趙江輝　陳慶瑞

公民個人信息的法律保護包括刑法保護已經(jīng)成為當(dāng)前國際社會關(guān)注的立法熱點問題。《刑法修正案（七）》第七條規(guī)定：“國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金?！薄案`取或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰?！薄皢挝环盖皟煽钭锏模瑢挝慌刑幜P金，并對其直接負責(zé)的主管人員和其他直接責(zé)任人員，依照各該款的規(guī)定處罰?！贝藯l規(guī)定應(yīng)該是增加了兩個罪名（第1款、第2款），有待兩高司法解釋準(zhǔn)確確定罪名。從本條文的內(nèi)容看，無疑是我國刑法保護公民人身權(quán)利的又一重大突破。

但是，到目前為止，我們?nèi)詻]有看到此罪名被司法適用的報道，原因之一就是，作為個人信息不受嚴(yán)重侵犯的“防彈衣、防火墻”的這一刑法新規(guī)因為我國個人信息保護基本法律的不健全和其本身規(guī)范的概括性，勢必造成司法適用上的困難。事實說明，我們的個人信息仍在源源不斷地被非法泄露著、傳播著、侵害著。[1]這一立法的威懾作用和刑罰目的尚難顯現(xiàn)。我們認為，在加快個人信息專門法律立法步伐的同時，亟待兩高盡快制定侵犯公民個人信息犯罪具體應(yīng)用法律若干問題的司法解釋，來彌補刑法條文的法律漏洞和可操作性不足的問題。

一、犯罪對象“公民個人信息”的范圍有待明確

本條規(guī)定在刑法第四章侵犯公民人身權(quán)利、民主權(quán)利罪中，其侵犯的客體是公民對個人信息的所有權(quán)、使用權(quán)和支配權(quán)，犯罪對象是公民個人信息。刑法對“公民個人信息”并未做出明確定義，在罪狀中只是模糊地概述為“違反國家規(guī)定”。據(jù)悉，有關(guān)部門起草的《個人信息保護法（草案）》已提交國務(wù)院討論審議，正在制定過程中。有觀點認為“由于刑法保護與行政法保護在手段嚴(yán)厲性上具有明顯差異，兩者對公民個人信息保護的范圍理應(yīng)有所區(qū)分。公民個人信息的刑法認定不能完全依賴行政法對個人信息的概念界定?！盵2]我們認為，這種觀點欠妥。公民個人信息作為法律保護的對象，無論是民法、行政法、刑法保護的范圍應(yīng)當(dāng)是一致的，只是因為公民個人信息所遭受侵害的嚴(yán)重程度不同而采取輕重不同的法律保護手段，即只有到了刑法所規(guī)定的“情節(jié)嚴(yán)重的”程度，才給予刑法保護而已。所以，公民個人信息的內(nèi)涵和外延在法律保護的范疇內(nèi)應(yīng)當(dāng)是一致的。

在定義個人信息之前，應(yīng)先弄清個人信息與個人隱私之間是什么關(guān)系？有的觀點認為，個人信息具有公開性，其對公民個人生活的影響在大多數(shù)情況下也要低于個人隱私，個人信息的范圍顯然遠遠大于個人穩(wěn)私。[3]我們認為，不能簡單地認定個人信息具有公開性，如果是這樣，那就根本談不上構(gòu)成侵犯之罪了；將其與個人隱私分立開來，評價為價值低于隱私，也未正確表現(xiàn)兩者關(guān)系。有的學(xué)者則認為，個人信息只不過是互聯(lián)網(wǎng)時代對傳統(tǒng)“隱私”概念的擴展，雖然二者的側(cè)重點不同，但并無本質(zhì)差異，只是所“隱”的程度和范圍不同而已；信息安全問題的實質(zhì)是隱私權(quán)問題，可以將個人信息理解為一種廣義的隱私。[4]民法上，隱私權(quán)的內(nèi)容主要包括個人生活安寧權(quán)、個人信息和生活情報的控制、保密權(quán)、個人通訊秘密權(quán)、個人對其隱私的利用權(quán)。個人信息和生活情報是指僅與特定人相聯(lián)系的信息和資料，包括的內(nèi)容很廣泛，諸如個人的身高、體重、病史、生活經(jīng)歷、信仰、愛好、婚姻、財產(chǎn)狀況以及社會關(guān)系等情況。[5]綜上，我們認為，個人信息與個人隱私之間屬于相互包容關(guān)系，本質(zhì)上無差別，不能將兩者對立分立起來；個人信息一定程度上屬于個人隱私，受隱私權(quán)法律保護；從另一個角度講，個人隱私又屬于個人信息之內(nèi)容；通常意義上，個人信息概念的外延要比隱私更為寬泛。

那么，如何設(shè)定“公民個人信息”的定義呢？我們贊同采用定義與列舉相結(jié)合的方式來明確，以保證隨著科學(xué)技術(shù)和時代的發(fā)展，立法的周延性能夠滿足公民個人信息范圍不斷擴展的要求和趨勢。有人提出，個人信息是指公民所有的有關(guān)自身的或者其他民事主體不愿被特定人群以外的人知悉的、且該信息一旦泄露足以對公民的正常生活產(chǎn)生消極影響的信息。[6]中國社科院法學(xué)研究所研究員周漢華曾參與《個人信息保護法》的起草，其介紹稱個人信息是指現(xiàn)實生活中能夠識別特定個人的一切信息，包括姓名、年齡、體重、檔案、醫(yī)療記錄、收入、家庭住址、電話號碼等等。當(dāng)然，我們能列舉的還有很多，如音頻視頻文件、指紋、財產(chǎn)狀況、職業(yè)情況、婚姻家庭生活情況、愛好、教育背景、宗教信仰、銀行卡信息、私人汽車信息、考試信息等一切與人身相關(guān)聯(lián)的信息。個人信息是人權(quán)的基本內(nèi)容。據(jù)悉，《個人信息保護法（草案）》規(guī)定了掌握個人信息的企業(yè)與團體應(yīng)承擔(dān)的法律責(zé)任，禁止任何團體在未經(jīng)個人同意的情況下，將個人信息泄露給第三方，犯罪、稅收記錄、媒體調(diào)查除外。且個人不良信息不應(yīng)受到保護。

二、犯罪主體有待進一步擴展

該法條規(guī)定三款，第1款的犯罪主體是“國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員”，根據(jù)第3款的規(guī)定第1款的犯罪主體還包括單位。這一列舉式的主體表述方式與其它罪名的立法技術(shù)不一致，縱觀刑法典，如果包括其他選擇，一般表述為“或者其他手段（機構(gòu)、人員、情節(jié)）等”，但是該法條卻表述為“等單位的工作人員”，這里的“等”是“等內(nèi)”還是“等外”，直接影響到本罪主體是特殊主體還是一般主體的認定。有的觀點分析，基于罪刑法定明確性的要求，刑法規(guī)范中的“等”原則上應(yīng)解釋為“等內(nèi)”，因此本款的主體應(yīng)當(dāng)限定為國家機關(guān)工作人員以及特定單位的工作人員。[7]由于條文在列舉行為人所屬各種單位之后用“等”字作結(jié)而未像多數(shù)條文那樣附加“以及其他單位”，這表明行為主體的范圍是封閉的，而不包括其他單位的工作人員。[8]如果第1款的“等”被理解為“等內(nèi)”，那么其對應(yīng)的第3款單位犯罪中的“單位”，在構(gòu)成第1款之罪時就被限定為上述特定行業(yè)的單位了。

我們認為，對此應(yīng)當(dāng)做文理解釋、擴大解釋，把第1款規(guī)定的“等”解釋為“等外”。當(dāng)然，這最好是由有權(quán)機關(guān)明確作出法律解釋，以免司法實踐中引起不同的理解和運用，造成執(zhí)法不一。理由為：一是《刑法修正案（七）》之所以要明確列舉出這些人員，主要目的在于國家機關(guān)、金融、電信等單位因履行職責(zé)或提供公共服務(wù)掌握了大量的公民個人信息，承擔(dān)著對這些信息的保密義務(wù)，現(xiàn)實中它們已成為侵害公民個人信息最為嚴(yán)重的主體，所以刑法給予了明確入罪。但是，現(xiàn)實生活中，不僅僅是以上單位和其工作人員能夠接觸并大量掌握公民個人信息，隨著互聯(lián)網(wǎng)等技術(shù)的發(fā)展，社會交往、商業(yè)貿(mào)易和公共權(quán)力的擴大，能夠掌握大量公民個人信息的單位或個人比比皆是。比如各類辦理會員制的商家（房地產(chǎn)公司、汽車銷售公司、電器公司、美容院、商場超市、醫(yī)藥店等等）、律師事務(wù)所或房屋租賃等中介服務(wù)機構(gòu)、居民委員會等群眾自治組織、各類社會團體、人才市場和招聘公司、網(wǎng)絡(luò)公司、網(wǎng)站、市場調(diào)查公司、報紙期刊等媒體等等，均通過各種渠道收集、存儲了大量公民個人信息。這些單位及工作人員同樣可能存在著非法侵害公民個人信息的行為，造成嚴(yán)重的侵害情節(jié)或后果，如果不將這些單位及其工作人員納入刑法規(guī)范的主體范圍之內(nèi)，恐怕會造成刑法適用的不平衡，個人信息刑法保護的作用亦將大打折扣。二是就這些主體的性質(zhì)來看，金融、教育、醫(yī)療等單位早已不僅僅是國有單位，私人或外資已涉足這些行業(yè)，所以把該罪主體理解為特定主體有失偏頗。三是從世界各國的立法例來看，對公民個人信息的刑法保護中犯罪主體一般不是特定主體，通常只強調(diào)行為人的目的和動機，以及信息來源系其工作或職責(zé)所得，很少對行為人的崗位或領(lǐng)域進行限制。四是如果第1款的犯罪主體特定化，則可能造成“中間商”的定罪難題。特定主體將個人信息轉(zhuǎn)讓給他人后，如果信息接受者（即中間商）并非是特定主體，當(dāng)其獲取信息的行為不被第2款限制時，其以再出售等方式非法提供給第三人的，依第1款就不能入罪，這不但造成刑罰適用的不公平，也無法有效保護個人信息。

至于第2款的犯罪主體并未明確列舉，是一般主體，結(jié)合第3款規(guī)定，既可以是單位，也可以是自然人。這樣規(guī)定是無可爭議的，是適當(dāng)?shù)摹?/p>

三、犯罪客觀方面有待進一步完善

該條罪名的客觀方面表現(xiàn)為：將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息出售或者非法提供給他人，情節(jié)嚴(yán)重的行為；竊取或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重的行為。如何認定情節(jié)嚴(yán)重是適用該法條罪名的關(guān)鍵所在，目前尚無司法認定標(biāo)準(zhǔn)，需要法律解釋加以完善。有觀點認為，信息登記單位（特別是國家機關(guān)）的工作人員，大量出售個人信息的；非法兜售個人信息造成嚴(yán)重財產(chǎn)損失的；造成惡劣的社會影響，對當(dāng)事人的信息安全、個人生活和人身安全產(chǎn)生影響的；對國家安全以及社會民生造成影響的。[9]我們認為，應(yīng)當(dāng)根據(jù)調(diào)研，在概括性規(guī)定的前提下，進一步明確列舉出部分侵犯個人信息情節(jié)嚴(yán)重的情形，比如應(yīng)當(dāng)從非法出售個人信息的數(shù)量、性質(zhì)、違法所得的數(shù)額、財產(chǎn)損失情況、個人生活或人身安全的影響程度、社會影響的嚴(yán)重程度等方面予以細化。

本罪的客觀表現(xiàn)行為應(yīng)當(dāng)進一步周延。該法條明確了犯罪行為表現(xiàn)為“出售、非法提供給他人、竊取、以其他方法非法獲取個人信息”。疏忽了侵犯公民個人信息的最直接的一種行為——“非法使用”。盡管通常情況下，上述行為一般都是為了“非法使用牟利”，但其行為狀態(tài)并不是必然包含的，就如同刑法規(guī)定假幣犯罪表現(xiàn)為偽造、出售、購買、運輸、持有、使用一樣，應(yīng)當(dāng)予以明確規(guī)定。如，央視09年3·15晚會上曝光的山東多家移動公司向客戶大量發(fā)送垃圾短信而牟取暴利，這種行為并非出售、非法提供，而是非法使用公民個人信息，如果其違法獲利數(shù)額等達到情節(jié)嚴(yán)重的情形，應(yīng)當(dāng)予以刑罰制裁。除此之外，還有一些可能嚴(yán)重侵犯個人信息的行為如“人肉搜索”等有待進一步研討是否入罪。

四、本罪取證困難的程序問題

非法泄露個人信息因為環(huán)節(jié)眾多等因素影響，調(diào)查舉證工作往往困難重重，困擾辦案機關(guān)有效偵辦案件。有人認為，個人信息被泄露的舉證應(yīng)象醫(yī)療官司一樣，實行“舉證倒置”，即由被告方來舉證自己沒泄露信息。[10]我們認為，這一觀點僅為“一絲之利”而斷送程序正義之根本，違反了無罪推定原則，不足為取。眾所周知，在刑法罪名中只有巨額財產(chǎn)來源不明罪是舉證責(zé)任倒置的，這是其犯罪性質(zhì)決定的。雖然要想證明犯罪主體非法泄露了公民個人信息，并非易事，但是不能因此就將舉證責(zé)任推給犯罪嫌疑人或被告人，由其自證清白，也不能因其不能證明自己沒有侵犯便推定其有罪。刑事犯罪紛繁復(fù)雜，取證困難的比比皆是，唯有不斷加強偵辦力度、提高偵查技術(shù)水平和質(zhì)量，才是正道。

五、此罪與彼罪的界限

本條文第1款、第2款的犯罪主體在非法泄露公民個人信息的過程中觸犯其它罪名，可能造成罪數(shù)認定上的疑難，即是認定一罪還是數(shù)罪的問題。比如，利用職務(wù)便利，收受他人賄賂，為他人牟取獲得公民個人信息的利益，或通過行賄手段非法獲得公民個人信息，情節(jié)嚴(yán)重的；通過非法進入他人計算機系統(tǒng)的手段而獲得公民個人信息，情節(jié)嚴(yán)重的；利用非法取得的個人信息公然侮辱他人的；很多大企業(yè)可能會把收集到的客戶信息作為商業(yè)秘密加以保護，侵犯商業(yè)秘密的；等等。我們認為，對于本條罪名與受賄罪、行賄罪、非國家工作人員受賄罪、破壞計算機信息系統(tǒng)罪、侵犯通信自由罪、侵犯商業(yè)秘密罪、非法使用竊聽、竊照專用器材罪等出現(xiàn)競合時，需要我們依據(jù)法條競合、想象競合犯、牽連犯的刑法理論來分析罪數(shù)，隨著現(xiàn)實案情的不斷豐富，在制定本罪的法律解釋時需進一步明確如何確定罪數(shù)和處罰原則，以更有效地打擊犯罪。

注釋：

［1］勿庸置疑，我們每個人都在因個人信息遭受著日益嚴(yán)重的泄露而煩惱。我們收到的垃圾短信有增無減，對外交往被收集的信息越來越多。重大侵犯個人信息的事件隨處可見，如2008年4月存貯4萬多名深圳孕婦信息的光盤被販賣，每張售價1.2萬元；央視3·15晚會上曝光了分眾傳媒掌握全國兩億多手機用戶個人信息；山東多家移動公司大量非法發(fā)送垃圾短信事件；互聯(lián)網(wǎng)上隨意搜索即可查到非法出賣各種個人信息的網(wǎng)站；等等。

［2］吳盛：《對〈刑法修正案（七）〉（草案）第六條的完善建議》，載《檢察日報》2008年9月16日。

［3］溫國鵬：《公民個人信息刑事保護的難點分析》，中國法院網(wǎng)2008年9月4日。

［4］沈海平：《為保護公民個人信息織就更嚴(yán)密的法網(wǎng)》，載《人民檢察》2008年第23期。

［5］參見魏振瀛主編：《民法》，北京大學(xué)出版社、高等教育出版社2000年版，第662頁。

［6］同［4］。

［7］同［3］。

［8］同［5］。

［9］曹素馨：《對〈刑法修正案七〉（草案）泄露公民個人信息罪的思考》，載《金卡工程（經(jīng)濟與法）》2009年第1期。

［10］周娜：《刑法畫出紅線，懲戒泄露個人信息》，載《民營經(jīng)濟報》2008年9月3日。