王亚清,俞雪雷,秦 策
(南京师范大学,江苏 南京 212003)
2017 年6 月1 日起实施的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释 [2017]11 号,以下简称为《解释》)释明了侵犯公民个人信息罪的“信息”定义、入罪门槛、定罪量刑标准,回应实践中存在争议的法律问题,为精准打击侵犯公民个人信息罪奠定了规范基础。但《解释》并未驱散目前笼罩在侵犯公民个人信息罪的法益上的疑云。法益是违法性判断的逻辑起点,法益的模糊性可能引发司法实践的困难。因此有必要厘清此罪法益,以确定其打击范围。
依法益持有者的抽象或形式形态的不同,[1]可将法益分为个人法益与超个人法益。目前针对侵犯公民个人信息的法益的讨论主要聚焦于其个人法益,但其具体内容仍未厘清。在个人法益之外,此罪是否兼有超个人法益属性?其超个人法益属性的内容又为何?
对于侵犯公民个人信息罪的法益的个人属性,学术界并无争议,争议点在于个人法益的具体内容。目前学术界主要有四种观点。
第一种观点为人格权说,该说认为侵犯个人信息罪的法益是公民的人格权,[2]其主要理由为立法者将此罪编排在刑法第四章“侵犯公民人身权利、民主权利罪”中。然而刑法的罪名编排只能表明立法者的意图,无法证明此罪的应然法益。其次就此罪的犯罪客体——个人信息来说,大数据时代下,个人信息不仅承载了公民的人格利益,更具有经济价值,个人信息的获取是进行推销等商业活动的前置性程序,部分个人信息更具有直接经济价值,如第三方支付信息。因此此罪法益不能仅局限为人格权。
第二种观点为隐私权说,该说指出该罪保护的法益为“个人信息所体现的公民的隐私权”,[3]因此只有个人信息中体现着个人隐私权的那部分信息才属于刑法保障的范围。[4]此种说法混淆了个人信息与个人隐私,公民个人信息与个人隐私有重合之处但绝不等同。首先,刑法语境下的公民个人信息最重要的特点为可识别性,《解释》明确了公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息;但个人隐私指个人的私密的不愿被其他人知道的信息,其私密属性决定了其不可能具有可识别性,将《解释》中的“姓名、身份证件号码、通信通讯联系方式”认为是隐私恐难服众。其次,个人信息能够被利用以创造社会财富,具有公开性和财产性;而隐私具有极强的人身属性。保护对象的混淆将导向打击范围的扭曲,例如本说下,此罪不能有效惩治非法利用公民已公开的个人信息从事危害社会的行为,也因此此说受到了诸多批判。
第三种观点为双重法益说,该说认为本罪保护的法益是公民个人的信息自由、安全和隐私权。[5]此种观点同样混淆了公民个人信息与公民个人隐私。持此种观点的学者大多认为公民的个人隐私权缺少刑法保护,需借助侵犯公民个人信息罪撑起保护伞。实际上这是越俎代庖,对公民的个人隐私权的保护应当建构完善的私法保护体系,辅以专门的刑事手段,而非将此任务强加给侵犯公民个人信息罪。
第四种观点为信息自决权说,信息自决权指个人依照法律控制自己的个人信息并决定是否被收集和利用的权利,其产生的基础为一般人格权,因此信息自决权应归属于人格权。该说是人格权说的细化,指明了侵犯公民个人信息罪所保护的人格权为公民的信息自决权。这种观点越来越成为学界的通说,为众多学者所提倡,如敬力嘉、陈伟、熊波等。
因此在上述四种学说中,人格权说、隐私权说、双重法益说均有缺点,相较之下,信息自决权最具可采性。信息自决权属于宪法法益,刑法规范对其保护具备正当性。现行宪法第38 条明确规定:“中华人民共和国公民的人格尊严不受侵犯”。依学界通说,从该条规定的人格尊严,可以推导出姓名权、肖像权、名誉权、荣誉权和隐私权,那么从本条也能推导出信息自决权是我国宪法保护的新型具体人格权。[6]
但该说亦有不合理之处。一方面,信息自决权理论中,信息自决权存在于个人信息处理的各个步骤与所有的个人信息,其经典表述是:“个人可以决定向谁告知哪些和他相关的信息,哪些可以隐瞒。这项权利适用于一切个人信息,自然也适用于那些看上去无关紧要的个人信息”。[7]因此将信息自决权作为侵犯公民个人信息罪的法益,将无限扩张此罪的保护范围,无论侵犯何种信息都将构成此罪,即使如性别等一辨即明的信息,最终压缩利用个人信息的空间。而实际上,公民个人信息兼具人身性、经济性和社会性,在现代信息社会,信息的充分涌流才能创造最大的社会财富,充分提升效率,法律不应禁止利用公民个人信息,只需为利用公民个人信息划出一块安全区以防止公民个人信息被滥用。另一方面,信息自决权无法解释该罪刑罚的合理性。在刑罚的横向比较上,同属保护人格权的侮辱罪、诽谤罪、侵犯通信自由罪以及私自开拆、隐匿、毁弃邮件、电报罪的法定刑最高仅为三年,而侵犯公民个人信息罪最高法定刑却为七年。[8]就刑罚的纵向比较而言,侵犯公民个人信息罪的法定刑甚至比保护处于上位的生命权法益的罪的法定刑更高,如过失致人死亡罪仅处三年以上七年以下有期徒刑,情节较轻的,处三年以下有期徒刑。仅仅是侵犯个人信息的犯罪就可以和侵害生命权的犯罪规定同样的最高刑,甚至后者的最低刑还低于前者。因此,无论横向比较还是纵向比较,侵犯公民个人信息罪所保护的法益若仅为个人信息自决权,其刑罚的配置都是不合理、不协调的。
因此,信息自决权说无限扩大了刑法的打击范围,亦难解释侵犯公民个人信息罪的法定刑在刑法刑罚体系中的合理性。有必要重构信息自决权说以解决上述问题,防止刑法过度干预公民对个人信息的正常合理的利用。
为避免刑法打击范围的扩大,自然应当确定一个标准以限缩公民个人信息的范围。那么问题就进一步归结为以何种标准限缩公民信息的范围?
对该问题的回答应回归立法原旨。全国人大常委会发布的《刑法修正案(七)》的草案说明里指出,近年来的泄露公民个人信息的情况对公民的人身、财产和隐私造成严重威胁,这类侵害公民权益情节严重的行为, 应当追究刑事责任。可见,立法机关增设并历次修改此罪是将此罪作为防范电信诈骗、网络诈骗以及滋扰型“软暴力”犯罪等下游犯罪的预防工具。此外,《解释》对入罪门槛的明确,规定“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的”、“非法获取、出售或者提供行踪轨迹信息,被他人用于犯罪的”两种情形为情节严重,也可反证出此点。
只有能够对应到具体的人的信息即具备“可识别性”的信息才具备人身属性和经济属性,其泄露将可能危及被泄露主体的人身利益和财产利益,也因此具备刑法保护的必要。无法指涉具体的人的信息则根本不会产生相应的社会危害性,例如身高信息由于无法特定化至一个明确的信息主体的身份,其泄露至多使他人知道存在有该种身高的人,对该信息主体的侵犯根本无从谈起,因此没有刑法保护的必要性。由此,侵犯公民个人信息罪所保护的法益应为公民对具备识别性的信息的自决权。
但具可识别性的信息仅为对公民个人信息的细化,在法益天平上并不优越于公民个人信息,因此尚不足以解释侵犯公民个人信息罪的刑罚合理性。那么,本罪是否包括其他类型的法益?
法益的确定需要回溯犯罪对象本身的特征。大数据环境下,个人信息出现了超越个人性而向公共性转化的趋势。数据挖掘技术的发展与信息内容的变迁使得一条个人信息的泄露往往能牵一发而动全身,形成一个公民的全部画像。甚至因现代个人信息往往聚集存在,一个数据包泄露常常会导致大量的个人信息泄露, 侵犯数以亿计的个人信息,使社会的信息秩序处于不稳定的状态,因而关涉公共安全甚巨。
在犯罪-立法-司法的各个环节中,此罪亦呈现出公共性特征。首先,在侵犯个人信息犯罪产业链中,行为人往往不以获取特定公民的信息为目标, 而重视获取的信息的类型与数量。在地下信息非法交易中,信息多以条为单位进行售卖,以信息类型为定价标准,而不以信息所有者的身份为定价依据。第二,在本罪的犯罪构成中,侵犯公民个人信息的数量为重要的入罪门槛,针对不同类型的公民个人信息,《解释》分别设置了五十条以上、五百条以上、五千条以上的入罪标准。第三,在审判实践中,海量个人信息、数千元违法所得几乎是每个案件的标配事实。而且从受侵犯信息的内容来看, 该罪处罚的一般是侵犯众多公民某一类信息的行为,而非侵犯某个个人信息的犯罪行为。
综上,该类犯罪所侵犯的法益具有相当程度的公共性,因而具备超个人法益属性。只有如此,其刑罚的合理性问题方能得以解决。
那么,侵犯公民个人信息罪的超个人法益的具体内容为何?
从整体的立法背景看,个人信息作为信息时代的黄金,应以合理合法方式流通,以在保护公民个人信息的前提下促进商业社会的发展。信息的非法获取是对信息社会的正常的信息秩序的突破,使个人信息从商业社会的发展资源而变成犯罪的基础工具,进而对公民的人身权、财产造成冲击。正因如此,作为社会规范工具,刑法正视这种危害结果的严重性,在实害结果产生前介入,以保障信息社会的秩序与安全。
社会整体的信息秩序关联到社会中每个公民的的信息安全。社会整体的信息秩序可以认为是每个个体的信息安全的集合。当社会信息秩序被破坏时,信息社会中的每一个个体都将面对信息被泄露的不确定风险,其信息自决权随时处于被侵害的威胁之中,且信息的泄露很可能产生多米诺骨牌效应,最终导向个人人身、财产安全的受损。
因此应当认为公民个人信息罪的法益为社会的信息秩序与安全,其作为前置于公民信息自决权的的屏障,是在风险社会下以宏观的方式保护微观的利益。
法益的厘清是理解侵犯公民个人信息罪的逻辑起点。侵犯公民个人信息罪应兼有个人法益和超个人法益。在关乎此罪的个人法益的讨论中,公民信息自觉权说最具可采性。但此种观点将会导致刑法法网的无限扩展,亦难正当化侵犯公民个人信息罪的法定刑。为控制刑法法网范围,需重构公民信息自决权说为公民对具备“可识别性的信息”的自决权。侵犯公民个人信息罪法定刑的合理性在于此罪内部兼超个人法益即信息社会的信息安全与信息秩序。