——对《刑法修正案（七）》“非法泄露公民个人信息罪”的思考

——麒麟区法院刑庭庭长 晏祥和

 

【摘要】近年来，银行客户资料、购房者资料以及消费者订餐、预约服务所留下的联系电话等个人信息泄露大有蔓延之势，这给当事人的工作和生活带来了诸多的不利影响。因此，保护公民个人信息的呼声越来越高。也正是在这个时代背景的召唤下，中华人民共和国第十一届全国人民代表大会常务委员会第七次会议于2009年2月28日审议通过了《中华人民共和国刑法修正案（七）》，在该修正案中明确规定要追究泄露、窃取、收买公民个人信息行为的刑事责任，这给我们公民个人信息的保护提供了一道法律屏障。因此，如何正确看待其作用和功能就显得十分必要。

【关键词】  刑法修正案（七）  非法泄漏  个人信息  保护公民个人信息

 

在当今社会，信息已经是一种权利资源，其有序流动对于信息社会的发展具有基础性意义。[1]也正是基于信息资源在当今地球村时代的战略性地位，各种主体都会采取不同手段极力争夺信息优势。然而，没有规制的争夺就必然会导致权利的失衡和秩序的紊乱。比如有些企业将应聘人员信息随意公开，甚至有不少人利用工作岗位的特殊性，将一些个人信息作为商业情报提供给商业公司。而随着信息技术的发展和批量处理、传递个人信息越来越容易，个人信息遭到不当收集、恶意使用、篡改的隐患也随之增多。为了遏制这种现象，世界上已有50多个国家和地区制定了相应的个人信息保护法律。可见，通过立法建立个人信息保护制度是大势所趋[2]。

随着我国市场经济水平和科学技术的不断发展以及社会的不断进步，也同样伴随着一些新的犯罪现象的产生，公民个人信息的泄露作为其表现之一也面临了对其有效保护的新困境。在我国目前的法律体系中由于缺乏保护公民个人信息可行而完善的规定，导致公民个人信息的有序流通得不到强有力的法律保障。因此，《中华人民共和国刑法修正案（七）》关于“非法泄露公民个人信息罪”的修订和出台具有深远的意义。

然而，刑法也是一把双刃剑。虽然我们说法律总是处在不断的变化之中，刑法之网也需要在变化之中完善，这样才能加大对犯罪的打击，但如果打击面过于宽泛，那么也越容易对公民的权利造成侵害，特别是刑法规范内涵的不确定性，使得专业律师也无法明白罪与非罪的界限，更不用说普通的老百姓了。[3]笔者认为这次修正案中规定的“非法泄露公民个人信息罪”就存在内涵不清外延模糊的情况。该修正案规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取、收买或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。”[4]

那么公民的哪些个人信息是不能泄露的？笔者认为这是一个很难解决的问题，至少在该修正案中是界限不清的。因为目前我国的法律中还没有关于个人信息的专门规定，该修正案中虽然有“违反国家规定”这几个字，但国家如何规定却是一片空白。因此，哪些信息是可以公开的，哪些信息是需要保密的，现在谁也说不清楚，既然谁也说不清楚，那么到时候法官将如何适用法律？一条不能恰当有效适用的法律，其存在的意义又在哪里？法无明文规定不为罪的原则又何以适用？

正是基于以上思考，笔者期望能以有限的知识对《中华人民共和国刑法修正案（七）》关于泄露公民个人信息罪意义和存在的不足作一些探讨，以期能有所启示和收获。

刑法修正案（七）第七条规定：对“国家机关、电信、交通、教育、医疗、金融”等单位工作人员非法泄露公民个人信息的行为进行严惩。并且新增了惩罚非法泄露公民个人信息的条款，这引起社会和舆论的广泛关注。认为“用刑事责任这样一种最严厉的威慑手段，将会对个人信息保护起到一个根本性的保障作用”[5]。笔者认为，以立法的形式建立个人信息保护制度具有深远的意义，它是我国个人信息保护制度发展的一次重大进步，就“非法泄露公民个人信息罪”及社会发展的现状和趋势而言，其意义不容置疑。

（一）“非法泄露公民个人信息罪”的现实意义

1、在我国目前尚无关于公民个人信息保护的相关法律规定的情况下，刑法修正案第七条所规定的“非法泄露公民个人信息罪”无疑具有里程碑的意义：一方面，这必将引起人们的关注和思考，从而推动社会的法治进程：另一方面，刑法上关于公民个人信息保护的规定也必然牵动其它部门法对公民个人信息保护的立法和完善。

2、从刑法角度确认了公民拥有个人信息保密的权利，而不是成为一种被非法用来牟利的工具。也正是从这个角度来看，它的出台，意味着针对个人信息泄露的公民维权战争已经打响，每一个公民的私人信息都将得到刑法的尊重和保护。[6]

3、刑法修正案第七条在保护公民个人信息方面将此种犯罪的行为主体重点锁定为国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，基本上切中了要害。因为我们知道，在目前国内的社会状态下，能够大批量搜集公民个人信息的大多为国家机关及金融、电信、交通等强势部门或单位。由于这些部门或单位有能力，也有动机获取和支配公民的个人信息，因此它们也最容易自觉或不自觉地成为公民个人信息泄露的侵权主体，因此，其立竿见影的效果也必然会得以显现。

4、刑法修正案第七条将侵犯公民个人信息构成犯罪的客观要件限定为非法信息交易及采用窃取、收买等非法手段获取公民个人信息的行为，体现了刑罚的有限性和谦抑性原则。因为在实践中，侵犯公民个人信息安全的行为远不止该条所描述的行为类型，而且从法益侵害的严重性来说，该种行为类型也不一定是最严重的。但是由于刑罚并不是保护公民个人信息不被泄露的唯一手段，甚至不是主要手段，故不能将保护公民个人信息的任务完全寄托于刑法。

（二）“非法泄露公民个人信息罪”基于现实的趋势意义

1、有利于保障国家信息化进程，推动电子商务、电子政务的发展。因为将非法泄露公民个人信息定为犯罪行为，能有效遏止目前个人信息泄露泛滥的局面，从而确立个人信息保护制度的基础[7]。因为随着信息技术的发展，通过与相关信息结合可识别出个人的信息，便可以勾画出一个人的全貌或者把握其某一方面的特征，从而降低了电子商务或电子政务的风险，进而有利于促进国家信息化进程。

2、促进信息的共享与自由流动。个人信息不得非法泄露，一方面需要保护个人权利；另一方面，又不能阻碍正常的信息流动，加大市场主体的交易成本。尤其在信息时代，信息作为战略性资源，其自由流动具有重要的基础性意义。在我国，部门之间信息封锁、缺少信息共享是非常普遍的现象。这种现象的形成有着非常复杂的原因，其中一个重要原因就是缺少对个人信息的充分保护。因此，通过立法建立完善的个人信息保护制度，在个人信息得到充分保护的前提下，必然能够大大地促进信息共享与自由流通。

诚然，刑法修正案（七）规定“非法泄露公民个人信息罪”是社会的一大进步，然而它毕竟只是一部单行部门法，在现今的复杂社会形式下，一项权利真正的实现更多地还需要我国法律体系的整体性保护。而且，作为这样一个“单兵突击”的法条规定，它本身的内涵和外延在适用中仍存在不足。

（一）本罪的对象是否只限于行为人已经采取了保密措施的信息，这点在修正案中没有具体指出[8]。笔者认为，不应当将是否采取保密措施作为判断是否属于个人信息的标准，因为个人信息不同于国家秘密和商业秘密，它是每个人都有的，具有普遍存在性，且如果以采取保密措施为要件，无疑增加了普通公民的负担，公民的这项权利应该是国家主动进行保护的，而无论公民个人是否采取了保密措施。

（二）从长远看，其主体范围过窄。该修订仅限于“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，而世界各国和地区的相关法律中通常只强调行为人的目的和动机，或强调获取信息是由其工作或职务性质所决定的，而极少对行为人所处的岗位或领域做出限制。事实上，对公民个人信息的侵害并不仅限于金融、电信、交通、教育、医疗等领域，其他单位(例如中介机构、法律服务机构等)中的工作人员也同样可能实施严重侵害公民个人信息的行为，如不将之纳入打击范围，似乎与立法的初衷和宗旨存在差距。且实践中很多情况下是单位泄露个人信息以牟利，故建议将犯罪主体扩大，而不是局限于某些单位的工作人员。

（三）本罪的调查取证比较困难，特别是如何有效地证明相关单位的工作人员在履行职责的过程中，实际出售或者非法提供了他人的信息，并非一件容易之事。如果没有相应的调查取证措施，本条规定的具体实施便会困难重重了。笔者认为，针对这种情形，必要时可以引入举证责任倒置原则。

（四）在整个法律系统内部没有相关的配套规定予以支持。比如没有相关的行政处罚和民事制裁措施，在对违法行为的规制上难免会出现断层的现象。只靠刑法这种“单兵突击”式的手段来制止个人信息外泄的现象恐怕有些力不从心。

（五）当个人利益和社会公益出现冲突时，存在应如何选择适用的问题。我们保护了个人信息，但是如果为了公共利益需要牺牲掉一部分的个人信息权时，法律应如何做出选择，修正案没有对此作出具体的规定。如网上的“人肉搜索”现象，这种游离于法律与道德边延的社会事实和现象又该如何处理？法律也需要有扬有弃，以真正实现社会的大和谐。

个人信息保护需要的不仅是一部宏观意义上的“母法”或者是一个“单兵突击”的法条，更要求构建起一个宏观和微观结合的法律法规体系。唯有如此，才能为公民个人信息权提供全面的保障。

同时，我们国家作为一个社会信息化程度相对较低的国家，信息立法首先面临着信息种类和范围的界定难题。从概念上讲，凡一切与公民个人相关的资讯都应属于个人信息，但对于立法而言，只能将其中的部分信息纳入保护范围，如何划分这个界限就考验着立法者的智慧。是为应受法律保护的个人信息设置具体的标准，还是深入实践排列出个人信息的具体类别，是抽象化地对一般人信息作出规范，还是区分性地对公众人物的信息进行单行规范，这些难题都应当进行科学的论证。

（一）表述形式，需用司法解释来加以细化[9]

其一，公民个人信息安全的界定需要细化，怎样理解 “情节严重”需要明晰；其二，犯罪主体范围尚可拓宽，而非局限于国家机关、金融、交通等领域，仅涉及工作人员不全面，泄露个人信息除个人行为外，企业、单位也应被纳入行为主体；其三，掌握个人信息的国家、企业、组织在什么情况下可以向第三者提供个人信息，什么时候是合法的，什么时候是不合法的，等等，都需要明确。

（二）对个人信息进行分类处理[10]

1、所谓个人信息，是指现实生活中“能够识别特定个人的一切信息”，其范围很广，包括姓名、年龄、体重、身高、医疗记录、收入及消费和购买习惯、婚姻状况、教育背景、家庭住址、电话号码、声频、音频文件、指纹、档案等。个人信息实际上是人权的基本内容。

2、将严重侵权的“人肉搜索”行为在刑法中予以规范。“人肉搜索”泄露公民姓名、家庭住址、个人电话等基本信息，同样是严重侵犯公民基本权益的行为，应当将“人肉搜索”这些可能导致实体侵权行为在刑法中予以规范。诚然，将“人肉搜索”入罪，必须明确其限度，突出其引导功能。因为，网民将涉嫌违法、违纪或道德上存在严重问题的人和事以及相关信息客观、真实地在网上发布，供社会公众评判，既能满足全体国民的知情需求，也有利于社会的进步和公共利益的实现。

另外，可考虑成立专门的执法机构：个人信息保护办公室，并设置信息专员。个人信息被侵犯后，可向个人信息保护办公室提出申诉。[11]

（三）建立相应的法律法规，形成保护公民个人信息的法律体系

通过建立相应的法律法规，使得公民个人信息的保护能形成一个有效的法律保护网。并使消费者的信用数据被合法的征信机构真正用于信用目的，从而避免出现以保护个人信息为由，限制采集信用数据或是以信用体系建设为由而损害消费者隐私权情况的发生。

（四）增强立法的可操作性和公民信息权的可救济性

增强立法的可操作性和公民个人信息权的可救济性，也是个人信息立法所必须考虑的重要问题。[12]从以往经验看，一部法律的出台不仅要在价值观上满足公众的期待，更要在实践中能解决人们的实际难题。个人信息保护立法必须在确立起一个法律制度框架的同时，于条文设计上注重规范的可操作性，不仅规定公民个人信息的权利范围和对个人信息的保密义务，更需要具体设定国家公权力的相关职责，明确违背职责和保密义务的法律后果。这样做的最终目的，在于为司法机关提供具体的可操作性规定，为公民信息权提供坚实的司法保障，以防止个人信息立法成为装饰性的“花瓶立法”。

---