【作者】汪恭政
【作者简介】武汉大学法学院2016级刑法学博士研究生
【内容摘要】支付客户信息,分为个人支付客户信息和单位支付客户信息,具有可识别性的本质特征。与公民个人身份信息相比,支付客户信息涵盖的范围更广,但这也方便了非银行支付机构及其工作人员非法获取、提供和利用,给既有刑法规制带来困境。规制侵犯支付客户信息的不法行为,应从侵犯公民个人信息罪和侵犯商业秘密罪区分规制的角度对类似不法行为形成同等性治理,以此为基础适时修改侵犯公民个人信息罪和侵犯商业秘密罪的规范内容,并明确修改后两罪的适用范围及边界。
【关键词】非银行支付机构 支付客户信息 侵犯公民个人信息罪 侵犯商业秘密罪
随着网络支付业务的不断发展,支付客户信息已成为非银行支付机构发展的“战略性资源”,其范围早已跨越基本身份信息而向外扩展。然而,伴随支付领域市场竞争的激烈化趋势,非银行支付机构及其工作人员为获得有利的市场地位,不时做出非法获取、利用、提供支付客户信息的不法行为。无论是现有刑法中的侵犯公民个人信息罪还是侵犯商业秘密罪,都难以对支付客户信息起有效的保护作用。面对侵犯支付客户信息的现状,有必要根据个人支付客户信息和单位支付客户信息的属性及特点,修改侵犯公民个人信息罪和侵犯商业秘密罪的规范内容,并完善两罪的适用范围及界限。
一、支付客户信息及其面临侵犯的不法类型
(一)支付客户信息的基本界定
支付客户,作为接受非银行支付机构网络支付服务的金融消费者,包括个人客户和单位客户。截至2018年6月,我国网络支付用户规模达到5.69亿户,较2017年末增长7.1%,使用比例由68.8%提升至71.0%。[1]客户在享受网络支付服务时,与之相关的信息逐渐成为一项容易受到侵害的资源。
虽然现有规范没有明确何谓支付客户信息,但中国人民银行(以下简称央行)《非银行支付机构网络支付业务管理办法》第四十四条从个人支付客户和单位支付客户的角度对其身份信息作了规定:“个人客户的身份基本信息,包括客户的姓名、国籍、性别、职业、住址、联系方式以及客户有效身份证件的种类、号码和有效期限。单位客户的身份基本信息,包括客户的名称、地址、经营范围、统一社会信用代码或组织机构代码;可证明该客户依法设立或者可依法开展经营、社会活动的执照、证件或者文件的名称、号码和有效期限;法定代表人(负责人)或授权办理业务人员的姓名、有效身份证件的种类、号码和有效期限。”通过以上信息可以识别主体身份,表明支付客户信息具有可识别性的本质特征。[2]
另外,央行《关于银行业金融机构做好个人金融信息保护工作的通知》从个人金融消费者角度明确了个人金融信息的范围:一是身份信息,包括姓名、身份证号、联系方式、住处等;二是财产账户信息,涉及收入状况、账号密码、账户数额等;三是金融交易信息,包括交易规模、交易类型、交易对象等;四是金融信用信息,指信用消费、贷款偿还情况以及个人在经济活动中形成的,能够反映其信用状况的其他信息等;五是其他金融衍生信息,包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定金融消费者情况的信息。[3]按照央行支付结算司《〈非银行支付机构网络支付业务管理办法〉条款释义》的规定,“支付机构应参照《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》等规定,切实做好客户信息安全保护工作”[4]。由此可见,支付客户信息的范围早已“超越”《非银行支付机构网络支付业务管理办法》对其身份信息的狭窄界定,已向财产账户信息、交易信息、信用信息以及其他衍生信息扩展。
(二)侵犯支付客户信息的不法类型
非银行支付机构及其工作人员在提供支付及其衍生服务过程中获得了大量的支付客户信息。“由于支付机构本身就留存了大量的客户个人基础信息与交易信息,而这更加剧了支付客户信息被泄露的风险。”[5]实践中,侵犯支付客户信息的不法行为已呈现多样化。
1.非法获取支付客户信息。非法获取支付客户信息主要表现为,非银行支付机构及其工作人员违反国家有关规定,在提供支付及其衍生服务过程中,超越法律规定的权限收集支付客户信息。《网络安全法》第四十一条第二款明确规定,“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息”。但是,非银行支付机构及其工作人员在提供支付及其衍生服务过程中常超越法律规定的权限收集与支付及其衍生服务无关的支付客户信息,即过度收集支付客户信息,通常表现为:一是非银行支付机构及其工作人员利用所提供的支付技术优势,迫使支付客户提供过多的信息,“通信技术特别是互联网在收集更大量的个人数据上提供了新的可能”[6]。例如,非银行支付机构工作人员在向客户推荐支付服务软件时,径直在支付服务软件中设定恶意程序,当支付客户接受服务时须注册服务软件便被“自动”获取了手机通讯录信息等。二是非银行支付机构及其工作人员借助格式条款、一揽子授权协议,使支付客户“被迫”提供过多的信息。比如,违反国家有关规定留存支付客户银行卡敏感信息。2018年7月30日,央行对卡友和付临门两家支付机构的违规行为作出罚款决定,其中,处罚的行为就包括违规留存支付客户的银行卡敏感信息。[7]又如,非银行支付机构为准确判断支付客户的日常出入地点,向支付客户精准推荐支付服务APP软件时,假借格式条款所“授予”的权限收集客户的地理位置信息等。诚如有论者所言,“很多机构在收集信息过程中,虽然也会征得消费者同意,但大多是走形式。更有甚者,消费者若不同意,就不能使用金融服务,消费者最终只能忍气吞声,作出无奈的选择”[8]。
2.非法提供支付客户信息。非法提供支付客户信息,指非银行支付机构及其工作人员将掌握的支付客户信息提供给他人的行为,具体包括非法出售和非法公开支付客户信息两类:
第一,非法出售支付客户信息,即非银行支付机构及其工作人员向他人有偿提供支付客户信息。这种行为的“突出特征就在于提供个人信息以获取非法利益”[9]。2013年,某支付机构内部员工因多次批量出售支付客户信息被杭州警方逮捕,该员工利用工作便利,多次下载并出售公司客户资料,内容超过20G。[10]
第二,非法公开支付客户信息,即行为人向他人非有偿提供支付客户信息,该行为不具有牟利性。实践中有两种方式:一种是非银行支付机构及其工作人员向特定人提供支付客户信息;另一种是通过信息网络泄露支付客户信息。2015年1月,某支付机构泄露了上千万张银行卡信息,涉及全国16家银行,之后半年多的时间里,由于伪卡形成的损失已达3900多万元。[11]
3.非法利用支付客户信息。个人信息海量搜集的背景下,个人信息的滥用是显而易见的。[12]从语义上看,非法利用指行为主体不当使用的行为。非法利用支付客户信息,则指持有支付客户信息的非银行支付机构及其工作人员不当使用支付客户信息的行为。《网络安全法》第四十一条第一款规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”尽管该款要求非银行支付机构使用支付客户信息时应遵守法律规定,但实践中非法使用支付客户信息的行为屡屡发生。
如2018年3月22日,支付宝因违反《消费者权益保护法》,不当使用个人支付客户信息,而被人民银行杭州中心支行处以5万元的罚款。[13]据报道,有些非银行支付机构为规避法律规定,会在《平台注册协议》或《支付服务协议》中约定,“只要用户在其处注册完成后,即默认用户无条件同意支付公司及关联公司,甚至合作公司,将用户所有个人信息无期限地用于任何平台,用于任何商业行为”[14]。比如,海淀法院审理的支付宝非法使用个人信息案中,“该案原告俞先生诉称,其到北京乐友公司运营的‘乐友北京清河店’购买牙膏,并使用支付宝支付。支付完成后,俞先生发现支付宝的‘支付完成’页面最后一行以很小的字体显示‘授权淘宝获取你线下交易信息并展示’,并在其前面设置了‘默认勾选’。为查询个人信息是否被泄露,俞先生在尚未对支付宝客户端进行任何进一步确认操作的情况下,立即登录淘宝客户端发现,其与北京乐友公司发生交易的信息(包括商品信息、店铺信息、交易价格等)已显示在淘宝客户端的订单中。随即俞先生又登录天猫客户端查看,发现上述交易信息也已显示在天猫客户端的订单中”[15]。
二、侵犯支付客户信息刑法规制的困境
支付客户信息关乎支付客户的正当权益,其重要性与日俱增。面对个人支付客户信息和单位支付客户信息频遭侵害的局面,《刑法》第二百五十三条之一规定的侵犯公民个人信息罪和《刑法》第二百一十九条规定的侵犯商业秘密罪都作了应对,但在适用过程中仍面临不少困境。
(一)侵犯个人支付客户信息刑法规制的困境
近年来,随着信息网络的普及和发展,侵犯包括个人支付客户信息在内的公民个人信息的违法犯罪愈发突出,出售、非法提供和非法获取公民个人信息的行为日渐增多。为进一步适应治理侵犯公民个人信息犯罪的需要,《刑法修正案(九)》对“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”作了修改,增设《刑法》第二百五十三条之一,即设立侵犯公民个人信息罪。
相比之前罪名,新罪名有明显变化:犯罪主体上,将“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”扩大为任何个人和单位,并对履行职责或提供服务过程中的行为主体处以从重处罚;行为方式上,在出售、非法提供的基础上增加窃取行为,并扩展非法获取的含义;构罪前提要件上,将“违反国家规定”扩大为“违反国家有关规定”;法定刑设置上,增加两档法定刑,最高有期徒刑由3年变为7年。以上条款的变化无疑对治理侵犯支付客户信息的行为起到积极作用,但在适用时仍面临困境。
1.不法行为类型规制的遗漏。从信息移转的流程看,信息涉及“获取—利用—提供”三大流转环节。其中,违反国家有关规定,向他人出售、提供包括个人支付客户信息在内的公民个人信息的行为,会受到《刑法》第二百五十三条之一第一款的规制。窃取或以其他非法方法获取个人支付客户信息的行为,也会受到该条第二款惩治。但该条未对违反国家有关规定利用个人支付客户信息的行为作出规制。
目前,非法利用支付客户信息行为,已成为非银行支付机构及其工作人员非法获利的重要手段。随着网络支付业务的发展,享受网络支付便利的客户群体日渐扩大,但“公私领域对于数据利用的需求比以往任何一个时代更加迫切”[16]。
从域外来看,非法利用包括个人支付客户信息在内的个人信息(数据)已纳入刑法规制范围。在德国,《联邦数据保护法》已将“为获取报酬,为自己或他人谋取利用,以及为他人实施侵害或犯罪故意实施第43条(2)中规定的行为”[17]纳入刑事处罚范围。其中“第43条(2)”就对“未经授权对非公开的个人数据进行收集或处理”和“违反第28条(4)第1项规定为了商业或民意调查、处理或利用个人数据”的行为作出界定。日本《个人信息保护法》规定,“违反第63条的规定,泄露秘密或者盗用的,处以两年以下惩役或者一百万日元以下的罚金”[18]。其中,盗用就包括利用行为。我国台湾地区“个人资料保护法”规定,“意图为自己或第三人不法之利益或损害他人之利益,而违反第6条第1项、第15条、第16条、第19条、第20条第1项规定……足生损害于他人者,处五年以下有期徒刑,得并科新台币一百万元以下罚金。”其中,第6条第1项”就涉及个人资料的搜集、处理或利用。
2.刑法规制力度的不均衡。《刑法》第二百五十三条之一第二款对“违反国家有关规定,将在履行职责或者提供服务过程中获得的个人支付客户信息,出售或者提供给他人的”行为作从重处罚的规定,但未对履行职责或提供服务过程中非法获取和出售或提供他人信息作等同规定,以致易造成规制力度的不均衡。
庞大的支付客户群体,为非银行支付机构及其工作人员非法获取支付客户信息创造了犯罪条件。非银行支付机构及其工作人员在提供服务中,无论是在提供支付服务的技术上,还是在提供具体类型的支付服务上,已处于优势地位,能“轻而易举”地利用技术优势、格式条款或一揽子授权协议超越权限获取个人支付客户信息。然而,既有刑法仅对履行职责或提供服务过程中提供个人信息的行为予以从重处罚,而对更为前端的非法获取个人信息作一般处罚,显然有不合理之嫌。
(二)侵犯单位支付客户信息刑法规制的困境
单位支付客户信息与个人支付客户信息尽管都有可识别性的本质特征,但也有不同特点:一是单位支付客户信息不仅包括单位本身的信息,也涉及法定代表人(负责人)或授权办理业务人员的信息。单位本身的信息以可识别于单位身份为本质特征,而法定代表人(负责人)或授权办理业务人员的信息,特别是其身份基本信息,既能起到识别单位身份的作用,也能识别法定代表人(负责人)或授权办理业务人员的个人身份,存在双重识别的属性。
二是单位支付客户信息不同于个人支付客户信息,受企业信息披露、公示机制的约束。随着支付技术的进步与支付需求的增加,单位支付客户信息的范围日渐扩大,信息的供给与传递并非处于完全有效状态,信息不对称成为常态。为保障商事交易的效率、安全,保护投资者、债权人的正当权益,部分单位支付客户信息需要披露、公示,“公开原则被高举为医治社会和企业弊病的良药,犹如阳光是最佳的消毒剂,电灯乃最高效的警察”[19]。《企业信息公示暂行条例》第一条也规定:“为了保障公平竞争、促进企业诚信自律,规范企业信息公示,强化企业信用约束,维护交易安全,提供政府监管效能,扩大社会监督。”然而,在范围日益广泛的单位支付客户信息被披露、公示时,其中含有的商业秘密也面临遭受侵犯的风险。[20]而当前对于侵犯单位客户信息中商业秘密行为起积极规制作用的,当属《刑法》第二百一十九条侵犯商业秘密罪,但在适用该罪时也面临争议。[21]
1.不法行为处罚范围过于宽泛。《刑法》第二百一十九条对不法获取、披露、使用商业秘密的行为都作了规制,基本涵盖了侵犯单位支付客户信息的不法类型。但该条第二款将“应知前款所列行为,获取、使用或者披露他人的商业秘密的”行为纳入规制范围,无疑扩大了打击范围。“应知前款所列行为而实施侵犯商业秘密行为的,是一种过失的犯罪行为。”[22]对此,关于该款规定的去与留,理论上争议不断。
有学者认为,该款不合理,应予以取消,因为侵犯商业秘密罪属于典型的法定犯,不仅在伦理道德上可谴责性弱,而且不具备设立普通过失犯罪的刑事可罚性,也缺乏刑罚适用的必要性。[23]有论者主张,过失侵犯商业秘密存在规制的必要性,“仅从过失侵犯商业秘密行为给权利人造成重大损失的角度来看,确实不能充分证明用刑罚手段处罚过失泄露商业秘密行为的合理性,但从过失侵犯商业秘密行为给社会造成很严重的危害的角度来看则不然”[24]。
就单位支付客户信息而言,当非银行支付机构与单位支付客户形成资金移转的法律关系时,非银行支付机构及其工作人员无论是获取、提供还是利用单位支付客户信息,调整支付客户信息的民事和行政法律规范(前置性规范)都已作了规定。将非银行支付机构及其工作人员过失侵犯商业秘密的情形纳入刑法调整范围,无疑忽视了前置性规范的前端治理作用,阻碍了网络支付业务的创新发展,而且“应知”的认定在诉讼证明活动中较为困难,强行纳入规制范围无疑增加诉讼成本。
2.不法行为规制力度缺乏层次性。如前所述,《刑法》第二百一十九条将不法获取、披露和使用商业秘密的行为都纳入调整范围,实现了“获取—利用—提供”行为的系统治理。但该条规制不法行为的力度缺乏层次性,主要表现在未对履行职责和提供服务过程中不法获取、披露、使用行为作从重规制。
无论是从技术优势、经济实力,还是议价能力、市场地位来看,非银行支付机构相比单位支付客户而言都占有优势地位。这也就为非银行支付机构及其工作人员在提供网络支付服务过程中获取其所需的支付客户信息提供了便利条件。实践表明,非银行支付机构利用优势地位违反法律规定获取、利用、提供单位支付客户信息的行为十分普遍。而且,相比侵犯个人支付客户信息的刑法规制,《刑法》第二百五十三条之一早已对履行职责和提供服务过程中将获取的个人信息出售或提供给他人的行为作从重处罚的规定。因此,对非银行支付机构及其工作人员在提供服务过程中不法获取、披露、使用单位支付客户信息的行为,也应当从重处罚,这样定然会增强对单位支付客户信息的保护。
3.定罪量刑情节界定的不充分。《刑法》第二百一十九条第一款规定:“给商业秘密的权利造成重大损失的,处三年以下有期徒刑或者拘役,并处或者单处罚金;造成特别严重后果的,处三年以上七年以下有期徒刑,并处罚金。”根据该款规定,无论是入罪条件,抑或法定刑升格条件,都仅以结果为导向,忽视了对情节要素的考虑。
最高人民法院、最高人民检察院《关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释》第七条规定:“给商业秘密的权利人造成损失数额在五十万元以上的,属于‘给权利人造成重大损失’,应当以侵犯商业秘密罪判处三年以下有期徒刑或者拘役,并处或者单处罚金。给商业秘密的权利人造成损失数额在二百五十万元以上的,属于刑法第二百一十九条规定的‘造成特别严重后果’,应当以侵犯商业秘密罪判处三年以上七年以下有期徒刑,并处罚金。”最高人民法院、公安部《关于公安机关管辖的刑事案件立案追诉标准的规定(二)》第七十三条规定,涉嫌给商业秘密权利人造成损失数额在50万元以上、因侵犯商业秘密违法所得数额在50万元以上、致使商业秘密权利人破产的以及造成其他重大损失的情形应以侵犯商业秘密罪立案追诉。
以上规定表明,造成重大损失、造成特别严重后果的认定,重在判断危害结果的严重程度,而对与其社会危害程度相当的严重情形缺乏重视。实践中,无论是侵犯个人支付客户信息,还是侵犯单位支付客户信息,与造成重大损失、造成特别严重后果相当的不法情形多种多样。既有涉及信息数量、信息种类及其侵害程度的情形,也有造成社会不利影响的情形,还有受过处罚再犯的情形。由此看来,忽视不法情形的考虑无疑会弱化规制侵犯单位支付客户信息的预期效果。
三、侵犯支付客户信息刑法规制的完善建议
面对支付客户信息受侵犯的不利局面,“还原第三方支付机构的金融属性不仅是出于对事物‘本真’的追求,更是出于对处于弱势地位的消费者提供强有力的公权力保护。”[25]因此,针对规制侵犯支付客户信息的困境,有必要修改刑法规范并从适用上作出完善,以更好地保护支付客户信息。
(一)侵犯支付客户信息刑法规制的规范修改
面对支付客户信息受侵害的现实,特别是非银行支付机构及其工作人员非法获取、利用、提供支付客户信息的现状,有必要结合个人支付客户信息和单位支付客户信息各自特点,对具体适用罪名的规范内容作具体修改。
1.侵犯公民个人信息罪的规范修改。侵犯公民个人信息罪是调整侵犯个人支付客户信息的关键罪名,根据前文规制的困境,有必要从如下角度完善《刑法》第二百五十三条之一的规定:
第一,应对将在履行职责或提供服务过程中获得的包括支付客户信息在内的公民个人信息作从重处罚的规定。实践中,非银行支付机构作为提供网络支付服务的主体机构,相比个人支付客户而言,无论是技术提供上,还是服务提供上,已占优势地位。为此,有必要对其违反国家有关规定获取包括个人支付客户信息在内的公民个人信息的行为施以更重的处罚,如此一来,便能对处于弱势地位的个人支付客户形成更好的保护。
第二,应将非法利用包括个人支付客户信息在内的公民个人信息行为纳入该罪治理范围,并对在履行职责或提供服务过程中违反国家有关规定利用公民个人信息的行为作从重处罚的规定。从2017年《治安管理处罚法(修订公开征求意见稿)》第五十七条第一款的规定看,[26]非法获取、持有、使用、出售、提供、传播包括个人支付客户信息在内的公民个人信息已纳入前置性规范的惩治范围。由此表明,非法使用、传播等使用行为的危害程度同非法提供相当。虽然治理该类行为的前置性规范并未生效,但充分说明了非法利用行为侵犯信息法益的现实可能。为此,有必要将其纳入该罪治理范围,并对在履行职责或提供服务过程中违反国家有关规定利用公民个人信息的行为,作从重处罚的规定。
结合以上分析,一要修改《刑法》第二百五十三条之一第一款,将“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”修改成“违反国家有关规定,利用或者向他人出售、提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。
二要修改《刑法》第二百五十三条之一第二款,将“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚”修改成“违反国家有关规定,在履行职责或者提供服务过程中获取公民个人信息的,或者将在履行职责或者提供服务过程中获得的公民个人信息,利用或者向他人出售、提供的,依照前款的规定从重处罚”。
2.侵犯商业秘密罪的规范修改。针对单位支付客户信息,除单位依法履行信息公示或披露义务以外,其他单位支付信息应当受到刑法保护,并形成与个人支付客户信息同等力度的保护,对类似侵害行为应施以同等力度的刑罚惩治。面对侵犯单位支付客户信息的规制困境,应对刑法》第二百一十九条的规范内容作如下修改。
第一,应删除过失获取、使用或者披露他人单位支付客户信息中涉及商业秘密的情形。就单位支付客户信息而言,将过失侵犯含有商业秘密的单位支付客户信息的行为纳入该罪规制范围,一定程度上阻碍了网络支付业务的创新发展。过失获取、利用和提供支付客户信息的主体,在主观心态上,通常未能确实知晓其行为对单位支付客户信息法益造成了侵害。缺乏确知的情形就直接动用刑法,在一定程度上与人们全方位、多角度地接触信息的未来趋势发生背离,进而妨害了网络支付业务的发展。因此,有必要删除过失侵犯商业秘密的规定。
第二,完善定罪量刑情节的规定,应在考虑“给商业秘密的权利人造成重大损失”“造成特别严重后果”的基础上,加入情节要素。实践中,无论是非银行支付机构,还是非银行支付机构工作人员,侵犯单位支付客户信息涉及商业秘密的情形多种多样,既包括造成权利人财产损失的危害后果,也涉及诸如造成大量信息泄露、造成社会恶劣影响的严重情节。无论入罪还是法定刑升格,仅考虑造成损失的危害后果,无疑缩小了该罪适用范围,不利于保护单位支付客户信息中所涉及的商业秘密。
此外,与《刑法》第二百五十三条之一相比较,该条在定罪量刑情节上已加入“情节严重”“情节特别严重”的规定。尽管《刑法》第二百一十九条和第二百五十三条之一配置相同梯度的刑罚,但在定罪量刑情节上,第二百五十三条之一的规定较为完善。因此,应考虑在“给商业秘密的权利人造成重大损失”“造成特别严重后果”的基础上,加入“严重情节”“特别严重情节”要素。
对应以上分析,一要修改《刑法》第二百一十九条第二款,将“明知或者应知前款所列行为,获取、使用或者披露他人的商业秘密的,以侵犯商业秘密论”修改为“明知前款所列行为,获取、使用或者披露他人的商业秘密的,以侵犯商业秘密论”。并在其后增加内容,即“违反约定或者违反权利人有关保守商业秘密的要求,在履行职责或者提供服务过程中,获取、披露、使用其所掌握的商业秘密的,依照前款的规定从重处罚”。
二要修改《刑法》第二百一十九条第一款,将“有下列侵犯商业秘密行为之一,给商业秘密的权利人造成重大损失的,处三年以下有期徒刑或者拘役,并处或者单处罚金;造成特别严重后果的,处三年以上七年以下有期徒刑,并处罚金”修改为“有下列侵犯商业秘密行为之一,给商业秘密的权利人造成重大损失或者有其他严重情节的,处三年以下有期徒刑或者拘役,并处或者单处罚金;造成特别严重后果或者有其他特别严重情节的,处三年以上七年以下有期徒刑,并处罚金”。
(二)侵犯支付客户信息刑法规制的适用完善
完善支付客户信息的保护离不开修改后规范的具体适用。根据上述规范的修改建议,侵犯公民个人信息罪、侵犯商业秘密罪在具体适用过程中,应充分发挥前置性规范的规制作用,以明确修改后两罪的适用范围及边界。
1.侵犯个人支付客户信息刑法规制的适用完善。根据《刑法》第二百五十三条之一的规定,侵犯公民个人信息罪属于情节犯,表明并非出现侵犯个人支付客户信息的行为,就构成该罪。因此,在决定是否适用该罪时应注意以下方面。
第一,应充分考虑前置性规范调整的必要性,具体应把握两点:一是坚持上位法优于下位法;二是当适用规范效力位阶相同时,新法应优于旧法。目前涉及包括个人支付客户信息在内的个人信息保护的主要法律规范有《网络安全法》《消费者权益保护法》《中国人民银行法》《非金融机构支付服务管理办法》《非银行支付机构网络支付业务管理办法》[27]等,其中,《网络安全法》《消费者权益保护法》《中国人民银行法》属于法律,效力位阶最高,应优先考虑,加之《网络安全法》属于新法,应优先选择适用《网络安全法》。根据该法第六十四条的规定,网络运营者、网络产品或服务的提供者违法收集、使用、泄露、篡改、损毁个人信息的,由有关主管部门责令改正,可根据情节单处或并处警告、没收违法所得、处违法所得1倍以上10倍以下罚款;没有违法所得的,处100万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
此外,在考虑前置性规范调整的必要性时,应重在关注侵犯行为性质的判断,而不是将前置法手段和刑法手段进行简单对比。以《网络安全法》第六十四条和《刑法》第二百五十三条之一为例,《网络安全法》第六十四条作了“处违法所得1倍以上10倍以下”罚款数额的规定,而《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第十二条将罚金数额规定为“违法所得的1倍以上5倍以下”。同时,《网络安全法》第六十四条规定,非银行支付机构等单位侵犯个人支付客户信息,情节严重的,处以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者营业执照;而《刑法》第二百五十三条之一第四款仅对包括非银行支付机构在内的单位适用罚金处罚。
将二者治理力度简单对比不难发现,无论是罚款数额,还是业务活动范围、资格的限制或剥夺,《网络安全法》似乎都比刑罚的治理力度大。但是,实践中的法律适用并非两者治理力度的简单对比。因为手段的来源依据不同,应更多地偏重于判断侵犯行为的性质,根据性质的严重程度,决定适用前置法《网络安全法》,还是适用《刑法》。当侵犯个人支付客户信息的行为足够严重,必须以刑事处罚威慑行为人,以达到预防日后再次发生此类行为的目标时,就需要优先考虑适用《刑法》第二百五十三条之一,而不是适用罚款数额更大的《网络安全法》第六十四条。
第二,要考虑适用侵犯公民个人信息罪规制的范围,即侵犯个人支付客户信息应达到“情节严重”的程度。情节严重的界定,在参照《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的基础上,可从侵犯个人支付客户信息的行为次数、侵犯个人支付客户信息的数量以及危害结果程度上作以下完善:在侵犯个人支付客户信息的行为次数上,当行为人因侵犯个人支付客户信息已受过刑法手段调整的,若再次违反即可构成情节严重;当行为人因该类行为已受过两次前置法手段(行政处罚)规制的,也属于情节严重情形;若无前两者情形的,则以三次以上违反为限;侵犯个人支付客户信息的数量上,应以对个人支付客户信息可识别性的程度为标准,确立不同层级的信息数量认定模式,如身份信息和财产账户信息50条、交易信息和信用信息500条、其他衍生信息5000条以上的,应认定为情节严重;危害结果程度上,建议将造成个人支付客户财产损失较大的情形纳入情节严重的范围。
另外,对于侵犯单位支付客户信息中法定代表人(负责人)或授权办理业务人员信息的,若其信息属于与依法履行单位信息公示或披露义务无关的信息,则应纳入侵犯公民个人信息的规制范围。达到情节严重的,受侵犯公民个人信息罪的规制。
2.侵犯单位支付客户信息刑法规制的适用完善。单位支付客户信息与个人支付客户信息相比,虽然都有可识别性的本质特征,但又存在单位信息须依法公示的独有特点。因此,适用侵犯商业秘密罪的关键,在于厘清商业秘密的范围,并明晰“其他严重情节”的界限。
第一,商业秘密的范围。《刑法》第二百一十九条第三款规定:“商业秘密,是指不为公众所知悉,能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息。”可见,商业秘密有三大特点:一是秘密性,即不为公众所知悉;二是价值性,即能给权利人带来经济利益;三是保密性,即需要权利人采取保密措施。根据前文,单位支付客户信息涉及基本身份信息、财产账户信息、交易信息、信用信息以及其他衍生信息诸多类别。对于基本身份信息,根据国家标准《企业信用数据项规范》的规定,主要涉及工商、税务和组织机构代码等登记的信息,依法应向社会公开。对于财产账户信息、交易信息,根据《企业信息公示暂行条例》第九条第二款的规定,资产总额、负债总额、对外提供保证担保、所有者权益合计、营业总收入、主营业务收入、利润总额、净利润、纳税总额信息可由单位(企业)选择是否向社会公示。信用信息中的信贷信息,根据《征信业管理条例》第二十九条第二款的规定,从事信贷业务的机构向金融信用信息基础数据库或者其他主体提供信贷信息,应事先取得信息主体的书面同意。由此表明,财产账户信息、交易信息、信用信息以及其他衍生信息中若存在具有秘密性、价值性、保密性特点的信息,应将其认定为商业秘密,经权利人同意方可公开。
第二,“其他严重情节”的界限。本文认为,应借鉴《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的相关规定,出台司法解释,将侵犯商业秘密的行为次数、数量、重要程度以及给社会造成恶劣影响的因素纳入“其他严重情节”的考虑范围。具体而言,侵犯行为次数上,可借鉴上文关于侵犯公民个人信息行为次数的修改规定;侵犯商业秘密的数量上,可结合侵权产品的数量进行考虑;侵犯商业秘密的重要程度,可从侵权产品的市场价值角度考虑;造成社会的恶劣影响,可考虑是否引起商业秘密权利人停产、清算、解散,或者对行业发展产生严重的不利影响。当非银行支付机构及其工作人员侵犯含有商业秘密的单位支付客户信息没有造成重大损失或其他严重情节的,可依照《民法总则》第一百二十三条[28]、《反不正当竞争法》第九条和第二十一条的规定,落实前置性规范确立的责任。
四、结语
支付客户信息归属于网络支付领域的金融消费者,具有可识别性的本质特征,存在个人支付客户信息和单位支付客户信息的具体类别。伴随网络支付业务的发展,支付客户信息早已“跨越”基本身份信息的狭窄范围,向财产账户信息、交易信息、信用信息以及其他衍生信息扩展。支付客户信息范围的扩展,无疑给非银行支付机构及其工作人员非法获取、提供和利用上述信息创造了犯罪机会,给既有刑法规制带来挑战。为有效规制多种侵犯支付客户信息的不法行为,应从侵犯公民个人信息罪和侵犯商业秘密罪区分规制的角度,对类似不法行为形成同等性治理。以此为基础,修改侵犯公民个人信息罪和侵犯商业秘密罪的规范内容,并明确修改后两罪的适用范围及边界,以更好地保护支付客户信息。
(责任编辑:旷涵潇)
注释=*本文系国家社会科学基金青年项目“被追诉人的程序平等权研究”(项目号15CFX030)的研究成果。
汪恭政:武汉大学法学院2016级刑法学博士研究生。
[1]中国互联网络信息中心:《第42次中国互联网络发展状况统计报告》,资料来源:http://www.cac.gov.cn/2018-08/20/c_1123296882.htm, 2018年9月3日访问。
[2]关于支付客户信息可识别性的本质特征,在最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条中也进一步得到佐证。
[3]《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》将个人金融信息分为七类,即个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人金融交易信息、衍生信息,以及在与个人建立业务关系过程中获取、保存的其他个人信息。为研究需要,本文将个人金融信息总结为五类。
[4]中国人民银行支付结算司:《〈非银行支付机构网络支付业务管理办法〉条款释义》,资料来源:http://www.pbc.gov.cn/zhifujiesuansi/128525/128527/2996543/index.html, 2018年8月30日访问。
[5]黎四奇:《二维码扫码支付法律问题解构》,载《中国法学》,2018(3)。
[6]Giovanni Sartor, The right to be forgotten: balancing interests in the flux of time, 24 International Journal of Law and Information Technology (2016), p.76.
[7]程婕:《违规留存银行卡敏感信息,违反商户实名制管理规定,两家第三方支付机构被央行重罚》,载《北京青年报》,2018-07-31(A11)。
[8]吴秋余:《谁“偷”了我的支付信息》,载《人民日报》,2016-11-21(17)。
[9]全国人大常委会法制工作委员会:《中华人民共和国刑法释义》,458页,法律出版社,2011。
[10]同注④。
[11]吴秋余:《谁“偷”了我的支付信息》,载《人民日报》,2016-11-21(17)。
[12]Romany F. Mansour, Understanding how big data leads to social networking vulnerability, 57 Computers in Human Behavior, 348(2016), pp.348-351.
[13]参见《中国人民银行杭州中心支行行政处罚信息公示表(支付宝)》,资料来源:http://hangzhou.pbc.gov.cn/hangzhou/125268/125286/125293/3514567/index.html, 2018年9月4日访问。
[14]刘双霞:《个人信息使用,支付公司“不可任性”》,资料来源:http://www.bbtnews.com.cn/2015/1021/123977.shtml, 2018年9月3日访问。
[15]参见《称质疑个人信息遭非法搜集,用户起诉支付宝索赔2元》,资料来源:http://bjhdfy.chinacourt.org/public/detail.php? id =5269, 2018年8月20日访问。
[16]任孚婷:《大数据时代隐私保护与数据利用的博弈》,载《编辑学刊》,2015(6)。
[17]Artikel 44 des Bundesdatenschutzgesetzes.
[18]《個人情報の保護に関する法律》第七十三条。
[19]Louis D. Brandeis, Other People's Money and How the Bankers Use it, New York: Frederick A. Stokes Company Publishers, 1914, p.92.
[20]单位支付客户信息包含商业秘密。由于单位支付客户信息受企业信息披露、公示机制的约束,单位支付客户信息并未全部受刑法保护,目前受保护的对象主要集中在其中的商业秘密。因此,单位支付客户信息的侵犯更多地表现为对商业秘密的侵犯。
[21]侵犯单位支付客户信息不仅包括侵犯法定代表人(负责人)或授权办理业务人员等个人信息,也涉及对其中商业秘密的侵犯,此处重点讨论侵犯商业秘密的规制困境,对于侵犯法定代表人(负责人)或授权办理业务人员等个人信息的,参照侵犯个人支付客户信息的讨论,此处不再赘述。
[22]赵秉志:《当代刑法学》,547页,中国政法大学出版社,2009。
[23]唐稷尧:《罪刑法定视野下的侵犯商业秘密罪》,载《四川师范大学学报(社会科学版)》,2003(3)。
[24]杨小兰:《论侵犯商业秘密的过失行为可否入罪》,载《社科纵横》,2012(2)。
[25]黎四奇:《二维码扫码支付法律问题解构》,载《中国法学》,2018(3)。
[26]参见《公安部关于〈中华人民共和国治安管理处罚法(修订公开征求意见稿)〉公开征求意见的公告》,资料来源:http://www.mps.gov.cn/n2254536/n4904355/c5604357/content.html, 2018年9月4日访问。
[27]具体参见《网络安全法》第六十四条、《消费者权益保护法》第五十六条、《中国人民银行法》第四十六条、《非金融机构支付服务管理办法》第四十三条和《非银行支付机构网络支付业务管理办法》第四十二条。
[28]根据《民法总则》第一百二十三条的规定,商业秘密已纳入知识产权的范畴,属于权利人依法享有的专有权利。