《刑法》第253条之一的立法完善探讨

《刑法》第253条之一的立法完善探讨

[摘要]《刑法修正案（七）》及后续的司法解释，确立了出售、非法提供公民个人信息罪和窃取、非法获取公民个人信息罪两个侵犯个人信息类犯罪罪名，此举有力地打击和预防了此类及关联犯罪。但各种新型犯罪形式不断涌现使得该法条的适用逐渐显现出其局限性。笔者将在本文中结合房山区实际案例的办理情况，浅析《刑法》第253条之一的立法之完善建议。

[关键词]公民个人信息；刑法保护；犯罪主体；客观方面

一、基本案情

2009年3月份至2009年12月，被告人陈甲（女）以营利为目的，从互联网上下载和利用网络传输工具从他人处购买，获取公民的姓名、电话、住址等个人信息。而后将此信息卖给包括被告人侯乙在内的多人，共计获取公民信息40余万条并出售，获利4万余元。经北京市公安局刑侦总队刑事科学技术研究所检验，在扣押自陈甲家中的笔记本电脑上检出涉案文件869个，共计182MB。

2008年6月份至2009年12月28日案发，侯乙通过互联网QQ群、网络论坛等渠道从他人处（包括陈甲）多次购买公民个人信息的（包括个人姓名、电话、地址和更新时间等）。侯乙先后雇佣付某（女）、刘某（女）、王某（女）为其在网站论坛、QQ群里推销、出售个人信息。经北京市公安局刑侦总队刑事科学技术研究所检验，在侯乙等人使用电脑及移动硬盘上检出涉案文件共计34508个，共计约36.87GB。

2011年1月10日房山区人民检察院以被告人陈甲、侯乙犯非法获取公民个人信息罪向房山区人民法院提起公诉，2011年6月17日房山区人民法院以被告人陈甲、侯乙犯非法获取公民个人信息罪，对二人均判处有期徒刑1年6个月缓刑2年，并处罚金15000元及10000元。

王某、付某、刘某虽然实施了非法推销、出售公民个人信息的行为，但因现行刑法没有对此行为作出犯罪评价，根据《刑法》第三条的规定，法律没有明文规定为犯罪行为的，不得定罪处刑。房山区人民检察院建议公安机关撤回对该三人的移送审查起诉；2011年1月17日公安机关撤回对王某、付某、刘某三人的移送审查起诉，对其分别予以相应的行政处罚。

二、立法不足

《刑法修正案（七）》新增第253条之一，规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。但由于法律规定不周延，放纵了一部分犯罪行为。结合案件办理情况，笔者简单总结出以下几方面的立法缺陷亟待修正。

（一）对“公民个人信息”缺乏明确的法律界定

首先，“公民”的范围不明确，公民是指中国人还是包括外国人，“人”是否包括死人等问题至今缺乏明确法律规定。再者，个人信息与个人隐私的区别和联系、法律对两者保护方式的交叉与分工等问题亦没有解决。其次，我国法律至今未对“个人信息”的内涵和外延作出准确的规定，法律保护的对象不明确将无法界定犯罪。

（二）该法条所定之罪的构成要件规定不当

第一，非法提供公民个人信息罪的犯罪主体规定不当。由《刑法》第253条之一法条的规定①可见本罪的主体是特殊主体，即能够合法持有公民个人信息的相关单位及其工作人员。这里存在两个实践难题，第一是法条中“等”字的含义

不确定，能否扩大解释为所有可以合法接触到公民个人信息的单位及其工作人员？但这种解释有悖于罪刑法定原则和刑法谦抑性原则之嫌。司法实践该何去何从，司法部门至今没有作出规定。第二是该法条规定的犯罪主体的局限性已经难以有效保护公民个人信息。例如上述案例中陈甲和侯乙以及付某等三人均是一般主体，但五人都有为牟利而大量出售、非法提供公民个人信息的行为，社会危害性并不低于特殊主体。

第二，本类犯罪的客观行为涵盖范围过窄。分析法条可知，刑法仅对非法提供和非法获取公民个人信息做出了犯罪处理，但是实际社会生活中，滥用公民个人信息是侵犯信息类犯罪危害后果发生的直接环节。如果滥用行为构成了其他犯罪，可以有其他司法救济，但是面对“人肉搜索”和“网络水军”等“网络暴力”行为给个人和社会带来的巨大伤害，法律没有做出回应，显然是失去了法律“保护伞”作用。

第三，对“情节严重”无明确的规定。本法条涉及的两个罪名都以“情节严重”为犯罪构成要件，但是目前法条和司法解释没有对此予以阐明，给司法实践带来适用上的困难，自由裁量权过宽也将不利于执法的公平统一。

三、立法建议

（一）司法机关应对“公民个人信息”明确法律界定

第一，保护对象应包括我国公民、外国公民和无国籍人。根据国际法的规则，保护外国公民在华期间的合法权益是我国法律的应有之义。另外，公民这一概念无法保护无国籍人的利益，建议我国法律将“公民个人信息”扩大为“自然人个人信息”，简称“个人信息”即可化解这一尴尬。

第二，逝者的个人信息不需要法律单独保护。个人信息的特点就在于通过信息与某个具体的人联系在一起从而利用，逝者的信息相对而言价值较小，其在利用时往往充当的是生者个人信息的一部分，因此无需单独保护。

第三，法律应尽快对“个人信息”做出准确的定义。从域外法律讲，韩国、日本等国家都将个人信息定义为与活着的人有关的信息。欧盟地区所称的“个人数据”相对韩、日，规定的范围更为宽泛，包括自然人一切可以识别出特定个人的精神、文化、经济因素中的一个或者几个信息。就国内法而言，《个人信息保护法》专家建议稿中对个人信息定义为：“个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或者与其他信息对照可识别出特定个人的信息。”②这一定义采用了列举典型加抽象概括的方式，基本能够涵盖我国个人信息的范围，笔者同意此观点，加之社会生活的实际情况，笔者认为个人信息是指“个人姓名、住址、户籍信息、身份证号码、医疗记录、人事记录、照片、通讯方式等一切可以直接或者间接与其他信息对照可识别出特定个人的信息总和。”但此份专家建议稿至今未通过，刑事司法机关有必要先行出台司法解释，保证法律实施的统一性和公平性。司法实践中，还应注意不要随意做法律概念的扩大解释，对于现代人常用的QQ号、电子邮箱等虚幻的信息，过期、被更新了的信息以及涉及侵犯个人隐私权的信息等都应排除在此概念之外。（二）将出售、非法提供公民个人信息犯罪的主体扩大为一般主体

首先，将该罪规定为特殊主体违反刑法的平等适用原则。同样实施了犯罪行为却不同法律评价，显然不利于对法益的保护。该法条没有穷尽列举单位的类型及其工作人员，但即便做扩大解释，仍然不能够涵盖可以实施犯罪的主体。譬如可以合法获取个人信息而实施了非法提供行为的非单位工作人员和本案行为人，其行为都是对个人信息自主决定权的侵害，均应该承担相应的法律责任。