喻海松,最高人民法院研究室法官,法学博士。
摘要
《刑法修正案(九)》实现了刑法在网络犯罪领域的扩张,但相关规定的司法适用面临诸多难题。本文选取其中的侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪,从司法适用的视角,对所涉及的法律适用问题进行探讨。
关键词
网络犯罪 立法扩张 司法适用
适时修改完善惩治网络犯罪的法律规定,形成惩治网络犯罪的高压态势,是网络时代刑法扩张的应有之义。《刑法修正案(九)》突出了对网络犯罪的关注,多个条文与网络犯罪相关,涉及新增犯罪、扩充罪状、降低入罪门槛、提升法定刑配置和增加单位犯罪主体等多种方式。然而,《刑法修正案(九)》施行以来,网络犯罪相关规定争议不断,司法适用面临诸多难题。基于此,本文围绕侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪所涉及的若干问题,探究相关规定的司法适用,以求教于学界方家和实务同仁。
一、关于侵犯公民个人信息罪
在信息时代,“现代社会中每个成员自身的情况也已经是社会信息中不可分割的部分”。
〔
1
〕
特别是随着信息网络技术的不断发展,公民个人信息的安全性问题日益成为一个全社会关注的问题。为进一步加强对公民个人信息的保护,《刑法修正案(九)》将出
售、非法提供公民个人信息罪和非法获取公民个人信息罪整合成侵犯公民个人信息罪,扩大犯罪主体的范围,提升法定刑配置。
(一)“违反国家有关规定”的含义
在《刑法修正案(九)》之前,出售、非法提供公民个人信息的入罪前提要件是“违反国家规定”。而刑法第
96
条规定:“本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。”因此,对于出售、非法提供公民个人信息非法性的判断标准应当是“国家规定”,即立法机关制定的法律和国务院制定的行政法规等。考虑到对出售、非法提供公民个人信息“违反国家规定”尚存争议,《刑法修正案(九)》将“违反国家规定”修改为“违反国家有关规定”。
本文认为,“违反国家有关规定”不同于“违反国家规定”,前者的范围更为宽泛。我国尚未制定专门的公民个人信息保护法,但一些专门的法律、法规对特定领域公民个人信息的保护有专门规定。此外,违反部门规章等关于公民个人信息保护的规定的,也可以认定为“违反国家有关规定”。但是,“国家有关规定”宜限于国家层面的有关规定,不包括地方性法规的等非国家层面的规定。
(二)“公民个人信息”的范围
“公民个人信息”的范围把握,直接影响侵犯公民个人信息罪在司法实践中的正确适用。然而,刑法未对“公民个人信息”的范围作出明确,其他法律规定也缺乏对“公民个人信息”的统一规定。
1
.“公民个人信息”的“公民”如何把握?“公民”是一个严格的法律概念,也有着固定的内涵和外延。然而,对于刑法中“公民个人信息”的“公民”如何把握,特别是是否局限于中国公民(具有中华人民共和国国籍的人),还是包括外国公民、无国籍人在内,存在着认识分歧。
〔2〕
本文认为,公民个人信息犯罪中的“公民个人信息”,既包括中国公民的个人信息,也包括外国公民和其他无国籍人的个人信息。主要考虑如下。(
1
)从刑法规范用语的角度看,《刑法》第
253
条之一的用语是“公民个人信息”,但并未限定为“中华人民共和国公民的个人信息”,因此,从刑法用语的角度而言,不应将此处的“公民个人信息”限制为中国公民的个人信息。(
2
)外国人、无国籍人的信息应当同中国公民的信息一样受到刑法的平等保护,否则,会出现对外籍人、无国籍人个人信息保护的缺失,这显然不符合立法精神和主旨。从个人信息的刑法保护角度而言,“我国对中国公民、处在中国境内的外国人和无国籍人以及遭受中国领域内危害行为侵犯的外国人和无国籍人,一视同仁地提供刑法的保护,不主张有例外。”
〔3〕
基于平等适用刑法原则,无论是侵犯我国境内的外国人、无国籍人个人信息的刑事案件,还是我国境内危害行为侵犯境外的外国人、无国籍人个人信息的刑事案件,我国均享有当然的刑事管辖权,对于这类刑事案件没有理由不适用我国刑法。(
3
)从司法实践的具体情况看,将大量外籍人、无国籍人个人信息排除在刑法保护之外,无疑放纵了犯罪。特别是,对于一起侵犯公民个人信息犯罪案件所涉及的个人信息既有我国公民的个人信息,也有外国公民、无国籍人的个人信息的,只处罚涉及我国公民个人信息的部分,既不合理,也难操作。
2
.“公民个人信息”的“个人信息”如何把握?关于“个人信息”的含义,理论和实务界存在不同认识,主要有如下几种观点。
〔4〕
第一种观点认为,个人信息是指能实现对公民个人情况的识别,被非法利用时可能对公民个人生活和安宁构成损害和危险的信息。第二种观点认为,个人信息是指本人不希望扩散,具有保护价值,一旦扩散,可能对公民权利造成损害的信息。其中,有论者也从刑法第
253
条之一侵犯之法益的角度认为,个人信息具有个人隐私的特征。第三种观点认为,个人信息是指以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。本文认为,上述关于“个人信息”的不同观点,实际上涉及对“个人信息”的范围把握问题。对此,宜把握两个原则。
(
1
)从更为有效地保护公民权利的角度出发,对个人信息的范围不宜限制过窄。一方面,不宜将个人信息限定为个人隐私。个人信息不等同于个人隐私,即便个人信息已经公开,仍有可能成为公民个人信息犯罪侵犯的对象,如有关部门为救济、救助而公示的公民个人信息。另一方面,也不宜将个人信息限定为能够识别公民个人身份的个人专属性信息。换言之,公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份的信息属于“个人信息”的范围,但并非全部。综上,个人信息既包括个人的专属性信息,也包括涉及公民隐私的信息。
(
2
)对个人信息范围的把握,应当充分考虑与有关法律法规的协调和一致。全国人大常委会《关于加强网络信息保护的决定》第
1
条第
1
款规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”上述规定虽然不是直接针对《刑法》第
253
条之一规定的“公民个人信息”,但为准确把握“公民个人信息”提供了可资借鉴的基础。在此基础上,“两高一部”《关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字〔
2013
〕
12
号,以下简称《通知》)明确规定:“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”
本文认为,《通知》关于“公民个人信息”的界定较为合理,明确了公民个人信息主要包括能够识别公民个人身份的信息和涉及公民个人隐私的信息两大类,实践中可以据此予以把握相关问题。需要提及的是,对于“能够识别公民个人身份的信息”,应当理解为能够单独或者与其他信息结合识别公民个人身份的信息。例如,身份证号与公民个人身份一一对应,可以单独识别公民个人身份;而工作单位、家庭住址等无法单独识别公民个人身份,需要同其他信息结合才能识别公民个人身份。但是,上述两类信息无疑都属于公民个人信息的范畴。
(三)“情节严重”的认定
根据《刑法》第
253
条之一的规定,出售、非法提供公民个人信息,窃取或者非法获取公民个人信息,均以“情节严重”为入罪要件。如果未达到情节严重的程度,如系初犯,涉案公民个人信息数量较小,获利较少等,则不构成犯罪,可以根据具体情况予以行政处罚。
关于“情节严重”的具体认定标准,《刑法》第
253
条之一未作规定,
〔5〕
目前也未见相关司法解释对此予以明确。综合司法实践的具体情况,本文认为,可以从以下几个方面认定“情节严重”。
1.
公民个人信息的数量。如果出售、非法提供或者窃取、非法获取公民个人信息数量较大的,应当认定为“情节严重”。需要注意的是,各类公民个人信息的差异较大,在确定数量标准时应当区别对待。例如,手机位置、车辆轨迹等信息与公民人身安全直接相关,系高度敏感信息,对于此类信息的行为应当设置相对较低的入罪标准。
2.
违法所得的数额。从实践来看,不少侵犯公民个人信息案件,特别是出售和非法提供公民个人信息案件,其目的主要在于牟取经济利益。因此,应当以违法所得的数额作为衡量“情节严重”的标准之一。
3.
后果的严重程度。对于违反国家有关规定,将所获取的公民个人信息出售或者提供给他人,被他人用以实施犯罪,造成受害人人身伤害甚至死亡,或者造成重大经济损失、恶劣社会影响的,可以认定为“情节严重”。对于窃取或者以其他方法非法获取公民个人信息,造成其他严重后果的,也可以认定为“情节严重”。(
4
)行为人的一贯表现。对于以出售、非法提供或者窃取、非法获取公民个人信息为业,特别是曾因侵犯公民个人信息受过行政处罚或者刑事处罚又实施此类行为的,在认定“情节严重”时应当加以充分考虑。
二、关于拒不履行信息网络安全管理义务罪
为强化网络服务提供者的信息网络安全管理义务,《刑法修正案
(
九
)
》增设拒不履行信息网络安全管理义务罪,规定网络服务提供者不履行网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,构成犯罪:(
1
)致使违法信息大量传播的;(
2
)致使用户信息泄露,造成严重后果的;(
3
)致使刑事案件证据灭失,情节严重的;(
4
)有其他严重情节的。
(一)“网络服务提供者”的范围
根据《刑法》第
286
条之一第
1
款的规定,拒不履行信息网络安全管理义务罪的主体为“网络服务提供者”。本文认为,可以从提供网络服务和利用网络提供公共服务这两个角度把握“网络服务提供者”的范围。具体而言,提供下列服务的主体,应当认定为“网络服务提供者”:(
1
)网络接入服务、信息服务、数据中心服务、网络加速服务、上网服务、应用服务、域名服务等网络接入、存储、传输、应用服务;(
2
)利用信息网络提供的政务、金融、通信、交通、民航、教育、医疗、能源等公共服务。
从实践来看,网络服务提供者往往在各地设立分支机构和内部设立内设机构、部门。例如,某运营商是网络服务提供者,其在各地都有分支机构,但只有各省分公司具有法人资格,市级和县级分支机构未必具有法人资格。对于单位的分支机构或者内设机构、部门(特别是不具有法人资格的主体)拒不履行信息网络安全管理义务的行为,实践中如何进行责令改正、以及如何追究刑事责任,存在不同认识。本文认为,单位的分支机构或者内设机构、部门可以成为拒不履行信息网络安全义务管理罪的主体。主要考虑如下。第一,如果认为单位的分支机构或者内设机构、部门不能成为本罪的主体,则意味着实践中进行责令改正,须向单位进行责令改正。如对某运营商省公司的责令改正文书须向总公司作出,不具有可操作性。第二,对于单位分支机构或者内设机构、部门实施拒不履行信息网络安全管理义务犯罪,根据罪责自负原则,不宜由单位承担刑事责任,故应当将单位分支机构或者内设机构、部门作为刑事责任追究的对象。
(二)“经监管部门责令采取改正措施而拒不改正”的认定
根据《刑法》第
286
条之一第
1
款的规定,拒不履行信息网络安全管理义务罪的入罪前提为“经监管部门责令采取改正措施而拒不改正”。司法适用中应当妥当把握这一要件,既要防止打击面不当扩大,也要切实发挥本罪的威慑和教育功能。
1.
责令改正的主体和方式。根据《刑法》明确规定,责令改正的主体是“监管部门”。而根据《人民警察法》第
6
条和《计算机信息系统安全保护条例》第
6
条的规定,公安机关负责计算机信息系统安全保护的监管工作。基于此,责令改正的主体包括但不限于公安机关。例如,《计算机信息系统安全保护条例》第
6
条第
2
款规定:“国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。”据此,在国家安全部、国家保密局的职责范围内,其也可以成为责令改正的主体。需要进一步研究的是,责令改正的主体有无级别限制,是否任何级别的监管部门(如县级公安机关的派出所)均能责令网络服务提供者采取改正措施。本文认为,为规范责令改正行为,兼顾信息网络安全规制的现实需要,宜对责令改正的主体的级别作出限制(至少应当限于县级以上的监管部门)。此外,由于责令改正涉及刑事责任的追究,宜将责令形式限于法律文书形式。
2.
责令改正的对象。通常情况下,对于责令改正的对象不存在争议。需要注意的是,如前所述,单位的分支机构或者内设机构、部门可以成为拒不履行信息网络安全义务管理罪的主体。故而,单位的分支机构或者内设机构、部门不履行法律、行政法规规定的信息网络安全管理义务的,监管部门应当向单位的分支机构或者内设机构、部门责令采取改正措施。
3.
责令改正的内容。责令改正的内容与网络服务提供者的网络管理义务范围直接相关。从网络服务行业的长远发展而言,当前似不宜赋予其过重且事实上无法做到的义务要求。因此,责令改正的内容原则上应当具体明确,通常应当限于已经发生的危害行为。实践中,不宜作出“下次不得再出现违法信息”“一经出现违法信息马上删除”等抽象责令改正要求。
〔6〕
但是,这并不意味着责令改正的具体措施不能涉及防范未来可能发生的危害行为。例如,责任网络服务提供者采取特定措施,以筛查违法信息的,应当属于可以责令改正的内容。
4.
拒不改正的认定。通常情况下,在责令改正法律文书指定的期限内未采取改正措施的,应当认定为经监管部门责令采取改正措施而“拒不改正”。考虑到司法实践的情况较为复杂,应当认为存在例外,即有证据证明行为人确因自然灾害等不可抗力或者其他正当事由未知悉责令改正或者未及时采取改正措施的除外。
5.
免责规则的确立。考虑到信息网络服务安全的复杂性和高风险性,为使网络服务提供者不致于承担过重的安全责任,以激发从事信息网络服务的积极性,基于不作为犯罪的基本原理,对于网络服务提供者履行法律、行政法规规定的信息网络安全管理义务,或者虽未履行有关安全管理义务但根据监管部门的责令采取改正措施,仍然出现违法信息大量传播、用户信息泄露或者刑事案件证据灭失等情形的,不构成犯罪。
(三)入罪情节的把握
根据《刑法》第
286
条之一的规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正的行为,具有所列情形的,才构成犯罪。
1.
“致使违法信息大量传播的”的情形。对于“违法信息”,可以从信息内容和发布信息的目的两个角度加以判断。具体而言,含有法律、行政法规禁止的内容的信息,以及为实施违法犯罪活动发布并经监管部门责令处置的信息,应当认定为“违法信息”。而对于“致使违法信息大量传播”,可以从信息传播面和信息接收量两个方面加以判断。当然,考虑到本罪为不作为犯罪,行为人并未直接实施传播违法信息的行为,以及网络传播具有难以控制性,故应当较之直接传播行为的入罪门槛大幅提升,以确保刑事介入的谦抑。
2.
“致使用户信息泄露,造成严重后果”的情形。“用户信息”与“公民个人信息”存在交叉竞合,但不能等同。一般认为,用户信息是指用户在接受信息网络服务中被采集、存储、传输信息。具体而言,主要包括下列信息:(
1
)网络公民个人信息;(
2
)账号、密码、数字证书等用于确认用户操作权限的身份认证信息;(
3
)上网轨迹、交易记录、浏览记录、通信记录、位置记录等网络行为信息;(
4
)通信内容。本文认为,基于全面保护的原则,用户信息不限于不能被公开获取的信息。但是,对于经权利人同意发布、获取的信息,实际上不存在“泄露”的问题,故不作上述限制并不会导致刑事介入的宽泛。至于“造成严重后果”,可以根据用户信息的重要程度以及泄露可能造成的危害程度,从信息数量、涉及用户数量、损失数额等方面,认定是否致使用户信息泄露“造成严重后果”。
3.
“致使刑事案件证据灭失,情节严重”的情形。对于“情节严重”,可以主要从致使刑事证据灭失的次数和灭失的刑事证据涉及的案件类型等角度加以认定。例如,多次造成刑事案件证据灭失的,或者造成危害国家安全犯罪、恐怖活动犯罪、黑社会性质的组织犯罪、重大毒品犯罪或者其他严重犯罪的证据灭失的,可以考虑认定为“情节严重”。
4.
“有其他严重情节”的情形。从实践来看,可以从致使公共服务的信息网络遭受破坏、信息网络服务被用于犯罪以及经济损失等方面认定“有其他严重情节”的情形。例如,下列情形可以考虑认定为“有其他严重情节的”:(
1
)致使国家机关或者金融、电信、交通、教育、医疗、能源等领域提供公共服务的信息网络受到破坏,严重影响生产、生活或者造成恶劣社会影响的;(
2
)致使信息网络服务被多次用于犯罪,或者被用于危害国家安全犯罪、恐怖活动犯罪、黑社会性质的组织犯罪、重大毒品犯罪或者其他严重犯罪的;(
3
)致使造成特别重大的经济损失的。
三、关于非法利用信息网络罪
《刑法修正案(九)》增设非法利用信息网络罪,有针对性地对尚处于预备阶段的网络犯罪行为独立入罪处罚,规定利用信息网络实施下列行为之一,情节严重的,构成犯罪:(
1
)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;(
2
)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;(
3
)为实施诈骗等违法犯罪活动发布信息的。
(一)非法利用信息网络罪的客观行为界定
大量网络犯罪案件中,仅能查实行为人在网络上实施联络或者其他活动,对于网络下实施的各种危害性行为,很难一一查实、查全。因此,设立非法利用信息网络罪,目的是为了解决网络犯罪中带有预备性质的行为如何处理的问题,将刑法规制的环节前移,以适应惩治犯罪的需要。
〔7〕
可见,非法利用信息网络罪的实质是对网络犯罪预备行为独立入罪,实现预备行为实行化。因此,认定非法利用信息网络罪,只应要求行为人实施了相应的网上行为,即所设立的网站、群组用于实施违法犯罪活动,或者所发布的信息内容有关违法犯罪或者为实施诈骗等违法犯罪活动。至于行为人客观上实施了相应违法犯罪活动,属于网下行为,不应成为非法利用信息网络罪的构成要件内容;
〔8〕
而且,对于行为人实施了相应违法犯罪活动,符合《刑法》第
287
条之一第
3
款规定的,应当从一重罪处断。
此外,如后所述,帮助信息网络犯罪活动罪通常须以帮助对象构成犯罪为前提,适用空间有限。为此,应当充分利用非法利用信息网络罪以涉及违法犯罪活动的网站、通讯群组或者信息为对象的要件规定,尽量扩大适用空间。故而,对非法利用信息网络罪的客观行为方式界定为包括行为人“为自己或者为他人”非法利用信息网络的情形。而且,为他人非法利用信息网络设立网站、通讯群组或者发布信息,虽然也属于帮助信息网络犯罪活动的情形,但其本质上还是一种非法利用信息网络的情形,且非法利用信息网络罪与帮助信息网络犯罪活动罪的法定刑配置完全一致,故作出上述规定符合刑法第
287
条之一的规范涵义。
(二)“设立用于实施违法犯罪活动的网站、通讯群组”“发布有关违法犯罪信息”的认定
《刑法》第
287
条之一第
1
款第
1
项、第
2
项规定的情形为“设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的”“发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的”。
