来源:人民法院报
责任编辑:马 静
发布时间:2017/12/28 20:49:07
天津市人民检察院第一分院 唐守东
网络时代,经济社会飞速发展,非法获取、侵害公民个人信息的案件日益突出,已成为司法实务上的多发案件,对微观层面的公民个人信息保护以及宏观层面的社会和谐稳定荼毒日甚,且囿于实体法律规制阙如,其已成为理论与实务两界之难题。
个人信息保护民、刑法二元维度的初步形成
为进一步完善公民个人信息保护的实体法律规制,我国刑法第二百五十三条之一规定了侵犯公民个人信息罪,并细化为出售、非法提供公民个人信息和非法获取公民个人信息两个子行为。该条明确了违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的以及将在履行职务或者提供服务过程中获得的公民个人信息出售或者提供给他人的构成犯罪。2017年3月15日十二届全国人大五次会议通过的民法总则第一百一十一条规定了公民的个人信息受法律保护,明确了任何组织和个人不得非法收集、使用、加工、传输他人个人信息;不得非法买卖、提供或者公开他人个人信息。至此,在我国尚未出台公民个人信息保护法的前提下,关于个人信息保护之实体法律规制的民、刑法保护的二元维度已经初步形成。但是在与法律规制相配套的司法实务中发生侵犯公民个人信息行为时如何适用法律,是普通民事侵权还是构成犯罪应负刑事责任,已成为一个亟须解决的问题。笔者认为,在刑法、民二元界分上应该秉持“双阶层”的判断标准,即通过综合考虑“行为+危害”与“数额+情节”来判断是普通民事侵权还是构成刑事犯罪。
“行为+危害”是罪与非罪的判断基准
第一,行为是任何犯罪成立的共同构成要件要素,侵犯公民个人信息罪亦有其行为构成。根据刑法第二百五十三条之一的规定,侵犯公民个人信息犯罪的实行行为要求违反国家有关规定,向他人出售或者提供公民个人信息。而民法总则中侵犯公民个人信息的行为是非法收集、使用、加工、传输和非法买卖、提供或者公开他人个人信息。由此可见,侵犯公民个人信息罪的实行行为主要是出售、非法提供以及非法获取;而普通侵犯公民个人信息的行为是非法收集、使用、加工、传输和非法买卖、提供或者公开。二者除在非法提供以及非法买卖中的出售环节有交集外,其他都是分立的。所以从行为上进行界分是基础性的判断标准,是最主要的出发点。另外,二者存在交集的行为也恰恰体现了法律规制的完整性,避免了法律规制阙如的存在。
第二,在行为存在交集的情况下,就要考虑行为的危害后果,在这种情况下,后果的严重程度应成为判断罪与非罪的程度性判断标准。例如将获得的公民个人信息出售或者非法提供给他人,被他人用以实施犯罪,造成受害人人身伤亡或者死亡,或者造成重大经济损失、恶劣社会影响的应当以侵犯公民个人信息罪追究刑事责任。另外,在共同犯罪的情况下还需要考虑,是否存在明知行为人要实施电信诈骗、网络犯罪、敲诈勒索、绑架等犯罪而非法提供公民个人信息的情况,如果存在将构成相应犯罪的帮助犯。
“数额+情节”是罪与非罪的考量因素
首先,以个人信息的相关数量作为量化标准,最能直接反应侵犯公民个人信息罪的社会危害性,所以综合考虑出售、非法提供或者非法获取个人信息的次数、数量和牟利数额,制定具体的标准才是判断罪与非罪的量化标准。基于此,笔者认为可以参考最高人民法院、最高人民检察院《关于办理诈骗刑事案件具体应用法律若干问题的解释》之规定,以具体的侵犯公民个人信息的数量、次数以及牟利数额确定处罚的基准。至于应确定哪个具体数额标准还需要理论界与实务界进一步研究。
其次,根据刑法第二百五十三条之一第一款的规定,“情节严重”的才构成犯罪。在侵犯公民个人信息罪中,“情节严重”作为一种概括性的定罪情节,要具体的考量影响定罪的情节,并不能单纯从个罪的角度出发,仍应当回到犯罪构成的逻辑框架当中,以之为基础和角度对个罪进行全方位的考察。当前由于我国刑法及司法解释关于犯罪“情节严重”“情节特别严重”认定标准的缺位,导致司法裁判认定“情节严重”时显得过于“随意”,尚未形成统一标准。只有出台相关司法解释来明确规定情节严重的认定标准,才能避免定罪的随意性和量刑结果的恣意性。笔者认为,关于“情节严重”的认定标准需综合考量个人信息的数量、信息种类、牟利数额、信息用途、给被害人造成的损失等具体范围和程度来综合评判。
在“互联网+”的时代中,个人信息已经成为市场竞争的重要砝码,个人信息日益凸显的价值性也迫使实体法律规制以及司法适用的日臻完善。但是基于刑法谦抑的精神,犯罪的处罚应限制在迫不得已的必要限度以内,但同时也要兼顾已经造成以及将要造成的危害后果。根据前述的判断基准进行界分进而选择是通过刑事诉讼还是民事侵权之诉维护公民个人信息权,只有这样才能既保护了公民的个人信息又给公民呈现了一个和谐稳定的社会环境。