刑事保护是我国目前在个人信息保护领域应用最为活跃的法律机制。2017年6月1日,《网络安全法》以及最新刑事司法解释正式施行,我国个人信息保护刑事立法适用主体广、入刑门槛低、适用刑罚严厉的特点更为明确。在此背景下,准确理解立法制度与适用,对企业有效防范刑事风险至关重要。
一、 加速推进的个人信息保护刑事立法
有关公民个人信息保护的刑事规定,主要在《刑法》第二编分则,第四章:侵犯公民人身权利、民主权利罪中。1997年《刑法》中仅规定了侵犯通信自由罪(第252条)以及私自开拆、隐匿、毁弃邮件、电报罪(第253 条)。随着近几年公民个人信息受侵害现象越演越烈,在近年来刑事立法活动中,都将个人信息保护作为其中重要的修法内容。
2009年,《刑法修正案(七)(以下简称《刑七》)首次引入了个人信息保护新罪名。在《刑法》第253条中增加“出售、非法提供公民个人信息罪”以及“非法获取公民个人信息罪”。犯罪主体限定为特殊主体,包括:国家机关、金融、电信、交通、教育、医疗等单位及工作人员。
2015年,《刑法修正案(九)》(以下简称《刑九》)再次对刑法第253条作出修改完善:(1)扩大犯罪主体范围。任何单位和个人只要实施违法行为,情节严重的,都可构成犯罪;(2)量刑增加一档。在原有的“处三年以下有期徒刑或者拘役,并处或者单处罚金”基础上,针对“情节特别严重的”,量刑提升至“三年以上七年以下有期徒刑,并处罚金”。(3)增加从重处罚的情形。“将履行职责或者提供服务过程中获得的个人信息,非法出售、提供给他人的,适用从重刑。”修改后的罪名统一称为“侵犯公民个人信息罪”。
2017年5月,两高发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号,以下简称《解释》)。在个人信息保护刑事司法近十年实践经验的系统总结之上,《解释》对困扰司法实践的定罪量刑热点问题作出明确回应。
《刑(九)》第253条与《解释》是我国针对个人信息侵害行为,独立发展出的刑事规范完整体系,包括了个人信息罪的罪名罪状、定罪量刑标准、相关法律适用、甚至涉及诉讼中的举证责任分配问题。这在全球刑事立法及司法领域也数少见。在该领域,我国已然形成了具有鲜明国情特色的“中国样本”。
二、 我国个人信息刑事保护的主要特点
▌(一) 刑事司法最活跃
民事救济、行政监管、刑事打击是个人信息法律保护体系的三大支柱。我国在民、行、刑三领域的个人信息保护立法也均有建树。然而在法律适用领域,与民、行相比,我国个人信息保护刑事司法实践更为活跃。据统计,自2009年《刑(七)》引入个人信息刑事罪名到2016年12月,全国法院共审结出售、非法提供公民个人信息、非法获取公民个人信息刑事案件1433起,生效判决人数2112人。特别是2015年11月《刑(九)》生效以来,我国对侵犯公民个人信息犯罪呈高压态势,案件量显著增长,仅一年间审结464件,生效判决人数697人【1】。
刑事追责是我国当前个人信息保护领域应用最广泛深入的法律手段,这与欧洲推崇行政监管,美国倚重民事救济相比,具有鲜明特色。
▌ (二) 适用主体广
刑事责任是最严厉的法律责任,只规制严重侵害或威胁法益的行为,适用也往往更加谨慎。这也是《刑(七)》在最初引入相关罪名时,仅把犯罪主体限定为国家机关及特定行业单位及个人的主要出发点。实际上,从全球范围看,在建立有个人信息刑事追惩机制的国家,一般也会通过不同方式对罪名适用加以限制。例如:美国个人信息保护立法分散在金融、健康、征信以及儿童隐私等敏感信息领域,其中仅仅针对个人健康信息违法行为建立了刑事处罚。美国《健康保险隐私及责任法案》(Health Insurance Portability and Accountability Act,HIPAA)对犯罪主体限定为医疗机构及工作人员,并特别强调主观恶意,只有在明知故意、或欺诈、虚假陈述方式获得非法利益的情形下,才会被追究刑事责任。
相比而言,为进一步打击个人信息违法活动,我国《刑(九)》在适用主体范围上做出重要突破,“侵害个人信息罪”不再局限于国家机关、重点行业领域。任何个人、单位都有可能因非法获取、提供个人信息而被追究刑责。
▌ (三) 入罪门槛低
“情节严重”是我国将“违法提供、获取个人信息”行为入罪的核心标准。《解释》从信息数量、违法所得、信息用途、主观恶性、违法主体五个方面,对“情节严重”做了具象化的描述。从《解释》对五方面的界定标准看,我国对侵害个人信息罪的入罪门槛设定较低。以信息数量为例,对高度敏感个人信息——“行踪轨迹信息、通信内容、征信信息、财产信息”非法提供、获取的,数量达到50条即可入罪;如若是将履行职责或者提供服务过程中获得的此类信息出售或者非法提供给他人的,数量标准减半,25条即可入罪。
▌(四)适用刑罚较严厉
我国对个人信息罪的适用刑罚包括了人身自由刑和罚金两类。其中,第一档量刑在“处三年以下有期徒刑或者拘役,并处或者单处罚金;”,第二档量刑为“三年以上七年以下有期徒刑,并处罚金。”。
从国际比较而言,上述刑罚是较为严厉的。首先,目前仍有部分国家并没有就个人信息保护设立专门的刑事责任体系,而是仍停留在侵犯公民通信自由罪、非法入侵信息系统罪阶段。即使是针对个人信息保护,建立有刑事机制的国家,也通过不同方式对适用作出了限定。例如:(1)通过适用范围予以限定,如上述美国情形,仅针对医疗健康行业;(2)刑罚中仅包括罚金刑,不包括人身刑,如加拿大、爱尔兰;(3)或虽规定了人身刑,但在司法实践中绝大部分适用罚金刑,如英国、新加坡;(4)人身自由刑设置缓和,不超过1年或2年。如:德国、葡萄牙、荷兰等大部分欧盟成员国的刑法设定。我国近邻日本最高刑期不超过6个月【2】。
综上,我国的个人信息保护刑事政策是较为严苛的,在此背景下,准确理解刑事立法制度与适用,对企业有效防范刑事风险至关重要。
(责任编辑:安博涛)
