在线客服
热线电话
  • 13632355031

< >

【广州刑事律师】非法获取公民个人信息罪中的行为认定

分享到:
点击次数:473 更新时间:2021年04月02日14:47:14 打印此页 关闭

广州刑事律师

非法获取公民个人信息罪中的行为认定

作者:刘宗亮 吴晓玲 来源:中国法院网

 

前言:本文来中国法院网,广州刑事辩护律师团队整理编辑,供大家学习,版权归作者所有。

 

【内容提要】近年来,在信息技术发展及商业利益驱动的双重作用下,公民个人信息遭受侵犯现象时有发生。为有效应对这一社会现实问题,《刑法修正案(七)》明确规定了出售公民个人信息罪、非法提供公民个人信息罪以及非法获取公民个人信息罪三个具体罪名。本文试就非法获取公民个人信息罪中的“非法获取”行为的认定谈点粗浅的看法,以期抛砖引玉。

广州刑事律师事务所,广州资深刑事辩护律师,广东刑事律师

  【关键词】个人信息  非法获取  认定

  非法获取公民个人信息罪是《刑法修正案()》中新增设的罪名,按照该修正案第七条之规定:1,国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。第2,窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。但对于何谓“公民个人信息”、“非法获取”、“情节严重”等,修正案未予以明确。笔者将对非法获取公民个人信息罪的概念、犯罪构成、司法实践中的认定谈些看法。

  一、犯罪构成:非法获取公民个人信息罪

  《中华人民共和国刑法修正案(七)》第二百五十三条规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”从该条的规定,非法获取公民个人信息罪是指窃取或者以其他方法非法获取公民个人信息,情节严重的行为。

  该罪侵犯的客体是公民个人身份信息的安全和公民身份管理秩序;该罪客观方面表现为行为人以窃取或者以其他方法非法获取公民个人信息,情节严重的行为;该罪犯罪主体为一般主体,单位可以构成本罪;主观方面表现为故意。所谓故意,即明知公开、泄露他人信息会侵犯他人的权益和危害社会,却仍然去实施这种行为的心理状态。

  二、涵义特征:公民个人信息

  日本2003年颁行的《个人信息保护法》第2条规定,本法中的个人信息,是指根据包含在该信息之内的姓名、出生年月日等其他记录,可以识别特定个人的信息。由于我国尚无公民个人信息保护法,对公民个人信息没有明确的规定,修正案也没有对公民个人信息作出界定。一般来说,公民个人信息是指能够识别公民个人身份的信息,主要包括姓名、年龄、性别、身份证号码、职业、职务、学历、民族状况、婚姻状况等相关信息。但笔者认为,作为侵犯公民个人信息犯罪对象的个人信息不同于普通意义上的个人信息。侵犯公民个人信息犯罪的对象必须是一旦泄露即可能导致公民权利受到严重侵害的信息。因此,在这种意义上的个人信息应是本人不希望为一般人所知晓,具有法律保护价值的能反映公民个人生理及身份特征、社会生活经历及家庭、财务状况及社会生活过程中取得、采用的个人识别代码。它具有以下几个特征,一是主观上不希望他人知晓,二是具有法律保护价值的,三是一旦泄露即可能导致公民权利受到严重侵害的。

  三、范围界定:公民个人信息

  《刑法修正案(七)》第二百五十三条是这样规定的“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”从该条文的规定看出,非法获取公民个人信息罪的规定有一个修饰语句,“上述信息”,那么它应当是指国家机关或者金融、电信、交通、教育、医疗等单位的工作人员在履行职责或者提供服务过程中获得的公民个人信息。但在实践中除了上述几类行业所掌握的个人信息外,还有很多包含公民姓名、电话号码、家庭住址等与公民个人存在关联并可以识别特定个人的信息,同样对公民的人身安全、财产安全和个人隐私构成严重威胁,如从房地产销售渠道流出的购房信息、从保险公司流出的客户信息等等,这些公民个人信息被窃取或者被非法获取,情节严重的也应该构成非法获取公民个人信息罪,因此,笔者认为,只要是窃取或者以其他方法非法获取公民个人信息,情节严重的均构成非法获取公民个人信息罪,而不局限于国家机关或者金融、电信、交通、教育、医疗等部门和行业掌握的个人信息。

广州刑事律师事务所,广州资深刑事辩护律师,广东刑事律师

  四、司法认定:“非法获取”行为

  非法获取公民个人信息罪首先是“非法”。所谓“非法”,一般认为是指没有法律根据而获取。[1]但笔者认为,非法应理解为“违反法律法规的禁止性规定”,理由:1、就法理而言,公民有权实施法律法规并未禁止的任何行为,即便该行为违反公共道德,也不应直接上升到刑罚处罚的高度。2、就途径而言,公民获取他人信息的途径有很多,并非全部都有成文法上的根据,过度扩大处罚范围,有使得“非法”这一限制流于空洞之虞。但在现行法律体系下,只要不是利用职务之便,不是捏造事实诽谤他人,没有超出一般人所能承受的正常限度而严重影响他人的平稳生活,就不应认定为犯罪。3、就规定而言,第1款要求是“违反国家规定”,[2]将第2款中的“非法”理解为“没有法律根据”,这不符合法条的文义。因为第1款中的机关或单位虽明显处于强势地位,却利用此地位背离职责违背信赖,出售或非法提供个人信息,其处罚限制条件理应不比第2款宽松。4、就界定而言,若采取该观点,司法实践的某些问题也难以界定。例如,在大型招聘场所,招聘单位在活动结束后随意丢弃应聘人员材料的情况屡见不鲜,某无业人员进入场内将被丢弃的材料收集整理后,大量出卖给某房地产中介公司,显然,该无业人员的行为并无任何法律依据,是否也应定非法获取公民个人信息罪呢?

  若公民个人信息保护法这一前置法律得以制定,这里的“非法”当然主要是指违反了该法的明文规定。[3]但是,在前置法律缺位以及宪法、民法对个人信息的保护并不十分明确的情况下,事实上,很难区分究竟是并无法律根据还是违反了法律的明文规定,作为次善之策,当下只能是从法益保护的角度去理解:没有明确的法律根据,且足以危及公民信息安全。同样,对第1款中的“非法”提供也可作此理解。

  其次,基于对“非法”的解释。“非法获取”似乎应是一切违反法律法规禁止性规定,取得公民个人信息的行为。对此,刑法仅作了例示性规定。笔者认为,行为手段应与窃取具有大致相同的危害性,因而,除窃取(包括偷拍、秘密录音、秘密跟踪调查等)之外,通过骗取、利诱、胁迫、抢夺、抢劫、恐吓、非法侵入他人计算机系统等法律明文禁止的手段而获取的,均可视为“非法获取”。

  但值得思考的是第2款中的“非法获取”是否当然包括“收买”、“收受”他人信息的行为?

  思考一:作为“出售”、“非法提供”的对向行为的“收买”、“收受”的性质界定。显然,“购买”、“收受”行为是第1款中的特殊主体即相关机关或单位的工作人员“出售”、“非法提供”公民个人信息行为的对向行为,有必要明确第1款中为何没有针对“收买”、“收受”行为的处罚规定。

  这实际上涉及对向犯的处理。对向犯是必要共犯的一种形式,是指以存在二人以上相互对向的行为为要件的犯罪,其处罚形式分为三种:一是双方的罪名与法定刑相同,如重婚罪;二是双方的罪名与法定刑均不同,如行贿罪与受贿罪;三是只处罚一方的行为,如贩卖淫秽物品牟利罪,只处罚贩卖者而不处罚收买者。[4]问题在于,对于第三种类型的对向行为,究竟是由于缺乏明文的处罚规定而不具有可罚性,还是应当然适用总则的共犯规定而具有可罚性呢?从理论上讲,这两种结论均有可能。对此,形式说(立法者意思说)认为,在具有对向犯性质的ab两个行为中,当法律仅将a行为作为犯罪类型加以规定时,当然定型性地预见到了b行为,既然立法者没有规定处罚行为,就应解释为立法宗旨是不认为b行为是犯罪。[5]换言之,形式说认为,必要性共犯的不可罚根据在于对向性参与行为所具有的定型性、通常性,因而当参与行为超过通常程度时,便可认定成立共犯。例如,就出售、非法提供公民个人信息罪而言,仅仅是说“卖给我”或“送给我”,这种行为不具有可罚性,但若特别积极地给对方作工作,鼓动对方出售或提供的,就应认定构成教唆犯。尽管形式说被普遍接受,但对于何为不可罚的定型性、通常性参与行为,其界限并不明确。[6]对此,实质说认为,必要性共犯的不可罚根据在于缺乏违法性或有责性。现在,多数学者主张“实质说与立法者意思说的并用”,[7]认为是否应处罚对向行为,首先要看该对向行为是否超出了定型性、通常性的程度,难以判断之时,还需结合考虑对向行为的违法性、有责性是否达到了“应受刑罚处罚的程度”。也就是说,关键在于该“收买”、“收受”行为是否仍可评价为通常意义上的“收买”、“收受”,若该行为在侵犯公民个人信息的犯罪中不可或缺,与其对向行为互为一体不可分割,形成共犯关系之时,则仍应处罚。

  总之,单就第1款的规定而言,通常的“购买”、“收受”行为一般不具有可罚性。

  思考二、“非法获取”行为与“收买”、“收受”行为的关系。按照对向犯的理论,第1款一般并不处罚“收买”、“收受”行为,但并不能由此而得出本条一般并不处罚收买、收受行为的结论,而应根据条文的整体结构来判断。因为有别于并不处罚收买行为的贩卖淫秽物品牟利罪(《刑法》第363条),本条第2款规定处罚“非法获取”行为,收买、收受行为仍有可能包括其中。[8]因而有必要探讨收买、收受行为的性质。

  1、正因为有收买者、收受者存在,才会出现出售、非法提供行为,并且非法获取个人信息,往往也是为了转售牟利或者通过提供而获取其他非财产性利益,故在很多情况下,收买、收受行为是侵犯个人信息犯罪的土壤或诱因;而且,收买、收受行为也不限于从相关机关或单位的工作人员处收买、收受,例如,从电脑黑客手中收买大量公民个人信息的,也有处罚的必要。显然,直接处罚收买、收受行为(收买者、收受者一般也知道对方是非法出售、非法提供),可以从源头上杜绝出售行为、非法提供行为,也利于打击非法获取行为,这一点毋庸置疑。

  2、仅有处罚的必要显然不能成为处罚的充分理由,关键还在于判断该行为是否已经具备相当的危害性。作为“非法获取”的行为手段,第2款例示性地列举了“窃取”,因而作为“非法获取”的其他手段,至少应与“窃取”具有相当程度的危害性。至于收买、收受行为是否有此危害性,这一点可以从刑法条文的规定形式中找到答案。例如,第111条规定,“为境外的机构、组织、人员窃取、刺探、收买、非法提供国家机密或者情报的”;第177条之一第2款规定,“窃取、收买或者非法提供他人信用卡信息资料的”;第282条规定,“以窃取、刺探、收买方法,非法获取国家秘密的”;第431条第1款规定,“以窃取、刺探、收买方法,非法获取军事秘密的”;第431条第2款规定,“为境外的机构、组织、人员窃取、刺探、收买、非法提供军事秘密的”。由此可见,涉及信息、秘密等犯罪的,我国刑法多将“窃取”与“收买”作为行为手段并列规定。这至少表明,立法者对“收买”与“窃取”具有大致相同的危害性持肯定态度。因而,认为第2款中的“非法获取”包括“收买”行为,具有一定法律根据。

  反之,也可看出,立法者并不当然认为“收受”行为与“窃取”行为具有大致相当的危害性。这一点相对容易理解:收买行为多是积极的作为方式,对相对人具有利益诱惑性;而收受行为尽管不排除通过积极劝诱对方而获取,但更多地是一种消极的不作为方式,其危害性一般低于收买、窃取行为。因此,有必要限制收受行为的人罪,不应将“收受”一律认定为“非法获取”,只能将其作为“非法提供”的对向行为来处理,只有当行为人实施的“收受”行为超过定型性、通常性,对“非法提供”这一犯罪的完成起到不可或缺的作用时,才可将“收受”行为作为“非法提供”的共犯来处理。

  3、虽可以认为“收买”行为危及公民个人信息的安全,属于第2款的“非法获取”,只要达到“情节严重”,就应予以处罚。但“收买”行为毕竟不同于窃取、抢夺等为法律所明文禁止的手段行为,处罚所有“收买”行为既有过度扩大处罚范围之虞,在司法实践中也并不现实(例如,为掌握“销声匿迹”的债务人的行踪,以讨还合法债务,债权人从第三者处收买债务人的信息),而且,例如,私人侦探出售非法获取的个人信息,我国刑法并不处罚一般主体的出售行为,[9]却要处罚收买行为,这之间也存在不均衡。因此,笔者认为,虽同样是要求“隋节严重”,但应区别对待,“收买”行为的入罪标准应更加严格。

  另外,若收买人与符合第1款中的特殊主体要件的出售人就买卖信息达成一定默契,相互分工协作,通过支付一定对价而利用对方去非法获取个人信息,共同完成侵犯公民信息的犯罪,能认定为共犯甚至是间接正犯之时,当然并非不能适用第1款。然而,既然可直接将“收买”行为认定为第2款的实行行为,且第1款与第2款在法定刑上完全相同,则直接适用第2款即可。

  [注释]

[1]
赵秉志主编:《刑法修正案最新理解适用》,中国法制出版社2009年版,第122页。

[2]
由于我国尚未制定《个人信息保护法》,“违反国家规定”中的“规定”还有待于具体界定。但至少可以宪法、民法、行政法(《邮政法》、《律师法》、《居民身份证法》、《公证法》、《人民银行法》、《保险法》等)作为其根据。例如,《警察法》第22条就规定,人民警察不得实施“泄露国家秘密、警务工作秘密”、“从事营利性的经营活动或者受雇于任何个人或者组织”等行为。笔者认为,对有权单位而言,采集公民个人信息的行为应依照严格的程序,尤其必须明确特定用途,在此意义上,毋宁说,所谓“违反国家规定”,其实质内涵就在于违背了获取公民信息的本来目的。当然,若事先征得本人的同意,可作为被害人的承诺而认定阻却违法性;若事后征得本人同意,宜认定为尚未达到“情节严重”的程度。

[3]
在学者起草的《个人信息保护法(专家建议稿)》中,第11条规定政府机关只能在法定职权范围内,为履行其职责收集个人信息,政府机关收集个人信息必须有明确、合法和特定的使用目的。第15条明确对政府机关的个人信息处理作出“使用限制”,即政府机关只能在收集个人信息时所明确的使用目的范围内处理个人信息。其他个人信息处理者除了需登记申请行政许可外,其收集或处理个人信息也同样必须有明确、特定的使用目的(第44条),超出该使用目的处理个人信息的,必须经信息主体事先同意(第45条)(参见周汉华:《个人信息保护法(专家建议稿)及立法研究报告》,法律出版社2006年版,第416页)。这事实上即已排除了买卖、非法提供、非法获取个人信息的合法性。

[4]
参见张明楷:《刑法学》,法律出版社2007年版,第312页。

[5]
参见(日)团藤重光:《刑法纲要总论》,创文社1990年版,第432页。

[6]
参见(日)山口厚:《刑法总论》,有斐阁2007年版,第339页。

[7]
参见(日)西田典之:《刑法总论》,弘文堂2006年版,第355页。

[8]
2款的“非法荻取”尽管可包括第1款的“出售”、“非法提供”的对象行为即“收买”、“收受”行为,但第1款与第2款之间并非对应关系。

[9]
究其原因,可能是立法者认为,一般主体合法获取大量公民个人信息的可能性较小,其出售或非法提供行为多为··非法获取”的后续行为;即便一般主体实施了出售或非法提供行为,其危害性远远小于特殊主体的类似行为。但至少可明确的是。立法如此规定符合刑法的谦抑性原则。

  (作者单位:江西省鄱阳县人民法院)

上一条:【广州刑事律师】成功劝说同案犯一同投案是否构成立功 下一条:【广州刑事律师】上游行为对转化型抢劫罪的影响