《侵犯公民个人信息罪的行为对象.docx》由会员分享,可在线阅读,更多相关《侵犯公民个人信息罪的行为对象.docx(11页珍藏版)》请在优知文库上搜索。
1、圜。公民个人信息O的行艰在现代信息社会,个人信息一旦被非法获取就可能在网络中迅速扩散,有些敏感个人信息一旦脱离了合法的处理范围被泄露和使用,会给被害人造成巨大精神伤害,衍生出包括恶意人身骚扰、盗用他人名义注册、精准实施电信网络诈骗犯罪、绑架犯罪等各种复杂问题,网络“黑产”参与非法获取、提供个人信息还可能引发社会管理秩序的混乱。因此,对侵犯公民个人信息罪依法进行惩处极为必要。本文结合正在讨论中的个人信息保护法草案(二审稿)对侵犯公民个人信息罪的行为对象尤其是个人信息的范围、分类、公开性等三个问题进行探讨,厘清其与民法上相关概念的关联性与细微差异,以期消除刑事司法实务上的相关分歧。一、刑法中个人信
2、息的概念及种类根据刑法第253条之一的规定,违反国家有关规定,向他人出售或者提供公民个人信息情节严重的,以及窃取或者以其他方法非法获取公民个人信息的,构成侵犯公民个人信息罪。据此,目前我国法律并不禁止企业或个人从事个人信息相关业务,更不会禁止对信息的合理使用,刑法要反时的是违反国家规定,向他人出售、提供或非法获取公民个人信息的行为,并非只要从事与个人信息相关的非法业务均成立犯罪,因此,本罪的处罚范围是有限的。除了行为手段的限制之外,本罪在行为对象上也有严格限制。本罪并不笼统处罚所有非法获取、提供信息、数据的行为,仅将与个人有关的信息作为保护对象。这L规定与网络安全法的相关规定相L致。该法第42
3、条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。其第44条规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。关于刑法上个人信息的概念及其外延是否必须和民法典、网络安全法以及个人信息保护法草案(二审槁)的规定保持L致,个人信息的可识别性是否需要坚持,在刑法学上存在争议,很值得探讨。(一)刑法上个人信息概念的演进我国个人信息保护的实践早期主要在刑事领域展开,而且从现有的治理侵犯公民个人信息的措施看,刑罚仍然承担着主要角色,且持一种严罚的态度。(1)参见
4、汪明亮:治理侵犯公民个人信息犯罪之刑罚替代措施,载G东方法学2019年第2期,第16页。最高人民法院、散高人民检察院、公安部关于依法惩处侵害公民个人信息犯翠活动的通知3(2013年4月23日)规定,公民个人信息,包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。这是刑事司法解释中最早出现个人信息的就念,其在广义上把握个人信息,将识别个人身份或者涉及公民个人隐私的信息都包括在内。这种刑事司法取向,即使是在2016年网络安全法颁布之后,也没有大的调整。根据网络安全法笫76条第5项的规定,个人信息,是指以
5、电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。网络安全法基本属于在狭义上理解个人信息,将其界定为能够识别个人身份的信息,没有明确提到个人信息包括1涉及公民个人隐私的信息,此后,最高人民法院、最高人民检察院发布了关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释(2017年5月8日发布,以下简称“2017年刑事司法解簪)其也并未按照网络安全法的逻辑界定个人信息,而是对其有较大拓展,该解释第1条规定,刑法第253条之一规定的公民个人信息,是指以电子或者其他方式记录的能够单独或者
6、与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号卷码、财产状况、行踪轨迹等。这样一来,在个人身份信息之外能够反映特定自然人活动情况的各种信息”,也属于个人信息。时于这一解看,可以认为其比之前实施的网络安全法以及关于依法惩处侵害公民个人信息犯罪活动的遹知中关于个人信息的界定还要宽泛,因为在2013年的通知中,个人身份之外的“公民个人隐私可以成为个人信息。但是,在2017年的司法解释中,只要是“反映特定自然人活动情况的各种信息,即便其不属于民法典第1032条与第1034条第3款规定的个人隙私,不涉及私人生活安宁,或者与私密空
7、间、私密活动、私密信息无关,也是个人信息。例如,乙每天固定坐班车前往单位的行踪轨迹,也可能成为本罪的行为对象,行为人甲对被害人乙的日常生活轨迹进行技术追踪定位,然后将该信息非法提供给被害人的仇人丙,丙掌握领导乙的生活规律后,对离开班车后步行回家途中的乙实麴绑架行为的,可以认定甲构成侵犯公民个人信息罪。在2017年刑事司法解释实施之后,立法上进一步对个人信息概念进行了明确。根据民法典第1034条第2款的规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期,身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
8、个人信息保护法草案(二审稿)第4条第1款规定,个人信息是以电子或者其他方式记录的与巳识别或可识别的自然人有关的各种信息,不包括匿名化处理后的信息。通过上述校理可以看出:前述司法解绛以及立法都试图厘清个人信息概念,在相关规定中,都重视信息在识别特定个人方面的功能发挥,采用列举与祝括相结合的规范方式,其中关于等信息”的规定,能够将需要保护的个人信息“兜得住”,不会形成利益保护方面的漏洞。单纯从文字表述上看,刑法中个人信息的外延与民法典以及个人信息保护法草案(二审稿)有所差异。但是,这样的差异基本上是无关紧要的。在刑事司法实践中,行为人所侵犯的个人信息,基本都是民事上常见的信息类型,且大多表现为多种
9、信息的组合。例如,行为人一次性非法出售含有身份证号码、住所地址、手机号码、车牌号码、车辆品牌、机动车所有人、车辆识别代码等多种信息的案件在实践中屡见不鲜。(2)参见江苏省南通市中级人民法院(2018)苏06刑终字第342号刑事裁定书。民法典或个人信息保护法草案(二审稿)中有明确规定,但刑事司法解释上未明确列举的信息类型,不等于刑法上不处罚。例如,民法典第1034条第2款将健康信息明确规定为个人信息。2017年刑事司法解释上并无类似规定。但是,实务上对于非法获取、提供慢性病监测系统病人信息的案件,仍然以本罪论处。(3)参见重庆市忠县人民法院(2017)渝0233刑初字第198号刑事判决书。此外,
10、在民法典以及网络安全法中,都将生物识别信息明确规定为个人信息,在个人信息保护法草案(二审稿)第29条第2款中,将个人生物特征明确规定为个人敏感信息。但是,在2017年刑事司法解释中并无相关规定。不过,这丝亳不影响司法机关未来对非法获取、提供个人生物信息的行为认定为犯罪。例如,行为人如果使用人脸识别软件1识别他人的人脸信息,或对人脸识别数据进行加工,然后提供给第三方的,完全可以构成本罪。刑法上早期重视隐私,将其与个人身份信息并列,但是,近年来巳经不再强调信息的隐私性质。但是,实务上,对于客观上与特定自然人相关联的隐私信息的保护非常重视,侵犯的个人信息涉及个人隐私的更容易成为定罪理由。例如,201
11、6年12月至2017年4月,被告人朱仕展利用在青岛市公安局城阳分局指挥中心工作便利,私自利用民警边某的数字证书查询他人的开房信息”700余条,贩卖给被告人兰倩倩,后者向被告人朱仕展支付人民币7万余元,法院以本罪判处被告人朱仕展有期徒刑3年2个月。(4)参见山东省青岛市城阳区人民法院(2017)鲁0214刑初字第635号刑事判决书。刑法和民法对个人信息保护的侧重点有所不同。在2017年刑事司法解稀中特别将账号密码、财产状况明确列举出来,实务中对于财产信息的保护也特别看重。例如,被告人王敏利用其在宁波市不动产登记中心的工作便利,以每条70至Ioo元的价格,向被告人陈建波出售公民个人房产信息190余
12、条,法院认定被告人构成本罪。(5)参见浙江省宁波市中级人民法院(2018)浙02刑终字第893号刑事裁定书。但是,在民法典第1034条第2款中并未明确列举账号密码、财产状况。而在个人信息保护法草案(二审稿)第29条第2款中,金融账户不仅是个人信息,而且是敏感个人信息。不过,由于财产所有者的财产状况、账户密码等信息总是和个人相关联,能够对应个人其他信息,因此,民法典与其他部门法或者2017年刑事司法解释之间的规范表述差异,并不意味着民法典的规定有缺漏。例如,行为人通过不法手段获取其他公民在网络上所注册使用的账号密码(如微信号、邮箱账户密码、支付宝账号等)的,这些账号的账户本身外在表现为数字符号,
13、但账户内往往记载或者能反映出注册人的姓名、手机号、身份证号等个人信息,张号最终都指向具体个人。尤其是在2016年7月1日非银行支付机构网络支付业务管理办法实施之后,凡是具有支付功能的第三方支付账号都将要求实名认证后才可以使用。这些经过实名认证的账号具有极强的身份属性,可以理解为2017年刑事司法解释中的账号密码,也可以将其理解为包含了民法典第1034条第2款规定的自然人的姓名.身份证件号码等信息。此外,个人财产状况等信息也总是和个人相关联的,行为人非法购买公民户籍信息、机动车档案信息等公民个人信息,小区业主信息等,既涉及个人财产信息,也涉及个人身份信息。例如,被告人李某将自己在名为“成都楼盘信
14、息”的通讯群中非法获取的数万条含有楼盘名称及楼栋号、业主姓名、业主电话的公民个人信息非法出售、提供的,法院认定被告人构成本罪,(6)参见成都市锦江区人民法院(2019)川0104刑初字第31号刑事判决书。在这里,个人财产信息和身份信息密不可分,不能认为该行为仅违反2017年刑事司法解释的规定,而不违反民法典第1034条笫2款的规定。上述分析说明,关于个人信息的外延,刑法上的认识确实和其他部门法之间存在细微差别,不同部门法的规范目的不同,在溉念使用上有所不同,这是非常正常的现象。(7)刑法上关于信用卡的理解和金融管理法规的观点不同,就属于这种情形。但是,这丝毫不意味着刑法上的判断可以抛开民法典、
15、网络安全法乃至个人信息保护法草案(二审稿另搞一套”:也并不是像有的学者所认为的那样,刑法中的个人信息可以不要求可识别性。(8)持这种观点的学者为数极少。相关论述请参见晋涛:刑法中个人信息“识别性”的取舍,栽中国刑事法杂志2019年第5期,第70页。一方面,由于本罪的成立以违反国家有关规定为前提,那么.民法典、网络安全法以及个人信息保护法草案(二审稿)等前置法关于个人信息外需的规定对于定罪就会产生影响,这是法秩序统一性原理的内在要求。要遵循法秩序的统一性,就要防止将前置法上不具有违法性的行为在刑法上认定为犯罪。法秩序统一性要求在处理某一个行为时,所有的规范秩序不能相互矛盾,如果某种利益在民法上不
16、受保护,刑法上却将针对该利益所实施的行为认定为犯罪,公众的自由行动就会不当受限。唯有民法、行政法等前置法所要反对的行为,才有可能成为犯罪行为。在刑法与民法规范的保护目的相一致的场合,刑法应当从属于民法,这是法秩序统一性的当然要求。(9)参见周光权:处理刑民交叉案件需要关注前置法,载法治日报2021年4月7日,笫9版。对于本罪的成立而言,民法典、网路安全法乃至个人信息保护法草案(二审稿)对于个人信息外延的框定,为定罪提供支撑,同时成为刑法保护个人信息的最大边界。当然,由于刑法的构成要件设计上存在缩小处罚范围的政策考虑,也由于刑法主要在与公民人身、财产权利相关联的意义上把握个人信息,因此,前置法上的违法行为中只有极小部分最终被作为本罪结理,刑法上必须做相对独立的违法性判断。“其他法域认为违法而刑法上亦应认定为违法这一推论,既非推论上的必然,亦非刑事政策与刑罚目的的彰显,因而刑法不可能为了追求逻辑的统一性而将所有民事违法行