【条文主旨】
本条是关于个人信息保护的治安管理处罚责任和刑事责任的规定。
【条文理解】
《个人信息保护法》第七章集中对个人信息处理违法行为的法律责任进行了规定,包括民事责任、行政责任以及刑事责任等,规定了较为完备的责任体系。本条是对其中治安管理处罚责任和刑事责任进行规定。关于此条规定的背景,在2021年8月17日全国人民代表大会
宪法和法律委员会关于《个人信息保护法(草案)》审议结果的报告中写道,有的常委委员和部门、社会公众提出,有关部门应完善个人信息保护投诉、举报机制,并在案件查处方面加强协同配合。全国人民代表大会宪法和法律委员会经研究,建议在草案二次审议稿中增加以下规定:一是国家网信部门统筹协调有关部门完善个人信息保护投诉、举报工作机制。二是履行个人信息保护职责的部门发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理;对有关责任人员可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人等职务。为实现法律责任有层次地全面覆盖,强化对个人信息的全面保护,本条对违法处理个人信息行为可能承担的刑事责任和治安管理处罚责任进行了衔接规定。
民事责任、行政责任和刑事责任是法律责任的基本分类。行政责任,是指因违反行政法律或行政法规而应当承担的法定不利后果。治安管理处罚,是指由公安机关依法查处的,对扰乱社会秩序、妨害公共安全、侵犯公民人身权利、侵犯公私财产,情节轻微尚不构成刑事责任的违法行为所实施的行政处罚,属于行政责任的一类。刑事责任,是指因违反刑事法律而应当承担的法定不利后果。民事责任、行政责任和刑事责任虽然是三种不同的法律责任,却可能因为同一法律行为而同时产生。同一行为既违反了民法又违反了行政法或者
刑法,由此同时产生民事责任、行政责任或者刑事责任,即发生责任聚合。[1]对此,《民法通则》第110条规定:“对承担民事责任的公民、法人需要追究行政责任的,应当追究行政责任;构成犯罪的,对公民、法人的法定代表人应当依法追究刑事责任。”《侵权责任法》第4条亦规定,针对同一行为,行为主体承担行政责任、刑事责任不影响民事责任的承担。由此可知,我国民事立法体系自始确立了三种责任相互独立,互不影响的原则。民事责任本质上是平等主体之间法律关系及其调整手段,而行政责任的目的在于维护行政管理秩序,重点在于通过责任方式实现行政管理秩序的有序性,本质上是不平等主体即公权力机关与私权利主体之间的法律关系,行政机关代表国家作出的惩罚。刑事责任的主要功能是惩罚犯罪人,与此同时具有教育或警戒犯罪人以及潜在的犯罪人,从而达到预防犯罪的目的。[2]由于上述各项责任服务于不同目的,具有不同功能,因此需同时使用,不同法律领域的规范目的才能同时实现。个人信息保护制度是一个跨越多个部门法的综合治理领域,《个人信息保护法》对个人信息保护搭建起民商事领域、行政执法领域和刑法领域等全方位、多领域的制度框架。同一违法处理个人信息的行为同时满足民事责任、行政责任乃至刑事责任构成要件的,一般情况下,其法律后果互不排斥、并行不悖。
一、关于个人信息保护的《刑法》规定
我国个人信息保护的实践早期主要在刑事领域展开。2009年《刑法修正案(七)》规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪两个
罪名,自此正式将侵犯公民个人信息行为入刑。该条首次将窃取或以其他方式非法获取公民个人信息、出售或非法提供公民个人信息的行为、情节严重过的,规定为犯罪行为。具体内容为,在《刑法》第253条后增加一条,作为第253条之一:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
2015年《刑法修正案(九)》对第253条之一作了修改,将原来的两个罪名合并为一个罪名,进一步扩大个人信息相关罪名的适用范围、提高量刑,将犯罪主体由原来的特殊主体扩大成了一般主体,单位也可构成犯罪,增加了若干项从重处罚的情节,并在从重处罚情节中提高了本罪的法定最高刑,加大了对此类犯罪的打击力度。具体内容为,将刑法第253条之一修改为:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
2017年《侵犯公民个人信息刑事案件解释》进一步明确公民信息相关犯罪的量刑标准。该
司法解释第8条还规定:“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。”第9条规定:“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。”
二、关于个人信息保护的治安管理处罚规定
2012年《
治安管理处罚法》第42条规定:“有下列行为之一的,处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款:(一)写恐吓信或者以其他方法威胁他人人身安全的;(二)公然侮辱他人或者捏造事实诽谤他人的;(三)捏造事实诬告陷害他人,企图使他人受到刑事追究或者受到治安管理处罚的;(四)对证人及其近亲属进行威胁、侮辱、殴打或者打击报复的;(五)多次发送淫秽、侮辱、恐吓或者其他信息,干扰他人正常生活的;(六)偷窥、偷拍、窃听、散布他人隐私的。”该条对个人生活安宁、个人隐私、名誉权等的保护均有涉及,往往也伴随着对个人信息的非法利用行为。虽目前关于违法处理个人信息的治安管理处罚责任并不多,但本条的衔接规定为今后进一步拓宽此类责任形态预留了空间。
【条文适用】
一、关于《个人信息保护法》和《刑法》的衔接适用
根据《刑法》规定,侵犯个人信息罪的入罪条件以行为“违反国家有关规定”为前提,《侵犯公民个人信息刑事案件解释》第2条规定:“违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的‘违反国家有关规定’。”《个人信息保护法》作为全国人民代表大会常务委员会通过的专门针对个人信息保护领域的基础性法律,对处理个人信息行为规范作出了全面、系统和细致地规定。该法第13条对处理个人信息的各项合法性前提均进行了规定。据此,可以理解为,《个人信息保护法》对个人信息这一新型权利属性和处理个人信息的行为边界进行了规定,至于违反《个人信息保护法》的规定是否将引致刑事责任,尚需结合《刑法》相关规定进行判断。刑事保护作为打击违法行为最严厉的手段,仅在针对具有严重社会危害性情节的行为适用。在上述二者进行衔接适用时需注意两点:
第一,违法处理个人信息行为需构成一定严重情节才追究刑事责任。《个人信息保护法》第10条规定:“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。”也就是说,违法出售、提供、获取个人信息的行为均属于违法行为。而《刑法》第253条之一规定,出售或者提供个人信息,欲达到刑事责任追究的范围,还需满足“情节严重”这一条件。《侵犯公民个人信息刑事案件解释》第5条对“情节严重”的具体要求进行了规定,包括:“(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;(七)违法所得五千元以上的;(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;(十)其他情节严重的情形等。”上述条件是构成侵犯个人信息犯罪的定罪条件,也就是说,即使违反了《个人信息保护法》的规定处理个人信息,但未达到上述“情节严重”的标准,并不能构成追究刑事责任的条件。
第二,《个人信息保护法》和《刑法》采用了不同的信息分类标准。《个人信息保护法》将个人信息分为一般个人信息和敏感个人信息,对于处理敏感信息要求取得权利人的单独同意。而《刑法》对个人信息的分类采取了三个梯度,包括敏感信息、重要信息、一般信息,对于处理不同信息类型的行为,定罪起点并不相同。因此,在判断是否“违反国家有关规定”时,应按照《个人信息保护法》的信息分类标准和行为规则要求,判定信息处理行为是否违法;进而,在确定是否构成“情节严重”、符合入罪标准时,再对照《刑法》的信息分类标准,确定处理行为是否达到定罪的相关标准。
二、多种责任聚合下各种责任的先后顺序
一般情况下,民事责任、行政责任和刑事责任三者各自独立存在,并行不悖。行为人承担民事责任和行政责任的,不影响对其刑事责任的追究。责任主体的财产能够满足三种责任承担时,责任人要同时承担三种责任。但是,在责任主体的财产不足以同时满足承担民事赔偿责任和承担罚款、罚金及没收财产等行政责任和刑事责任时,则应遵循民事责任优先原则。对此,《
民法典》第187条规定:“民事主体因同一行为应当承担民事责任、行政责任和刑事责任的,承担行政责任或者刑事责任不影响承担民事责任;民事主体的财产不足以支付的,优先用于承担民事责任。”在民事责任的认定后于行政责任、刑事责任场合,如果民事责任因债务人无资产陷于执行不能时,应从之前已经执行的财产罚中予以扣除,用于赔偿债务人。
