为完全相同的处罚,因此获取和出售或者提供的社会危害程度应相一致,二者的入罪前提也应保持一致。也即刑法有关侵犯公民个人信息罪中的“非法”与“违反国家有关规定”的含义相同。
根据《解释》的规定,窃取或者非法获取公民个人信息的行为包括以下三种。一是窃取,即秘密获取他人个人信息。在网络时代,公民个人信息往往以电子信息的形式呈现。通过侵入计算机信息系统等手段窃取公民个人电子信息的行为,往往同时触犯非法获取计算机信息系统数据罪。〔12〕虽然非法获取公民个人信息的行为往往伴随着非法侵入计算机信息系统的行为,但是根据《刑法》规定,只有侵入国家事务、国防建设、尖端科学技术领域的计算机系统,才有可能构成非法侵入计算机信息系统罪,而这些系统一般不会涉及公民个人信息,因此,通过侵入计算机系统来窃取公民个人信息的行为通常不会构成非法侵入计算机信息系统罪。此时,应按照想象竞合犯的原则从一重处断。二是以其他方法非法获取,包括购买、收受、交换等方式。此处的“等”字表明,只要行为方式被认定为“非法”,即违反国家有关规定获取公民个人信息,且与购买、收受和交换这些方式具有相当性或者同质性,都可以被认定为“其他方法”。三是在履行职责、提供服务的过程中收集。如《网络安全法》第41条规定,“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息”。若网络运营者违反上述规定收集公民个人信息的,应被认定为非法获取公民个人信息。
三、侵犯公民个人信息罪定罪量刑标准的司法确定
《刑法》第253条之一根据侵犯公民个人信息行为的情节严重程度,分别设立了“情节严重”和“情节特别严重”两档法定刑,并确立了对特殊主体的从重处罚原则,《解释》对此作了进一步的细化规定。
(一)对“情节严重”认定标准的理解
《刑法》第253条之一明确规定,“情节严重”是构成侵犯公民个人信息罪的必备要件,但并未明确规定“情节严重”的具体认定标准,有可能导致司法实践中产生适用标准不一或者“同罪不同罚”的现象。《解释》根据信息用途、信息类型和数量、违法所得数额、主体身份、违法犯罪次数和时间等情况,对“情节严重”进行了较为详细的规定,确定了统一的适用标准。
第一,根据信息用途认定“情节严重”。《解释》明确规定,“出售或者提供行踪轨迹信息,被他人用于犯罪的”以及“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的”这两种情形,应当被认定为“情节严重”。这两种情形主要根据出售或者提供对象对信息的用途(即被他人利用实施犯罪),同时结合信息种类来确定判断标准。行踪轨迹信息与一般的公民个人信息不同,是最有可能被犯罪分子利用从而威胁信息主体人身或财产安全的敏感信息,所以应认定其对于这种信息被他人用于犯罪具有概括的认识,无需再证明其“知道或应当知道”他人利用该信息进行犯罪。
第二,根据信息类型和数量认定“情节严重”。其一,对于行踪轨迹信息、通信内容、征信信息、财产信息,认定“情节严重”的标准是“50条以上”。应当注意的是,《解释》在列举这些信息之后并没有用“等”字,因此,司法实践中不能将这一标准扩大适用到其他类型的信息。其二,对于住宿信息、通信记录、健康生理信息、交易信息等可能影响人身、财产安全的公民个人信息,认定“情节严重”的标准是“500条以上”。《解释》在列举完这些信息之后使用了“等”字,因此,与所列举的住宿信息、通信记录等信息具有相当性或者同质性的信息均可以包括在内。应该看到,上述两种情况涉及的信息都是与公民人身安全和财产安全密切相关的信息,也是最容易被犯罪分子利用进行诈骗、敲诈勒索等犯罪的信息,因此《解释》对侵犯此类信息的行为规定了较低的入罪门槛。其三,对于上述两种情况之外的一般公民个人信息,认定“情节严重”的标准是“5000条以上”。由于实践中行为人提供或获取的信息可能会既涉及入罪标准为“500条以上”的公民个人信息,又涉及入罪标准为“5000条以上”的公民个人信息,但这两种公民个人信息的数量分开来看都未达到相应入罪标准,对于这种情况,《解释》第5条第1款第6项规定了按比例合计计算的方法。具体而言,将上述第一种情况(50条对应)列举的公民个人信息记为N1,第二种情况(500条对应)列举的公民个人信息记为N2,上述两种情况以外的情况(5000条对应)列举的公民个人信息记为N3,计算公式为:N1*100+N2*10+N3≥5000或者N1*10+N2 ≥500,符合公式计算结果的即可以认定为“情节严重”。
第三,根据其他标准认定“情节严重”。《解释》将“违法所得5000元以上”作为认定“情节严重”的标准。需要指出的是,《解释》对特殊主体规定了与一般主体不同的数额标准。《刑法》第253条之一将非法“提供公民个人信息”分为两种:一种是“违反国家有关规定,向他人出售或者提供公民个人信息”;另一种是“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的”。《解释》明确规定,后者的入罪数量或者数额为前者标准的一半,那么,当特殊主体涉案的数量或者数额达到入罪标准但未达到一般主体的入罪标准时,是否应该再根据《刑法》第253条之一的规定对特殊主体从重处罚?由于《解释》并未特别明确,因此,理论上会有不同的理解。有观点认为,在入罪标准上特殊主体涉案的数量或者数额规定是一般主体的一半,已经体现了从重处罚的内容,如果在此基础上再从重处罚,就有重复评价的嫌疑。笔者对此观点并不赞同,《解释》所规定的特殊主体涉案的数量或者数额是一般主体的一半,仅仅是解释“情节严重”的标准,即只是针对侵犯公民个人信息罪的入罪标准而言的。而刑法有关特殊主体的规定强调的是行为达到“情节严重”和“情节特别严重”的标准后再从重处罚。严格按《刑法》和《解释》的规定理解是完全必要的。另外,《解释》还规定,对于曾因侵犯公民个人信息受过刑事处罚或者2年内受过行政处罚的主体,只要再次非法获取或提供公民个人信息,不再考虑数量、数额、违法所得等标准,一经实施,就应认定为“情节严重”,体现了立法者对侵犯公民个人信息犯罪强调“高压”的态度。
(二)对“情节特别严重”认定标准的理解
我国《刑法》对于侵犯公民个人信息罪明确规定了两档法定刑:即“情节严重”和“情节特别严重”。与“情节严重”相同,《解释》从犯罪后果及数量数额等方面对刑法条文中“情节特别严重”的认定规定了详细的标准。
《解释》规定了“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的”以及“造成重大经济损失或者恶劣社会影响的”,应当认定为“情节特别严重”。同时《解释》将数量或数额达到前款“情节严重”标准10倍以上作为认定“情节特别严重”的标准,但该标准是否合理,有待商榷。简单的数量或数额的增多并不一定代表社会危害性会发生质的变化,而且10倍以上的数量或数额的增大所导致的社会危害性,确实很难与对被害人的生命、健康、人身安全等造成严重侵害、造成重大经济损失或者社会影响极其恶劣的严重后果相提并论。另外,实践中侵犯公民个人信息犯罪的行为人提供或者获取公民个人信息的数量动辄几十万甚至上百万条,以“10倍”作为认定“情节特别严重”的标准,客观上完全可能会引发对侵犯公民个人信息罪实际“量刑不平衡”甚至“量刑过高”的情况出现。
(三)对为合法经营活动而侵犯公民个人信息特殊定罪量刑标准的理解
实践中获取公民个人信息之后从事电话推销等本身不违法的经营活动非常常见,是否可能构成犯罪并加以处罚?对此,《解释》作了明确,为合法经营活动而非法购买、收受第5条第1款第3项、第4项以外的公民个人信息的,仍然可能构成犯罪,但是,在定罪量刑标准上作了特殊的规定。笔者认为,《解释》第6条与第5条的关系实际上是特别规定与普通规定的关系,应当适用特别法条优于普通法条的一般原则。例如,从事合法经营活动的行为人非法购买或收受公民个人信息5000条以上但获利未满5万元时,若依据《解释》第5条的规定,可以构成侵犯公民个人信息罪,而根据《解释》第6条的规定则不能构成侵犯公民个人信息罪。此时,应当优先适用《解释》第6条的规定。
《解释》第6条从获利数额和行为人的主观恶性等方面确立了判断“情节严重”的特殊标准。第一,《解释》规定,“利用非法购买、收受的公民个人信息获利5万元以上的”,应当被认定为“情节严重”。虽然购买、收受公民个人信息的行为是非法的,但是由于经营活动合法,因此将“获利数额”而非“违法所得”作为认定“情节严重”的标准是妥当的。第二,与前述规定类似,《解释》将行为人违法犯罪次数和时间也作为认定“情节严重”的标准。而第6条第1款第3项规定的“其他情节严重的情形”作为本条的兜底条款,只有当行为人的行为与前两项行为具有相当性时,才可以适用。
(四)对涉案个人信息数量计算标准与规则的理解
涉案公民个人信息的数量对于侵犯公民个人信息罪定罪量刑具有重要作用。《解释》明确规定了公民个人信息数量的计算方法:“非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。”笔者认为,对《解释》的这一规定应作以下理解。
第一,对于非法获取公民个人信息后又提供给同一单位或个人的,在获取和提供的过程中,对象始终具有同一性,且获取的行为和提供的行为是前后发展的关系。根据《解释》的规定,对于公民个人信息的条数,仅计算一次,毋需重复计算。
第二,对于非法获取公民个人信息后又提供给不同单位或个人的,与前一种情况相比,作为对象的信息从行为人处转手多次,为多个获取信息的单位或个人知晓。此类行为使得公民个人信息传播的范围更广,社会危害性明显更大。根据《解释》的规定,对于公民个人信息的条数,应当累计计算。
第三,对于批量查获的公民个人信息,由于通常所涉及的信息数量极为庞大,所以《解释》规定“根据查获的数量直接认定”,但同时允许将不真实或重复的信息予以排除。对于排除不真实的信息的理解,笔者认为,如果要求办案机关对海量庞杂的个人信息(实践中涉案的公民个人信息通常以数十万甚至数百万计)逐一核对其真实性,会过度消耗司法资源,除非行为人可以提供证据或者有其他证据能够证明某些信息不真实。对于排除重复的信息的理解,首先应该明确何谓重复的信息。司法实践中查获的信息经常会针对同一对象并存数条信息。例如,针对同一对象,同时存在“姓名+身份证号码”、“姓名+银行卡号”、“姓名+住址”、“姓名+电话号码”等数条信息。对于这种情况下信息的计算,要考虑交易规则和习惯,宜将其认定为重复信息,应按照一条计算。但是在海量信息中甄选出符合上述条件的信息并将其排除确实是一项极为耗时耗力的工程,要求司法机关逐一甄别和排除这些信息,同样也是不合理的。而对于完全重合的数据,笔者认为,可以要求司法机关对于查获的数据进行简单的去除重复数据的技术操作,以免不合理地增加行为人的刑事责任。
四、侵犯公民个人信息罪与共同犯罪的关系辨析
根据《解释》的规定,“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的”,构成侵犯公民个人信息罪。但同时,明知(知道或者应当知道)他人实施犯罪行为,为其提供信息方面的帮助,也有可能构成相应犯罪的共犯。笔者认为,根据帮助者和被帮助者双方意思联络的程度不同,我们大致可以将共同犯罪分为片面共犯、“心照不宣”的共犯〔13〕所谓“心照不宣”,即指提供公民个人信息的行为人明知自己在帮助具体实行者,而具体实行者也明知在接受提供公民个人信息行为人的帮助,但双方没有通谋的情形。和有通谋的共犯三类。对于向他人提供公民个人信息的行为,前两种类型均应按照侵犯公民个人信息罪处理,第三种类型则可能成立侵犯公民个人信息罪与被帮助者所实施犯罪的想象竞合。
由于《解释》第5条第1款第2项仅指出了“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的”即可构成犯罪,此规定并没有排除侵犯公民个人信息行为人单方知悉他人利用获得的信息实施犯罪,而仍为其提供信息的情况。因此,笔者认为,对于提供信息者“明知”而获得信息者“不明知”的情形,我们不能再按照传统刑法有关片面共犯的原理,将提供信息者的片面帮助行为认定为共犯,而应该直接以侵犯公民个人信息罪定性。
当然,在“心照不宣”的情形下,我们对于提供信息一方的行为同样应该认定为侵犯公民个人信息罪,而不能按相应的共犯论处。因为在此种情形下,提供信息者和获得信息者之间没有通谋,不符合成立共同犯罪的基本条件。与片面共犯的情形相比较,“心照不宣”是提供信息者和获得信息者均“明知”的情形,由于《解释》只对提供信息者的“明知”作了明确要求,因此,将其认定为侵犯公民个人信息罪也不会存在任何异议。
明知他人利用获得的信息实施犯罪并与其通谋,为其提供公民个人信息的,则提供信息者既构成侵犯公民个人信息罪,同时又构成获得并利用信息者实施的相应犯罪之帮助犯,对提供信息者应按照想象竞合的原则,从一重罪处罚。具体而言,提供信息者与获得并利用信息者之间有通谋,符合“二人以上共同故意犯罪”的要求,提供信息者可以构成相应犯罪的帮助犯;同时提供信息者“明知”他人利用公民个人信息实施犯罪,仍向其提供,也符合侵犯公民个人信息罪的构成要件。
应当看到,行为人的主观认识可以包括三种状态:确实知道、应当知道和确实不知道。根据多数司法解释的规定,现行刑法分则中故意犯罪的“明知”包括确实知道和应当知道两种状态。“应当知道”是一种推定知道,司法机关对于被告人明知的证明有比较充足的客观事实依据,只是没有得到被告人的印证。〔14〕参见刘宪权:《论信息网络技术滥用行为的刑事责任——〈刑法修正案(九)〉相关条款的理解与适用》,载《政法论坛》2015年第6期。故此,在一般故意犯罪中,证明行为人“应当知道”时,行为人有提出反证的义务,即必须证明其确实不知道,方可否定其“明知”,否则,“应当知道”的推定就成立。
目 次
一、公民个人信息概念和范围界定的理解
二、侵犯公民个人信息罪客观行为的司法认定
三、侵犯公民个人信息罪定罪量刑标准的司法确定
四、侵犯公民个人信息罪与共同犯罪的关系辨析
* 刘宪权,华东政法大学教授,博士生导师;房慧颖,华东政法大学博士研究生。本文系国家社科基金重大项目“涉信息网络违法犯罪行为法律规制研究”(项目号14ZDB147)的阶段性研究成果。
卢勤忠)
