王思秦 东北林业大学文法学院
在万物互联、人机交互、数据井喷的时代,数据资源成为数据经济时代的“新石油”,个人信息作为重要的数据资源,其背后暗含着巨大的商机与经济利益,接踵而至的亦有对个人、社会、国家带来的风险。因此,我国个人信息保护规范的构建迫在眉睫。本文旨在解决侵犯公民个人信息罪最基本的问题,即该罪的法益性质与内容。
刑法先行、民法后进、统一立法的形式使得有关个人信息的保护在《个人信息保护法》、刑法、民法、行政法等诸多法律规范中都有体现。那么,对于侵犯公民个人信息的行为在何种情形下需由刑法规制便成为亟需解决的难题。毕竟,合法与否是一个问题,而犯罪与否则又是一个问题。以往侵犯公民个人信息的案件常常与盗窃、电信诈骗、敲诈勒索等下游犯罪紧密结合,并且过多强调个人信息的财产属性,但如今,更多的问题有待思考,在后疫情时代下,保障公众的知情权是否妨碍了个人信息的保护?在信息商业化逐渐被认可的当今,个人信息的合法持有者之间互相流转或提供信息,是否算作“违反国家有关规定,向他人出售或者提供公民个人信息”?以提供或买卖的个人信息条数作为“情节严重”的认定标准是否具能够罚当其罪?
上述新问题的提出暗示着,个人信息的含义在逐渐丰富,其不再是“个人”的自顾坚守,而是处在普遍的联系中,因而个人利益与他人利于或公共利益的关系在刑法对个人信息的保护中不容忽视。刑法的目的在于保护法益,辨明侵犯公民个人信息罪的法益利于明确入罪或出罪之边界、解释犯罪构成要件以及明晰刑法保护范围。本文正是从侵犯公民个人信息罪所保护的法益切入,详细探究其性质与内容,力求能最终把握刑法的介入标准。
相比其他罪名而言,侵犯公民个人信息罪在我国是较为罕见的在侵害法益方面意见分歧巨大的犯罪[1]。关于侵犯公民个人信息罪的法益,国内外学者观点各异,但各方争议的焦点主要在于:第一,究竟应当将本罪法益界定为一种新型(兴)的权利还是一种权利之外而应被法律保护的利益;第二,该罪法益是集体法益还是个人法益。根据上述争议焦点,可将现存较为明显的冲突归为如下几类。
从权利侵害说视角出发分析法益的学者,认为个人信息是一种权利,在此共识基础上,对于其具体属于何种权利各抒己见。
在经济学视野下,公民对其个人信息所享有的是一种“信息财产权”。归其本源,有的学者直接参照民法中的所有权来定义该罪法益的性质,所有权向下,公民当然地享有对个人信息占有、使用、收益和处分的权利。宪法人权说则赋予了公民个人信息更为丰富的内涵,个人信息因从宪法角度观照而囊括了个人人格权、隐私权和财产权三者的属性。该观点基于这样的分析,将公民对个人信息拥有的权利归于基本人权的范畴。隐私权说则采取美国模式立场,认为如果是在已经侵犯到了公民个人信息的情况下,这种“侵犯性”对个体的冒犯正如揭露隐私对个体的冒犯一般,同样会对个体人格尊严以及生活安宁造成恶劣的影响。
人格权说具体而言细化为两派:基于德国1900《个人数据保护法》之立法目的,有学者指出侵犯公民个人信息罪所保护的法益是公民人格尊严与个人自由[2],即为传统人格权;与传统人格权相呼应的则是派生的人格权,另有学者认为该罪的法益应当是一种新型权利,而该新型权利究竟为何则又有个人信息权、个人信息自决权(本质上是一种兼具人格权和财产权的复合权利[3])、个人信息专有权(德国通过的《联邦数据保护法》[4]第44条规定保护的法益则属信息专有权)之论。
从利益侵害说视角分析的学者,认为侵犯公民个人信息罪所保护法益是一种利益而并非权利。
个人生活安宁说认为刑法视野中的公民个人信息判断应以“私人生活安宁”为标准,即任何与公民个人相关的信息,一旦泄露,可能威胁到私人生活安宁的,都是公民个人信息。公共信息安全说认为侵犯公民个人信息犯罪的法益,应当限于“公共信息安全”,该罪成立的关键在于对公共信息安全法益造成了侵害,并建议将该罪名改为“侵犯公共信息安全罪”,与之类似的,还有社会信息管理秩序说和对个人信息安全的信赖说等。
以上仅是从侵犯公民个人信息罪所保护之法益是权利或利益的角度而作出的简单分类,实则学界更多地是就本罪法益到底是个人法益抑或集体法益展开争论,因此,在该种语境下有学者提出“并存说”[5],并且将法益的具体内容确定为社会公共安全秩序及公民个人信息自决权(笔者认为该学说不仅表明的是集体法益与个人法益的并存,亦是权利与利益的并存)。但无论是从哪种角度梳理现有学说,辨明该罪法益的性质是确定该罪的法益以及厘清该罪边界不可避免的重要议题。
本部分基于争议的两个焦点,从理论、现有的立法状况以及个人信息的性质来切入,提出应将侵犯公民个人信息罪的法益确定为一种法律保护的利益而非权利、集体法益而非个人法益,这样更符合刑法的谦抑性特征,更有利于打击严重损害公民个人信息利益的行为,也更有利于维持信息安全和社会稳定。
对于侵犯公民个人信息罪的法益应是权利还是利益,学界有着两种不同的观点,笔者以为,其应是一种受法律保护的利益,但不应轻易地上升为一种法定权利。
从广义上说,利益亦可表现为一种权利。而且利益又能细分为未受法律保护的一般利益、受法律保护却未法定化的利益以及被法律明文规定的法定化权利[6]。本文中,笔者所要探讨的并非是泛化的利益,而是其项下的分支,即应受法律保护而未被法定化的利益。因此对于侵犯公民个人信息罪的法益是一种权利还是一种利益,本文的观点是:其应当是一种受法律保护的利益,但不应当就此轻易地上升为一种法定权利。
首先,权利产生依据使得其不应被轻易上升为一种法定权利。权利是由法律赋予的,而在现有的法律条文中并没有关于“公民个人信息权利”或其他相关任何“权利”的明确表述。中国在探索公民个人信息保护的法制建设上走过了一条漫长的道路,最开始,《刑法》挺身而出,专门作出修改,《刑法修正案(七)》在严格限制犯罪主体与犯罪行为的情况下,增设了出售、非法提供公民个人信息罪与非法获取公个人信息罪。而后《刑法修正案(九)》放宽了限制条件,不仅将两罪合并为侵犯公民个人信息罪,而且将构罪主题不再局限于国家机关、医疗、教育等特殊主体,而是扩大至一般主体。至此,该罪的法益独立性凸显,但在其法益属性上出现了较大分歧。而且《民法典》第111条也只是表述为“自然人的个人信息受法律保护”,除此之外,人格权编第六章也仅保守且含蓄地命名为“隐私权和个人信息保护”。因此,我们至少不应当怀疑数十年的多次修法、立法皆系不审慎的疏漏,因而未将个人信息“权”纳入其中。
其次,从理论角度出发,权利为人天然享有,其本身也许并不能被侵害,因为它的存在是一种事实,亦是一种全然的状态,往往我们被侵害的是因享有权利而附带产生的利益。因此,刑法保护的对象实际上是权利的内容,而不是权利的本身[7]。细化到本文所要探究的侵犯公民个人信息罪,该罪的核心在于“个人信息”,但在大数据时代,个人信息本身实并没有实质意义,其本质上只是一推数据,真正需要刑法保护的,是信息背后给个人带来的人格利益、财产利益,以及国家、社会平稳运转所需要的良好秩序。因此,将该罪的法益直接确定为一种权利,也许在外观上赋予了其充足的保障,但在司法实践中可能使个体与司法人员无所适从。
最后,时代的剧变的确使得人们对新兴权利的诉求不断增加,但在催生一项新权利之前,我们需谨慎思考其存在是否具有周延性与合理性。对于侵犯公民个人信息罪,我们诚然可以尝试将其法益确定为个人信息权。但是不触犯该罪名而仍侵犯公民个人信息的情形也有可能存在,比如行为人触犯了拒不履行信息网络安全管理义务罪或非法获取计算机信息系统数据、非法控制计算机信息系统罪等相关罪名,在这些情况下,我们可能又会考虑是否需要再确立公共信息权的问题。因此,我们可以看到,个人信息保护仅是大数据时代,信息社会下的议题之一,个人信息权如若确立亦只能是“数据权利束”中的一支,如果企业、组织或政府的信息被侵犯,那法律是否还要再次确立一项新型权利呢?如此一来,便会产生“权利泛滥”的现象,权利因而失去其崇高性,对权利的保障亦会被削弱。
此外,有学者认为应当将本罪的法益确定为更为细化的个人信息自决权、个人信息专有权等。笔者认为该观点值得商榷。个人信息因其所具有的价值而产生被侵犯的可能,信息的可识别性与信息的交互构建出个体的形象,而个人信息的功能与目的之一正在于公示与共享,因此其价值本就不在信息本身,其本身只是一种可以识别某个人的客观事实,这种客观事实并不当然地让个人拥有或控制个人信息[8],而且鉴于其具有一种不可避免的公共性,有时企业与政府也是其合法的拥有者与支配者。况且,在赋予个体权利时也要考虑个体是否有维持该权利的能力,部分公民个人信息实则并不为公民个人知晓或意识到,因此公民个体该如何行使其专有权或自决权便成为一大难题,而且在面对强大的企业或政府等组织机构时,权利的充分行使会变得愈加苍白无力。
现代刑法理论中,法益可分为个人法益与集体法益,本文的观点是该罪法益应当是一种集体法益,以下笔者将基于此分类,从集体法益和个人法益的关系、刑法特征以及适用效果上分析进一步分析侵犯公民信息罪的法益属性。
近年来集体法益呈现出扩张的趋势,尤其是在如今网络迅猛发展,信息交互频繁的时代。在这样一个现代化与风险并存的社会中,新的社会矛盾和难题不断滋生,便捷的交流却引发了新的安全风险,集体的自由与秩序迫切地需要被维护,集体法益因而有了发展的空间。尽管集体法益概念已在一定程度上得到理论界的认可,但其常常被置于与个人法益对立的境地中,“并形成了褒(个人法益)贬(集体法益)偏颇的思维定势”[9]。在探讨侵犯公民个人信息罪所保护的法益性质时,个人法益与集体法益之争显得尤为激烈,很多观点将个人法益与集体法益完全的对立起来,并且孤立地强调集体法益的“集体性”因而得出该罪法益是个人法益的结论。笔者认为,可能是因为当今有关集体法益的理论研究尚不深入,因而存在着些许对集体法益的误解。因此,笔者希望能够为集体法益正名,从而尝试正确解读侵犯公民个人信息罪的法益属性。
在此之前,先对法益作出简要的说明:法益的核心是自由,构成其基础的是单个的个人利益。因此,无论是个人法益还是集体法益都离不开单个的个体,也离不开个体的利益,即而且毋庸置疑两者作为法益的下位概念,都应当具有“法益”概念的全部内涵,只不过个体法益强调对刑罚权的限制以保障自由,而集体法益强调对自由的限制以保障自由。因此,个人法益与集体法益不是互不相容的矛盾关系,而是交叉互容的关系。此外,集体法益是保护个体利益的手段,其最终的目的与归宿也是还原到个体法益上,因其只有与个体的自由与利益相关,才值得为刑法所保护。
基于以上论述,笔者认为支持个人法益的几种重要观点的论证尚有瑕疵:
1.根据我国刑法的体系结构以及该罪所处的位置判定该罪保护法益为个人法益。[10]首先,各国包括我国的刑法体系结构、罪名的分布以及罪名与法益的对应不是绝对的而是相对的。法律的稳定性固然重要,但亦不可忽视其可能的变动性;其次,正如上文所阐释的,有关集体法益的理论研究尚不深入,因此,根据刑法体系做出的判断实则是根据经验而做出的判断,而本罪所面临的则是瞬息万变的时代发展中的难题。
2.确定该罪的法益为个人法益有利于个人对抗公权力(政府),从而保障其对个人信息的控制。[11]如上所述,个人法益的作用在于限制国家的刑罚权,保障公民的个人自由,而在如今公民个人信息被泄露、被不当使用等情形屡屡发生时,我们正需要的是国家的刑罚权作用于不法分子,而不是限制刑罚权;但集体法益则能正中要害,集体法益通过限制自由来保障自由,人人都有向他人展示自己的个人信息以及获悉他人个人信息的自由,但是这样的自由不应漫无边际,获悉或使用他人的信息要在他人同意展示或提供的前提下。这实则是社会交往与社会秩序的体现,而非孤独个体的自我展现。
3.从《民法典》、《个人信息保护法》等前置法中推断出该罪法益的私益性。毋庸置疑,该罪存在“二次违法性”的问题,其构成犯罪以“违反国家有关规定”为前提。即前置法确定行为人的违法性,刑法作为保障法确定该罪的犯罪性。因此,从这两组概念,“前置法”与“保障法”、“违法性”与“犯罪性”可以看出侵犯利益的程度是不同的,社会危害性亦是不同的,因此,对于法益的性质来说,这样倒推、移植的方式是否具有逻辑上的合理性仍需存疑。
综上,笔者认为侵犯公民个人信息罪的法益应当是集体法益,鉴于集体法益最终会“还原”到个人利益之上,因此,对于本罪,刑法严厉打击侵犯公共信息安全以及信息管理秩序的行为,但其价值基础仍在于保障公民个人的信息安全、信息自由。
2021年11月1日起《中华人民共和国个人信息保护法》正式施行。该法第一条开篇表明“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”《个人信息保护法》作为侵犯公民个人信息罪最重要的前置法,其出台标志着个人信息保护法制体系的进一步完善,在法秩序统一的理念下,该法首次使用了“个人信息权益”的概念,这与《民法典》的理念不谋而合,同时《个人信息保护法》作为《刑法》的重要的前置法之一亦发挥着领头的作用,而《刑法》在保护公民个人信息时更应当与其协调共进,可以说,这预设了侵犯公民个人信息罪的所保护的法益正是“个人信息权益”。而结合本文上述观点,刑法所保护的“个人信息权益”是一种利益或利益的集合,并且其属于集体法益。
但是,要想充分的保护公民的个人信息,厘清该罪的边界,同样重要的是明确个人信息权益的内涵。有学者曾为个人信息权益建构出“两头强化,三方平衡”的模式[12],也有学者从宪法维度、民法维度、行政法维度提出三层构造的理论[13],笔者认为,在《个人信息保护法》的语境下做细致的探讨十分有必要,但是对于刑法所保护的“个人信息权益”则无需如此复杂,也无法做到完全统一,《个人信息保护法》中列举的信息决定、信息保密、信息查询、信息更正、信息封锁、信息删除、信息可携与信息被遗忘这八项权益内容同样适用于刑法,只不过只有在侵犯到集体法益时才值得被刑法保护,也就是说,单独的个人信息权益兼具个人法益与集体法益的性质。而刑法意义上的个人信息权益之性质应当受到限缩,从而达到划定入罪边界的功能。