人民公安报：明确侵犯个人信息处罚追责标准是根本

著名刑辩律师钱列阳日前就个人信息安全保护问题接受本报记者专访时表示：

明确侵犯个人信息处罚追责标准是根本

　　   
　　受访对象：
　　   
　　钱列阳：北京市律师协会刑事诉讼业务委员会主任、天达律师事务所律师
　　
　　核心观点：
　　   
　　●应明确刑法条款中关于“情节严重”的界定标准
　　   
　　●应将出售、非法提供公民个人信息的非国家工作人员也纳入刑事打击范畴
　　   
　　●应出台一个与之配套的行政处罚标准规制此类行为
　　   
　　记者：请您先为我们介绍一下，目前我国刑法针对侵犯公民个人信息犯罪都有哪些相关条款？
　　   
　　钱列阳：2009年2月通过并实施的《刑法修正案（七）》新增侵犯公民个人信息犯罪，旨在对严重侵犯公民个人信息的行为进行刑法规制。刑法第253条规定如下：
　　   
　　【出售、非法提供公民个人信息罪】国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。
　　   
　　【非法获取公民个人信息罪】窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。
　　   
　　单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。
　　   
　　记者：司法实践中，因刑法第253条被追究刑事责任的人多见吗？为什么？
　　   
　　钱列阳：虽然当下公民信息被泄露、相关权益被侵害的事件层出不穷，但刑法新增侵犯公民个人信息犯罪3年多来，依此条款被追究刑事责任的人却并不多见。
　　   
　　距此罪入刑长达近1年时，2010年1月4日，珠海市香洲区人民法院，以非法获取公民个人信息罪判处周建平有期徒刑一年零六个月，并处罚金2000元，此案被称为 “全国首例侵犯个人信息安全案”。在这起案件中，周建平被判刑的主要原因是：通过兜售 “广东省政府官员”通讯录，谋取非法个人利益，并且后果严重。周建平也由此成为以“侵犯个人信息安全”这一罪名被追究刑事责任的第一人。
　　   
　　造成如今这种“有法难依”、“有法难判”的尴尬局面，主要是因为刑法条文本身存在着漏洞，可操作性欠佳，而本罪适用相关的司法解释又没能尽快推出。
　　   
　　记者：您说的这种“可操作性欠佳”，具体指什么？
　　   
　　钱列阳：现行刑法第253条之一的可操作性不够，对于侵犯公民个人信息的行为，什么情形应追究刑事责任、什么情形应予以行政处罚没有一个明确标准。例如，在上述两款刑法条文中，起刑点“情节严重”如何判定？非法售卖个人信息上千条还是上万条才构罪？构罪的标准不明晰，这既消解了法律在具体司法实践中的可操作性，也可能成为一个替不法分子规避法律制裁的司法漏洞，亟须细化此法律标准。
　　   
　　“情节严重”的标准应该综合把握，既要考虑涉案行为侵害个人信息的数量，也要考虑侵害行为对被害人、家庭及社会造成的损害程度。除此之外，信息的用途、性质、获利数额、非法获取的手段等也可以作为“情节严重”的衡量因素。
　　   
　　记者：我有一个疑问，依据刑法第253条，“出售、非法提供公民个人信息罪”的规制对象是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，而“非法获取公民个人信息罪”的规制对象没有强调此限制，两者是否不同？
　　   
　　钱列阳：的确不同。第一个罪是特殊主体，第二个罪是一般主体。前罪规定的犯罪主体被限制在公权力机关范围内，或者是提供垄断性、强制性的公共服务领域。
　　   
　　这里同样存在一个重要 “漏洞”：现实生活中，上述主体以外的单位及其工作人员也有大量机会接触到公民个人信息，比如房地产公司、物业公司、中介机构、教育辅导机构、酒店、高级会所等服务机构甚至公民个人等。这些主体将公民个人信息出售或非法提供给他人并造成严重后果的行为屡见不鲜，造成了对公民利益的侵害。法无明文规定不为罪，这些单位及其工作人员没有被纳入刑法规范的主体范围之内，在一定程度上造成了刑法适用的不平等。
　　   
　　因此，对这部分刑法未予明确的主体侵犯公民个人信息的行为，可以增补一款入刑法第253条之一中，也可以选择制定相应的行政处罚条款予以约束。如果选择入刑，考虑到主体社会义务、行为社会危害性等因素，建议对这类主体出售、非法提供公民信息罪的起刑标准相较于第1款的特殊主体应适当提高。
　　   
　　记者：有人认为，当下迫切需要出台保护个人信息的专门法律，还需企业加强自律、公民加强个人信息的保护意识，您认为呢？
　　   
　　钱列阳：解决问题应追本溯源。
　　   
　　公民提高个人信息保护的意识是对的，但我们怎么能够过多要求公民以个人为单位自行保护自己的个人信息不受侵犯？这不现实，所以不能寄望于此。
　　   
　　个人信息保护法也一定要落实到具体的刑法、行政法“价目表”（“价目表”即处罚标准），而不再是当下的“无牙条款”（“无牙条款”指一部法律没有可操作性的罚则）。我们目前不缺调整行为的法律，明明已经有最严厉的刑法去规制此类行为，只是因为欠缺操作标准、立法有漏洞，导致约束力效果不明显——所以当务之急是补上这个法律的源头性 “漏洞”：
　　   
　　眼下，至关紧要的是建立一个完善的、可操作的处罚体系，它包括刑事处罚和行政处罚两部分。我们呼吁应同时推出这两个层次的追责标准，以判断一个“信侵犯”行为是否应当追究责任：符合刑法构成犯罪标准的按照刑法定罪处罚；不构成犯罪的但是达到行政处罚标准的，将接受行政处罚（罚款、拘留等）。除此之外，行政处罚的标准应明确量化，一旦达到处罚数量，例如信息达到多少条，或非法获利多少钱，就应当依法予以行政处罚，行政处罚两次后再犯的直接追究刑事责任，以严厉打击屡犯行为，实现两个层次的衔接。
　　   
　　这样，“信侵犯”的行为有了明确的处罚标准，司法实践中有了真正具有可操作性的可依之法条，人们对自己及他人实施的“信侵犯”行为可能导致的后果有了准确的预期和判断，必然可以有效阻止 “信侵犯”行为的泛滥，故，这才是“遏制于源头”的源头所在。
　　   
　　我认为，补上犯罪主体的漏洞，明确以上两个层次的处罚追责标准，让既有法律发挥出本应发挥的效力，要比立新法、呼吁行业自律、主张民事赔偿等做法有效得多，成本低得多。