【广州刑事律师】
侵犯公民个人信息罪定罪标准研究
作者:上海法宣 来源:中国法院网上海法院
前言:本文系对侵犯公民个人信息罪定罪标准的分析,文章来源人民法院报,广州侵犯公民个人信息罪辩护律师团队整理编辑,供大家学习,版权归作者所有。
为了打击愈加猖狂的侵害公民个人信息行为,2009年出台的《刑法修正案(七)》将出售、非法提供、非法获取公民个人信息的行为认定为犯罪,为保护公民个人信息奠定了刑法基础。但时隔六年以来,立法再无新增相关的法律条文或司法解释对本罪的具体认定予以规范,造成司法实践中对于本罪的适用存在较多的问题。新出台的《刑法修正案(九)》虽然对本罪条文进行了修改,扩大了犯罪主体的范围以及增加了“情节特别严重”情形下的法定刑档次,却并没有涉及审判实践中最为关心的“个人信息”和“情节严重”的认定标准问题。在当前侵害个人信息犯罪呈现高发态势的背景下,《刑法》第二百五十三条之一的规定独木难支。本文即在此基础上对侵害公民个人信息罪定罪标准的相关问题展开研究。
一、现状探究:信息类别的认定差异与“情节严重”的自由裁断
本文对S市辖区内所有法院自《刑法修正案(七)》颁布后至2015年4月30日期间审理的侵害公民个人信息类案件进行了梳理和统计,其中一审案件共142件,涉案人数278人,出售、非法提供公民个人信息犯罪17件,非法获取公民个人信息犯罪125件。在这142起案件中,法官在对个人信息类型的认定和在“情节严重”的判断上存在明显的差异。
(一)个人信息类别的认定种类繁多
图表1:个人信息类别的司法认定情况
从上表可以看出,法官对公民个人信息的认定错综复杂,跨类繁多。在信息类型上,既有身份信息、财产信息、交易信息,还有行踪信息、通话信息、教育信息等,几乎囊括了个人生活的各个方面。在没有对公民个人信息下一个准确定义前,法官们只能凭借自身的经验和社会的一般评价进行规范的构成要件要素的判断,而这也是造成目前公民个人信息认定混乱的主要原因。
(二)“情节严重”的判断弹性较大
图表2:“情节严重”的司法认定情况
从上表反映的情况来看,司法实践中对“情节严重”的判断主要集中在信息数量、信息类型、营利数额等六个方面。不仅考量范围不全面,而且在这六种情形当中也存在认定上的差异。例如在信息数量这一情节中,认定的标准就存在较大的不同,既有以万为单位认定侵害公民个人信息数量巨大,情节严重的;也有以几十条个人信息认定行为人构成犯罪的。
二、路径探索:个人信息的刑法认定
(一)国内外研究现状
目前,国内刑法理论界对于公民个人信息的概念存在着不同的学术主张,主要集中在关联说、隐私说和识别说的争论上。关联说认为,凡是与个人存在关联的信息都属于个人信息,如“公民个人信息是指以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。其外延十分广泛,几乎有关个人的一切信息、数据或者情况都可以被认定为个人信息”。隐私说认为,只有与个人隐私相关的才属个人信息,如“个人信息是指社会成员中大部分人不愿向外透露的信息;还包括不愿他人知道的个人极其敏感的信息(如大部分社会成员并不在意其他社会成员知道自己的身高,但有的人对自己的身高却极为敏感,不愿被他人知道)”。识别说认为,公民个人信息是指姓名、职业、职务、年龄、婚姻状况、学历、专业资格等能够识别公民个人身份的信息。
而在国外的立法研究中,各国对公民个人信息的定义也存在着差别。例如,美国将个人信息的保护归入隐私保护之中。其对隐私权的定义为:“个人对控制个人信息范围的请求权,在这一范围内主体收集、披露和利用确认为自己的信息。”而欧洲诸国在立法中则多沿用个人数据这一概念。在其法律语境中的个人数据是指设定了一定限制或者说出于某一目的而甄别出来一组个人信息,包括已识别信息主体身份的信息和可用来识别信息主体身份的信息。日本在《个人信息保护法》第二条中规定:“所谓个人信息就是指有关活着的个人的信息,根据该信息所含有姓名、出生年月以及其他一些描述,能把该个人从他人中识别出来的与该个人相关的信息。”
(二)刑法认定的基础:个人信息的识别性
比较国内理论界和国外立法对个人信息的定义,可以看到,对个人信息概念定义的差别主要集中在识别性和隐私性两种分歧上。关联说对个人信息的定义较为宽泛,其将所有与个人相关的信息都囊括其中,“以任何形式存在并与个人存在关联的信息”涵盖了社会生活的各个方面,其概念仍然具有模糊性,不利于司法实践中对个人信息的准确认定;而且事实上任何信息都能与不特定的人沾上千丝万缕的关系,如果将所有与个人相关联的信息都纳入刑法保护范围,也容易造成犯罪打击面的扩大化。因此,本文并不赞同关联说。
而在识别性与隐私性之中,本文倾向于将识别性作为认定个人信息的核心属性。理由在于:第一,相对于识别性而言,隐私性并没有一个符合社会一般标准的定义,是否属于个人私密领域,是需要通过权利人的主观感受来进行辨认和定夺的。同样类别的个人信息,有的人认为属于隐私,而另外的人却并不介意公开。以隐私性作为个人信息的核心属性并不能做到有效甄别和区分。第二,个人隐私与个人信息并不完全等同,部分个人信息虽然可以公开,但仍然应当在法律的保护范围内。法律对个人信息的保护不仅仅是对于个人隐私的保护,更重要的是对社会秩序的保护,保障社会个人免受因信息泄露而可能遭受的危害。第三,信息泄露的危害在于获取信息者能够通过信息锁定特定的个人,并通过信息反映的特定个人的具体情况,进行有针对性的侵害行为甚至犯罪行为。保护公民个人信息本质上就是为了保障根据个人信息所识别出来的每一个具体个人享有的免受侵害而正常生活的权利。因此,以识别性作为个人信息的核心属性,能够合理地涵盖刑法所应保护的范围,从而有效、精确地打击犯罪,保护公民合法权益。
(三)刑法认定的路径:构建不同类型个人信息效力等级的计算框架
在确定公民个人信息的核心属性后,我们回到图表1所反映的问题:个人信息认定的杂乱无序和跨类繁多。根据统计情况来看,实践中认定的个人信息类型大概有身份信息、财产信息等6大类,姓名、电话、地址等22小类。但同时,未明确认定个人信息类型的案件有52起,占到总数的36.6%。显然,这52起案件中的个人信息能否成为适格的犯罪对象,法官并不能作出有效判定。那么,哪些信息单独或同时存在时能够达到可识别性的要求,从而成为适格的犯罪对象呢?
本文认为可以从以下几个方面进行考虑。
1.划定个人信息识别效力等级
个人信息的基本功能在于识别特定的个人,而不同种类的信息在识别能力上是不同的,因此,虽然较多种类的信息都属于刑法保护的范围,但并非每一类信息都能独立成为本罪的犯罪对象。在司法实践中认定本罪的个人信息时,就需要先对信息的识别效力进行分类和划定,可以包括以下三类:第一,唯一性信息。如身份证号、指纹、DNA鉴定等,该类信息为个人唯一专有,具有完整的识别能力,即使群体众多,也能从中毫无差错地识别出单独的个人。第二,有效性信息。如姓名、电话、消费记录等。该类信息一般情况下为个人专有,但并不具有唯一性,存在重复的可能。第三,共享性信息。如年龄、职业、学校等。该类信息并非个人专有,而是部分群体共同享有的信息,识别效力较低。在效力等级上,唯一性信息>有效性信息>共享性信息。
2.构建个人信息识别效力计算框架
在划定的个人信息识别效力等级中,属于第一层级的唯一性信息识别效力最高,如指纹、DNA等生物性信息属于先天个人专属信息,以目前医学角度来看,每个人的DNA结构都各不相同,能够直接锁定特定的个人。与此相类似,身份证号等标识性信息属于后天个人专属信息,是国家为了进行有效地识别和区分个人而设立的信息,其本身存在的功能即是个体识别,也具有最高识别效力。因此,属于该第一层级的信息是以点对点的形式对应独立的个人,故其单独存在也达到了可识别性的标准。
属于第二层级的为有效性信息,该类信息识别效力较高,但因其存在重复的可能性而无法直接对应具体个人,例如姓名、电话等信息在一定范围内足以识别单独的个人,但当搜索范围扩大时其具有的识别效力将明显降低,属于该第二层级的信息所对应的多人可以用线段的形式予以表达,而想要凭借线段识别独立的点,就需要至少两条以上的线段进行交叉。因此,属于该层级的信息独立存在不能达到可识别性的标准,只有包含有两条以上该层级信息的个人信息才符合标准。以目前司法实践认定情况来看,姓名和电话的组合是认定个人信息的最低要求,其即是包含了两条以上的有效性信息。
属于第三层级的为共享性信息,此类信息因由部分群体共享,所以每一信息所识别的都是对应的群体,例如职业、学校等信息所包含的个体繁多,很难识别单独的个人。属于该第三层级的信息所对应的群体可以用圆的形式予以表达,而无论多少圆的交叉,其所共同涵盖的区域只是不断缩小范围而无法成为独立的点。因此,属于第三层级的信息即使数量众多,也无法达到可识别性的标准。
当三个层级的信息互有存在时,需要考虑的是后两个层级的信息组合如何达到可识别的标准的问题,即存在一条有效性信息和多条共享性信息时是否符合标准。同样以图形的形式予以模拟,当存在一条有效性信息和一条共享性信息时,此时线段和圆的交叉的结果可能存在一个点,也可能为两个点。例如当个人信息包含姓名和单位时,一般情形下足以准确地识别个人(此时即交叉结果为一个点),但不排除同一单位同姓名的人存在(此时即交叉结果为两个点)。当存在一条有效性信息和两条共享性信息时,此时线段和圆的交叉的结果可能有唯一点(即线段通过两圆切面)。因此,当不同层级信息混杂时,至少需要一条有效性信息和两条共享性信息才符合可识别性标准。当然,此处借助图形模拟分析是为了方便和直观,司法实践中对于不同层级信息混杂的,仍然需要在此基础上结合具体信息种类予以最后认定。
3.最终认定路径和体系
综上,公民个人信息的具体认定路径包括:第一步,按照效力等级将个人信息予以分类;第二步,将不同等级的个人信息予以组合;第三步,将组合后个人信息按照计算标准予以认定;第四步,确定最终是否构成公民个人信息。
三、标准构建:“情节严重”的规范框架
根据《刑法》第二百五十三条之一的规定,本罪只有在对公民个人信息的侵害达到某种严重程度时才构成犯罪,情节是否严重是判断行为人是否构成犯罪的标准。目前理论界对本罪情节严重的判断标准主要有:三因素说、四因素说、五因素说等。这些观点从信息数量、行为次数等多个方面对影响情节严重的要素进行了不同程度的列举,但单独分析每一个观点,我们可以看到无论是几因素说,其对情节严重的因素考量都没有在一个完整的逻辑框架下进行分析和论证,其在列举上都缺乏周延性。例如从图表2所列举的6种情形来看,上述观点对获取信息的类型、获取手段等情节都没有进行考量,而且在各种情节的具体认定标准上也没有进行探讨并给出适用建议。
本文赞同张明楷教授的观点,“情节严重”作为一种概括性的定罪情节,其内涵与外延应当从犯罪的客体、客观方面、主体、主观方面等多角度予以考察。要具体考量影响定罪的情节,并不能单纯地从个罪的角度出发,仍应当回到犯罪构成的逻辑框架当中,以之为基础和角度对个罪进行全方面的考察。在这样一个整体逻辑框架下进行要素考量,能够较为全面地考察影响定罪的各项因素,从而避免遗漏。
(一)不同类别信息的差异标准构建
侵害公民个人信息罪的犯罪客体是公民的个人信息权,犯罪对象即是公民的个人信息。因此,在客体因素方面,对情节严重的认定结合图表2所反映的情况主要考量侵害公民个人信息的数量和类型两个方面。
1.个人信息的数量。
个人信息的数量即指行为所具体侵害的个人信息的条数。以个人信息的数量作为量化的标准,最能直接地反映本罪行为的社会危害性。在具体标准方面,有学者提出可以参照传播淫秽电子信息相关司法解释的规定,以一万条信息作为本罪“数量较大”的具体标准。
本文对此并不赞同。
首先,淫秽电子信息虽然与个人信息共有“信息”二字,但二者本质相距甚远。淫秽电子信息的传播范围并不广泛,所造成的社会危害性也较小,而公民个人信息则牵连着公民个人的人身安全和财产安全,其被侵害后极易引发后续诈骗、敲诈勒索等犯罪的发生,具有更为严重的社会危害性。
其次,由于目前本罪取证困难,对行为人交易记录、存储的信息等均需要固定电子证据,造成司法实践中很多案件对信息数量难以进行有效认定。从图表1反映的情况看,在对信息数量的112次认定中,有42次认定的信息数量是不足一万条的,占比高达37%。
因此,如果硬性以一万条作为标准,将很难起到震慑犯罪的作用。在这里,本文认为可以参照《最高人民法院、最高人民检察院关于办理诈骗刑事案件具体应用法律若干问题的解释》(以下简称《诈骗解释》)第五条第二款第一项的规定:“利用发送短信、拨打电话、互联网等电信技术手段发送诈骗信息五千条以上的,以诈骗罪(未遂)定罪处罚”,以五千条作为侵害公民个人信息定罪处罚的基准。
2.个人信息的类型。
在同等识别效力下,个人信息依照其敏感程度的不同而划分为不同的类型。无论是个人一般信息还是隐私信息,都可能成为被侵害的对象。信息的敏感程度不同,所属的权重就不同,天平两端重量的倾斜不仅取决于砝码的数量,也取决于砝码的质量。如果犯罪行为侵害的是个人敏感信息,即使数量较少其对社会的危害并不一定比数量较多的普通信息更轻。在敏感程度上,按照信息类别从高到低划分为:个人隐私信息>个人金融信息>个人身份信息。
综上,本文认为,侵害个人身份等普通信息的应以五千条作为情节严重的标准,侵害个人金融信息的应以二千五百条作为情节严重的标准,侵害个人隐私信息的应以一千条作为情节严重。