观点 | 应将非法使用公民个人信息行为入罪
非法使用公民个人信息的行为具有严重的法益侵害性,相较于非法获取、出售及提供公民个人信息行为,所造成的法益侵害具有直接性和精准性,危害更甚。非法使用公民个人信息的行为无法通过解释的方法将其纳入现有的侵犯公民个人信息罪中,也无法被刑法中的其他罪名所涵盖。非法使用公民个人信息行为入罪,才能与民法、行政法等前置法律保持一致,更加周延地保护公民个人权益。
公民个人信息频遭泄露,对公民个人及其家庭的人身、财产安全和其他各项合法权益造成严重威胁。目前,我国刑法对侵犯公民个人信息犯罪的规定仍不周延,侵犯公民个人信息的行为只有三种类型,即非法获取、出售和提供,不足以涵盖现实中愈演愈烈的非法使用公民个人信息这样一种行为类型,有必要在侵犯公民个人信息罪中增加非法使用公民个人信息这一行为类型。
非法使用公民个人信息行为具有严重的侵害性
与非法获取、出售及提供公民个人信息行为相比,非法使用公民个人信息行为对公民的法益侵害性非但不小于前三者,甚至还更为严重。
一方面,非法使用公民个人信息行为的法益侵害具有直接性。没有公民个人信息的使用行为,非法获取、出售及提供公民个人信息的行为只是处在侵害法益的边缘,并不会直接侵害法益。非法使用公民个人信息的行为作为侵害公民个人信息犯罪链的末端行为,是最终的目的行为,它使处于先前环节的获取、出售及提供公民个人信息行为的可能性转变为法益侵害必然性。
另一方面,非法使用公民个人信息行为的法益侵害具有精准性。公民个人信息如性别、血型、身高、出生地以及身份证号、车牌号等,均具有精准性或映射性的特点,非法使用公民个人信息的行为将直接对信息主体的财产、名誉、征信等方面造成严重损害或威胁。以使用公民个人信息办理信用卡及在网络平台进行借贷为例,不仅可能给信息主体带来司法纠纷的隐患甚至财产上的损失,还会给信息主体带来个人征信方面的隐患。此外,非法使用公民个人信息从事违法犯罪行为的案件也屡见不鲜。
总之,这类行为的社会危害性和应受惩罚性足以与非法获取、出售和提供公民个人信息的行为相提并论。
现行刑法无法涵盖非法使用公民个人信息行为
非法使用公民个人信息行为不入罪,会产生三个方面的问题。
一是无法将非法使用公民个人信息行为纳入侵犯公民个人信息罪。
侵犯公民个人信息罪包含三种行为方式,即获取、出售和提供,无论作何种理解,使用公民个人信息的行为都无法被上述三种行为所涵盖。
首先,虽然获取、出售、提供及使用行为之间具有事实上的逻辑关系,但是这几种行为之间还是具有本质上的区别。因此,现实中会出现非法使用公民个人信息行为造成严重侵害法益却不能以刑法惩治的情况。
其次,使用行为与侵犯公民个人信息罪所列举的三种行为方式具有本质上的差异,注定无法通过解释的方法将其纳入本罪。比如,非法获取、出售及提供公民手机号的行为本身不会对手机号主体的法益造成侵害,而使用公民手机号的电话推销行为则会对公民的生活安宁权造成侵害。
再次,由于非法使用公民个人信息行为无法被侵犯公民个人信息罪所包含,反映在实务领域,则是法官在处理此类行为时没有合适的罪名进行定罪,只得找寻其他相似的罪名进行判决,而这样做则会导致适用上的质疑。以2016年山东单县篡改高考志愿案为例,法院以破坏计算机信息系统罪对陈某定罪。其实,无论是从保护法益还是从造成的危害后果来看,篡改他人高考志愿的行为不应该适用破坏计算机信息系统罪。
二是无法将非法使用公民个人信息行为纳入其他罪名。
刑法中涉及非法使用公民个人信息的罪名主要有四个,分别是第177条之一妨害信用卡管理罪、第196条信用卡诈骗罪、第224条合同诈骗罪、第280条之一使用虚假身份证件、盗用身份证件罪。但是,这四个罪名均无法用来处理非法使用公民个人信息的行为。
非法使用公民个人信息行为的手段性质有两种:一是行为人为实施侵害行为而使用被害人的个人信息,此时非法使用公民个人信息的行为可以作为手段行为被主行为吸收,如利用所知晓的他人银行卡号、密码窃取他人存款,则使用财产信息的行为可以被盗窃罪吸收;二是行为人为了实施不法行为而使用与危害结果无关的第三人的个人信息,此种情形下使用公民个人信息的行为仍然是手段行为,但对信息主体权利所造成的危害结果无法被最终的犯罪结果所吸收,如为逃避打击,行为人使用他人个人信息进行实名认证从事犯罪活动。
现行刑法分则中涉及非法使用公民个人信息行为的罪名,无论是这些罪名在刑法分则中所处的位置还是其欲保护的法益,都不能保护信息主体的权益,也无法为信息主体寻求刑法保护提供有效的路径。
三是无法为个人信息被非法使用的公民维权提供有力支持。
侵犯公民个人信息罪在刑事诉讼法中属自诉范围。而来自司法实务部门的信息表明,现在侵犯公民个人信息犯罪呈现出公安机关主动打击的特点,很少出现公民个人主动报案或向司法机关提起自诉以寻求个人信息的保护。
现实中很少出现公民以个人名义维权或即使有少量维权也鲜有成功的,原因至少有以下两点:一是举证标准超出公民个人的能力范围。公民个人无法达到公安机关立案及法院受理自诉的证据标准的情况下,靠公民个人主动报案及通过自诉来寻求个人信息保护就几乎成为一句空话。二是侵犯公民个人信息罪中没有与公民个人寻求保护相契合的行为类型即非法使用公民个人信息的行为,这也是最关键的一点。公民很难发现自身的信息被他人获取、出售及提供。即使发现了,公民个人也很难找出行为人。公民个人容易发现的是其信息被非法使用的行为,而目前的侵犯公民个人信息罪却并未包含此种行为类型。
非法使用公民个人信息行为入罪有利于实现法律秩序的统一
将非法使用公民个人信息的行为入罪,不仅有与其他部门法相关规定保持外在逻辑统一之考量,也有基于刑法自身内在逻辑自洽之考虑。
笔者以“使用”为关键词,对几部涉及公民个人信息保护的民法、行政法和部门规章进行了检索,得出以下检索结果:
无论是2017年全国人大通过的《民法总则》,2016年全国人大常委会通过的《网络安全法》,还是2013年全国人大常委会修正的《消费者权益保护法》,以及2013年工信部发布的《电信和互联网用户个人信息保护规定》,均将使用公民个人信息的行为作为一种独立的行为模式加以规定,将其与收集、获取、出售、提供等行为加以区分、并列。
民法、行政法等法域中使用行为与获取、出售及提供行为之间的逻辑关系,在刑法法域中也应该同样适用。也就是说,作为保障性法律而存在的刑法也应当对非法使用公民个人信息行为加以规定,将其与获取、出售及提供行为并列规定,以免出现当非法使用公民个人信息行为达到一定社会危害性只有施以刑罚才能与其行为性质相适应时,却在刑法中找不到相应的法律依据。
以“使用”为关键词,对刑法分则进行检索,共有37个罪名出现“使用”一词,将其中以名词形式出现及同一罪名中没有与使用行为并列从而具有比较意义的罪名剔除,最终得出结果即刑法第二百一十九条侵犯商业秘密罪。本罪中“使用”商业秘密的行为与“获取”商业秘密等行为相并列,“使用”行为被作为一种独立的行为模式加以规制。既然刑法明确将“使用”行为作为侵犯商业秘密罪的行为类型加以规定,在保护比商业秘密影响范围更广、内涵更丰富、重要性更大的公民个人信息时,将非法使用公民个人信息的行为纳入刑法规制范围也就有其内在合理性,否则,反而会引起刑法内在的不统一。
此外,值得注意的是,域外很多国家及我国港台地区的立法已支持非法使用公民个人信息行为入罪。尽管不同国家和地区针对非法使用公民个人信息行为的立法在文字表述、规制方法和适用范围等方面存在差异,刑罚严厉程度也不尽相同,但是这些立法在整体上均表现出两点共性:一是都将非法使用公民个人信息行为作为一种独立的行为类型加以规制,二是都将这种行为类型进行犯罪化处理。
通过刑法修正让非法使用公民个人信息行为入罪
非法使用公民个人信息行为的入罪路径,有两种思路:一是通过司法解释,二是通过刑法修正案。由于涉及一种新的行为方式的增设,已经不能通过司法解释的方式来实现入罪,否则有违罪刑法定的原则,应采用立法方式,即下一次刑法修正案时,将非法使用公民个人信息的行为与非法获取、出售和提供公民个人信息的行为相并列,使其成为侵犯公民个人信息罪的规制对象,从而将现行《刑法》第253条之一的侵犯公民个人信息罪的条文修改、整合为:
“违反国家有关规定,窃取或者以其他方法非法获取公民个人信息,或者非法向他人出售、提供公民个人信息,或者非法使用公民个人信息,情节严重的,处三年以下有期徒刑或拘役,并处或单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”
“违反国家有关规定,将在履行职责或提供服务过程中获得的公民个人信息,非法出售、提供给他人或者非法使用的,依照前款规定从重处罚。”
“单位犯前两款罪的,对单位判处罚金,并对直接负责的主管人员和其他责任人员,依照各该款的规定处罚。”
在对侵犯公民个人信息罪的条文作如上完善后,还应对“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》作相应完善。
文 | 中国社科院法学所研究员 刘仁文
(来源:经济参考报)