本文是一篇法律论文,对于外国公民的信息,笔者主张鉴于网络技术发展,信息需要流通,个人信息保护法并未区分外国公民信息与我国公民信息,所以公民个人信息的范围包括外国公民信息。对于账号密码信息,笔者主张应将其限定为“实名制”的账号密码信息,对实名制的判断上应限定为绑定了身份证、银行卡的账号信息。
第一章L省侵犯公民个人信息罪司法现状考察
一、样本选择及分析
法律论文怎么写
2015年,《刑法修正案(九)》为了回应高发的个人信息泄露事件,增设了侵犯公民个人信息罪,从源头遏制了电信网络诈骗案、敲诈勒索等案件数量高发的态势。2017年6月1日,两高联合下发了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),详细规定了该罪的具体适用情形。但时至今日,学界及司法实务届对该罪的看法仍存在严重分歧。为了准确适用该罪名,笔者在裁判文书网对L省2017年6月1日至2022年6月1日,案由为“侵犯公民个人信息罪”的一审判决进行检索查询,通过对L省五年来对该罪的判决进行整理分析,提炼出司法实务中争议较大的问题,结合现行法律及司法解释,综合分析后,给出笔者的观点。
(一)案件总体情况
通过裁判文书网查询,近五年L省案由为侵犯公民个人信息罪的一审判决案件共188起,共有363人被打击处理,犯罪主体均为自然人。在《解释》生效后,2017年后半年一审案件数量25起,2018年一审案件数量36起,2019年一审案件数量48起,2020年一审案件25起,2021年一审案件数量64起,2022年一审案件8起。从2021年起共有18起案件,检察院同时提起了公益诉讼。
(二)定罪量刑情况
在入罪方面,有188人是因为侵犯的信息条数达到了情节严重标准被立案追诉,占比51.8%;91人是因为违法所得数额达到了情节严重标准被立案追诉,占比25%;77人是侵犯信息条数和违法所得数额均达到了情节严重标准被立案追诉,占比21%。侵犯信息条数方面,数量最少的仅为52条,信息类型为手机定位信息;数量最多的达到了1053万条,侵犯的为“人员信息和邮箱账号密码”。在违法所得方面,最少的违法所得仅为30元,但因信息条数达到情节严重标准被立案追诉;违法所得数额最多的为1306.2579万元。
.............................
二、司法适用中的问题汇总
(一)公民个人信息的“可识别性”认定标准不一
我国关于个人信息保护的各部法律均将个人信息定义为“可识别”或“已识别”的信息,因此识别性是个人信息所具有的关键属性。但不同法律对识别深度的要求不同,《网络安全法》及《解释》均要求识别自然人身份,《民法典》及《个人信息保护法》均要求识别自然人,那么此处的“身份”如何理解?另外《民法典》及《解释》均要求识别特定自然人,特定自然人与自然人有何区别?《解释》中增加了“反映特定自然人活动情况的各种信息”,此信息是否需要以识别性为前提?由于成立本罪需要以违反国家规定为前提,而网络安全法、民法典、个人信息保护法均是全国人大制定的法律,毫无争议的属于国家规定,所以刑法上判断公民个人信息时不能自成体系,因此有必要对不同法律规定的识别深度予以厘清。
在识别方式上,已识别即直接识别,是指仅凭信息本身不需要结合其他信息就能识别出特定自然人。可识别即间接识别,是指凭借现有的信息自身没办法识别到特定自然人,但如果将其它信息与该信息结合,能够识别出特定自然人。
作为启动刑法保护公民个人信息的前置法,网络安全法、民法典、个人信息保护法对公民个人信息的规定均采取了“识别型”的概括定义,之后又增加了具体的列举式规范。不同法律列举的具体信息是否就是直接识别信息,L省的判决中,有的法院认为规范列举的单独电话号码不是公民个人信息,也有些法院将单独的手机号码、邮箱账号等均认定为公民个人信息,但其论述理由时均强调,单独的电话号码无法识别特定自然人,但依据《电话用户真实身份信息登记规定》,购买电话卡时需实名制,所以通过结合运营商登记的实名制信息能够识别特定自然人。直接识别标准是否真的存在?对于规范列举的公民个人信息是否还需要结合识别性进行判断?
.............................
第二章识别性的判断标准
一、不同法律对识别深度界定之差异
(一)自然人与自然人身份
自然人在法律中与法人及非法人组织对应,即生物学意义上的人。“身份”指“是谁”,“是怎么样一个人”。现代社会中是指社群中个体成员的标识和称谓[8],既包括籍贯、性别、职业等客观身份,也包括君子与小人、熟人与陌生人等主观身份,现实中表现为亲朋关系、领导关系。识别是一个动态的过程:是通过信息,找出信息背后对应的某个人,从而将该人从自然人群体中区分出来。因此“识别自然人”后自然就能“识别自然人身份”,所以二者意思相同,都包含“身份”的含义。故此表述仅为文字上的差异,没有语义上的区别。国家为了高效、统一管理,将部分“身份”加以认证,例如,我们的身份证上记载的姓名、性别等信息。刑法中公民个人信息的“身份”是指自然意义上的身份,还是国家认证的身份?学者岳林认为此处的“身份”是指经国家公权力机关依法认证的身份,政府的分支机构及其他非公权力机关认证的“身份”不属于该罪中需要认证的身份,例如通信通讯联系方式、住址等在社会交往中生成的信息仅属于对国家认证身份的补充与丰富。此种观点具有一定合理性,我国幅员辽阔,人口众多,国家通过姓名+身份证号的方式赋予每位公民独特的标识,以同他人相区分。但笔者认为,侵犯公民个人信息罪中的身份,不必拘泥于国家机关颁发的证件中的身份,只需能够识别出“是谁”即可。例如,某村中仅有一人叫张三,且与李四为亲属,那么我们在识别张三时不必非要说出张三的姓名加身份证号。村中姓张的人,或者李四姓张的亲属,均能识别到该人。因此,刑法中的公民个人信息只需能够识别出自然意义上的“身份”即可。
.............................
二、直接识别标准可能性存疑
所谓直接识别是指仅凭现有信息本身就可以识别出特定自然人,无需结合其他信息。法律为了增强个人信息概念的可适用性,在定义公民个人信息概念后采取列举式规范以具体化公民个人信息,齐爱民教授认为列举式规范所列举的姓名、身份证号、社会保险号码等均具有唯一性,属于直接识别信息。但郭明龙老师持反对意见,其认为直接识别信息应当是普通民众运用一般手段即可识别出的信息,虽然身份证号码具有唯一性,但是普通的一般人不能通过单独的身份证号码识别出特定的、具体的个人。之所以出现上述争议,问题在于如何理解定义前半部分的概括规定与后半部分列举式规范的关系,后者是对前者的具体规定,还是具体说明?如果为具体规定,则无需考虑识别性因素,只要出现列举范式规定的信息,即可直接认定为公民个人信息。如果是具体说明,则将其认定为公民个人信息时依然不能脱离概念定义中的识别性要求。笔者认为,“法律文本对个人信息的列举系对个人信息抽象概括定义的具象化说明,绝不能理解为关于个人信息的具体规定”[11]。从文义解释的角度,《网络安全法》、《解释》、《民法典》对定义和列举之间以逗号隔开,其后表述为“包括……等”,此表述明显是对前半句概括定义的不完全举例。特别是此处的“等”需要结合前半句的概括定义,作“等外等”解释。不能理解为“等内等”,否则由于不同法律规范列举事项不同,就会出现矛盾,如民法典中列举的行踪轨迹,网络安全法并没有列举。从体系解释的角度,规范列举的姓名、电子邮箱等也不具备直接识别的能力。首先,姓名、出生日期在我国没有唯一性,我国人口众多,重名率很高,同一天出生的人也很多,即使是在非常小的群体内,也很难通过姓名、出生日期直接识别出某个自然人。那么,肯定会有人问,对于我们耳熟能详的明星等公众人物,我们就是通过姓名直接识别出其个人,为何还说姓名没有直接识别可能性呢?这里我们通过举例说明,之所以我们听见奥巴马这个名字,就会自然而然的与美国前总统那个特定人对应,是因为奥巴马是以姓名+美国总统出现在我们的视野中,随后我们将这个特定人的姓名记忆在脑海里,日后一旦有人提起奥巴马这个名字,我们的潜意识里就会结合美国总统从而识别出这个人。但在美国也有很多百姓叫奥巴马。
.................................
第三章 侵犯公民个人信息罪的法益 ......................... 17
一、主张个人法益的观点 ......................... 17
二、主张集体法益的观点 ............................ 18
三、本文观点 .................................... 20
第四章 公民个人信息的范围 ................................ 26
一、公民个人信息是否包含外国公民的信息 ......................... 26
二、公民个人信息是否包含所有的账号密码信息 ........................... 26
三、已公开的个人信息能否成为本罪对象 ....................................... 28
第三章侵犯公民个人信息罪的法益
一、主张个人法益的观点
由于本罪位于我国《刑法》分则第四章“侵犯公民人身权利、民主权利罪”中,所以本罪法益应在公民人身权利民主权利下理解。据此,很多学者认为该罪法益是个人法益,主要有以下观点:
第一种观点为人格权说,认为该罪法益是公民人格尊严与个人自由。主要依据该罪在刑法分则中的位置及民事法律对个人信息的保护路径。从刑法分则的位置看,该罪位于刑法分则第四章中,在无法将该罪法益界定为民主权利的情形下,只能将其界定为人身权利中的人格权法益。从民事法律对个人信息的保护路径出发,以最高人民法院《关于审理名誉权案件若干问题的解答》第7条,《关于确定民事侵权精神损害赔偿责任若干问题的解答》第1条和第3条为辅证,从而认为:现有法律对个人信息纳入人格权下予以保护。
第二种观点为个人信息权说,认为现有权利无法准确说明该罪法益,急需一项新型的、独立的权利-----个人信息权。侵犯个人信息的行为之所以构成犯罪,是因为侵犯了个人信息权。并且认为个人信息权可以包括财产权利和其他权利等。该说内部又分为二重属性论和三重属性论。二重属性论认为“公民个人信息”首先具备人格权的性质,应对公民人格尊严予以保障,其次也具有财产权的意蕴。三重属性论认为“公民个人信息”的权利属性不同于现有的传统法益,其集人身特性、经济属性和社会属性于一体,应单独规制。
第三种观点为信息自决权说,该说认为民法典已经确立了公民的个人信息权,该权利既包括支配、控制自己享有的信息,又包括信息免受他人侵害。对于信息权的具体内涵和外延应该按照个人信息保护法的规定去理解适用。然而刑法所保护法益不能太过宽泛,只能是个人信息权中最重要、最核心的信息自决权。基于该说,公民自决提供给他人收集、使用的个人信息不属于该罪的犯罪对象。也有学者认为应对自决权给予限制,如果自决权侵害了社会公共利益,此时已然构成犯罪。
法律论文参考
..................................
第四章公民个人信息的范围
一、公民个人信息是否包含外国公民的信息
单从法律条文的表述来看,我国《刑法》并未对外国人和无国籍的个人信息予以保护,因为《刑法》253条之一将个人的范围限定在“公民个人”,而公民仅指具有中国国籍的人。但也有观点认为应当对此处的公民进行宽泛的理解,既包括中国人,也包括外国人和无国籍人。因为法律并未将此处公民限定为中国公民。这关系到是否要对《刑法》第253条之一中的“公民”一词采取扩大解释的方法。将“公民个人信息”解释为“我国公民、外国人、无国籍人的信息”显然采取了扩张解释的方法,扩张了《刑法》的字面含义。笔者认为,应该将“公民个人信息”理解为包含外国人、无国籍人的个人信息。从以下两点予以说明:
第一,随着经济的全球化,世界各国交往越来越密切,尤其是在网络技术飞速发展的今天,具有虚拟性、开放性、全球性的互联网已将国家主权实体边界的物理限制打破,个人信息可以通过网络在全世界范围内流动。因此,不同的国家对彼此公民的个人信息给与国民般保护极为必要。
第二、我国现行法律体系不排斥对外国人、无国籍人个人信息的保护。《网络安全法》、《民法典》、《个人信息保护法》规定的个人信息并没有限定为仅为我国公民的个人信息。而且《个人信息保护法》第三条规定:“在中华人民共和国境内处理自然人个人信息的活动,适用本法……。”自然人显然无国籍之分,其是与法人相对应的概念。《个人信息保护法》采取属地管辖的立场,只要个人信息在我国境内的,不区分外国人、无国籍人,一律予以保护。
参考文献(略)