身份信息犯罪的法律问题

第二节　身份信息犯罪的法律问题

一、身份信息犯罪独立成罪的意义

所谓“身份犯罪”（Identity Crime），或者称“与身份有关的犯罪”（Identity－related Crime），是一个在国际刑事司法领域中出现不久而尚未统一的新名词，从国际上有关文献的倾向性观点来看，它是指非法获取、持有、收集、传播、买卖、使用和伪造身份信息、文件和标志的行为。

按传统的刑法观点，窃取、滥用、伪造身份信息的行为多半只是诈骗罪的预备行为，不具有独立性。随着网络时代的到来，互联网和网上银行、网上购物、网上证券交易乃至网络大学等在全球迅速普及，在一些国家中，出现不法团伙大量收集、持有、窃取、贩卖他人身份信息的活动，利用互联网大量窃取身份信息行骗为特点的“网络钓鱼”等新型犯罪层出不穷。在犯罪全球化时代，原本密切关联的上游犯罪和下游犯罪之间的独立性大大提高。在一些地区，跨境从事身份信息犯罪的人以大量收集、持有、盗窃、贩卖他人身份信息或伪造身份证件及标志为业，但并不参与使用这类信息和文件及标志的诈骗活动，甚至不过问购买这类信息、文件、标志的是什么人，为了什么目的。因此，身份信息犯罪的独立性已经愈益明显。它不宜继续作为其他犯罪的预备犯从轻处罚，而应当在刑法上独立成罪，以提高打击的力度。

二、信用卡犯罪与身份信息犯罪

信用卡持卡人信息是身份信息的一种表现形式。根据《中国人民银行关于颁布〈银行卡发卡行标识代码及卡号〉和〈银行卡磁条信息格式和使用规范〉两项行业标准的通知》规定，信用卡信息资料主要指：银行卡卡号（等同于磁条信息中的主账号）Card Number、发卡行标识代码Bank Identification Number（BIN）、主账号Primary Account Number（PAN）、发卡机构标识号码Issuer Identification Number（IIN）、个人账户标识Individual Account Identification、校验码Check Digit、个人标识代码（持卡人的个人密码）Personal Identification Number（PIN）等。

信用卡持卡人信息还涵盖许多方面，包括持卡人基本信息、账户交易信息、信贷信息等，这些信息涉及个人资料、经济情况和个人隐私，应当得到妥善维护。保护持卡人信息，已经成为业内共识，各家商业银行也都采取了相应措施维护持卡人信息安全。目前中国人民银行的个人信用信息基础数据库已经形成较大规模，截至2007年9月，该系统收录的自然人数已达到5.86亿人，在有力地支持了商业银行的个人信贷活动同时，也带来了相当的信息安全风险。

2005年6月，为万事达、维萨和美国运通卡等主要信用卡服务的一个数据处理中心网络被黑客程序侵入。这个数据处理中心负责审核商家传来的消费者信用卡号码、有效期等信息，审核后再传送给银行完成付款手续。它的网络被黑客程序侵入后，约4 000万账户的号码和有效期信息已被恶意黑客截获，此后有数万名信用卡用户举报，称账户已被人盗用消费，这表明恶意黑客窃取账户资料的目的是金融欺诈。这可能是有史以来最严重的信息安全案件。

信用卡持卡人的身份信息权由于具有财产、人格双重属性，因此，在身份信息犯罪方面也较为特殊，企业、商家、机关、事业单位、金融机构、网络运营商等都可以成为侵犯个人信息的主体。

（1）特约商户。作为市场经济的主体，特约商户为了在激烈的市场竞争中站稳脚跟，千方百计地通过各种渠道利用各种渠道，力图构建一个信息完备的消费者个人资料库，以便销售人员直接与消费者个人进行一对一的联系，信用卡持卡人的刷卡消费，便是一种十分有效的收集持卡人个人信息资料的有效途径。据了解，某些大型的连锁销售机构，其通过强大营销网络，已经掌握了大量的持卡人信息，从而成为信息侵权的主要威胁。

（2）金融机构和金融管理部门。作为持卡人信息的主要采集单位，银行在为持卡人办理信用卡时，需要持卡人填写包括姓名、身份证、工作单位、收入情况、联系方式等详细的个人资料，并经银行严格的审核与查证。中国人民银行、中国银联、银监会等金融主管部门为强化监管，建立了翔实的数据库系统，涵盖了各金融机构收集、获取的各项信息。各金融机构和金融监管部门既是持卡人信息的守护神，也是信息泄露的最大安全隐患。

（3）网络黑客和网络运营商。随着电子商务和网上银行的迅猛发展，大量的持卡人信息以网络数据的方式存储。“网络钓鱼”等大量非法手段的出现，使得网上的持卡人信息同样处于岌岌可危的状态。

从信用卡犯罪链看，信用卡犯罪包含了从信息——成卡——流转——使用的过程，随着相关立法、司法解释和《刑法修正案（五）》的出台，我国刑法对整个信用卡犯罪链都有所规制。特别是《刑法修正案（五）》的一个重要价值，就是信用卡信息资料的保护首次在刑法上得到充分的认识和肯定，它规定：“窃取、收买或者非法提供法人信用卡信息资料的，依照前款规定处罚。银行或者其他金融机构的工作人员利用职务上的便利，犯第二款罪的，从重处罚。”

信用卡犯罪的刑法规制经历了从单行刑法到刑法典再到修正案，从结果规制到行为链规制，从卡本身保护到卡信息保护，顺应了信用卡在我国发展的安全要求，符合了信用卡犯罪的集团化、专业化、分工化和跨国化的发展特征，《刑法修正案（五）》的威慑力是很高的，它把信用卡犯罪的犯罪链的每一个环节都纳入规制对象，把信用卡犯罪链中的过程行为都独立出来规制，使参与信用卡犯罪链的所有共犯都逃脱不了法律的制裁，使信用卡犯罪在源头和过程中就得以遏制，使信用卡犯罪的立法从注重对财产的保护转变为注重对卡信息资料即身份信息的保护。这不仅开信息保护的先河，更预示着身份信息的保护必将从信用卡身份信息扩展到最基本的身份信息，并为身份信息犯罪的独立化立法提供了借鉴。

三、现行身份信息犯罪的有关规定及借鉴

一般而言，利用他人身份信息资料实施犯罪行为可以分为以下三个阶段：第一阶段是非法获取他人身份信息或者身份识别凭证；第二阶段是利用非法获取的身份信息或识别凭证建立虚假身份；第三阶段是利用虚假身份获得经济利益或者从事其他犯罪活动。目前我国刑法对于第一、第二阶段的犯罪行为有所规定：如伪造、变造金融凭证罪、信用卡诈骗罪等，而对于第一阶段的行为除了前述的《刑法修正案（五）》外，没有作出其他规定。现行刑法只是把非法获取他人身份信息作为实施其他犯罪的手段或预备阶段。如对非法获取他人身份信息实施诈骗行为的，直接以诈骗罪认定，其中非法获取他人身份信息的行为并不单独认定为犯罪，而是作为诈骗的手段。这种规定的缺陷是显而易见的。

近年来，身份盗用问题已经给西方国家的经济和社会发展带来了巨大的危害。2007年11月20日英国财政大臣Alistair Darling证实，英国皇家税务及海关总署（HMRC）在邮寄过程中丢失两张重要数据光盘，其中包括约2 500万人的个人资料和银行信息。这两张光盘里面记录着英国所有拥有16岁以下孩子的家庭的详细情况，包括他们的姓名、出生日期、住址、国民保险账号及相关的银行账号等。在英国，儿童福利补贴都经过银行转账方式直接存入补助对象的账户。据估计，全国共计约有1 500万少年儿童和1 000万成人的信息丢失。这意味着英国6 000万人口的近一半面临受欺诈的危险，包括英国首相戈登·布朗、保守党领袖戴维·卡梅伦以及其他一些内阁部长和名人政要。身份信息的安全性问题已经上升到重要的议事日程。

2004年7月，联合国经济社会理事会通过决议，号召国际社会加强合作，打击“犯罪分子对身份的不当使用和伪造及相关犯罪”。2007年联合国相关机构召开有各国政府代表和多个国际组织参加的会议，讨论制定立法打击身份诈骗和加强国际合作问题，并强调要重视这类犯罪对发展中国家和经济转型国家的威胁。有迹象表明，国际社会对日益猖獗的身份犯罪正在逐步形成新的共识，最终有可能制定一部打击身份犯罪的国际公约。欧洲委员会和其他一些国际组织也召开多次区域性会议，讨论与身份有关的盗窃、诈骗、洗钱和恐怖主义等犯罪的预防，特别是与网络有关的身份犯罪的立法问题。

2006年，美国政府宣布，已成立一个打击盗用身份信息犯罪行为的协调小组，该小组将协调13个有关政府部门，制定打击盗用身份信息犯罪的统一策略，并颁布两项法律，一项要求信用卡公司必须每年向客户提供一份信用报告，以使他们能够及时了解自己的信用卡是否被人盗用；另一项则规定加大对盗用他人身份信息犯罪的惩罚力度。

加拿大于2008年1月30日就C－27号法案，即《刑法典修正法案》通过了二读，其中新规定了身份盗用犯罪、非法买卖身份信息犯罪、非法持有或者非法买卖政府颁布的身份文件犯罪，还对有关身份盗用和身份欺诈的犯罪进行了概念上的界定。修正案以列举的方式明确规定：“身份信息”是指任何生物的、物理的和其他用于识别个人的信息，包括指纹、声音印记、视网膜和虹膜特征、DNA、姓名、地址、生日、书写的签名、电子签名、登录姓名、信用卡号码、借记卡号码、账号、护照号码、社会保险号码、医疗保险卡号码、驾驶证号码和密码，等等。

四、身份信息犯罪刑法规范的构建——兼评《刑法修正案（七）》第六条

2009年2月28日，全国人大常委会审议通过了《刑法修正案（七）》，其中第六条即涉及身份信息犯罪的刑法规范。它规定，在刑法第253条后增加一条，作为第253条之一：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。”“窃取、收买或者以上述方法获取上述信息，情节严重的，依照前款规定处罚。”“单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照该款的规定处罚。”

基于前文的分析和修正案规定的不完善之处，我们认为可以从以下方面对第6条条文进行修改：

第一，将该条文从刑法第253条之一变为第280条之一。将它从侵犯财产罪变为妨害社会管理秩序罪。理由是身份信息犯罪不仅侵犯了公私财产权和个人隐私权，更重要的是它妨害了国家对信息的管理秩序。

第二，应列举增加主体。除现在的“国家机关或者金融机构、电信、交通、教育、医疗等单位”外，再增加列举保险、旅游、法律服务和印刷行业单位的工作人员。因为这些行业也很容易掌握公民的个人信息。

第三，增加行为样态。从现在的4种增加到9种。即将“出售或者非法提供”修改为“出售、非法提供、收集、使用、披露、伪造、购买”等7种。原第3款保留“窃取、收买或者以其他方法非法获取”进行保留。这样，总共列举了9种。“购买”和“收买”可以分立；“购买”主要是指用金钱作为对价买入，而“收买”的范围更广，金钱、金钱之外的财物或者其他非法利益或手法都可作为收买的手段，而且不一定讲究对价。规定9种行为，不留空白，不留死角。要保留“情节严重”，可以防止打击面过宽。

第四，进一步明确保护对象。现保护对象只指“公民个人信息”，拟修改为：“公民个人信息和证明文件”，并进行列举：“个人姓名、职业、年龄、婚姻状况、种族、学历、学位、专业资格、工作经历、住址、电话号码、网上登录密码等身份信息。”这样在一般情况下，就不必再制定司法解释来进一步明确范围了。

第五，明确本罪可以由过失构成，即增加规定：“非法泄露或者遗失上述信息，情节严重的”，即使尚未造成具体的危害结果，也应当构成本罪。上述英国身份信息泄露事件，引起了英国社会的巨大恐慌，这一严重的职务过失，理应受到刑法的处罚。^[92]