来倩如 西南政法大学法学院硕士研究生。
司法实践中对于侵犯公民个人信息罪的法益立场面临着困境,即忽略公民的个人信息自决权。通过以信息自决权为切入点,对本罪的入罪边界进行探讨。刑法对于公民自由处理其个人信息的不合理规制一定程度上违背商业发展的逻辑和需要,对于主动公开的信息应当具有二次授权性,并且前置法已承认公民个人信息自决权。因此应当将本罪法益确定为超个人法益与个人法益的结合,在符合刑法谦抑性原则的基础上准确打击侵犯公民个人信息的行为。
关键词:法益 侵犯公民个人信息罪 信息自决权 超个人法益 入罪边界
一、侵犯公民个人信息罪的现实困境
自1994年以来,经过二十多年的发展,互联网早已经全面嵌入社会生活的方方面面。社会共同生活已经不仅存在于公共领域,个体的私人生活、私人信息也成为社会共同生活的一部分。如果拒绝提供个人信息数据,那么公民可能得面临与社会一定程度上的脱离。而在提供的过程中,公民个人信息存在泄漏的重大风险。因而,在大数据时代,个人信息保护问题日益成为社会热点问题,面对日益增加的信息风险,法益保护前置已经成为立法上的现实选择。民法典、中华人民共和国消费者权益保护法、中华人民共和国网络安全法等法律对于个人信息未经同意不得收集和使用的相关规定,强调公民对于自己的个人信息具有支配权,而如果经过同意进行收集或者使用的行为则不算作侵权。
而实践中存在这么一种案例,即行为人利用真实身份信息注册电子商铺,在未进行店主信息变更的情况下,将包含注册人手机号码、身份证号码、真实姓名等个人信息的电子商铺贩卖给他人。这种做法导致电子商铺所有人与实际经营者不同一,极大地给电商平台管理带来增加难度,并且为电子商铺销售违法伪劣商品提供了灰色空间。值得注意的是,本案中被出卖个人信息的注册人是同意的、且有获得对价,根据相关民事法律和行政法律的规定可知经过同意后对个人信息进行买卖并不算是一种侵权行为,而本案中法院认为行为人构成侵犯公民个人信息罪,即刑法排除民事法律和行政法律直接对该行为进行处罚。除此,自愿买卖身份证信息的案例还体现在,公民将自己的个人信息出售给购买者,购买者利用其进行违法犯罪活动或者申领银行卡后进行违法犯罪活动,给司法实践带来巨大的挑战。
有罪论认为侵犯公民个人信息犯罪的法益并不是公民个人的人身权利,而是社会的公共安全,具体来说是公共信息安全,上述情况可以以本罪进行规制。但是公共信息安全作为社会秩序法益,本就有对象模糊化的缺陷,为何要把本罪中已经确定了的犯罪对象即公民个人信息模糊化呢?其次,在其他法律已经不认为是违法的情况下,刑法作为“保障法”,可否超脱于其他前置法,直接介入调整呢?再次,公民个人对自己的个人信息是否具有使用权,在多大范围里具有使用权?刑法253条之一中的“违反国家有关规定”是否需要指明“限制公民个人信息处分权”的相关规定?最后,个人信息的利用对于市场经济发展、国家治理、社会进步等具有重大的积极意义,那么在刑法层面应当如何对待出售或者提供公民个人信息的行为呢?
刑法分则以法益的分类为根据而具有了明显的结构化,而法益也揭示了犯罪的本质内涵和可区别的外延,可以说认识法益是正确适用某一罪名的前提。因此,欲探究侵犯公民个人信息罪的适用边界,首先需要明确本罪之法益究竟是何。基于上述问题意识,本文旨在以“信息自决权”为中心,对侵犯公民个人信息罪法益的适用逻辑进行反思,以期刑法第253条之一的法益保护限定在罪刑法定框架内,尤其在各种前置法规范以及网络准则不健全的互联网环境下,避免刑法的过度介入。
二、侵犯公民个人信息罪在保护什么?
(一)本罪法益内容的争论
从刑法条文本身表述来看,侵犯公民个人信息罪的犯罪对象较为明确,即为“公民个人信息”。因此关于本罪的法益的争论首先围绕“个人信息”展开,实质上是个人信息和个人隐私之间的关系问题,形成了信息权说和隐私权说。信息权说认为侵犯公民个人信息罪所侵犯的具体法益类型真正在于“个人信息自决权”,其中包括公民个人信息所涵括的个人对涉及自身信息的安全决定权、自由决定权、收益决定权、隐私决定权以及尊严决定权。而隐私权说强调本罪法益是公民的隐私权,既包括公民个人隐私不受侵犯的权利,也包括公民对自己个人信息的控制权。由于其对个人信息和个人隐私进行绝对的区分,并且认为侵犯公民个人信息罪仅保护其中一种,本文将其称为单一个人法益论。显然,对于单一个人法益论而言,其所产生的分歧也仅针对个人法益本身,最终受到侵犯的仍是公民个人。然而,个人信息和个人隐私在概念上本就难以绝对的划分,因此学界有观点认为本罪的法益应当是个人信息权和隐私权并存,即本罪的法益是公民个人的信息自由、安全和隐私权。或者认为本罪所保护的法益即公民个人的信息自由、安全和隐私权的双重法益,其中,主要法益为公民个人的信息自由和安全。
就个人信息和个人隐私的关系而言,存在包容说和交叉说,争论的症结是人们在什么层面使用个人信息与个人隐私。包容说要么认为个人隐私包括个人信息,要么认为个人信息包括个人隐私。有学者主张个人信息包括个人隐私,个人隐私的范围只是公民个人信息的一部分。认为隐私包含信息的人认为从比较法上看,无论是理论还是判例,对于隐私与个人信息的保护,多采取“一元制”保护模式,即不区分隐私与信息,将信息纳入隐私的范畴而采取同一保护,如美国、日本、我国台湾地区等。
交叉说是指个人信息与隐私的内涵互有交叉。“自然人的隐私,是自然人与公共利益、群体利益无关的,不愿他人知道或他人不便知道的信息,不愿他人干涉或他人不便干涉的个人私事,以及不愿他人侵入或他人不便侵入的个人领域。隐私有三种形态,一是个人信息,为无形的隐私;二是个人私事,为动态的隐私;三是个人领域,为有形的隐私。”由此可见,以对隐私的经典理解为基石,个人隐私包括隐私信息、隐私活动、隐私空间等内容,其中隐私信息、隐私活动属于个人信息,隐私空间不属于个人信息的范畴。隐私信息、隐私活动具有一定的可识别性,即可以根据该信息本身从而有识别出特定的自然人,如在自家门口安装监控对门活动的摄像头,由此获得的信息具有可识别性;但是对于裙底偷拍等类型的侵犯隐私所得的个人信息则难以识别出特定的自然人。“必须承认的是,隐私与信息有时可以清晰地区分开来,有时则难以区分。因为,隐私由两部分构成:一部分属于‘空间隐私权’,如住宅、公共场所(如商场)中的更衣室、浴室等,该部分隐私与信息的区分是泾渭分明的。但还有一部分隐私是通过一定的载体体现或者表达出来的,其表现形式就是‘信息’,尤其是在今天这样一个越来越‘无纸化’的生活时代,如个人的数码私密照片等。”
因此由上可以看出,个人信息与个人隐私的使用是不在同一个层面上的,人们往往会根据需要对同一词汇选择了不同的意义片段。实际上,个人信息分为广义的个人信息和狭义的个人信息,而隐私同样也包括广义和狭义的隐私。广义的个人信息是指一切与特定人相关的信息,不要求具有识别性。狭义的个人信息指能识别个人身份的信息(身份信息),如肖像、指纹、家庭关系等信息。广义的隐私包括隐私信息、隐私活动、隐私空间等内容,狭义的隐私仅指隐私信息、隐私活动,即以信息的形式体现出来的不愿让外界知悉的个人事项(隐私信息),归根到底其仍是属于个人信息的一种表现形式。从逻辑上来看,广义的个人信息可以包括狭义的个人信息(身份信息)和狭义的隐私(隐私信息)。因此,信息权和隐私权并存说更为合理。
而单一个人法益论的主张引发了另外一个问题,即人作为社会生活的成员,其个人信息受到侵犯有可能并非仅仅损害其个人的利益,还对社会、国家的利益造成威胁,个人身份信息的泄露给国家对社会的管理制度和秩序带来严峻挑战,譬如本文所讨论的案例中造成的市场监管困难,形成执法死角,损害国家和社会的利益。在单一个人法益论的主张下,如果经过身份信息主人的同意和授权,并且未给信息主人本人带来任何损害的情况下,则无法追责此类违法犯罪行为。因此,学界将超个人法益引入侵犯公民个人信息罪的保护法益当中。即认为当代信息社会,公民个人信息不仅直接关系个人信息安全与生活安宁,而且关系社会公共利益、国家安全乃至于信息主权。
实际上,将本罪法益确定为个人法益与超个人法益并存是更为合理的。首先从刑法体系上看,本罪位于刑法第四章侵犯公民人身权利、民主权利,即侵犯公民个人信息罪的首要法益应当是公民的个人信息权、生活安宁权等人身权利,正如生命权、健康权一般是公民在社会中平稳、幸福生活的重要权利。实际上,其个人信息遭到窃取、泄露、买卖等不仅会受到破坏生活安宁和稳定等一次伤害,更有可能引起对人身、财产进一步侵害的二次伤害(比如掌握其轨迹的前提下对其实施抢劫、强奸等行为)。其次,从公民社会、国家的角度解释,本条所谓的“公民个人信息”应当具有超个人法益的属性。在现代社会,公民的个人信息还关系到社会利益、国家利益甚至信息主权等问题。信息“贩子”们通过打包出卖购买公民的个人信息,并以此作为工具实施其他犯罪行为,包括利用假身份信息进行虚假注册银行卡等,严重违反国家的相关管理制度和侵害公私财产安全。正如2013年最高法最高检以及公安部发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》中所强调的:“互联网上非法买卖公民个人信息泛滥,由此滋生的电信诈骗、网络诈骗、敲诈勒索、绑架和非法讨债等犯罪屡打不绝,社会危害严重,群众反响强烈。”
(二)本罪法益之具体内容展开
日本刑法以及我国台湾地区“刑法”都规定有侵犯个人秘密的犯罪,对保护个人隐私的重视可见一斑。据此解读,“无论是泄露秘密罪,抑或是侵害言论隐私权罪,保护的法益都是公民不为他人所知的隐私,这一点与我国的侵犯公民个人信息罪完全不同。”我国刑法中有针对侵犯国家秘密、军事秘密、商业秘密的专项性罪名,但没有专门针对侵犯个人秘密提供保护的罪名。在刑法修正案(七)出台之前我们对个人隐私采取了分散性、片段性保护,仅规定了窃取、收买、非法提供信用卡信息资料罪(第177条之一第2款),侵犯通信自由罪(第252条),私自开拆、隐匿、毁弃邮件、电报罪(第253条),非法获取计算机信息系统数据、非法控制计算机信息系统罪(第285条第1款),泄露不应公开的案件信息罪(第308条之一第1款),披露、报道不应公开的案件信息罪(第308条之一第3款)等犯罪。诞生于刑法修正案(七)并经过刑法修正案(九)修正的侵犯公民个人信息罪弥补了对“个人秘密”全面保护的欠缺,本质上是侵犯隐私信息的一般性罪名。否定侵犯公民个人信息罪保护个人秘密是只关注到了对身份信息的保护,忽略了刑法赋予本罪保护隐私信息的职能,如此理解显然误读了本罪的二元使命。
一般意义上个人信息是一切与个人相关的信息,包括身份信息、隐私信息和非身份、非隐私的个人信息。刑法第253条之一旨在对与个人相关的重要信息提供保护,从而维护个人生活的安全、稳定。本罪并没有对个人信息进行界定,无论侵害身份信息还是隐私信息,都妨害了个人对信息的自我决定权,也将影响到个人生活的安全、稳定。因此,本罪保护对象不仅包括身份信息,也包括隐私信息,二者都属于个人信息的范畴。最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将个人信息解释为识别信息和活动信息,并且针对活动信息提供更严格的保护,也印证了对隐私信息保护的必要。“有必要强调的是,对于侵犯公民个人敏感信息的行为之所以设置不同于一般公民个人信息的入罪标准,就在于敏感信息涉及人身安全和财产安全,其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。”但是,笔者认为并不是活动信息容易引发进一步的犯罪而降低构罪要求,实质原因是活动信息属于涉及人的尊严和自由的隐私信息,有必要提供更为严格的保护。
侵犯公民个人信息罪具有保护个人隐私的功能,那些不能识别信息主体但侵犯了隐私的行为如裙底偷拍同样具有处罚必要性。裙底偷拍,毫无疑问获取了他人的隐私部位的信息。“所谓身体隐私部位,乃指个人身体不欲他人获悉之部位。例如,胸部或下阴等。”根据两高的《个人信息解释》,裙底偷拍一般而言难以认定具有可识别性,即不能根据该单项信息识别出特定的自然人,显然该信息不属于身份信息。常识或者直觉告诉我们,偷拍裙底(尤其是夏天)显然侵犯了他人的隐私。而这种对私人领域的侵入,给公民带来的不安感和社会的失序状态不亚于可识别性身份信息泄露,甚至更为强烈。譬如,由于住宿信息、通信记录等泄露所要造成的财产损失或者将要造成的损失,对公民生活宁静和社会安全感来说暂时仍未发生或者发生但是损失并不大,具有一定的间接性,而对裙底、胸部等地方的偷拍已然更为直接地打破这一宁静,破坏公民的安全感。
不能识别身份也没有侵犯隐私的信息,不能成为侵犯公民个人信息罪的保护对象。“被告所拍摄至告诉人当时大腿外侧部位,均系告诉人或交叉双腿,或腿部膝盖微曲,并未拍摄到告诉人裙内之内裤等部位,尚非刑法第315条之一妨害秘密罪规定之‘身体隐私部位’”。偷拍大腿外侧部位,并未拍摄到裙内之内裤部位,明显没有侵犯到个人隐私,又不能识别出特定的自然人,不成立侵犯公民个人信息罪。
三、司法实践的立场及其带来的困扰
在司法实践中,面对公民自愿决定售卖其信息,而行为人使用此类信息的行为,法院倾向于认定使用者构成本罪。即根据司法实践的立场,如果行为人利用公民个人信息的行为危害公共安全,即侵犯超个人法益,都需要受到处罚。这一立场处理将本罪法益中个人法益的地位进行弱化,更为强调超个人法益,有利于充分打击滥用、非法利用公民个人信息的行为以及随之带来的后续犯罪行为,是刑法在风险社会背景下法益保护前置的一种体现。然而,这种立场也会阻碍本罪个人法益的实现,尤其是公民的信息自决权无法得到尊重,更为极端可能将导致本罪的法益限缩为仅是超个人法益。
(一)公民自愿买卖个人信息的行为与商业快速发展之间的牵绊
正如本文开始时所讲述的例子,当今信息化社会,各个产业对于信息大数据的需求日益增大,对侵犯信息安全行为的准确打击意义重大。个人信息是社会的润滑剂,具有社会性、公共性,在社会活动中向他人提供(披露)和获得他人个人信息是社会运行的基本需要,是社会活动尤其是商业活动必不可少的要素。特别是对于互联网产业,收集数据与分析数据以便于精准营销、个性化定制、网络推送,这也已经成为进行企业决策的常态,政府在进行社会治理时也需要通过分析公民个人信息。但由于互联网产业与传统产业的区别以及快速发展,某些信息的变更不可能要求的及时准确,只要买卖双方自愿并且有着相关出让转让合同证明即可。而刑法的不正确适用将会抑制我国大数据的创新以及正当的合乎国际规则的商业应用。
对于公民自愿出售或者提供其个人信息的行为,由于个人信息是公民权利的组成部分,因此从“出售”或者“提供”行为本身来看,实质上是一种中性行为。“如果出售和提供的标的(即公民个人信息)和目的没有违反法律规定,单纯出售提供公民个人信息的行为并无所谓的合法或者非法的问题。”因此,基于正当目的的公民之间或者企业之间或公民与企业之间进行资源的公民个人信息买卖,虽然可能会对相关主体的个人隐私、个人尊严造成不必要的侵害或威胁,但在该种情况下信息主体的隐私等人格权利完全能够通过民事法律途径予以救济,使得信息主体因隐私、人格尊严受到侵犯时所受损失得到恢复或者补偿,无需动用刑法。相反,如果行为人基于诈骗或者帮助他人诈骗等非法目的出售或者提供可直接识别特定个人身份的公民个人信息,公民个人的人格尊严与自由势必遭到严重侵害,不仅如此,该出售或者提供行为进一步加大了对公民人身安全、财产利益的威胁,应用刑法进行规制。
(二)自愿主动公开的个人信息之“二次授权”推定问题
在信息化时代,商家除了通过自己的服务或者提供商品的过程中收集客户的个人信息之外,还进一步通过分享、买卖、互换等方式获取相关信息。借着这个势头,许多数据交易平台也如雨后春笋一般强势显现出来,推进数据的社会化利用。民法典第1035条至第1038条对此作出规定,明确要求收集、处理自然人个人信息的行为需要得到该自然人或其监护人的同意,并且应在约定的范围内使用。自然人发现信息控制者违反法律、行政法规的规定或者双方的约定收集、处理其个人信息的,有权请求信息控制者及时删除;信息收集者、控制者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失。笔者认为,此规定意在赋予公民个人信息自决权,以此保证增强公民对于个人信息的支配力度。
随着信息技术的发展,对于权利人自愿公开、甚至主动公开的公民个人信息,被害人自我保护的可能性降低,行为人获取相关信息后出售、提供的行为,目前无法以侵犯公民个人信息罪定罪,但是这种行为为被用于其他犯罪或者违法行为提供了可乘之机,也侵犯了公民对自己个人信息的支配权力。有观点认为关于公开公民个人信息获取后出售或者提供的行为,是否需要权利人“二次授权”,目前我国相应的法律法规和部门规章缺乏明确规定,在此背景下,除相关权利人要求“二次授权”的外,宜推定存在概括同意,不宜对收集后出售或者提供的行为要求“二次授权”;且当前,我国侵犯公民个人信息违法犯罪泛滥,公民个人信息保护水平整体不高,由于涉出售或者提供公开公民个人信息的案件侦办难度相对较小,公安机关可能以此类案件为打击重点,反而会造成对未公开的公民个人信息刑事保护的不力,长此以往,可能会偏离侵犯公民个人信息罪的立法旨趣和修法精神。但是笔者认为这种观点存在瑕疵。
首先,民法典、网络安全法等的颁布已明确要求公民发现信息控制者违反法律、行政法规的规定或者双方的约定收集、处理其个人信息的,有权请求信息控制者及时删除;这为推定公民对于自愿公开、主动公开的个人信息具有“二次授权”提供了法律基础;其次,一个行为该不该入罪是由于该行为本身的社会危害性以及所体现行为人的主观危险性以及国家刑事政策来判断,而不是以为了防止公安机关打击违法犯罪出现侧重而不使该入罪的行为入罪。公民即使自愿甚至主动公开自己的个人信息,也不愿意被某些别有用心之人收集、处理、进而牟利或实施其他违法犯罪行为。
如今,合法获取、不当滥用,但现行刑法无法规制的案件高发,由于获取形式合法、手段相对隐蔽,滥用链条长,从而导致了刑事规制的严重失灵。例如,行为人从商贸网站和政府部门公开的企业信息网上搜集企业公开发布的信息,包括公司的名称、产品、经营行业、注册信息和公司法定代表人、联系人的姓名、职务、联系方式等。行为人将上述信息存入数据库,供他人付费查询使用;又如在我国当前尚未形成犯罪记录登记查询制度和前科消灭制度的情况下,犯罪人个人信息,甚至被害人信息曾一度作为“社会公开信息”被公众无限期、无限制地广泛传播和查询,极大地影响到被害人的生活安宁和犯罪人的社会回归。上述行为不仅违反了民法典对于处理个人信息的要求,更为他人实施违法犯罪提供了信息来源,具有极大的社会危害性,应纳入侵犯公民个人信息罪的行为方式。
(三)与前置法律相冲突
在我国,个人信息权的分立得益于民法总则的确认,民法典的出台对刑法解释学的影响值得重视。根据上文所述民法典第1035条至第1038条可见,民法典对个人信息的保护并没有依靠一般人格权等,而是独立设置了新的保护规范。该立法有助于申明个人信息保护的价值来源,为造就行政法、刑法等“协同保护之网”奠定基础。
全国人大常委会《关于加强网络信息保护的决定》第2条以及《网络安全法》第22条、第41条均把经被收集者同意、当事人约定、向用户明示并取得同意等作为个人信息保护的重要规则。2014年10月10日施行的最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条提出“,经自然人书面同意且在约定范围内公开个人信息”不承担侵权责任。2017年11月
15日全国人大法工委提出的《人格权编(草案)(民法室室内稿)》第48条吸收了上述司法解释规则:“实施收集、加工、传输、买卖、提供或者公开自然人个人信息等行为,有下列情形之一的,行为人不承担民事责任:(1)经该自然人同意,并且在同意范围内实施该行为……”虽然该规定尚为“草案”,但也显示出我国司法和立法实践上对同意权积极处置效用的认可趋势。刑法是其他法律的保障法,刑法本身不创制前所未有的新法益,它的保护客体与前置法上的客体(包括权利和利益)应当具有同体性。此客体的核心内容是同意权即允许他人对本人个人信息的知悉、使用、传播等,随着信息社会发展的多样性,“同意权”也不断得到充实,从而影响了个人信息处理行为的法律意义。
笔者在裁判文书网对关于侵犯公民个人信息案件进行实证调查时发现,对于自愿买卖公民个人信息后再将其用于诈骗犯罪的,到底认定为侵犯公民个人信息罪与诈骗罪是牵连关系,择一重罪定罪处罚还是认定为两罪数罪并罚,司法实践中存在争议。既然前置法律已经将公民自愿同意且在约定范围内公开的个人信息进行保护,为何刑法仍要认定其为侵犯公民个人信息罪呢?再如,笔者发现,大量裁判文书对于“违反国家有关规定”的相关解释比较模糊。在我国司法和立法实践上对同意权积极处置效用的认可趋势下,公民对自愿同意且在约定范围内公开的个人信息进行买卖使用,到底违反哪条“国家有关规定”并没有进行明确的解释,因此实际上没有完成对于此行为违法性判断的任务。
本案中,贩卖或购买电子商铺者若具有利用网店从事诈骗、销售假冒伪劣商品等非法目的,我们需要进一步探索卖方行为人当时的主观心理状态,如果其当时不知买方有利用网店进行诈骗、销售伪劣商品等非法目的时,不易按照侵犯公民个人信息罪定罪处罚。与电商平台经营者认可的网店主体变更行为相比,本文案例中的网店交易流程缺少的只是实名信息变更。2015年2月4日,国家互联网信息办公室发布的《互联网用户账号名称管理规定》第5条提出了“后台实名、前台自愿”的原则,笔者认为并不造成公民信息自决权的阻碍。首先,国家互联网信息办公室由于制定主体不适格,发布的文件不是部门规章,不属于“国家有关规定”范围之内;其次,该规定只是原则性的规定,并没有给电子商铺买卖双方制定实质性的义务;最后,店铺转让时未进行实名信息变更只是违背电商平台经营者单方面向用户发布的管理规则(格式合同条款),这尚处于合同法调整范围,平台经营者可以按照约定对违约的电子商铺采取限制登录、下架商品、删除店铺等监管措施,且这种措施更为直接、有效,不能为了平台方自我管理的简便化而将责任推给刑法、炮制犯罪行为。
四、认定侵犯公民个人信息罪的新出路
通过上述的案例与司法实践中的争议我们可以了解到,超个人法益较为模糊,且在刑法第253条所指的“国家有关规定”范围、内容不清的背景下,司法实践此罪名认定具有较大争议性,也让人合理怀疑在法益、行为方式规定不清楚情况下的罪名,是否违反了罪刑法定原则。因此,司法实践中弱化个人法益,强调“社会公共安全秩序”作为侵犯公民个人信息罪的优先法益难以合理划分此罪的入罪边界。民法典的出台赋予公民个人信息自决权,为了法秩序的统一,刑法也不得不考虑与民法典等相关前置法的衔接问题。
由于伴随着信息时代、大数据时代的逐步发展,个人信息问题日益复杂,层出不穷,刑法本身就有滞后性的特点,若仍沿旧路,不与时俱进,不仅起不到将社会危害性、人身危险性的行为进行规制、保护国家、社会以及公民合法权益等功能,更将已经作为中国社会主义市场经济基本机能合法化、普遍化了的行为入罪,阻碍社会主义经济建设与和谐社会的构造。
因此,笔者认为,侵犯公民个人信息罪的法益应为“社会公共安全秩序及公民个人信息自决权”,两者为且的关系,缺一不可。之所以将具有模糊型的超个人法益“社会公共安全秩序”仍作为本罪法益是为了保证刑法的谦抑性原则,防止将以只进行少量的个人信息的买卖,但没有进行其他违法犯罪、危害社会公共安全秩序的行为入罪。此种行为用民法、行政法即可进行规制,刑法没有必要将其入罪。而“公民个人信息自决权”是本罪保护的基本法益,无论是从文义上解释“公民个人信息”,还是从体系上解释该罪所处的刑法位置,对于个人法益的保护是理所当然的。公民个人信息自决权是信息权与隐私权的另一角度的阐述,着重于强调公民对于信息权与隐私权享有自决的权利。
如果仍然坚持侵犯公民个人信息罪的优先法益为超个人法益,弱化甚至忽略公民个人对其个人信息的态度,将会把一些民法典等前置法等都不认为是违法的行为规定为犯罪,以至于破坏法秩序的统一。将本罪法益确定为“社会公共安全秩序及公民个人信息自决权”将会合理解决这三个问题。
首先,正如本文开头提到的案例,如果行为人的行为(如公民自愿同意且在约定范围内公开的个人信息)只侵犯社会公共安全秩序,并没有侵犯公民个人信息自决权的,不进入侵犯公民个人信息罪的规制范围,如果构成其他罪名的,以其他罪名定罪处刑。这样做不仅可以良好调节我国刑法与民法典、个人信息保护法等前置的衔接问题,也更在宏观层面上保证了国家法秩序的统一。对于当今大数据时代,合理保护公民个人信息自决权也是为顺应了各类产业对于数据运行的高度要求,为社会主义经济建设与和谐社会构造提供保障。个人数据对于信息社会的重要性不言而喻,刑法的“手”伸的太长也无益于社会的快速发展。刑法作为社会防卫的最后一道防线,具有制裁方式严厉、规制范围广泛的特点。在各前置法能够合理规制相关使用公民个人信息行为时,刑法应保持沉默。
再次,赋予公民个人信息自决权,否认公民对于自己已经公开的个人信息的“二次授权”,对于保护公民对于已公开的信息不被违法利用具有重要意义。公民自愿公开个人信息,却没有允许行为人利用自己公开的个人信息去实施违法犯罪活动。实践中行为人通过收集已公开的个人信息进行买卖、诈骗犯罪等,目前刑法对于“合理获取,非法利用”公民个人信息的行为无法进行规制。如果赋予公民个人信息自决权,此问题就会迎刃而解,“合法获取,非法利用”公民个人信息的行为,不仅侵犯了社会公共安全秩序,使得社会公民人心惶惶,担忧自己已公开的个人信息被用于诈骗、敲诈勒索、绑架等违法犯罪,更是侵犯了公民个人信息自决权。
最后,将本罪的法益规定为“社会公共安全秩序及公民个人信息自决权”将会合理解决司法实践中自愿买卖公民个人信息进行诈骗犯罪相关牵连性犯罪的难题。如果把本罪法益规定为“社会公共安全秩序”,个人信息无法自愿买卖,将行为人利用自愿买卖公民个人信息申领信用卡等进一步进行诈骗行为认定为侵犯公民个人信息罪与诈骗罪数罪并罚还是以牵连罪论处,司法实践中做法不一。如果将本罪的法益规定为“社会公共安全秩序及公民个人信息自决权”,不认为公民自愿买卖个人信息为侵犯公民个人信息罪,就可以合理解决这一问题。当然,这只是对于买卖公民个人信息的买方而言。如果卖方明知买方会利用自己的个人信息实施犯罪行为,而仍然以放任的心态出卖自己的个人信息,应当以诈骗罪共犯论处。
(三)符合我国刑法“谦抑性”原则
由于互联网时代社会飞速发展、国家经济建设的需要,个人信息的使用“活性”增大在所难免,相关前置法也尽力提供充足的保障。由于刑法自身的谦抑性,立法机关只有在该规范确属必不可少——没有可以代替刑罚的其他适当方法存在的条件下,才能将某种违反法律秩序的行为设定成犯罪行为。在此背景之下,如果某项刑法规范的禁止性内容,可以用民事、商事、经济或其他行政处分手段来有效控制和防范,则该项刑事立法可谓无必要性。根据上文所述,我国前置法已将公民在不违反法律、行政法规的规定和双方的约定,约定好收集、处理信息的目的、方式和范围的前提下自愿买卖、公开自己的个人信息合法化,并通过规定信息收集者、控制者的义务来保护公民个人信息不被非法利用。此种行为社会危险性小,行为人主观恶性小,通过其他民事、商事、经济或其他行政处分手段即可进行规制,没有必要进入到刑法的视野中。
面对侵犯公民个人信息行为的多发性和复杂性,准确把握刑法的介入标准,即明确侵犯公民个人信息罪的入罪边界问题尤为重要。一方面,应当充分尊重公民对个人信息的处分权,这是对公民基本权利保障的体现;另一方面,刑法作为最后保障手段,当公民个人信息被利用于实施犯罪行为时,应当谨慎介入调整。而将社会公共安全秩序与公民个人信息自决权界定为侵犯公民个人信息罪的法益则能够进一步明晰本罪边界,解决目前司法实践中存在的困境,在充分尊重前置法规定的基础上,缓解个人信息使用与经济发展和社会稳定之间的矛盾。值得注意的是,侵犯公民个人信息罪作为一项较为“年轻”的罪名,其深层理论和司法适用仍具有许多可探讨之处,而随着信息时代的深入发展,本罪之理解和适用也将日臻重要,期待本文能够为此提供思考角度和推动力。
上海市法学会欢迎您的投稿
罗培新:疫病境外输入压力日增,外国人可到中国免费医疗?国民待遇,绝不应等于“国民的”待遇
罗培新:“作业帮、题拍拍”等摧毁的,或许是我们最应珍视的价值
罗培新:医护人员“集体放弃”抗疫补助?法理事理情理,理理皆输
人工智能法治状况问卷调查
侯雪梅 刘烨丨个人信息保护视域下的区块链技术:优势、局限及其完善
张美慧丨区块链技术与不动产登记信息共享:价值与进路
刘炼箴:民法典“数据与网络虚拟财产”条款研究
范哲:我国个人网络活动踪迹信息保护模式的困境与出路
来源:《上海法学研究》集刊2020年第15卷(数字经济法治文集)。转引转载请注明出处。
