在网络安全法全面施行的时代背景下,最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《解释》),这是“两高”首次就侵犯公民个人信息犯罪出台专门司法解释,构成了网络安全法的重要机制配套,体现了两者内在的逻辑互动,深刻反映了网络安全法对刑事司法走向的重大影响。
目前,侵犯公民个人信息犯罪呈现高发态势,但其定罪量刑在刑事立法层面缺乏明确、精准的规定,难以有效指导司法实践。基于这一实践需求,为了依法惩治犯罪,保护公民权益,结合网络安全法的基本立法精神,《解释》以共计13条的内容对于当下个人信息刑事保护领域的重点焦点问题作出了系统而有力的回应,其中若干基本问题具有高度的理论与实践意义。
个人信息定义等问题深度检视
其一,有关公民个人信息的定义。刑法修正案(九)将刑法修正案(七)中增设的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,进一步规范了入罪处刑的标准,然而对于部分概念如“公民个人信息”缺乏明确的界定,导致在法律适用问题上出现了一些分歧。
网络安全法的出台为此提供了重要的解释依据,其第76条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”在此基础上,《解释》基于司法实务的迫切需要和民众认知水平的客观实际,对于反映特定自然人活动情况的信息例如行踪轨迹作了特别的提示性规定,《解释》第1条规定,公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
这一定义进一步厘定了公民个人信息的范围,明确提示身份识别信息也包括特定自然人的活动情况信息,有效地反映了网络技术的发展态势,顺应了打击犯罪的实践需求,也助益于受网络安全法约束的各单位主体正确判定合规对象的注意范围。
其二,就“国家有关规定”的界定。刑法第253条之一明文规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”同时还规定了从重处罚的情形:“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。”
在刑法修正案(九)之前,相关内容的条文用语是“违反国家规定”,而刑法修正案(九)将其改为“违反国家有关规定”。《解释》对于“国家有关规定”又作出了列举式的说明,其第2条规定,违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第253条之一规定的“违反国家有关规定”。
这一解释明确将部门规章纳入刑事评价得以凭借的规范范围,旨在应对个人信息保护领域现行规范供给相对短缺的实际情况,呼应了网络安全法有关技术要素、组织管理和在线内容三维整体安全观的精神内核,助益于受网络安全法约束的各单位主体在当代罪刑法定主义精神的指引下,对于可能产生刑事意义的部门规章给予更进一步的甄别追踪,提高刑事风控的工作质量。
单位主体刑事风险控制策略
随着新一代信息技术的普及应用,各类单位主体所运营的在线平台成为人们日常生活中不可或缺的重要部分。在网络安全法有关公民个人信息保护的制度框架下,他们作为掌握个人信息的主要主体,同时也是网络平台的建立者、管理者和利益享有者,势必承担重要的主体责任。对于他们而言,在网络安全法总体制度的指引下,《解释》成为管理日常运营工作、处理个人信息相关刑事问题更具针对性的法律指南,其规范设计事实上也为他们的刑事合规与风控工作提供了诸多有益的工作抓手,主要体现在以下几个方面——
首先,《解释》对于刑法条文具体概念的明确定性,有助于各类单位主体精确厘定业务对象的范围。根据《解释》第1条对于“公民个人信息”的范围框定和第2条对于“国家有关规定”的规范确认,各类单位主体可以确定业务运营中涉及的个人信息类型划分以及评估相应的信息处理操作要求,从而对明确的业务对象开展有针对性、符合网络安全法的业务活动。
其次,《解释》对于相关犯罪定罪量刑标准的精确规定,有助于各类单位主体提高指向业务模式的刑事合规水平:《解释》第3条明确“提供公民个人信息”包括“向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息”和“未经被收集者同意,将合法收集的公民个人信息(除经过处理无法识别特定个人且不能复原的)向他人提供的”等行为模式;第4条指出“以其他方法非法获取公民个人信息”包含“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息”等行为方式;而第5条和第6条分别规定了“非法获取、出售或者提供公民个人信息”和“为合法经营活动而非法购买、收受本解释第5条第1款第3项、第4项规定以外的公民个人信息”这两种行为的情节严重情形。
上述内容与网络安全法有关个人信息处理的制度规则有着高度的逻辑衔接,有助于各类单位主体在网络安全法一般制度要求的基础上进一步设计与公民个人信息提供、购买、收受以及交换等行为相关的业务合规策略,在刑事法律底线内合理使用个人信息、开展业务活动。
再次,《解释》的出台还有助于受网络安全法约束的各单位主体建设刑事风险的隔御架构:
例如,《解释》第7条明确规定了单位犯罪的刑罚适用问题:“单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。”第10条明确规定了免责事由:“实施侵犯公民个人信息犯罪,不属于‘情节特别严重’,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。”以这两条解释为规范指导,各类单位主体可以更好地建立单位刑事责任的阻隔机制,从而实现在正当情况下减轻乃至消除自身主体责任的目的;与此同时,《解释》第12条规定了判处罚金的具体考量标准,以“犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等”作为罚金刑的判定依据,也为各类单位主体建立有关罚金刑的风险管控机制提供了可能。
而且,《解释》第8条和第9条还分别对非法利用信息网络罪和拒不履行信息网络安全管理义务罪两个罪名的司法适用作了特别规定,指出非法利用信息网络罪的表现形式可以是“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重”的行为,而拒不履行信息网络安全管理义务罪可以是“拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果”的行为。有关这两项罪名的特别解释,既是对网络安全法相关条文的专业细化,也能指导作为网络运营者的各类单位主体构建其关联犯罪的反制机制,等等。
总之,在网络安全法规范体系的价值指引下,《解释》的具体条文指出了各类单位主体提升刑事风控能力的进路,形成针对业务管理、产业发展的风控规则,降低了触发刑事责任风险的可能,进而实现组织体良性有效的自我约束和自我管理。
(作者单位:北京师范大学刑事法律科学研究院)
