强化对个人金融信息的刑法保护

魏 彬

近来，有关金融机构泄露客户信息的报道屡见不鲜，与信息外漏接踵而来的，是各类下游犯罪的借机猖獗。因此，笔者在分析侵害金融信息犯罪的基础上，探讨相关问题。

      一、司法实践中的侵害形式和刑法规制。

      特殊主体泄露信息——出售、非法提供公民个人信息罪。刑法修正案(七)将金融机构等特殊机构员工泄露个人信息的行为纳入刑法规制的范围，旨在从源头上遏制犯罪。

      一般主体传输信息——非法获取公民个人信息罪。与特殊主体犯罪相对应，刑法第253条第4款规定了非法获取公民个人信息罪，将获取信息的主体纳入规制范围。

      侵害特定金融信息——窃取、收买、非法提供信用卡信息罪。在个人金融信息中，信用卡信息因为直接关系到财产安全，从而需要更为特别的保护。刑法修正案(五)增设了第177条之一，作为信用卡诈骗的前置保护条款。该罪名不设信用卡信息的数量要求，其保护力度之强可见一斑。

      通过网络盗取信息——非法获取计算机信息系统数据罪。一些犯罪分子为了获取更多信息，使用网络黑客等非法技术手段侵入计算机系统，这种行为可能构成刑法第285条第2款规定的非法获取计算机信息系统数据罪。

      不法分子利用信息——衍生各类下游犯罪。犯罪分子获取信息的最终目的是牟取私利，轻者扰乱他人日常生活，重者衍生各种犯罪。其中，由于信用卡获利的快捷性，使得妨害信用卡管理罪和信用卡诈骗罪成为最直接的外延犯罪。

      二、理论研究难点与理解适用。

      对个人信息的理解。笔者认为，“公民个人信息是包括姓名、职业、职务、年龄、婚姻状况、学历、专业资格、工作经历、家庭住址、电话号码、账号、信用卡号码、指纹、网上登录账号和密码等能够识别公民个人身份的信息”。既不能笼统地涵盖所有信息，也应该具有一定的价值和识别性，否则难以将其纳入刑法保护的范围。

      存在争议的是，在非法获取公民个人信息罪中，如果严格按照“窃取或者以其他方法非法获取上述信息”的文字表述，其保护的对象是来源于特殊机构的信息，即强调信息来源的专属性。这意味着在查处一般主体犯罪中，也必须给涉案信息找到特殊机构的来源才能入罪。而在当前查办的犯罪中，多数信息已经在网络上经

      多次倒卖，其最初来源无法查清。笔者认为，从立法本意上考量，非法获取公民个人信息罪是一般主体犯罪，只要能够证明其获取对象的非法性即可，而不应将其源头苛求为定罪要件。

      入罪标准的确定。在个人信息保护的刑法规制中，有的罪名要求行为达到“情节严重”方能入刑。至于何谓“情节严重”，非法获取计算机信息系统数据罪已在《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中予以规定，而刑法第253条所涉及的出售、非法提供公民个人信息罪、非法获取公民个人信息罪却尚无具体规定。

      关于“情节严重”，有学者从以下几方面予以考量:一是数量因素，包括信息的数量、犯罪次数及获利金额;二是对公民的影响，即对公民私生活的干扰及对财产权的侵害程度;三是对社会的影响，即是否导致后续犯罪或秩序严重破坏。

      在办案中，各地对上述个人信息保护中“情节严重”的把握尺度各不相同。虽然各地可根据实际情况适度裁量，但如果始终缺乏统一标准予以规制，那么行为人利用网络技术流窜作案的话，会导致因管辖地点的不同而处罚不同，甚至影响罪与非罪的认定，明显违背公平原则。

      竞合、牵连犯的辨析。上述不同罪名既然都指向个人信息的保护，在适用时难免会有交集。当特别法与普通法发生竞合时，应根据特别法优先的原则认定;当一行为同时触犯两个罪名、构成想象竞合犯时，应遵循择一重罪处罚的原则认定;当指向个人信息的上游犯罪和下游犯罪发生紧密牵连时，应根据牵连犯择一重罪处罚的原则处理。

      三、刑法保护的进一步延伸和完善。

      出台司法解释，填补规定空白。既然法律已将侵害公民信息的行为入刑，首先应有效利用现有资源，使已有的法条“活起来”。最务实的方法就是尽快出台相关司法解释，对刑法中个人信息的范围、情节严重的标准等作出具体规定。对“倒买倒卖”个人信息行为，不应受到刑法第253条第4款“上述信息”字眼上的不当局限，使其平等地受到应有的惩处。

     加强网络监管，完善调查取证。针对当前利用网络买卖信息猖獗的现状，应该利用好这把双刃剑，用其本身的“正能量”压倒“负影响”。就事前预防而言，对于金融机构数据库等敏感地点，网监部门应当建立严密的监控机制，对相关人员及IP地址等即时监控和不定期巡查。就事后调查而言，司法办案部门应当被允许利用更多的高科技手段取证:一是可以从通讯商处调取通话记录、短信内容和聊天记录;二是可以通过专门的技术工具追踪定位犯罪嫌疑人，突击检测其手机、电脑、U盘等电子设备是否涉及犯罪。

      明确单位责任，适用经济赔偿。信息泄漏的源头发生在金融机构内部，如果出现违法侵害行为，相关单位和负有管理义务的人员绝不能置身事外。2013年10月修改的消费者权益保护法规定:经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供……这是国家以立法方式明确单位的保密责任，但尚未规定怠于履行的责任。“无责任则无义务”，笔者建议在刑事打击的同时，补充规定失职单位的经济赔偿责任。

      (作者单位:上海市黄浦区人民检察院)