赵明勋,朱德安
(1.天津渤海律师事务所,天津 300201;2.天津商业大学 法律事务室,天津 300134)
对公民个人信息的刑法保护可追溯至《刑法修正案(七)》增设的“出售、非法提供公民个人信息罪”和“窃取、非法获取公民个人信息罪”,之后的《刑法修正案(九)》将上述二罪统合为“侵犯公民个人信息罪”。从某种程度上可以认为,这一罪名的增设和变化是对在当今时代“信息”已然成为一种具有重要价值的生产要素的直接回应。笔者以“‘篇关摘=公民个人信息’and ‘检索范围=中文文献’”在CNKI数据库中进行检索,结果发现,近十年来理论界对公民个人信息的关注持续高涨,并且在近几年一直处于高位(详见图1)。若以学科划分,则主要集中于民商法和刑法领域,分别占据了总发文量的19.09%和19.07%(详见图2)。笔者又以“全文包含‘侵犯公民个人信息’and ‘文书类型=判决书’”在中国裁判文书网进行检索,共得到判决书9683份,其中发生在近5年的占比95%以上,刑事案由的比例更是超过了98%。足见从刑事法律的视角对该问题展开研究有相当之必要。实践中,涉公民个人信息案件的发生几乎都是以互联网为媒介,而我国网民的数量与年俱增。据统计,截至2016年底,我国网民总数约为6.88亿,其中54%的网民认为个人信息泄露严重,84%的网民亲身感受到了由于个人信息泄露带来的不良影响;因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失为人均133元,总体经济损失达到915亿元。亦有调查发现,过去的一年(2018年)有68.7%的网民表示有受骗经历,47.8%的网民遭受经济损失。截至2020年12月,我国网民规模已达9.89亿;而在2021年6月,我国移动互联网用户规模更是达到历史最高值的11.64亿(1)数据来源:《中国网民权益保护调查报告2016》《2019中国网民消费维权调查报告》及第47次《中国互联网络发展状况统计报告》《QuestMobile中国移动互联网2021半年大报告》。。
图1 “公民个人信息”相关中文文献发文量图示
图2 “公民个人信息”相关中文文献学科分布图示
随着理论研究的深入以及司法实务中问题的分化,关于公民个人信息这一课题的研究焦点得以明晰、观点阵营逐渐形成,这就为后来者的接续研究指明了方向、提供了素材。加之《数据安全法》《个人信息保护法》已于近前相继通过,以“人脸识别”为代表的个人信息案件多发,侵犯公民个人信息犯罪的相关问题实有必要尽早厘清。本文主要探讨的是关于该罪的最基本的问题,即该类犯罪所侵犯的法益是什么。这是因为“目的是全部法律的创造者”[1],而刑法的目的就是保护法益。
刑法理论普遍认为,法益侵犯是犯罪得以成立的基础,即便是法定犯(或称行政犯)也需以侵犯抽象的法益或间接的法益为构罪前提(个别学者也曾提出“法定犯并没有实质地侵害法益,其在法益侵害性的问题上存在先天不足”[2])。辨明侵犯公民个人信息犯罪的法益旨在明确相应的行为入罪或出罪、成立该罪或他罪的边界,如此才能更好地在犯罪预防与控制、信息数据自由使用与流通之间求得平衡。
尽管通说认为侵犯公民个人信息犯罪所侵犯的客体是“公民个人的信息自由和安全”[3],但自《刑法修正案(七)》实施以来,众多学者普遍认为该罪所保护的法益存在模糊地带。目前,关于该罪法益具体类型的论争在学界基本形成了“个人法益说”与“超个人法益说”两个主要阵营。
赞同“个人法益说”的学者旗帜鲜明地提出:“根据该罪前置法的规定以及刑法对该罪的定位分析……本罪法益应该坚守个人法益立场而抛弃超个人法益说。”[4]该结论的得出是基于以下三点考量:第一,法益之争的背后是对该罪当属自然犯还是法定犯存在认识上的模糊,自然犯对应的是个人法益。第二,该罪的构成要件要素之一是“违反国家有关规定”,其中的“国家有关规定”是作为前置法而存在,脱离前置法而孤立地讨论该罪所保护的法益不具有现实意义。《民法典》《个人信息保护法》等作为最具关联性的前置法彰显出个人信息的私属性。第三,该罪在刑法典中所处的章节地位以及实害犯的构成要件体现了其并非超个人法益。此外,还有学者论述道:“侵犯公民个人信息罪的法益存在隐私权说、信息权说和双重法益说的争议,从立法原意、立法趋势和行为变化了的社会危害性等方面考虑,双重法益说具有妥当性。”[5]其实,此种观点仍属于在“个人法益说”的阵营内部进行的精耕细作,当然值得肯定的是,该罪的个人法益包含个人信息与个人隐私已被广泛接受。
部分学者直接指出了该罪所保护的具体法益,可以视为是对“个人法益说”的认可。其中,有代表性的观点如下:“侵犯公民个人信息罪属于个人法益犯罪,法益本体是个人信息权,它是《民法总则》第111条规定的具体人格权,通过赋予其超个人属性的方式实现入罪扩张解释,与法益论发展趋势相背”[6];“侵犯公民个人信息罪所侵犯的具体法益类型应当界定为‘公民个人信息自决权’,而理解侵犯公民个人信息罪法益所涵盖的具体要素,则可以从法益类型所指的‘对象、主体、程度与范围’这四个要素出发”[7];“侵犯公民个人信息罪是单一性法益,即个人信息权。侵犯公民个人信息罪中个人信息并不必然要求具备‘识别性’”[8];等等。
在支持“超个人法益”的阵营中,有学者提出“法益的整体应当是‘法益承载的内容’+‘法益的刑法评价’”,该罪所展现的个人属性只是法益的载体,而不是法益的整体;从法条规定和司法解释中可以发现,权利人是否同意的意思表示与该罪的成立不具有直接的关联性。因此,该罪中“公民个人信息只是法益中的物理内容,当其被赋予社会信息管理的外衣时,其内涵才得以全部阐释”[9]。也有学者从“‘权利泛化’、个人信息不能被个人控制、‘知情同意’形同虚设、强行保护公民个人信息权的成本过高”的角度否定了个人信息权存在的基础[10]。还有学者另辟蹊径,通过援引被害人教义学的理论,揭示该罪群体性与间接性的双重属性,提出“仅从保护个体被害人法益的角度无法有效解释巨大被害数量的对应和被害人的地位问题”[11],并对该罪的法益需保护性进行再阐释,得出该罪的法益具有公共性——即为公共信息安全。除此之外,有学者明确指出:“作为抽象危险犯的侵犯公民个人信息罪不能突破罪责原则的限定,依然要受比例原则的约束。侵犯公民个人信息罪的法益为‘关联个人权利型超个人法益’。”[12]
此外,少数学者提出了“并存说”,其认为“将本罪法益确定为个人法益与超个人法益并存(即社会公共安全秩序及公民个人信息自决权并存)是更为合理的”[13],因为该观点能够有效地回应下述问题:一方面,片面地强调超个人法益会使得公民个人丧失对个人信息的自我决定权,容易造成刑法对前置法的“僭越”。即使获得权利人同意、许可的个人信息被获取、使用的行为在前置法看来并不违法,但有可能被冠以“侵犯社会公共安全秩序”而构成犯罪。例如,权利人在招聘网站发布个人简历以求得一份工作,其对于在该网站注册的用人单位能够获取其个人简历显然是默许的;此时网站运营商即使以支付对价的方式向注册的真实的用人单位发送简历也很难认为该网站构成侵犯公民个人信息的犯罪。另一方面,仅肯定公民对其个人信息享有自决权的个人法益,就会使得通过合法手段取得的个人信息用于非法活动甚至用作犯罪活动的情形无法得到刑法妥当的否定评价,陷入通过合法的“外衣”潜入非法“领地”的困境。另一种近似“并存说”的观点认为,“‘公民个人信息’确实是公民个人法益的一种……但我们不能忽视公民个人信息‘超个人法益’的属性”[14],其还强调二者存在不可颠倒的主次关系,而这一属性体现在“公民”一词的潜在意义、刑事立法宗旨以及该类犯罪的现状。也有学者认为:“刑法其实将侵犯公民个人信息罪确立为行政犯,该罪并不具有典型的法益侵害性;根据法益保护理论,侵犯公民个人信息罪在性质上欠缺法益侵害性。”[15]
正如张明楷教授所言:“学派之争可以将刑法理论引向深入,有利于刑事立法的完善和刑事司法的公正。”[16]良性的论争总是积极的,拨开眼前的重重迷雾方能柳暗花明。关于侵犯公民个人信息犯罪法益的论争,多有助益,但也有牵强之处,不少论述执着于行为或现象的外观,而没有深究违法性的实质。笔者不否认个人信息作为一种生产要素的社会属性,但仍坚持侵犯公民个人信息犯罪所保护的法益为个人法益的立场。
首先,从我国刑法典的立法特点来看,刑法分则罪名的排布,可以认为是根据刑法所保护的法益类型之不同所做的类型化处理的结果。言外之意是,规定在同章、同节、同条的不同罪名之间在法益类型上具有较强的关联性,且这一关联性应当是递增的,这就为某一罪名所保护的具体法益的发现提供了体系性思考的手段。有学者反驳道,同类法益的结构化只是相对的,例如“虐待罪”就从“七九刑法”的“妨害婚姻家庭罪”一章迁移到了“九七刑法”的“侵犯公民人身权利、民主权利罪”一章,并沿袭至今。该论者实际上是犯了一种用过去的不合理性来否定现在的合理性的错误,其论述暗含着这样一个前提,即:“七九刑法”的立法当时就存在“法益”这一概念,设置“妨害婚姻家庭罪”专章即表明该章所保护的法益与“侵犯公民人身权利、民主权利罪”存有区别,由于法益发生了变化,“虐待罪”所处章节随之改变。这一前提现在看来显然是站不住脚的,因为彼时“我国的刑法理论中并不存在法益概念”[17],对“七九刑法”的章节设置用法益类型来衡量就有牵强附会之嫌。况且,“七九刑法”的“妨害婚姻家庭罪”一章除却虐待罪,还有暴力干涉婚姻自由罪、重婚罪、破坏军婚罪、遗弃罪等,单独设置该章应当是对彼时特定历史背景和社会环境的关照,“九七刑法”是对该章进行了整体搬迁而非单个罪名的变动。从发展的角度看,由于“七九刑法”的罪名排布并不符合法益类型化的要求,因而对其进行调整,使其更具有合理性。举例来说,不论是“七九刑法”还是“九七刑法”,权威教科书都认为“重婚罪”所保护的具体法益都是一夫一妻制的婚姻权利[18],其上位法益类型亦都是公民的人身权利。这恰恰说明之前分则的章节设置是不尽合理的,但这并没有造成其具体罪名保护的法益类型的偏差。当然,法益类型并非分则罪名排布的唯一标准,反之,从分则罪名排布推导出具体法益亦并非绝对。只是这种体系性思考的手段具有相当的合理性,并且,从统计学的角度看,这一手段经当下分则中绝大多数法益明晰的罪名检验都是适用的。再退一步讲,“除非有理由可以相信立法的归类出现重大错误,否则不应否认立法对罪类的划分”[19]。
其次,刑法条文是罪名的载体,对罪名的理解应当回归到刑法条文的文义,这是法教义学的应然要求。从该罪的条文表述可以明显看到,“情节严重”(“情节特别严重”同理,不再分开赘述)是该罪的构成要件要素之一。最高人民法院和最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》载明了应当认定构成“情节严重”的10种情形,其中一半以上是将达到一定数量或数额作为认定的标准。这就意味着,在没有其他特别情节而满足其他要件要素的前提下,实践中侵犯公民个人信息数量或金额达到相应标准是完全合乎构成要件的,是成立犯罪所必须的,而不是因为该行为侵犯了公共性法益。不可否认的是,绝大多数的实践案例表明,“非法获取公民信息犯罪多为职业犯罪,成百上千条个人信息、数千元非法所得几乎成为每个案件的‘必备事实’”[20]。有学者据此认为:“该类犯罪危害呈现全民性和公共性。”[21]在笔者看来,“认为侵犯公民个人信息罪法益具有公共法益属性的观点,是对相关法律规定和公民个人信息权内涵的误读”[19],“侵犯公民个人信息罪所保护的法益,是具有个人法益属性和独立民事权利地位的公民个人信息权”(2)笔者对该罪具体法益是否是个人信息权持保留意见,但不影响该观点引用。。所谓的“必备事实”本身只是普遍现象,而不是必然现象,这只是在没有其他情节下的该罪的构罪要求,是因为侵犯公民个人信息的数量多或金额大就有可能构成该罪,而不是要构成该罪就必须满足这一条件。“仅以对侵犯公民个人信息数量的巨大,不能弥合法益侵害危险和风险之间由法益侵害目的缺失所造成的鸿沟。”[22]倘若肯定公共法益的观点,就表示构成该罪侵犯的就必须是多数人的合法权益。如此理解的话,那么就没有办法解释“出售或者提供行踪轨迹信息,被他人用于犯罪的”这一法定情形。例如,甲向乙出售丙的个人信息,后乙利用该信息实施了侵害丙的犯罪行为。该例中,甲的行为只侵犯了个别公民的个人信息,但同样满足该罪的构成要件,同时甲的行为需要单独评价,而并不能被乙的后续行为所吸收。应当认为,大多数情况下侵犯个别公民的个人信息也是对法益的侵犯,只不过没有达到需要刑法规制的程度;只有当数量或金额达到一定规模时,方才需要刑法“出手”,这也是刑法谦抑性的要求。有学者还论述到,个人信息还包含财产信息,倘若被侵犯的公民是国家政要还极有可能危害国家安全云云。这是典型的以个别现象来否定普遍现象的辩解,譬如故意杀人行为的对象也有可能是国家政要,难道要据此否认故意伤人罪是对公民个人人身权利的侵犯而转投危害公共安全吗?个人信息当然包含财产信息,但这并不等同于财产权利,对公民个人信息的侵犯并不必要造成对财产权利的侵犯。
再次,当下的个人信息不同于前信息时代的个人信息,其在产生机制、存储介质、传播方式等众多方面都已发生了本质变化。最典型的是,公民个人信息并不被自己完全掌握和实际控制,而是存在于虚拟空间之中,被公权力主体、网络平台、服务供应商等(下文统称“他主体”)所掌握,这也就造成了他主体和公民个人在信息控制、处理和使用上的不平等地位,在外观上形成了公民对个人信息不能完全控制和对个人信息的处理、使用不能完全知情的现象。这种现象虽然是时代发展、科技进步的必然结果,但这绝不意味着公民对其个人信息就丧失了权利。因为他主体利用自身优势掌握的个人信息而实施侵犯公民个人信息的行为,或者是第三主体实施侵犯公民个人信息的行为,都仍应当受到刑法的否定评价。易言之,“个人信息本身具有社会性、公共性,个人信息本质上是可为人使用的,只是该使用不得侵犯他人的合法权益”[23],且这一合法权益已经被《民法典》《个人信息保护法》等所肯认。2021年3月2日,工信部、公安部等四部门联合印发《常见类型移动互联网应用程序必要个人信息范围规定》,该规定实际上就是在削弱他主体的优势地位,给予公民对个人信息更大限度的主体权利。相信随着对公民个人信息保护的加强,一方面是公民与他主体之间的地位将趋于平等,公民对信息的流向、处理、使用将会最大程度知情;另一方面是公民也需要容忍对个人信息合理、合法、必要的处理和使用。
最后,社会危害性是犯罪的主要特征之一,即使是十分鲜明的侵犯个人法益的犯罪行为(比如报仇型的故意杀人)也不能完全排除其具有社会危害性,具有社会危害性不能等同于危害公共权益,继而不能将具有社会危害性的犯罪行为所侵犯的法益简单地归类为超个人法益。正如有学者说的:“国家法益和社会法益本身也要求可以还原为个人法益,在已明确保护个人法益的同时,再强调国家和社会法益,既无必要,还可能冲淡对个人法益的保护重要性的认识。”[24]而发端于德国的被害人教义学的本土化尚处在萌芽阶段,以“被害人”为逻辑起点确实为刑事责任的再分配提供了新的视角,但“该理论只能运用于侵犯私法益的犯罪之中,公法益犯罪无法借助被害人视角得以证立”[25]。
在对公民个人信息的保护上,可谓喜忧参半。“喜”在于《个人信息保护法》《数据安全法》等及时的相继出台、付诸实行。上述法律能够与《民法典》《国家安全法》《网络安全法》等一同构建起信息、数据安全的保护网,将进一步规范个人信息处理活动、保障个人信息依法有序自由流动、促进个人信息合理利用,也将有效消减刑事法先于民事法、刑事法倒逼民事法所带来的不适。“忧”则在于,即便是在“个人法益”的阵营中已经涌现了诸多关于侵犯公民个人信息犯罪具体法益的探讨,包括但不限于“隐私权说”“人身权说”“知情同意说”“个人信息权”“信息自决权说”“信息安全说”“个人尊严与个人自由说”等等,但都尚未形成通说。言下之意是,在实践中,罪名的适用、司法裁判的形成仍有待商榷之处,这实际上并不利于“同案同判”格局的形成。笔者囿于能力,本文亦没有就该问题展开讨论,还需诸方家同仁共同努力。