侵犯公民个人信息罪的立法完善的路径探讨

　[作者简介]缪海英，广东增城市人民检察院。

　《刑法修正案（七）》的出台终于填补我国对个人信息保护的法律空白，但是这仅仅只是开始。目前我国的个人信息保护相关法律还比较欠缺，国外的实践经验也不一定适合我国的国情，因此还需要在个人信息保护领域不断地探索，力求不断完善我国的相关制度。
　　一、侵犯公民个人信息罪的立法现状
　　2009年2月28日，第十一届全国人民代表大会常务委员会第七次会议通过了《中华人民共和国刑法修正案（七）》（以下简称《刑法修正案（七）》），规定：“国家机关或者金融、电信、交通、教育医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。”“窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。”“单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”明确提出要追究出售、非法提供、窃取、非法获取公民个人信息行为的刑事责任。
　　立法之所以增设此罪，主要是基于弥补现行刑法规定不足的考虑。近年来，一些国家机关和电信、金融等单位在履行公务或提供服务活动中获得的公民个人信息被侵犯的情况时有发生，这种行为对公民的人身、财产安全和个人隐私构成了严重威胁，具有较为严重的社会危害性。但是，现行《刑法》中有关侵犯他人信息犯罪的规定只有第253条规定的私自开拆、隐匿、毁弃邮件、电报罪。由于其犯罪对象仅限于邮件、电报，那么，对于侵犯邮件、电报以外的公民个人信息的行为，就无法通过此罪来追究刑事责任。正因为我国现行《刑法》中尚没有惩罚此种行为的相应条文和罪名，从而导致司法实践中对于一些严重的侵犯公民个人信息行为只能在民事或行政层面上加以解决，而对行为人的行为无法运用刑罚加以制裁。这在一定程度上影响了对公民合法权益的保护，也不利于和谐社会的建构。①对此情况，应将这种行为规定为犯罪，追究行为人的刑事责任，才有可能预防和遏制此类犯罪行为的发生。
　　二、侵犯公民个人信息罪在司法实践中存在的问题
　　近几年，个人信息被泄露、被买卖、被违法利用已经成为社会热点问题。怎样保护自己的个人信息？怎样惩罚盗窃别人信息的人，成了大家关注的问题。但在实践中，侵犯公民个人信息的行为却屡禁不止，究其原因是一些人不怕被追究刑事责任。因为违法成本相比于既得利益，还是很“划算”——就算东窗事发，也就是被判几年刑，经济损失也不大。司法实践中对侵犯个人信息犯罪的认定有不少难点：一是取证较难。个人信息的泄露途径较多，有可能在银行、电信等部门，也可能在消费等环节，而究竟这些信息是在哪个环节被泄露的调查起来十分困难；二是条文规定还不够细致、全面。比如，非法获取公民个人信息罪要求“情节严重”才入罪，目前也没有明确的细则规定；而非法提供公民个人信息罪的犯罪主体也十分有局限，范围过窄。实践中比如各类事务所、职业介绍所、物业管理处等都可能实施相同行为，对这些主体应如何追究责任也是难点。②
　　三、完善侵犯公民个人信息罪的法律建议
　　（一）健全和完善相关法规
　　依照《刑法修正案（七）》第7条第1款的规定，行为人构成本罪，其客观行为必须是“违反国家规定”，即违反国家相关法律、法规、规章的有关规定。从刑法典中涉及“违反国家规定”的法条看，行为人所实施的行为必须为国家有关法律、规范所明确禁止。如果相关法律规范对该行为没有作出禁止性规定，即便该行为符合刑法典规定的某一犯罪的其他构成特征，但由于缺乏相关法律规范的规定，也不成立犯罪。由此可见，相关法律规范的禁止性规定是刑法中此类法条在司法实践中贯彻的前提和基础。就《刑法修正案（七）》第7条第1款的规定而言，国家关于公民个人信息安全保护的相关法规的规定情况直接影响着本罪成立与否的认定，进而言之，相关法规是否完备也决定着刑法的这一规定能否体现出其应有的立法价值。
　　从我国关于公民信息安全保护的相关法规的立法情况看，到目前为止，我国还没有建立起统一、完善的公民个人信息保护性法律体系。存在的主要问题是：
　　一是没有建立专门的个人信息保护法。就有利于公民个人信息安全的保护而言，个人信息保护法毫无疑问是最为基础和重要的法律。从国际社会的立法情况看，国际组织和一些区域性组织以及世界上大部分国家和地区均建立了完善的个人信息保护法。
　　二是涉及公民个人信息安全的法规零散，制定和发布主体不一，明显缺乏统一性和体系性。
　　三是部分法规虽然涉及到公民个人信息保护的一般性规定，但这些规定在立法技术上尚缺乏科学性。刑法典中规定的“违反国家规定”而构成犯罪的行为，在相关的法规中一般都有明确的进行刑事制裁的提示性规定。在相关法规中采用提示性的规定形式既有利于与刑法有关犯罪的规定相呼应，也能够引起有关人员的足够重视，从而起到预防犯罪的作用。
　　《刑法修正案（七）》出台以后，关于个人信息安全保护的刑事立法可以说已经走在了前边，这一规定对相关法规的健全和完善提出了迫切要求。因此，对个人信息保护起到基础性作用的个人信息保护法应当尽快出台，分散规定的法规、规章和规范性文件也应当进行必要的梳理，以便为刑法这一规定的贯彻和实施提供必要的法律依据。
　　（二）根据需要适当地扩大犯罪主体的范围
　　在《刑法修正案（七）》中，本罪的主体是以列举的方式出现的，特别强调的是负有信息保密义务的国家机关、金融、电信、交通、教育、医疗等单位工作人员的行为。这样规定的不足之处在于，随着社会发展，可以接触到并掌握大量个人信息的机构也明显增多，诸如电力、保险、旅游、新闻媒体等单位，还有各类会员制商家、猎头公司、调查公司、律师事务所、房屋中介等，现在都已成为掌握庞大个人信息的重要机构，如果只规定少数单位的工作人员，而没有将这些机构中的从业人员纳入本罪的主体范围，那么个人信息刑法保护的效果将会降低。因此，从长远来看，适当扩大本罪的犯罪主体范围是必要之举的。随着其他主体侵犯个人信息行为的增多和社会危害性的增强，特别是随着调整这些主体个人信息保护义务规范的健全和完善，在必要和可行的情况下，立法者或者司法者可以随时通过颁布立法解释和司法解释的形式，对侵犯个人信息犯罪的主体要件进行填充，视情况将非特定主体纳入刑法视野，以满足刑事调整的需求。③

（三）通过完善立法明确“个人信息”的含义
　　对于侵犯公民个人信息犯罪而言，明确本罪侵犯的对象即何为公民个人信息，对于刑法的准确适用非常关键。无怪乎几乎所有关注此罪的学者和刑事实践部门的人员，均强烈要求立法上明确界定个人信息的内涵和外延。但是，采取何种形式来加以明确界定呢？有学者建议，通过颁布司法解释的形式明确个人信息的内容；比较多的学者主张，在将来制定的《个人信息保护法》中专门增加一款，明确规定“公民个人信息”的概念与范围。④笔者认为，对于个人信息的主要内容，我们可以参照张新宝教授的总结，将其归纳为以下几点：1.个人家庭情况，如家庭成员的构成、婚姻状况、配偶及子女的基本情况、其它家庭成员的情况等等；2.自然人的基本自然情况，如性别、年龄、籍贯、出生地、既往病史、过敏史等等；3.个人生活习惯及既往生活经历，如婚姻史、犯罪史、工作习惯、消费习惯等；4.社会背景，如宗教信仰、教育程度、实践技能等。
　　（四）健全和完善刑事追究程序
　　有学者认为，由于个人信息权和诸如侮辱罪、诽谤罪、暴力干涉婚姻自由罪、虐待罪以及侵占罪等罪名保护的权利一样，在本质上属于公民的个人权利，对这些权利的侵犯其危害性总体上还较为轻微，因此应当借鉴上述5种犯罪的规定，将侵犯个人信息犯罪设计为“告诉才处理”的自诉追诉方式。⑤在举证责任方面，该学者基于侵犯个人信来自第一论文网息行为专业性和多样性造成取证困难的特点，主张在一定的限制条件下引入举证责任倒置的规则，使举证责任由自诉人向被告人转移，从而保证对该罪的有效处理。
　　对于上述学者的观点，虽然有一定的合理性，但是仍然存在不足，需要进一步的改善。域外，对侵犯个人信息犯罪的追诉方式不尽相同，比如英国采取的是公诉为主的追诉方式，而芬兰则以自诉为主。考虑到个人信息的法律性质及本罪的侵犯客体和危害性，笔者认为《刑法修正案（七）》将侵犯个人信息犯罪一概设定为公诉案件并不合理，应当借鉴国外的立法经验作出更加理性的变通。由于对个人信息的犯罪主要侵犯了公民隐私权等人格权益，因而作为强制性公法的刑法不应当主动介入，而应将对犯罪行为的追诉让位于公民个人决定，主要以自诉的方式进行追诉；只有当侵害行为严重破坏了国家利益和社会公共利益之时，才可由国家主动行使公诉权。而且，“以自诉为主，公诉为辅”能够节约司法资源，化解社会矛盾。
　　[注释]
　　①赵敏. 论个人医疗信息及其权利保护[J]. 重庆大学法学院法学报，2007.123；
　　②肖余恨.“首例侵犯公民个人信息罪”能威慑谁[Z].http：//（January 10，2010）.
　　③应云总.刍议我国公民个人信息刑法保护的立法完善[M]. 华东政法大学出版社， 2010.
　　④⑤肖余恨.“首例侵犯公民个人信息罪”能威慑谁[Z].http：//（January 10，2010）.