刑法亮剑个人信息保护
你收到过各种推销产品的手机短信吗?你接到过邀请访谈的莫名电话吗?相信许多人会给出肯定的回答。然而,在有些人对这些问题一笑而过的时候,却有不少人正承受着个人信息泄露所带来的痛苦与烦恼。
个人信息滥用是当今世界各国面临的共同问题。在我国,近些年,人们在享受科技发展与网络信息技术普及带来的便利的同时,也正经历着个人信息滥用的困扰。
我们在报刊网络上不时会看到有关明码标价售卖个人信息的网站的报道:只要输入想要搜索的人的名字,就可以立即查到这个人的电话号码、手机号码、家庭及工作地址等联系方式,甚至包括婚姻状况、犯罪记录、银行借贷记录、个人财产记录等个人信息。我们也不会忘记中央电视台3·15晚会披露的山东部分移动通信公司向合作伙伴出售山东及全国手机用户信息的丑闻。这些不过是当今社会个人信息滥用的冰山一角。2007年9月至2008年12月,中国社会科学院法学研究所针对个人信息保护现状专门组成课题组,在北京、成都、青岛、西安4个城市进行调研,并于2009年年初发布了“法治蓝皮书”,其调查结果,可谓“触目惊心”。根据“法治蓝皮书”的披露,目前我国个人信息滥用不仅形式多样,而且已经成为新兴产业,社会上已出现了大量兜售房主信息、股民信息、商务人士信息、车主信息、电信用户信息、患者信息等非法买卖个人信息的现象,个人信息滥用已经成为我国当前严重的社会问题。
信息社会中的个人信息
现代社会是信息社会。信息社会也称信息化社会,是脱离工业化社会以后,信息起主要作用的社会。在信息社会中,信息成为比物质和能源更为重要的资源,以开发和利用信息资源为目的的信息经济活动迅速扩大,逐渐取代工业生产活动而成为国民经济活动的主要内容。信息经济在国民经济中占据主导地位,并构成社会信息化的物质基础。
信息是一个综合性的概念,个人信息是信息的一个组成部分,相对于信息的庞杂与无序,个人信息在很大程度上具有个人性与特定性,并随着社会的发展不断扩充自己的内涵与价值。
信息在一定程度上已经成为个人财产的组成部分。对于一定范围内特定的人,其个人信息经过合理适当的使用,能够为其所有者带来一定的收益,尤其对于一些占用社会资源较多的个人而言,其个人信息的潜在价值更加不可小视。因此,对个人信息的滥用是对公民个人财产权利的一种侵犯。
现代社会中,信息不仅是一种财产权利,更是一种基本的人权。一般来说,人权指的是那些人之生存所必需的、基本的、不可剥夺的权利,它是在经济发展到一定程度以后才出现的。人权的内涵也随着社会的发展而不断扩充着,从而为人类的发展提供基本的保障。信息社会中对个人信息权利的保障就是社会发展对人权提出的新要求,也是信息社会中出现的对个人基本权利保护的新课题。个人信息权利应当被视为人权的重要组成部分之一。
首先,个人信息权利是公民个人人格权利的组成部分之一。作为公民个人基本情况的反映与体现,个人信息权利直接关系公民的个人人格利益的享有,并直接体现了公民的人格利益,因此,个人信息权是公民人格权利的重要组成部分之一。
其次,鉴于个人信息权的人格权利属性,对个人信息的滥用就是对公民个人隐私权的一种侵犯。个人信息不同于个人隐私,两者存在很多重合的地方,个人信息中的许多内容属于个人隐私的范围。因而,对个人信息的保护直接关系个人的尊严,关系个人的生活质量。目前,侵犯个人信息的违法行为已经愈演愈烈,侵权者无孔不入,个人保有个人隐私的空间已经越来越少。在这种情况下,个人信息的保护日益迫切。
最后,对个人信息的滥用是对公民个人自由空间的一种侵犯。个人信息的泄漏会造成个人生活空间被侵犯,造成公民的休息权、自由权被侵害,并进而威胁到个人的安全。现代社会,宁静与自由的生活环境已经越来越难以企及,个人信息的频频泄漏,使得个人的生活空间显得更加逼仄,在一定程度上造成个人生活质量的下降。
个人信息不仅对其所有者来说具有重要的意义,它的使用也会对社会、对经济产生重要的全面的影响。
对于市场经济来说,个人信息是一种基本的重要的市场资源,对于信息的拥有与否在很大程度上决定了市场地位与竞争力强弱。市场经济是由人流、物流以及信息流组成的经济体系,任何一种因素的强弱都直接决定着市场经营的成败。而市场就是由一个个消费者所组成,市场信息其实就是个人信息的整理与汇总,因而对个人信息的滥用会造成不公平的市场竞争,进而干扰正常的市场经营秩序,影响市场经济的正常运转。
对于社会来说,良好的社会秩序是人们正常生活的基础,而对个人信息的滥用则有可能为犯罪分子提供侵入个人生活空间的机会。目前社会上频繁出现的利用公民个人信息进行的违法犯罪行为,已经给社会安全带来了很大的隐患。
由此可见,对个人信息的保护,不仅是对公民个人财产权利的保护,也是对公民人权的保护,更是对社会秩序的保护,是信息社会正常运转与健康发展的基本保障。
保护个人信息,刻不容缓。
个人信息的法律保护
对个人信息保护的呼唤由来已久。现实中对个人信息进行保护的手段也是较多的,经济手段、行政手段、法律手段等,不一而足。而在法律手段中,既有宪法与民事法律方面的,也有行政法律以及刑事法律方面的。
纵观世界各国,对个人信息均给予了较高的重视。尤其在发达国家,个人信息的保护起步较早,法律法规较为全面,保护的手段也较为健全,在现实中也取得了一定的成效。
就法律运作的效果来看,对个人信息的保护方面,欧盟与美国走在了世界各国的前面。从法律保护模式来看,欧盟采取综合立法模式保护个人信息,通过一系列严格完善的法律体系来构建保护个人信息的严密网络;美国则是采取政府引导下的行业自律模式,同时通过分散立法来补充行业自律的空白。无论是哪种模式,都表明在这些国家与地区,对个人信息的保护是较为重视的,相关法律规范是较为健全的,对个人信息的滥用行为进行了有效的惩罚,从而为个人信息的有效与规范使用提供了清晰的界限,并维持了较好的市场竞争秩序。
从个人信息的法律保护体系来看,尽管刑法理论上学者们对侵犯公民个人信息的行为是否需要纳入刑法规制的范围,仍存有争议,但是从世界各国或各地区个人信息保护立法与执法的情况来看,运用包括刑法在内的法律手段规范个人信息使用、打击滥用个人信息的行为是当今世界各国和地区共同的做法。例如,美国《隐私权法》规定:任何由其工作或职务性质所决定,可以掌握或使用那些被本条或依据本条制定之规则或规章禁止泄露的包括个人识别信息之机关档案,而且明知泄露这种档案材料乃被禁止之行为的机关官员或雇员,如以任何方式向任何无权获得之个人或机关泄露上述材料,则应被判为轻罪并处以5000美元以下的罚金。该法还规定:任何人明知且故意以虚假身份向某机关申请得到或得到有关个人的档案材料,应被判为轻罪并处以5000美元以下的罚金。
韩国《公共机关个人信息保护法》规定:违反本法规定泄露无权限处理的个人信息或者将个人信息提供给他人使用等将个人信息用于不正当之目的的,处以3年以下徒刑或者1000万韩元以下的罚金。以欺诈或者其他不当之方法自公共机关处查阅或者接受其提供的处理信息的,处以两年以下徒刑或者700万韩元的罚金。此外,奥地利、瑞典也有类似的规定。
中华人民共和国澳门特别行政区于2005年制定的《个人资料保护法》也规定,如果一项行为同时构成行政违法行为和犯罪,则只以犯罪论处,并详细规定了五种犯罪行为及相应的刑罚措施,最高可判处2年有期徒刑,且可并处罚金。
我国法律也重视对公民个人信息的保护,在宪法、民商法、行政法等部门法律中都有相应规定。如《宪法》明确规定:“中华人民共和国公民的人格尊严不受侵犯。”“中华人民共和国公民的通信自由和通信秘密受法律的保护。”由此可见,个人信息权利是我国宪法赋予公民的基本权利之一,它是公民应享有的人格权、人身权的一部分。作为公民的基本权利,个人信息的主体不但有自行处分其个人信息的权利,而且还有权要求他人就该信息履行作为或不作为的义务。从这个意义上讲,尊重并保护他人的个人信息,规范地使用他人信息等行为,就是一种对他人权利、对国家法律的尊重。在民事法律领域,我国对个人信息的保护主要是《民法通则》中具体人格权制度和民事侵权责任两个部分。这些法律规定虽然与个人信息保护有关,但过于原则,并不具有专门针对性,且对个人信息保护的范围过于狭窄,无法适应现代社会发展的需要。具体到刑事法律而言,虽然我国现行《刑法》也涉及侵犯公民个人信息的犯罪,如《刑法》规定的侮辱罪,就与公民个人信息保护相关(故意泄漏他人隐私信息,公然侮辱他人,符合侮辱罪构成要件,则可能成立侮辱罪),但侮辱罪保护的法益是公民个人的人格,并非是针对个人信息滥用行为的专门规定,相对于现代社会中形形色色的滥用个人信息的行为,刑法既有的规定显然力不从心。
面对我国个人信息日趋严重的滥用问题,社会对个人信息保护立法的需求越来越迫切。但是否有必要动用刑法,在理论上却存在激烈对立。持肯定观点的学者指出,用刑事制裁方法遏制泄露个人信息的行为是保护公民基本权利的需要,也是构建和谐社会的需要。但相反的意见却认为,刑法应是其他法律的后置法,只有当其他法律将某种行为定性为违法,且违法程度严重到不动用刑罚不足以遏止的时候,刑法才能将其定为犯罪。目前《公民个人信息保护法》尚未出台,对受保护的公民个人信息范围没有明确的法律规定,也没有哪一部法律将泄露公民个人信息的行为规定为违法。在这种情况下,刑法匆忙将其定罪,恐怕在实践中难以操作。
对于刑法是否有必要将个人信息滥用的行为规定为犯罪,立法机关一直持慎重态度。全国人大常委会法工委刑法室副主任黄太云说:“对这类问题要不要定罪,全国人大非常谨慎,找了很多机关征求意见。经有关部门研究,对这类侵害公民权益情节严重的行为,不少同志认为应当追究刑事责任。”在广泛征求意见后,全国人大常委会法工委在《刑法修正案(七)草案》(以下简称《草案》)中增设了该条款。
从《草案》的规定看,其并没有对现实生活中所有滥用个人信息的行为都规定为犯罪,而是仅将特定领域中的特定滥用个人信息的行为予以犯罪化。《草案》规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”“窃取、收买或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”《刑法修正案(七)》基本上采纳了《草案》的规定,考虑到实践中单位犯本罪的实际情况,同时规定:“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
《刑法修正案(七)》的颁行,标志着我国公民个人信息的保护步入了刑法层面,正如我国一些学者评价的,我国进入了个人信息刑法保护的高规格时代。
罪名解读
根据《刑法修正案(七)》的规定,理解和适用该条款规定的犯罪,笔者认为,需要注意以下几个问题。
第一,从本罪发生的场合和犯罪主体看,成立本罪具有特殊要求。具体说,对自然人犯罪的,只有“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人的”,或者“窃取或者以其他方法非法获取上述信息的”才成立本罪。就前者而言,显然是特殊主体。对于本罪主体规定是否科学,《草案》颁布后,即引起了学者们的争论。当时就有学者明确指出,对本罪行为主体的范围,《草案》采用了列举式方法来加以明确,行为主体不包括其他单位的工作人员。而现实中,故意泄露公民个人信息的远不止上述单位的工作人员,招聘网站和猎头公司、各类中介机构、市场调查公司、房地产公司等也是泄露个人信息的罪魁祸首。但由于《草案》对此类主体未作规定,因此,该几种单位的工作人员将公民个人信息出售或非法提供给他人的,无法追究刑事责任,这有违公正、公平原则。还有的学者提出,对于滥用个人信息的行为,世界各国和地区的相关法律中通常只强调行为人的目的和动机,或强调获取信息是由其工作或职务性质所决定的,极少对行为人所处的岗位或领域作出限制,建议《草案》将犯罪主体扩大,而不仅局限于上述单位的工作人员。笔者认为,从刑法保护的必要性看,主张将本罪主体扩大的观点是可取的,但是,立法之所以未采纳理论界的意见和世界多数国家的做法,也许是考虑到我国个人信息立法保护的现状。如前文指出,我国目前的民事、行政等法律虽然对个人信息保护有所规定,但并不完备。在民法、行政法等对个人信息欠缺明确立法规定的情况下直接将大量个人信息滥用的行为规定为犯罪,难以符合刑法保障法的性质。而从我国客观现实看,国家机关或者金融、电信、交通、教育、医疗等机构在履行职责或者提供服务过程中,往往需要公民提供个人信息,其掌握有大量公民个人信息,而且,我国法律、法规对上述特定单位和工作人员对公民个人信息保密义务的规定也相对完善,因此,相对于普通领域而言,刑法保护该特定领域个人信息滥用行为更具有迫切性和可行性。若从该角度理解,《刑法修正案(七)》对犯罪主体和犯罪成立范围的规定是合理的。当然,在时机成熟时,刑法将本罪的犯罪主体进一步扩大则是有必要的。
第二,从本罪的犯罪对象看,本罪的犯罪对象是“个人信息”。单从词义上理解,现实生活中“能够识别特定个人的一切信息”都应当认定为个人信息,例如有专家认为,个人信息应该是指所有能识别出个人,或者同个人相关信息相结合而可识别出个人的信息。通常来说,其范围应当包括据以识别个人身份以及反映个人家庭、职业等情况的个人基本信息,如个人的姓名、性别、出生年月、民族、籍贯、职业、学历、联系方式、婚姻状况、收入和财产状况、指纹、血型、病史等。而且,个人信息在不同的法律关系中有不同的解释,例如隐私权中有个人信息,商业秘密中也可以有个人信息,泄露、窃取、收买个人信息行为的客体极有可能会和侵犯隐私权、侵犯商业秘密的客体相重合,这就给单独认定是否是泄露、窃取、收买个人信息带来了困难。个人信息不明确,本条规定的效果就可能打折扣。因此,科学界定本罪中的“个人信息”是一个十分重要的问题。笔者认为,刑法和民法目的不同,法律责任的后果存在巨大差别,因此,不能将民事法保护的所有个人信息都认定为本罪中的“个人信息”,这一点应当是明确的。但是,既然刑法将特定滥用个人信息行为规定为犯罪,在实践中必须解决个人信息的范围问题:哪些信息属于本罪的信息,需要司法解释进一步明确,以便于实践操作。当然,正如我国学者所普遍认识的那样,个人信息外延十分广泛,且在不同的法律关系中有不同的理解,因此,即使司法解释将来对个人信息概念和范围作规定,也只能作出原则性、概括性的规定。
第三,在犯罪客观方面,要求行为人必须违反国家规定,实施刑法规定的特定行为,情节严重。首先,本罪属于行政犯,成立犯罪必须以行为违反国家规定为前提,在没有违反国家法律、法规等规定情况下,即使实施了该修正案规定的行为,情节严重,也不能认定为成立本罪。另外,本罪属于情节犯,成立犯罪必须要求行为达到情节严重的程度。所谓情节严重,从我国当前社会现实看,笔者认为,下列情形应当包括:出售或者非法提供他人个人信息,数量较大的;出售或者非法提供他人个人信息,获取利益数额较大的;因出售或者非法提供他人个人信息使他人遭受财产损失,数额较大或者导致他人人身伤亡的,等等。而在现实生活中,情节是否严重,往往会因个体的差异而表现不同,如我国学者举例指出,手机号码泄密,对于普通人来说,可能仅仅是多收几条垃圾短信,但如果是出镜率高的公众人物,正常的生活则可能完全被打乱。因此,以何种标准判断行为是否达到情节严重的程度?情节严重具体包括哪些常见类型?这关系本罪罪与非罪的界限,实践中迫切需要司法机关尽快给予相关司法解释。
本罪除了上述问题外,在认定是否成立犯罪时,证据收集也面临难题。2008年10月13日至15日在南京召开的中国法学会刑法学研究会年会上,著名刑法学家赵秉志教授针对《草案》的规定就曾指出,本罪在追究行为人刑事责任时,可能面临取证难的困境。特别是如何有效地证明相关单位的工作人员在履行职责的过程中,实际出售或者非法提供了他人的信息,并非一件容易之事。需要形成一定的配套措施,才能使相关刑事法律规范得到实际执行。为此,有学者甚至提出了认定本罪的特殊证据规则。笔者认为,单独为本罪制定和使用特殊的证据规则,在我国是不现实的。当然,为了保证本条文的切实实施,最高人民法院、最高人民检察院、公安部制定一定的配套规定,则完全必要。
最后,必须指出的是,用刑罚的方法规制个人信息滥用行为,对于高规格保护个人信息是必要的,但在目前的我国,对公民个人信息的保护仅凭一条刑法修正案是远远不够的,不可能解决个人信息保护的所有问题。随着个人信息价值的进一步提升,公民对个人空间的进一步重视,人权意识的进一步提高,对个人信息的保护会更加迫切,现有的立法会更加难以应付。因此,在当前和今后一个时期,加强对公民个人信息使用的指导,提升公民个人信息的保护意识,全面完善个人信息保护法律体系,应当是保护个人信息更实际、彻底、有效的措施。
可喜的是,我国正在制定个人信息保护的基本法,据悉,2009年年初,《个人信息保护法(草案)》已提交国务院。我们期盼着该部法律早日颁布,为我国个人信息保护提供更有效全面的法律规范!
(本文原载《中国审判》2009年第5期)