童译瑶
(中国社会科学院大学 法学院,北京 100102)
个人信息的泄露为犯罪分子实施精准诈骗犯罪提供了完美的脚本。掌握详细的个人信息和获得信息网络技术支持是实施电信网络诈骗犯罪必不可少的两大手段,对公民个人信息的掌握极大程度地提高了诈骗行为的成功率,信息网络技术的支持则使得电信网络诈骗犯罪变得可能。然而从另一方面讲,即便犯罪分子拥有了足以实施犯罪的成熟技术支持,却没有掌握目标人群详细的个人信息,其犯罪成功率也可能会有所下降。因而若不能从源头切断电信网络诈骗的“犯罪黑链”,那对于电信网络诈骗犯罪的治理而言就好比是隔靴搔痒,难免要面临“剪不断,理还乱”的尴尬局面。是故,本文以个人信息保护为切入点着手讨论电信网络诈骗犯罪的治理措施。
目前关于电信网络诈骗犯罪的相关讨论大致可以分为两类,一类是从电信诈骗犯罪防治的参与主体、发生背景、研究方法等其他相关因素的角度着手讨论其中的作为空间[1],但其关注重点往往在诈骗罪名之外的影响因素,往往会忽略了电信网络诈骗犯罪内在特点与所涉及的犯罪行为体系及其认定之间所存在的间隙。
与此同时,另一类讨论则就电信网络诈骗犯罪本身的某一共性问题进行深入讨论。但这些讨论要么过度局限于诈骗犯罪的罪名本身而未能注意到导致电信网络诈骗犯罪猖獗的其他因素[2],要么是聚焦于是否应将电信网络诈骗犯罪独立成罪的争论。[3]即便是如本文一般,从个人信息这一上游行为着手进行的讨论也仅就广义上的个人信息,而非电信网络诈骗犯罪中的个人信息谈个人信息保护对其防治的作用[4],在某种程度上割裂了个人信息保护与电信网络诈骗的关系。单纯讨论个人信息保护的改进,而未能将个人信息放到电信诈骗犯罪的背景下并结合个人信息在其中的特点谈防治,也就未能充分理解个人信息保护在电信网络诈骗犯罪防控中所起的作用。
虽然有学者对电信网络诈骗犯罪治理存在“多某一方面的针对性讨论,而少防控治理的综合性讨论”的情形进行批判[5],但正如上文所强调的,关于电信网络诈骗犯罪治理建议的讨论还是应该回归到该犯罪本身,结合个人信息在其中的发展谈防治。只有在充分考虑电信网络诈骗犯罪自身特点以及个人信息在犯罪中所起的作用之基础上,从刑法的角度进行思考才能满足罪刑法定、罪刑相适应的要求,实现犯罪预防的目的。是故,本文将在讨论个人信息在电信网络诈骗犯罪中所扮演的角色的基础之上(见下文二),探讨目前在电信网络诈骗犯罪防治中个人信息保护所存在的不足之处和改善建议(见下文三、四),希望能以个人信息保护为切入点对电信网络诈骗犯罪防治路径的探索提供思路。
据统计,有超过七成的电信网络诈骗都与个人信息泄露有关[6],个人信息已经成为了电信网络诈骗犯罪的“基本物料”,其主要从以下三个方面影响着电信网络诈骗犯罪:
在这里,公民的个人信息对电信网络诈骗犯罪起到了工具性的支撑作用,使得一个具体的人被物化。罗卡交换定律在网络空间中似乎因为水土不服而失灵,犯罪分子所追求的犯罪不留痕成为可能。犯罪分子暴露在受害人面前的最多只有其本人的声音,没有人脸、没有身体特征,受害人难以辨别出到底是谁骗了自己的钱。此外,受害人往往除了通话/聊天记录和转账记录外就不能提供更多的犯罪人信息,此处涉及的电话号码和收款账户往往又可能是犯罪分子通过侵犯公民个人信息进行注册的,所以还会出现“被犯罪”、“被法人”的现象。这也是公民个人信息泄露而导致的恶果之一,个人信息的泄露不仅会使被害人成为行为人的犯罪目标,还会莫名成为行为人的替罪羔羊,在根本不知情的情况下“帮助”了电信网络诈骗犯罪。个人信息的泄露不仅仅有助于犯罪分子对目标人群实现精准打击,提升犯罪成功率,还能够帮助行为人隐匿身份,加大了案件侦破的难度。而且,在电信网络诈骗当中受害人只是一串数据,行为人并不需要与受害人进行直接接触,不会感受到被害人的痛苦,也不会产生“作为犯罪的成本之一”[7]202-204的愧疚感和负罪感,这也是电信网络诈骗犯罪屡禁不止的原因之一。
侵犯个人信息行为作为上游行为将促使下游犯罪的既遂可能性增加。与传统的诈骗犯罪中需要行为人与被害人进行面对面的接触不同,科技的发展使得电信网络诈骗犯罪得以摆脱地域的限制,完全可以在虚拟网络空间当中隔空完成。目前,电信网络诈骗犯罪已经形成了一条清晰却又令人难以捉摸的“犯罪黑链”,其犯罪环节大致可以被归结为:(个人信息收集)--诈骗策略制定--电信网络通讯--财产支付转移四个阶段。尽管不是所有的电信网络诈骗犯罪都涉及到对个人信息的利用,但一旦涉及,该类诈骗的成功率将大幅提升。个人信息泄露问题是电信网络诈骗犯罪最突出的特征之一,个人信息的泄露改变了以往该类诈骗犯罪只能通过游击战、广撒网来寻找被害人的犯罪方式,行为人通过利用个人信息对诈骗对象进行“画像”,使传统的诈骗犯罪走向精准式诈骗犯罪,实现了点对面的精准诈骗,极大地提升了犯罪的成功率。而这种高成功率往往又会刺激、促使行为人继续投入到该犯罪之中。此外,个人信息泄露增加了下游犯罪既遂可能性的同时,也可能也带动了更多下游犯罪的发展。毕竟单纯的个人信息泄露似乎除了给被泄露者带来些许困扰之外,并不会给行为人带来任何收益。因此,个人信息泄露称得上是电信网络诈骗犯罪的“罪恶之源”,也正是基于这个原因,本文中所谈的治理措施并不因电信诈骗和网络诈骗犯罪的不同而有所区分。
相较于传统诈骗犯罪,在通过电信网络实施的诈骗犯罪中,一来是被害人难以确定行为人的身份,二来是在行为人可以通过其掌握的个人信息获取被害人的信任,导致被害人往往更倾向于配合行为人,拒绝他人的劝阻。诈骗行为的完成离不开被害人的同意[8]283,只有当被害人接受行为人的话术说辞,并与其就此而展开互动时才有可能发生。而落入了行为人陷阱的被害人会“积极”地参与到诈骗过程当中,促使诈骗犯罪的完成。诈骗其实是一种“愿者上钩”的犯罪,而个人信息就仿佛给这个“钩”钩上了让人不得不咬的鱼饵。譬如,在清华大学教授被骗案[9]当中行为人就能精确的告知受害人其网签合同的编号和各种交易细节,令被害人很难不去相信自己的交易真的出了问题。在被害人详细个人信息再加上诈骗话术的加持之下,被害人不知不觉地就在受骗的漩涡中越陷越深,而且受害人往往还会自我催眠,通过对自身进行反复的心理暗示来为自己的主动上钩找理由。嗣后,又会因为自己的“愚蠢”而害怕丢人,本着多一事不如少一事的消极心理选择不去报案,这在很大程度上不当的助长了电信网络诈骗犯罪的嚣张气焰。更有甚者,不仅在警察找上门之后仍然不愿意承认自己的上当受骗,甚至还会“帮助”行为人隐瞒相关信息,拒绝配合警方调查。
基于上文的讨论,我们可以发现当行为人将个人信息用于电信网络诈骗犯罪活动时其针对某一个体的犯罪成功率有所提高的同时,其针对被害人整体的犯罪成功机会也会有所增加,其实施骗术和逃避侦查的难度则会有所下降。在此,个人信息为行为人所用,成为其实施犯罪的工具,“支持”了犯行的实施,“提高”了被害人对犯罪实施的配合程度。由此可见,对个人信息的利用在一定程度上改变了诈骗犯罪的实施方式,帮助这一历来便是刑事犯罪中的高发犯罪“焕发新机”,发案势头更加“高歌猛进”。因而有必要从侵犯个人信息的角度着手讨论对电信网络诈骗犯罪的治理问题。
个人信息与电信网络诈骗活动的相互交织,不仅使电信网络诈骗犯罪呈现出与传统诈骗犯罪相差甚远的变化,也使得个人信息泄露的问题愈演愈烈,越来越多的人踏上了通过个人信息实施诈骗犯罪的道路,“断卡”行动的开展就是最好的例证。而随着电信网络诈骗犯罪的发展,行为人侵犯个人信息的目的、手段以及由此带来的危害自然也发生了变化,侵犯公民个人信息犯罪逐渐成为了电信网络诈骗犯罪中的突出特征。有数据显示,2021年检察机关起诉侵犯公民个人信息犯罪9800余人,同比上升64%[10],检察机关将把惩治侵犯公民个人信息作为打击治理电信网络诈骗犯罪的重点工作。[11]有感于此,本文认为现有的法律规定已不足以对侵犯个人信息的行为进行充分、全面的评价,亟需在充分考虑该犯罪自身特点以及其在电信网络诈骗犯罪中的发展态势的基础之上,及时地调整侵犯公民个人信息罪的客观要件,否则就可能形成“人在天上飞,我在地下追”的尴尬局面。[12]4-6因此,接下来就将对电信网络诈骗犯罪中侵犯个人信息行为的变化发展进行讨论,并以此为依据提出改进刑法与司法解释对侵犯公民个人信息罪客观要件的描述的建议,强化个人信息的刑法保护,从而达到遏制侵犯个人信息犯罪、防治电信网络诈骗犯罪的目的。
关于“公民个人信息”的法益属性学界进行了非常多的深入探讨,目前存在着如隐私权说、个人生活安宁说、公共信息安全说和财产权说等等各种不同的学说。每一种学说都有其利与弊,而必须承认的一点是,在电信网络诈骗犯罪当中“公民个人信息”的财产属性占据了上风。电信网络犯罪行为人之所以会通过各种手段攫取被害人的个人信息,更多的是因为被害人个人信息背后所连接着的财产利益。电信网络诈骗犯罪行为人实施的侵犯个人信息行为透露出来的是行为人对被害人财产所具有的非法占有目的。“在刑事领域,随着大数据分析技术的不断发展,个人数据的财产价值已经成为刑事犯罪的主要动因。”[13]个人信息所包涵的利益是一种工具性利益,其保护的是个人信息背后的人身、财产利益。所以,对侵犯公民个人信息行为的处罚也间接地在保护着公民的财产法益,我们应当看到在电信网络诈骗犯罪中,公民个人信息所具有的双重法益。因此,侵犯公民个人信息犯罪也可以被视为是针对电信网络诈骗犯罪的预防性罪名。
基于这一点,本文认为在电信网络诈骗犯罪之中,判断一项信息是否属于个人信息,应该从该信息所具有的“财产属性”着手,建立以“财产属性”为重点的个人信息判定规则。
理由在于,虽然我国已经制定了《个人信息保护法》(以下简称《个保法》),但是关于个人信息保护的规定仍然可散见于各部法律文件当中。目前,无论是从《个保法》《网络安全法》(以下简称《网安法》)还是从《民法典》当中对个人信息的定义来看,对个人信息的判断重点均在于对“个人身份的识别”。由此可见,“可识别性”已经成为了公认的保护标准。但这不应该是唯一标准,不能因此而忽视了个人信息所具有的其他人身和财产属性,尽管该属性往往依赖或附属于“可识别性”。比如《最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》(以下简称《意见》)进一步对“个人信息”作出解释,将“具有信息发布、即时通讯、支付结算等功能的互联网账号密码”也纳入到保护范围当中。正如上文所述,行为人之所以要千方百计地获取被害人个人信息,就是为了通过被害人的个人信息实现对被害人财产的非法占有目的。“真实的犯罪人获取前述信息也并非为了去识别个人身份,而是针对其背后的财产利益或者人身权益。”[14]在电信网络诈骗犯罪当中,应当对个人信息作更广义的理解,即足以使被害人相信(行为人所虚构的)事实与自己相关的,与被害人(主要是)财产权利和人身权利息息相关的各种信息,不应局限在“个人身份的识别”这一标准之下。比如在黄永聪、魏云飞侵犯公民个人信息一案中,法院就将AppleID及系统解锁信息认定为“可能影响公民财产安全的信息”①参见广州市越秀区人民法院(2017)粤0104刑初312号刑事判决书。,而在清华大学教授被骗案中,行为人所利用的是被害人新鲜出炉的网签合同编号,该信息与“识别”被害人身份毫无关系,但是却涉及到被害人的财产权利。综上所述,对于电信网络诈骗犯罪当中所涉及的个人信息还应该根据所侵犯的财产权益的领域不同进行灵活认定。
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)无法完全覆盖司法实践中纷繁复杂的情况。因此,与其强调对个人信息的概念和范围进行正确的界定,我们应该透过个人信息看到其背后所连接着的东西,将更多的功夫花到如何准确、合理地界定个人信息的判定规则上。而且,人们对何为其个人信息,该信息是否与其自身息息相关,应该是具有一个较为确切的了解的,个人信息这一概念就好比刑法中的“行为”,寻找个人信息这一概念就是在“找一双符合脚型的鞋子”。[8]116立法或者司法更需要做的应该是准确认定电信诈骗犯罪当中所指的个人信息为何,要如何保护,与“大数据杀熟”当中所使用的用户个人信息有何不同?具体到如《劳动法》等部门法当中所指的个人信息又是什么,又要如何保护?[15]为此,应该确立形式判断加实质判断的方法。在形式判断方面,以“财产属性”+“可识别性”为标准,判断案涉的个人信息是否属于对被害人的财产、人身安全有影响的类型;在实质判断上,重点审查该信息对被害人财产、人身安全的影响程度,从而准确区分和识别不同种类的个人信息,而不是从定义概念出发,将涉案的个人信息往上套,定义概念只是判断的结果,判定规则才是判断的核心。
一般认为侵犯个人信息罪的行为方式有三种:(1)违反国家有关规定,向他人出售或提供公民个人信息;(2)违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的;(3)窃取或者以其它方式非法获取。《解释》的第二、三、四条又分别就这三种情形进行了更具体的说明。但无论如何,在电信网络诈骗犯罪中出现的其他方法行为似乎还不能通过刑法进行规制。但在将以“财产属性”为重点的个人信息判定规则运用到电信网络诈骗犯罪当中之后,侵犯个人信息的行为方式就不能再局限于以上三种具体方式,因为行为人是为了个人信息背后所透露的财产利益而实施获取行为,而个人信息是否具有财产性并不是能够通过对行为人获取手段的无价值判断就能够推断出来的,行为人通过合法手段所获取的信息也可以具有财产属性。
非法使用行为,是指行为人对通过合法手段获取的信息,包括但不限于直接从信息主体(即被害人)处获得的,或是从公开渠道(如信息公开)中所获得的信息进行不当利用的行为。比如在海淀法院发布婚恋交友诈骗六大典型案例之“王某某等诈骗案——主播在线交友骗取‘打赏金’获刑”案中[16],行为人主要“通过婚恋网站、婚恋APP、贴吧、车友会等方式猎取个人信息”并从中获取并筛选出合适的“客户”。或者是在张某等侵犯公民个人信息罪一案①参见广西壮族自治区宾阳县人民法院(2018)桂0126刑初486号刑事判决书。当中,行为人主要通过网络搜索获取企业信息,包含公司名称、法定代表人名字、注册资本、手机号码等内容并且将其用于实施电信网络诈骗。又如“假靳东诈骗案”中行为人利用换脸PS技术假冒明星靳东进行诈骗。这类完全由行为人“自己获取个人信息,自己实施犯罪”的行为,尤其是通过合法途径获取个人信息后再将这些个人信息用于犯罪的行为,既不属于以上所述三种行为方式,似乎也不属于《解释》中对“以其他方法非法获取公民个人信息”的情形。因为《解释》对行为的描述更多地是站在行为人通过非法手段侵害了个人信息行为的角度来考虑的,没有考虑到合法获取,非法使用这一行为的可能性。
此外,在刑法里诸如妨害信用卡管理罪情形之一的“使用虚假身份证明骗领信用卡”,伪造、变造、买卖身份证件罪,使用虚假身份证件、盗用身份证件罪等犯罪行为中,若个人信息为真证件为假的时候,同样存在着行为人非法使用个人信息的行为,非法使用个人信息更是以上犯罪行为的基础行为。这也说明了,刑法本身就存在着对非法使用个人信息的行为进行处罚的传统。《意见》第六条认为以“使用他人真实的姓名、身份证号码等身份证件信息,同时替换他人身份证件相片”的形式通过网上实名验证的行为符合人伪造身份证件罪的构成要件也肯定了这一点。由此可见,将非法使用个人信息的行为增设为侵犯公民个人信息罪的行为方式之一并不存在障碍。因此,目前还不能对该行为追究刑事责任并不合理。即便在张某等侵犯公民个人信息罪一案中,虽然法院判决认为被告人构成侵犯公民个人信息罪,但是并未说明该行为人获取信息的行为属于构成要件行为的三种行为当中的哪一种行为,而是避重就轻地以被告人所获取的信息“足以威胁他人人身、财产安全,具有社会危害性”为由将该行为认定为侵犯个人信息的行为。
综上所述,应当将“非法使用”个人信息的行为规定为侵犯公民个人信息罪的行为方式之一。
无独有偶,将“非法使用”行为规定为侵犯个人信息的行为方式也内在地包涵了对“情节严重”情形进行增补的要求。本文所涉及的,就是“情节严重”中关于“非法使用”个人信息所要求的数量以及对未达到“情节严重”的要求但是又具有可罚性和应罚性的行为的处理。
根据《解释》,“情节严重”的情形加上最后兜底条款,一共十种。那么对于未达到“情节严重”的行为是否可以按照未遂处理,还是说该行为根本就不构成本罪?通说一般认为未达到“情节严重”的行为并不构成犯罪,“情节严重”属于犯罪构成要件。[17]267-278因此,在司法实践当中,往往仅将行为人未达到“情节严重”的非法获取公民个人信息的行为认定为行为人实施电信网络诈骗的手段行为,不进行并罚。②参见浙江省温州市中级人民法院(2017)浙03刑终487号刑事判决书。法院就认为“非法获取公民个人信息的行为是被告人等实施电信网络诈骗的手段行为,尚未达到“情节严重”的构罪标准,不应单独定罪。”因而并未进行并罚。也有学者从个人信息的属性(公共信息安全说)出发认为“侵犯某个公民而非不特定的、多数人的个人信息的行为,即便是将该公民个人信息用于犯罪,也可作为该罪情节之一进行考量,不必单独定罪处罚。”[18]
但是如此处理,一来未免有架空关于侵犯公民个人信息罪与诈骗罪的并罚规定的嫌疑,二来也不能体现个人信息在电信网络诈骗犯罪中以财产属性为主的一面。如上文所论述,电信网络诈骗犯罪是侵犯公民个人信息罪的下游犯罪,侵犯公民个人信息犯罪是电信网络诈骗犯罪的预防性罪名。行为人对个人信息的非法使用作为电信网络诈骗犯罪成功的关键因素,在个人信息随着犯罪链发展进入到下游犯罪之时,不仅使下游犯罪的既遂可能性大大增加,而且因为是在实现一种“点对面”的犯罪,“其所面向的是未来不可控的实行行为,这种行为的海量性基本确保了犯罪至少能够既遂一次。”[19]再加上在大数据的时代,不仅个人信息的价值在不断增加,其与个人人身、财产安全的关联程度也更加紧密,“个人信息不安全就意味着人身、财产不安全”[14]。此外,该观点实际上也未能正确认识侵犯个人信息并将所获取的个人信息用于电信网络诈骗犯罪的行为所具有的双重社会危害性,即该行为既违背了公民对其个人信息的使用意愿,又侵犯了公民的财产权,因而不能充分评价电信诈骗犯罪行为所造成的法益侵害。“如果对两种不同程度地侵犯社会的犯罪处以同等的刑罚,那么人们就找不到更有力的手段去制止实施能带来较大好处的较大犯罪了”。[20]19在此处,就是简单地将本行为与仅实施了诈骗行为的犯罪等同处理了。
此处仍以吴国庆案为例,行为人非法获取他人个人信息共26组并用于犯罪,共成功获得被害人3人,其诈骗行为也已经既遂了3次,违法所得共14979元也已经达到了诈骗罪中“数额巨大”这一标准。虽然行为人非法获取个人信息的数量未达到“情节严重”之标准,未达到应进行刑罚处罚的程度,但是行为人又将所获得的个人信息用于后一诈骗犯罪的行为则补足了其在前一侵犯个人信息行为中法益侵害的不足,提升了行为的法益侵害程度。若仍然仅将行为人侵犯公民个人信息的行为认定为犯罪的手段行为不能再对其进行重复评价,不能进行并罚,那么就不能实现“阻止罪犯再重新侵犯公民,并规诫其他人不要重蹈覆辙”[20]29这一刑罚的目的。最高人民法院、最高人民检察院、公安部《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》(以下简称 “两高一部”《意见》) 中关于并罚的规定“实际上也是在提示司法机关应通过适用侵犯公民个人信息罪,来有效遏制网络诈骗犯罪。”[21]
同时,《解释》第五条第一、二款之所以将“出售或者提供行踪轨迹信息,被他人用于犯罪的”、“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的”规定为情节严重且不对其作数量要求,也是因为在这种存在“第三方介入”的“情节严重”情形中,第三方的介入补足了本罪行为侵害法益的不足,使犯罪达到了应罚性的门槛。[22]那么根据当然解释,以实施犯罪行为为目的,行为人将其所获得的个人信息用于实施犯罪的情形也应当属于侵犯公民个人信息犯罪的“情节严重”的情形之一。侵犯公民个人信息罪的不法评价重心在于信息的获取、转移以及使用是否违背个人真实意愿[23],《解释》第三条规定“未经被收集者同意,将合法收集的公民个人信息向他人提供的”也体现了这一点。行为人利用所获得的个人信息进入下一步犯罪的行为已经远远超过了侵犯公民个人信息罪的评价范围。同时基于该理由,上文所讨论的侵犯公民个人信息罪的行为方式也不应该局限于现有的三种方式,行为人非法使用个人信息的行为也应当被该罪所评价。
表1 诈骗罪评价体系
综上所述,侵犯公民个人信息罪的“情节”中仅第(一)、(二)项考虑到了个人信息因“第三方介入”而被用于犯罪的因素,剩下的情形均以行为人所侵犯的个人信息的数量或违法所得作为侵犯个人信息行为的严重性的评价标准。并未考虑到个人信息数量虽少但却被用于成功实施诈骗或其他犯罪的情形。同时,在“情节严重”的情形中,所谓的数量仅指行为人非法获取、提供或出售的个人信息的数量,是一个静态的概念,并不包括行为人非法使用的数量。在以实施其他犯罪的目的而使用个人信息的情况下,一旦该个人信息被投入下一步犯罪当中,该行为的危害性要远远大于单独的、静态的非法获取、提供、出售行为,为了打击这些行为应该删去对这一行为所侵犯的信息数量的限制。也就是说,在行为人既是侵犯公民个人信息行为实施者,又是诈骗或其他犯罪行为实施者,且该行为具有应罚性的情况下,简单地以侵犯公民个人信息行为不构成“情节严重”而否定该罪的成立,单独肯定诈骗罪行为既遂的思路并不足以评价该行为,此时就会出现处罚漏洞,就需要立法者对“情节严重”的情况进行增补。而为了避免刑罚范围的过度扩张,又需要将该情节的处罚范围限制在后罪既遂的情况下。据此,应当将“行为人将所获取(无论手段是否合法)的个人信息(无论信息是否公开)用于实施其他犯罪并既遂的”增补为“情节严重”的情形之一。在此需要注意的是,为了达到填补处罚漏洞的目的,此处对个人信息的数量并无限制。至于后一犯罪未遂的情况则需要根据具体实施的犯罪结果而定,此时一般将侵犯个人信息的行为作为犯罪手段仅对后行为进行处罚即可。
对于刑法而言,司法末端治理具有其固有的弊端,即司法手段往往只能在事发之后对被害人所受到的损失进行补偿。但电信网络诈骗犯罪的侦破难度之大使得案件侦破率较低,涉案财产难以追回,破案成本之大往往与被害人受到的损失不成比例,实效甚微。而对于现在的个人信息保护而言,最严峻的问题在于个人信息泄露的情况是无休止的,个人在使用每一个不同的应用程序或生活服务时都需要提供一定的个人信息,而每一个应用程序和生活服务都由不同的服务提供者所控制,这就使得个人信息泄露的源头极其广泛,很难说清个人的信息到底是从哪一个地方泄露的。2021年检察机关起诉泄露公民个人信息的“内鬼”就多达500余人,涉及通信、银行、保险、房产、酒店、物业、物流等多个行业。[10]因此,在电信网络诈骗犯罪当中的涉事个人信息处理者往往可以以自己并非被害人相关信息的唯一知情人作为抗辩理由,即被害人个人信息在传输的过程中也可能因被他人拦截而发生信息泄露,被害人使用的其他相关app也可能是个人信息泄露的源头。①参见北京互联网法院(2018)京0491民初1905号民事判决书。同时,“个人信息刑法保护问题本身跨越了宪法、行政法与刑法等法律部门的界限,如果仅仅从某个部门法的角度观察它难免会顾此失彼。”[24]所以,在对电信网络诈骗犯罪中个人信息的刑法保护进行讨论,确保刑法作为最后的手段性能够发挥其功能之后,我们还需要把目光投向行政手段,从源头对侵犯个人信息的行为进行规制,在个人信息流向下游造成更大的损失之前,将侵犯公民个人信息的行为扼杀在摇篮里,切断犯罪链条。具体对于个人信息而言,“违反国家有关规定”这一前提条件将其行政犯属性表露无遗,因为侵犯个人信息的行为本身就以“违反国家有关规定”为前提,于是又应该从前置法的角度着手将个人信息严管起来。这一方面表现为对前置法的进一步完善和落实,一方面则表现为刑法与前置法规定的衔接,如何改善这一衔接是解决本问题的关键。
根据《解释》第二条:“违反国家有关规定”是指违反法律、行政法规、部门规章有关公民个人信息保护的规定的。而据笔者的不完全统计,在我国,关于个人信息保护的规定仅法律就有近30部,主要包括个人信息保护的一般立法如《个保法》《网安法》,以及涉及个人信息保护的具体行业如《医师法》《审计法》《未成年人保护法》《旅游法》《公共图书馆法》等各种领域的规定,涉及的相关主体极其广泛,个人信息的类型也五花八门。这些法律都可以被认为是侵犯公民个人信息犯罪的前置法规定,违反了这些法律中的个人信息保护义务的都有可能构成侵犯公民个人信息罪。然而,这些法律有的年月久远已经很久没有进行修订了,更不用说一些“年久失修”的行政法规和部门规章了,其对个人信息定义概念、责任主体、必要保护措施的规定均较为模糊,只是粗略的提及。因此,有必要在《民法典》和《个人信息保护法》相继出台的东风之下对相关内容进行完善和整合,明确涉及具体个人信息类型、相关责任主体是谁、有效保护方式为何等问题。
更有甚者,应直接地对“违反国家有关规定”作限缩解释,既然《个保法》是我国目前保护个人信息的法规之集大成者,何不将其他涉及个人信息保护的具体领域法规剔除出“违反国家有关规定”的范围,然后直接将关于个人信息保护的一般立法规定为刑法的前置法,其他行政法规、部门规章则作为对立法的细化成为实践中的参考文献。这样一来,前置法规定的数量就会大幅减少,避免了相互之间可能存在的冲突、矛盾,也减少了立法机关、司法机关修订法律,适用法律的麻烦,还能凸显出个人信息保护规范。
首先,《解释》中个人信息的范围并非一定要与《个保法》保持一致。有观点认为刑法所指的个人信息的范围,不能大于、至多只能等于《个保法》所界定的个人信息的范围,《解释》中“反映自然人活动情况的各种信息”应予剔除,因为该规定旨在强调个人信息的关联性而非识别性。[25]但是正如本文在个人信息识别规则中所指出的,鉴于目前电网络犯罪的猖獗情形,若将个人信息严格限定于“可识别性”这一条规则之上,诸如清华教授被骗案中的“合同编号”等信息可能就会被排除在犯罪构成要件之外。
其次,个人信息的范围应该包括已公开的个人信息。由于刑法将侵犯个人信息的行为规定为“非法获取、出售或提供”,受到这些行为的属性约束,已公开的个人信息自然就会被排除在《解释》所指之个人信息的范围之外。但既然《个保法》已经明确了对已公开信息的不当处理可能构成侵犯个人信息的行政违法行为①参见《个保法》第二十七条:“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。”,因此刑法具备了对该违法行为进行规制的前置法条件。“因为依法公开的个人信息任何人都可能或有权利获取,此时的获取或提供个人信息并不违反国家有关规定,相关行为也就不可能具有非法性。”[26]但是非法使用行为并非一定要以个人信息的非法获取等行为为前提。具体对于电信网络诈骗行为而言,上文关于增设“非法使用行为”的讨论已经说明了行为人对已公开信息的利用行为所具有的可罚性和应罚性,而且“非法使用”这一用语的使用使得《解释》所指的个人信息内在地包含了对已公开的个人信息,只有已经公开了的个人信息才能够直接地被使用或非法使用,否则的话就可以按照之前的步骤直接对非法获取行为进行规制即可。再者说,对已公开信息的利用不仅节约了行为人搜集个人信息的精力,还大大地降低了行为人的犯罪成本,可能会刺激电信网络诈骗犯罪的发生更为频繁。“促使人们犯罪的力量越强,制止人们犯罪的手段就应该越有力”。[20]17所以单纯地依靠民法中关于侵权的规定或行政法中的行政处罚手段并不足以对其加以规制,在此更需要刑法的积极介入。
再次,从“违反国家有关规定”的角度来看,非法使用行为也应该被纳入侵犯公民个人信息罪的行为方式之一。曾几何时,“关于公民个人信息保护刑法先行甚至刑法扩张的模式一度受到民法、行政法学界的批评和质疑。”[19]在以往,我国对个人信息的保护处于一个“刑法先行”的尴尬局面,但在《民法典》《个保法》相继颁布之后,成文于2017年的《解释》反而跟不上时代的进步了。根据《民法典》第一千零三十五条和《个保法》第四条的规定,个人信息的处理“包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”行为。因而《民法典》第一百一十一条和《个保法》第十条进一步将“非法收集、使用、加工、传输,买卖、提供或者公开”的行为规定为侵犯他人个人信息的行为。但《解释》中仅包括了“非法获取、出售或提供”三种行为,并不包括“存储、使用、加工、传输、公开、删除”等行为,尤其是上文所称的“非法使用”他人信息的行为已经被前置法所规定为违法行为,但却还未被囊括仅刑法的处罚范围之中。“非法使用”这一行为既然为前置法所谴责,并具有严重的社会危害性,自然也应该被增设为侵犯公民个人信息罪的行为方式之一。
最后,本文认为或可借助附属刑法来解决刑行衔接问题。虽然目前立法者更倾向于与通过刑法修正案对刑法典进行修订,附属刑法只是依附于行政法规范而存在的“稻草人”条款。但是在面对侵犯个人信息犯罪和电信网络诈骗犯罪的治理问题时,有必要重拾附属刑法,赋予“构成犯罪的,依法追究刑事责任”这一条款实质性意义。上文中关于增设行为方式,《解释》所指个人信息应包括已公开个人信息等建议已经表明,无论是在过去“先刑后行”还是目前“刑落后于行”的规范体系下,对侵犯个人信息行为的规制始终不能避免刑行衔接这一问题。法律,尤其是刑法追求的是稳定如一,不断地通过相关解释和意见对犯罪构成要件进行释明和描述,虽然具有一定的灵活性和适应性,但是难免会造成前置法与刑法规定不一致、不同步的混乱与矛盾,“司法解释立法化”也一直饱受学界的批评。正如于志刚教授所指出的:《解释》一方面需要费尽心思的向上求助于上位法中的概念来为其制定提供权威依据,一方面又需要向下通过削足适履的方式将具有刑法意义的概念囊括进来。[27]若通过对附属刑法的使用则能很好的避免这一问题,因为这类新时代犯罪本身的多变性、不确定性和不可预测性也内在地包含了对立法保留相对的灵活性和开放性的要求。而且,通过附属刑法来规定这些概念不仅能够避免一个多次、反复修改法律的麻烦,保证刑法与前置法之间构成要件的统一性,还能够减少刑法适用中检索、识别、解释前置法的麻烦。
《中华人民共和国反电信网络诈骗法(草案)》(以下简称《草案》)的制定表明了我国治理电信网络诈骗的决心,与其将之作为刑法的前置法,不如将其变为前提刑法,作为刑罚处罚的前提,而非构成犯罪的前提,将刑法构成要件对部门法规定的从属转化为部门法对刑法发动的期待和请求。如张红教授所正确指出“只有从源头上厘清行政处罚与刑罚处罚二者之间的关系,立法上尽量科学地配置行政处罚与刑罚处罚,方能减少二者之间衔接不畅的情况。”[28]
基于上文的分析,笔者认为电信网络诈骗犯罪的治理的首要任务是要对电信网络诈骗和侵犯公民个人信息这类犯罪行为本身进行反思,将侵犯个人信息的行为放到电信网络诈骗犯罪的视野之下进行讨论。根据个人信息在电信网络诈骗犯罪中所起的作用,检讨目前侵犯个人信息犯罪的刑法保护的不足。在刑法扩张型发展的今天,尤其是针对电信网络诈骗、侵犯个人信息犯罪这一类变化万千、发展迅速的犯罪而言,对相关罪名本身进行完善不仅可以确保刑法能够充分发挥其保护和保障机能,又能促进刑法的发展使其跟上时代的变迁。同时基于侵犯个人信息犯罪的行政犯属性,又要从刑行衔接的角度着手,进一步完善与个人信息保护相关的法律法规,促进刑法与前置法之间的协调,如此才能形成周延的个人信息法律保护体系,从源头消灭电信网络诈骗犯罪的养料。