论文提要:
步入信息时代的中国,互联网飞速发展,互联网对公民个人信息的收集和挖掘也越来越频繁和深入,侵害公民个人信息的犯罪也时有发生,犯罪呈现手段多样性、信息来源复杂、犯罪产业化等特点。但我国的立法仍然并未跟上,对于公民个人信息的保护也体现了“重刑轻民”的特点,缺乏完整的保护体系,而且刑法保护本身也存在诸多不足。本文主要对当前我国侵害公民个人信息犯罪的态势、我国相关立法进程等方面进行探讨,分析我国公民个人信息刑法保护方面存在的不足,并提出相应的建议。
全文共6597字。
青年艺术家邓玉峰于2018年4月4日在武汉美术馆开办了一场名为《秘密—邓玉峰个展》的公开展览,此次展览的特别之处在于展览者从网上购买了34.6万人的个人信息,在将其模糊处理后向公众进行了展示,这些个人信息包括姓名、住址、车牌号、网购记录等等,触目惊心 ,我国公民个人信息泄露的严峻形势可见一斑。与此同时,我国在公民个人信息的法律保护方面也在积极应对,并做出新的尝试,尤其是2017年3月15日通过的《民法总则》,从民事基本法的层面建立了公民个人信息的私法保护制度,也将公民个人信息与隐私区分开来,实为一次巨大的飞跃。但目前我国对于公民个人信息保护的规定散见于各部门法,并无统一的《公民个人信息保护法》,因此完善的公民个人信息保护制度的建立仍然任重而道远。刑法作为其他部门法的保障法和法益保护的最后防线,近年来也积极回应社会需求,首先确立了相关罪名,进而对其进行完善,但如何建立完备的公民个人信息保护制度,仍是值得思考的问题。
一、公民个人信息的概念
对于公民个人信息的概念,我国刑法本身并未对其进行规定,即使是在《刑法修正案(七)》和《刑法修正案(九)》将侵犯公民个人信息的行为纳入刑事打击范围后也仍未进行界定,具体涉及到对公民个人信息进行定义的法规,主要有2013年4月23日颁布的《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》以及2017年5月8日公布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。《通知》规定:公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。而《解释》第一条规定“刑法第二百五十三条之一规定的’公民个人信息’,是指是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”此外,2017年6月1日施行的《中华人民共和国网络安全法》将个人信息定义为“是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
虽然上述法规对于公民个人信息的规定不尽相同,但它们都较为明确的规定了相关信息的范围,其中两高的解释甚至将“反映特定自然人活动情况的”的信息以及账号密码、财产状况等纳入公民个人信息,相对扩大了公民个人信息的范畴。
二、侵犯公民个人信息犯罪现状分析
(一)犯罪手段多样化
侵犯公民个人信息犯罪的根本特征是其所侵犯的对象为公民的个人信息,根据刑法第二百五十三条之一的规定,侵犯的手段包括“出售、提供”、“窃取或者以其他方法非法获取”,根据其个人信息的来源不同,基本可以分为以下二类:
1.利用互联网信息技术手段非法获取(黑客)
犯罪分子利用钓鱼网站、虚假网站、木马病毒、恶意电脑和手机软件、恶意攻击存储有个人信息的网站来获取,此种类型往往持续时间较短,但影响广泛,获取的公民个人信息数量多。2016年的“徐玉玉案”,便是因黑客杜天禹通过植入木马等方式,非法侵入山东省2016年普通高等学校招生考试信息平台网站,窃取相关考生信息64万余条,并对外出售所致。
2.有关机构、行业管理不严导致信息泄露
部分国家机关、金融、通信、快递、电商、运输、医疗等机构或行业,获取并存储的公民个人信息较多,若管理不严,非常容易导致公民个人信息的泄露。2016年全国公安机关共侦破网络侵犯公民个人信息案件2100多起,查获公民个人信息500多亿条,抓获的犯罪嫌疑人5000多人,其中属于各行业内部的人员就有450多人。
(二)侦查难度高,下游犯罪危害严重
互联网的高速发展,用户数量日益庞大,互联网厂商也存储了大量用户个人信息,而这些以数字形式存储的信息,相比于纸质档案,具有更高的隐蔽性、更易于传输,一旦发生此类犯罪,则涉及的公民数量一般也很大,而且犯罪行为往往发生在互联网上,有些甚至在域外远程犯罪,难以追踪,调查取证难度不小。
非法获取的公民个人信息,除了用于广告推销外,有极大部分被用于多种下游犯罪,例如电信诈骗、敲诈勒索、绑架、暴力追债等,此类犯罪对人民的人身、财产安全造成极大威胁,特别是电信诈骗,涉及面广、受害者众多、侦查难度高,严重降低了人民的安全感,对社会稳定有很大消极影响。
(三)犯罪趋向产业化、地域化
在上海市浦东新区检察院办理的韩子明等人侵犯公民个人信息案中,就形成了“源头--中间商--非法使用者”的交易模式,此种模式有分工专业、效率高、运转快的特点。 而除此之外,许多犯罪分子基于亲缘关系结成犯罪团伙,甚至有部分地区因参与犯罪的人较多,犯罪手段独特,被冠以“XX之乡”的名号。
三、我国公民个人信息相关立法及制度保护现状
近年来,我国计算机产业和互联网产业蓬勃发展,尤其是我国的电商产业、移动支付产业属于世界领先水平,“大数据产业”在国家政策的支持下,也成为近年的热门话题,与此同时,我国对于公民个人信息保护的专门立法却未见行动,相关立法也颇为滞后,长此以往,今后治理公民个人信息违法犯罪的制度成本将越来越高。
我国当前仍未制定专门的《公民个人信息保护法》,亦未进入立法程序,但国外许多国家都早已对个人信息的法律保护进行了立法,如德国1970年出台了《联邦数据保护法》;欧盟1995年通过了《个人数据保护指令》;日本2003年制定了《个人信息保护法》。 我国的公民个人信息保护目前仍散见于各类法律、法规和规章中,如2003年出台的《中华人民共和国居民身份证法》要求公安机关及民警对个人信息保密的规定;2009年公布的《中华人民共和国统计法》也有对知悉的个人信息进行保密的规定,此类规定仅仅是作为有关国家机关及其工作人员提出的工作规范,并未对侵犯公民个人信息的行为提供任何救济途径或惩罚依据。
2009年2月公布的《刑法修正案(七)》,增设“非法获取公民个人信息罪”和“出售、非法提供公民个人信息罪”,首次将侵犯公民个人信息的有关行为纳入刑事打击的范畴,这对于公民个人信息安全提供了有力的保障,但也仍有其局限性。
2011年10月29日公布的《全国人民代表大会常务委员会关于修改〈中华人民共和国居民身份证法〉的决定》增设第十九条,对于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息行为不构成犯罪的,规定了行政处罚措施,并对由上述行为引发的侵权行为规定了承担民事责任的内容。
而在民事立法方面,2017年3月15日发布的《民法总则》,将“个人信息受法律保护”纳入公民的民事权利之中,是国家对个人信息保护在民事基本法层面的一次重要回应,开启了公民个人信息的私法保护新局面。
四、我国公民个人信息刑事立法保护的变迁
《刑法修正案(七)》出台以前,刑法中并无专门的个人信息保护条款,仅第二百五十二条规定的侵犯通信自由罪、第二百五十三条规定的私自开拆、隐匿、毁弃邮件、电报罪,对特定形式的个人信息(邮件、电报等)进行保护,但此范围十分狭窄,保护效果甚微。
2009年《刑法修正案(七)》公布,在原第二百五十三条后增加一条,作为第二百五十三条之一,增设“非法获取公民个人信息罪”和“出售、非法提供公民个人信息罪”二罪,正式明确将保护公民个人信息写入刑法,这在我国公民个人信息保护立法进程中具有里程碑式的意义,开启了公民个人信息保护的新时代。但此次增设的“出售、非法提供公民个人信息罪”的犯罪主体为特殊主体,仅限于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,这导致其他行业或个人所为的出售、非法提供公民个人信息的行为并不能被纳入到这个罪名中来,限制了打击侵犯公民个人信息犯罪的范围。因此,2013年最高人民法院、最高人民检察院、公安部共同发布了《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》,《通知》创新地列举了前述二罪所保护的公民个人信息的范围,即“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”,并对犯罪主体做了扩大解释,这是公检法三方针对侵害公民个人信息的违法犯罪日益突出,互联网上非法买卖公民个人信息泛滥作出的一次有力回应,提高了对相关犯罪的打击力度。
在此基础上,为应对公民个人信息犯罪爆发的严峻形势,2015年《刑法修正案(九)》又将前述二罪合并为“侵犯公民个人信息罪”一罪,首先将犯罪主体由特殊主体扩展为一般主体,并将犯罪行为的类型予以扩大,又将犯罪的法定刑进行提高,进一步增大了打击范围和打击力度,并通过新增第二百八十六条之一,新设拒不履行信息网络安全管理义务罪,其中对“致使用户信息泄露,造成严重后果的”情形的列举,加强了对网络服务提供者的管理义务的要求。
2017年5月8日公布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对司法实践中,侵犯公民个人信息刑事案件的具体定罪量刑标准和一些法律适用方面存在的争议进行了明确,例如对侵犯公民个人信息罪中“情节严重”的情形设置了量化标准,便于实践中对其进行认定;并对“设立网站侵犯个人信息”以及网络运营者“拒不履行管理义务”触犯刑法的犯罪行为如何追究刑事责任进行了明确。
五、目前公民个人信息刑法保护存在的问题
(一)部门法发展不协调,刑法步履太靠前
刑法作为其他部门法的保障法,拥有最严厉的制裁手段,其必须保持谦抑性,当其他部门法无法发挥作用时才能动用刑法,而当前对于公民个人信息的保护立法,只有刑事法律的反应最为积极,导致在该领域内,刑法冲在第一位。刑事打击毋庸置疑是最直接、最能起到震慑作用的,但刑事打击有其滞后性、打击面窄的局限,如果其他部门法不能同步发展,与刑法一同形成完整的保护体系,则实际保护效果必然不会太理想。
(二)刑事处罚力度较低,无法从犯罪成本上遏制犯罪
根据最高人民法院2017年5月9日公布的夏拂晓侵犯公民个人信息案,“被告人夏拂晓2015年10月至2016年7月买卖大量含有公民姓名、收货地址、手机号码等内容的网购订单信息,非法获利约5万元。被告人夏拂晓在归案后如实供述自己的罪行。浙江省绍兴市柯桥区人民法院判决认为:被告人夏拂晓违反国家有关规定,非法获取公民个人信息并向他人出售,情节严重,其行为已构成侵犯公民个人信息罪。综合考虑全案情节,以侵犯公民个人信息罪判处被告人夏拂晓有期徒刑二年,并处罚金人民币二千元。该判决已发生法律效力。” ,由此可以看出,当前对于侵犯公民个人信息罪的处罚力度仍然较低,然而该类犯罪往往获利较大、影响广泛,较低的刑期和罚金标准显然不能有效地遏制住犯罪分子为高利益铤而走险,所以是否能起到应有的震慑作用,仍值得商榷。
(三)缺乏对受害人损失的救济途径
纵观当前我国涉及公民个人信息保护的法律规范,仅《中华人民共和国居民身份证法》对侵犯公民个人信息的侵权行为规定了承担民事责任的内容,民法和刑法范围能均无直接规定,因此被侵害者往往得不到赔偿。这一方面是因为当前我国法律并未对公民个人信息的权利属性进行明确界定,学界对其也存在争议,现有的法律法规仅仅通过列举来确定公民个人信息的范畴,但一种权利到底归属于人格权、财产权亦或是其他权利,往往决定着该项权利的保护途径,因此确定公民个人信息权的权利属性对其救济途径的设置有重要意义。另一方面,侵害公民个人信息的行为对受害人造成的损失很难量化,下游犯罪往往有明确的数额,可以通过追赃、附带民事赔偿等途径对受害人的损失进行救济,而本罪并不直接导致受害人人身、财产损失,故而无法确定赔偿标准。
六、我国现有保护模式之完善
(一)建立完整的部门法律保护架构
刑法应保持其谦抑性,故应加强民事、行政方面的公民个人信息保护立法,使之成为公民个人信息刑法保护的前置程序。首先,民事法律涉及社会生活的方方面面,其涵盖内容之广是刑法所不能比,因此加强民事方面的立法保护,对于刑事打击面窄是有力的补充,而且能促进被侵害人积极主张自己的权利,从而能尽早发现相关侵害行为,及时遏制相关行为。加强行政处罚措施的建立,对于未满足刑法所规定追诉情形,但实质上侵害公民个人信息的行为处以行政处罚,行政处罚具有快捷、高效的特点,也是对刑事保护的有益补充。另外,可以参照国外之经验,设立行业自律模式,迫使相关行业进行自我反省;完善行业准入机制和涉及公民个人信息收集的机关企事业单位的安全防护标准,门槛的设立能阻止不合格单位进行信息收集、分析,从源头上杜绝公民个人信息泄露。
(二)在完善其他保护手段的前提下,提高刑事惩罚力度
当其他部门法的公民个人信息保护制度得以完善,刑法亦应提高其惩罚力度。公民个人信息一旦泄露,造成的影响很难恢复,因此提高相关犯罪的起刑期限,能起到更有效的威慑作用,另外还可以提高罚金判罚标准,对于出售公民个人信息获取利益的,应当设立惩罚性罚金,高额的惩罚性罚金能有效地打消通过出售或以其他方式从侵害公民个人信息犯罪行为中获取利益的犯罪动机。
(三)建议对有关犯罪的受害人设立损害赔偿制度
侵害公民个人信息犯罪导致的损害难以量化,且因为涉及的受害人范围较广,赔偿难度大,故如何为受害人确立损害赔偿救济途径是个非常困难的问题。我国刑法只赔偿直接损失,而侵害公民个人信息犯罪往往不会对公民的人身、财产造成直接损失(当前对于公民个人信息的权利属性仍未界定,因此也很难认为侵犯公民个人信息造成的损失的性质),只有下游犯罪才会。但如果不设立损害赔偿制度,对受害人也不甚公平,因此建议对相关犯罪的受害人设立附带民事赔偿或救助制度,对被害人因侵害行为造成的精神、人身损害进行救济。
七、结语
互联网的飞速发展,使其在公民日常生活中几近不可或缺,而随着技术的深入应用,由此引发的问题也就越来越不可忽视,“大数据”、“区块链”等互联网技术的产生以及产业化,使其对公民个人信息的分析、挖掘也越来越频繁,但同时公民的个人信息安全作为衡量公民幸福感和安全感的基本指标也在遭到挑战,我国公民个人信息的保护立法相较于其他发达国家是很晚的,这也导致了多方面制度的缺失,一方面刑法缺乏其他部门法的配合,另一方面刑法保护本身也存在缺憾,因此对公民个人信息的保护尚需进一步完善,才能最终建立起全方位、点面结合、部门同步协作的完备制度,使我国在信息化时代成为信息安全大国。
微博 