侵犯公民个人信息罪的法益廓清与实践认定
——基于最新司法解释的考察*
2018-03-31张庆立
张庆立
(华东政法大学,上海 200042)
一、引言
当前,网络时代侵犯公民个人信息的犯罪可谓愈演愈烈,社会危害性日益凸现,据中国互联网协会发布的《中国网民权益保护调查报告(2016)》显示,一年来,我国网民因个人信息泄露等遭受的财产损失就高达915亿元,72%的网民认为个人信息泄露情况严重,84%的网民亲身感受到了个人信息泄露带来的不良影响*武晓莉,任震宇.《中国网民权益保护调查报告(2016)》盘点网络侵权现象[N].中国消费者报,2016-06-30(005).。为此,《刑法修正案(七)》增设了刑法第253条之一,即“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。然而,实践中被追究刑事责任的案件并不多见,相反,侵犯公民个人信息的行为却有增无减*张磊.司法实践中侵犯公民个人信息犯罪的疑难问题及其对策[J].当代法学,2011,(1):72.。为扭转这一形势,《刑法修正案(九)》再一次对刑法第253条之一进行了修订,一方面,扩大了侵犯公民个人信息罪的主体和前置法的范围,另一方面,增加了加重情节的法定刑和对特定身份犯从重处罚的规定,还降低了非法获取型犯罪的入罪门槛*另外,还删除了“提供”前的“非法”二字,并将非法获取行为的对象由“上述信息”修改为“公民个人信息”使条文更简洁明了。。尽管《刑法修正案(九)》做出了努力,但是这一修订还存在个人信息范围不明、情节标准不清的问题。为进一步解决这些问题,两高又联合制定了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,并于2017年6月1日起开始实施。但这一解释并没有化解理论界对本罪的保护法益之争,对于本罪的犯罪构成要件界定和司法实践的具体认定也存在一些值得探讨的问题,值得研究。
二、侵犯公民个人信息罪之法益廓清
(一)本罪的法益争论
针对侵犯公民个人信息罪的法益,事实上在本罪立法之前,即刑法规定“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”时,就存在法益上的争论。目前,针对侵犯公民个人信息罪的法益,主要存在如下几种观点:一是公民个人的信息自由、安全和隐私权说。该说往往认为本罪保护的法益是公民个人的信息自由、安全和隐私权。公民个人信息是指能识别公民个人身份的所有信息。但在法益性质归属上,却存在人格权利说*周光权.刑法各论(第三版)[M].北京:中国人民大学出版社,2016.71-72.和民主权利说*陈兴良.刑法学(第三版)[M].上海:复旦大学出版社,2016.256.的争论。二是公民个人隐私权说。该说认为本罪保护的法益为公民个人的隐私权,刑法中的个人信息是指一般公民不随意公布、涉及公民隐私的个人信息。另外在该说内部,也存在人格权利说和民主权利说的争议。前者还对公民个人信息作了扩大解释,认为公民个人信息包括能够识别公民个人身份或者涉及公民个人隐私的信息和数据资料*张明楷.刑法学(第五版)(下)[M].北京:法律出版社,2016.921.。后者则对公民个人的隐私权作了扩大解释,认为公民的隐私权,既包括公民的个人隐私不受侵犯的权利,也包括公民对自己个人信息的控制权*刘艳红.刑法学(第二版)(下)[M].北京:北京大学出版社,2016.253-254.。三是公民个人信息权说。该说认为本罪保护的法益为公民的个人信息权或信息安全权。刑法中的公民个人信息是指能够识别公民个人身份或涉及公民个人隐私的信息。根据法益归属的性质不同,该说也可以分为人格权利说*黎宏.刑法学(第二版)[M].北京:法律出版社,2016.269-270.和民主权利说*刘宪权.刑法学(第四版)(下)[M].上海:上海人民出版社,2016.602.两种观点。
除上述观点之外,实践中还普遍存在复杂客体说,往往将国家或社会对个人信息的管理秩序作为次要法益看待,认为侵犯公民个人信息的行为,不仅侵犯了公民的隐私权或者个人信息权,还侵害了国家机关或有关单位对公民个人信息的管理活动或正常工作秩序。
(二)本罪的法益评析
首先,就个人隐私权说而言,该说尽管明确具体,但存在的主要问题是不当缩小了本罪的打击范围。隐私权的法益说起源于英美,但随着时间的发展,英美法系的隐私权概念已经发展成为了“人格自由发展权利”的新概念,其内涵已被大大扩张*马改然.个人信息犯罪研究[M].北京:法律出版社,2015.66.。然而,我国对隐私权概念尚缺乏扩大解释的基础,如果仅仅将隐私权作为本罪的保护法益,就不可能对非法利用公民已公开的个人信息从事危害社会的行为进行有效的惩治,难以实现本次修法的目的。
其次,就个人信息权说而言,该说看似全面而简洁,但是却存在抽象化和精神化的问题。法益是刑法所要保护的生活利益,法益的确定既是刑法立法的起点,也是刑法立法的目标,必须要坚持具体化、明确化的原则,排斥抽象法益已经成为理论界的共识。个人信息权包括个人信息决定权、保密权、查询权、更正权、封锁权、删除权、报酬请求权等多项权利。是否所有的具体权利都需要纳入刑法保护不无疑问。
再次,就国家和社会的次要法益而言,这种复杂客体说确实符合我国传统刑法对客体的界定,然而,却并不符合刑事立法的初衷以及法益理论的发展。一方面,本次刑法修正之所以严惩侵犯公民个人信息的行为,原因就在于这种行为在实践中往往极易引发其他犯罪或者本身就是其他犯罪的一部分,而且随着信息技术的发展,这种侵犯公民个人信息的行为已经具有了严重的社会危害性。另一方面,国家法益和社会法益本身也要求可以还原为个人法益,在已明确保护个人法益的同时,再强调国家和社会法益,既无必要,还可能冲淡对个人法益的保护重要性的认识。
(三)本罪法益的确定
事实上,本罪所保护的法益即公民个人的信息自由、安全和隐私权的双重法益,其中,主要法益为公民个人的信息自由和安全。理由如下:
首先,符合立法原意。尽管学者对是否存在立法原意尚有争论,但必须承认立法者所追求保护的生活利益,恰恰最能说明本罪的具体法益。根据立法者的解释,刑法保护公民个人信息,“不仅是保护公民的隐私权,更是保护公民身份信息的安全和公民身份管理秩序”。刑法修正案增设本罪的初衷就在于“保护公民个人信息不被泄露,保护公民人身、财产安全和个人隐私以及正常的工作、生活不受非法侵害和干扰”*黄太云.刑法修正案解读全编——根据《刑法修正案九》全新阐释[M].北京:人民法院出版社,2015.219.。可见,立法者在增设该罪时就考虑到了保护公民隐私权和保护信息自由和安全的法益,而且立法者使用一个“更”字,恰恰体现了立法所追求的保护重点就在于信息的自由与安全。
其次,符合行为变化了的社会危害性。在前网络社会,刑法对泄露公民个人信息的行为没有纳入刑法惩治,原因就在于以往泄露公民个人信息的行为侵犯的主要是个人的隐私权,彼时,由于电信网络没有普及化,实践中,既没有出现大范围泄露的情况,也不可能出现这一情况,相应的,也就不存在大范围利用泄露的公民信息进一步侵害其他法益的可能性。然而,时至今日,网络的普及化已是阳光照进现实,在信息时代,包括公民个人信息在内的一切信息都成为了最重要的资源,泄露信息的情况不仅愈演愈烈,而且利用泄露信息侵害其他法益的情况也比比皆是。二者之间的反差,恰恰说明刑法增设侵犯公民个人信息罪的重点不在于公民个人信息不法为他人所知,而是在于他人利用不法所知的公民个人信息,危害了公民的生活安宁。当然,也应该承认,在网络社会下,公民个人信息被广泛批量泄露后,公民的隐私权遭受的侵害也在加重。这也就说明了本罪所保护的主要法益在于公民个人信息的自由与安全,同时兼顾了保护隐私权。
再次,符合域外最新的立法趋势。在我国《刑法修正案七》增设相关针对公民个人信息犯罪之前,域外大陆法系国家的刑法典一般都规定了泄露利用职务便利获知的他人秘密的犯罪,例如德国刑法典规定了“侵犯他人隐私罪”,日本刑法典规定了“侵犯秘密罪”,都规定只要认定为泄露行为就具有可罚性。与我国一样,面对网络信息社会的冲击,侵犯公民个人信息行为的泛滥,各国也相继补充了立法,如最新的法国刑法典就新增了“侵害因数据集获信息处理产生的人之权利犯罪”,规定“任何人未经当事人同意,在信息处理过程中,收集此类信息并将其泄露给无权获得该信息的第三人,会对当事人的名誉或私生活造成损害的,处5年监禁并科300000欧元的罚金。并规定窃取第三人身份信息或使用可识别第三人的任何行政的信息,会扰乱其安宁或他人安宁,或者损害其名誉或他人对其敬意的,处1年监禁并科15000欧元的罚金。”*朱琳译.最新法国刑法典[M].北京:法律出版社,2016.140.135.可见,法国最新的刑事立法一方面坚持了公民个人信息认定的广泛性,另一方面也强调行为对当事人私生活的侵害,后者就是私生活的安宁秩序,在法益上就体现为公民个人信息的自由与安全。而“损害名誉或敬意”在法益上就体现为隐私权。
最后,符合罪刑相一致的原则。根据刑法的规定,侵犯公民个人信息罪,情节严重的,处三年以下有期徒刑或者拘役,并处或单处罚金,情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。可见其最高刑为七年有期徒刑并处罚金。然而,《刑法》第四章侵犯公民人身权利、民主权利罪的其他犯罪,如非法拘禁罪、侮辱罪、诽谤罪、非法搜查罪、非法侵入住宅罪、刑讯逼供罪、侵犯通信自由罪等,其最高刑仅为三年有期徒刑,而上述这些罪名侵犯的法益往往是公民生命、健康、自由或其他人身权利。如果将侵犯公民个人信息罪所保护的法益仅仅认定为系隐私权,就难以说明本罪刑罚重于上述犯罪的合理性,而将本罪认定为双重法益,恰恰符合罪刑相一致的原则。
在明确了本罪属于侵犯公民人身权利、民主权利犯罪后,本罪究竟属于侵犯公民人身权利,和侵犯公民民主权利的哪一类犯罪,也应当予以明确,这恰恰是理论研究的初衷与归宿。事实上,人格权利说与民主权利说的区别就在于二者的保护程度不同。前者体现的是对“人”的保护,后者体现的是对“享有民主权利”的公民的保护,如果以“对公民保护”为界限的话,前者是“对公民保护”的扩张,后者则是“对公民保护”的限缩。具体差别体现为:一是对侵犯外国公民个人信息的行为,人格权利说肯定可罚性,而民主权利说则否定可罚性;二是对侵犯罪犯个人信息的行为,如果罪犯系被剥夺民主权利的我国公民,人格权利说仍肯定可罚性,而民主权利说否定可罚性。
无论从司法实践的角度看,还是从需保护性的理论角度考虑,对外国公民和被剥夺民主权利的我国公民的个人信息进行同等保护都是必要的,因此,人格权利说比较可取。
三、侵犯公民个人信息罪之构成要件厘定
尽管最新的司法解释已经对本罪的部分构成要件要素做出了界定,具有积极的意义,但理论上和实践中仍然存在一些亟待明确的问题,具体如下:
(一)“公民个人信息”的界定
公民个人信息的范围直接影响本罪的犯罪圈大小,是本罪构成要件的关键要素。根据司法解释的规定,“公民个人信息”是指:以电子或其他形式记录、能单独或结合其他信息、识别特定自然人身份或反映特定自然人活动的各种信息。这一概念存在问题如下:一是将“结合其他信息”方具有识别性的信息作为公民个人信息,无法解决“空量信息”(即完全不具有识别性的公民个人信息)的问题。任何的空量信息在与其他可识别信息结合的情况下都会具有可识别性,但这种识别性完全是由后者提供的,而不是前者,但根据目前司法解释的表述,非法提供、出售、获取前者也属于公民个人信息,似有不妥。二是司法解释将公民个人信息仅仅限于“可识别身份或反映活动的信息”,却同时认为“财产状况”也属于公民个人信息,二者存在一定的冲突。财产状况直接体现了一个人的财产所有权,还涉及个人隐私的利益,确实属于需要刑法保护的公民个人信息,因此,将公民个人信息仅限于身份或活动的信息并不妥当。建议,将公民个人信息直接确定为:涉及公民个人人身权、财产权的各种静态信息以及公民个人活动情况的一切动态信息,不需要限定记载形式,但应强调公民个人信息本身应具有可识别性,至于识别性的强弱则不需限定,但可以通过限定强弱识别性信息入罪的数量,达到对不同公民个人信息进行区别对待的效果。在《刑事审判参考》刊登的第1009号“胡某等非法获取公民个人信息案”中,胡某、王某受人所雇,实施了非法跟踪获取被害人行车路线、实时定位等信息的行为,后案发被法院判处侵犯公民个人信息罪。然而,有学者对这一判决提出批评,认为刑法对公民个人信息的保护应仅限于强识别和强法益关联的那部分公民个人信息,行车路线和实时定位信息仅仅属于弱识别的公开性信息,不属于刑法中的公民个人信息*叶良芳.非法获取公民个人信息罪之“公民个人信息”的教义学阐释[J].浙江社会科学,2016,(4):71-78.。事实上,这一观点仅仅将个人信息识别性的强弱作为了区分犯罪与否的标准,而没有看到侵犯一定数量的弱识别性信息也可能达到或超过侵犯强识别性信息的社会危害性,同时,划定刑法与行政法的边界,完全可以针对不同识别性的信息设置不同的数量标准加以实现,没有必要固守强弱识别性信息的标准。
(二)“违反国家有关规定”的界定
就现有刑法规定而言,本罪属于法定犯,前置法的规定直接影响本罪的成立范围。根据《刑法》第96条的规定,刑法中“违法国家规定”是指违反全国人大及其常委会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。而根据司法解释的规定,本罪要求“违反国家有关规定”是指违反法律、行政法规、部门规章。可见司法解释认为刑法中的“国家有关规定”不等于“国家规定”,在当下有关保护公民个人信息专门法律和法规缺位的情况下,这种观点无疑是具有积极意义的,但也存在明显的弊端。一方面,在刑法领域之外,几乎没有观点认为“国家有关规定”与“国家规定”之间存在质的差别。另一方面,尽管将规章的范围限于部门规章的范围之内,也存在部门规章立法主体过多,以致前置法的范围过宽,造成犯罪圈过大的问题。同时,就“违反国家有关规定”是否包括“违反国家有关程序性规定”的内容,实践中也不无疑问。以王某等侵犯公民个人信息案为例,王某系公安机关户派出所民警,吴某系某律师事务所律师,二人系大学同学,吴某先后多次委托王某私下为其查询他人户籍信息,用于其律师业务活动,两年来,共涉及公民80余人,公民个人信息500余条。假设身份证号码、家庭住址、联系方式等属于中度信息,那么吴某的行为是否成立本罪就值得探讨。根据目前法律规定,律师持介绍信、委托协议书、律师执业证、律师本人身份证可以向派出所查询公民户籍信息,可见,王某向吴某提供户籍信息的行为仅仅是违反了程序性规定。对此,我们认为,出于维护法律程序设置的严肃性和保护公民个人信息的需要,以及忠实司法解释的文字表述,应当承认违反程序规定也属于违反国家有关规定。建议,在未来公民个人信息保护条例或法律出台以后,进一步明确前置的范围仅限于刑法明确规定的“国家规定”的范围内。同时,也应承认无论是“国家有关规定”,还是“国家规定”,都包括了程序性规定。
(三)“提供公民个人信息”的界定
本罪的行为方式主要包括非法提供、出售公民个人信息,以及非法获取公民个人信息的行为。根据司法解释的规定,提供公民个人信息包括了向特定人提供(即定向提供)、向不特定人发布(即不定向发布)、合法收集后未经被收集者同意向他人擅自提供(即擅自提供)三种具体行为类型。对于这一分类的具体问题主要如下:一是没有明确提供与出售的关系。实践中,有观点认为出售与提供在主客观上均有差别,故将二者并列规定并不合适*陈志鑫.侵犯公民个人信息犯罪的体系性构建——以刑法修正案九草案为分析范本[J].江苏警官学院学报,2015,(2):60-64.。相反,也有观点认为尽管二者主观有别,但客观差别不大,故将二者并列规定并无不妥*杨燮蛟,张怡静.大数据时代个人信息刑法保护新探[J].浙江工业大学(社会科学版),2016,(4):415.。对此,我们认为本罪中的出售和提供并非并列关系,因而,探讨并列规定是否妥当的前提本身并不存在,出售与提供属于包容关系,否则就难以说明二者在法定刑上的一致性。二是将擅自提供与定向提供、不定向提供相并列不妥。事实上,擅自提供系对刑法从重处罚条文的具体解释,要么属于定向提供,要么属于非定向提供,而非独立于二者之外的第三种提供行为的类型。同时,对擅自提供公民个人信息中的“公民个人信息”的可识别性特征,已经为公民个人信息的概念所说明,没有必要再予强调。建议:在司法实践中,进一步廓清本罪中提供与出售之间的包容关系,在未来司法解释修订中,直接删除擅自提供的规定,或者另作注意规定。另外,需要说明的是,针对实践中发生的设置公民个人信息的查询网络平台,注册收取会员费的行为,究竟属于出售还是提供的问题,由于二者属于包容,故二者在定罪上差别不大,在量刑上可能存在轻微差别。最高人民法院公布的丁亚光侵犯公民个人信息案就是一起通过设置查询网络平台收取会员费而侵犯公民个人信息的案件,被告人丁亚光非法获取住宿记录等公民个人信息后通过网站提供查询服务牟利,供查询的公民个人信息近2000万条,共有查询记录49698条,收取会员费191440.92元*最高人民法院.侵犯公民个人信息犯罪典型案例[N].人民法院报,2017-05-10(003).。公安部公布的江苏淮安公安机关侦破的陈某某侵犯公民个人信息案,也是通过诱使他人注册会员后充值,以实现出售公民个人信息的目的*付静.公安部公布网络侵犯公民个人信息犯罪典型案例[N].人民公安报,2016-07-21(002).。对此,应明确无论以何种方式提供,只要是有偿的提供,都应当视为出售。
(四)“非法获取公民个人信息”的界定
非法获取公民个人信息包括窃取和以其他方法非法获取公民个人信息的行为两类。根据司法解释的规定,后者包括有对价的非法获取、无对价的非法获取和职务收集型非法获取三类行为,同时,规定“为合法经营而非法购买、收受一般公民个人信息行为”的可罚性仅限于获利五万元以上,或者曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的情形。对此,需要讨论的问题如下:
一是对直接向公民个人购买其个人信息,或者收受公民个人提供的其个人信息行为的刑事可罚性问题。本罪同时处罚提供与获取行为的目的在于切断提供行为的源头*〔19〕张磊.司法实践中侵犯公民个人信息犯罪的疑难问题及其对策[J].当代法学,2011,(1):76.,这无可厚非。然而,由于国家并不禁止个人处分其本人公民个人信息的行为,因此,公民个人提供其本人公民个人信息的行为就不具有违法性,就更谈不上刑事违法性,相应的,其获取的对合行为也就不具有刑事违法性。二是应否强调其他非法方法与窃取行为在非法程度上的一致性。有观点认为,本罪中的其他非法获取方法应当与窃取具有非法程度上的一致性,因此,将购买、收受、交换等行为作为非法获取行为是不妥当的〔19〕。对此,我们认为非法获取主要是着眼于非法得到的结果而言的,强调的是不应获取而获取的结果,而不是着眼于获取方式上,更不是强调不应通过这种方式获取而获取。三是对于职务收集型非法获取而言,其并非与有对价的非法获取、无对价的非法获取相并列的类型,也完全可以归于上述两种类型,因此,将其并列规定并不妥当。建议:在司法实践中,排除向公民本人购买、收受其公民个人信息行为的刑事可罚性,并明确其他非法获取行为不必要求达到与窃取行为完全等同的程度,在未来司法解释修订中,直接删除职务收集型非法获取的规定,或者视为注意规定看待。
(五)“情节严重”与“情节特别严重”的界定
本罪属于情节犯,只有达到情节严重的程度,方才成立本罪。以往,由于对“情节严重”和“情节特别严重”没有细化规定,导致司法实践中处刑偏轻。据统计,中国裁判文书网上公布的133件案件中,没有被判处三年以上有期徒刑的案件,被判处二到三年有期徒刑的案件仅有5件,被判处有期徒刑实刑的案件仅有70件*最高人民检察院检察理论研究所课题组.互联网领域侵犯公民个人信息犯罪问题研究[J].人民检察,2017,(2):9-13.。根据司法解释的规定,本罪的情节严重包括了用途、主观、数量、数额、前科等情节要素。对其理解如下:一是用途方面,被他人用于犯罪中的“他人”,应排除共犯,如果系共犯,应在坚持刑法充分评价的前提下,按照牵连犯或数罪处理。二是数量方面,同一个人的信息既包括了身份证号码、联系电话、居住地址、工作单位等,应当根据具体的信息确定数量,而不是根据综合信息后可识别的具体人员的人数确定数量。三是对于“中度信息”中的“等”字的理解应当作严格的解释,对于没有明示列举的信息,应以一般信息看待为原则,对于已经生效裁判确认的其他中度信息,可以作为中度信息看待。四是数额方面,就违法所得数额而言,实践中普遍存在非法经营额和非法获利额的争议,在目前刑法没有明确规定的前提下,出于有利被告的考虑,建议将其限缩解释为非法获利额,即以非法经营额扣除直接用于经营活动的合理支出部分的数额。五是前科方面,本罪强调的是曾有侵犯公民个人信息收到刑事处罚或行政处罚的行为,在犯罪的罪名上却并非一定是侵犯公民个人信息罪,完全可能成立盗窃罪、非法侵入计算机信息系统罪等。六是单位犯罪方面,规定了单位犯罪与自然人犯罪相同的定罪量刑标准,相对于以往在定罪量刑上区分单位犯罪与自然人犯罪的做法,这一统一定罪量刑的做法,更加有利于维护法益,并且有利于做到罪责刑相一致。
就情节严重解释而言,存在的问题如下:一是对非法获取与非法出售、提供规定了一致的数额、数量要求并不妥当。实践中,有观点从刑法对二行为条文表述的不同,主张二者情节严重的要求也应不同*周光权.刑法各论(第三版)[M].北京:中国人民大学出版社,2016.71-72.。但也有学者主张统一二行为情节严重的程度标准*高铭暄,马克昌,赵秉志.刑法学(第七版)[M].北京:北京大学出版社、高等教育出版社,2016.482-483.。最新司法解释采纳了后者的意见。对此,应当认为既然刑法修正案明确删除了非法获取行为中“情节严重”的要求,就表明了在立法者看来,非法获取行为与非法出售、非法提供行为在入罪上的差别化,司法解释无视这一差别继续采取同等视之的做法,有违罪刑法定的基本原则。另外,主张非法获取手段与非法出售、提供手段在定量上的差异性,并不等于不考虑非法获取手段在入罪上的量的要求,由于我国采取定性加定量的犯罪立法模式,因此,非法获取行为的入罪化仍需要考虑一定的量上的要求。二是对“造成重大经济损失或恶劣社会影响”的规定仍然模糊,司法实践中难以判断,也容易造成各地、各司法机关认定的不统一。建议:将非法提供、出售与非法获取行为的“情节严重”和“情节特别严重”分开规定;将从重处罚的数额和数量要求的规定,与前述擅自提供、职务收集型非法获取行为一并另设条文规定;明确造成重大经济损失的数额。
四、侵犯公民个人信息罪之实践认定
目前,最新司法解释对于侵犯公民个人信息罪的实践认定问题也多有涉及,但存在部分规定不完善、不明确、难以操作等问题,还有些内容则没有规定。具体如下:
(一)想象竞合犯的认定
根据司法解释的规定,设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,就成立非法利用信息网络罪,其处罚的是设立网站、通讯群组的行为,属于侵犯公民个人信息罪的预备行为。如果该预备行为不具有可罚性,则只成立非法利用信息网络罪,反之,如该预备行为具有可罚性,则一行为同时触犯数罪名,属于想象竞合,应从一重处断,即按侵犯公民个人信息罪处断。与之类似的是,网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的行为,成立拒不履行信息网络安全管理义务罪,但根据该罪的规定,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。上述网络服务提供者的行为在本质上也属于“不作为”类型的侵犯公民个人信息的行为,必须符合“应为能为而不为”的特征,至于能为应坚持技术判断的标准,实践中可以通过申请鉴定和专家辅助人出庭的方式加以证明。因此,上述网络服务提供者的不作为行为,同时成立侵犯公民个人信息罪时,应依照侵犯公民个人信息罪定罪处罚。建议司法解释第9条适时明确想象竞合时以侵犯公民个人信息罪定罪处罚的原则。对于司法实践中发生的非法获取以计算机信息系统数据形式存储的公民个人信息的行为,同时符合非法获取计算机信息系统数据罪和侵犯公民个人信息罪的规定,在分别达到两罪入罪标准的前提下,成立想象竞合犯,从一重罪处断。由于刑法对两罪同时规定了相同的法定刑,在两罪处刑相同的情况下,刑法往往将严重的犯罪规定在前,相对较轻的犯罪规定在后,故应以侵犯公民个人信息罪认定。例如2016年6月,山东青岛公安机关侦破的韩某某利用黑客技术,非法入侵航空公司订票系统等网站,窃取公民个人信息数据一案*付静.公安部公布网络侵犯公民个人信息犯罪典型案例[N].人民公安报,2016-07-21(002).,应认定为侵犯公民个人信息罪。
(二)牵连犯的认定
实践中,本罪往往与其他罪名相牵连,一方面,本罪的预备行为,可能构成非法利用信息网络罪,另一方面,本罪也可能成为其他犯罪行为的预备行为或者手段行为。因此,有观点认为在法无明文规定的情况下都应当按牵连犯从一重罪处理*李玉萍.侵犯公民个人信息罪的实践与思考[J].法律适用,2016,(9):16.。根据中国裁判文书网的统计,在 133 件网络侵犯公民个人信息罪的案件中,具有牵连关系的案件有 40 件,占比 30.1%。各地对这一问题处理意见不一,有按照牵连犯从一重处罚的,也有按照数罪并罚的*〔26〕最高人民检察院检察理论研究所课题组.互联网领域侵犯公民个人信息犯罪问题研究[J].人民检察,2017,(2).。对此,我们认为,对于先非法获取公民个人信息,又利用该信息实施其他犯罪的,即便刑法条文没有明确规定,也确实存在手段与目的的牵连关系,是否应按照牵连犯处断还应注重法律评价的充分性,只有在目的罪名能够对手段行为进行充分评价的场合,认定为牵连犯从一重处断才是合适的,而在按照目的定罪不能对手段行为进行充分评价的场和,就应当按照数罪处理。例如为诈骗而伪造国家机关公文、证件、印章,并且实施了诈骗行为的,其中,伪造国家机关公文、证件、印章的行为就可以为诈骗罪中虚构事实的手段行为所包容,就可以成立牵连犯。反之,为抢劫而盗窃枪支、弹药,并实施了抢劫行为的,由于盗窃枪支、弹药的行为不能为抢劫罪中暴力、胁迫或其他的手段行为所包容,就应当采用数罪处断。如此来看,对于实践中多发的为实施诈骗而非法获取公民个人信息,且实施了诈骗行为的,由于虚构事实、隐瞒真相的手段行为不能包容非法获取公民个人信息的行为,应当认定为数罪。
(三)信息数量的认定
司法解释明确规定,先获取后提供的,信息条数不重复计算;向不同单位或个人提供的,信息条数累计计算;批量信息的,可按查获数量直接认定,但不真实、重复的除外。该规定存在问题如下:一是在微信群、QQ群等通讯群组中发布公民个人信息的,信息数量应否累计计算。据中裁判文书网刊载的案例统计,自《刑法修正案(九)》实施以来,侵犯公民个人信息罪共判决135件,其中,网络侵犯公民个人信息罪的判决共133件,以网络社交软件完成的共110件,就占这类犯罪的绝大多数〔26〕。对此,我们认为只要是通讯群组中的人员都可以查看或下载的已发布的公民个人信息的,就应当累计计算。理由是:行为人在通讯群组中发布公民个人信息,即使主观目的上仅是向特定人提供,但客观上已经造成了向通信群组中的所有人提供,而且主观上虽不希望,但也不排斥,属于放纵的间接故意。二是对于查获的批量信息,尽管司法解释规定可以按照查获数量直接认定,但同时也规定不真实、重复的除外,因此,实践中,根本无法按照查获的数量直接认定,成为了一纸空文。例如公安部公布的重庆市巴南公安机关侦破的李某等人利用网络出售中小学生及家长信息、各大楼盘业主信息、各省车主信息、各银行客户信息等公民个人信息,数据存储达61.9G,而这一海量信息却难以直接认定*付静.公安部公布网络侵犯公民个人信息犯罪典型案例[N].人民公安报,2016-07-21(002).。理由是:在批量信息的情况下,公民个人信息是否真实和有无重复的确定耗时耗力,导致公安机关往往没有直接认定的积极性,往往是委托鉴定了之。对此,建议明确规定在通讯群组中发布公民个人信息的,按通讯群组的人员数量累计计算,对查获的批量信息,按照查获数量直接认定,对于通讯群组中人员数量、批量信息中的公民个人信息数量不真实、重复的,应由辩方举证,辩方不能证明的,可直接按照通讯群组中的人数、查获的批量信息条数直接认定。
(四)未完成形态是否可罚
本罪未完成形态的可罚性,即讨论侵犯公民个人信息行为的未遂、预备、中止应否给予刑事处罚的问题。由于本罪属于情节犯,因此,在不具备“情节严重”的情形下,只能认为不构成本罪,而不能认定为本罪的未完成形态。如此探讨本罪未完成形态的刑事可罚性问题,事实上是指在具备情节严重的情形下,是否存在本罪的未完成形态,以及该未完成形态有无刑事处罚的必要性的问题。对此,司法解释并未明确规定。我们认为:首先,本罪未完成形态是否存在的问题。根据司法解释的规定,本罪情节严重的要素主要包括被他人用于犯罪(用途)、明知他人实施犯罪(主观)、信息数量较多和违法所得金额较大(数额)、曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚(前科)等。根据通说,犯罪完成形态与犯罪未完成形态的区分标准就在于犯罪构成要件是否齐备。就用途、主观、前科而言,三者分别属于客观、主观和主体三方面犯罪构成要件要素的添加,并不影响客观行为发展的进程,因此,存在犯罪的未完成形态。就对象数量而言,满足行为指向的对象数量,并不意味着行为已完成,其也存在犯罪的未完成形态。相反,就违法所得金额而言,由于违法所得往往在行为之后才能确定,故违法所得金额的要求就意味着行为实施完毕,只成立既遂。其次,本罪的未完成形态有无刑事可罚性的问题。判断一行为有无刑事可罚性的关键在于判断行为社会危害性的大小,而在我国刑法中,行为社会危害性大小就具体体现为犯罪构成四要件的方面。在满足了用途、主观、前科、数量等任一要素的前提下,尽管行为在客观上未完成,降低了行为的社会危害性,但如果行为同时又在四要件的向度内进行了社会危害性的添加,就仍有可能达到刑事可罚性的程度。例如尽管侵犯公民个人信息情节严重的行为未完成的,不具有刑事可罚性,但侵犯公民个人信息情节特别严重的行为未完成的,就可能具有刑事可罚性。目前,司法解释中规定“针对数额巨大的财物实施盗窃但未遂的,以盗窃罪未遂处罚”的规定,就是典型的例证。
(五)从宽处罚应否包括“但书”规定
至于从宽处理的尺度,根据最新司法解释的规定,对于初犯、退赃、悔罪的,可以认定为情节轻微,做不起诉、免予刑事处罚、从宽处罚的处理,但并未包括“情节显著轻微,不认为是犯罪”的处理。因此,从宽处理的尺度应否包括《刑法》第13条的情形就不无疑问,这涉及情节犯之情节与刑法但书规定的关系问题,或者说是情节犯是否可以适用刑法但书规定的问题。对此,答案应是肯定的。一方面,就原则而言,无论是刑法总则的条文,还是刑法分则的条文,都具有司法适用性,刑法总则处于统领刑法分则的地位,对于刑法分则具有补充适用的机能。另一方面,就情节本身而言,尽管情节犯采用情节二字与但书中的情节二字相同,但并不能由此认为符合情节犯“情节严重”的情形,就必然不符合但书中“情节显著轻微”的情形。首先,二者体系地位不同,情节犯之情节是犯罪成立的积极要素,而但书之情节是犯罪成立的消极要素。其次,二是具体程度不同,情节犯之情节是被司法解释具体化了的情节,但书之情节则是抽象的情节。再次,成立条件不同,情节犯之情节是整体把握个别充足即可成立的要素,而但书之情节是整体把握整体充足方可成立的要素。最后,如果但书不适用于情节犯,那么也就无法适用于情节被具体化了的目的犯、数额犯、危险犯、结果犯等,那么但书规定显然就是多余的,而这有违当前刑法理论界的共识。综上可见,应当承认:在个别特殊的情形下,侵犯公民个人信息的行为,也可能存在“情节显著轻微不认为是犯罪”的可能性。
五、本罪应否“告诉才处理”
从域外立法的情况看,对泄漏公民个人信息的犯罪往往规定了“本罪告诉才处理”的条件。例如德国刑法典中的“侵害他人隐私罪”*徐久生,庄敬华译.德国刑法典[M].北京:中国方正出版社,2004.105-106.、日本改正刑法草案中“泄露秘密罪”*张明楷译.日本刑法典(第2版)[M].北京:法律出版社,2006.206.、意大利刑法典中“泄露职业秘密罪”*黄风译.最新意大利刑法典[M].北京:法律出版社,2007.220.和法国刑法典中的“侵害因数据集获信息处理产生的人之权利罪”*朱琳译.最新法国刑法典[M].北京:法律出版社,2016.140.135.,均规定“本罪告诉才处理”。然而,我国现行刑法对于侵犯公民个人信息罪则没有这一规定。那么究竟是否应将本罪修改为“告诉才处理”的犯罪,理论上也存在疑问。对此,我们认为我国刑法的规定是合理的,原因如下:外国刑法将本罪规定为告诉才处理的犯罪,主要是将隐私权作为本罪的侵害法益或者传统上是将隐私权作为本罪上一级的类罪名的侵害法益。在注重对隐私权保护的场合,如果强制追诉,就可能在刑事追诉中向更多的人暴露当事人的隐私,结果不仅不能保护当事人的隐私权,反而会加重对当事人隐私权的侵害,故域外规定本罪告诉才处理是可以理解的。然而,我国与域外国家的情况并不相同。一方面,我国侵犯公民个人信息罪保护法益的重点在于公民个人的信息自由和安全,其次才是隐私权。另一方面,告诉才处理本身法律性质仍存在程序上的诉讼条件说与实体上的可罚性客观条件说的争议,按照多数说即程序上的诉讼条件说的观点*李立景.论告诉才处理的法律定位[J].当代法学,2004,(3):127.,由于此类犯罪所侵害的往往是轻微的个人法益,因此国家基于尊重被害人意愿的考虑,将求刑权让渡给受害人行使,以实现阻断国家刑罚权的效果*薛万庆.论我国刑法典中的诉讼条件[J].河南教育学院学报(哲学社会科学版),2010,(6):91.。就当下的现实看,侵犯公民个人信息犯罪其行为所侵害的不仅是公民个人的隐私权,更是公民个人信的自由与安全,甚至还成为了诈骗、盗窃、寻衅滋事、故意伤害等其他犯罪的准备行为,因此既不能将该行为看作是轻微的犯罪行为,也不宜将其看作单纯的侵害个人法益的行为。另外,即便站在实体上可罚性客观条件说的少数立场上看,告诉才处理也仅仅适用于那些由被害人的意愿才能准确反应违法性程度的行为,一行为侵害法益的程度是否达到了需要刑法惩罚的量度,原则上通过客观的行为无价值和结果无价值就可以准确衡量,但是在个别罪名中也存在客观无法准确衡量的情况,而必须依赖被害人的主观感受确定。从实践看,对侵犯公民个人信息的行为,社会对大众的容忍度是较低的,要求严惩的呼声不断。同时,与域外刑事立法定性不定量的一元立法模式不同,我国坚持的是刑事立法定性又定量的二元立法模式,在已将轻微侵犯公民个人信息的行为交由行政法解决的情况下,对严重侵犯公民个人信息的行为,强制追诉并无不当。