您好!欢迎来到重大疑难复杂案件资深大律师网,我们竭诚为您提供卓越的法律服务!

13681086635

400-650-5090

QQ/微信号

1056606199

 重大疑难复杂案件资深大律师网 > 民商案件诉讼仲裁 > 隐私个人信息

侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界

信息来源:中国法学网  文章编辑:bobo  发布时间:2020-08-09 12:22:08  

作者:于 冲

【中文关键词】 侵犯公民个人信息罪;法益;个人信息权;司法解释

【摘要】 在我国刑法中“公民个人信息”长期的附属保护模式,加之“刑先民后”的立法现状,使得“公民个人信息”的内涵外延以及法益属性未能得到清晰的界定,不利于侵犯公民个人信息罪的适用和“公民个人信息”的刑法保护。有必要立足于现有的刑法框架和司法解释,对当前“公民个人信息”的规范概念进行系统解读,进而明确“公民个人信息”的法益属性和刑法保护边界。刑法对于“公民个人信息”的保护思路应当是,在确认其人身属性、财产属性和相关法益依附属性的基础上,赋予其新型的权利地位。

【全文】

伴随着信息时代、大数据时代的逐步发展,“公民个人信息”在我国的刑法保护从无到有,同时,对其刑法保护从特殊保护走到了一般保护,并且“公民个人信息”的概念不断被立法、司法赋予更丰富的内涵和更大的外延。从我国刑法和司法解释关于“公民个人信息”概念以及与其相关罪名设计的“扩张”历程来看,尽管“公民个人信息”的法律内涵不断被丰富,保护范围不断被扩大,但更多地是附属于相关法益进行“连带”的保护。正是基于此,“公民个人信息”的概念和法益属性始终以一种模糊状态置身于法律和司法解释中,极大地阻碍了“公民个人信息”的刑法保护。当然,同样的问题亦存在于我国民事立法与相关研究之中,尽管我国《民法总则》确立了个人信息保护的基本原则,但是对于个人信息的权利属性亦没有明确的界定。因此,无论是在民法领域,还是在刑法领域,目前面临的一个普遍问题就在于,基于何种属性、在何种范围内保护“公民个人信息”。

笔者拟以“公民个人信息”的法益属性为中心,通过对法律、司法解释中关于“公民个人信息”的概念界定探究其法益属性,为确定侵犯公民个人信息罪的“评价半径”提供法益根据。

一、“公民个人信息”保护的刑法定位与规则设计

当前大数据时代背景下,“公民个人信息”被规模空前地搬上历史舞台,进入公众工作和生活的各个领域,“公民个人信息”的刑法保护面临着严峻挑战。有鉴于此,我国的刑事立法、刑事司法工作者以及刑法学界不断探讨“公民个人信息”的刑法保护路径,通过修改刑法、更新司法解释扩张“公民个人信息”的保护范围。然而,传统刑法保护模式受制于公民个人信息权利定位的影响,并没有赋予“公民个人信息”以独立的法益地位,而是将其附属于其他法益进行“附属化”的刑法保护,导致刑法随着情况的变迁不得不对“公民个人信息”内涵外延进行不断的“救火式”修补,极大地影响了“公民个人信息”的刑法保护。

(一)“公民个人信息”保护的刑法地位:“附属化”保护模式

“公民个人信息”在信息时代以前并不是刑法所重点关注的对象,而是作为依附于国家法益、社会法益以及公司商业秘密的“附属性信息”得到保护。[1]从我国刑法关于“公民个人信息”保护的立法、司法思路来看,无不体现着刑法对其他相关犯罪的预防性、前置性立法思维,而非单纯对“公民个人信息”的保护。

1.附属于金融管理秩序:窃取、收买、非法提供信用卡信息罪

2005年《刑法修正案(五)》增设刑法第177条之一第2款窃取、收买、非法提供信用卡信息罪,率先对公民个人信用卡信息资料进行保护,对于窃取、收买或者非法提供他人信用卡信息资料的行为单独实现了入罪化。从形式上看,这似乎属于“公民个人信息”明确进入刑法视野的最早的法条。然而,从实质上亦不难发现,该罪名位于破坏金融管理秩序罪之中,其立法旨趣同妨害信用卡管理罪一样,均立足于对金融管理秩序的防护,只不过“顺带”实现了个人信用卡信息的保护。

2.附属于公务、公共职能的合规性:《刑法修正案(七)》特殊领域的个人信息保护

2009年《刑法修正案(七)》增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪,[2]在我国民法、行政法做出相关规定之前,首先明确了对“公民个人信息”的刑法保护,形成了“公民个人信息”保护“刑先民后”的尴尬现状。[3]因此,尽管刑法在信息时代“公民个人信息”面临“四面危机”而民法、行政法对此普遍反应迟钝的情况下被迫让一些行为入刑,但受制于前置法权利属性的定位空白,《刑法修正案(七)》对于侵犯个人信息犯罪的打击仍然是有限的、谨慎的,将侵犯个人信息犯罪的主体限制于“国家机关或者金融、电信、交通、教育、医疗等单位工作人员”。这种立法的审慎也表明了此时“公民个人信息”的保护仍然依附于对前述部门职责和公共服务合规性的评价。

3.附属于社会管理秩序:非法获取计算机信息系统数据罪

2011年最高人民法院、最高人民检察院联合发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称:《信息系统安全解释》)第1条立足于非法获取计算机信息系统数据罪、非法控制计算机信息系统罪,将公民个人身份认证信息纳入刑法的保护半径,并将其区分为金融身份认证信息、一般身份认证信息进行分级、分类保护,即差异化地将获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上,获取其他身份认证信息五百组以上,分别作为构成犯罪的入罪情节。基于同样的解释思路,《信息系统安全解释》在看似将公民个人“身份认证信息”纳入刑法保护的同时,实质却是在进行对公共秩序、社会管理秩序的保护,被纳入刑法保护范围内的“身份认证信息”也只是影响到计算机信息系统安全的信息。

4.附属于人身、财产法益:《刑法修正案(九)》看似独立化的保护

2015年,《刑法修正案(九)》在《刑法修正案(七)》条文的基础上,进一步明确了对“公民个人信息”的一般化保护,将出售、非法提供公民个人信息罪和非法获取公民个人信息罪合二为一,修正为侵犯公民个人信息罪,并全面扩张了公民个人信息的刑法保护范围。至此,我国刑法虽似乎已经赋予了“公民个人信息”独立的法益属性和刑法地位,但实则仍有争议。目前,理论界和实务界考虑到个人信息权利属性的不清晰,普遍认为“公民个人信息”应当附属于公民人身、财产安全,甚至有人提出此处保护的只是“公共信息安全”。[4]笔者认为,在目前我国刑法已经将“公民个人信息”明确作为保护对象的情况下,赋予“公民个人信息”以独立的刑法地位有着立法层面的支撑,也有着社会的实际需求,当下需要做的就是明确“公民个人信息”的权利地位。

(二)“公民个人信息”的刑法保护范围:个人信息的概念扩张

整体上看,当前我国刑法对于“公民个人信息”已经实现了较大范围的完整保护,并且通过不断扩张“公民个人信息”的法律概念的内涵来扩大刑法的保护范围,从个人信用卡信息资料、身份认证信息到现在“公民个人信息”的一体化保护,既体现了我国立法、司法的不断努力,也体现了立法、司法乃至理论界对于“公民个人信息”概念的认识扩张。

1.“公民个人信息”概念的雏形:计算机信息系统领域的“计算机数据”

我国刑事司法工作者长期以来并没有对“公民个人信息”的概念进行过明确的界定,而是将其依附于其他法益进行“公民个人信息”的保护。然而,值得注意的是,随着信息网络安全的重要性凸显,与信息网络安全相关的个人信息首次出现在规范性文件之中。2011年《信息系统安全解释》第11条将身份认证信息规定为:“用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。”相似地,2013年2月1日起实施的我国首个个人信息保护标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称:《指南》)第3.2条规定:“个人信息(person-al information)是指可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。”客观地讲,虽然前述概念的界定大多受制于规范本身的局限性,并未能给个人信息以一般性的界定,但其确实将部分个人信息以计算机数据的形式纳入了刑法的保护范围。

2.“公民个人信息”概念的首次明确:具有身份“(直接)可识别性”或者“隐私性”

2012年全国人大常委会通过的《关于加强网络信息保护的决定》(以下简称:《决定》),作为我国关于网络信息保护的第一部专门性立法,对于个人信息做出了原则性的规定。其第1条规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”在此基础上,2013年最高人民法院、最高人民检察院、公安部联合发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称:《通知》)进一步明确,公民个人信息包括“公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。

从前述两种表述不难看出,《决定》和《通知》将个人信息主要划分为两类:一是能够识别公民个人身份的信息;二是涉及公民个人隐私的信息。换言之,刑法所保护的公民个人信息具有两种司法属性,即身份的(狭义的、直接的)可识别性或者个人隐私性。

3.“公民个人信息”概念的外延扩张:“可识别性”的标准统一

2016年全国人大常委会通过的我国《网络安全法》76条第5项规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”由此可以看出,我国《网络安全法》将“可识别性”作为个人信息的唯一法律标准,包括了“能够单独识别”或者“与其他信息结合识别”。例如,生物识别信息与个人联系非常紧密,它利用确定的独特的个人特性进行身份识别或者授权。[5]域外也有相似的做法,如德国《联邦数据保护法》第3条规定,个人数据指关于个人或已识别、能识别的个人(数据主体)的客观情况的信息。[6]

不难发现,前述变化同《通知》相比,将个人隐私删除,代之以“与其他信息结合识别”,体现了立法机关对于个人隐私和个人信息关系的认识态度。个人信息更多强调“可识别性”用途,属于“结果性特征”;个人隐私强调权利性质,属于“形式化特征”。个人隐私与个人信息有交叉也有重合,个人隐私包括个人隐私信息、个人隐私活动、个人隐私空间等内容,个人隐私信息可能属于个人信息,而其他隐私内容可能不属于个人信息的范畴。因此,我国《网络安全法》统一个人信息认定的标准,不再将个人隐私特征单独加以规定,达到了“立标”“立范”的效果。

4.“公民个人信息”概念的精准归纳:个人信息的分级、分类厘定和继续扩张

2017年6月1日起施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称:《解释》)第1条关于个人信息的概念的规定基本沿用了我国《网络安全法》的规定,仅在概括列举时增加了财产状况、行踪轨迹等内容。《解释》第5条根据个人信息分级、分类保护的原则将个人信息划分为三类:其一,行踪轨迹信息、通信内容、征信信息、财产信息;其二,住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息;其三,其他公民个人信息。[7]

从以上规定来看,《解释》极大地扩大了刑法所保护的公民个人信息的范围,但却存在着从“公民个人信息”向“公民的个人信息”保护转化的情形,[8]这种转化已经明显突破了我国《网络安全法》关于个人信息“可识别性”特征的范围。例如,账号密码信息、财产状况信息、行踪轨迹信息等本身并不具有身份的可识别性,而且真实的犯罪人获取前述信息也并非为了去识别个人身份,而是针对其背后的财产利益或者人身权益。因此,从这个层面上看,《解释》在坚持“公民个人信息”之“可识别性”标准的同时,最大限度地对“公民个人信息”进行了保护,将“公民个人信息”外延扩大到具有身份可识别性的个人信息、可能影响人身和财产安全的“公民个人信息”以及其他个人信息。

(三)“公民个人信息”独有法律地位的明确:与个人隐私、个人数据、个人情报的关系厘清

关于个人隐私(privacy act)、个人信息(personal information)、个人数据(personal data)、个人情报(日本的译法)的关系,[9]在理论界以及国内外立法上,均呈现出一定的混乱性,尤其学界在使用前述概念时亦呈现出随意性和混乱性。客观地讲,前述概念在不同的语境下并无实质的概念差异,不同国家和地区根据本地的用语习惯进行表述本无可厚非,但是我国的理论和实务工作者在确定个人信息罪的法益属性时和司法操作、理论研究中,应当对此有所明确。

首先,个人信息和个人隐私的关系。我国《网络安全法》等法律文件已经基本明确了二者的各自边界:个人隐私信息属于个人信息的一部分,而个人空间隐私、个人活动隐私超出个人信息范围之外,除非可能影响到他人人身、财产安全。因此,不少国家在立法上将二者分别予以不同的保护,如加拿大分别制定了《隐私权法》(Privacy Act)和《个人信息保护与电子文件法》(Personal Information Protection and Electronic Documents Act)。

其次,个人信息和个人数据的关系。目前很多国家已经在法律中对于个人信息和个人数据的概念进行了划分,例如,《日本个人情报保护法》明确个人情报(即个人信息)是指自然人姓名、出生年月等可以识别其特定个人身份的内容,包括可以借助其他信息比照简单识别出特定个人的信息;[10]个人数据是指将个人信息进行数据库化之后,可以通过计算机检索等方式获取的构成个人数据库的个人信息。[11]此外,对于二者的关系,也有学者明确指出,个人信息可以被定义为对受众而言具有一定含义的消息,相比个人数据具有更多的可控制性。诚如信息法是服务于人类的一种法律,信息法所强调的是信息对个人的重要性,而不是数据本身的文法(syntax of data)。[12]

因此,个人隐私、个人信息、个人数据三者之间更多的是一种交叉重合的关系,三者共同重合于个人信息的部分均可以纳入侵犯公民个人信息罪的保护范围。尤其在大数据时代背景下,数据的大交易、大流通、大共享将越来越具有普遍性,明确数据的可交易边界,恐怕更多地是将属于个人隐私、个人信息的数据部分剥离于数据范畴之外。因此,个人信息边界的确定,同样也是对个人隐私的保护(尤其是确立大数据交易合法边界)的重要根据和标准。例如,大数据交易的前提在于数据的脱敏化和碎片化,大数据交易过程中,如果将碎片化的信息转化、拼凑为具有身份“可识别性”公民个人信息,则涉嫌构成了侵犯公民个人信息罪。

二、“公民个人信息”的法益属性与权利边界

“公民个人信息”的规范性内涵,经历了不断扩张的过程,而且可以预见,伴随信息时代的发展和新型权益的增加,在无法明确“公民个人信息”法益属性的情况下,这种扩张和“修补”将继续进行。不可否认,刑法扩张“公民个人信息”保护范围,是对于信息时代侵犯公民个人信息犯罪的积极回应,但没有框架限制和原则指导的扩张亦存在违背罪刑法定原则之嫌。因此,明确侵犯公民个人信息罪的法益,厘清“公民个人信息”的刑法边界,对于“公民个人信息”的刑法保护有重要的指导意义。

(一)学界关于“公民个人信息”法益属性的理论争论

关于“公民个人信息”的法益属性,学界目前存在着隐私权说、个人生活安宁说、公共信息安全说和信息权说(财产权、占有权说)等学说,基于不同的定位,对于个人信息的范围认定亦存在着较大的差异,这对于侵犯公民个人信息罪的打击半径和评价范围具有直接影响。因此,有必要对于侵犯公民个人信息罪所保护的法益进行明确界定,进而明确公民个人信息的法益属性。

隐私权说普遍认为,侵犯公民个人信息罪保护的是个人信息所体现的公民隐私权,[13]只有属于个人隐私部分的个人信息才是刑法保护的对象。[14]此观点明显缩小了侵犯公民个人信息罪所保护的法益范围,也极大地限缩了刑法对严重侵犯公民个人信息犯罪的打击力度,不利于保护公民个人信息。

个人生活安宁说将个人信息事实上不被非法获悉的平稳状态和个人支配下的个人信息不被非法获悉的安宁状态,作为侵犯公民个人信息罪的保护法益。其代表性观点认为:“刑法视野中的公民个人信息判断应以‘私人生活安宁’为标准,即任何与公民个人相关的信息,一旦泄露,可能威胁到私人生活安宁的,都是公民个人信息。”[15]

财产权说、占有权说一般认为个人信息作为一种具有财产属性的特殊存在,是一种对个人信息中财产权益的占有权,强调对于个人信息的本身占有。尤其在大数据背景下,应当允许个人信息进行交易,进而以保护财产权的方式对其进行保护。此学说的代表性观点将个人信息的法益解读为公民个人对其享有的占有、使用、收益、处分的权利。[16]此种观点更多地是在我国刑法规定侵犯公民个人信息罪之前提出的,不符合我国刑法关于侵犯公民个人信息罪的立法性质定位,更多地是以个人信息的部分财产属性来彰显个人信息全部内涵,颇有以偏概全、逻辑混乱之嫌。

公共信息安全说普遍认为只有侵犯公民个人信息的数量达到一定程度,才能进入该罪的打击半径之内,对于侵害某一单个个人信息的行为,如果借此实施了其他犯罪,完全可以以其他犯罪的预备行为进行定罪处罚。其代表性观点认为,侵犯公民个人信息犯罪的法益,应当限于“公共信息安全”,该罪成立的关键在于对公共信息安全法益造成了侵害,并建议将该罪名改为“侵犯公共信息安全罪”。[17]

前述各种观点受制于时代或者认识的局限,对于侵犯公民个人信息罪保护的法益和公民个人信息的属性产生了误读,也代表了当前理论界的多样化认识。隐私权说和个人生活安宁说对于公民个人信息的人身属性进行了较为切实的解读,但评价范围过窄,仅看到了个人信息的人身属性,忽略了其人身附加属性和财产属性。财产权、占有权说是大数据时代一种流行的观点,但忽略了其人身本质属性。公共信息安全说更是违背了个人信息的人身属性,我国刑法将侵犯公民个人信息规定为犯罪,并将其置于侵犯公民人身权利犯罪之下,其所保护的法益绝非公共秩序或者社会利益。因此,前述观点尽管都对“公民个人信息”属性进行了较为精准的揭示,但受制于现有理论知识框架,均无法全面完整地将“公民个人信息”属性予以呈现,反映出无法回避的局限性。

此外,值得注意的是,美国法上的隐私概念经历了从保护个人私生活安宁和私生活秘密,到扩张解释“隐私”为其他个人数据的一个历程,逐步突出传统“隐私”的保护范围,不断完善,形成了关于“信息隐私权”的概念。[18]当前,个人隐私法已经不再限于隐私的保护,[19]而是涵盖了隐私以外的其他个人信息权利。从美国法上隐私一词的内涵演变来看,“公民个人信息”的保护程度受到重视,赋予了隐私权不断丰富的内涵,扩大了其范围。我国同样没有必要将“公民个人信息”保护束缚在隐私权这一相对狭隘领域。

(二)刑法评价的新路径:“公民个人信息”的权利属性明确

笔者认为,“公民个人信息”兼具人身特性、经济属性和社会属性,“公民个人信息”的多重属性,使侵犯公民个人信息犯罪具有了多样性动机,进而侵犯公民个人信息的犯罪链条化、犯罪群特征日益明显。由此,“公民个人信息”因其特有的属性,尤其在信息时代背景下呈现出的十分明显的权利特性,有必要被法律予以特别明确和特别保护。

1.新的权利类型提出:公民个人信息权的独立化保护趋势

“公民个人信息”具有复杂权利属性,单纯将其作为隐私权,或者作为财产权加以保护,都存在权利属性的不周延性:一方面,如果过度强调个人信息的财产属性,将会产生侵犯个人信息犯罪被强制割裂为财产性犯罪和人身性犯罪的双重罪名,忽略财产属性依附于身份属性的基本关系;[20]另一方面,个人信息也不同于一般的人格权或者人身性权益,在人格权之外确实承载着巨大的财产性利益。诚如德国数学家诺伯特•维纳(Norbert Wiener)所强调的:“信息就是信息,它既不是物质,也不是能量。”[21]因此,鉴于个人信息所具有的人格、财产双重属性,迫切需要当前法律体系和理论体系给予精准而全面的评价和保护。在此背景下,无论是私权研究领域,还是刑法研究领域,均出现了个人信息权的概念。例如,民法学者开始探索对个人信息的新保护模式,即个人信息权;[22]刑法学者认为,侵犯公民个人信息罪的实质在于对公民信息权的保护,该罪的法益是公民的信息权益。[23]还有学者根据内容的不同,将个人信息保护进一步细分为位置数据保护、标识符匿名保护、连接关系匿名保护等,并主张对不同类型的个人信息数据予以一体化的刑法保护。[24]

客观地讲,侵犯公民个人信息罪的立法设置和司法解释模式,兼顾了个人信息的人格属性和财产属性,并没有纠结于单独将其作为隐私权、人格权还是财产权进行保护,而是泛化地将其多种法律属性概括性评价。此种评价模式的优势主要有两方面:其一,财产权保护思路无法明确相关数据权利,且权属人仍然存在争议;其二,隐私权保护过于狭窄,无法实现有效保护。因此,公民个人信息作为一种独立的新型权利受到刑法保护,既有信息时代、大数据时代的现实需求和时代根据,又有民法学领域的基础性探讨作为基础,既逢时,又顺势。

2.个人信息权的法律内核:“人身属性+财产属性+相关法益关联属性”个人信息权所具有的复杂属性决定了其内容的多元化,从整体上讲,根据现有的我国法律和司法解释,个人信息权中的信息主要包括基于人身属性的“可识别性”身份信息、基于财产属性的财产类和账号类信息、相关法益具有关联性的其他信息。

(1)一般性标准:身份的“可识别性”内容

通过对我国相关法律和司法解释的解读,“可识别性”成为判定某类信息是否有属于公民个人信息的重要根据[25],国外法亦将“可识别性”作为判定个人信息属性的核心要素。例如,《欧盟一般数据保护条例》将“个人数据”(personal data)界定为任何被用以识别或可能识别特定自然人(“数据主体”)的有关信息,该可识别的自然人可以被直接或间接地识别,特别是通过参照诸如姓名、身份证号、位置数据、在线身份识别标识,或者经由有关该自然人物理、生理、遗传、心理、经济、文化或社会身份的要素。[26]因此,身份的“可识别性”成为个人信息保护的关键,有学者将“可识别性”作为公民个人信息认定的实质标准,指出个人信息应当限于具有可识别性的个人信息,能够识别公民个体的信息,能够和具体的公民个体相对应,才可能对公民的生活安宁以及人身、财产权利造成侵害。[27]相似的观点亦指出:“出售或提供公民个人信息中‘公民个人信息’的范畴应限缩为可直接识别特定个人身份的公民个人信息。”[28]据此观点,对于停车位置、驾驶路线等生活轨迹信息,由于无法直接识别特定个人身份,不会对侵犯公民个人信息罪所保护的法益造成侵害或者威胁,不具有实质违法性。

(2)附属性标准:与其他人身、财产法益的关联性内容

在我国理论界当前普遍强调身份的“可识别性”应当成为公民个人信息保护的唯一标准时,同样不能否认的是,我国刑法对于公民个人信息的保护,除了对于具有身份“可识别性”信息之外,还有附属于其他人身、财产法益的个人信息,此类信息无论是基于传统的刑法立法、解释思路,还是现实的必要性,都值得刑法保护。对此,《解释》也给予了确认。诚如笔者所一直强调的,公民个人信息应当成为一种独立的信息权利益,其自身具有特殊的人身属性、财产属性:这种人身属性既具有自身的身份识别性,具有对权利主体其他人身权益的依附性;同理,其财产属性既具有自身的财产利益,也具有对权利主体其他财产权益的依附性。

3.值得注意的新问题:“公共信息”的“被遗忘权”与刑法保护

一般认为,公民个人信息的保护仅指未公开的公民信息,对于在公开的和秘密中的个人信息是否应受到保护存在较大争议。例如,对于他人已公开的信息是否享有隐私权,在美国司法实践中存在着普遍否定的态度,对于已公开、暴露在社会中的个人信息一般不再受到隐私权保护。这种司法认定模式受到了美国学界的反对,反对者指出个人隐私权的概念使个人信息保护受到了极大的限制,对于个人信息的保护处在要么完全公开、要么完全隐秘的两个极端状态。[29]尤其在我国当前尚未形成犯罪记录登记查询制度和前科消灭制度的情况下,犯罪人个人信息,甚至被害人信息曾一度作为“社会公开信息”被公众无限期、无限制地广泛传播和查询,极大地影响到被害人的生活安宁和犯罪人的社会回归。因此,从保障人权和促进犯罪人社会回归的视角,应当允许犯罪信息在经过特定的犯罪记录查询期限之后,终止犯罪记录查询、消灭前科,同时,应给予犯罪信息这一曾经公开的“社会信息”隐私权保护,以此消灭社会公众基于犯罪事实对犯罪人形成的“贴标签效应”和“非规范性评价。”[30]

三、侵犯“公民个人信息”行为的入罪边界

《刑法修正案(九)》和《解释》在廓清“公民个人信息”权利属性和概念外延的同时,对于侵犯公民个人信息行为进行了分类明确,从“公民个人信息”非法提供源头到非法获取和非法使用,可谓是实现了全程化、链条化保护。因此,在我国,无论是“公民个人信息”的权利外延,还是“侵犯行为”,现有的刑法框架均实现了积极的扩张。然而,同样不容忽视地是,在积极保护“公民个人信息”、严厉打击侵犯公民个人信息行为的同时,亦须明确罪名适用的边界。

(一)前置性要件的实质解读:“违反国家有关规定”的法律内涵

根据我国《刑法》253条之一的规定,出售、非法提供公民个人信息行为构成犯罪以“违反国家有关规定”为前提,学界普遍将其称为侵犯公民个人信息罪的前置性条款,在立法上经历了“违反国家规定”向“违反国家有关规定”的转化。因此,明确该要件的实质,对于侵犯公民个人信息罪的认定具有重要意义。

经过梳理可以发现,在我国,关于个人信息保护的规定散见于30余部不同的法律法规、部门规章和司法解释之中,主要包括个人信息保护的一般立法、涉及个人信息保护的具体行业、个人健康信息、个人快递信息、未成年人信息等领域的规定。[31]因此,这30余部“国家有关规定”在形式上成为侵犯公民个人信息构成犯罪的前提,如果狭隘地认为没有“国家有关规定”就不构成犯罪,则会在行政法规无法及时跟进的情况下造成侵犯公民个人信息罪适用的短板。有鉴于此,有研究者指出,根据公民个人信息本身所具有的“超个人法益属性”,应当将“违反国家有关规定”“非法”视为“弱意义”的构成要件,不具有犯罪构成认定的实际价值,“未经公民同意”即可视为“非法”。[32]相似的观点还存在于非法经营罪的认定中:在非法经营罪的四项类型中,“兜底”的第四项中“非法”和“违反国家规定”属于一种同义关系。[33]

笔者认为,“违反国家规定”和“非法”之间绝非等同关系,“违反国家规定”一定是“非法”的,但是“非法”不一定就是“违反国家规定”的,二者于某种程度上属于一种“种属关系”。因此,准确厘清“违反国家有关规定”的实质,尚需要运用历史解释的方法对其进行解读。《刑法修正案(七)》增设的出售、非法获取公民个人信息罪所保护的“公民个人信息”,仅限于依职务、公共服务获得的个人信息,其获取渠道有着法律的授权和明确规定,对于相关的个人信息而言,并非获取、提供就直接成立犯罪,而是要求“违反国家规定”。不难发现,这一规定的实质更多地是提示违法阻却事由的作用,[34]是对于侵犯公民个人信息罪违法阻却事由的反向重申,属于表面的构成要件要素,其价值在于强调对于具有法令行为、业务行为等阻却违法性事由的行为不成立犯罪。因此,充分发挥“违反国家有关规定”在侵犯公民个人信息罪认定中的限缩作用的同时,明确其违法阻却事由的提示性质,将极大地有助于厘清侵犯公民个人信息行为的入罪边界。

(二)定量性门槛:“情节严重”的基本类型

我国传统刑法视野下,对于大量犯罪设置了定量要素,数额、数量中心主义较为突出。随着侵犯公民个人信息犯罪的逐渐增多,传统简单化的定量标准已经无法满足犯罪评价的需要,随之产生了一系列类型化的定量标准。

1.侵犯公民个人信息行为入罪的情节要件

网络犯罪定量标准往往比传统犯罪要复杂得多,其犯罪对象的多元化、犯罪目的的复杂性、犯罪结果的不可控性决定了定量标准计算的难度,因此,《解释》明确了“公民个人信息”的分类、分级保护制度,对于不同安全类型和等级的个人信息,在入罪的门槛设计上进行了差异化的设置。整体上讲,“情节严重”的类型除了根据不同“公民个人信息”类型设定的不同入罪数量之外,《解释》进一步将违法所得数额、信息用途、行为人主体身份、犯罪记录等作为定量标准,基本上涵盖了影响侵犯公民个人信息的大部分情节因素。同时,《解释》关于“情节严重”的设置,也在很大程度上对于“公民个人信息”的法益属性和权利边界进行了回应。例如,针对信息用途的规定,就是鉴于侵犯公民个人信息犯罪逐渐具有了链条化、团伙化、多元化特征,侵犯公民个人信息往往只是其他违法犯罪的开始,在非法获取公民个人信息之后必然流向下游的关联犯罪,这也在某种程度上决定了侵犯个人信息犯罪的社会危害性特征。因此,关于“公民个人信息”的链条化保护逐渐成为法律的重要关注点。例如,德国刑法对于侵犯个人数据犯罪构建了严密的罪名体系,实现了犯罪各阶段的全链条评价。其第202条规定了侵害通信秘密罪,并且,其分别在第202条a、第202条b、第202条c、第202条d规定了探知数据、拦截数据、预备探知和拦截数据,以及数据销赃,[35]对于非法获取被采取安全保护的他人数据,非法拦截使用数据处理系统传输的未公开的他人数据,[36]为前述犯罪创造、提供、销售、转让、传播或以其他方式提供的任何此类行为为目的计算机程序,[37]以及数据销赃行为。[38]

2.再次重申的问题:“公民个人信息”数量是否需要满足不特定多数人要求

如前所述,基于对“公民个人信息”权利属性认识的不同,有观点将侵犯公民个人信息罪中被侵害的法益解释为“公共信息安全”,即限于对不特定多数人信息的保护。此类观点认为,针对单个个人实施的侵害行为人,如果并未实施其他犯罪,未造成实际的法益损害,即使具备情节严重的情形,也欠缺刑事处罚的必要性;如果用于犯罪,则可以作为其他下游犯罪的加重情节,也无须单独处罚获取单个的、特定的公民个人信息的行为。[39]

笔者认为,上述观点并不确切。信息时代背景下,公民个人信息在其价值倍增的同时,与人身、财产利益之间的紧密度、关系度不断的增强,成为关涉个人人身、财产安全的关键要素,个人信息不安全就意味着人身、财产不安全。同时,信息时代背景下,网络犯罪逐渐呈现链条化、集群化特征,[40]特征,个人信息泄露成为很多犯罪的前置性犯罪形态,间接推动或者帮助了相关性犯罪的实现和数量的增长。刑法上的有关规定正是基于信息时代,尤其是大数据时代背景下,公民个人信息在人身、财产安全中的重要地位及其在相关性、下游性犯罪中的影响,所进行的前置式、预防式的提前制裁。因此,即使侵犯同一个人的信息到达相应门槛的,亦应构成犯罪,这也是对“公民个人信息权”保护的积极回应,《解释》第11条第2款关于“向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算”的规定,也认可了此种解释思路。

四、结论

综观我国刑法关于“公民个人信息”保护的规则体系,从附属于金融管理秩序、社会管理秩序的“顺带保护”到设立专门罪名进行单独保护,从强调直接的身份“可识别性”和隐私权属性到统一身份“可识别性”的标准,我国刑法在不断实现“公民个人信息”保护罪名体系精密化的同时,不断赋予“公民个人信息”新的内涵和外延,不断扩张侵犯公民个人信息罪的打击半径。从当前的信息时代和大数据时代需求来看,这无疑是立法和司法的巨大进步。然而,依然需要明确的是,关于“公民个人信息”的保护单靠刑法的大步前进并不能达到理想的保护效果,尚需要民法、行政法的部门法合作,推进“刑民衔接”“刑行衔接”,实现“民先刑后”“刑民并重”的法律合力。[41]事实上,目前我国学界关于公民个人信息的保护思路也在不断地推进民事与刑事交叉、刑事与行政交叉领域的研究,尤其随着“个人信息权”不断得到国内外学界和立法者的承认,[42]我国民法、刑法研究中关于“公民个人信息”的个人信息权化保护的观点日趋一致。笔者认为,随着我国《网络安全法》《民法总则》《刑法修正案(九)》相继明确搭建了公民个人信息保护的整体框架,在后续的具体操作和理论阐释中,有必要根据时代的需求,通过部门法的协助,以及通过司法解释等形式,不断扩充公民个人信息法律保护的范围,实现公民个人信息在信息时代、大数据时代的全面保护。

(责任编辑:杜小丽)

【注释】 作者简介:于冲,中国政法大学副教授、硕士研究生导师。

*本文系北京市社会科学基金项目“大数据环境下个人信息的刑法保护研究”(项目编号:15FXC052)、国家社科基金项目“网络共同犯罪基本原理及其对传统共犯理论的突破研究”(项目编号:17CFX023)的阶段性成果。本文同时受中国政法大学绿色发展战略研究院研究基金、中国政法大学优秀中青年教师培养支持计划资助项目、中国政法大学校级人文社会社科项目资助。

[1]我国刑法早期保护的“个人信息”更多地属于超个人法益的信息,如关于故意泄露国家秘密罪、非法获取国家秘密罪、泄露内幕信息罪、侵犯商业秘密罪的规定通过保护符合超个人法益的信息进行个人信息的保护。

[2]根据2009年《刑法修正案(七)》的规定,侵犯公民个人信息是指,国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的行为。

[3]“刑先民后”的状况与其说是说明了刑法“走得太快”,不如说是说明了民法保护模式已严重滞后于信息时代的实际需求,使刑法只能在“配合”民法关于个人信息权利属性定位的情况下审慎入刑,造成大量具有严重危害性的侵害公民个人信息行为无法得到有效制裁。

[4]参见王肃之:《被害人教义学核心原则的发展》,《政治与法律》2017年第10期。

[5]Article 29 Data Protection Working Party, Opinion 3/2012 on Developments in Biometric Technologies, WP193, available at http://ec.europa.eu/justice/data - protection/article -29/documentation/opinion - recommendation/files/2012/wp193_en.pdf, last accessed 2017.10.29.

[6]§3 Weitere Begriffsbestimmungen, Bundesdatenschutzgesetz(BDSG),2002,

[7]《指南》对个人敏感信息和个人一般信息进行分类保护,其第3.7条规定,个人敏感信息(personal sensitive information)是指一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。

[8]参见于志刚:《“公民个人信息”的权利属性与刑法保护思路》,《浙江社会科学》2017年第10期。

[9]欧盟国家的有关规定普遍使用个人数据一词,如EU general data protection, Bundesdatenschutzgesetz(BDSG);英美法系国家普遍使用个人隐私一词,如Privacy Act; 我国香港地区一般使用个人资料,如我国香港地区《个人资料(私隐)条例》。

[10]个人情报の保护に!する法律(平成15年法律第57号)第2条,この法律において「个人情报」とは、生存する个人に!する情报であって、次の各号のいずれかに该当するものをいう。

[11]个人情报の保护に!する法律(平成15年法律第57号)第2条第4款,この法律において「个人情报デ"タベ"ス等」とは、个人情报を含む情报の集合物であって、次に#げるもの(利用方法からみて个人の$利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。

[12]Karl Steinbuch, Gewerblicher Rechtsschutz und Urheberrecht,579-581(1987).

[13]王昭武、肖凯:《侵犯公民个人信息犯罪认定中的若干问题》,《法学》2009年第12期。

[14]蔡军:《侵犯个人信息犯罪立法的理性分析——兼论对该罪立法的反思与展望》,《现代法学》2010年第4期。

[15]胡胜:《侵犯公民个人信息罪的犯罪对象》,《人民司法》2015年第7期。

[16]参见汤擎:《试论个人数据与相关的法律关系》,《华东政法学院学报》2005年第5期。

[17]参见前注[4],王肃之文。

[18]赵宏:《从信息公开到信息保护:公法上信息权保护研究的风向流转与核心问题》,《比较法研究》2017年第2期。

[19]Danielle Keats Citron,“Reservoirs of Danger: The Evolution of Public and Private Law at the Dawn of the Information Age”(2007). Faculty Scholarship.125.

[20]关于大数据的财产化保护则另当别论,数据财产权不同于个人信息的财产属性。参见于志刚:《大数据时代计算机数据的财产化与刑法保护》,《青海社会科学》2013年第3期。

[21]Karl Steinbuch, Gewerblicher Rechtsschutz und Urheberrecht,579-581(1987).

[22]笔者更倾向于把个人信息权称为一种群属性权利,其包括了隐私权、财产权以及附属于其他人身财产利益的权利内容。参见王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,《现代法学》2013年第4期。

[23]付强:《非法获取公民个人信息罪的认定》,《国家检察官学院学报》2014年第2期。

[24]Roger Clarke, Surveillance by the Australian Media, and Its Regulation, Surveillance & Society 12,1(Mar 2014),89-107.

[25]可识别性一般指同特定个人有一定关联性或专属性的信息,即通过此类信息可以直接识别出或者同其他相关信息结合而识别出特定的个人。参见叶良芳、应家%:《非法获取公民个人信息罪之“公民个人信息”的教义学阐释》,《浙江社会科学》2016年第4期。

[26]Article 4, EU general data protection 2016.

[27]参见曲新久:《论侵犯公民个人信息犯罪的超个人法益属性》,《人民检察》2015年第11期。

[28]高富平、王文详:《出售或提供公民个人信息入罪的边界》,《政治与法律》2017年第2期。

[29]参见张民安主编:《隐私权的比较研究——法国、德国、美国及其它国家的隐私权》,中山大学出版社2013年版,第319-320页。

[30]基于曾经犯过罪的事实会产生规范性评价(前科)和非规范性评价(社会公众自发的“贴标签”),目前所探索的犯罪记录封存制度或者前科消灭制度都是对犯罪事实规范性评价的消灭,同时,还应注意对犯罪事实的非规范性评价,即对犯罪事实这一曾经的公开信息予以隐私化保护,将其认定为“公民个人信息”。

[31]这些法律、法规、部门规章主要包括2000年《互联网信息服务管理办法》,2000年《个人存款账户实名制规定》,2003修订的我国《居民身份证法》,2003年修订的我国《商业银行法》,2006年修订的我国《未成年人保护法》,2009年我国《邮政法》,2009年我国《侵权责任法》,2012年我国《精神卫生法》,2012年《关于加强网络信息保护的决定》,2013年修订的我国《消费者权益保护法》,2013年《征信业管理条例》,2013年《电信与互联网用户个人信息保护规定》,2014年《人口健康信息管理办法(试行)》,2014年《寄递服务用户个人信息安全管理规定》,2014年《电信条例》,2017年我国《网络安全法》,2017年我国《民法总则》等。

[32]有研究者指出,组织出卖人体器官罪、多次盗窃型盗窃罪等罪名,以及对于非法拘禁罪等犯罪中,犯罪对象在多人以上直接作为入罪的条件,均体现了立法和司法上的超个人法益保护方向。参见曲新久:《论侵犯公民个人信息犯罪的超个人法益属性》,《人民检察》2015年第11期。

[33]参见马春晓:《非法经营罪的“口袋化”困境和规范解释路径——基于司法实务的分析立场》,《中国刑事法杂志》2013年第6期。

[34]参见张明楷:《刑法学》,法律出版社2016年版,第922页。

[35]此处数据外延相对较小,仅包括以电子记录或者其他不能直接提取的方法存储或传输的数据。

[36]§202b Abfangen von Daten StGB.

[37]§202c Vorbereiten des Aussp?hens und Abfangens von Daten StGB.

[38]§202d Datenhehlerei StGB.

[39]金园园:《大数据时代个人信息的刑法保护》,《人民检察》2015年第17期。

[40]所谓链条化是指,网络犯罪从预备阶段到实行阶段再到事后的销赃阶段、犯罪掩饰阶段等等,均实现了犯罪分工的明确化,呈现“产业化”态势。所谓集群化是指,单个的网络犯罪形态将不再成为主流,而是以必要的共犯化为核心,一个犯罪有可能兼跨刑法分则章的罪名,罪与罪之间的勾连化逐步增强。

[41]参见前注[8],于志刚文。

[42]European Convention for the Protection of Human Right and Fundamental Freedoms, Nov.4,1950,213 U. N. T. S.222. 

【期刊名称】《政治与法律》【期刊年份】 2018年 【期号】 4


注:本文转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如有侵权行为,请联系我们,我们会及时删除。
重大疑难复杂案件资深大律师网 版权所有 京ICP备16000443号-20