摘要:在大数据信息全覆盖的当下,公民信息成为越来越重要的保护对象。但是侵犯公民信息罪的应用在近年的司法实践中仍存在问题。侵犯公民信息罪有实害结果并且是故意犯,无论获取手段合法与否,非法使用公民信息就应当构成非法使用公民个人信息罪,但是公民同意其侵犯个人信息时不构成犯罪。侵犯公民信息保护的法益是自己信息自己决定的自主权。司法实践解释中对于情节严重的规定应当由被害人的受损害程度和犯罪嫌疑人的主观恶性综合判断。在共犯的认定上要符合共同犯罪的原理。司法解释应当衔接《个人信息保护法》,并且对初犯与再犯进行区分处罚。
关键词:侵犯公民个人信息罪;共同犯罪;个人信息保护法;再犯认定
一、现存问题
当下,人类文明业已由工业文明时代转入数据化时代,信息安全正在影响着每一个人。个人信息妥善利用将极大提升人类资源利用效率,但不加以严格规制也会被投机者利用,进而实施危害信息主体的行为,所以个人信息保护顺应时代而生。2009年,《刑法修正案(七)》开始关注个人信息安全,增设出售、非法提供个人信息罪与非法获取个人信息罪,这对保护个人信息安全具有里程碑意义。但由于这两个罪名是对个人信息保护的开端,保护的范围并不严密,故而《刑法修正案(九)》在此基础上进行了修订,将原有的两个罪名合并,并且对于犯罪的不同主体规定了不同的量刑方式,提高了《刑法修正案(七)》规定的法定刑。《刑法》中侵犯公民个人信息罪有一个前提:违反国家有关规定,所以对于此罪的前置法研究是基础。2021年国家出台《个人信息保护法》,将个人信息的定义予以明确,为侵犯公民个人信息罪的准确前置提供了适用标准。但其使用的立法方式与《刑法》司法解释的规制方式有所差别,《个人信息保护法》的规制方式为抽象化的概念,而《刑法》司法解释为列举加总结的方式,所以在具体应用上也存在不同,对司法实践造成一定的影响。此外,对于被害人“同意”如何做出《刑法》上的定义,仍存在一定的法律空白。由此,本文讨论在司法实践中出现的问题,以消减与之相关的争论与分歧,而使该罪名能够更好适用。
二、前置法的规范
(一)前置法的体系完善
由于侵犯公民信息罪的前提是违反国家规定,所以,《个人信息保护法》《民法典》和《信息网络安全法》等前置法里关于个人信息的规定和外延将会对罪名适用产生一定的影响,这是法律体系完善的内在价值追求。防止法律体系的破坏就需要《刑法》将前置法中违法行为规定为犯罪行为。法律体系的完善要求在处理一件事情不能出现矛盾的观点,如果某行为在行政法、民法中不视为违法,但却用刑法处置,就出现了体系性冲突。《刑法》是一切法的保障法。对于侵犯公民信息权而言,前置法成为是否构成犯罪的对照依据,同时也是《刑法》规制的最大界限。
(二)“违反国家有关规定”包含的前置法范围限制
违反国家规定是入罪的基础,个人信息解释中规定违反法律、行政法规、部门规章中相关信息保护的,应当认定侵犯个人信息罪中的“违反国家有关规定”。国家有关规定是否应当包含部门规章和地方性法律?所以划定国家规定的范围是司法实践中的需求。对此,有观点认为,参照最高人民法院对有关“以国务院办公厅名义制发的文件”作出的界定,只要部门规章与相关法律、行政法规不相抵触,就可以视为“国家有关规定”,而不必以法律、行政法规有明确规定为前提[1]。与之对应,也有部分学者认为国家有关规定不能囊括地方性法规和部门规章,应减少入罪的范围,防止过于宽泛,导致《刑法》适用不清晰。笔者看来某些地方性法规和部门规章根据地区或者部门理解制定,其与法律、司法解释有所出入也是正常,如果将其包含在国家规定中,将增加刑法的不稳定性。此外,地方性法规和部门规章在程序上变动较为简单,所以更改频繁,这也是将变相导致刑法的不稳定。由此笔者建议,国家相关规定不应当包含地方性法规和部门规章。
三、被害人同意使用其个人信息中“同意”的界定
被害人同意使用其个人信息,使其法益丧失要保护的基础,由此便不存在犯罪一说。侵犯公民个人信息罪保护的法益属于个人法益,且被害人处置有效,所以可以推定个人信息权适用于被害人同意,但是实践中具体实行有待讨论。以已公开的信息为例,其属于经过个人同意的信息,但是其公开信息是否一定不属于法益保护范围?对于这个问题学界存在有罪说和无罪说两种学说。有罪说在实践中多被应用,其主张的原因是公开后的个人信息虽然不具有隐私特质,但是能够对个体身份进行识别,利用这种信息将对他人生活安定造成影响。例如,一案例中田某非法获取他人银行征信166条,被认定为侵犯公民个人信息罪。无罪说在实践中占有少数,其观点是认为不保护不值得刑法保护的信息,即公开的信息不能对个体识别且属于自愿公开。例如,另一案例中获取各地工商出卖的行为人信息,开始以侵犯公民个人信息罪定罪,但后来以没有遭受明确拒绝和使被收集人遭受重大损害为由撤销案件。所以公开之后的信息不必然成为违法阻却性事由,还要结合具体信息而言。《民法典》规定在自然人允许的情况下,行为人可以合理使用其个人信息。根据法律体系建设,民法不认为违法的事刑法也不应该干涉,为被害人同意赋予的依据。《个人信息保护法》也强调可以在合理范围处理公开信息,但是两部法都强调合理范围。由此,有学者提出:对于已公开的个人信息的处理,在与该信息公开的目的没有根本抵触的,无论被处理的信息达到何种数量,都不宜定罪;但是,处理已公开的个人信息侵害了被害人的法益处分自由的,应当成立本罪[2]。此外,罗克辛教授观点认为:犯罪的本质是经验上可以把握的法益侵害,这样的理解会使得犯罪的现形象不被冲淡,刑法的社会治理任务也就更易于完成[3]。所以针对此观点,笔者持同意态度,即便是公开的信息,也不能违背信息公开者公开的目的和用途,这便是所保护的法益。此外,根据《个人信息保护法》第十三条规定可知,公开收集并不构成犯罪,只要在合理目的和范围内使用即可。
四、对侵犯公民信息罪共犯的认定
根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《信息案件解释》)中的规定:“知道或者应知道他人犯罪,还为其提供个人信息的构成侵犯公民个人信息罪。”还有,知道他人目的是为实施犯罪行为仍为其提供获取信息的帮助,有可能会构成相应罪名的帮助犯。依据提供帮助者与被帮助者是否存在意思联络可以将提供公民个人信息行为分为片面共犯和有通谋的共犯。针对第一种所犯罪名仍然是侵犯公民个人信息罪,而第二种则有可能构成帮助行为与侵犯公民个人信息的想象竞合。有学者认为,在提供个人信息时,帮助者明知被帮助者实施犯罪行为,而被帮助者不知道提供帮助者知道其行为,不能够以片面帮助犯认定,而应当以侵犯公民个人信息罪认定[4]。但是也有学者对此持反对观点。笔者从共犯理论分析亦对此持反对观点。例如,行为人伸脚绊倒正在抓犯罪嫌疑人的被害人,帮助犯罪嫌疑人逃跑,仍应当认定为犯罪嫌疑人的共犯。如果提供信息者明知道被帮助人要实施犯罪,但由于各种原因,被帮助者并未利用信息实施犯罪,此时应怎样评价?根据2018年高检出台的《检察机关办理侵犯公民个人信息指引》可知:公民的个人信息被用于犯罪的,只需要侵犯他人个人信息的行为人知晓他人获取信息用来犯罪即可。所以行为人构成犯罪与否不影响提供信息者的犯罪构成。但如果获取信息者未用来犯罪便不存在共同犯罪。犯罪嫌疑人的主观状态包含知道、应该知道、不知道,根据司法解释规定《刑法》中的“明知”包含知道和应该知道。“应该知道”是一种推定出来的主观状态,符合法律和生活逻辑,并且有相应证据,但没有嫌疑人的承认[5]。所以在司法机关推定嫌疑人应该知道的情形下,行为人有向司法机关证明不知道的义务,否则就成为明知。
五、对法条中情节严重的认定
在对侵犯公民个人信息行为认定是否构成犯罪时,要充分考虑到《刑法》中规定的“情节严重”的标准。但是在《信息案件解释》中存在冲突,本文将对《信息案件解释》进行一定程度上的分析并提出一些建议。《刑法》与《信息案件解释》的分类标准存在差别。《信息案件解释》中的第五条详细解释了非法获取、出售和提供个人信息情节严重的情形,依据第五条可知非法获取、出售或者提供通信、征信等与人身安全和财产相关的非常重要信息50条以上的,非法出售、获取生理健康信息,住宿和交易信息等重要信息达500条以上的,非法出售、获取除以上范围外其他一般重要个人信息达5000条以上的,都归属于《刑法》所规制的“情节严重”。《信息案件解释》将信息区分是为了在实践中更加方便案件办理,避免同罪不同罚的情况发生,其出发点是值得肯定的。《信息案件解释》第五条划分的主要依据是个体生活环境的密切程度,但是这种划分的思路存在一定缺陷。个人信息属性较为多变,一个个人信息也许与生活环境密切程度关联性较低,但也会对生活产生重大影响,不能将每一个个人信息限制于较死板的框架之中。例如人们出行用到的行程码,其既有行程信息又包含个人信息。如果按照侵犯重要信息要500条才能构成犯罪,将其按照行踪信息也就是非常重要信息来保护则仅需50条就构成侵犯公民个人信息罪。由此必然导致不同重要的信息产生交叉和重叠,给司法实践带来困惑。笔者认为,《刑法》对信息的分类不应与生活密切程度完全连接,更应该参照《个人信息保护法》,将重点放在信息对个体生命健康以及财产权益的关联程度上,并考虑行为人侵犯个人信息的犯罪意图,也就是主观目的为何,结合考量是否达到“情节严重”标准。在《个人信息保护法》中对信息分为了私密信息和一般信息,私密信息是指该信息被他人获取利用或将导致严重危害人身健康和财产安全。当有特殊情形和确实必要的条件下,他人才可以处理私密信息。由此可知,《个人信息保护法》在界定私密信息时与个人身体健康、财产紧密相关,而这种划分与《刑法》对于个人信息保护的立法初衷相符合。当某信息更容易以及更严重侵犯到个人权益时,刑法就应该予以更加重点的保护。再综合行为人犯罪的主观目的可以判断其产生的危害性。犯罪嫌疑人的动机不能成为构成要件,但却是判断将产生社会危害性程度的重要因素。《信息案件解释》中也规定为合法目的而购买的个人信息比为非法目的购买的刑责要轻。此外,《个人信息保护法》更加强调未成年人的个人信息保护力度,将其纳入了敏感信息范围,所以,《刑法》也应当与之衔接,加大未成年人信息保护。但是刑法的威严性与惩治严重性要求不能将所有未成年人一律视为敏感信息,应结合未成年身心健康与财产状况综合确定。目前对于侵犯个人信息罪的初犯与再犯的惩罚标准不够完善,《信息案件解释》对再犯惩罚取决于其过去是否存在两年内侵犯个人信息的行政违法行为或者因此受过刑事处罚。这种标准取决于当地的执法单位执法频次,对信息处理人员极为不利,会严重增加侵犯个人信息罪的犯罪频率。所以建议参考《刑法》中对于财产犯罪的规制,降低对再犯的处罚门槛,例如:再犯的行为人达到原标准的70%即构成犯罪。以此为标准能够更好地维持刑法处罚的均衡,也更加有效地将行政违法和刑法进行区分开来。
六、结论
21世纪是信息网络高速发展的世纪,但公民个人信息安全和合法使用成为一个难题。对于侵犯个人信息所保护的是个人法益,司法解释应当以刑法罪名为前提,不能突破其边界,此外,要正确处置司法解释与《个人信息保护法》相衔接过程中产生的矛盾。对前置法范围要适当限制,避免影响刑法权威性。对于特殊主体亦要考虑周全其责任或者刑责的承担,减少其在前置法中的冲突。“个人同意”系违法阻却性事由,但是要在合理范围内使用,超出合理范围依然要承担责任。在与侵犯个人信息罪共同犯罪的认定上,要依据共同犯罪的刑法原理及《信息案件解释》的相关规定,主张明知他人利用事先获取的公民个人信息实施犯罪的,也构成本罪与后罪帮助犯的想象竞合。最后,区别共犯认识错误的处理[6],以及处理好初犯与再犯的处罚标准。
作者:王少哲 单位:信阳师范学院