事实上,此次事件不仅是银行从业人员的规范问题,其核心更涉及到了公民个人信息的保护。
可以说,中信银行事件将公民个人信息保护再次推向了大众的视野之中。
其实,公民个人信息保护是一个需要长期关注的问题。比如在今年疫情防控的背景下,曾出现过公民个人信息的泄露与相关犯罪滋生。
前段时间,公安部发布了2019年以来公安机关侦破的十起侵犯公民个人信息违法犯罪典型案例,其中有两起涉及到了疫情期间公民个人信息的泄露,均是在互联网平台内发布疫情防控重点人员名单,导致相关信息在网络上迅速传播,造成恶劣影响。
可见,公民个人信息保护不仅是一项长期的工作,更是一项艰巨的工作。以疫情防控以来的各种公民个人信息的输入与输出为例,为做好新型冠状病毒肺炎疫情防控工作,全国各地积极开展了各类联防联控防疫措施,如交通同行情况查询、密切接触者追溯、“出入证”登记使用等方式,都是疫情期间相关职能部门或街道采取的有效防控措施。
但在日常疫情防控中,有大量的公民个人信息被收集、使用,对这些信息的不当使用,不仅容易造成公民个人信息的泄露、滥用,甚至对部分新冠肺炎患者的隐私权也造成侵犯,给公民、社会乃至国家带来严重影响。
因此,从疫情防控到中信银行事件,社会关注的共同问题是,如何准确认定侵犯公民个人信息罪,侵犯公民个人信息的行为是否一律构成犯罪,违法行为与犯罪行为的区分界限在哪里?疫情防控尚未结束,故笔者结合疫情防控期间的相关问题简要谈谈以下几方面的思考。
一、“违反国家有关规定”的适用前提
侵犯公民个人信息罪规定在《中华人民共和国刑法》第二百五十三条之一。
需要注意的是,刑法第二百五十三条之一第一款与第二款规定了行为人在“违反国家有关规定”的前提下,实施的出售、提供公民个人信息,以及将在履职过程或提供服务的过程中获得的信息出售或提供给他人的行为,构成侵犯公民个人信息罪。
对于出售行为,由于信息的买卖不具有正当性,故不可能予以正当化。
但对于提供行为,要注意其有“违反国家有关规定”的前提条件。
由于疫情期间管控严格,出于依法排查、追踪人员等情况,时常需要相关人员将部分公民的信息传送给有关部门或有关人员,因此,出于正当目的、符合国家传染病防治法的相关规定的情况下,对于合法提供信息的行为应当予以正当化,不应当将所有提供信息的行为认定为犯罪行为。但如果不具有正当目的,违反了国家有关规定,则“提供”信息的行为便是错误的。
二、非法获取公民个人信息的行为认定
在疫情防控严格管理期间,全国小区、乡镇甚至自然村都开启了“凭证进出”或类似的检查模式。
因此,在办理出入证时,通常管理单位会要求公民登记姓名、身份证号码、联系方式、家庭住址或门牌号等重要信息,外来人员如果被允许进入相关区域,也会在进入之前被要求登记上述信息。这些信息在登记时是得到了登记者本人的同意的,属于合法收集的信息。
但是,在上述信息收集完成之后,如果有人未经被收集者同意,擅自将这些登记的信息非法提供或者出售给其他人员,则可能属于犯罪行为,需要受到法律的制裁。
因此对于合法收集的信息,使用者与保管者更应当注重对这些公民个人信息的保护,在相关信息使用结束后,应当严格封存或依法销毁相关纪录,防止因信息保管或使用不当,流入公开区域,造成大量信息泄露甚至被他人非法利用。
另一方面,对于非法提供等行为要重点排查,防止合法获取信息的行为人将相关信息非法提供给他人,造成严重后果。
除上述情况之外,如果行为人非法获取了其他机构合法登记收集的公民个人信息,如窃取了某小区的全部住户的出入证登记信息,或趁管理人员不备之机,拍照留存了登记簿上的全部信息等,再将这些信息汇总整理后出售或非法提供给其他人员,这种行为同样是侵犯公民个人信息的犯罪行为,应当严厉惩罚。
由于疫情管控期间,许多地方都要求登记信息,如无有效保管,对于其他非管理人员而言,获取这些暴露在公共场所的私人信息并非难事。因此,在疫情期间也要重点防范此类非法获取、非法提供公民个人信息的犯罪行为。
三、疫情期间特殊类型信息的保护
由于行程管理、集中隔离等工作的开展,在重点行业与重点工作中都需要收集公民个人信息,尤其是行程信息、行踪轨迹信息、住宿信息、健康生理信息等重点信息。
2017年“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中对于行踪轨迹信息、财产信息、住宿信息、健康生理信息等有明确的保护,这些特殊类型信息在追诉标准上也有特殊性,如财产信息、行踪轨迹信息50条以上即为“情节严重”,如被他人用于犯罪则更为严重。而住宿信息、健康生理信息等可能影响人身、财产安全的公民个人信息达到500条以上便属于“情节严重”,如相关信息数量达到上述标准10倍以上,则属于“情节特别严重”,需要判处三年以上至七年以下有期徒刑,并处罚金。
可见,在司法实践中,需要结合疫情防控工作的实际,准确认定哪些已收集的信息属于特殊类型的信息,哪些属于常见的公民个人信息。不同类型的信息在具体量刑情节上也有不同的适用标准。相应地,对于非法获取或非法提供这些特殊信息的人员,不仅构成侵犯公民个人信息罪,在其量刑上也应当注意不同情节的适用。
除此之外,需要注意的另一个问题就是,如何计算公民个人信息的数量。
虽然在司法解释中并未明确同一公民的多条同类信息应当按多条信息还是单条信息计算,但从立法原意上判断,笔者认为,公民个人信息是能够“定位”到具体公民身份的信息,如果多条同类信息属于同一人,严格意义上仅能算一条信息。也有多数学者指出这种情况按照“一组”信息概念来理解更为适宜。
四、侵犯公民个人信息的行政保护
前述三个问题涉及到的是对公民个人信息的刑法保护。但很多时候,由于行为人的侵犯个人信息的行为程度未达到刑事犯罪的标准,比如条数仅一条,不能认定为刑事犯罪。但是,对于侵犯公民个人信息的行为,公安机关仍然可以依据相关规定进行行政处罚。比如公安部公布的典型案例中,不乏这类情况。因此,侵犯公民个人信息行为虽然不一定构成犯罪,但仍然需要受到法律的制裁。
应当说,公民个人信息的保护在任何时候都不能够放松,在疫情严格防控的时期,更应当注重保护公民信息,防止关联犯罪的发生。当然,不论何时,面对侵犯公民个人信息的违法犯罪行为,我们都应当坚决地拿起法律的武器,捍卫公民的合法权利。
目前,公安部与中央网信办牵头,建立打击危害公民个人信息和数据安全违法犯罪长效机制,依托于该机制,未来公民个人信息和数据安全的保护会得到更强的保护和监管,公民个人信息和数据安全的社会综合治理体系也将得到更加完善地构建。
