(完整版)法学专业毕业论文942342
一.导言
大数据技术的发展给科技进步、信息享受和商业发展带来了巨大的变化。社交活动网络化的发展趋势赋予了个人信息丰富的社会和经济价值,使其成为对国家、社会、组织乃至个人都具有重要意义的战略资源。与此同时,与个人信息相关的犯罪活动也呈上升趋势。2009年刑法修正案(七)增加了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。2015刑法修正案(九)将两个罪名整合为“侵犯公民个人信息罪”,扩大了主体范围,加大了处罚力度。2017年3月20日,最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称2017解释)对侵犯公民个人信息罪的司法适用作出了具体规定。
笔者在中国裁判文书网以“公民个人信息”逐年检索刑事一审判决书,2009年至2019年各年相关判决书数量见图表1。我国侵犯公民个人信息犯罪的发展可以分为四个阶段:2009年至2012年,此类判决数量为零,实践中很少发生与个人信息相关的刑事案件;从2012到2016,判决数量开始缓慢增加,总量仍然较少;2016至2017,判决数量激增214.6%,呈高发趋势;从2016到2019,犯罪增速放缓。
图表1
作为侵犯公民个人信息罪的客体,公民个人信息的内涵、范围和判断标准对立法和司法适用具有重要意义。《解释2017》第1条明确界定了其概念,但实践中对公民个人信息的界定仍存在一些模糊之处。比如如何把握行踪轨迹的信息范围,如何把握房产信息的范围,如何识别公民个人信息的可识别性。从这个角度来看,要准确认定侵犯公民个人信息罪,就应该对其行为对象的内涵和外延进行深入研究。本文拟对《刑法》第253条关于“公民个人信息”的界定进行深入分析,希望能为司法实践中该罪的认定提供有益的参考。
第二,刑法设定公民个人信息合理保护限度的原则
在信息网络时代,我们应该在促进信息技术的发展和应用与保护公民个人信息安全之间寻求适当的平衡。刑法对公民个人信息的保护过小或过大,都不利于社会的正常发展。笔者认为,公民个人信息刑法保护的合理限度应基于以下三个原则来设定。
(一)刑法中的谦抑原则
刑法谦抑性是指刑法应当合理设定刑罚的范围和程度。当适用其他法律足以打击一种违法行为,保护相应的合法权益时,就不应规定为犯罪。当适用较轻的制裁足以打击一种犯罪,保护相应的合法权益时,不应规定较重的制裁。这一原则也是刑法在规制侵犯公民个人信息犯罪时应当遵循的首要原则。
目前,我国个人信息保护法律制度不健全,存在先存法缺失。刑法作为最后的保障法,在首次介入个人信息保护领域规制侵犯公民个人信息行为时,需要特别注意秉持刑法的谦抑性原则,严格控制打击的范围和力度。对公民个人信息的认定过于狭窄,会导致无法保护公民的合法权益,无法有效打击侵犯公民个人信息的行为;如果范围过宽,刑法的适用范围就会过大,导致国家刑罚资源的浪费和刑罚在实践中的可操作性降低,阻碍正常的信息自由流通,违背了刑法的谦抑性原则。实践中常见的是认定范围过宽,比如公民姓名、性别等个人基本信息。虽然在一定程度上可以识别个人,但大多数人并不介意这样的个人信息被公开,即使造成一定的危害结果,也不需要使用刑事手段,可以使用民法、行政法等前置法律进行补救。
(B)权利保护和信息流通之间的平衡原则
大数据时代,随着信息价值的凸显,个人信息保护与信息流通的价值冲突逐渐凸显。信息的自由流动一方面给国家、社会和个人带来了多方面的便利,另一方面也不可避免地给个人生命财产安全、社会正常秩序乃至国家安全带来了一定的威胁。
科技的进步和社会的需求使得数据的自由流通成为不可逆转的趋势。如何平衡其与个人权益保护的关系,是运用刑法规制侵犯公民个人信息行为时必须考虑的问题。对个人信息保护不足,会导致信息流通自由过度,置公民人身财产安全于危险之中,破坏社会正常的经济秩序;过度保护走向了另一个极端,阻碍了信息的正常自由流动,使社会成员成为“信息孤岛”,整个社会将变得支离破碎,也将信息化所能带来的巨大经济利益拒之门外。
刑法应当保护的只是具有刑法保护价值和必要性的个人信息,信息主体主动请求保护。法律的功能之一是协调各种相互矛盾的利益。只有通过立法和司法,才能平衡个人信息权利的保护和信息的自由流动,才能实现双赢。应努力构建完整的个人信息保护体系,既能保护公民的人身和财产权利不受侵犯,又能促进信息的自由流动,从而推动整个社会的发展和进步。
(3)个人利益与公共利益相协调的原则
个人利益适当让渡公共利益是合理的,也是必要的,因为公共利益往往涉及公共安全和社会秩序,也是实现个人利益的保障。但这种转让的前提是交换的公共利益是合法正当的,不会对个人隐私和安全造成不应有的侵害。
公共安全是限制公民个人信息的典型理由。政府和司法部门出于社会管理的需要,往往会在一定程度上公开信息。信息网络的发展也使得大数据技术在社会治安管理活动中发挥着越来越重要的作用,但也不可避免地涉及到触及公民个人利益的边界,导致公共管理需求与个人权益维护之间的冲突。相对于国家机器背靠的公权力,公民的个人信息安全处于弱势地位,让个人信息的保护跟上信息化的发展,是我们应该努力的方向。
公众人物个人信息的保护是这一原则的另一个重要体现。王黎明教授将公众人物分为政治公众人物和社会公众人物。对于前者,个人信息可分为两类:一类是与公民监督权或公共利益相关的个人信息,这类个人信息需要对公共利益做出适当让步;另一种是与工作无关的纯个人隐私信息。因为这部分个人信息与其政治立场无关,应该像普通人一样受到完全的保护。对于社会公众人物而言,其部分个人信息是主动或希望被曝光的,因此可以获得相应的交换利益,刑法不需要保护这部分信息;一些信息,比如身高,生日,喜好等。,都是公开的,但符合人们对职业的合理预期,不会损害信息主体的利益。对于这类信息,不在刑法保护范围之内;但对于主体的地址、行踪、轨迹等个人信息,实践中很多狂热的粉丝通过人肉搜索获取明星的地址、行程信息,对明星的个人隐私进行窥视、偷拍。这种严重影响人身安宁和基本权益的行为,理应受到刑法的规制。
第三,刑法中公民个人信息的概念、特征及相关范畴
(一)公民个人信息的概念
概念是解决法律问题不可或缺的工具。
1.“公民”的含义
中华人民共和国公民是指具有中国国籍的人。侵犯公民个人信息罪中使用了“公民”一词,笔者对其含义的一些有争议的问题持如下观点:
(1)应该包括外国人和无国籍人。
从字面上和常识上看,我国刑法中的“公民”似乎应该特指“中国公民”。但笔者认为,任何人的个人信息都可以成为本罪的对象,我国刑法对公民个人信息的保护不应仅限于中国公民。
第一,刑法第一百五十三条使用的是“公民个人信息”,而不是“公民个人信息”。对于刑法规范的理解和适用,不应人为地不必要地限制其范围,“公民”在没有明确表示是中国人民公民的情况下,不应仅限于中国公民。
二是在全球互联互通的信息时代,将大量外国人、无国籍人的个人信息保护排除在我国刑法之外,会纵容犯罪,导致外国人、无国籍人缺乏刑法保护,不合理,导致实践中涉及侵犯中国人、非中国人个人信息的案件难以处理。
第三,刑法分则第三章“侵犯公民人身权利和民主权利罪”并不局限于保护“中国公民”,同样也保护外国人和无国籍人的这种权利。因此,我国刑法第三章侵犯公民个人信息罪的保护对象还包括外国人、无国籍人的个人信息。“中国对在中国的中国公民、外国人和无国籍人以及在中国受到有害行为侵害的外国人和无国籍人一视同仁地提供刑法保护,不主张例外。”
(2)不应包括死者和法人。
对于死者来说,因为不再拥有人格权,所以不能成为刑法的主体。在刑法领域,正如毁尸不能构成故意杀人罪一样,侵犯死者个人信息罪也不应成立。死者个人信息中可能涉及的名誉权和财产权,可以通过死者近亲属在民法上主张精神损害赔偿或者继承财产来保护。
对于法人来说,不能成为刑法上公民个人信息的信息主体。一方面,自然人有人格权,法人没有。它只是一个法律上的虚构概念,不会在精神上受到损害。另一方面,虽然法人信息可能具有巨大的商业价值和经济效益,但一直受到商业秘密等商业法律的保护。因此,法人的信息不适用于公民个人信息的保护。
2.“个人信息”的含义
在法学理论中,对公民个人信息的界定主要有身份理论、关联理论和隐私理论。
身份识别理论是指公民个人信息中能够识别特定自然人身份或者反映特定自然人活动的关键属性。根据识别程度的不同,可识别性可分为两种方式,即通过单一信息直接确认某人身份的直接识别,以及结合其他信息或对信息进行比较分析从而识别特定个体的间接识别。学术界支持承认理论的学者大多指广义的承认,既包括直接承认,也包括间接承认。
关联理论认为,所有与特定自然人相关的信息都属于个人信息,包括“个人身份信息、个人财产情况、家庭基本情况、动态行为和个人观点,以及他人对信息主体的相关评价”。根据关联性理论,只要与主体具有一定的关联性,信息就属于刑法意义上的公民个人信息。
根据隐私权理论,只有个人隐私才是法律保障的个人信息内容。隐私理论主要由美国学者倡导,认为个人信息是不愿意向他人公开的信息,是排斥他人知晓的信息。
笔者认为,通过身份理论界定刑法意义上的公民个人信息最为可取。关联理论导致刑法保护个人信息的范围过度扩张,而隐私理论只是将个人信息限定在个人隐私信息的范围内,忽略了不属于个人隐私但同样具有刑法保护价值的个人信息。同时,由于隐私的定义受个人主观性的影响,在实践中很难形成明确的定义标准。相比之下,身份理论更可取,既体现了需要刑法保护的公民个人信息的根本属性,又具有扩展性,能更好地适应信息技术发展导致的公民个人信息种类日益增多。
并通过梳理我国个人信息的立法和司法,将身份认同的观点贯穿其中。
名字
有效年份
“个人信息”核心属性的界定
全国人民代表大会常务委员会关于加强网络信息保护的决定
2012
可识别性和隐私
关于依法惩处侵犯公民个人信息犯罪活动的通知
2013
可识别性和隐私
关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定
2014
隐私
网络安全法
2016
能识性
关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释
2017
可识别并能反映活动。
图表2
《网络安全法》和2017的解释对公民个人信息的定义无疑是最权威的。《网络安全法》采用身份理论的观点,将可识别性定义为公民个人信息的核心属性。后者采用广义的“可识别性”概念,既包括狭义的可识别性(识别特定自然人的身份),也包括反映特定自然人的活动。两者表述之所以不同,是因为网络安全法对公民个人信息的保护是整体的、基本的,而2017的解释考虑到了活动信息作为高度敏感的信息,随着位置技术的不断进步,逐渐成为本罪的一个保护重点,所以在采用狭义的身份信息概念的基础上,增加了对活动信息的强调,但其本质仍然是应当的。
因此,公民个人信息应以可识别性来界定。
(二)公民个人信息的特征
刑法意义上的“公民个人信息”体现了其不同于广义上的“公民个人信息”的刑法保护价值。明确个人信息在刑法领域的特征,有助于在司法中更好地认定个人信息。
1.可辨认的
这是公民个人信息的本质属性。可识别是指可以通过信息确定特定自然人的身份,包括直接识别和间接识别。直接识别是指单条消息可以直接指向特定的自然人,比如身份证号、指纹、DNA等信息可以一一对应特定的自然人。间接识别是指某一信息需要与其他信息相结合或对比分析才能识别特定的自然人,如学习经历、工作经历、兴趣爱好等信息需要与其他信息相结合才能识别特定的信息主体。
2.客观真实性
客观真实性是指公民个人信息必须是信息主体的客观真实反映。一方面,主观的个人信息极难识别具体个人;另一方面,现行刑法关于侮辱罪或诽谤罪的相关规定足以对这类主观信息进行规制。在司法实践中,如何判断信息的客观真实性也是一个重要问题。如何科学高效地鉴定个人信息的客观真实性,是司法机关应该努力的方向。现有的随机抽样方法是可取的,但不够严格。在我看来,可以考虑举证责任倒置。如果犯罪嫌疑人能够证明其侵犯的个人信息不客观真实,则不构成本罪。
3.价值
刑法的两大功能是保护利益和保护人权。从保护利益的功能出发,侵犯公民个人信息罪这一自然犯罪,只有侵犯了公民的法益,才能纳入刑法规制的范围。判断是否侵犯公民合法权益,关键在于信息是否具有价值。价值不仅包括公民个人信息所能产生的经济利益,还包括公民的人身权。从个人信息的人格权属性来看,个人隐私信息的泄露会侵犯公民的隐私权和名誉权,行踪信息的泄露会对公民的人身安全构成威胁。从个人信息的产权属性来看,信息是信息时代社会的主要财产形式,能够给人们带来越来越多的经济利益。“信息价值只有在行为人主张其个人价值时才予以考虑”,只有具有刑法保护价值的信息才值得国家动用刑事司法资源对其进行保护。
(三)个人信息与相关概念的区别
许多国家和地区都制定了专门的法律来保护个人信息,但有些国家和地区并没有采用“个人信息”的概念。美国多采用“个人隐私”的概念,欧洲多采用“个人数据”的概念,而“个人信息”的表述在亚洲更为常见。这三个概念可以划等号,也有见仁见智的区别。有人认为个人信息和个人隐私有重叠,但不能完全混为一谈。也有人认为个人信息包含个人隐私,以个人数据为载体。笔者认为,有必要对这三个概念进行明确的区分。
1.个人信息和隐私
关于这两个概念的关系,有的学者认为前者包括后者,有的学者认为后者包括前者,还有的学者认为两者不是简单的包含关系。笔者认为,个人信息和个人隐私是相互交叉的。个人信息包括一般信息和隐私信息,个人隐私包括隐私信息、私人活动和私人空间,所以两者的交集在于隐私信息。这两种制度有很大的不同,不能混淆。首先,私密程度不同。在一定程度上,个人信息中除私人信息之外的一般信息都需要由信息主体公开,如姓名、手机号、邮箱等。,而个人隐私私密性高,个人不愿意公开;其次,有了不同的判断标准,个人信息的判断标准是完全客观的,可以根据是否具有可识别性、真实性和价值性来判断,而个人隐私在判断上则带有更多的主观色彩,不同主体对个人隐私的定义也不同;最后,个人信息既有被动防御的一面,也有主动对外展示的一面。信息主体可能通过主动公开自己的部分个人信息获得一定的利益,而个人隐私则侧重于被动防御。主体的私人信息和隐私活动不希望被公开,隐私空间不希望被侵犯。
2.个人信息和个人数据
笔者认为,个人信息与个人数据的区别在于,个人数据是信息主体基于电子信息系统的客观的、未经加工的原始记录,如个人在医院体检后从自助机中取出的血液检验报告;后者是指数据中能够对接受者产生一定影响并指导其决策的内容,或者是经过数据处理和分析后能够得到的上述内容,比如系统或医生对血液检测报告数据进行分析后形成的具有健康指导的结果报告,换句话说,个人信息=个人数据+分析处理。
第四,刑法中公民个人信息的司法认定
在司法实践中,对概念和原则的把握肯定会有一些差异,需要详细讨论。在这一部分,笔者对一般个人信息的认定进行了概述,并对一些有争议的情况进行了分析。
(一)公民个人信息的识别
"可识别性是指个人信息可以直接或间接指向某个主体."经过上述讨论,根据《网络安全法》对公民个人信息的定义和2017号解释,我们可以得出“可识别性”是公民个人信息的核心属性,《解释》第三条第二款确认了这一观点。单独能够识别特定自然人的个人信息往往容易判断,而需要结合其他信息才能间接识别特定自然人的身份或者反映特定自然人活动的信息,往往是案件中控辩双方争议的焦点,也是本罪认定中最复杂的问题。面对实践中的具体案例,某些相关信息能否认定为“公民个人信息”,可以从行为人的主观目的、信息对特定自然人人身财产安全的重要程度以及信息需要结合的其他信息的程度三个方面综合分析判断。
以本案为例:某地医药代表为了给医生药品回扣,非法获取某医院科室的床号、病情、用药情况。本案所涉非法获取的信息不应纳入刑法中“公民个人信息”的范畴。首先,从行为人的主观目的来看,他并没有认识到特定自然人的目的,只是为了获取吸毒情况;其次,从上述信息对患者人身安全、财产安全、生命安宁的重要性来看,行为人对上述信息的获取不会侵害患者的权益;最后,从这些信息需要结合其他信息来看,床号、用药情况等信息并不能直接识别个人,需要结合患者的身份证号才能起到直接识别的作用。因此,本案所涉信息不属于刑法保护的“公民个人信息”。
(2)敏感个人信息的识别
《解释2017》第五条根据信息的重要程度和敏感程度,将“公民个人信息”分为三类,即信息对公民人身、财产安全的影响,并设定了不同的定罪量刑标准。
种类
目录
“情节严重”的标准
(非法获取、出售或提供)
“情节特别严重”(非法获取、出售或提供)的标准
特别敏感的信息
轨迹信息、通讯内容、信用信息、物业信息。
五十多篇文章
500多
高度机密信息
住宿记录、通讯记录、健康生理信息、交易信息。
500多
五千多
其他信息
五千多
五万多
图表3
但在司法实践中,对于标准的适用仍存在争议,主要表现在个人敏感信息的认定上。
1.如何把握“行踪轨迹信息”的范围
曲目信息极其敏感。信息主体的轨迹信息一旦被非法使用,就可能对权利人的人身安全构成紧迫威胁。在2017的解读中,曲目信息的入罪标准是最低的:“非法获取、出售或者提供曲目信息50条以上的”构成犯罪。由于2017的解释对轨迹信息规定了极低的入罪标准,因此在司法认定中应严格控制其范围,仅限于能够直接定位特定自然人具体位置的信息,如车辆轨迹信息、GPS定位信息等。在实践中,信息的交易价格也可以作为判断是否属于“轨迹信息”的参考,因为轨迹信息的价格通常是最贵的。
对于行为人在获取他人车票信息后判断他人行踪的情形,车票所载信息不应认定为2017解释规定的“行踪轨迹的信息”,因为该信息只能让行为人知道信息主体的大致活动轨迹,而不能准确定位。
2.如何把握“房产信息”的范围
房产信息是指房产、存款等能够反映公民个人财产状况的信息。财产信息的判断可以从两个方面来把握:一是综合考虑主客观因素,因为犯罪应该是主客观相统一的结果;但考虑到敏感个人信息入罪的门槛极低,实践中应严格把握范围。
以本案为例:行为人为了推销车辆保险,从车管所非法获取车主姓名、电话、车型等信息。本案信息不应认定为“财产信息”。因为行为人的主观目的不是侵害信息主体的人身财产安全,最多只会对行为人的生活安宁造成一定影响,所以应当适用非敏感公民个人信息的犯罪化标准。
(3)不应纳入本罪保护对象的公共个人信息的认定
对于信息主体公开的个人信息是否属于“公民个人信息”的范畴,理论界存在不同意见。笔者认为“公民个人信息”不具有隐私性特征,因为《解释2017》第1条没有使用“涉及个人隐私的信息”的表述,而是以认定为判断标准。因此,信息公开与否并不影响能否认定为“公民个人信息”。
对于权利人主动公开的个人信息,行为人获取相关信息显然是合法的,后续的出售和提供目前不应认定为犯罪。理由如下:第一,在我国的立法和司法中,已经将“隐私”定义为公民个人信息的核心属性,这说明公民个人信息在一定程度上是一种从隐私中分离出来的权利,因此侵犯公民个人信息罪重在保护公民的隐私和生活安宁。权利人之所以自愿甚至主动公开自己的个人信息,说明即使这些信息被获取或出售,通常也不会侵犯其个人隐私和生活安宁,因此不应纳入刑法保护范围;第二,根据《刑法》第253-1条规定,向他人出售或者提供公民个人信息,只有违反国家有关规定,才构成犯罪。对于公开的公民个人信息,行为人在获取后出售或者向他人提供的行为,在我国没有相关法律规定的情况下,应当推定为有权利人的普遍同意,也就是说,行为人出售和提供权利人已经公开的个人信息的行为,不应当认定为“违反国家有关规定”。再次,在我国个人信息保护机制不健全、侵犯公民个人信息犯罪高发的背景下,实践中应重点关注侵犯权利人未公开个人信息的案件。
对于权利人被动公开的个人信息,行为人获取相关信息的行为可以视为合法。但后续出售或提供违背权利人意志,侵犯其个人隐私和生活安宁,或者对权利人的人身安全、财产安全构成威胁的,应当根据实际情况以侵犯公民个人信息罪论处。
对于权利人被动披露的个人信息,行为人获取相关信息一般是合法的。但如果获取信息后的出售或提供行为侵害了信息主体的人身安全、财产安全或私生活安宁,且信息主体有强烈的保护其相关个人信息的意愿,则应根据其情节认定为侵犯公民个人信息罪。
动词 (verb的缩写)结论
大数据时代,个人信息对个人、组织、社会乃至国家都具有巨大价值,这也滋生了越来越多的侵犯个人信息犯罪。作为侵犯公民个人信息罪的客体,“公民个人信息”的界定、特征分析、与相关概念的区分以及司法认定,对于打击相关犯罪、保护公民个人信息具有重要意义。通过本文的研究,形成以下结论:第一,公民个人信息的界定原则。一是应遵循刑法谦抑性原则,确保打击范围既不能过宽,导致国家刑罚资源浪费和可操作性降低,也不能过窄,导致公民个人信息权益无法得到妥善保护。二是要遵循权利保护与信息流通平衡的原则,在不妨碍信息正常流通的前提下,保护公民的人身和财产权利不受侵犯。第三,应遵循个人利益与公共利益相协调的原则,允许个人利益对公共利益做出适当让步,但杜绝对个人利益的侵犯和过度限制。第二,公民个人信息中的“公民”应包括外国人和无国籍人,不应包括死者和法人。公民个人信息中的“个人信息”应当用“识别论”来界定,可以将特定的自然人识别为刑法中公民个人信息的根本属性。刑法意义上的公民个人信息除了具有可识别性外,还应当具有客观真实性和价值性的特征,可以作为辅助判断标准。还要注意区分个人信息与个人隐私、个人数据等相关概念,避免司法实践中的混乱。第三,一般个人信息的认定。”“可识别性”是其判断的难点,可从行为人的主观目的、信息对其主体人身财产安全的重要程度、信息与其他信息的融合程度三个方面综合分析判断;赛道信息、财产信息等敏感的个人信息,因其定罪门槛低、处罚重,应严格控制并结合行为人的主观心理态度考虑。信息主体已经公开的个人信息,应当分情况讨论。对于信息主体主动公开的个人信息,行为人获取、出售、提供的行为不应认定为侵犯公民个人信息罪。对于信息主体被动公开的个人信息,行为人对信息的获取是合法的,但后续的出售、提供可以根据实际情况以侵犯公民个人信息罪论处。
希望本文的探讨能为我国个人信息保护制度的完善尽绵薄之力。