但是更多学者认为本罪主体不限于利用公权力的单位,首先,法条只规定“本单位在履行职责或者提供服务过程中”,没有强调利用“某种程度的公权力”,作此限定于法无据。其次,现实中有很多不具有“公权力”的单位实施的出售或非法提供信息的行为扰乱、威胁了公民生活。{5}(P150)而且,仅从“等”字的应有之义来看,也并未显示出立法者对本罪主体作此种限制之意。{11}(P85)如果对本罪主体作特殊限制,对于同属于侵犯个人信息的行为,对不同主体作不同认定,将会导致规范的不平等与打击面的失衡。{12}
我们认为,对于本罪主体范围的界定应当从立法原意上探究。根据来自国家立法机关专家的说明:“对这条基本还是尽量限定在公权力范围内,或者是提供垄断性、强制性的公共服务的领域,例如国家机关、公安部、自来水公司、煤气公司。这种情况下公民提供信息是没有选择性的,众多的公民信息汇集起来形成一个信息库,这些机构应对其信息库妥善保管。而实践中出现了买卖、提供这些信息的情况,如电信公司将通讯记录的情况卖给侦探社。”{13}考虑到本条主要是对在履行职责或提供公共服务过程中利用某种程度的‘公权力’采集到的公民个人信息的国家机关或者单位,违反法律规定的保密义务的应负的刑事责任,……不宜将公民个人信息的刑事保护范围扩大到没有利用‘公权力’采集的一切单位和个人。”{14}(P15)也就是说,立法原意是将本罪主体限制为具备公权力的单位及工作人员的(起码是现阶段)。实际上,早在《刑法修正案(七)(草案)》讨论过程中,就已经有学者提出应将本罪主体扩大:刑法修正案草案中仅限于国家机关或者金融、电信等单位的工作人员,而世界各国和地区的相关法律中通常只强调行为人的目的和动机,或强调获取信息是由其工作或职务性质所决定的,极少对行为人所处的岗位或领域做出限制。{15}现实生活中,的确有很多普通单位及其工作人员能够接触并大量掌握公民个人信息,而且法条中所规定的金融、教育、医疗等单位早已不仅仅是国有单位,私人或外资已涉足这些行业,各国的立法例中,对公民个人信息的刑法保护中犯罪主体一般不是特定主体,{1}(P10)但是,《刑法修正案(七)》并没有采纳这些意见。我们认为,虽然从刑法保护的必要性看,将本罪主体扩大的观点是可取的。但是立法之所以未采纳这种观点,是考虑到国情(如相关法律并不完备)和国外个人信息立法保护现状。{16}(P19)而且,从目前披露的案件来看,个人信息被泄露的源头几乎都是特殊机关或单位的“内鬼”所为。公民生活中与车、房、医疗有关的骚扰,源头无不是相关单位的泄露。因此,有效保障公民的信息安全,利剑高悬的对象必须是这些特殊机关和单位,而不是那些“二道贩子”。{17}所以,立法机关将本罪主体界定为公权力单位具有其合理之处。既然如此,我们就应当明确本罪的主体为国家机关或者金融、电信、交通、教育、医疗等利用公权力获取公民个人信息的单位及其工作人员。对于非利用公权力获取公民个人信息的单位及个人,暂时不宜将其作为本罪主体。这里的“等”应当为列举未尽之意,但是其他单位必须也具有和金融、电信等单位类似的国家所赋予的采集公民个人信息的公权力,如电力公司、自来水公司、煤气公司等单位。当然,从应然角度讲,如果将其他人排除在外,刑法就不能规制全部严重侵犯公民个人信息权的行为,{18}(P124)所以,在时机成熟的时候,也应考虑扩大为一般主体。
