论公民个人信息犯罪的刑法规制——以《刑法修

摘　要：《刑法修正案（七）》在刑法第253条增设了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。两款罪侵犯的客体为公民个人信息的管理秩序和他人的合法权益，犯罪对象为公民的个人信息。第一款罪主体为特殊主体，第二款罪主体为一般主体。客观方面表现为行为人实施了出售、非法提供个人信息或非法获取 。前罪的行为方式主要包括出售、违规披露、非法利用等；后罪行为方式包括窃取、收买等。两罪的主观方面为故意。

关键词：公民个人信息犯罪；刑法规制；犯罪构成
 近年来，随着计算机、网络技术的普及和不断升级，以电子商务、电子政务为代表的信息化服务极大地改变了人们的生活方式，在向信息化社会的转型过程中，公民的个人信息也从原有的单纯记载个人身份用于个体识别的记录变为一类具有潜在商业价值的重要资源。但在社会转型时代，个人信息安全问题不容乐观。因信息泄露、盗用导致人身、财产利益受损的事件时有发生。我国在《刑法修正案（七）》出台之前，对于这类个人信息泄露致使合法权益遭严重损害的行为通常作为实施其他犯罪的手段或是犯罪预备阶段，以相应的罪名定罪处罚。《刑法修正案（七）》在第7条，填补了公民个人信息刑法保护的空白。
　　经修正后的《刑法》第253条第2款规定：国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或非法提供给他人的，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取或以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。根据最高人民法院、最高人民检察院2009年10月发布的《关于执行＜<中华人民共和国刑法>确定罪名的补充规定（四）》，前款罪名被确定为“出售、非法提供公民个人信息罪”，后款罪名为“非法获取公民个人信息罪”。
　　但笔者发现，尽管《刑法修正案（七）》颁布实施三年了，学界较少将该罪从犯罪构成要件的角度进行全面、系统的研究。实践中，司法机关在处理涉及侵害个人信息案件中还存在争议。这就需要我们进一步加大对该罪的理论研究，明确其犯罪构成要件的内容，为今后司法机关处理此类案件提供强有力的理论依据。
客体的认定：
　　出售、非法提供公民个人信息罪和非法获取公民个人信息罪归入侵犯公民人身权利、民主权利罪一类，人身、民主权利是我国公民享有的并为宪法所确认的最根本的权利。保障公民人身权利和民主权利不受侵犯，也是我国刑法的主要任务之一。侵害个人信息安全的行为，其侵犯的客体从广义上来说人身、民主权利；从狭义上来讲，是信息管理秩序和公民对个人信息在法定范围内的自主、自决和保密的权利。这是一个复杂客体，它的复合型是由该罪的犯罪对象——公民个人信息的特殊性所决定的。
　　“个人信息”在世界范围内的称谓有：“隐私”、 “个人数据”、“个人资料”等，不同的称谓反映了各国在个体身份信息保护上的选择与定位。大陆法系的“隐私”仅为人格利益的一部分，仅限于不愿他人知道或他人不便知道的个人信息；而“个人数据”技术性更强，是欧盟相关国家所采用的概念。相比较而言，“个人信息”的提法，其保护范围广于“隐私”，技术上的定位也符合我国向信息化社会转型的需要。
　　明确“公民个人信息”的范围在司法实践中有重要意义，有助于划分罪与非罪，此罪与彼罪的界限。首先，个人信息立法必须与国内文化相协调，个人信息的范围界定是一个共识问题，是对相关个人或公民利益的尊重问题。《人民日报》曾于2011年10月12日通过人民网对有关公民个人信息保护的热点问题进行网上调查，对于 “最需立法保护的个人信息”项中，十大类信息按比例依次为：身份证号（19.28%）、电话号码（17.17%）、家庭住址（17.01%）、收支情况（11.01%）、医疗记录（9.25%）、所在单位（8.53%）、人际关系网络（6.57%）、婚姻状况（5.23%）、教育背景（4.09%）和宗教信仰（1.87%）。由此可见，随着经济快速发展，民众对个人信息保护范围的要求亦与时俱进，不仅包括与本人直接相关的信息，也包括间接信息。
　　理论上，个人信息一般须满足形式要件和实质要件。形式要件是指构成个人信息必须满足的特定的形式要素，构成要素有两个：得以固定和可以处理。实质要件是指构成个人信息在内容上不可或缺的法律要件。构成个人信息的实质要件是“识别”。 个人信息是可以直接或间接识别本人的信息，包括姓名、性别、种族、职业、职务、年龄、婚姻状况、身份证号码、社保号码、医保号码、指纹、声纹、DNA信息、书写签名、电子签名等等。
　　在范围界定上，我们要特别注意对间接信息的保护。在不久前披露的一犯罪嫌疑人通过银行工作人员兜售的客户信息包括银行卡号、详细住址、手机号、家庭电话、职业、生日等，从其中筛选出最有可能的六位密码，逐个进入网银，共造成受害人损失3000多万。为从源头上遏制相关犯罪，就需要相关主体在信息收集上恪守“目的明确”、“最少使用”原则，在履行公共管理职责或提供服务中，获取个体的信息量满足使用目的即可。
主体的认定：
　　出售、非法提供公民个人信息罪的主体是特殊主体，即必须是国家机关或者金融、电信、交通、教育、医疗等特殊单位及其中从事相关工作的工作人员。法条采列举的方式，将以收集、处理公民个人信息为工作职责范围或业务范围的单位相关工作人员一并纳入刑法调整的对象。非法获取公民个人信息罪的主体为一般主体。
　　以下具体探讨第一款中的“特殊主体”，在工作范围内收集、处理、利用个人信息的群体，理论上统称为“信息管理者”。按不同的标准可将信息管理划分为不同的类别。按是否行使国家权力履行国家职责可分为国家机关和非国家机关。国家机关工作人员仅指在国家机关（国家各级权力机关、行政机关、司法机关和军事机关）中从事公务的人员。在实务中，相比其他国家机关，各级行政机关因履行职责的需要而更多地扮演“信息管理者”的角色。非国家机关工作人员，涉及金融、电信、交通、教育、医疗等五大行业。我国台湾地区《电脑处理个人资料保护法》明示列举了七大行业（医院、学校、电信业、金融 业、证券业、保险业、大众传播业），但该法在几年的实践中，由于仅局限于侵害可能性较大的七大行业，其对个人信息的保护的弊端日益凸显。立法部门将在修正案中扩大适用主体的范围，拟取消对非公务机关类别的限制。个人信息之上的法益侵害，只要其情节严重性达到“相当”程度，即便是非以上行业工作人员所为，也不该逃避刑事责任。
　　根据人民网的民意调查，在“最有可能泄露你个人信息的机构”项下，按比例依次为：电信机构（21.61%）、各类中介机构（13.08%）、房地产公司（11.57%）、金融部门（11.20%）、招聘网站和猎头公司（10.73%）、教育部门（8.51%）、医疗机构（8.45%）、各市场调查公司（7.90%）、交通部门（6.95%）。由此可见，泄露个人信息的机构呈多样化态势，特别在随着跨行业经营的企业的增加，行业间的分野逐步缩小，加之政务外包等因素共同作用的情况下，此处的“特殊主体”宜做扩大解释，将一切与管理公民个人信息相关的公共部门、企业一并纳入调整范围。“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”的犯罪主体不仅包括自然人，而且包括单位，即理论上所称的“单位犯罪”。例如某单位将管理的公民个人信息以单位的名义违规披露，并将非法所得归单位所有，即构成单位犯罪。
　　犯罪客观方面的认定：
　　犯罪客观要件是整个犯罪构成中的核心要件，危害行为是犯罪客观要件中最基本的内容。本两款罪表现为行为人实施了出售、非法提供公民个人信息和以窃取或其他方法非法获取个人信息，情节严重的行为。前款中的行为方式包括出售或非法提供。这里的“非法提供”是指除出售以外的其他非法方式，包括违规披露、非法使用、为谋取不当利益而泄露倒卖等。即有权限直接查询、管理、控制公民个人信息的个人或单位违反相关保密义务或行业、岗位职责规定，因上述行为而造成严重的物质性危害结果如重大财产损失或非物质性危害结果如人身伤害、名誉受损等。后款中的行为方式包括窃取或其他方法非法获取个人信息。窃取是指以不为人知的方法暗中偷取。“其他方法”指除窃取以外的非法方式包括采用收买、胁迫等手段获取个人信息。收买是指以给予物质利益的方法获取公民个人信息。胁迫是指对相关信息管理者采用威胁、恐吓等手段使其不敢反抗以达到目的。其他非法方法是指相关人员陷入不知反抗或不能反抗的境地从而获取信息。
　　关于“情节严重”的含义，需要司法机关根据实践作出司法解释。此类型的犯罪作为新罪名，各地各级法院在量刑方面尚处于摸索阶段。情节严重一般指涉及范围较广，获利数额较大，造成重大损失等情形，且需要区分不同类型的案件，做到量刑均衡。如对负有保密义务和不负保密义务的行为人在量刑时应做区分。如果行为人既实施了非法获取个人信息的行为，之后又利用该资料实施了其他犯罪如诈骗罪，属于牵连犯，根据刑法理论对犯罪行为应当从一重罪处断。
　　主观方面的认定：
　　两款罪的主观方面均为故意。即行为人明知自己的出售、非法提供和窃取、非法获取公民个人信息的行为违反法律规定，会对公民个人信息管理秩序和当事人合法权益带来损害，仍决意为之的心态。过失不构成本罪。至于行为人的动机多样，是否为了实施获取个人信息之后的下游犯罪如诈骗罪，不是构成本罪的故意要素。
　　结尾
　　个人信息保护是一个随时代变迁而不断发展的课题，刑法规制所具备的事后救济的功能只有与相关的行规、技术保障相配合，并在实践中让个人信息的系统保护成为人们的自觉行为，我们才能在真正意义上享用信息时代带来的便利。
参考文献：
[1]刘宪权. 刑法学 [M]. 上海：上海人民出版社，2008.
[2]齐爱民. 个人信息保护法研究 [J]. 河北法学，2008，26，4.
[3]中国人民大学信息法研究中心[M]. 北京：法律出版社，2006.
[4]周汉华. 个人信息保护前沿问题研究 [M]. 北京：法律出版社，2006.
[5]公民个人信息已受刑罚保护，单独也可成为犯罪主体 (2011.10.14) 本文链接：http://www.qk112.com/lwfw/jiaoyulunwen/chudengjiaoyu/50742.html