作者:北京師范大學刑事法律科學研究院 吳沈括 石嘉黎
在網絡安全法全面施行的時代背景下,最高人民法院、最高人民檢察院發布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(下稱《解釋》),這是“兩高”首次就侵犯公民個人信息犯罪出臺專門司法解釋,構成了網絡安全法的重要機制配套,體現了兩者內在的邏輯互動,深刻反映了網絡安全法對刑事司法走向的重大影響。
目前,侵犯公民個人信息犯罪呈現高發態勢,但其定罪量刑在刑事立法層面缺乏明確、精準的規定,難以有效指導司法實踐。基于這一實踐需求,為了依法懲治犯罪,保護公民權益,結合網絡安全法的基本立法精神,《解釋》以共計13條的內容對于當下個人信息刑事保護領域的重點焦點問題作出了系統而有力的回應,其中若干基本問題具有高度的理論與實踐意義。
個人信息定義等問題深度檢視
其一,有關公民個人信息的定義。刑法修正案(九)將刑法修正案(七)中增設的“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”整合為“侵犯公民個人信息罪”,進一步規范了入罪處刑的標準,然而對于部分概念如“公民個人信息”缺乏明確的界定,導致在法律適用問題上出現了一些分歧。
網絡安全法的出臺為此提供了重要的解釋依據,其第76條規定:“個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”在此基礎上,《解釋》基于司法實務的迫切需要和民眾認知水平的客觀實際,對于反映特定自然人活動情況的信息例如行蹤軌跡作了特別的提示性規定,《解釋》第1條規定,公民個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。
這一定義進一步厘定了公民個人信息的范圍,明確提示身份識別信息也包括特定自然人的活動情況信息,有效地反映了網絡技術的發展態勢,順應了打擊犯罪的實踐需求,也助益于受網絡安全法約束的各單位主體正確判定合規對象的注意范圍。
其二,就“國家有關規定”的界定。刑法第253條之一明文規定:“違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,并處或單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。”同時還規定了從重處罰的情形:“違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,依照前款的規定從重處罰。”
在刑法修正案(九)之前,相關內容的條文用語是“違反國家規定”,而刑法修正案(九)將其改為“違反國家有關規定”。《解釋》對于“國家有關規定”又作出了列舉式的說明,其第2條規定,違反法律、行政法規、部門規章有關公民個人信息保護的規定的,應當認定為刑法第253條之一規定的“違反國家有關規定”。
這一解釋明確將部門規章納入刑事評價得以憑借的規范范圍,旨在應對個人信息保護領域現行規范供給相對短缺的實際情況,呼應了網絡安全法有關技術要素、組織管理和在線內容三維整體安全觀的精神內核,助益于受網絡安全法約束的各單位主體在當代罪刑法定主義精神的指引下,對于可能產生刑事意義的部門規章給予更進一步的甄別追蹤,提高刑事風控的工作質量。
單位主體刑事風險控制策略
隨著新一代信息技術的普及應用,各類單位主體所運營的在線平臺成為人們日常生活中不可或缺的重要部分。在網絡安全法有關公民個人信息保護的制度框架下,他們作為掌握個人信息的主要主體,同時也是網絡平臺的建立者、管理者和利益享有者,勢必承擔重要的主體責任。對于他們而言,在網絡安全法總體制度的指引下,《解釋》成為管理日常運營工作、處理個人信息相關刑事問題更具針對性的法律指南,其規范設計事實上也為他們的刑事合規與風控工作提供了諸多有益的工作抓手,主要體現在以下幾個方面——
首先,《解釋》對于刑法條文具體概念的明確定性,有助于各類單位主體精確厘定業務對象的范圍。根據《解釋》第1條對于“公民個人信息”的范圍框定和第2條對于“國家有關規定”的規范確認,各類單位主體可以確定業務運營中涉及的個人信息類型劃分以及評估相應的信息處理操作要求,從而對明確的業務對象開展有針對性、符合網絡安全法的業務活動。
其次,《解釋》對于相關犯罪定罪量刑標準的精確規定,有助于各類單位主體提高指向業務模式的刑事合規水平:《解釋》第3條明確“提供公民個人信息”包括“向特定人提供公民個人信息,以及通過信息網絡或者其他途徑發布公民個人信息”和“未經被收集者同意,將合法收集的公民個人信息(除經過處理無法識別特定個人且不能復原的)向他人提供的”等行為模式;第4條指出“以其他方法非法獲取公民個人信息”包含“違反國家有關規定,通過購買、收受、交換等方式獲取公民個人信息,或者在履行職責、提供服務過程中收集公民個人信息”等行為方式;而第5條和第6條分別規定了“非法獲取、出售或者提供公民個人信息”和“為合法經營活動而非法購買、收受本解釋第5條第1款第3項、第4項規定以外的公民個人信息”這兩種行為的情節嚴重情形。
上述內容與網絡安全法有關個人信息處理的制度規則有著高度的邏輯銜接,有助于各類單位主體在網絡安全法一般制度要求的基礎上進一步設計與公民個人信息提供、購買、收受以及交換等行為相關的業務合規策略,在刑事法律底線內合理使用個人信息、開展業務活動。
再次,《解釋》的出臺還有助于受網絡安全法約束的各單位主體建設刑事風險的隔御架構:
例如,《解釋》第7條明確規定了單位犯罪的刑罰適用問題:“單位犯刑法第二百五十三條之一規定之罪的,依照本解釋規定的相應自然人犯罪的定罪量刑標準,對直接負責的主管人員和其他直接責任人員定罪處罰,并對單位判處罰金。”第10條明確規定了免責事由:“實施侵犯公民個人信息犯罪,不屬于‘情節特別嚴重’,行為人系初犯,全部退贓,并確有悔罪表現的,可以認定為情節輕微,不起訴或者免予刑事處罰;確有必要判處刑罰的,應當從寬處罰。”以這兩條解釋為規范指導,各類單位主體可以更好地建立單位刑事責任的阻隔機制,從而實現在正當情況下減輕乃至消除自身主體責任的目的;與此同時,《解釋》第12條規定了判處罰金的具體考量標準,以“犯罪的危害程度、犯罪的違法所得數額以及被告人的前科情況、認罪悔罪態度等”作為罰金刑的判定依據,也為各類單位主體建立有關罰金刑的風險管控機制提供了可能。
而且,《解釋》第8條和第9條還分別對非法利用信息網絡罪和拒不履行信息網絡安全管理義務罪兩個罪名的司法適用作了特別規定,指出非法利用信息網絡罪的表現形式可以是“設立用于實施非法獲取、出售或者提供公民個人信息違法犯罪活動的網站、通訊群組,情節嚴重”的行為,而拒不履行信息網絡安全管理義務罪可以是“拒不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,致使用戶的公民個人信息泄露,造成嚴重后果”的行為。有關這兩項罪名的特別解釋,既是對網絡安全法相關條文的專業細化,也能指導作為網絡運營者的各類單位主體構建其關聯犯罪的反制機制,等等。
總之,在網絡安全法規范體系的價值指引下,《解釋》的具體條文指出了各類單位主體提升刑事風控能力的進路,形成針對業務管理、產業發展的風控規則,降低了觸發刑事責任風險的可能,進而實現組織體良性有效的自我約束和自我管理。
京公網安備 11010502049343號