王 哲
个人信息是数据经济时代的核心,被誉为工业社会中的石油、现代文明的空气。(1)参见[美]布拉德·史密斯、卡罗尔·安·布朗:《工具,还是武器?》,杨静娴、赵磊译,中信出版社2020年版,序言,第XIV页。个人信息的相关法律问题已然成为近年学界研究的重点,其中个人信息所蕴含的权利及其归属也已得到了广泛地讨论。在刑事领域中,由于个人信息在内容及法律概念上的扩张,对涉个人信息犯罪相关法律规定的理解与适用也应随时代的发展而改变。作为保护个人信息的重要刑法规定,《刑法》第253条之一规定的侵犯公民个人信息罪在法律适用上仍存在相关问题。司法实践中,往往存在将不属于侵犯公民个人信息罪规制范围的涉个人信息的相关行为认定为犯罪,或将属于该罪规制范围的侵犯公民个人信息行为认定为其他罪名或者无罪等困境,而造成此困境的根本原因是没有明确侵犯公民个人信息罪所保护的核心法益及该罪的犯罪对象——个人信息的范围。本文以个人信息权利的解构、变动、限定为视角,进一步对侵犯公民个人信息罪的核心法益及该罪对个人信息的认定范围进行讨论,对侵犯公民个人信息罪中“个人信息”的概念进行准确界定,以防止司法实践中法律适用的偏颇。
在日常生活中,个人信息指一切同个人相关的消息或音讯,是一个广义的概念。而落到相关法律规定上,可以发现相关法律对个人信息的定义进行了缩限,且不同法律对个人信息的定义也不尽相同。同时,学界对于个人信息权利属性的认定也产生了一定的分歧。在此背景下,侵犯公民个人信息罪中的“个人信息”的边界已然模糊化,这对于侵犯公民个人信息罪犯罪认定标准的统一造成了一定的困扰。为此,侵犯公民个人信息罪中“个人信息”概念的厘清显得十分必要。
关于“个人信息”在刑法中的含义,最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)规定:“公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”可以看出,《解释》认为个人信息的一个重要特征是可识别特定自然人身份,因此个人信息的分类标准主要取决于该信息是否可以“识别特定自然人身份”。如对《解释》中个人信息的定义进行类型归纳,可将其概括为以下几类:可以直接识别自然人身份的信息、可以结合其他信息间接识别自然人身份的信息和不能识别自然人身份的其他自然人活动信息。
笔者进一步比较其他法律法规及相关行业标准对于“个人信息”保护范围的界定。《民法典》第1034条规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。”《网络安全法》76条第5款规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。”《个人信息保护法(草案)》(以下简称《草案》)第4条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”可见,《民法典》《网络安全法》和《个人信息保护法(草案)》对个人信息的保护范围包括可以直接识别自然人身份的信息和可以结合其他信息间接识别自然人身份的信息,但并没有涵盖《解释》中提到的“不能识别自然人身份的其他自然人活动信息”。
当然,也有相关行政规定和行业规范标准将不能识别自然人身份的信息同样纳入了个人信息的范畴中。如《电信和互联网用户个人信息保护规定》第4条规定:“本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。”国家市场监督管理总局、国家标准化管理委员会2020年发布的《信息安全技术个人信息安全规范》(以下简称《规范》)3.1条规定:“个人信息,是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”可见,《电信和互联网用户个人信息保护规定》及《信息安全技术个人信息安全规范》对个人信息的保护范围包括可以直接识别自然人身份的信息、可以结合其他信息间接识别自然人身份的信息以及不能识别自然人身份的其他自然人活动信息。
从上述规定可以看出,所有的法律法规及行业规范标准都对可以直接识别自然人身份的信息及可以结合其他信息间接识别自然人身份的个人信息的保护达成了共识,即均主张法律应保护具有可识别性的个人信息。因此,可识别性应是个人信息在相关法律保护体系中的核心特征。而《解释》《电信和互联网用户个人信息保护规定》和《信息安全技术个人信息安全规范》对个人信息的保护范围进行了扩大化规定,对于个人信息的保护范围除了可识别自然人身份的个人信息,还包括不能识别自然人身份的其他自然人活动信息。
需要指出的是,《信息安全技术个人信息安全规范》是由中国电子技术标准化研究院组织修订的,不具有法律强制力,仅是推荐性的行业标准。另外《电信和互联网用户个人信息保护规定》也只是对互联网服务行业的一个规定,其辐射范围较小。在具有法律强制力且法律覆盖面广泛的法律如《民法典》《网络安全法》以及即将出台的《个人信息保护法》都仅仅将可识别自然人身份的个人信息纳入法律保护范围中,而只有《解释》在刑法司法解释的层面上,将不能识别自然人身份的其他自然人活动信息也纳入刑法保护范围中。
既然民法和行政法均将个人信息的范围限定为具有可识别性的个人信息,那么《解释》将不具有可识别性个人信息纳入个人信息的保护范围,这一扩大化规定显然带有司法解释扩张化的倾向。根据现有相关判例,行为人在并未造成实际危害结果的情形下,对不具有可识别性个人信息的相关非法获取和使用行为往往在司法实践中被认定构成侵犯公民个人信息罪。因此,对侵犯公民个人信息罪中“个人信息”的限定解释具有明显的必要性。为证明不具有可识别性个人信息不应纳入侵犯公民个人信息罪中“个人信息”的范围内,笔者通过以下两个方面加以佐证:第一,从侵犯公民个人信息罪的核心法益层面而言,对不具有可识别性个人信息的非法获取和使用行为不具备对侵犯公民个人信息罪核心法益产生侵害的现实可能性;第二,《解释》将个人信息的范围进行扩张解释的目的不符合刑事立法应坚持正当性和必要性的基本立场。
在刑法中,每一种犯罪行为都离不开对特定法益的侵害,犯罪行为侵犯核心法益的明确对犯罪构成的认定具有重要意义。在侵犯公民个人信息罪的法律适用实践中,存在许多妨害不具有可识别性个人信息采集、流转、利用的行为无法认定为侵犯公民个人信息罪的情形,为此,需明确该罪所保护的核心法益,以对相关侵犯公民个人信息行为进行准确的刑法认定。
对侵犯公民个人信息罪核心法益的界定离不开对于个人信息所蕴含相关权利的准确把握,根据当下学术界的理论共识,一方面,个人信息的权利已然超出单一隐私权的范畴,是人格权和财产权的融合。个人信息蕴含着对公民隐私、尊严、身份、信息自由的保障权利,因此其具有人格权属性;同时,个人信息又具备一定的财产性利益和交易属性,兼具财产权的意蕴。(2)参见叶良芳、应家赟:《非法获取公民个人信息之“公民个人信息”的教义学阐释——以〈刑事审判参考〉第1009号案例为样本》,载《浙江社会科学》2016年第4期;于冲:《侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界》,载《政治与法律》2018年第4期。另一方面,个人信息同样也涉及社会利益和国家主权,具有公共物品属性,根据社会需求,对个人信息的保护可以适度让位于国家安全和公共利益。(3)参见见闫立东:《以“权利束”视角探究数据权利》,载《东方法学》2019年第2期;高楚南:《刑法视野下公民个人信息法益重析及范围扩充》,载《刑事法杂志》2019年第2期;张勇:《APP个人信息的刑法保护:以知情同意为视角》,载《法学》2020年第8期。
对于侵犯公民个人信息罪的核心法益而言,虽然个人信息同时兼具一定的财产属性和公共物品属性,但是这并不能否认个人信息权利的本质是一种人格权。财产权是建立在对人格权的保护基础之上而衍生的相关权利,对公共利益的保护也是基于对个人人格权保护的基础上演变而来的。个人信息的本质是一种可以识别个人身份特征的信息,且该罪被规定在刑法第四章侵犯公民人身权利、民主权利罪之中。因此,刑法上,侵犯公民个人信息的行为主要是对公民人格权的侵犯,该罪主要保护的法益是个人权利中的人格权。(4)参见王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,载《现代法学》2013年第4期;刘宪权、房慧颖:《侵犯公民个人信息罪定罪量刑标准再析》,载《华东政法大学学报》2017年第6期;张新宝:《<民法总则>个人信息保护条文研究》,载《中外法学》2019年第1期。
在侵犯公民个人信息罪主要保护公民人格权法益这一共识上,学界对该人格权法益中的具体核心权利内容有以下四种不同观点。
第一种观点认为,由于公民个人信息在一定程度上是从隐私权中分离出来的权利。特别是在我国,以往对公民个人信息的界定直接采用了“涉及个人隐私”的表述。因此,侵犯公民个人信息罪所保护核心法益的重要方面应当为隐私和生活安宁。(5)喻海松:《侵犯公民个人信息罪的司法适用态势与争议焦点探析》,载《法律适用》2018年第2期;徐翕明:《“网络隐私权”刑法规制的应然选择———从“侵犯公民个人信息罪”切入》,载《东方法学》2018年第5期。第二种观点认为,我国刑法对于公民个人信息保护是建立在《中华人民共和国宪法》对公民基本权利保护基础上的,是履行“国家尊重和保障人权”基本义务,保护公民人格尊严、人身自由等宪法权利,而不是直接基于人格权或隐私权保护。因此,刑法中侵犯公民个人信息罪所保护的核心法益应当理解为公民人格尊严与个人自由,隐私利益只是人格尊严保护的内容之一。(6)高富平、王文祥:《出售或提供公民个人信息入罪的边界──以侵犯公民个人信息罪所保护的法益为视角》,载《政治与法律》2017年第2期。第三种观点认为,侵犯公民个人信息罪的核心法益虽然来源自一般性的人格尊严或人身自由,但如今它已从中分离出来成为独立的个人信息权,是具有绝对私人属性的具体人格权。(7)冀洋:《法益自决权与侵犯公民个人信息罪的司法边界》,载《中国法学》2019年第4期。鉴于隐私权的概念外延较窄,对于侵犯公民个人信息罪的保护法益宜采取内涵较为丰富的个人信息权的概念,它是兼有精神性权利与物质性权利的综合权利。(8)劳东燕:《个人数据的刑法保护模式》,载《比较法研究》2020年第9期。第四种观点认为,个人信息蕴含着公民个体的具体人格权,同时具有社会公共法益属性,而个人信息自决权是公民个人信息的基础权利,知情同意则是个人信息自决权的核心。(9)张勇:《APP个人信息的刑法保护:以知情同意为视角》,载《法学》2020年第8期。基于刑民一体化视角与法秩序统一性原理,侵犯公民个人信息罪的保护核心法益是个人信息权中的信息自决权。(10)刘艳红:《民法编纂背景下侵犯公民个人信息罪的保护法益: 信息自决权——以刑民一体化及〈民法总则〉第111条为视角》,载《浙江工商大学学报》2019年第6期。
笔者赞同第四种观点,主要有以下四个方面的理由:第一,个人隐私信息只属于个人信息的一部分,并非所有侵犯公民个人信息的行为都涉及对公民隐私权的侵犯。以往相关立法也并未将个人信息同涉个人隐私信息作等价表述,因此第一种观点的论证依据并不充分。第二,刑法上的法益确实需要获得宪法条文的明示,但这并不代表刑法的法益必须同宪法的权利逐一对应,这仅能表明侵犯公民个人信息的核心法益应归属于人格尊严和人身自由这一范畴,但并不足以说明侵犯公民个人信息罪的核心法益是人格尊严和人身自由。同时,人格尊严和人身自由是一个较为宽泛和抽象的概念,用一个抽象的法益去涵射具体的行为事实将导致法律的适用产生不确定性的风险,因此第二种观点的论证依据并不充分。第三,与其说个人信息权是一种独立于一般性的人格尊严或人身自由的新兴权利,不如说个人信息权是多种权利的集合体,因为其本质上是一种兼具人格权和财产权的复合权利。在司法适用中,对这种内涵丰富的复合权利的提倡虽然对完善公民个人信息相关权利的保障具有一定积极意义,但这也将同时导致侵犯公民个人信息罪的边界的肆意扩张,不利于贯彻刑法谦抑的基本精神,因此第三种观点的论证依据并不充分。第四,根据民法和行政法相关规定,在不损害国家利益和社会利益的前提下,任何公民均有权放弃或行使其个人信息中的相关权利,个人信息处理者对的个人信息的获取、转让、使用行为均离不开个人的知情授权行为。这充分说明,行为人是否存在对个人信息自决权的侵犯行为将直接决定该行为是否构成侵犯公民个人信息罪。作为个人信息权的核心部分,将个人信息自决权作为侵犯公民个人信息罪的核心法益既契合了该罪的犯罪构成要件,又能有效防止司法实务中将该罪的入罪边界进行恣意地扩张化解释。
立法对于个人信息法益的保护必须立足于社会现实,在现实中,个人信息时常作为数据市场交易和政府信息公开等多个领域中的基本要素发挥重要的作用,个人信息所蕴含的相关权利也往往随着信息的公开发生一定的变化。笔者通过对个人信息公开过程中个人信息相关权利的消灭、转移、存续进行详细剖析这一视角来分析个人信息最应得到刑法保护的核心权利,在驳斥上述其他观点的同时,进一步对侵犯公民个人信息罪的核心法益为个人信息自决权这一观点进行证成。
在对个人信息公开过程中的权利变动进行分析之前,有必要先对个人信息公开的相关概念达成两点共识。第一,个人公开信息是指经过个人主动公开后的信息而非客观上已公开的个人信息。“个人公开信息”不等于“公开个人信息”,前者指的是由特定自然人主动在一定范围内将自身信息进行公开的相关信息,而后者指的是政府或相关责任主体依法向社会公布个人的相关信息。美国《2018加州消费者隐私法案》也明确规定了,“个人信息”不包含公开可得信息。“公开可得”系指从联邦、州或地方政府记录中可合法获取到的信息,如果符合与此类信息相关的任何条件。显然,“公开个人信息”本身是政府或责任主体依法向社会公开的信息,个人对该信息的公开并不具有自决权,因此政府依法公开个人信息的行为不涉及对公民个人信息的侵犯,更不可能涉及侵犯公民个人信息犯罪的相关认定。同时,在特定的情形下,个人对自身信息的公开也不具有自决权。在个人公开信息可能危及国家、社会利益的情形下,个人将此类信息进行公开的行为必然会违反相关国家规定。此时,该个人信息的公开行为本身便具有不法性,那么对此类信息的收集和使用行为便不可能被认定为法律规定的合法收集和使用行为。因此,当个人非法公开根据国家规定不应当公开的自身信息的,在刑法上应将该已公开的个人信息应拟定为非公开信息,此时个人对个人信息的公开依然不具有自决权,个人信息收集者在明知违反国家规定的前提下实施信息获取的行为也可能构成侵犯公民个人信息罪。第二,已公开的个人信息不受侵犯公民个人信息罪的保护。《民法典》第1036条第2款规定了行为人处理个人信息而不承担民事责任的相关情形,其中在第2项规定了“合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外”。这充分表明,在不侵害个人重大利益且自然人同意的前提下,处理自然人自行公开的信息是不承担民事责任的,而该处理信息的行为既然在民事上是合法的,则其在刑事上更不可能被认定为是犯罪行为。同时,若行为人实施利用个人提供的信息侵害其重大利益的行为,此时则完全可能构成其他犯罪。如对已公开个人信息的名誉、尊严权等造成侵害的行为可能构成侮辱罪或诽谤罪等犯罪;通过非法方式获取已向全社会公开但经过信息收集者整理分析的个人信息的行为仍可能触犯刑法中相关财产犯罪。此时,也无需通过侵犯公民个人信息罪对此行为予以规制。因此,侵犯公民个人信息罪中的个人信息明显不包括已公开个人信息。无论个人是否将信息公开,个人信息人格权中的名誉、人格尊严、安宁权部分始终依附在信息上,当这些权利受到侵害时,相关行为也并不构成侵犯公民个人信息罪。如此,侵犯公民个人信息罪并不主要保护个人信息人格权中的名誉、尊严、安宁权。
在上述两点共识的基础上,笔者进一步将视角集中在个人将信息公开过程中相关权利的变化上对侵犯公民个人信息罪核心法益进行研究。根据刑法相关规定,侵犯公民个人信息罪包含非法获取、非法出售和非法提供三种行为类型,可见,刑法对侵犯公民个人信息的犯罪行为是以个人信息处理者的犯罪行为方式进行归纳的,这种归纳方式对于司法适用具有重要指导意义。但如需研究个人信息公开过程中相关权利的变化,则需要以个人信息处理者的行为时间顺序为逻辑基点对个人信息公开进行阶段划分,按照这一标准,可将个人信息公开过程分为两个阶段,即个人信息处理者获取个人信息的阶段以及获取个人信息后的个人信息使用阶段。
第一,在个人信息处理者获取相关个人信息时,个人享有对个人信息公开的自决权。当个人因知情同意而主动向个人信息处理者提供个人信息后,无论个人信息处理者是否在合意范围内对个人信息进行使用,都无法否认在客观上该个人信息对特定的个人信息处理者已然失去了隐私性,且个人信息处理者可以合法利用个人信息进行营利性活动。因此,个人将信息向个人信息处理者提供时,其放弃的是个人信息人格权中的隐私权及附属在人格权之上的相关的财产权益。即个人认为,将自身的信息提供给该个人信息处理者,并被特定的个人信息处理者对个人信息进行分析、使用以及获得相关收益均是在其知情同意范围之内的。如个人信息处理者未经同意实施获取合意范围之外的个人信息行为,则该行为可能构成侵犯公民个人信息罪。
第二,在个人信息处理者合法获取个人信息后,个人依然享有对个人信息删除、更改的自决权。根据《民法典》第1037条规定:“自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。”《网络安全法》第43条规定:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。”据此,如个人提出对已公开信息的删除、更改请求而遭受信息处理者拒绝时,此时个人实际上已对原先个人信息使用的授权范围作了更改,应将个人信息处理者拒绝个人信息提供者行使对已公开个人信息行使删除、更改权的行为,解释为对个人信息使用范围自决权的侵犯行为,该行为仍可能构成侵犯公民个人信息罪。
可以看到,信息自决权的行使范围不仅限于个人公开信息时个人对信息处理范围享有知情同意的权利,还包括个人信息公开后对信息使用范围进行更改的权利。若行为人侵犯了上述信息自决权,其行为仍可能构成侵犯公民个人信息罪。个人的信息自决权是始终贯穿于个人信息获取、提供和使用各个阶段的。正如有些学者所认为的,侵犯公民个人信息罪的成立关键在于“是否未经或者违背了被收集者的同意”。(11)周光权:《侵犯公民个人信息与妥当的刑罚处罚》,载《检察日报》2020年1月13日。
因此,我们可以得出结论,刑法上对侵犯公民个人信息的行为认定并不取决于个人信息的隐私权或财产权是否遭受侵犯,而取决于行为人对个人信息的处理是否在个人的知情同意范围内。相比之下,个人信息的隐私权是一种被动的防御性权利,而个人对其个人信息隐私权放弃的对象范围取决于信息公开的范围。个人信息一旦提供给特定信息处理者,对于信息处理者而言,其信息上的隐私性已然消失。然而,即使个人放弃了个人信息中的隐私权,个人的信息自决权却一直延续,并不随着个人信息的公开而消灭。就财产权而言,个人信息中财产权的转移也完全依赖于个人信息自决权的行使,个人信息一旦提供给特定信息处理者,个人信息处理者即享有对该个人信息合法使用而获得相关财产收益的权利。而如果个人在个人信息使用过程中提出对个人信息进行更改或删除的请求,此时该个人信息处理者便随之丧失对个人信息进行使用收益的权利,这种财产收益权的丧失也同样取决于个人信息自决权的有效行使。据此,完全有理由认为,侵犯公民个人信息罪并非重点保护个人信息中的隐私权或财产权,而主要保护个人对信息处理的知情同意权,而这种知情同意权是指个人享有对自身信息的收集和使用范围的自由决定权,根据相关学者的观点,可将此种权利称为个人信息自决权。
在侵犯公民个人信息罪的核心法益为个人信息自决权的基础上,笔者进而认为,不具有可识别性的个人信息不在个人信息自决权的法益保护范围之内。理由是:第一,个人信息处理者对不具有可识别性个人信息的获取行为无需征得个人的知情同意。在个人信息的收集阶段,个人信息自决权行使的前提条件是个人信息的获取和使用行为将产生对个人相关权利危害的现实可能性,个人信息处理者之所以在获取个人信息时需得到个人的知情同意,其目的是使对个人信息的使用行为合法化,避免对个人信息中相关隐私权、人格尊严、财产权等造成不利后果。由于不具有可识别性个人信息的不可识别性切断了个人信息处理者对特定自然人身份的识别可能性,因而对该个人信息的获取和使用行为也不可能产生对特定自然人隐私权、人格尊严、财产权危害的直接可能性。第二,同理,由于对不具有可识别性个人信息的使用行为不存在对个人相关权利危害的直接可能性,个人也无权在个人信息的使用过程中对不具有可识别性个人信息提出删除或更改的请求。同时,个人既无法界定不具有可识别性个人信息同自身特定活动的相关性,也不享有对不具有可识别性个人信息的自主控制力,因此无权行使个人信息自决权。可见,不具有可识别性的个人信息不在个人信息自决权的法益保护范围内,司法解释对侵犯公民个人信息罪的扩张解释将同侵犯公民个人信息罪的核心法益保护范围相冲突。
在明确不具有可识别性的个人信息不在侵犯公民个人信息罪核心法益的保护范围内这一结论的基础上,为进一步证明对“个人信息”在刑法中范围限定的必要性,应阐述《解释》将个人信息的范围进行扩大化规定的目的以及这种目的所带来的弊端。
为准确理解《解释》对个人信息范围扩张化规定的目的,需要先明确可识别的个人信息的权利内涵,再将不具有可识别性个人信息的权利内涵与之比较,并推导出司法解释将不具有可识别性个人信息纳入保护范围的立法目的。
1.可识别的个人信息的权利内涵。刑法之所以对可识别的个人信息进行保护,其本质上是为了保护个人信息蕴含的人格权。庞德认为,个人人格利益是指个人提出的这样一种要求:他的个人事务不能被置于光天化日之下并由一些素不相识的人谈论。把纯属个人性的事务中有关私人的问题予以公开是对人格权的伤害。(12)[美]罗斯科·庞德:《法理学(第三卷)》,廖德宇译,法律出版社2007年第1版,第44-45页。而个人信息的可识别性正是将个人的私人事务通过识别到特定的自然人,而予以公开的信息特性。如果一种信息是可以识别到自然人身份的,那么一旦其遭受泄露,特定自然人便需要面临该信息被知情者议论、分析甚至被侵害的风险,这无疑是对其人格权利的侵害。如一次毫无理由的电话推销便是对个人隐私权的侵犯,虽此类行为并没有破坏个人的隐居和分散个人的注意力,但它确实侵犯了个人作为秘密的隐私。正如相关学者认为,如果连这点保护都没有,那么人们就会转而运用更为安全但却效率较低的通讯手段,并对此承担成本。(13)[美]理查德·波斯纳:《法律的经济分析》(第七版),蒋兆康译,法律出版社2012年版,第1024页。
同时,由于侵犯公民个人信息罪的核心法益是个人信息自决权,个人信息自决权属于人格权中的自由权,即个人有决定信息处理目的、方式、范围的自由。而个人对信息进行自决的前提条件是该个人信息可以识别到特定的个人,如果相关信息无法准确关联识别特定个人,那么个人也无权对该信息处理目的、方式和范围行使决定权。如此,个人信息的可识别性是一种人格权利,保护的是个人的人格利益,且法律上对个人信息人格权的保护也已然达成了一致共识。
需要注意的是,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《决定》)第1条规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”从字面上看,这似乎表明,《决定》认为,可识别性的个人信息和涉及公民隐私的个人信息至少不是包容关系,而是交叉或者并列关系。然笔者认为,不应当将《决定》第1条理解为对个人信息的保护范围进行分类,《决定》第1条仅是强调两种重要的个人信息,即可识别的个人信息和个人隐私信息均受到国家重点保护。以人格权中的隐私权为例,《民法典》第1032条规定:“任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”该条文充分印证了,对隐私权侵犯的前提是能够事先关联到特定自然人,进而才有可能知晓他人的私密活动情况并对其私人生活安宁造成干扰。这表明,个人的隐私信息是包含在个人可识别信息的范围内的,而不具有可识别性的个人信息是不可能包括个人隐私信息的。同理,对个人的名誉、自由、安宁等其他人格权利的侵犯也必须是以识别到特定自然人为前提。因此,可以得出结论,有关公民人格权利的相关个人信息都属于法律规定的可识别的个人信息。
2.司法解释将不具有可识别性个人信息纳入保护范围的目的。笔者认为,《解释》将不具有可识别性个人信息纳入刑法保护范围,其目的主要是为了维护社会管理秩序。首先,《解释》对于不具有可识别性个人信息的保护目的不可能是对其人格权的保护。可识别性的个人信息和不具有可识别性个人信息的区分的关键在于个人信息是否可以关联到特定自然人身份。可识别性个人信息因为可以关联特定自然人身份,对该类信息的侵害行为将对特定自然人的人格权利造成侵害危险,相比之下,不具有可识别性的个人信息因为其完全无法关联到特定自然人,相关行为不可能存在对个人的隐私、安宁、自由等人格权造成困扰,不具有可识别性的个人信息并不蕴含任何人格性的权利,因此《解释》对于不具有可识别性个人信息的保护目的不可能是对其人格权的保护。
其次,《解释》对于不具有可识别性个人信息的保护目的不可能是对其财产权的保护。不具有可识别性个人信息虽蕴含一定的财产权利,但这里所指的财产权是纯粹意义上的与人格权无关的财产利益。因为人格权本身也附带着重要的财产性利益,如个人电话、住址等具有识别性的个人信息往往蕴含巨大的财产价值,因而也容易引起不法行为人的非法侵害。相关学者也提出,虽人格权乃存于权利人自己人格上的权利。但是因社会经济活动的扩大,科技的发展,特定人格权(尤其是姓名权及肖像权)既已进入市场而商业化,具有已定经济利益的内涵,应肯定其兼具有财产权的性质。(14)王泽鉴:《民法总则》,北京大学出版社2009年版,第113页。而这里我们所说的个人信息财产权,是指仅具有财产价值的但是无法对个人的生活安宁和私密空间造成干扰的信息,如没有可识别性的购物记录、商场或相关网站的流量等。这种信息虽不具有可识别性,但是也存在相应的经济价值,因而蕴含相关财产权利。这种财产权利并不产生对个人法益和社会法益造成严重危害的可能性,对一般个人信息财产权利的保护完全可以通过民法来进行调整,当不具有可识别性的个人信息受到了非法的侵害,则可以优先适用《民法典》第七编有关侵权责任的相关规定。如行为人通过非法手段从有管理权限的主体手中获取大量的客户购买记录、人流信息等并造成特定主体严重财产损失的,则可以根据刑法第五章侵犯财产罪中的相关罪名对其定罪处罚,因此《解释》对于不具有可识别性个人信息的保护目的不可能是对其财产权的保护。
最后,《解释》将不具有可识别性个人信息纳入刑法保护范围其立法目的主要是为了保护抽象的公共利益。既然侵犯公民个人信息罪已将不具有可识别性的个人信息纳入了个人信息的保护范围,这表示在刑法上,行为人对不具有可识别性个人信息的侵犯行为必然将符合侵犯公民个人信息罪的犯罪行为构成要件。对于侵犯公民个人信息的犯罪行为,《解释》第2条明确将其定义为“违反法律、行政法规、部门规章有关公民个人信息保护的规定的”相关行为。而对于违反国家相关规定行为的认定,民法和相关行政法对此作了明确规定(15)《民法典》第1035条对处理个人信息提出四项要求,包括征得该自然人或者其监护人同意;公开处理信息;明示处理信息的目的、方式和范围和不违反法律、行政法规的规定和双方的约定。《网络安全法》第41条也规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”《草案》第13条也规定了处理个人信息的六种合法情形,包括取得个人的同意;为订立或者履行个人作为一方当事人的合同所必需;为履行法定职责或者法定义务所必需;为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息及法律、行政法规规定的其他情形。。根据相关法律规定,个人信息的合法处理行为包括:第一,在收集过程中获得个人的知情同意的信息收集行为,及在使用过程中未超出信息使用范围的使用行为;第二,为公共利益所需的个人信息处理行为;第三,其他法律规定的合法行为。由于行为人对不具有可识别性个人信息的获取和使用行为均不涉及对公民个人信息自决权的侵犯,那么,可以得知,《解释》将不具有识别性个人信息纳入保护范围的目的是为了防止侵犯不具有识别性个人信息的相关行为将对公共利益造成严重危害。
那么随之而来的问题是,是否有必要仅为了保护较为抽象的公共利益,而在侵犯公民个人信息罪的司法解释中特意强调对于不具有可识别性个人信息进行保护吗?笔者认为,将不具有可识别性个人信息纳入刑法保护范围不符合刑事立法应坚持正当性和必要性的基本立场。具体而言:
1.将不具有可识别性个人信息纳入刑法保护范围容易导致刑法的立场不明确,同时不利于保障个人利益与公共利益的平衡,同刑事立法应坚持的正当性基本立场相违背。
首先,在侵犯公民个人信息罪中特意强调对于不具有可识别性个人信息的保护不利于保证刑法立场的明确性。《解释》第1条对个人信息的范围作了界定,认为公民个人信息包括可识别的个人信息和不具有可识别性的个人信息。然而,根据《解释》第3条规定,即使是未经被收集者同意的情况下,信息收集者也可以将经过处理且无法识别特定个人的信息进行收集并提供给他人使用。这意味着,《解释》也同样认为,对经过处理且无法识别特定个人信息的信息处理行为不具有社会危害性,这显然和《解释》第1条规定存在一定的冲突。由此看来,《解释》对于不具有可识别性的个人信息保护立场是不明确的。同样,根据《民法典》和《网络安全法》的相关规定(16)《民法典》第1038条规定:“信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。”《网络安全法》第42条规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”,民法及行政法也均不保护不具有可识别性的个人信息。既然《解释》已认识到不具有可识别性的个人信息并不具备很大的社会危害性,且其他法律也未将此纳入保护范围,那么,《解释》对于侵害公民个人信息罪“个人信息”保护范围的定义便存在规定不清晰的问题,这将导致实践中对侵犯公民个人信息罪的理解和适用产生争议。《解释》将“个人信息”简单的认定为“个人的信息”(即包括可识别的个人信息和不可识别的个人活动信息)显然将导致对个人信息的过度保护,进而阻碍个人信息的合理流通,给数据经济发展带来困扰的同时也给社会管理造成不便。为了明确刑法的立场,应该将不具有可识别性的个人信息排除出刑法对个人信息的保护范围。
其次,在侵犯公民个人信息罪中特意强调对于不具有可识别性个人信息的保护不符合侵犯公民个人信息罪的立法本意。个人信息之所以具备一定的公共物品属性,是因为当个人利益和公共利益相冲突时,立法允许适度损害个人信息上的相关个人权利而保障国家和社会更大的集体利益。立法对于个人信息公共属性的明确是旨在说明,如对个人信息的处理已获得个人的知情同意但将损害公共利益时,此时个人知情同意权的行使不能对抗公共利益。因此,在特定情形下,对个人信息公共属性的提倡同对个人信息个人权益的保护是相互矛盾的。但结合侵犯公民个人信息罪的立法本意来看,刑法设立侵犯公民个人信息罪并将其规定在第四章侵犯公民人身权利、民主权利罪中主要是旨在保障个人权利不受非法侵害,而不是强调对公共利益的保障。因此,对于不具有可识别性个人信息的保护并不符合侵犯公民个人信息罪的立法本意。正如相关学者所说,从法益侵害角度而言,关于侵犯个人信息“不法性”的认定,应采法益衡量原则,就受侵害的人格法益、加害人的权利及社会公益,依比例原则而为判断。(17)王泽鉴:《民法总则》,北京大学出版社2009年版,第109页。如果对个人信息保护的范围进行无限扩大化,那么也必将导致对个人利益的保护同对社会利益的保障相互冲突。如果我们说对个人利益的保护体现着人权原则的话,那么公共利益的价值诉求则体现功利主义的原则,人格利益与社会公益之间冲突的背后便是人权原则与功利主义的冲突(18)参见甘绍平:《人权伦理学》,中国发展出版社2009年版,第275页。,而过度强调人权原则显然不是解决这种冲突的有效手段。因此,以平衡个人利益与公共利益为出发点,便不应将不具有可识别性的个人信息纳入侵犯公民个人信息罪中的个人信息范围。
2.将不具有可识别性个人信息纳入刑法保护范围同刑事立法应坚持的必要性基本立场相违背。我们通常将刑法作为“最后一道防线”,主要是就立法层面而言,刑法将某种行为规定为犯罪时应该特别谨慎,如果其他法律能够调整的行为,就不需要纳入刑法打击的范围。(19)刘宪权:《刑法学名师讲演录》,上海人民出版社2016年版,第20页。刑法的严苛性及刑法的谦抑性共同决定了科学的刑事立法活动必须摒弃情绪化干扰,才能最大程度地接近“有良法可依”,而这也正是刑事立法应力戒情绪的法理依据所在。(20)刘宪权:《刑事立法应力戒情绪———以〈刑法修正案(九)〉为视角》,载《法学评论》2016年第1期。然而根据现有相关司法判例,行为人具有为他人寻找车辆位置而以此牟利的目的,实施非法购买车辆档案信息、车辆保险信息等不具有可识别性公民个人信息的行为,该行为在司法实践中被认定为构成侵犯公民个人信息罪(21)参见广东省佛山市中级人民法院刑事判决书,(2020)粤06刑终990号。。该案例存在的不合理之处是,车辆档案信息和保险信息所指向的对象是车辆而不是个人,行为人仅通过实施为他人寻找车辆的位置而不是为他人寻找车主位置的行为以此牟利。因此,该非法获取个人信息的行为对个人法益无法造成任何现实危害可能性,也并未明显损害公共利益。如前文所述,司法解释对不具有可识别性个人信息的保护目的是为了维护社会管理秩序。而从法益角度而言,对不具有可识别性个人信息的侵犯行为所侵害的法益虽是社会管理秩序,但为寻求国家刑罚权与公民个人意思自治的平衡,刑法必须保证法律所维护的公共法益是公民个人法益的升华,即对公共法益的维护最终能够实现对公民个人法益的保护。只有当预防刑法对公共法益的保护相当于间接保护了个人法益的时候,预防刑法才具有正当性和必要性。(22)房慧颖:《预防刑法的天然偏差与公共法益还原考察的化解方式》,载《政治与法律》2020年第9期。因此,行为人仅实施非法收集他人不具有可识别性的个人信息的相关行为但没有对国家安全、企业财产、网络秩序、个人财产利益造成明显损害的,司法实践中也完全没有必要将此行为认定为侵犯公民个人信息罪。如果行为人通过对不具有可识别性个人信息的使用而严重危害公共利益的,此时则完全可以通过刑法第六章妨害社会管理秩序罪中的相关罪名对其定罪处罚。
此外,其他国家对于个人信息保护的相关法律规定也未将不具有识别性的个人信息纳入保护范围。如美国加州于2020年1月1日生效的《2018加州消费者隐私法案》中对个人信息的定义为:“个人信息”指直接或间接地识别、描述、能够相关联或可合理地连结到特定消费者或家庭的信息,包括但不限于以下内容:如真实姓名、别名、邮政地址、唯一的个人标识符、在线标识符、互联网协议地址、电子邮件地址、帐户名称、社会安全号码、驾驶证号码、护照号码的标识符或其他类似标识符。这表明《2018加州消费者隐私法案》认为值得法律保护的个人信息必须是可识别到特定自然人的相关信息。同样,德国刑法体系对个人信息的保护集中规定在第十五章侵害私人生活和秘密的犯罪中,包括第201条侵害言论秘密、第202条侵害通信秘密、第203条侵害他人隐私、第204条利用他人秘密等罪名(23)徐永生译:《德国刑法典》,北京大学出版社2019年版,第147-52页。,而此类犯罪所指的私密也是指与一定的主体有关系的事实。德国刑法规定侵犯秘密罪,就是为了防止侵犯他人秘密的行为,从而保护公民私生活的安宁。(24)张明楷:《外国刑法纲要》(第三版),法律出版社2020年版,第462-466页。所以,德国刑法也同样认为,法律保障与特定自然人相关联的个人信息。因此,不具有可识别性的个人信息亦不在其法律保护范围之内。
综上所述,为贯彻对侵犯公民个人信息罪的核心法益——个人信息自决权的保护,保障个人利益与公共利益的平衡,保障司法实践中对涉个人信息犯罪的准确法律适用,不应将不具有可识别性的个人信息纳入侵犯公民个人信息罪中个人信息的范围内。