侵犯公民个人信息犯罪疑难问题分析
我的图书馆
侵犯公民个人信息犯罪疑难问题分析
&&&&【内容摘要】&&公民个人信息是指能够识别公民个人身份和涉及公民个人隐私的电子信息。违法将履行职责或者提供服务过程中获得的公民个人信息出售、提供给他人是侵犯公民个人信息罪的从重处罚情节。网络服务提供者泄露公民个人信息犯罪是一种纯正的不作为犯，必须是致使用户信息泄露，造成严重后果时才构成犯罪，但主观罪过是故意。【关键词】&公民个人信息&侵犯公民个人信息罪&拒不履行信息网络安全管理义务罪&随着信息技术的日益推广和发展，网络已成为现代社会不可或缺的组成部 分。它对于国家经济、文化和社会发展起着重大的推动作用，同样，也深深地影 响和改变着人们的生产和生活。但网络在推动社会发展的同时，亦引发了许多网络违法犯罪行为，包括利用网络侵犯公民个人信息的犯罪。公民个人信息是指能够识别公民个人身份和涉及公民个人隐私的信息。日全国人大常委会通过的《刑法修正案（九)》对于此类行为作出了新的规定。本文以《刑法修正案(九)》的相关规定为视角，对利用网络侵犯公民个人信息犯罪的认定与处罚有可能遇到的疑难问题进行分析，提出一些个人看法。&&&&一、侵犯公民个人信息罪的疑难问题分析《刑法修正案(九)》第17条规定将《刑法》第253条之一修改为:“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的 公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”该条款修改了原《刑法》第253条之一出售或者非法提供公民个人信息罪的规定，使得该规定更为合理。此条规定即为“侵犯公民个人信息罪”。与原条文相比，它作出了四个方面的修改:一是取消了原第253条之一第1款的“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”的主体身份限制。二是将原有的“出售或者非法提供”行为的表述修改为“违反国家有关规定，向他人出售或者提供”。三是将履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的行为作为侵犯公民个人信息罪的从重处罚情节。四是修改了法定刑，原来只有一个量刑幅度，即“三年以下有期徒刑或者拘役，并处或者单处罚金”，现在增加一个量刑幅度，即“情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”。根据《刑法修正案(九)》的上述修改，侵犯网络公民个人信息犯罪在司法认定和法律适用方面也产生了新的问题，在此就可能引起的争议点予以分析。&&&&(一）关于“违反国家有关规定”的界定&&&&应当看到，无论是通常情况下的出售或者提供，还是履行职责或者提供服务过程中的出售或者提供公民个人信息的行为，要构成犯罪，都必须是“非法”地出售或者提供。如果“合法”地提供，就不可能构成犯罪。对于何谓“非法”， 《刑法修正案(九)》在两个条款中特别限定为“违反国家有关规定”。这两个条 款中“违反国家有关规定”的表述，表明其犯罪类型为法定犯。法定犯与自然犯 的区别在于，自然犯的违法性确认标准是，只要实施了刑法分则所预定的行为类型就可以推定行为人的行为具有违法性，而法定犯的构成需要以行为人实施了违反前置性法律、法规的行为为前提。法定犯的功能在于提示行为人必须尽到最大的注意义务以确认自己的行为是否违法，或者说，给行为人提供了违法性认识的契机。①（蒋铃:《刑法中“违反国家规定”的理解和适用》，《中国刑事法杂志》2012年第7期。）这两个条款中的“违反国家有关规定”也具有判定是否具有违法性的功能。根据《刑法》第96条的规定，违反国家规定是指“违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令”。据统计，我国目前有近40部法律、30余部法规，以及近200部规章涉及个人信息保护，其中包括《规范互联网信息服务市场秩 序若干规定》、《个人征信管理办法》等。②（参见卢建平:《我国侵犯公民个人信息犯罪的治理》，《法律适用》2013年第4期;《个人信息保护将出 台国标明确使用后立即删除》，《新京报》日，第A06版。）因而可以确定，侵犯公民个人信息的危害行为从产生之时起就具备行政违法的性质，其所成立的犯罪就符合法定犯的特征。然而，对侵犯公民个人信息的行为,我国尚未确立统一完备的行政法律制裁体系与刑事制裁相衔接，连《治安管理处罚法》都未将侵犯公民个人信息的行为作为行政违法行为。我国现有的关于公民个人信息保护的规定较为零散，表现为制定和发布主体不一，散见于不同的法律、法规或规章，如《电信条例》、《邮政法》、《档案法》、《居民身份证法》、《道路交通安全法》、《反洗钱法》、《律师法》、《公证法》、《劳动争议调解仲裁法》、《银行业监督管理法》等。不过,笔者认为，虽然我国没有统一的个人信息保护法，但上述有关公民个人信息保护的分散规定，应当作为认定行为是否“非法”的依据。对于“违反国家规定”界限的确定，我们可以从以下两个方面把握：&&&&1.必须严格按照《刑法》第96条的规定确定“国家规定”的界限。“国家规定”的制定主体仅限于全国人民代表大会及其常务委员会和国务院。日最高人民法院《关于准确理解和适用刑法中“国家规定”的有关问题的通 知》(以下简称《通知》)中也指出，根据《刑法》第96条的规定，刑法中的“国家规定”是指，全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的 行政法规、规定的行政措施、发布的决定和命令。其中，“国务院规定的行政措施”应当由国务院决定，通常以行政法规或者国务院制发文件的形式加以规定。以国务院办公厅名义制发的文件，符合以下条件的,亦应视为刑法中的“国家规定”:（1)有明确的法律依据或者同相关行政法规不相抵触；（2）经国务院常务会议讨论通过或者经国务院批准；（3）在国务院公报上公开发布。该《通知》第2 条规定，对于违反地方性法规、部门规章的行为，不得认定为“违反国家规定”。&&&&2.违反国家规定的内容必须以明确规定为前提。罪刑法定原则不禁止在一 定条件下将部分构成要件的认定委诸于行政法规等相关“国家规定”。关于国务 院部门的规章对行政法规的具体化规定是否属于“国家规定”，在实践中存在争 议。这涉及如何认定法律、行政法规“二次授权”的部门规章、地方性法规的效力。如《行政许可法》第14条规定，法律、行政法规以及国务院发布的决定可以设定行 政许可;第16条第2款、第3款作出“二次授权”，其明确规定：“地方性法规可以在法律、行政法规设定的行政许可事项范围内，对实施该行政许可作出具体规定。规章可以在上位法设定的行政许可事项范围内，对实施该行政许可作出具体规定。笔者认为，部门规章、地方性法规等虽然效力层级未达到主体资格要求，但其效力得到《行政许可法》的授权和认可，它是对《行政许可法》在某一具体领域的细化规定。此时,违反部门规章或地方性法规的行为，实质上就是违反《行政许可法》。因此，当部门规章、地方性法规的规定是对行政法规的进一步细化时，可以将其作为认定是否“违反国家规定”的依据，因为其实质是上位法的具体展开。(二）侵犯网络公民个人信息犯罪的主体及行为表现的认定对于履行职责或者提供服务过程中非法出售或提供公民个人信息行为主体的确定，《刑法修正案(九)》第17条第2款取消了“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”的“等”字的限定，也即表明了，只要是“履行职责或者提供服务过程中”的人员，将其获得的公民个人信息出售或者非法提供给他人，就可以按照非法出售、提供公民个人信息罪从重处罚。因此可以认为无论何种单位的人员（不限定为公共机构），即使是社会中介，甚至无单位隶属的纯粹个人，只要其将履行职责或者提供服务过程中获得的公民个人信息出售或者非法提供给他人，均应按该条款处理。根据《刑法修正案(九）》第17条规定，侵犯公民个人信息的行为方式主要有两类:非法获取和非法提供。所谓“非法获取”，即任何采用非法方法取得的手段，可以是非法窃取、骗取、夺取、逼取和劫取等方法。其中，有暴力方法，也有非暴力方法;有秘密方法，也有非秘密方法。但是，在网络上侵犯公民个人信息，笔者认为是不可能采用劫取、夺取等暴力方法的。因为网络是一个虚拟的空间，行为人无法在虚拟空间中实施暴力。行为人如果用暴力手段殴打被害人，让被害人通过网络方式告诉相关公民个人信息，这种情形虽然是可能发生的，但笔者认为这种方式主要仍是通常意义上的劫取行为，并不是完全在网络上实施的侵犯公民个人信息犯罪。网络上侵犯公民个人信息犯罪的特点是，行为人与被害人应该不具有在现实空间中的“当场性”的特征，即通常行为人与被害人不在同一现场，而是在互联网的两个终端。所谓“非法提供”是指以有偿（即出售）或无偿的方式将公民个人信息提供给他人的行为。出于同样的理由，网络上的非法出售或提供公民个人信息行为也要求行为人与被害人不在同一现实空间中的“当场性”的特点。值得探讨的是，在《刑法修正案(九)》第I7条第2款的行为方式中，行为人是合法取得公民个人信息的，这在理论上形成了共识，但在第1款中的公民个 人信息的来源究竟是合法取得还是也包括非法取得却不十分明确。如果从条文“违反国家有关规定”的规定看，似乎只包括合法取得的公民个人信息。因为非法取得公民个人信息就不可能期待其不违反国家有关规定，法条中“违法国家有关规定”的规定就多此一举了。但如果认为第1款中的公民个人信息的来源是合法取得，那么其与第2款中的规定就没有多大差异了。笔者认为，第1款中的公民个人信息的来源只能理解为两种情形：一是非法取得的公民个人信息。此时，法条中“违反国家有关规定”的规定，只是“非法”的另一种表达而已，即行为人将非法取得的公民个人信息予以非法出售或提供。另外，根据《刑法修正案(九)》的规定，行为人非法获取后又非法提供的，不需要数罪并罚，仍按侵犯公 民个人信息罪一罪处理;二是非履行职责或提供服务过程中的合法取得的公民个 人信息，如行为人并没有采用非法获取的手段，而是捡拾取得或偶然听到等。(三）侵犯公民个人信息罪与窃取、收买、非法提供信用卡信息罪的法条竞合的处理信用卡信息是公民个人信息中的一种特殊信息。行为人窃取、收买、非法提供信用卡信息与侵犯公民个人信息罪之间只是犯罪对象上的差别。前者为特殊对象，后者为一般对象，两者之间存在法条竞合关系。1.自然人窃取、收买、非法提供信用卡信息罪的处理刑法理论上一般认为，法条竞合的处理原则是:特别法优于普通法，例外情 形下，重法优于轻法。根据《刑法》第177条之一的规定，有下列情形之一，妨害信用卡管理的，处3年以下有期徒刑或者拘役，并处或者单处1万元以上10万元以下罚金;数量巨大或者有其他严重情节的，处3年以上10年以下有期徒刑， 并处2万元以上20万元以下罚金：（一)明知是伪造的信用卡而持有、运输的，或者明知是伪造的空白信用卡而持有、运输，数量较大的；（二)非法持有他人信用卡，数量较大的；（三）使用虚假的身份证明骗领信用卡的；（四）出售、购买、为他人提供伪造的信用卡或者以虚假的身份证明骗领的信用卡的。窃取、收买或者非法提供他人信用卡信息资料的，依照前款规定处罚。因此，窃取、收买、非法提供他人信用卡信息资料的，法定最高刑是10年有期徒刑，但法定最低刑是“拘役”，而《刑法修正案(九)》关于侵犯公民个人信息罪法定最高刑是7年有期徒刑，法定最低刑是“拘役”。按照法条竞合的处理原则，无论是按照特别法优于普通法，还是重法优于轻法，对于自然人窃取、收买、非法提供信用卡信息的，应该按照窃取、收买、非法提供信用卡信息罪定罪处罚。2.单位实施窃取、收买、非法提供信用卡信息罪的处理此问题的提出源于《刑法》对于窃取、收买、非法提供信用卡信息罪只规定了自然人犯罪，而未规定单位犯罪的现状。如果单位实施了窃取、收买、非法提 供信用卡信息罪，是按自然人窃取、收买、非法提供信用卡信息罪处理，还是按 照单位侵犯公民个人信息罪处理？根据日全国人大常委会通过 的立法解释，公司、企业、事业单位、机关、团体等单位实施刑法规定的危害社会的行为，刑法分则和其他法律未规定追究单位的刑事责任的，对组织、策划、实施该危害社会行为的人依法追究刑事责任。似乎我们对于单位实施窃取、收 买、非法提供信用卡信息罪可按照自然人窃取、收买、非法提供信用卡信息罪处 理。但信用卡信息又是公民个人信息中的一种特殊信息，我们也完全可以按照单位侵犯公民个人信息罪处理。笔者认为，既然按照《刑法修正案（九）》第17条的规定，单位可以构成侵犯公民个人信息罪，对于单位实施的窃取、收买、非法提供信用卡信息的行为，就可以按照单位侵犯公民个人信息罪定罪，而不必认定为自然人窃取、收买、非法提供信用卡信息罪。在这里，需要讨论两个问题:一是个人犯罪条款与单位犯罪条款是否属于法条竞合？二是无单位犯罪的窃取、收买、非法提供信用卡信息罪与单位侵犯公民个人信息罪之间，是否属于法条竞合？就第一个问题而言，笔者认为，法条竞合解决的是两个罪名之间选择何种罪名更符合构成特征、更体现刑法公正的问题。同一条文内的自然人犯罪和单位犯罪虽然行为方式相同，只是主体不同，但我们不能把单位看成是个人的特殊主体。因为这两种主体是完全并立的主体，不存在一种主体是一般、另一种主体是特殊的问题。因此，在同一条款内的自然人犯罪与单位犯罪之间不属于法条竞合。就第二个问题而言，笔者认为，法条竞合必须是两个法条确实在刑法上实际存在时才考虑选择的问题。如果行为人以单位的名义实施了所谓的单位窃取、收买、非法提供信用卡信息犯罪，其实仍属于自然人的窃取、收买、非法提供信用卡信息犯罪。此时，不存在所谓的法条竞合，按照自然人犯罪处理即可。但如果确实是单位实施了窃取、收买、非法提供信用卡信息犯罪（即行为完全是以单位名义实施、体现单位意志、违法所得亦归单位所有），此时，这种单位犯罪亦符合了单位侵犯公民个人信息罪的构成要件，理应按照单位侵犯公民个人信息罪定罪量刑。这里采用的原则并不是法条竞合的重法优于轻法原则，而是法律效力上的新法优于旧法原则。因为全国人大常委会通过的立法解释是在日，而《刑法修正案(九)》生效的时间是日。《刑法修正案(九)》是新法，全国人大常委会通过的立法解释是旧法。当然，一般情况下，法律的效力也要高于法律解释，只是全国人大常委会通过的立法解释其效力等同于法律，所以，笔者仍按照新法优于旧法原则来处理。&&&&二、网络服务提供者泄露公民个人信息犯罪的疑难问题分析《刑法修正案（九）》第28条规定，在《刑法》第286条后增加拒不履行信息网络安全管理义务罪，作为第286条之一:“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者赞制，并处或者单处罚金： (一)致使违法信息大量传播的;（二)致使用户信息泄露，造成严重后果的；（三）致使案件证据灭失，情节严重的；（四)有其他严重情节的。”其中，第二种行为中“致使用户信息泄露，造成严重后果的”就涉及公民个人信息被泄露的情况。对于该犯罪，有以下问题值得讨论：（一）对于该罪行为方式的理解笔者认为，本罪是一种纯正不作为犯，是网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正的行为。在刑法理论上，纯正不作为犯的作为义务通常都有法律的明文规定，这是罪刑法定原则的基本要求。③（网络服务提供者的不作为义务来源是有关网络行政、民事法律、法规的规定。如2012年12月28日全国人大常委会通过《关于加强网络信息保护的决定》第3条规定，网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。第4条规定，网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。第5条规定，网络服务提供者应当加强对其用户发布的信息的管理，发现法律、法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，保存有关记录，并向有关主管部门报告。就泄露公民个人信息来看，其结果是“致使用户信息泄露，造成严重后果”。如果未造成严重后果，不能作为犯罪处理，可按照该《决定》第11条规定，对有违反本决定行为的，依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚，记入社会信用档案并予以公布;构成违反治安管理行为的，依法给予治安管理处罚。侵害他人民事权益的，依法承担民事责任。）本罪中，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，造成一定后果的，即可构成犯罪。《刑法修正案(九）》并未规定网络服务提供者必须具有信息网络安全管理的能力。那么，如果网络服务提供者不具备信息网络安全管理的能力，是否还可能构成犯罪呢？因为理论上一般认为构成刑法上的不作为犯罪必须具备三个条件:一是行为人必须负有实施某种特定行为的义务;二是行为人必须具有能够履行特定义务的能力；三是行为人没有切实履行特定的义务，从而产生相应的危害。④（刘宪权:《刑法学名师讲演录》，上海人民出版社2014年版，第148页。）其中，第二个条件就是要求有能够履行特定义务的能力。刑法不强人所难，法律法律规范与法律秩序只是要求能够履行义务的人履行义务，而不会强求不能履行义务的人履行义务。至于行为人能否履行义务，应从行为人履行义务的主观能力与客观条件两方面进行判断。在拒不履行信息网络安全管理义务罪中，立法者在法条中并未规定“履行能力”是可以理解的。因为网络服务提供者既然经许可从事网络经营服务，有关监管部门就认为其是具备履行能力的，也即无履行能力和履行资格者就不能从事信息网络服务。因此，法条中虽并未规定“履行能力”但其要求有“履行能力”是不言自明的，或者说是隐含在其中的。特别是法条中采用的是“经责令改正而拒不改正”的表述，更表明网络服务提供者是具备履行能力的。如果网络服务提供者缺乏相应的技术能力，有关监管部门也就不可能去责令其改正。当然，在网络服务领域，如果发生了公民个人信息泄露的行为，而这种泄露的防治在网络技术上确实超出了网络服务提供者能够履行的能力范围，网络服务提供者没有采取相应的改正措施的，就不应作为犯罪处理。对比类似的犯罪，如拒不支付劳动报酬罪，刑法就特别规定了“履行能力”的要求。《刑法》第276条之一规定:“以转移财产、逃匿等方法逃避支付劳动者的劳动报酬或者有能力支付而不支付劳动者的劳动报酬，数额较大，经政府有关部门责令支付仍不支付的，处3年以下有期徒刑或者拘役，并处或者单处罚金;造成严重后果的，处3年以上7年以下有期徒刑，并处罚金。”该罪规定了两种行为方式:一是积极的不支付方式，以转移财产、逃匿等方法逃避支付劳动者的劳动报酬;二是消极的不支付方式，有能力支付而不支付劳动者的劳动报酬。第二种行为方式即是不作为行为，法条要求“有能力支付”方可构成犯罪。如果因各种原因确实无支付能力，比如雇工单位资金暂时周转不开，雇工单位因经营决策失误而导致大量亏损，或因受其他企业欺骗、受整体经济不景气影响（如全球性金融危机致使出口型企业遭受重创）等因素作用，造成客观上无力支付劳动者报酬的，不能认定为犯罪。⑤（蔡英:《拒不支付劳动报酬罪的理解与适用》，载朱孝清等主编:《社会管理创新与刑法变革》，中国人民公安大学出版社2011版，第857页。）笔者认为，上述两罪是存在一定区别的。网络服务提供者经许可批准从事网络经营服务，其履行能力是自始就有并一直保持的，一旦其失去了履行能力，就应该取消这种许可。因此，网络服务提供者履行信息网络安全管理义务的能力是始终存在的，法条无须予以专门的规定。而在拒不支付劳动报酬罪中，雇工单位的支付能力是受外界因素的影响随时都会发生变化的。这种支付能力的失去是通常都可能出现的。法律不能强迫无支付能力的雇工单位因为不支付而作为犯罪处理。所以，刑法在拒不支付劳动报酬罪的不作为行为方式中规定了“履行能力”的要求。另外，构成拒不履行信息网络安全管理义务罪必须“经监管部门责令采取改正措施而拒不改正”的前置程序。之所以做这样的规定，主要是因为拒不履行信息网络安全管理义务行为本来是由信息网络管理民事、行政、经济等非刑事法律规范所调整的。为了限定刑法处罚范围，给网络服务提供者一个出罪的机会，要求构成本罪须先由“监管部门责令采取改正措施”，只有在应改正而拒不改正的前提下才以犯罪论处。这也是刑法谦抑性的表现。(二）本罪的犯罪主体笔者认为，本罪的主体是特殊主体，只能由网络服务提供者才能构成。一般主体不能构成。就本罪而言，普通网络用户在网络上散布、传播他人隐私，如果构成侮辱罪等其他相关犯罪的，则按其他犯罪处理。例如所谓的“网络通缉令”，就是针对一个人进行“人肉搜索”，通常的结果是把被“通缉”的那个人的所有隐私都公布在网络上。这种行为极大地损害了个人隐私，严重地影响了他人的生活，具有一定的社会危害性。但是，根据《刑法修正案（九)》“拒不履行信息网络安全管理义务罪”的规定,从罪刑法定原则出发，非网络服务提供者不能构成本罪，不能构成犯罪，只能按照民事侵权处理。根据《刑法修正案(九)》第28条第2款的规定，“单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。”因此，本罪也可由单位构成，对单位犯罪，实行双罚制。(三）本罪的主观方面由于本罪是新设立的犯罪，对于其主观方面的心理态度理论上还无专门的讨论。笔者认为，本罪的主观方面是故意。当然，或许有人认为，行为人虽然对于不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正的行为是故意的，但对可能会造成的有关后果(如用户信息泄露)是持否定或排斥态度的，即行为人不希望危害结果发生。所以，本罪仍可能是一种过失犯罪，或者是一种包含故意或过失的双重罪过犯罪。类似的争论在其他犯罪中也曾出现过。如对于《刑法》第129条规定的丢失枪支不报罪的主观罪过，有论者主张是故意，⑥（参见张穹主编:《刑法适用手册》，中国人民公安大学出版社1997年版，第498页。）有论者主张是过失，⑦（参见邓又天主编:《中华人民共和国刑法释义与司法适用》，中国人民公安大学出版社1997年版，第189 页。）还有论者认为既可能是过失，也可能是间接故意。⑧（参见叶峰主编:《刑法新罪名通论》，中国法制出版社1997年版，第34页。）认为是故意的论者主要考虑的是不及时报告的行为，认为是过失的论者主要考虑的是造成严重后果的事实。再如《刑法》第186条第1款规定的违法发放贷款罪，行为人就行为而言显然是故意的;但就结果而言，认定故意似乎不妥当。于是有人认为本罪由故意构成，⑨（参见陈兴良:《刑法疏议》，中国人民公安大学出版社1997年版，第325页。）有人认为本罪由过失构成，⑩（参见刘家琛主编:《新罪通论》，人民法院出版社1996年版，第238页。）有人认为本罪既可以是过失，也可以是间接故意，⑾（参见张穹主编:《修订刑法条文实用解说》，中国检察出版社1997年版，第244页。）有人认为本罪对行为是故意的，对结果是过失的。⑿（赵秉志主编:《新刑法教程》，中国人民大学出版社1997年版，第64页。）其他许多条文都存在类似问题。这些条文所规定的犯罪的共同点是，行为人明显出于故意实施犯罪行为，但对于刑法明文要求发生的结果却可能不是出于故意，而是过失。拒不履行信息网络安全管理义务罪也属于相同情况，但笔者认为该罪的主观方面是故意，不是过失，也不属于包含故意和过失的双重罪过。理由是：第一，双重罪过的说法是违背我国刑法基本原则的。因为我国《刑法》规定了罪刑法定原则和罪刑相适应原则，这两个原则要求，犯罪人所受的处罚应该与其所犯罪行的严重程度相适应，重罪重罚，轻罪轻罚。而罪行轻重程度不仅仅是客观行为及其造成的后果，也包括行为人的主观恶性大小。在其他所有条件相同的情况下，故意犯罪的处罚应该高于过失犯罪。而一个犯罪中有双重罪过的说法，则无法真正贯彻罪刑法定和罪刑相适应原则。第二，认为本罪属于过失犯罪的说法也违背我国刑法的有关规定。因为我国《刑法》第15条第2款规定，过失犯罪，法律有规定的才负刑事责任。在我国的刑事立法中，立法者通常对于故意犯罪作出处罚规定，对于过失犯罪只是在 有必要处罚时才进行例外规定。可以说，立法处罚故意是原则，处罚过失是例外。由此，我们也可以推导出，有故意犯罪，不一定有过失犯罪（过失行为是存在的，但刑事立法不规定）；但有过失犯罪，必然有相对应的故意犯罪。对拒不履行信息网络安全管理义务罪，如果我们把该罪的主观方面理解为是过失，那么，刑法必然会规定相应的故意犯罪。从举轻以明重的角度我们也可以得出这种结论。而目前我们找不到《刑法修正案（九)》中有相应的故意犯罪规定。所以说，认为本罪属于过失犯罪的说法也是不成立的。第三，用户信息泄露的后果应该属于客观的超过要素，不能作为评价罪过的对象。根据我国刑法有关规定，评价一个犯罪的罪过只能以行为人对危害结果的认识为标准，而不能以对于危害行为的认识为依据。如在交通肇事罪中，行为人对于违章行为是故意的，但对于发生死伤结果是过失的，所以，从危害结果的角度看，我们认为交通肇事罪的主观罪过仍是过失的。然而，在有些犯罪中，这种结果只是一种对于客体侵犯的抽象结果，而具体结果却只是客观的超过要素。客观的超过要素不能作为我们评价一个犯罪的主观罪过的标准。如《刑法》第129条规定的丢失枪支不报罪，造成严重后果虽然是构成要件，但不需要行为人对严重后果具有认识与希望或放任态度。造成严重后果便成为超出故意内容的客观要素，属于客观的超过要素。⒀（张明楷:《“客观的超过要素”概念之提倡》，《法学研究》1999年第3期。）按照张明楷教授的理解，超过的客观要素只应存在于有双重危害结果的犯罪中。具体有四种情况:第一，犯罪行为既有物质性结果也有非物质性结果时，可能只要求行为人认识到其中的一种结果，而另一种结果是超过的客观要素。例如，《刑法》第186条规定的违法发放贷款罪，违法发放贷款行为本身，就是对金融秩序的破坏，属于非物质性结果，行为人对此至少具有放任态度。但刑法还规定有行为造成重大损失的物质性结果，这种物质性结果便是客观的超过要素，不需要行为人对之持放任或者希望态度，但对这种物质性结果的预见可能性则是完全可以肯定的。第二，犯罪行为造成了危险状态，但刑法还要求实害结果时，实害结果可能是客观的超过要素。第三，犯罪行为既存在无具体对象的危害结果，又存在针对具体对象的危害结果时，后者可能是客观的超过要素。第四，犯罪行为存在直接危害结果与间接危害结果时，间接危害结果可能是客观的超过要素。笔者认为，《刑法修正案（九)》规定的拒不履行信息网络安全管理义务罪就属于第一种情形的适例。因此，该罪的主观罪过应该是故意。三、结 语刑法的性质之一就是保障性。⒁（刑法的性质主要是指刑法相对于其他法律的属性和特征，具体有:公法性质、强行法性质、实体法性质、实证法性质、司法法性质、严厉性、保障性、谦抑性。参见张小虎:《刑法的基本观念》，北京大学出版社2004年版，第51—55页。）刑法的保障性，是指刑法是其他法律的后盾，保证其他法律得以贯彻实施。从社会规范性对社会生活调整的层面来看，首先是道德调整，道德的要求相对较高;其次是除刑法以外的法律的调整，法律是国家向公民所提出的最基本的行为准则要求;再次是刑法的调整，刑法是维护社会秩序的最后一道防线。⒂（张小虎:《刑法的基本观念》，北京大学出版社2004年版，第54—55页。）正是在这个意义上，法国著名启蒙思想家卢梭指出:刑法作为其他一切法律的制裁力量。⒃（[法]卢梭:《社会契约论》，何兆武译，商务印书馆1982年版，第73页。）虽然，我们对所有犯罪是否具有二次违法性特征在理论上尚有不同看法，但法定犯具有二次违法性的特征已基本取得共识，侵犯网络公民个人信息犯罪是一类法定犯，因此，需要有民事、法律、法规作为前提性支撑。而现有的公民个人信息规范的法律、法规、规章等都是较为分散、零乱的，缺乏系统性、全面性的个人信息保护的基础性法律。纵观大部分国家和地区的立法经验，对违反个人信息保护法的行为追究刑事责任，是建立在完善的个人信息保护法基础之上的。⒄（段晓妮:《个人信息刑法保护问题研究》，硕士学位论文，吉林大学,2011年，第34页。）因此，笔者建议立法机关在《刑法修正案(九)》设立相关新罪外，可考虑制定出台一部《个人信息保护法》，使得公民个人信息得到全方位、多层次的保护，从而较好地解决刑法与其他民事、行政法律的衔接和协调问题。&原文载：《刑法学研究》，本文作者房慧颖，华东政法大学刑法学硕士研究生，P174—P180。整理：苏州市公安局刑警支队预审大队。&
TA的最新馆藏
喜欢该文的人也喜欢