2009年《刑法修正案(七)》增设出售、非法提供公民个人信息罪和非法获取公民个人信息罪,率先确立了对个人信息予以全面保护的立法精神,但在规制对象与范围上稍显不足。而后《刑法修正案(九)》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,扩大了犯罪主体和侵犯个人信息行为的范围。随着《个人信息保护法》的实施,侵犯公民个人信息案件中附带公益诉讼的提起也变为常态。
【案情简介】2020年至2021年,秦某、李某利用其作为某航空公司客服代表的身份,通过窃取乘客舱单信息等方式,非法获取他人乘坐航班的行踪轨迹信息1900余条,并向张某、徐某等出售,获利17000余元。其中,张某非法购买他人行踪轨迹信息426条,其他信息78条,徐某购买他人乘坐航班的行踪轨迹信息192条,其他公民个人信息8条。最终,四人均因行为构成侵犯公民信息罪而被处以不等的刑罚【(2021)京0105刑初2759号】。同时,检察机关对秦某、李某提起附带民事公益诉讼。
【案件评析】该案是在对侵犯公民个人信息行为依法提起公诉的基础上附带公益诉讼的典型案例。公民个人信息不仅关乎公民个人隐私权,也关乎国家数据安全。当某种行为侵犯了不特定公民的个人信息之时,该行为对社会公共利益的危害性也日益凸显。就该案而言,有三个问题仍值得进一步探讨:第一,刑事诉讼附带公益诉讼的范围界定;第二,类似案件中公益诉讼的适格被告人范围界定;第三,《刑法》与其他部门法中的个人信息概念的区别与衔接问题。
关于第一个问题,学界主要有两种观点。扩张说认为,目前仅以《民事诉讼法》及相关司法解释为依据对受案范围进行判定的做法,不符合救济公共利益的需求,应当进一步探索在更多领域内运用此类诉讼的可能。限定说则认为,附带公益诉讼应当在不影响刑事诉讼的基础上进行,具体有:在诉讼提起上,应当严格以《民事诉讼法》为依据;在适用范围上,只有当“国家或社会公共利益”处于无人保护状态时,才能提起公益诉讼,即对象应当是不特定的。从司法实践来看,限制说更为合理:附带民事公益诉讼固然具有形式上的附随性,但应当注意附带民事公益诉讼实质上的独立性,即该诉仍属于民事诉讼,只不过由于受害人分散等原因,由检察机关等代位提起,这意味着公益诉讼的提起应当以《民事诉讼法》等部门法为依据。一般而言,《刑法》的“最后法”性质决定了其发动条件、适用范围较之其他部门法更为严格,贸然超越《民事诉讼法》之规定提起公益之诉并不妥当。对此,有学者指出,“民事上不保护的利益,如果形式上将针对此利益的行为定性为犯罪,公众的行动自由就会不当受限”。因而,即便确有利益缺乏合理保护,通过订立和完善前置法寻求解决方案更为妥当。
关于第二个问题,依据《个人信息保护法》之规定,适格的公益诉讼被告是“处理个人信息、侵害众多个人权益的个人信息处理者”。该项规定既作了主体限定,也规定了侵害的必须是多个人的权益。结合《刑法》相关规定,适格主体应当是违规处理个人信息且侵害多人权益的个人信息处理者。在本案中,出卖公民信息的秦某、李某因只有买受人提供的航班信息,故而在获取该次航班内所有乘员信息后一并出售,在“指定人员”之外附带了同班次内其他人员的行踪轨迹信息、个人信息等,毫无疑问侵害到了不特定人的个人信息,也因其工作的特殊性,二人均属于个人信息处理者,可作为公益诉讼的适格被告。而买受人张某、徐某之目的在于获取特定人员的行踪轨迹信息,在获取到除“指定人员”外他人的信息时,尽管此时其他人员的个人信息被利用的风险已经产生,但张某、徐某并未针对如上信息进行变卖、利用等行为,应当认为其侵犯的仍是特定主体的个人信息。同时,张某、徐某等也并不属于个人信息处理者,并非公益诉讼的适格被告。
关于第三个问题,应着重分析的是不同部门法中对公民个人信息的定义与分类均存在差别这一客观事实。诸如《民法典》《个人信息保护法》《网络安全法》等前置法律中,个人信息的核心特征是“可识别性”,而在《刑法》及相关司法解释中,除却“可识别性”这一特征,还包含有“涉及公民个人隐私”或“反映特定自然人活动情况”等要件。这种差异源于不同部门法的规范目的不同,《刑法》的相关规定因直接影响着侵犯公民个人信息行为的定罪与量刑,所以要求更为严格、描述更为精确。
《刑法》中对不同个人信息不同定性直接决定了《刑法》第253条中“情节严重”以及“情节特别严重”的认定,而其他部门法中对不同个人信息的定性则影响到“违反国家有关规定”的判断。在《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中,采取定性加定量的描述模式,将信息分为三类,依照不同类型的个人信息,分别设定了标准:非法获取、出售、提供行踪轨迹、通讯内容、征信信息、财产信息50条以上;住宿信息、通讯记录、健康生理信息、交易信息等其他可能影响人身财产安全的公民个人信息500条以上;除上述信息以外的其他公民个人信息5000条以上的,即构成《刑法》第253条之一所规定的“情节严重”。
以“敏感个人信息”的界定为例,《个人信息保护法》中的敏感信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息以及不满14周岁未成年人的个人信息,而《刑法》中的与之相对应的“敏感个人信息”则只涵盖行踪轨迹信息、通讯内容、征信信息、财产信息。《刑法》中对不同敏感程度的个人信息分类与其他部门法中的“敏感信息”界定之间存在交叉关系,但并不完全重合,这就可能造成适用上的混乱。以特定身份信息为例,在《个人信息保护法》中,特定身份信息属于敏感信息,故而非法获取、出售、提供这一信息的,属于“违反国家有关规定”,但特定身份信息并未在《刑法》中予以列举,故而无法适用50条以上即为情节严重的认定标准,适用500条还是5000条以上的认定标准,依然需要司法机关在实践活动中自行把握。与之类似的还有宗教信仰信息、不满14周岁的未成年人信息等,均未得到《刑法》明确规定,这样的不匹配现象也许会影响到司法活动的高效开展。因此,在《刑法》与前置法的衔接过程中,既要强调《刑法》“最后法”地位,正确进行信息类型的界分,也要注意避免因与前置法规范中分类不一致而产生法律适用上的混乱。
(作者单位:中南财经政法大学刑事司法学院)
