热门站点
APP客户版
找律师、咨询律师、打官司, 就上好律师网
APP律师版
随时随地,接单服务,就在好 律师APP律师版
关注好律师微信
热点法律问题分析,尽在好律 师微信公众号
随着金融交易日益信息化,金融信息这一新兴名词随之出现。个人金融信息是指与公民个人开展金融活动相关的信息,包括因交易、监管、征信等活动而产生、采集的金融交易信息等。[1]金融信息化使得金融信息成为金融市场交易的物质和技术基础,个人金融信息安全与个人财产安全的关联度日益显现,个人金融信息安全也逐渐成为个人信息安全甚至是国家信息安全的重要方面。与此同时,非法利用个人金融信息现象频频发生,[2]其不但严重侵害了公民的隐私权和财产权,也破坏了金融管理秩序甚至威胁到了国家安全。对于近年来愈演愈烈之非法利用个人金融信息现象,我们在个案的推动和舆论的裹挟下,习惯性地遵循了从严、从重、从快打击某种“严重危害”社会现象的固有思维,无论是刑事立法抑或是刑事司法,均对非法利用个人金融信息行为进行了较为严厉甚至严苛的规制。
《刑法修正案(九)》明显加大了对非法利用个人金融信息行为的惩治力度:一是扩大了出售、非法提供公民个人信息行为的犯罪主体范围,将原来规定的“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”这些特殊主体扩展为一般主体,并对这些履行职责或者提供服务的人实施该罪予以从重处罚;二是降低了出售、非法提供公民个人信息行为的入罪要求,将原先规定的“违反国家规定”修订为“违反国家有关规定”;三是降低了非法获取公民个人信息行为的入罪要求,将原先“情节严重”的入罪规定予以删除;四是提高了侵害公民个人信息犯罪的法定刑,将原先的法定最高刑由3年有期徒刑提高为7年有期徒刑。由此,加大了对非法利用个人金融信息行为的刑法规制力度。然而,我们再一味强调从严、从重、从快打击某种“严重危害”社会现象的行为,往往会忽视对刑法规制力度和广度的适当把控,以至于可能阻滞某些社会经济活动的正常运转和发展,浇灭社会创新的星星之火,甚至剥夺公民的应有权利和自由。虽然规制非法利用个人金融信息行为的相关刑事立法已暂时尘埃落定,但问题不能就此而终结。作为理论研究者,我们应当时刻用谨慎、批判、发展的眼光来看待该问题本身,以期能够更好地发现问题的本质并提出更为完善的问题解决机制。我们在动用刑法规制非法我用个人金融信息行为过程中,应当特别注意刑罚扩大化的趋势,注意把握好刑法规制之限度。
一、个人金融信息保护与信息披露的冲突与制衡
庞德将法律秩序所保护的利益划分为三类:个人利益、国家利益和社会利益。[3]由于个人利益与国家利益、社会利益的不完全一致,因而出于对国家利益、社会利益等因素的考虑,各国在保护个人金融信息的同时,也确立了相关的例外规则,即信息披露原则。该原则实际上与个人金融信息的保护存在一定程度的冲突。在现代社会,个人金融信息作为信息社会的基本资源,不可避免地要对其迸行并发利用,故而在个人金融信息保护与信息流通之间就时常会出现冲突。个人金融信息保护与信息被露的冲突与制衡实际上决定了刑法对非法利用个人金融信息行为的规制限度。
(一)个人金融信息保护与信息披露的冲突
个人金融信息保护与信息披露的冲突在社会生活中体现在多个方面,只有充分了解和把握两着冲突之形态及本质,方能制定有效平衡个人金融信息保护与信息披露之权益关系的规则。
1.个人金融信息保护与信息披露冲突之形态。个人金融信息保护与信息披露在社会生活中的冲突主要体现为以下三个方面。
第一,个人金融信息保护与信用征信的冲突。个人信用信息是个人金融信息的重要组成部分。个人信用征信,是指“由第三方中介机构把分散在各商业银行和社会其他方面的个人信用信息进行汇总、加工和储存,形成个人信用信息数据库,最终为银行和社会有关方面系统了解个人信用和信誉状况提供服务。”[4]当用户以个人信用报告为据,与信息主体发生信用交易时,又会得到信息主体新的个人信息,这就意味着新的一轮信息流动又被启动。[5]由此可见,个人信用信息流动的过程就是收集、加工和处理个人信用信息的过程,在此过程中,个人的信用信息一直处于被利用或被披露的状态,也难免遭致各种泄露。这种利用或披露并使信用信息遭致泄露的过程实际上就与个人金融信息保护存在一定程度的冲突。
第二,个人金融信息保护与反洗钱的冲突。金融机构反洗钱措施中的金融交易报告制度、客户身份识别制度以及客户身份资料和交易记录保存制度等,对于个人金融信息的保护存在较大的影响。综观这些制度,其与个人金融信息保护的冲突主要体现在:对个人金融信息的保护要求银行履行其保密义务,不得随意披露客户的个人金融信息,但出于维护公共利益的考虑,又要求银行在客户的金融交易有可能涉及洗钱犯罪时对可疑的交易信息必须进行披露。由此就不可避免地产生了银行对个人金融信息保护义务与因反洗钱而产生的信息披露义务之间的冲突。
第三,个人金融信息保护与跨国银行并表监管的冲突。在金融全球化、一体化、自由化和集团化的趋势下,为了避免跨国银行的监管漏洞危及整个国际金融体系的稳健,各国纷纷提出了并表监管原则。[6]并表监管的有效实施,可以使任何国际银行及其跨境机构,无论在何地注册,均不能逃避监管;无论在何地经营,其所带来的风险均能在全球范围内得到评估和控制,故而能够最大限度地从整体上保证各银行机构安全稳健经营。[7]然而,在信息传输过程中,难免会泄露或披露银行客户的个人金融信息,由此也就难免会使得个人金融信息保护与跨国银行并表监管之间产生冲突。在外部主要表现为银行对金融信息的管制与监管机构对金融信息的需求之间的冲突;在内部则表现为信息披露监管与信息保护监管之间的冲突。[8]
2.个人金融信息保护与信息披露冲突之实质。个人金融信息保护制度是一种消极的保护制度,其主要是为了保护公民个人金融信息不被任意利用。而信息披露制度则是一种积极的披露制度,其主要是为了保障权利人对他人信息空间的介入权。于是便产生了这样一个事实:人们一方面希望自己的金融信息不被别人知晓或利用,但另一方面又希望知晓或利用他人的金融信息。在此情形下,这两种制度之间冲突的产生便难以避免。
笔者认为,金融信息保护制度与信息披露制度的冲突反映在法理中实际上可归结为以下两方面的冲突。一是信息经济性与信息自由性的冲突。个人金融信息迥异于其他个人信息之处就在于其因与公民个人的财产紧密相关甚至具有较大的财产价值而具有较强的经济属性。合法财产不受侵犯的法理要求我们必须保障具有信息经济性的个人金融信息不受肆意侵犯。但是在法律限度内追求和获取最大利益又是每一个人的正当权利,相关信息自由既是人的基本人权(包括寻求、获得、持有、传播和表达信息的自由),也是社会发展进步的需要。信息化社会根本离不开信息的自由流通和交流,金融交易秩序的维护和金融交易效率的保障也离不开对个人金融信息的适当披露。因此,个人金融信息保护与信息披露的冲突实质上也体现为信息经济性与信息自由性的冲突。二是隐私权和知情权的冲突。个人金融信息保护与信息披露冲突实际上还是隐私权和知情权的冲突。早在19世纪,恩格斯即已谈到了隐私权和知情权的冲突问题,其深刻地指出:“个人隐私应受法律的保护,但个人隐私甚至隐私与重要的公共利益——政治生活发生联系的时候,个人隐私就不是一般意义上的私事,而是属于政治的一部分,它不再受隐私权的保护,它应成为历史记载和新闻报道不可回避的内容。”[9]信息流动、共享的需求随着大数据时代的来临而愈发旺盛,这就不可避免地产生个人金融信息保护与披露共享的冲突。个人金融信息保护无疑体现了对隐私权的保护,而信息披露共享则表现为对知情权的保障。前者强调的是对个人金融信息的独占性、专有性,而后者则表现为对个人金融信息获取的积极性、开放性。一方面,消费者维护自我权益与金融机构追求利益相冲突。金融消费者总是想在交易中尽可能地获得最大的收益而最少地披露个人信息,而金融机构追求的是金融隐私共享带来的经济利益;另一方面,金融机构面临着信息披露与隐私保护义务的双向抉择。法律既要求金融机构披露必要信息,又要求强化金融隐私权保护,这就造成了金融机构义务履行及行为抉择上的两难。
(二)个人金融信息保护与信息披露的制衡
解决权利冲突、明晰权利边界的过程其实就是一个对存在冲突的利益进行制衡的过程。[10]笔者认为,为了实现个人金融信息的保护与信息披露之间权益关系的制衡,至少应当遵循以下两个原则。
1.利益相互协调原则。利益相互协调原则,是指当个人金融信息利益与其他利益发生冲突时,应综合考虑、衡量各方主体利益,根据利益的大小决定权利的配置。该原则适用的原理是:存在多种难以调和甚或不可调和的利益时,应寻找一个互不侵犯的法律边界,舍弃其中一个具有较少合理性的利益,而保存另一个具有更大合理性的利益。例如,司法机关基于反洗钱的需要,查询和调取某银行客户甲的所有个人金融信息,其中便存在个人金融信息利益与司法利益的冲突。在此情况下,就需要考虑所需要查询或调取的金融信息的范围是否合理,查询或调取后是否可以对相关信息进行严格保密,查询或调取之后是否会对该银行客户的隐私利益产生重大影响等。
2.信用信息流通原则。现代市场经济是建构于法治基础之上的信用经济,在防范金融风险、提高市场资源配置效率等方面,市场经济利益主体的多元化和高度发达的信用体系均发挥着较为积极的作用。现代商业社会发展要求信用必须从封闭逐步走向公开。信息时代对个人金融信息保护的基本原则应当是力求实现个人金融信息保护与信息披露的平衡,既要充分保护个人金融信息,又不能致使对个人金融信息的保护成为信息自由、合理流通的障碍。[11]应当看到,信用信息的流通是国家社会信用体系建立的必然要求,其既可以提高金融机构的交易效率,也可以促进消费、投资、融资等信用经济的发展,还可以强化金融机构的风险管理、防范金融危机。因此,必须秉持信用信息流通原则。
二、非法利用个人金融信息行为之刑法规制原则
个人金融信息保护与信息披露的冲突与制衡实际上要求对非法利用个人金融信息行为的刑法规制不能肆意而为,而必须保持一定的限度,遵循一定的原则,如此方能实现个人金融信息保护与经济社会发展的协调。笔者认为,非法利用个人金融信息行为的刑法规制应当遵循以下两个原则。
(一)不得侵犯公民个人的合法权益
国家对个人金融信息的利用必然会在某种程度上对个人的权益造成损害,但出于经济发展和社会进步的考虑,个人的权益也必须在某种程度上做出牺牲。当然,这种牺牲也是有一定限度的,在这种牺牲以法律的形式予以固定之后,司法中就不再允许以维护国家利益或公共利益为由,肆意侵犯公民的个人合法权益。对公民个人金融信息的刑法保护亦应如此。因此,我们在动用刑法对非法利用个人金融信息行为进行规制时,应严格遵循不能侵犯公民个人合法权益的原则。具体而言,遵循不能侵犯公民合法权益的原则需注意以下两个方面。
1.不能将合理利用金融信息的行为认定为犯罪。对金融信息的保护绝不能因噎废食,为了国家利益、社会公共利益、信息所有者本人的利益,以及其他人的合法自由和权益,合理、有效地利用金融信息也必然是我们所面临的问题。对个人金融信息的合理利用就是在尊重信息所有人的信息决定权、信息保密权、信息查询权、信息更正权、信息封锁权、信息删除权和报酬请求权的前提下,在信息收集过程中做到限制收集、保持完整正确以及目的明确的限制利用,同时要在保证个人金融信息安全的前提下,对金融信息进行充分合理的利用。[12]例如,在信息主体明确同意披露的对象、范围和内容的情况下利用个人金融信息就属于合理利用。只要在此限度内利用个人金融信息,就绝对不能用刑法加以规制。
2.不能将利用金融信息的民事侵权或行政违法行为均认定为犯罪。超过合理利用限度使用金融信息的行为,属于非法利用个人金融信息的行为。任何非法利用个人金融信息的侵权行为均应当承担相应的法律责任,包括民事责任、行政责任及刑事责任。然而,需要注意的是,使用个人金融信息的个人和机构违法获取个人金融信息,或者非法使用个人金融信息及未采用合理金融信息保密措施给他人造成损失的,并不一定就要承担刑事责任。如果仅具有很小的社会危害性,如对金融信息所有人造成的影响较小、没有引起社会秩序的混乱等,那么就仅需承担民事赔偿责任或行政违法责任。只有当非法利用个人金融信息行为具有严重社会危害性的情况下,方可追究其刑事责任。
(二)不能阻滞金融信息的合理使用与传播
基于公平、正义的立场,信息不对称的现实存在确实需要法律对金融信息主体予以一定程度的倾斜性保护,但加强保护绝不意味着可以阻碍个人金融信息的正常流动。如果因过度保护个人金融信息而阻碍了个人金融信息的正常流动,势必会大大降低金融交易效率、减损金融市场价值。[13]因此,对个人金融信息刑法保护必须考虑的问题是如何既能实现对个人金融信息的适度保护,又能充分发挥金融信息流动对金融市场的积极作用。笔者认为,遵循不能阻滞金融信息的合理使用与传播的刑法规制规则,应注重平衡个人金融信息保护与信息披露制度的关系,对个人金融信息的合理使用与传播范围应考虑法律授权、目的正当、客户同意、过程适当等因素。
1.个人金融信息使用与传播的法律授权。个人金融信息使用与传播的法律授权,是指有权获取个人金融信息的机关单位,查询或调取金融信息以及金融机构的配合行为均须是基于法律的强行性规定。根据制度经济学原理,权利制度的设计自然应当寻求最均衡的框架,并通过利益衡量确保各主体间合理地获取权益和分担风险。当出现基于社会公共利益的迫切需要而必须披露公民个人金融信息时,法律首先应当考量社会公共利益的优先原则,同时应当通过划定这种个人金融信息保护例外情形的边界以及所可能采取的能够最大限度降低侵害的具体措施。[14]法律强制性规范主要适用于政府基于其职能行使公权的情形,比如诉讼、反洗钱、查收税务等事项。当然,基于公共权力具有天里的扩张性,信息披露必须在法律程序的控制下行使。此外,我们应当严格禁止出现以维护社会公共利益或国家安全为名行侵害公民个人金融信息权之实的卑劣行径。
2.金融信息使用和传播基于保护公共利益的需要。维护公共利益的需荽是一项原则性要求,其在金融信息传递正当性要求中处于核心地位。此处的公共利益,在市场经济社会中,一般是指公共秩序的安全稳定、社会资源和机会的合理分配,以及公共道德的有力维护等。虽然我们已经通过法律的强制性规定确定了很多金融机构因公共利益而需要披露个人金融信息的情形,但这绝不意味着公共利益这一目的要求已不再重要。因为法律的强制性规定不但不可能穷尽一切有关社会利益的情形,而且还具有一定的滞后性,其势必无法及时跟上社会经济变化发展的步伐。况且,公共利益的涵盖面极为广泛,即便没有法律的强制性规定,金融机构仍可基于公共利益的需要而披露个人金融信息。此外,任何国家经济和科研的发展都离不开金融信息,故而科研机构为了科研需要且不超出科研目的并能对这些信息采取必要的安全、保密措施,那么对金融信息进行收集、处理、分析的行为,亦视为合理利用。当然,如果需要公开、删改某个个体的金融信息,则应先征得主体的同意。
3.金融信息的使用与传播经权利人的同意。被害人同意或承诺系超法规的违法阻却事由之一,同样,经过金融客户的同意或承诺,金融机构披露客户个人金融信息并不会侵害公民个人的金融信息权。金融客户可以支配信息被披露的内容以及被披露的金融信息的广度和深度,当然其前提是金融机构在传递信息前必须征得金融客户的同意或承金融客户的同意或承诺包括明示与默示两种情况。一般而言,在披露个人金融信息之前就应当取得金融客户允许或承诺可以披露其信息的书面同意。金融客户明示同意往往仅限于就特定金融信息向特定对象进行披露,但在特定的情况下,金融客户会被认为是默许披露其信息。默许的主要标准是通常的交易习惯或行业惯例。
4.金融信息传递过程的适当性。遵循上述例外规则使用或传播金融信息,虽然在目的上是合法的,但在金融机构传递金融信息这一具体操作过程中,仍然存在一些侵犯个人金融信息权益的隐患。比如,有权机关获取金融信息过量、金融机构传递信息的范围超过目的所需,以及金融机构将金融信息传递出去后的信息再保密问题。因此,为了全面维护金融客户在余融信息传递过程中的正当权益,应规定有权机关、金融机构履行一定的义务,以保证使用和传播过程的适当性。首先,为了维护金融客户的金融隐私权不被肆意侵犯,司法行政机关只能查询与公务活动有关的个人金融信息,与职务活动无关的个人金融信息不得查询,金融机构可以拒绝提供。此外,如果司法行政机关要求查阅的金融客户与金融机构按要求提取的金融客户的信息不符时,金融机构也可以拒绝提供。其次,即便为保证犯罪侦查的保密性,亦应当保证金融客户事后对其金融信息传递情况的知悉权,金融客户只有了解相关情况,才能知道自己的权利是否被侵犯,也才能实施救济行为。最后,基于法律强制性规定而进行的个人金融信息披露,法律必须同时明确规定个人金融信息获取机关应严格履行再保密义务,从而防止个人金融信息的不当泄露。
三、非法利用个人金融信息行为刑法规制具体标准的限定
根据上述原则的要求,应对非法利用个人金融信息行为的刑法规制进行限制,在规制这类行为时应把握好行为和情节这两个标准。对这两个标准的限定,决定了非法利用个人金融信息行为的刑法规制限度。正如前述,现行刑法当中能够规制非法利用个人金融信息行为的罪名主要是《刑法》第253条之一规定的侵犯公民个人信息罪。因此,对非法利用个人金融信息行为刑法规制具体标准的限定,主要落实到对侵犯公民个人信息罪的具体适用标准的限定上。
(一)行为标准的限定
非法利用个人金融信息行为构成犯罪,首先应具有一个行为标准方面的要求,即这里的“非法利用”有其独特的内涵和外延。笔者认为,非法利用个人金融信息行为中的“非法利用”,是指在“信息收集→信息传输→信息利用”的全部过程中实施的未经他人许可,对他人金融信息进行不当使用的行为,包括出售、提供给他人或自己使用等行为。
1.“出售”的限定。“出售”公民个人金融信息,是指以获取利益为目的将公民个人金融信息有偿转让给他人的行为。即使行为人最终并未取得对价或者获利较少,也并不妨碍对“出售”的认定。但是,此处的“出售”仅指非法出售。因为现代社会的经济状况日趋复杂多样,在合法合理的前提下,为促进金融交易效率的提高,以适当对价将公民个人金融信息进行交换的情况必然存在。虽然我国目前尚无类似国外的正规、合法个人信息交易平台的试点或相关制度,但社会生活中已经存在类似的经权利人同意的交易情况。对于这种个人金融信息交易行为,刑法就不应予以干涉。对此,《刑法》第253条之一规定的侵犯公民个人信息罪也仅将“违反国家有关规定”的“出售”行为纳入刑法规制范畴。
2.“提供”的限定。非法“提供”公民个人金融信息,是指掌握公民个人金融信息的单位或其工作人员,不以获得利益为目的,违反国家有关规定将个人金融信息提供给他人的行为。有学者认为,“非法提供行为包含了出售行为,二者并不能用‘或者’连接,而应当将出售行为与非法提供行为的规定直接表述为‘非法提供给他人’。因为‘非法提供’既包括有偿的非法提供,也包含无偿的非法提供,而出售属于有偿的非法提供行为,所以二者应是包容关系而非法条所体现的并列关系。”[15]笔者认为,法条将侵犯公民个人信息罪的行为方式表述为“出售或者提供”不无道理。就行为人犯罪目的而言,出售行为的目的在于获取经济上的利益,而非法提供行为可以基于获利以外的任何目的,如报复、感恩、为亲朋好友帮忙等;就立法初衷而言,二者所强调的侧重点也存在较大差异:“出售”强调的是获取经济上的利益,而非法“提供”强调的是基于其他目的而提供。可见,“出售”与非法“提供”应是各有侧重的并列关系。因此,在对非法“提供”行为进行认定时,应从公民个人私益的角度出发,以是否严重侵犯公民个人信息权来进行认定。
(二)情节标准的限定
基于我国法律体系的特殊性,相同的行为类型既可以是犯罪行为也可以是违法行为,故而需要通过行为程度来区分罪与非罪,而判断行为程度的重要标准之一即为情节。“情节严重”的限定或设置对于非法利用个人金融信息行为刑法规制的限定具有不可忽视的积极意义。笔者认为,在限定非法利用个人金融信息犯罪中的“情节严重”时,可以从行为次数、行为手段、信息数量等方面进行。
1.行为次数的限定。行为次数可在一定程度上反映出行为人的主观恶性及社会危害性。对于具体次数的认定,实践中普遍以三次作为“情节严重”的标准,如果之前因此受到过相关行政处罚而再次实施犯罪的,亦将其纳入到“情节严重”的衡量标准中。笔者认为,考虑到信息网络时代下个人金融信息体现出的资源价值性对社会更快更好的发展有着重要的积极意义,故而对于侵犯公民个人信息行为的刑法规制始终应当在保障信息自由流通与保护信息安全之间保持谨慎的态度。另外,刑法作为后置性的法律,应当体现出其谦抑性和补充性的特征,相应地为前置性法律留下立法空间。[16]因此,只有当违反国家有关规定出售或提供他人信息三次以上、窃取或以其他方法非法获取他人信息三次以上,以及因违反国家有关规定出售或提供个人信息、窃取或以其他方法非法获取他人信息而受到过二次以上行政处罚又实施的,才能认定为“情节严重”。此外,基于个人信息所具备的保护与保障的双重性质,以及侵犯个人信息犯罪的社会危害性相较于其他犯罪较轻,故而在将犯罪次数作为评价“情节严重”的要素时,还需要综合其他因素加以考量。
2.行为手段的限定。行为手段往往可以在很大程度上反映犯罪行为的社会危害性程度,故而也往往被作为判定情节严重的标准。因此,在认定侵犯公民个人信息罪时,也应当对行为手段有所限制。
笔者认为,只有行为人采取以下两种行为手段,方可认定为情节严重:一是行为人在非法利用个人金融信息行为过程中,使用暴力、胁迫手段,这些手段的存在可以作为情节严重的标准之一;二是通过围绕信息买卖的产业链组织来实施非法利用个人金融信息行为,[17]这种较为固定的产业链组织所涉及的侵害范围及危害程度均比零散的买卖信息严重,故而可以将其作为情节严重的标准之一。
3.信息数量的限定。由于非法利用个人金融信息犯罪存在一定程度的经济犯罪属性,因而司法机关势必会将行为人所利用的金融信息的数量作为情节严重的判断因素。笔者认为,信息数量不能单独作为判断情节严重的因素,其还需同时结合相关信息涉及的隐私程度来进行综合评判。因为将信息的数量与信息的隐私程度相结合考量,才能准确地反映一个行为的社会危害性程度。[18]对于那些隐私程度相对较低的个人信息,在设定入罪标准时,其入罪门槛应当相应提高,即应设定相对较大的信息数量作为“情节严重”的标准。此外,需要注意的是,如果行为人所侵犯的是单位的金融信息权,就不能认定为侵犯公民个人信息罪的“情节严重”。因为单位仅仅是法律拟制的人,本身就不存在人身权的问题。
4.损害结果的限定。随着信息网络的发展与普及,一旦个人金融信息被非法利用,金融信息权势必会遭受较为严重的侵犯。因此,对于行为人将获取的个人金融信息出售或者非法提供给他人,被他人用以实施犯罪,致被害人遭受重大经济损失抑或造成恶劣社会影响等情况的,往往会被视为“情节严重”。笔者认为,上述情况不应一概认定为情节严重,而应当分情况认定。因为大多数侵犯个人金融信息的犯罪都是在下游犯罪(例如盗窃、诈骗)发生之后,被害人才发觉金融信息被他人利用,故而往往经济损失难以计算。因此,对于那些当时就直接能够计算经济损失的,可以考虑将经济损失的大小作为“情节严重”的评定标准,但是如果因存在时间间隔而难以计算的情况,就不宜将其作为衡量标准,而应从是否引发下游犯罪进行考量。实际上,刑法之所以将非法利用个人金融信息行为纳入其规制范畴,正是由于大多数行为人会将获取的个人金融信息用于后续的诈骗、盗窃、敲诈勒索等犯罪,才使得公民的人身、财产安全面临严重威胁。故而对于那些难以计算经济损失的情况,只有当出售、非法提供的个人金融信息被用于实施下游违法犯罪活动时,才可以考虑认定为“情节”。
5.主观内容的限定。主观目的是评判行为人主观恶性的重要标准之一,故而也往往被司法机关作为判定“情节严重”的标准。在司法实践中,有的行为人明知他人会将信息用于后续的盗窃、诈骗等犯罪,仍然将其所获取的信息予以出售或提供给他人,这种情形中的行为人的主观目的体现出了更大的主观恶性,在排除行为人构成后续犯罪共同犯罪的情况下,可以将其视为“情节严重”。然而,有的行为人虽将自己所获取的信息予以出售或非法提供给他人,但其主观目的仅是单纯地为了获利或帮助朋友,有时甚至仅仅是基于盲目配合司法机关的调查(没有遵守国家有关规定便提供公民个人金融信息,事后查实该调查是违法的),这种情况则不能将其认定为“情节严重”。此外,如果行为人主观上不具有犯罪目的,那么无论造成何种后果,也不应将其行为认定为“情节严重”。
【作者简介】
李振林,华东政法大学法律学院。
【注释】
本文系华东政法大学校级科研项目“非法利用金融信息行为刑法规制研究”(14HZK001)、国家社科基金重大项目“涉信息网络违法犯罪行为法律规制研究”(14ZDB147)和国家社科基金一般项目“法秩序统一性视野中的刑民矛盾及其排除”(14BFX042)的阶段性研究成果。
[1]相对于个人信息,个人金融信息除了具有个人信息的一般特性夕卜,还具有其自身的突出特性,如因发生在金融活动中而具有显著的经济性、具有相当的信用性等。因此,对个人金融信息的刑法保护实际上也有其自身的突出特点。也正因为如此,我们需要特别突出对个人金融信息的保护。个人金融信息主要包括三方面的内容:一是身份信息,包括姓名、性别、出生年月日、家庭住址、电话号码、身份证号码等,信用卡用户或与银行有信贷关系的用户的身份信息还包括职业、本人月收入、文化程度、其他联系人等个人信息;二是交易信息,是指在与银行交易过程中形成的个人信息,包括存款账号、存款数额、银行卡账号、卡片有效期、交易金额、交易类型、特约商户编号、取款机POS号等;三是信用信息,是指与个人的借贷还款情况有关的信用状况。
[2]本文所指的非法利用个人金融信息行为是指因非法利用个人金融信息而侵害公民个人信息权、信用权或信息财产利益,破坏国家对个人信息保护制度的行为,其包含了不当泄漏、查阅、擅自篡改、损毁、出售、非法提供、非法使用和盗窃个人金融信息等行为。
[3]参见[美]E.博登海默:《法理学:法律哲学与法律方法》,邓正来译,中国政法大学出版社2004年版,第45页。
[4]钟楚男:《个人信用征信制度》,中国金融出版社2002年版,第78页。
[5]参见裴丽萍:《论个人征信过程中的问题及其法律调整——以法律关系为线索》,《华中科技大学学报(社会科学版)》2003年第6期。
[6]参见李仁真:《论国际银行的并表监管》,《经济评论》2000年第3期。
[7]参见李可新:《跨国银行并表监管的法律问题》,大连海事大学2006年硕士学位论文,第32页。
[8]参见陈义顺:《跨国银行并表监管与金融隐私权的冲突及制衡》,《海南金融》2007年第9期。
[9]中央编译局:《马克思恩格斯全集》第18卷,人民出版社1972年版,第511页。
[10]参见王克金:《权利冲突论——一个法律实证主义的分析》,《法制与社会发展》2004年第2期。
[11]参见齐爱民:《制定个人信息保护法的人权意义与经济功能》,《嘉兴学院学报》2007年第5期。
[12]参见王姝:《我国个人信息的保护与合理利用问题研究》;《重庆邮电大学学报(社会科学版)》2008年第3期。
[13]参见马运全:《个人金融信息管理:隐私保护和金融交易的权衡》,山东大学2014年博士学位论文,第26~28页。
[14]参见王强:《论公众人物隐私权》,《公民与法(法学版)》2010年第10期。
[15]孟传香:《公民个人信息疑难问题的刑法保护》,《山西省政法管理干部学院学报》2011年第6期。
[16]参见利子平、周建达:《非法获取公民个人信息罪“情节严重”初论》,《法学评论》2012年第5期。
[17]同前注[16],利子平、周建达文。
[18]参见金昌伟:《侵犯公民个人信息犯罪中情节严重的认定》,《人民司法》2011年第24期。
上一篇: 2016年度专利复审无效十大案件发布
下一篇: 浅谈股东资格的继承
您还可以输入140字
还没人评论,赶快抢沙发吧!
“国际消费者权益日” (World Con...
好律师
首次登录,您需要设置登录密码
请使用好律师APP扫码登录
扫码成功
请在手机上确认登录
聊天消息
非法利用个人金融信息行为之刑法规制限度
随着金融交易日益信息化,金融信息这一新兴名词随之出现。个人金融信息是指与公民个人开展金融活动相关的信息,包括因交易、监管、征信等活动而产生、采集的金融交易信息等。[1]金融信息化使得金融信息成为金融市场交易的物质和技术基础,个人金融信息安全与个人财产安全的关联度日益显现,个人金融信息安全也逐渐成为个人信息安全甚至是国家信息安全的重要方面。与此同时,非法利用个人金融信息现象频频发生,[2]其不但严重侵害了公民的隐私权和财产权,也破坏了金融管理秩序甚至威胁到了国家安全。对于近年来愈演愈烈之非法利用个人金融信息现象,我们在个案的推动和舆论的裹挟下,习惯性地遵循了从严、从重、从快打击某种“严重危害”社会现象的固有思维,无论是刑事立法抑或是刑事司法,均对非法利用个人金融信息行为进行了较为严厉甚至严苛的规制。
《刑法修正案(九)》明显加大了对非法利用个人金融信息行为的惩治力度:一是扩大了出售、非法提供公民个人信息行为的犯罪主体范围,将原来规定的“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”这些特殊主体扩展为一般主体,并对这些履行职责或者提供服务的人实施该罪予以从重处罚;二是降低了出售、非法提供公民个人信息行为的入罪要求,将原先规定的“违反国家规定”修订为“违反国家有关规定”;三是降低了非法获取公民个人信息行为的入罪要求,将原先“情节严重”的入罪规定予以删除;四是提高了侵害公民个人信息犯罪的法定刑,将原先的法定最高刑由3年有期徒刑提高为7年有期徒刑。由此,加大了对非法利用个人金融信息行为的刑法规制力度。然而,我们再一味强调从严、从重、从快打击某种“严重危害”社会现象的行为,往往会忽视对刑法规制力度和广度的适当把控,以至于可能阻滞某些社会经济活动的正常运转和发展,浇灭社会创新的星星之火,甚至剥夺公民的应有权利和自由。虽然规制非法利用个人金融信息行为的相关刑事立法已暂时尘埃落定,但问题不能就此而终结。作为理论研究者,我们应当时刻用谨慎、批判、发展的眼光来看待该问题本身,以期能够更好地发现问题的本质并提出更为完善的问题解决机制。我们在动用刑法规制非法我用个人金融信息行为过程中,应当特别注意刑罚扩大化的趋势,注意把握好刑法规制之限度。
一、个人金融信息保护与信息披露的冲突与制衡
庞德将法律秩序所保护的利益划分为三类:个人利益、国家利益和社会利益。[3]由于个人利益与国家利益、社会利益的不完全一致,因而出于对国家利益、社会利益等因素的考虑,各国在保护个人金融信息的同时,也确立了相关的例外规则,即信息披露原则。该原则实际上与个人金融信息的保护存在一定程度的冲突。在现代社会,个人金融信息作为信息社会的基本资源,不可避免地要对其迸行并发利用,故而在个人金融信息保护与信息流通之间就时常会出现冲突。个人金融信息保护与信息被露的冲突与制衡实际上决定了刑法对非法利用个人金融信息行为的规制限度。
(一)个人金融信息保护与信息披露的冲突
个人金融信息保护与信息披露的冲突在社会生活中体现在多个方面,只有充分了解和把握两着冲突之形态及本质,方能制定有效平衡个人金融信息保护与信息披露之权益关系的规则。
1.个人金融信息保护与信息披露冲突之形态。个人金融信息保护与信息披露在社会生活中的冲突主要体现为以下三个方面。
第一,个人金融信息保护与信用征信的冲突。个人信用信息是个人金融信息的重要组成部分。个人信用征信,是指“由第三方中介机构把分散在各商业银行和社会其他方面的个人信用信息进行汇总、加工和储存,形成个人信用信息数据库,最终为银行和社会有关方面系统了解个人信用和信誉状况提供服务。”[4]当用户以个人信用报告为据,与信息主体发生信用交易时,又会得到信息主体新的个人信息,这就意味着新的一轮信息流动又被启动。[5]由此可见,个人信用信息流动的过程就是收集、加工和处理个人信用信息的过程,在此过程中,个人的信用信息一直处于被利用或被披露的状态,也难免遭致各种泄露。这种利用或披露并使信用信息遭致泄露的过程实际上就与个人金融信息保护存在一定程度的冲突。
第二,个人金融信息保护与反洗钱的冲突。金融机构反洗钱措施中的金融交易报告制度、客户身份识别制度以及客户身份资料和交易记录保存制度等,对于个人金融信息的保护存在较大的影响。综观这些制度,其与个人金融信息保护的冲突主要体现在:对个人金融信息的保护要求银行履行其保密义务,不得随意披露客户的个人金融信息,但出于维护公共利益的考虑,又要求银行在客户的金融交易有可能涉及洗钱犯罪时对可疑的交易信息必须进行披露。由此就不可避免地产生了银行对个人金融信息保护义务与因反洗钱而产生的信息披露义务之间的冲突。
第三,个人金融信息保护与跨国银行并表监管的冲突。在金融全球化、一体化、自由化和集团化的趋势下,为了避免跨国银行的监管漏洞危及整个国际金融体系的稳健,各国纷纷提出了并表监管原则。[6]并表监管的有效实施,可以使任何国际银行及其跨境机构,无论在何地注册,均不能逃避监管;无论在何地经营,其所带来的风险均能在全球范围内得到评估和控制,故而能够最大限度地从整体上保证各银行机构安全稳健经营。[7]然而,在信息传输过程中,难免会泄露或披露银行客户的个人金融信息,由此也就难免会使得个人金融信息保护与跨国银行并表监管之间产生冲突。在外部主要表现为银行对金融信息的管制与监管机构对金融信息的需求之间的冲突;在内部则表现为信息披露监管与信息保护监管之间的冲突。[8]
2.个人金融信息保护与信息披露冲突之实质。个人金融信息保护制度是一种消极的保护制度,其主要是为了保护公民个人金融信息不被任意利用。而信息披露制度则是一种积极的披露制度,其主要是为了保障权利人对他人信息空间的介入权。于是便产生了这样一个事实:人们一方面希望自己的金融信息不被别人知晓或利用,但另一方面又希望知晓或利用他人的金融信息。在此情形下,这两种制度之间冲突的产生便难以避免。
笔者认为,金融信息保护制度与信息披露制度的冲突反映在法理中实际上可归结为以下两方面的冲突。一是信息经济性与信息自由性的冲突。个人金融信息迥异于其他个人信息之处就在于其因与公民个人的财产紧密相关甚至具有较大的财产价值而具有较强的经济属性。合法财产不受侵犯的法理要求我们必须保障具有信息经济性的个人金融信息不受肆意侵犯。但是在法律限度内追求和获取最大利益又是每一个人的正当权利,相关信息自由既是人的基本人权(包括寻求、获得、持有、传播和表达信息的自由),也是社会发展进步的需要。信息化社会根本离不开信息的自由流通和交流,金融交易秩序的维护和金融交易效率的保障也离不开对个人金融信息的适当披露。因此,个人金融信息保护与信息披露的冲突实质上也体现为信息经济性与信息自由性的冲突。二是隐私权和知情权的冲突。个人金融信息保护与信息披露冲突实际上还是隐私权和知情权的冲突。早在19世纪,恩格斯即已谈到了隐私权和知情权的冲突问题,其深刻地指出:“个人隐私应受法律的保护,但个人隐私甚至隐私与重要的公共利益——政治生活发生联系的时候,个人隐私就不是一般意义上的私事,而是属于政治的一部分,它不再受隐私权的保护,它应成为历史记载和新闻报道不可回避的内容。”[9]信息流动、共享的需求随着大数据时代的来临而愈发旺盛,这就不可避免地产生个人金融信息保护与披露共享的冲突。个人金融信息保护无疑体现了对隐私权的保护,而信息披露共享则表现为对知情权的保障。前者强调的是对个人金融信息的独占性、专有性,而后者则表现为对个人金融信息获取的积极性、开放性。一方面,消费者维护自我权益与金融机构追求利益相冲突。金融消费者总是想在交易中尽可能地获得最大的收益而最少地披露个人信息,而金融机构追求的是金融隐私共享带来的经济利益;另一方面,金融机构面临着信息披露与隐私保护义务的双向抉择。法律既要求金融机构披露必要信息,又要求强化金融隐私权保护,这就造成了金融机构义务履行及行为抉择上的两难。
(二)个人金融信息保护与信息披露的制衡
解决权利冲突、明晰权利边界的过程其实就是一个对存在冲突的利益进行制衡的过程。[10]笔者认为,为了实现个人金融信息的保护与信息披露之间权益关系的制衡,至少应当遵循以下两个原则。
1.利益相互协调原则。利益相互协调原则,是指当个人金融信息利益与其他利益发生冲突时,应综合考虑、衡量各方主体利益,根据利益的大小决定权利的配置。该原则适用的原理是:存在多种难以调和甚或不可调和的利益时,应寻找一个互不侵犯的法律边界,舍弃其中一个具有较少合理性的利益,而保存另一个具有更大合理性的利益。例如,司法机关基于反洗钱的需要,查询和调取某银行客户甲的所有个人金融信息,其中便存在个人金融信息利益与司法利益的冲突。在此情况下,就需要考虑所需要查询或调取的金融信息的范围是否合理,查询或调取后是否可以对相关信息进行严格保密,查询或调取之后是否会对该银行客户的隐私利益产生重大影响等。
2.信用信息流通原则。现代市场经济是建构于法治基础之上的信用经济,在防范金融风险、提高市场资源配置效率等方面,市场经济利益主体的多元化和高度发达的信用体系均发挥着较为积极的作用。现代商业社会发展要求信用必须从封闭逐步走向公开。信息时代对个人金融信息保护的基本原则应当是力求实现个人金融信息保护与信息披露的平衡,既要充分保护个人金融信息,又不能致使对个人金融信息的保护成为信息自由、合理流通的障碍。[11]应当看到,信用信息的流通是国家社会信用体系建立的必然要求,其既可以提高金融机构的交易效率,也可以促进消费、投资、融资等信用经济的发展,还可以强化金融机构的风险管理、防范金融危机。因此,必须秉持信用信息流通原则。
二、非法利用个人金融信息行为之刑法规制原则
个人金融信息保护与信息披露的冲突与制衡实际上要求对非法利用个人金融信息行为的刑法规制不能肆意而为,而必须保持一定的限度,遵循一定的原则,如此方能实现个人金融信息保护与经济社会发展的协调。笔者认为,非法利用个人金融信息行为的刑法规制应当遵循以下两个原则。
(一)不得侵犯公民个人的合法权益
国家对个人金融信息的利用必然会在某种程度上对个人的权益造成损害,但出于经济发展和社会进步的考虑,个人的权益也必须在某种程度上做出牺牲。当然,这种牺牲也是有一定限度的,在这种牺牲以法律的形式予以固定之后,司法中就不再允许以维护国家利益或公共利益为由,肆意侵犯公民的个人合法权益。对公民个人金融信息的刑法保护亦应如此。因此,我们在动用刑法对非法利用个人金融信息行为进行规制时,应严格遵循不能侵犯公民个人合法权益的原则。具体而言,遵循不能侵犯公民合法权益的原则需注意以下两个方面。
1.不能将合理利用金融信息的行为认定为犯罪。对金融信息的保护绝不能因噎废食,为了国家利益、社会公共利益、信息所有者本人的利益,以及其他人的合法自由和权益,合理、有效地利用金融信息也必然是我们所面临的问题。对个人金融信息的合理利用就是在尊重信息所有人的信息决定权、信息保密权、信息查询权、信息更正权、信息封锁权、信息删除权和报酬请求权的前提下,在信息收集过程中做到限制收集、保持完整正确以及目的明确的限制利用,同时要在保证个人金融信息安全的前提下,对金融信息进行充分合理的利用。[12]例如,在信息主体明确同意披露的对象、范围和内容的情况下利用个人金融信息就属于合理利用。只要在此限度内利用个人金融信息,就绝对不能用刑法加以规制。
2.不能将利用金融信息的民事侵权或行政违法行为均认定为犯罪。超过合理利用限度使用金融信息的行为,属于非法利用个人金融信息的行为。任何非法利用个人金融信息的侵权行为均应当承担相应的法律责任,包括民事责任、行政责任及刑事责任。然而,需要注意的是,使用个人金融信息的个人和机构违法获取个人金融信息,或者非法使用个人金融信息及未采用合理金融信息保密措施给他人造成损失的,并不一定就要承担刑事责任。如果仅具有很小的社会危害性,如对金融信息所有人造成的影响较小、没有引起社会秩序的混乱等,那么就仅需承担民事赔偿责任或行政违法责任。只有当非法利用个人金融信息行为具有严重社会危害性的情况下,方可追究其刑事责任。
(二)不能阻滞金融信息的合理使用与传播
基于公平、正义的立场,信息不对称的现实存在确实需要法律对金融信息主体予以一定程度的倾斜性保护,但加强保护绝不意味着可以阻碍个人金融信息的正常流动。如果因过度保护个人金融信息而阻碍了个人金融信息的正常流动,势必会大大降低金融交易效率、减损金融市场价值。[13]因此,对个人金融信息刑法保护必须考虑的问题是如何既能实现对个人金融信息的适度保护,又能充分发挥金融信息流动对金融市场的积极作用。笔者认为,遵循不能阻滞金融信息的合理使用与传播的刑法规制规则,应注重平衡个人金融信息保护与信息披露制度的关系,对个人金融信息的合理使用与传播范围应考虑法律授权、目的正当、客户同意、过程适当等因素。
1.个人金融信息使用与传播的法律授权。个人金融信息使用与传播的法律授权,是指有权获取个人金融信息的机关单位,查询或调取金融信息以及金融机构的配合行为均须是基于法律的强行性规定。根据制度经济学原理,权利制度的设计自然应当寻求最均衡的框架,并通过利益衡量确保各主体间合理地获取权益和分担风险。当出现基于社会公共利益的迫切需要而必须披露公民个人金融信息时,法律首先应当考量社会公共利益的优先原则,同时应当通过划定这种个人金融信息保护例外情形的边界以及所可能采取的能够最大限度降低侵害的具体措施。[14]法律强制性规范主要适用于政府基于其职能行使公权的情形,比如诉讼、反洗钱、查收税务等事项。当然,基于公共权力具有天里的扩张性,信息披露必须在法律程序的控制下行使。此外,我们应当严格禁止出现以维护社会公共利益或国家安全为名行侵害公民个人金融信息权之实的卑劣行径。
2.金融信息使用和传播基于保护公共利益的需要。维护公共利益的需荽是一项原则性要求,其在金融信息传递正当性要求中处于核心地位。此处的公共利益,在市场经济社会中,一般是指公共秩序的安全稳定、社会资源和机会的合理分配,以及公共道德的有力维护等。虽然我们已经通过法律的强制性规定确定了很多金融机构因公共利益而需要披露个人金融信息的情形,但这绝不意味着公共利益这一目的要求已不再重要。因为法律的强制性规定不但不可能穷尽一切有关社会利益的情形,而且还具有一定的滞后性,其势必无法及时跟上社会经济变化发展的步伐。况且,公共利益的涵盖面极为广泛,即便没有法律的强制性规定,金融机构仍可基于公共利益的需要而披露个人金融信息。此外,任何国家经济和科研的发展都离不开金融信息,故而科研机构为了科研需要且不超出科研目的并能对这些信息采取必要的安全、保密措施,那么对金融信息进行收集、处理、分析的行为,亦视为合理利用。当然,如果需要公开、删改某个个体的金融信息,则应先征得主体的同意。
3.金融信息的使用与传播经权利人的同意。被害人同意或承诺系超法规的违法阻却事由之一,同样,经过金融客户的同意或承诺,金融机构披露客户个人金融信息并不会侵害公民个人的金融信息权。金融客户可以支配信息被披露的内容以及被披露的金融信息的广度和深度,当然其前提是金融机构在传递信息前必须征得金融客户的同意或承金融客户的同意或承诺包括明示与默示两种情况。一般而言,在披露个人金融信息之前就应当取得金融客户允许或承诺可以披露其信息的书面同意。金融客户明示同意往往仅限于就特定金融信息向特定对象进行披露,但在特定的情况下,金融客户会被认为是默许披露其信息。默许的主要标准是通常的交易习惯或行业惯例。
4.金融信息传递过程的适当性。遵循上述例外规则使用或传播金融信息,虽然在目的上是合法的,但在金融机构传递金融信息这一具体操作过程中,仍然存在一些侵犯个人金融信息权益的隐患。比如,有权机关获取金融信息过量、金融机构传递信息的范围超过目的所需,以及金融机构将金融信息传递出去后的信息再保密问题。因此,为了全面维护金融客户在余融信息传递过程中的正当权益,应规定有权机关、金融机构履行一定的义务,以保证使用和传播过程的适当性。首先,为了维护金融客户的金融隐私权不被肆意侵犯,司法行政机关只能查询与公务活动有关的个人金融信息,与职务活动无关的个人金融信息不得查询,金融机构可以拒绝提供。此外,如果司法行政机关要求查阅的金融客户与金融机构按要求提取的金融客户的信息不符时,金融机构也可以拒绝提供。其次,即便为保证犯罪侦查的保密性,亦应当保证金融客户事后对其金融信息传递情况的知悉权,金融客户只有了解相关情况,才能知道自己的权利是否被侵犯,也才能实施救济行为。最后,基于法律强制性规定而进行的个人金融信息披露,法律必须同时明确规定个人金融信息获取机关应严格履行再保密义务,从而防止个人金融信息的不当泄露。
三、非法利用个人金融信息行为刑法规制具体标准的限定
根据上述原则的要求,应对非法利用个人金融信息行为的刑法规制进行限制,在规制这类行为时应把握好行为和情节这两个标准。对这两个标准的限定,决定了非法利用个人金融信息行为的刑法规制限度。正如前述,现行刑法当中能够规制非法利用个人金融信息行为的罪名主要是《刑法》第253条之一规定的侵犯公民个人信息罪。因此,对非法利用个人金融信息行为刑法规制具体标准的限定,主要落实到对侵犯公民个人信息罪的具体适用标准的限定上。
(一)行为标准的限定
非法利用个人金融信息行为构成犯罪,首先应具有一个行为标准方面的要求,即这里的“非法利用”有其独特的内涵和外延。笔者认为,非法利用个人金融信息行为中的“非法利用”,是指在“信息收集→信息传输→信息利用”的全部过程中实施的未经他人许可,对他人金融信息进行不当使用的行为,包括出售、提供给他人或自己使用等行为。
1.“出售”的限定。“出售”公民个人金融信息,是指以获取利益为目的将公民个人金融信息有偿转让给他人的行为。即使行为人最终并未取得对价或者获利较少,也并不妨碍对“出售”的认定。但是,此处的“出售”仅指非法出售。因为现代社会的经济状况日趋复杂多样,在合法合理的前提下,为促进金融交易效率的提高,以适当对价将公民个人金融信息进行交换的情况必然存在。虽然我国目前尚无类似国外的正规、合法个人信息交易平台的试点或相关制度,但社会生活中已经存在类似的经权利人同意的交易情况。对于这种个人金融信息交易行为,刑法就不应予以干涉。对此,《刑法》第253条之一规定的侵犯公民个人信息罪也仅将“违反国家有关规定”的“出售”行为纳入刑法规制范畴。
2.“提供”的限定。非法“提供”公民个人金融信息,是指掌握公民个人金融信息的单位或其工作人员,不以获得利益为目的,违反国家有关规定将个人金融信息提供给他人的行为。有学者认为,“非法提供行为包含了出售行为,二者并不能用‘或者’连接,而应当将出售行为与非法提供行为的规定直接表述为‘非法提供给他人’。因为‘非法提供’既包括有偿的非法提供,也包含无偿的非法提供,而出售属于有偿的非法提供行为,所以二者应是包容关系而非法条所体现的并列关系。”[15]笔者认为,法条将侵犯公民个人信息罪的行为方式表述为“出售或者提供”不无道理。就行为人犯罪目的而言,出售行为的目的在于获取经济上的利益,而非法提供行为可以基于获利以外的任何目的,如报复、感恩、为亲朋好友帮忙等;就立法初衷而言,二者所强调的侧重点也存在较大差异:“出售”强调的是获取经济上的利益,而非法“提供”强调的是基于其他目的而提供。可见,“出售”与非法“提供”应是各有侧重的并列关系。因此,在对非法“提供”行为进行认定时,应从公民个人私益的角度出发,以是否严重侵犯公民个人信息权来进行认定。
(二)情节标准的限定
基于我国法律体系的特殊性,相同的行为类型既可以是犯罪行为也可以是违法行为,故而需要通过行为程度来区分罪与非罪,而判断行为程度的重要标准之一即为情节。“情节严重”的限定或设置对于非法利用个人金融信息行为刑法规制的限定具有不可忽视的积极意义。笔者认为,在限定非法利用个人金融信息犯罪中的“情节严重”时,可以从行为次数、行为手段、信息数量等方面进行。
1.行为次数的限定。行为次数可在一定程度上反映出行为人的主观恶性及社会危害性。对于具体次数的认定,实践中普遍以三次作为“情节严重”的标准,如果之前因此受到过相关行政处罚而再次实施犯罪的,亦将其纳入到“情节严重”的衡量标准中。笔者认为,考虑到信息网络时代下个人金融信息体现出的资源价值性对社会更快更好的发展有着重要的积极意义,故而对于侵犯公民个人信息行为的刑法规制始终应当在保障信息自由流通与保护信息安全之间保持谨慎的态度。另外,刑法作为后置性的法律,应当体现出其谦抑性和补充性的特征,相应地为前置性法律留下立法空间。[16]因此,只有当违反国家有关规定出售或提供他人信息三次以上、窃取或以其他方法非法获取他人信息三次以上,以及因违反国家有关规定出售或提供个人信息、窃取或以其他方法非法获取他人信息而受到过二次以上行政处罚又实施的,才能认定为“情节严重”。此外,基于个人信息所具备的保护与保障的双重性质,以及侵犯个人信息犯罪的社会危害性相较于其他犯罪较轻,故而在将犯罪次数作为评价“情节严重”的要素时,还需要综合其他因素加以考量。
2.行为手段的限定。行为手段往往可以在很大程度上反映犯罪行为的社会危害性程度,故而也往往被作为判定情节严重的标准。因此,在认定侵犯公民个人信息罪时,也应当对行为手段有所限制。
笔者认为,只有行为人采取以下两种行为手段,方可认定为情节严重:一是行为人在非法利用个人金融信息行为过程中,使用暴力、胁迫手段,这些手段的存在可以作为情节严重的标准之一;二是通过围绕信息买卖的产业链组织来实施非法利用个人金融信息行为,[17]这种较为固定的产业链组织所涉及的侵害范围及危害程度均比零散的买卖信息严重,故而可以将其作为情节严重的标准之一。
3.信息数量的限定。由于非法利用个人金融信息犯罪存在一定程度的经济犯罪属性,因而司法机关势必会将行为人所利用的金融信息的数量作为情节严重的判断因素。笔者认为,信息数量不能单独作为判断情节严重的因素,其还需同时结合相关信息涉及的隐私程度来进行综合评判。因为将信息的数量与信息的隐私程度相结合考量,才能准确地反映一个行为的社会危害性程度。[18]对于那些隐私程度相对较低的个人信息,在设定入罪标准时,其入罪门槛应当相应提高,即应设定相对较大的信息数量作为“情节严重”的标准。此外,需要注意的是,如果行为人所侵犯的是单位的金融信息权,就不能认定为侵犯公民个人信息罪的“情节严重”。因为单位仅仅是法律拟制的人,本身就不存在人身权的问题。
4.损害结果的限定。随着信息网络的发展与普及,一旦个人金融信息被非法利用,金融信息权势必会遭受较为严重的侵犯。因此,对于行为人将获取的个人金融信息出售或者非法提供给他人,被他人用以实施犯罪,致被害人遭受重大经济损失抑或造成恶劣社会影响等情况的,往往会被视为“情节严重”。笔者认为,上述情况不应一概认定为情节严重,而应当分情况认定。因为大多数侵犯个人金融信息的犯罪都是在下游犯罪(例如盗窃、诈骗)发生之后,被害人才发觉金融信息被他人利用,故而往往经济损失难以计算。因此,对于那些当时就直接能够计算经济损失的,可以考虑将经济损失的大小作为“情节严重”的评定标准,但是如果因存在时间间隔而难以计算的情况,就不宜将其作为衡量标准,而应从是否引发下游犯罪进行考量。实际上,刑法之所以将非法利用个人金融信息行为纳入其规制范畴,正是由于大多数行为人会将获取的个人金融信息用于后续的诈骗、盗窃、敲诈勒索等犯罪,才使得公民的人身、财产安全面临严重威胁。故而对于那些难以计算经济损失的情况,只有当出售、非法提供的个人金融信息被用于实施下游违法犯罪活动时,才可以考虑认定为“情节”。
5.主观内容的限定。主观目的是评判行为人主观恶性的重要标准之一,故而也往往被司法机关作为判定“情节严重”的标准。在司法实践中,有的行为人明知他人会将信息用于后续的盗窃、诈骗等犯罪,仍然将其所获取的信息予以出售或提供给他人,这种情形中的行为人的主观目的体现出了更大的主观恶性,在排除行为人构成后续犯罪共同犯罪的情况下,可以将其视为“情节严重”。然而,有的行为人虽将自己所获取的信息予以出售或非法提供给他人,但其主观目的仅是单纯地为了获利或帮助朋友,有时甚至仅仅是基于盲目配合司法机关的调查(没有遵守国家有关规定便提供公民个人金融信息,事后查实该调查是违法的),这种情况则不能将其认定为“情节严重”。此外,如果行为人主观上不具有犯罪目的,那么无论造成何种后果,也不应将其行为认定为“情节严重”。
【作者简介】
李振林,华东政法大学法律学院。
【注释】
本文系华东政法大学校级科研项目“非法利用金融信息行为刑法规制研究”(14HZK001)、国家社科基金重大项目“涉信息网络违法犯罪行为法律规制研究”(14ZDB147)和国家社科基金一般项目“法秩序统一性视野中的刑民矛盾及其排除”(14BFX042)的阶段性研究成果。
[1]相对于个人信息,个人金融信息除了具有个人信息的一般特性夕卜,还具有其自身的突出特性,如因发生在金融活动中而具有显著的经济性、具有相当的信用性等。因此,对个人金融信息的刑法保护实际上也有其自身的突出特点。也正因为如此,我们需要特别突出对个人金融信息的保护。个人金融信息主要包括三方面的内容:一是身份信息,包括姓名、性别、出生年月日、家庭住址、电话号码、身份证号码等,信用卡用户或与银行有信贷关系的用户的身份信息还包括职业、本人月收入、文化程度、其他联系人等个人信息;二是交易信息,是指在与银行交易过程中形成的个人信息,包括存款账号、存款数额、银行卡账号、卡片有效期、交易金额、交易类型、特约商户编号、取款机POS号等;三是信用信息,是指与个人的借贷还款情况有关的信用状况。
[2]本文所指的非法利用个人金融信息行为是指因非法利用个人金融信息而侵害公民个人信息权、信用权或信息财产利益,破坏国家对个人信息保护制度的行为,其包含了不当泄漏、查阅、擅自篡改、损毁、出售、非法提供、非法使用和盗窃个人金融信息等行为。
[3]参见[美]E.博登海默:《法理学:法律哲学与法律方法》,邓正来译,中国政法大学出版社2004年版,第45页。
[4]钟楚男:《个人信用征信制度》,中国金融出版社2002年版,第78页。
[5]参见裴丽萍:《论个人征信过程中的问题及其法律调整——以法律关系为线索》,《华中科技大学学报(社会科学版)》2003年第6期。
[6]参见李仁真:《论国际银行的并表监管》,《经济评论》2000年第3期。
[7]参见李可新:《跨国银行并表监管的法律问题》,大连海事大学2006年硕士学位论文,第32页。
[8]参见陈义顺:《跨国银行并表监管与金融隐私权的冲突及制衡》,《海南金融》2007年第9期。
[9]中央编译局:《马克思恩格斯全集》第18卷,人民出版社1972年版,第511页。
[10]参见王克金:《权利冲突论——一个法律实证主义的分析》,《法制与社会发展》2004年第2期。
[11]参见齐爱民:《制定个人信息保护法的人权意义与经济功能》,《嘉兴学院学报》2007年第5期。
[12]参见王姝:《我国个人信息的保护与合理利用问题研究》;《重庆邮电大学学报(社会科学版)》2008年第3期。
[13]参见马运全:《个人金融信息管理:隐私保护和金融交易的权衡》,山东大学2014年博士学位论文,第26~28页。
[14]参见王强:《论公众人物隐私权》,《公民与法(法学版)》2010年第10期。
[15]孟传香:《公民个人信息疑难问题的刑法保护》,《山西省政法管理干部学院学报》2011年第6期。
[16]参见利子平、周建达:《非法获取公民个人信息罪“情节严重”初论》,《法学评论》2012年第5期。
[17]同前注[16],利子平、周建达文。
[18]参见金昌伟:《侵犯公民个人信息犯罪中情节严重的认定》,《人民司法》2011年第24期。
上一篇: 2016年度专利复审无效十大案件发布
下一篇: 浅谈股东资格的继承
文章评论()
您还可以输入140字
还没人评论,赶快抢沙发吧!
平台大事
诚信守法经营,打击假冒伪劣,维护生活正...
“国际消费者权益日” (World Con...
1、积极回复问律师且质量较好;
2、提供订单服务的数量及质量较高;
3、积极向“业界观点”板块投稿;
4、服务方黄页各项信息全面、完善。