论个人信息权的民法保护
摘要:信息技术的飞速发展,给人类生活带来了极大的便利,人们可以通过网络等渠道得知任何你想要的各种信息,但在带来极大便利的同时,也给我们早已形成的生活方式和价值观念带来极大的冲击,公众的全部生活一览无余,个人的信息很容易的就被搜集和利用,这样的现状是对人们个人信息安全保护的一个大的挑战,伴随当今社会的进步,高科技的发展与个人隐私保护之间的矛盾也日渐明显,这也让我们不得不抓紧脚步去研究如何保护信息不被泄露。目前,尽管世界各国对信息安全保护的理论尚未形成统一认识,但是西方很多国家根据本国国情和具体需求,已经形成了较为系统化的公民信息安全保护体系。相比较而言,我国对于公民个人信息安全的保护显得相对滞后,因此,本文对我国公民个人信息安全进行系统性梳理,对我国公民个人信息安全的现状和原因进行探析,探索适合我国国情的公民个人信息安全保护体系,具有十分重要的理论和现实意义。
关键词:个人信息;刑法保护;问题;对策
一、前言
目前,我国对个人信息法律保护方面进行专门论述的文章有限,大部分文章都分析了《刑法修正案(七)》第7条侵犯公民个人信息犯罪的构成要件,指出了该规定存在的缺陷,大多数学者都提出了应加快制定公民个人信息保护法,现阶段需要通过司法解释弥补法律规定的漏洞等建议,虽然提出了要对个人信息进行界定、明确主体范围、确立举证责任分配制度等意见,但见解各有不同,而且前缺少相应权威的解释说明,相关判例不多见,使司法实践的适用缺少明确的标准。
二、我国个人信息刑法保护存在的问题分析
(一)个人信息刑法保护体系方面的问题
从宏观上来看,关于个人信息刑法保护有以下三种立法模式:第一种是直接制定个人信息(数据)的保护法;第二种是不制定专门保护法,而是将个人信息犯罪入刑;第三种是采取双轨制的立法模式,除了前两种方式之外,在其他法律中也会对个人信息的犯罪进行规定。通过对目前世界上其他国家对个人信息保护的现状进行分析,大部分国家和地区采取的是对个人信息单独进行立法保护,并且在其个人信息保护法中直接规定如何与相应的行政法规或者民事立法相衔接。
而关于侵犯个人信息犯罪的刑事制裁内容,都体现在刑法典中个人信息隐私权的规定中。与此不同的是,我国的法律传统通常是采取统一的法典形式来制定各部门系统完备的成文法,刑法上更是如此。除了统一的刑法典外,附属刑法中只会提示性的规定某些法律行为可能会承担刑事法律责任,而关于具体的犯罪构成、法定刑等都没有作明确规定。例如《中华人民共和国安全生产法》第87条在设置相关部门工作人员的法律责任时,又在条文的后面增加了这样了的规定:“……构成犯罪的,依照刑法有关规定追究刑事责任。”空白罪状的设置是我国刑事立法中经常出现的立法方式,前置性的法律规定是空白罪状的具体参照标准,刑法中设置空白罪状是为了援引其他法律规定。与此对应的是在所援引的法律规定中也会出现与前例类似的追究刑事责任的条款。但是这种追究刑事责任的条款都非常简洁,并没有设置追究刑事责任的具体标准,也没有规定相应的刑事处罚措施。
因此可以推测,在我国制定了《个人信息保护法》之后,其与刑法中关于侵犯个人信息犯罪规定的联系也会非常紧密,两者需要互相印证才能完成对某一违法犯罪行为的有效打击。但是众所周知,刑法具有稳定性和严肃性,不可能经常加以修改,那么对于日益增多的犯罪手段带来的新型犯罪方式,则不能完全进行规制。
刑法的滞后性明显暴露了我国采取单轨制立法模式的弊端:将关于个人信息保护的刑事处罚措施、法定刑等完全规定在刑法典中,很容易导致新修订的行政立法规定与尚未修改的刑法条文的严重脱节。比如本罪规定了其入罪标准是“违反国家有关规定”,如前文所述,此处既包括“国家规定”还包括其他相关规定。这些相关规定数量庞大,修改的频率也比刑法高很多,在这些法律法规为了适应社会发展频繁修改时,刑法仍然只能规制有限的内容,那么这些法律法规与刑法典之间将很难实现互相印证,更不能有效规制所有对个人信息的侵害行为。
(二)罪名体系不完整的问题
1.犯罪对象的规定不够明确
根据刑法条文的规定可以得知本罪的犯罪对象是“公民个人信息”,然而在刑法条文中并没有明确规定这一规范的构成要件要素。与此同时,我国《个人信息保护法》也未出台,缺少法律明确定义相关概念,因此关于本罪的犯罪对象一直争议颇多。例如,对于“公民”一词是否应该保留在刑法条文中存在争议,“公民”一词是否仅限定为我国公民,在本罪条文的规定之意与其应有之意间存在较大出入。根据法律的体系解释,此处的“公民”应是我国宪法规定的只包括拥有我国国籍的自然人,因此我国刑法所言之“公民”当然只包括我国公民。但是若以此观点衡量,现实中,外国公民的个人信息侵权行为若是发生在我国领域内,根据本罪则无法规制,所以本刑法条文是否应该删除“公民”这一限制,既严格执行罪刑法定原则,又不违背立法者的立法意图值得深究。
2.并列的行为方式存在冲突
现行刑法条文关于侵犯公民个人信息罪这一罪名的行为方式,规定为两种方式:第一种是“出售”或“提供”,第二种是“窃取”或“非法获取”。对于第一种行为方式的条文设计本文认为存在争议之处。根据《中国汉语词典》的解释,“出售”的意思是指商品与货币的交换形式。也就是说以相应的对价把商品提供给他人。那么出售个人信息就是把个人信息有偿的提供给他人。而“提供”的意思顾名思义就是“给别人”,在此处的意思就是把掌握的信息给别人。因此就产生了以下矛盾:“倘若我们认定出售行为不管在主观恶性上还是在客观危害性上,都比单纯的提供行为更加严重,那么应该体现出不同的罪状形态。”然而从法条的设置上我们并不能看到这样的差异,因为现行刑法第253条之一依然将这两种行为设置为并列的关系。又或者“我们认为出售个人信息的行为与提供行为在主观恶性和危害性上均无差异,那么出售行为也可以认定为一种形式的提供行为。既然是包含的关系,刑法条文中为什么仅仅将这一种行为单独列出来。”因而,现行刑法条文关于侵犯公民个人信息罪的第一种行为方式的规定有待推敲。
若根据刑法条文,这两种行为的处罚标准完全一致,这违反了罪责刑相一致的原则。倘若将二者视为不同层次的犯罪方式进行分别量刑,则违背了该条文规定之意,也违背了罪刑法定原则。
(三)相关术语定义不明确
《刑法》第253条之一规定的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”的犯罪对象均为个人信息,然而法律条文中并没有明确什么是个人信息,既没有个人信息的定义也没有个人信息的例举。这就成为法律颁布后诸学者及实践部门一致认为需要立法明确界定的内容。对于一项犯罪而言,明确其所侵犯的对象是首先必须解决的问题。刑法条文一旦出现概念内涵和具体范围的模糊,势必在今后的司法实践中产生较大争议。个人信息内容的不明确必然给本条的实施带来很大的难度和不确定性。
人们出于对个人隐私没有安全保障的担忧,也出于普遍希望个人信息在网上被泄露现象得到有效的遏制,2012年12月28 日第十一届全国人大常委会第三十次会议通过了全国人民代表大会常务委员会《关于加强网络信息保护的决定》,其中第一条规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”该法规被视为国家立法机构对近期公民个人信息在网上被泄露频发问题的回应。国家出于加强对个人信息安全保障的目的,立法保障网络个人信息的安全,将需要保护的对象设定为“能够识别公民个人身份和涉及公民个人隐私”的电子信息。这一立法有助于对个人信息在法律语境中的解读,但毕竟有别于《刑法》或《个人信息保护法》中对个人信息的界定。
三、我国个人信息刑法保护的完善建议
(一)完善我国个人信息刑法保护法律体系
1.加快出台《个人信息保护法》作为前置法律
当今社会,世界上已经有近百个国家(地区)颁布施行了专门性的个人数据(资料)保护法。其中包括我国的台湾与澳门特别行政区,这两个区域都已经制定并出台了各自的《个人资料保护法》,对个人资料保护的力度有了明显提升。而我国内地可以借鉴这种方式,出台类似的专门性法律作为前置法律。虽然目前可以通过刑法或行政法对个人信息进行一定程度的保护,但一部完善的《个人信息保护法》可以对个人信息实现更加全面的保护。作为典型的成文法的国家,我国的法律传统是制定明确的法律规范来规制特定的法律行为,对于个人信息的保护也需要依循这样的立法传统。为此,学术界一直呼吁,制定并出台我国专门的《个人信息保护法》,完善我国的法律体系。不同于我国《个人信息保护法》迟迟未于出台的立法困境,同样具有成文法特征的许多国家都已完成了对个人信息的专门立法,还有一些国家甚至已经根据其自身的法律实践,着手制定了多部关于保护个人信息的法律文件,从各种不同的角度对个人信息进行全面的保护。域外国家的成熟的立法经验和立法技术,值得我们借鉴学习,我国应该加快推进个人信息保护专门立法的步伐。刑法对于个人信息的保护是保障性、终局性的,对于未达到刑事犯罪标准的个人信息侵害行为的制裁,我国现行法律规范明显存在力度不足的缺点。当务之急,就是制定《个人信息保护法》,对个人信息侵害行为进行规制,才能达到我国现阶段对于个人信息保护的需求水平。
2.完善刑法与行政法等前置性法律的衔接
任何行政法律法规都要与对应的刑法条文进行有效的衔接,个人信息保护法也不能例外。结合我国现有法律、行政法规中的内容,可以发现我国行政法与刑法对个人信息保护的内容并没有形成良好的过渡与衔接,只是在各自条文中对侵犯个人信息的行为作出了限制。
在我们依法推进个人信息保护专门立法的同时,对于其与刑法的衔接也不应该被忽视。我国目前的《个人信息保护法草案》虽然凝结了诸多专家学者、立法者的心血,但是毕竟已经是十多年以前的技术水平。在这部法律“难产”的十余年间,我国关于个人信息保护的步伐却一直没有停止,除了其他法律性文件,刑法典也已经对侵犯个人信息的犯罪进行了两次修正。因此旧的《个人信息保护法草案》的诸多内容已经存在较大的滞后性,在接下来进行个人信息保护专门立法时,需要将不符合当前我国发展水平的内容及时加以修正。这样的积极性也应该始终贯穿在之后的有个人信息的其他法律的制定和修正过程之中。使得各法律法规关于个人信息的保护内容能够并驾齐驱、共同作用,而不是冲突不断、难以衔接。为了解决刑事立法“被孤立”的现象结合我国目前的实际情况,可以考虑在《治安管理处罚法》中设立个人信息犯罪的独立罪状与法定刑,做到刑法与前置法律的有效过渡与衔接。
(二)进一步完善相关罪名体系
从世界部分国家和地区关于侵犯公民个人信息犯罪的规定情况看,各国一般根据本国的不同情况,为侵害个人信息犯罪划定相应的范围。有些国家将侵害信息犯罪单独规定为一章或者一节,并将其确定为侵害个人信息权利的犯罪。借鉴以上立法经验,本文主张,应将侵犯我国公民个人信息的犯罪单独列为一节,并根据社会发展把一些常见多发的行为纳入侵犯公民个人信息的犯罪中来,如非法窃取、非法提供、非法收集、非法使用公民个人信息情节严重的行为,不正当使用(不合收集目的而使用)公民个人信息情节严重的行为,非法处理公民个人信息情节严重的行为,非法存储持有公民个人信息情节严重的行为等等,以建立完善的罪名体系,以妥善的回应民众的期待与呼声及惩治犯罪。此外还应该合理设计个人信息保护的罪名群:
1.增加过失泄漏个人信息罪
我国关于侵害个人信息犯罪的主观要件只规定为故意,对于过失侵犯个人信息的行为则认定为无罪,这种认定方法并不完全合理。在当今的社会生活中,有许多岗位会大量接触公民个人信息,如:银行工作人员、中介机构以及一些政府工作人员,一旦这些人员出现重大过失行为,会直接造成公民个人信息大面积泄漏,导致其他犯罪分子得以继续实施其他侵犯个人信息的犯罪行为,也为众多公民带来极大损失和严重伤害。因为侵犯公民个人信息罪无法对此类过失行为进行有效规制,其他刑法条文也无法进行补充。所以设置过失泄漏公民个人信息罪是必要的。关于泄漏个人信息入罪在很多国家和地区都有规定,在我国的台湾地区,泄漏公民个人信息的行为早己写入刑法典,台湾刑法中设置了“泄露业务上知悉他人秘密罪”。此罪主要规制因为业务需要掌握他人信息,但没有原因的泄漏行为,并且在法律条文中规定了这些主体的范围,比如医生、药师、宗教师等都属于本罪的犯罪主体。关于此罪的罪过形式也没有区分故意或者过失,所以过失泄漏的行为也可触犯此罪。
而我国对于故意泄漏个人信息的行为可以理解为“提供”个人信息的一种方式,只是对于过失泄漏个人信息的行为无法规制。所以在具体罪名的设计上,我们不应该学习台湾设置“泄漏业务上知悉他人秘密罪”,因为这样会导致法律条文的冲突,但是我们可以借鉴德国刑法的规定,将过失泄漏公民个人信息的行为单独规定为一个新的罪名“过失泄漏个人信息罪”,与侵犯公民个人信息罪并列,设为该条之一的规定,参照侵犯公民个人信息罪设定较轻的法定刑档次。
2.增加非法使用个人信息罪
由于没有确定罪名的设置,而给司法适用带来不知如何表述有关侵害个人信息犯罪称呼的司法尴尬。关于该罪罪名的确定,有学者提出应当确定为“出售、非法提供公民个人信息罪”和“购买、非法获取公民个人信息罪”。其理由是《刑法修正案》(七)第 7 条第 1 款规定的是特定主体故意违背职责要求,将本单位合法收集的公民个人信息出售或者非法提供给他人的行为;而该条第 2 款规定则是一般主体非法获取特定单位合法收集的公民个人信息之行为;它们的主体及其体现的行为性质明显不同。故确定为两个罪名才符合罪名准确揭示犯罪构成特征之要求。
笔者认为没有必要设置两个罪名。因为,第一,犯罪主体不同并不当然导致罪名不同;如《刑法》第 243 条第 1、2 款虽然规定了不同的犯罪主体,但仍同为诬告陷害罪一个罪名。还有其他类似立法例。
第二,尽管两款规定的行为方式有所不同,但无论是出售或非法提供还是购买或非法获取,都是侵犯个人信息权的行为。严重侵犯个人信息权的行为方式很多,有出售、购买、非法提供、刺探、披露、搜集、非法使用个人信息,但概括总结起来无外乎非法泄露和非法获取两个大的范畴。由于语言的局限性、社会发展性以及侵犯个人信息犯罪的发展趋势,以后还可能有更多的想不到的侵犯个人信息权行为纳入刑法的犯罪圈中。那么按分设两个罪名的上述观点,显然将来还要设置更多新的罪名才能准确揭示犯罪的构成特征,这就有违立法罪名设置简约化和明确化的原则,也不利于司法者运用和把握,只能徒增玄虚而成为法学家门手中的“鉴赏物”。 基于立法的简约化和明确化原则,以及易于理解和把握的要求。笔者建议将侵犯个人信息权的犯罪罪名设置为“非法泄露、获取个人信息罪”,归入侵犯公民人身权利罪的分则体系。
综上所述,本文认为我国刑法应该把过失泄漏个人信息的行为、非法使用个人信息的行为以及篡改和损毁个人信息的行为纳入刑法规制的范围内。具体的量刑幅度可以参照现有的侵犯公民个人信息罪的规定。另外澳门将此类犯罪规定为告诉才处理的犯罪,是考虑到其社会法益侵害性较轻,这点我国在设计此罪名时也可加以借鉴。
(三)追诉方式的完善
有学者认为,由于个人信息权和诸如侮辱罪、诽谤罪、暴力干涉婚姻自由罪、虐待罪以及侵占罪等罪名保护的权利一样,在本质上属于公民的个人权利,对这些权利的侵犯,尤其是“针对可能判处3 年以下有期徒刑、不需要经过专门侦查的侵犯个人信息权犯罪案件”,其危害性总体上还较为轻微,因此应当借鉴上述五种犯罪的规定,将侵犯个人信息犯罪设计为“告诉才处理”的自诉追诉方式。
同时,论者也认为如果侵犯公民个人信息的行为严重侵犯了国家、社会利益,就不属于告诉才处理的范围。
对此,笔者认为有一定的合理性。以比较法的视角来看,各国对此都有不同的规定及惯例,以英美法系来看,英国、美国的追诉方式均是以公诉为主的,但在大陆法系中德国、日本则基本采用自诉的方式。在本罪中,如果立法者的主要意图是为了维护国家利益、社会秩序,那么应当采用以公诉为主的诉讼形式,同时,我们也并不排除在行为人采用侵犯个人信息数据库等行为中,可能涉及侵犯社会秩序甚至国家利益,因此,本罪宜采用自诉为主的追诉方式,只有当侵害行为严重破坏了社会秩序甚至国家利益的时候,才能以公诉的形式进行追诉。这种以“自诉为主,公诉为辅”的追诉方式是符合刑法谦抑性的要求的,并在一定程度上做到为司法资源节源开流。同时,这种使被害人参与到刑事诉讼中的追诉方式对维护社会和谐也能起到一定的积极作用,使社会矛盾能在较短的时间内得到化解。
结语
个人信息的刑法保护作为我国刑法新的领域,无论在立法完善、理论研究以及司法实践上都需要经历一个日臻成熟的过程,这同时也为侵犯个人信息犯罪的研究提供了更为广阔的空间。综观国际和各国刑事立法,其侵犯个人信息犯罪的规定伴随侵犯个人信息行为的严重亦步亦趋的迅速变化就是最好的说明。中国需要进一步完善侵犯个人信息犯罪的规定,并使之与《刑法》协调适用,但它必须具有中国的特点,符合中国的国情。只有这样才能有效地遏制侵犯个人信息犯罪,保障司法机关的正常活动和经济秩序的安全运行。诚然,我国刑法对公民个人信息的保护起步较晚,但却也是一步一个脚印地向前。笔者希冀在不久的将来,公民个人信息的刑法保护体系建立健全。
