公民个人信息刑法保护问题研究

一、前言

现代社会是信息社会。离开各种资讯和信息，人们甚至无法在现代社会中生存，更遑论发展。更重要的是，现代社会中每个成员自身的情况也已经是社会信息中不可分割的部分。我国近年来开始注意积极保护社会成员的个人信息，尽管至今尚未制定完整、统一的个人信息保护法律，但在宪法、民法、行政法等法律中都有一定的涉及；尤其是我国立法机关于2009年2月28日通过的《刑法修正案(七)》，首次在刑法规范中增设了侵犯公民个人信息的犯罪，确立了对公民个人信息给予全面保护的立法精神，并为公民个人信息提供了最严厉的法律保护，从而在社会成员个人信息的法律保护上迈进了一大步，体现出对民生的重视和保护，有助于加强对公民人权的全面保障。{1}不过，由于种种原因，《个人信息保护法》在我国至今仍迟迟未出台，这不仅妨碍对公民个人信息给予全面的法律保护，而且也严重影响了对刑法典中侵犯公民个人信息犯罪之法条的理解、适用和完善。而且，《刑法修正案(七)》在公民个人信息的全面保护上也还有所欠缺，留下了较大的改进和完善空间。深入研究对公民个人信息之刑法保护的司法适用和立法完善问题,仍是我国刑事法治乃至社会文明进步一个重要课题。这里需要专门指出的是，相比之下，我国澳门特别行政区在居民个人信息和资料的保护方面有较为成熟的立法规定和法律适用经验，在一定程度上能为我国公民个人信息之法律保护(尤其是刑法保护)的改进提供重要的借鉴和参考。

二、刑法保护之立法评价

(一)立法概况

我国自1949年新中国成立以来到两部刑法典(即1979年刑法典与1997年刑法典)中，均未直接、明确地规定专门的罪刑条文对个人信息进行保护。直到2009年2月，国家立法机关才在《刑法修正案(七)》中增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪这两种侵犯公民个人信息的犯罪，开始以刑法手段对公民个人信息予以全面的保护。具体而言，《刑法修正案(七)》第7条所增设的刑法典第253条之一分三款对侵犯公民个人信息的犯罪做出了规定。第1款表述为国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。“第2款表述为：”窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。“第3款表述为单位犯该罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”根据最高人民法院、最高人民检察院于2009年10月16日颁布的《关于执行〈中华人民共和国刑法〉确定罪名的补充规定(四)》的规定，上述第1款规定之犯罪的罪名为“出售、非法提供公民个人信息罪”，第2款规定之犯罪的罪名为“非法获取公民个人信息罪”。

根据上述第1款和第3款的规定，出售、非法提供公民个人信息罪是指国家机关或者金融、电信、交通、教育、医疗等单位或者其单位的工作人员，违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的行为。该犯罪的构成特征表现为以下几点：(1)犯罪主体是特定的单位或者自然人。可以构成本罪的单位是国家机关或者金融、电信、交通、教育、医疗等依其单位性质能够获取公民个人信息的单位；而可以构成本罪的自然人是上述单位的工作人员。(2)犯罪主观方面是故意。(3)犯罪客观方面表现为国家机关或者金融、电信、交通、教育、医疗等单位或者其工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的情形。(4)犯罪客体表现为公民个人的信息自由和安全。根据上述第2款和第3款的规定，非法获取公民个人信息罪是指窃取或者以其他方法非法获取公民个人信息，情节严重的行为。该犯罪的构成特征具体有：(1)犯罪主体是一般主体，既可以是单位，又可以是自然人，单位的性质和自然人的身份没有特别的限制。(2)犯罪主观方面表现为故意。(3)犯罪客观方面表现为窃取或者以其他方法非法获取公民个人信息，情节严重的情形。(4)犯罪客体也表现为公民个人的信息自由和安全。{2}

对《刑法修正案(七)》的上述立法规定，我们可以从进步和不足两个方面予以评价。

(二)进步之处

1.对公民个人信息率先确立全面保护的立法精神

近年来，我国对公民个人信息的保护逐渐引起重视，并陆续在相关法律中作出了规定，如《护照法》、《身份证法》、《统计法》等。{3}有关部门在所发布的相关规定中也对某个方面个人信息的保护有所规定，如信息产业部于2000年11月6日发布了《互联网电子公告服务管理规定》，要求电子公告服务提供者对上网用户的个人信息保密。最高司法机关也曾发布司法文件，强调对个人信息的保护。{4}但是，这些法律法规、规范性文件或者规定对特定人群的信息保护，如《未成年人保护法》、《妇女权益保障法》，或者规定对特定领域的个人信息保护，如《执业医师法》、《律师法》、《传染病防治法》。相比之下，《刑法修正案(七)》则突破性地确立了对公民个人信息给予毫无例外之全面刑法保护的原则，因为其第7条所增加的刑法典第253条之一将“公民个人信息”作为该罪刑条文所规定之危害行为的对象，而并未对“公民个人信息”的范围作出任何限制和例外性规定，因而可以确定，我国刑法典载明对每个公民的所有个人信息均予以刑法的保护。

2.以叙明罪状详尽规定犯罪成立的全部要素

《刑法修正案(七)》第7条对刑法典增加之第253条之一，分三款比较详尽地规定了侵犯公民个人信息的犯罪。其中，第253条之一第1款规定的是“出售、非法提供公民个人信息罪”，对该犯罪的行为主体、主观罪过、客观行为以及构成犯罪的危害程度都作了详尽的描述，如该犯罪的主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”；根据该条第3款的规定，还包括“国家机关或者金融、电信、交通、教育、医疗等单位”本身。因而该条款对“出售、非法提供公民个人信息罪”规定的罪状属于刑法上所说的叙明罪状。比较而言，第2款对“非法获取公民个人信息罪”仅简要地规定了客观实行行为，但是，根据第I款和第3款的规定，其实比较容易确定该罪的犯罪构成要件。

显然，叙明罪状的立法模式在一定程度上增强了司法实践中认定和处理侵犯公民个人信息犯罪行为的可操作性。如果分析近年来刑法修正案对刑法典所新增的具体犯罪，我们不难发现，越是新型的犯罪，刑法修正案越是尽可能地以叙明罪状的形式详尽地罗列其犯罪构成的各种要件和要素，如《刑法修正案(六)》新增加之刑法典第162条之二所规定的“虚假破产罪”，{5}《刑法修正案(八)》新增加之刑法典第133条之一规定的“危险驾驶罪”等，{6}都是如此。

3.灵活处理成立犯罪之侵犯行为的危害程度问题

时至今日，我国对公民个人信息的保护尚未建立全面和完备的法律机制，因而对于侵犯公民个人信息的行为，哪些属于行政违法行为而需要受到行政处罚，哪些具备刑事违法性而需要受到刑事制裁，这一问题在一定程度上也曾造成了立法的困扰，引起了一定的争论。{7}显然,若纠缠于对这些行为构成犯罪之危害程度的争论，那就不可能顺利地在我国刑法典中规定侵犯公民个人信息的具体犯罪。我国的立法机关比较明智地跳出了上述争论，以“情节严重”的概括性表述予以应对，较为灵活地对上述难题作出了处理。

(三)不足之处

1.缺乏完备的行政法律制裁前提

根据我国刑法典第253条之一第1款的规定，出售、非法提供公民个人信息罪的成立，以行为“违反国家规定”为前提。尽管根据刑法典第96条的规定，“国家规定”包括“全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令”；但是，就个人信息保护而言，我国针对个人信息保护并没有颁行统一的法律。有研究认为，中国大陆目前有24个法律或者规范性文件各自从某方面涉及对公民个人信息的保护，且均具有行政法律法规的性质。{8}因而可以确定，侵犯公民个人信息的危害行为从产生之时起就具备行政违法的性质，其所成立的犯罪就符合行政犯的特征。{9}然而，对侵犯公民个人信息之行为，我国尚未确立统一、完备的行政法律制裁体系与刑事制裁相衔接。连《治安管理处罚法》都未将侵犯公民个人信息的行为作为行政违法行为规定处罚的措施。这就使得我国刑法典第253条之一所规定的两种犯罪成为非典型的行政犯，也使得《刑法修正案(七)》第7条的规定成为一种法定犯时代之下颇为尴尬的立法。{10}

2.尚未彻底贯彻罪刑法定原则

虽然我国刑法典第253条之一第1款和第2款中“情节严重”的表述本身并不违背罪刑法定原则的要求，但是，这并不是说第253条之一的规定就较好地贯彻了罪刑法定原则。我国尚未制定和颁布《公民个人信息保护法》，对公民、个人、信息等词语尚无明确的定义，引起了刑事法律界的争议。例如，关于“个人信息”，国家立法机关的有关专家认为是“可以实现对公民个人情况识别”的信息；{11}而有学者则认为是“体现个人隐私权”的信息。{12}另外，对于第253条之一第2款规定的“非法获取公民个人信息罪”，在主体、行为方式等要素的内涵上，同样存在相当大的分歧。而且，因为我国对侵犯公民个人信息的各种行为还没有建立统一和完备的行政法律制裁体系，应该如何协调刑法典第253条之一所确立的刑事制裁与有关行政法律法规规定之行政法律制裁的关系，也是亟待解决的重要问题。因此，《刑法修正案(七)》第7条的突破性规定在一定程度上存在着有关要素之内涵并不清晰、不明确的先天性不足的问题，该罪刑条文由于自身功能有限而无法弥补这些不足，没有很好地实现罪刑法定原则之明确性的要求。

3.对网络上的危害行为的防治力不从心

尽管早在2003年4月，国务院信息化办公室对个人信息立法研究活动就进行了部署，有关专家在2005年初就提交了《个人信息保护法(草案)》，{13}但是，这并不意味着对个人信息法律保护的问题进行了全面和系统的研究。其实，在《刑法修正案(七)》制定和颁布的前后，围绕网络上比较常见的“人肉搜索”是否入罪的问题，理论界就展开了比较激烈的争论。{14}而且，对于我国刑法典第253条之一第2款的规定，在理解和适用上也存在争议，如关于该款中的“上述信息”，有论者认为，应当“尽量限定在公权力范围内，或者是提供垄断性、强制性的公共服务的领域”。{15}但对于从网络上搜集、整理他人个人信息予以出卖或者非法利用，情节严重的情形，上述规定就完全无法予以应对，成为刑法典第253条之一第2款在罪刑法定原则之下的一种自我束缚，放纵了一部分侵犯公民个人信息的违法行为。而这在一定意义上也表明，国家立法机关对侵犯公民个人信息之网络行为的普遍危害性及其严重程度显然缺乏充分的重视和足够的前瞻，造成了现行规定对网络上日益加剧的严重侵犯公民个人信息之危害行为难以予以刑事制裁的窘境。