侵犯公民个人信息罪中“违反国家有关规定”研究

2017年最高人民法院、最高人民检察院公布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》和2018年最高人民检察院印发的《检察机关办理侵犯公民个人信息案件指引》把违反部门规章列入“违反国家有关规定”的范畴。为了维护法秩序的统一,侵犯公民个人信息罪中空白罪状的范围应与《中华人民共和国刑法》第96条的规定保持一致,但在部门规章是为了贯彻“国家规定”而予以进一步明确、细化的情况下,部门规章也可以作为判断行为人是否构成侵犯公民个人信息罪的依据。“有关”二字是为了将补充规范的内容限定在与公民个人信息保护相关的范围内。“违反与公民个人信息保护有关的国家规定”的表述在侵犯公民个人信息罪中被精练为“违反国家有关规定”。对于侵犯公民个人信息罪的认定,不能虚置“违反国家有关规定”,而是应当在裁判文书中明确指出“违反国家有关规定”的具体内容,这也是罪刑法定原则的要求。

侵犯公民个人信息罪中“违反国家有关规定”的限缩解释——兼对侵犯个人信息刑事案件法律适用司法解释第2条之质疑

根据我国刑法,"违反国家有关规定"是判断行为构成侵犯公民个人信息罪的前提。为了明确"违反国家有关规定"的含义,侵犯个人信息刑事案件法律适用司法解释第2条将部门规章与法律、行政法规一并纳入其中,该司法解释的这一扩张性规定虽然契合了惩治公民个人信息犯罪的现实需要,却背离了罪刑法定原则的要求。为此,应当对该司法解释第2条的内容作限缩解释,即"违反国家有关规定"仅限于违反法律、行政法规关于公民个人信息保护的规定,部门规章只有在对法律、行政法规中的规定予以明确、细化的情况下,才能与法律、行政法规一起作为判断行为是否"违反国家有关规定"的标准。

法秩序统一性视域下“违反国家有关规定”的应然解释——《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第2条评析

合宪性解释是刑法解释的一种方法,对刑法解释结论的正当性具有最高检验标准的功能。对于刑法第253条之一的"违反国家有关规定",根据文义解释方法,可以得出包括"违反法律、行政法规和部门规章的规定"的解释结论,并且可以通过目的解释方法得到补强。但是,根据合宪性解释,如果采用这一结论,则将导致整体法秩序统一性被破坏,因而应当否定这一结论。

大数据时代公民个人信息刑法保护的边界——以“违反国家有关规定”的实质解释为中心

"违反国家有关规定"是成立侵犯公民个人信息罪的前置性条件,对其性质和地位的正确把握,是确定公民个人信息刑法保护边界的重要依据。在本罪中"违反国家有关规定"仅仅是为提示违法性而存在,而不是构成要件要素。本罪所保护的法益是个人生活的安宁,而不是所谓的信息自决权。在本罪司法认定过程中,"违反国家有关规定"有两个层面的价值和意义:一方面在认定行为人的行为符合构成要件之后,通过"违反国家有关规定"的提示违法性功能,审查行为人的行为是否具有违法阻却事由即法律上的根据;另一方面,在行为人的责任评价阶段,通过本罪所保护的法益对"违反国家有关规定"的实质解释评价行为人违法性认识的有无、错误的可避免性,进而作出行为人的行为是否可归责的评价。

侵犯公民个人信息罪中“违反国家有关规定”的解释逻辑

我国《刑法》第253条之一中的"违反国家有关规定"对于侵犯公民个人信息罪具有构成要件意义。肯定司法解释将违反部门规章的行为纳入"违反国家有关规定"范围的观点不具有合理的解释逻辑;《刑法》对于公民个人信息保护的扩大趋势并不必然等同于"违反国家有关规定"范围的扩大。对于"违反国家有关规定"的解释,可以从我国《刑法》第96条的规范意义和体系解释的角度出发。司法解释对"违反国家有关规定"的界定有突破罪刑法定原则之嫌,在实践中应当限缩适用。

“违反国家有关规定”的反思——以侵犯公民个人信息罪为例

罪刑法定原则既要求规定犯罪及其后果的法律必须是立法机关所制定的成文法律,也要求刑法的条文必须具备明确性。法律主义要求行政机关不能制定刑法,明确性原则要求刑法在立法进行制定时条文所表达的内容是明确的,不能是模糊不清,有歧义。刑法第253条之一侵犯公民个人信息罪中的"违反国家有关规定"的含义模糊不清,含义无法明确且有违反法律主义的嫌疑,值得商榷。

侵犯公民个人信息罪中“违反国家有关规定”的意蕴阐释

作为判断侵犯公民个人信息罪成立与否的前提性要素,“违反国家有关规定”的规范意蕴对于该罪的合理适用至关重要。我国刑法中涉及个人信息保护的罪名,其罪状中与“违反国家有关规定”相关的表述随着刑法的修改完善而不断演进,主要分为刑法修正案(七)以前完全无规定、刑法修正案(七)中的“违反国家规定”、刑法修正案(九)中的“违反国家有关规定”3个阶段。关于“违反国家有关规定”的性质,存在提示违法要素说与构成要件要素说之争。基于前置法逐渐完善、构成要件要素完整性欠缺、应当限缩处罚范围等原因,后者更具合理性。《解释》第2条对“违反国家有关规定”的含义进行了界定,其与刑法第96条中“违反国家规定”的范围并不一致,从罪刑法定原则出发,应将部门规章排除在“国家有关规定”的范畴之外。

侵犯公民个人信息罪的认定

刑法中侵犯公民个人信息罪的认定标准应当与《个人信息保护法》相协调。在界定公民个人信息的内涵方面,应站在体系化的角度全面进行分析,可参考《个人信息保护法》对公民个人信息“二分法”的分类方式,并运用“概括+列举”式的规定,将公民个人信息分为敏感个人信息和一般个人信息。在限定“违反国家有关规定”方面,应对“国家有关规定”作限缩解释,仅包括法律和行政法规。在认定行为方式内容方面,应及时调整侵犯公民个人信息罪的行为方式内容,将更具社会危害性的合法获取个人信息后非法使用的行为,纳入侵犯公民个人信息罪的行为方式内容之中。

擅自处理已公开个人信息行为的刑事违法性判断

已公开个人信息并未基于公开而丧失个人信息“可识别”特定自然人之根本属性,擅自处理已公开个人信息仍具有刑事违法风险,可能构成侵犯公民个人信息罪。当前对该行为刑事违法性的判断路径与认定标准尚未达成共识。为弥合分歧,需要从形式与实质两个维度予以重新审视:形式之维上,已公开个人信息应可识别或相关联特定自然人,且个人信息的公开应当具备合法性基础;“对个人权益产生重大影响”的侵害行为,可通过行为人的信息控制权限予以客观认定,从而排除前置法中的合法情形。实质之维上,应综合判断信息主体的人身财产安全是否遭受具体危险,是否存在信息主体对信息处理行为负有容忍义务之消极抗辩事由,是否已然达致规范的法益侵害程度,通过定性与定量之双重评价,进而厘清刑法的调控边界。

侵犯公民个人信息罪刑法适用的调整和重构

司法解释有关侵犯公民个人信息罪中的个人信息的定义应同《个人信息保护法》的规定保持一致。合法获取但非法使用个人信息的行为亦应构成侵犯公民个人信息罪。侵犯公民个人信息罪是故意犯罪且相关行为应具有法益侵害具体结果。获得公民知情同意的侵犯公民个人信息行为不构成侵犯公民个人信息罪,“公民知情同意”的效力应当以《个人信息保护法》赋予公民最后一次行使同意权的效力为基准。侵犯公民个人信息罪的保护法益应为与公民人格、财产权紧密关联的个人信息自决权。司法解释对“情节严重”的认定应根据个人信息对公民个人利益影响的紧密程度以及行为人的主观动机两个方面综合考量。司法解释应采用《个人信息保护法》的分类方式,将个人信息区分为敏感个人信息和一般个人信息两种,并对侵犯公民个人信息再犯情形的构罪标准进行修改。

侵犯公民个人信息罪的法解释学释义

鉴于频现滥用公民个人信息的违法现象,致使公民人身、民主权利受到不同程度的影响,《刑法修正案(九)》对侵犯公民个人信息的犯罪予以修正。解释侵犯公民个人信息罪时,应当密切关注三个要件要素:基于法益二元观理论,"公民个人信息"既表征个人法益,也蕴含超个人法益;立足于法秩序一致性原理,"违反国家有关规定"的认定参照法律法规的明确规定或者一般性规定。至于违法性的判断,应以是否经过公民同意为实质标准;运用罪量因素理论,将"情节严重"认定为不法构成要件要素,同时对其类型化,包括行为量定的情节严重、危害后果的情节严重以及主观不法的情节严重。因而综合考察信息类别与数量、危害后果和主观目的对公民基本权利的侵害或危险,成为区分罪与非罪、此罪与彼罪的可行方案。

侵犯公民个人信息罪的空白规范功能定位及适用限度

司法解释在阐明侵犯公民个人信息罪“违反国家有关规定”这一空白规范时,扩张性地将部门规章也纳入判断前置违法性的规范依据中,这与《刑法》第96条中“违反国家规定”的含义并不一致。厘清部门规章是否属于“国家有关规定”的前提是,辨明“违反国家有关规定”在认定侵犯公民个人信息罪中所发挥的功能。虽然刑法规定看似严整,但定案时仍需参照其他规范填补构成要件,故“违反国家有关规定”属于构成要件要素。同时,在获取和使用公民个人信息时,不仅存在法令行为、经行政许可的行为等法定正当化事由,还不乏正当业务行为等超法规正当化事由,因此“违反国家有关规定”也发挥着提示违法阻却事由的机能。当“违反国家有关规定”作为构成要件要素时,不应以部门规章为依据将行为入罪;而当其发挥提示违法阻却事由机能时,部门规章乃至规范性文件、行业规范、当事人约定等,均可作为出罪事由。

网络社会中个人信息的保护——构建侵犯公民个人信息罪的规范意蕴

网络社会语境下侵犯公民个人信息呈现出膨胀和多元的态势,"偷拍""偷录"等能够被评价为侵犯公民个人信息罪。"违反国家有关规定"是"违反国家规定"的另外一种表达,旨在突出规定的相关性和广泛性,但是并不降低国家规定的主体是全国人大及其常委会、国务院的定位。个人信息是指与个人有关的信息,不要求可识别性。个人信息与个人隐私不是对立关系,个人隐私在内容上是个人信息的一部分。个人信息可以分为四种类型:个人生物信息和个人社会信息、个体信息和涉众信息、动态信息(行为信息)和静态信息、识别信息和非识别信息。对个人信息进行多种分类,可以为以后新类型信息识别打开通道。在侵犯公民个人信息罪中,"公民"是一个泛称概念,包括所有自然人,也包括死者。

APP个人信息的刑法保护:以知情同意为视角

我国APP经营者违法违规收集、使用公民个人信息问题突出,APP用户个人信息权益的法律保障不足,依赖个人信息安全和APP行业标准作为认定犯罪的前置性规范。个人信息蕴含着公民个体的具体人格权,同时具有社会公共法益属性,个人信息自决权是公民个人信息的基础权利,知情同意则是个人信息自决权的核心。刑法应处理好个人权利自由保护与价值利用的关系,在信息自由与信息安全之间予以利益平衡。基于个人信息知情同意保护原则,刑法应当参照《网络安全法》及有关收集使用个人信息的行业规范,明确APP运营者对用户知情同意保护义务,通过对侵犯公民个人信息罪中“违反国家有关规定”构成要件进行限制解释,认定APP运营者非法获取、使用用户个人信息或提供给他人的刑事责任;同时,将APP用户知情同意看作刑法上被害人同意的出罪事由,但其出罪功能应受到适度限制。