【期刊】出售、非法提供公民个人信息罪犯罪主体的立法完善

涉税案例君

出售、非法提供公民个人信息罪犯罪主体的立法完善

• 期刊名称：《人民检察》
  

    出售、非法提供公民个人信息罪犯罪主体的立法完善
  赵桂民  [1] 韩玉胜  [2]
［关键词］侵犯公民个人信息犯罪 公民个人信息犯罪主体 出售、非法提供公民个人信息罪
［摘要］《 刑法修正案（七）》规定了侵犯公民个人信息安全的犯罪，包括出售、非法提供公民个人信息罪和非法获取公民个人信息罪两个罪名，其犯罪主体既可以是自然人，也可以是单位。对出售、非法提供公民个人信息罪的犯罪主体中“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”的理解，理论和实务界存在一般犯罪主体和特殊犯罪主体的争论，需要通过修改立法、进行立法解释和司法解释完善犯罪主体，加强对公民个人信息安全的保护。
［中图分类号］DF624 ［文献标识码］A
［文章编号］1004-4043（2014）-8（上）-0032-5
随着社会的发展，个人信息所具有的信息价值和经济价值不断增加，而科技的进步和网络信息技术的普及也使得公民个人信息被非法泄露和使用的可能性大大增加。公民信息安全涉及公民的切身利益，以 刑法手段维护公民的信息安全，有利于对公民基本人权特别是个人隐私的保护，体现 刑法关注民生和反映社会发展实际需要的正确导向，也对保障公民个人信息的安全，促使国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员诚实守信，防止以非法方法获取公民的个人信息，有着极为重要的意义。
一、侵犯公民个人信息犯罪的刑事立法考察
当今世界各国立法十分重视公民个人信息的法律保护，许多国家都有相关立法规定。当然，不同国家的立法者在立法价值选择上存在不同的认识和态度。如大陆法系的欧洲国家对个人信息的保护采取的是一种保护名誉和个人尊严的形式，将个人信息的保护重心放在肖像权、姓名权、名誉权以及信息自决权上；而美国对于个人信息更加注重对自由价值的维护，立法上注重的是如何保护公民的个人信息免受政府及他人的侵扰。  [3]
国外（地区）立法对侵犯公民个人信息的行为不仅规定了行政处罚和民事责任，还规定了相关的刑事责任。美国、法国、意大利、西班牙、葡萄牙、波兰、瑞典、奥地利、韩国等都有相应的刑事法律规定。例如，在美国，泄露个人信息、以虚假身份骗取他人个人信息、保护个人信息渎职行为等与个人信息相关犯罪都被明确规定为犯罪行为，美国1974年的《隐私法案》、1998年《儿童网上隐私保护法》都作了相关规定。1974年的《隐私法案》是美国最重要的一部保护个人信息方面的法律，规定任何由其工作或职务性质所决定，可以掌握或使用那些被本条或依据本条制定之规则或规章禁止泄露的包括个人识别信息之机关档案，而且明知泄露这种档案材料乃被禁止之行为的机关官员或雇员，如以任何方式向任何无权获得之个人或机关泄露上述材料，则应被判为轻罪并处以 5000美元以下的罚金。该法还规定，任何人明知且故意以虚假身份向某机关申请得到或得到有关个人的档案材料，应被判为轻罪并处以5000美元以下的罚金。
从世界各国和地区的个人信息保护立法与执法的情况来看，对违反个人信息保护法的行为制定刑事法律规定追究行为人的刑事责任已经成为较普遍的做法。由此可见，将侵犯公民个人信息行为犯罪化已经成为世界各国和地区刑事立法的发展趋势，大多数立法均强调要对侵犯个人信息的行为追究刑事责任，即将个人信息的法律保护纳入刑事范围已经成为刑事立法的共识，凸显了 刑法注重对公民私权利保护的倾向，同时符合由“国家 刑法”向“公民 刑法”转变的趋势。  [4]相比较而言，我国保护公民个人信息的刑事立法还处在刚刚起步的阶段，境外已有的立法实践无疑具有一定的借鉴意义。因此，借鉴境外的立法模式，构建一个合理的公民个人信息 刑法保护体系，具有现实意义。  [5]
1997年 刑法规定的与公民个人信息相关的罪名较多，如伪造、变造居民身份证犯罪，非法搜查和非法侵入住宅犯罪，侵犯通信自由犯罪，私自开拆、隐匿、毁弃邮件、电报犯罪，窃取、收买、非法提供信用卡信息犯罪和计算机类犯罪等，但联系最为密切的是《 刑法修正案（七）》第 七条增补的侵犯公民个人信息安全的犯罪，包括出售、非法提供公民个人信息罪和非法获取公民个人信息罪两个罪名。这一规定对于惩治我国当前日益严重的非法提供、非法获取等侵犯公民个人信息安全的危害行为，保护公民的合法权益，提供了重要的 刑法依据，对个人信息的保护起了根本性的保障作用，为公民个人信息权的保护提供了最为有力的一道屏障。它不仅是我国公民个人信息法律保护的进步，更体现国家尊重和保障人权的 宪法原则在社会生活的渗透和延伸。  [6]
二、出售、非法提供公民个人信息罪犯罪主体之理论分歧
侵犯公民个人信息罪是指故意侵犯公民个人信息，情节严重的行为。根据相关司法解释，侵犯公民个人信息罪包括出售、非法提供公民个人信息罪和非法获取公民个人信息罪。侵犯公民个人信息罪是一个在理论上的罪名，其犯罪主体既可以是自然人，也可以是单位。已满十六周岁具有完全刑事责任能力的自然人均可构成本罪，包括中国公民、外国人和无国籍人。
（一）出售、非法提供公民个人信息罪的犯罪主体的一般理解
根据《 刑法修正案（七）》第 七条的规定，出售、非法提供公民个人信息罪的犯罪主体是国家机关或者金融、电信、交通、教育、医疗等能够系统地接触和获取到公民信息的单位及其工作人员。自然人主体为特殊主体，即只能是国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，而且应当仅限于因履行职责或者提供服务而有机会直接获得公民个人信息的人员，非因业务关系而是通过道听途说而获得公民个人信息的上述单位人员不能直接构成本罪。单位主体是国家机关或者金融、电信、交通、教育、医疗等单位。这些单位或其工作人员，在履行工作职责和提供服务时合法知悉他人个人信息内容，但他们无权以此进行非法活动或商业活动。  [7]本罪的自然人主体出售、非法提供公民个人信息的行为应界定为行为人不是履行职务之内的行为，但出售、非法提供的公民个人信息是基于其履行职务时合法获取的。  [8]
单位实施侵犯公民个人信息行为的情况也比较普遍。这里的“国家机关”，是指可以通过合法途径获得公民个人信息的机关，包括国家权力机关、行政机关、司法机关和军事机关，如民政、统计、公安、计生、档案管理等部门和人民法院、人民检察院以及军队、各类党组织等。“金融”是指从事金融活动的机构或金融部门，一般是指各种银行、保险公司、信托投资公司、证券机构等其他金融机构，如中国人民银行、政策性银行和商业银行。“电信”是指电信部门和电信营业机构。“交通”是指从事旅客和货物等运输部门，如铁路运输、公路运输、水路运输以及航空运输等部门。“教育”是指各级各类学校或培训机构，包括民办和公办的教育机构。“医疗”是指依据《 医疗机构管理条例》和《 医疗机构管理条例实施细则》的规定，经登记取得《医疗机构执业许可证》的机构，如各级各类医院、专门医院、保健院、卫生院、护理院、门诊部、急救中心、社区诊所等诊疗机构。
（二）出售、非法提供公民个人信息罪犯罪主体的理论分歧
关于本罪的犯罪主体，有一般犯罪主体和特殊犯罪主体的争论，争论的焦点在于对法条之中的“等”应当作何解释。在汉语中，“等”既可以表示列举后的收尾，也可以表示列举未尽。如果是前者，那么，本罪的犯罪主体就是特殊犯罪主体，即承担公共管理职能和公共服务职能的上述主体；如果是后者，那么，就相当于“以及其他单位”的含义，则本罪的主体就不仅限于上述带有“公权力”色彩的特殊主体，只要是依据职责和服务获取公民个人信息的单位（如各种办理会员制的商家）都可能构成本罪，即本罪主体是一般主体。  [9]具体而言，对于本罪犯罪主体之范围的观点，主要有两种对立的主张。
第一种主张是“一般主体”说，即“等外”说。如有观点认为，本罪单位犯罪主体应该涵盖所有单位，即将本罪规定犯罪主体中的“等”字作列举未穷尽的解释。这样理解，似乎更有利于加强对个人信息权的全面保护。  [10]笔者认为，目前从公民个人信息受到侵害的客观情况看，本罪的犯罪主体应作扩张性解释，将合法收集公民个人信息的单位均作为本罪的犯罪主体。  [11]有观点认为，结合我国当前社会现状以及该条的立法目的，应采用一种相对确定性的概念界定，即除了国家机关或者金融、电信、交通、教育、医疗单位及工作人员以外，其他有机会掌握或了解公民个人信息的公用事业单位，比如电力、广播电视、供热单位及其工作人员也可构成本罪。因此，本罪的犯罪主体应为有机会掌握或了解公民个人信息的国家机关、公用事业单位及其工作人员。  [12]比如，旅游公司、宾馆、餐饮企业、商场等单位也可能在提供服务过程中获得公民的个人信息，这些单位或其工作人员也可以成为该罪的主体。  [13]应该看到，国家机关或者金融、电信、交通、教育、医疗等单位的工作人员较其他社会人员能更方便、更容易得到公民个人信息，实施侵犯个人信息行为的可能性更大。同时，由于特殊的主体身份要求上述单位必须恪守职业操守、维护政府公信力，对这些机构的工作人员以更严格的法律进行约束，是完全有必要的。然而，这并不意味着这些主体之外的其他人员，在符合此项法条所规定的行为要件时，可以不受刑事追究。  [14]
至于单位如何界定，我国 刑法总则第 三十条对此有明确的规定，包括单位是指什么，至于这个范围，关键是看这个单位是不是负有依法取得和依法保密的权力义务，如果有此义务，其违反了此义务，那就有可能构成犯罪。认定单位是否构成出售、非法提供公民个人信息罪，应从以下三个方面作出认定：一是行为人出售、非法提供公民个人信息的行为必须在其职务范围内进行的；二是行为人出售、非法提供公民个人信息的行为是以单位的名义进行的，并且是为了本单位的利益，而不是为了个人利益；三是出售、非法提供公民个人信息的行为达到构成犯罪的程度。  [15]此外，有观点指出，从世界各国的立法例来看，对公民个人信息的 刑法保护中犯罪主体不是特定主体，通常只强调行为人的目的和动机，以及信息来源系其工作或职责所得，很少对行为人所处的岗位或领域进行限制，  [16]法律规定的追究刑事责任的主体比我国更宽。但《 刑法修正案（七）》中仅限于“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，事实上，其他单位（例如中介机构、法律服务机构等）中的工作人员也同样可能实施严重侵害公民个人信息的行为，如不将其纳入打击范围，似乎与草案立法建议的初衷并不吻合。  [17]
值得注意的是，坚持“有限的一般主体说”的观点认为，将刑法规制的范围理解为仅仅限定在法条所列举的五种单位之内，这显然是不妥当的。与此同时，“等”未尽列举的用法并不意味着 刑法将所有单位主体都纳入调整范围。  [18]但这里的列举未尽却只能限定在“拥有采集公民个人信息的公权力”的其他单位，而诸如购物网站、物流企业、猎头公司、中介组织、市场调查公司、房地产公司，尽管也是泄漏公民个人信息的个人场所，但由于其并未拥有采集公民个人信息的公权力，自然就不能成为本罪的犯罪主体。对此，相反的观点认为，对本罪的犯罪主体不能作过于僵硬机械之狭义理解，更不能将本罪主体限定在所谓“拥有采集公民个人信息的公权力”的单位或组织中的工作人员。因为仅从本罪“等”字的应有之义来看，其并未显示立法者对本罪主体应作此种限制之意图，否则，在本罪罪状中，该条文完全可以用“国家机关或者金融、电信、交通、教育、医疗等拥有采集公民个人信息的公权力单位的工作人员”的表述，……既然立法者白纸黑字所书写的法条文字并未明文规定将诸如购物网站、物流企业、猎头公司、中介组织、市场调查公司、房地产公司的工作人员拒绝在外，就应当宽泛理解所谓的“立法原意”，而司法者也不必受这种“立法原意”的束缚，而放弃对购物网站、物流企业、猎头公司、中介组织、市场调查公司、房地产公司的工作人员泄漏公民个人信息行为的处罚。  [19]
第二种主张是“特殊主体”说，即“等内”说。持特殊主体说的观点认为，本罪的犯罪主体是特殊主体，即国家机关或者金融、电信、交通、教育、医疗等单位的工作人员。国家机关负有公共管理职能，金融、电信、交通、教育、医疗等单位肩负着为社会和大众提供公共服务的职责，在这些机关或单位工作的人员，可以很容易接触到大量公民个人信息。  [20]如有观点认为，基于罪刑法定明确性的要求，刑法规范中的“等”原则上应解释为“等内”。因此，本罪的犯罪主体应当是限定为国家机关工作人员以及特定单位的工作人员。从法条系统解释的角度出发，对于本罪而言，第三款所规定的单位应是国家机关或者金融、电信、交通、教育、医疗等由其单位性质能够获取公民个人信息的单位，因此该罪的单位主体实际上是特殊主体而非一般单位主体。  [21]依笔者之见，如果 刑法对某一个犯罪规定自然人犯罪的主体是特殊主体的，其相应的单位犯罪的主体也应为特殊主体，即自然人与单位在主体的身份上应保持一致性。事实上，《 刑法修正案（七）》的立法规定，也倾向于将本罪中单位犯罪的主体限定于国家机关等公共服务机构。
三、出售、非法提供公民个人信息罪犯罪主体之立法完善
《 刑法修正案（七）》采用了列举式方法来加以明确，但现实中故意泄露公民个人信息的远非上述单位的工作人员，大量存在此类单位及其工作人员出售、非法提供公民个人信息，严重侵犯公民个人信息安全的情况。因此，《 刑法修正案（七）》对侵犯公民个人信息犯罪主体的规定引起了学界和实务界对下述问题的思考：
一方面， 刑法的目的是保护法益，法益成为 刑法解释的重要客体。 刑法将非法获取公民个人信息罪规定在侵犯公民人身权利、民主权利罪一章，保护的是普通民众自身信息的私密性。如果将“单位”的范畴限定在金融、电信、交通等 刑法列举的行业领域，则不利于对普通民众个人信息的保护，亦不符合立法者打击目前一些行业中滥用公民个人信息、侵害公民人身权利现象的立法目的。  [22]从国外的立法例来看，大多数国家和地区均选择将法律不加区别地适用于公共部门（包括其工作人员）与私营部门（包括其工作人员以及普通个人）。例如，欧盟指令、欧洲理事会协定以及奥地利、波兰、阿根廷等国的相关法律均作了基本相同的规定。因此，为加强对个人权利的保护，在刑事立法中对一般主体实施的严重侵犯公民个人信息的行为也予以刑罚约束，无疑已是时不我待的一项立法设计。  [23]另一方面，立法对侵犯公民个人信息犯罪的主体限定，势必影响到实践中司法打击的范围。除了《 刑法修正案（七）》所规定的工作人员之外，其他单位的工作人员同样能够接触到大量公民个人信息。从应然的角度分析，其利用履行职责与提供服务上的便利非法出售或者提供公民个人信息，同样应当受到 刑法的规制。对于同属于侵犯个人信息且情节严重的行为，如果 刑法作出不同的规范认定，将会导致规范的不平等与打击面的失衡。因此，侵犯公民个人信息罪的犯罪主体范围尚可拓宽，而非局限于国家机关、金融、电信、交通、教育、医疗等领域的单位及其工作人员。
笔者认为，从 刑法保护的必要性看，主张将本罪主体扩大的观点是可取的，但是，立法之所以未采纳理论界的意见和世界多数国家的做法，也许是考虑到外国个人信息立法保护的现状，在时机成熟时，再将犯罪主体范围进一步扩大，可以通过以下途径予以完善：
第一，修改立法，对侵犯公民个人信息犯罪的犯罪主体直接进行修正。目前除借助合理解释对之予以明确外，还应考虑通过修法或至少以司法解释将这些单位一并明确规定为本罪犯罪主体所涉单位。  [24]所以，可以在 刑法第 二百五十三条之一条第一款的堵截构成要件“等单位”之前加上“公共单位”或“服务机构”等类似的定语。
第二，根据 刑法解释理论，可以对侵犯公民个人信息犯罪的犯罪主体范围作出合理解释和扩大解释。本罪的犯罪主体应作出合理的解释，将具有能够较为系统地收集公民个人信息的单位及其工作人员均作为本罪的犯罪主体。  [25]在公民个人信息保护法尚末出台之前，将本罪的主体限定在国家机关和提供公共服务的单位是有一定道理的。因为在目前我国的法律框架下，尚无商业机构侵犯公民个人信息的相关追责性规定，更无相应的行政处罚措施，如将其接纳入刑法规制，与 刑法的谦抑性原则相违背。一旦公民个人信息保护法对商业机构侵犯公民个人信息作了相关追责性规定，并规定了相应的行政处罚措施，《 刑法修止案（七）》的犯罪主体应扩大解释为一切单位和个人。  [26]
第三，根据现实需要，适时颁布立法解释和司法解释，扩大侵犯公民个人信息罪的犯罪主体范围，将非特定主体纳入 刑法视野。不像国家机关等单位的工作人员有诸多“前置法”的保护个人信息具体义务的规定，其他组织和人员对公民个人信息的保护义务往往没有“前置法”的明确规定，其义务主要散见于 宪法和 民法通则等法律中的原则性规定。根据犯罪圈设定的“必要且最小”原则的要求，并结合当前我国的实际情况，除国家机关、金融、电信、交通、教育、医疗等之外的其他单位及其工作人员，还不宜纳入犯罪圈……因为《 刑法修正案（七）》对该罪是一个开放性的规定，当入罪的需要产生之后，仍然存在着在不修改法律现有规定的前提下而对其他一般主体的侵害行为予以犯罪化处理的余地……有关该罪犯罪主体的规定就是一个类型性、伸缩性的概念描述。从长远来看，适当扩大本罪的犯罪主体范围是不可避免的。  [27]立法者或者司法者可以随时通过颁布立法解释和司法解释的形式，根据需要适当扩大侵犯个人信息犯罪的主体范围，对侵犯个人信息犯罪的主体要件进行填充，视情况将非特定主体纳入 刑法视野，以满足刑事调整的需求。
［编辑：喻建立

］