周文阁
数据信息化发展至今危机频发,无论是人工智能的应用限度,抑或是个人信息的泄露滥用问题。信息泄露的危机更像是环境污染中的潘多拉魔盒,当公民的个人信息进入信息共享池时,其所产生的危害早已不是泄露者或是持有人可以预测估计的。在最高人民法院统计报告中显示,6.32%的网络诈骗案件是获取公民个人信息后实施的针对性诈骗。[1]中华人民共和国最高人民法院:《涉信息网络犯罪特点和趋势司法大数据专题报告》https://www.court.gov.cn/fabuxiangqing-368121.html,2022 年8 月4 日访问。而由侵犯个人信息所间接衍生的案件更是不计其数。由此,个人信息保护成为刑法无法回避并且亟待解决的难题。在保护个人信息目的的驱动下,相继出台了《刑法修正案(七)》《刑法修正案(九)》以及2017 年出台的司法解释,在立法上不断增强对侵犯个人信息行为的惩处力度。而这一系列的立法修法活动均是在本罪最为重要的前置法——《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)尚未出台时完成的。[2]参见付玉明:《立法控制与司法平衡:积极刑法观下的刑法修正》,《当代法学》2021 年第5 期,第22 页。基于本罪法定犯的特殊属性,前置法规的相关规定是判定本罪罪与非罪的重要参考依据。那么,在新法《个人信息保护法》出台的背景下,针对于新旧法之间的冲突,以维护法秩序的统一性,刑法中法定犯的规定必然要与相应法律规范的变化相统一,本文立足于《个人信息保护法》的新规视角,旨在对本罪“情节严重”的标准确定问题加以更正。
现行《中华人民共和国刑法》(以下简称《刑法》)对于本罪罪状描述甚少,其中“违反国家有关规定”的表述规定被学界通说认为本罪为法定犯,且为空白罪状的性质属性,故需通过其他法律法规的规定加以适用。故而,关于本罪的“情节严重”标准问题,《刑法》规范本身未有涉及。而在2017 年最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)中,则对本罪的“情节严重”问题做出了详细的规定。《解释》中采用了具体列举情形和兜底规定的方式,大致可以将《解释》所规定的“情节严重”分为以下四类:一是信息与其他犯罪活动相关联的;二是信息量数额较大的;三是违法所得数额较大的;四是特殊主体的加重情形。《解释》对公民个人信息进行了两种维度的突出,一是重要性层级,二是信息用途。《解释》更强调的是对用于犯罪活动而侵犯公民个人信息行为的打击,而对于其他用途的个人信息侵犯行为则采取了较为缓和的态度。
1.《个人信息保护法》适用的正当性根据。侵犯公民个人信息罪中关于“违反国家有关规定”的表述,实为本罪法定犯与空白罪状属性的确定,《刑法》对于本罪各构成要件表述简洁,故亟待借助其他法律法规方可使本罪要件具体化。关于“违反国家有关规定”的范围界定,学界众说纷纭,有的学者认为此处“有关”是对以往“违反国家规定”的细化表述,实质上应当是“违反国家规定”。[3]参见胡江:《侵犯公民个人信息罪中“违反国家有关规定”的限缩解释——兼对侵犯个人信息刑事案件法律适用司法解释第2 条之质疑》,《政治与法律》2017 年第11 期,第38 页。通说认为“国家有关规定”应当与《刑法》第96 条的规定一脉相承,即仅限于法律、行政法规的规定,而不包含部门规章、地方性法规的相关内容。[4]参见韩啸、张光顺:《侵犯公民个人信息罪犯罪对象研究》,《河北法学》2021 年第10 期,第196 页。根据罪行法定原则与刑法体系性原则,总则的规定对分则所认定的具体不法行为的类型化具有总体上的指导意义,而对分则具体构成要件同样存在总体上的规范意义,在这一原则的支撑下,本罪中“违反国家有关规定”便需要遵循刑法总则的规定,将“有关”二字视为修饰性的限定词语。在通说观点以及刑法体系化的支持下,《个人信息保护法》作为狭义的法律,由全国人民代表大会常务委员会颁布,当然地属于《刑法》第96 条中“国家有关规定”涵摄的范围之内,故其具有处理侵犯公民个人信息行为的适用正当性,可以成为本罪“情节严重”的再确定之依据。此外,有学者指出《解释》对“违反国家有关规定”的理解与《刑法》第96 条存在偏差,故其中相关内容不当地扩大了前置法的适用范围,不免有违反罪行法定原则之嫌,而将《个人信息保护法》作为本罪前置法以纠正《解释》具有宪法与刑法双重意义上的正当性根据。[5]前引[3],胡江文,第39 页。
2.《个人信息保护法》对“情节严重”问题的突破。纵观新出台的《个人信息保护法》,其中规定与《刑法》和《解释》的内容大不相同,更具前沿性、创新性,进一步扩张了个人信息的保护范围,全面规定了公民个人在信息处理中的权利,对个人信息处理者的保护义务加以强化,对敏感个人信息的严格保护规则等。[6]王利明、丁晓东:《论〈个人信息保护法〉的亮点、特色与适用》,《法学家》2021 年第6 期,第1 页。对于侵犯公民个人信息行为的法律责任,则偏重于施以非刑罚措施,如罚款、禁止令、失信公示等,而对行为人的刑事责任追究则置于规范的末尾,且规定较为简略。在《个人信息保护法》中鲜见关于本罪“情节严重”的直接性规定而是以适用相关刑事法律为兜底。尽管如此,但《个人信息保护法》对个人信息保护范围以及信息区分的创新对刑法及相关解释的规定仍具有实质意义的参考价值,其体现的是立法者对个人信息保护类型及层级的新趋向。例如,《个人信息保护法》对“敏感个人信息”的单章规定,正是先前制定法对敏感个人信息保护匮乏的体现。此外,对于个人信息的界定、未成年人信息保护以及信息的去识别化等问题的规定也具有相当程度的突破性。在作为侵犯公民个人信息罪最为重要且直接的前置法规具有如此开创性的背景下,如继续沿用《解释》等法规的规定则形成了法律适用之间的冲突与矛盾、造成法秩序内部的混乱无序,更无法形成对公民个人信息的有效保护。
基于本罪空白罪状的特殊属性,对本罪构成要件的基本规定主要集中于《解释》中,故本文所研究的主要问题是《解释》与其他国家有关规定即《个人信息保护法》的适用衔接问题。
法的滞后性与社会生活的发展之间的不平衡问题,始终是法学研究与法律适用所面临的重要难题,而滞后性带来的衍生问题便是刑法与相关法之间的协调问题,由此扰乱法秩序的统一性。在本罪为空白罪状的前提下,这种前置法之间的冲突直接影响到了本罪构成要件的判断问题,进而产生诸多司法适用难题。现行《解释》是依据2016 年的《网络安全法》所制定的,旧法的滞后不仅与现实社会生活产生错位,同时与其他“国家有关规定”的内容出现了衔接偏差。以《个人信息保护法》为例,二者对于本罪的保护信息层级区分存在较大出入。
《解释》大致将个人信息的保护层次分为三类,规定了不同数量作为“情节严重”的定性标准。信息保护层级的不同意味着法益保护的迫切性程度不同,进而决定了入罪标准的差异。其中,《解释》对于“行踪轨迹信息”尤为重视,将其置于首位予以保护。同时,罗列了四类可称为“第一档保护信息”——行踪轨迹信息、通信内容、征信信息和财产信息。“第二档保护信息”采用具体列举加兜底性描述——住宿信息、通讯记录、健康生理信息、交易信息以及其他可能影响人身、财产安全的公民个人信息。“第三档保护信息”则更为宽泛,即为一二档以外的其他公民个人信息。
这一系列的规定与《个人信息保护法》所侧重的内容相异甚远,而作为《刑法》和《解释》的适用来源,《个人信息保护法》的规范内容的参考价值举足轻重。故而,应当及时协调三者规制行为范围上的差异。
在《个人信息保护法》中,单列“敏感个人信息”一章,并且在后文中的个人信息保护措施中,突出强调了敏感个人信息的特别地位。在分析现行法规的基础上,笔者认为,在《个人信息保护法》的立法精神中,凸显了敏感个人信息作为公民最重要的个人信息之地位,并将其置于相关法领域的关键位置,可相当于《解释》中处于第一位阶的个人信息。《个人信息保护法》采用了列举加兜底的规定方式,列举了七类敏感个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹,以及不满十四周岁的未成年人的个人信息。在《解释》中尤为重视的“行踪轨迹信息”在《个人信息保护法》中虽同列为敏感个人信息,但并未加以突出强调甚至列为末位。同时,诸如生物识别、宗教信仰、医疗健康信息等在《解释》中处于后次序信息保护地位,却在《个人信息保护法》中处于前序位次。这一问题乃是时代变迁所引发的具体法益保护次序的变更,如人工智能技术与人脸识别技术的发展,生物识别信息正以前所未有的速度一跃成为极具识别性的公民个人信息,侵犯此类信息进而会引发公民财产损失、人格名誉受损等“次生灾害”问题,甚至引发信息安全问题的担忧。
无独有偶,诸如此类的现象并非孤例,《解释》更多地着眼于当时的背景,即电信诈骗、网络诈骗的猖獗而特别规制了与公民财产相关的个人信息,而当时生物识别尤其是人脸识别技术尚未普及,并且伴随着新冠肺炎疫情的蔓延发展,生理健康信息对公民的信息安全愈加重要,而此类问题是以往《解释》及相关前置法所无法预见并予以回应的。显而易见,《解释》与《个人信息保护法》之间产生了衔接不畅、内容冲突的问题。
刑法规范与刑事司法始终在保障人权与保护法益的天平中保持平衡,然则各罪均有其特殊之处,一味强调保护法益则会走向严刑峻法的极端。
诚然,《刑法》对侵犯个人信息的行为施以严惩既是对公民信息安全的保护也是预防衍生犯罪的利器,然而刑法的谦抑性同样是其不可回避的原则,谦抑性要求刑法保持克制审慎的态度,要求刑法作为维护社会秩序和公民安全的最后手段。这一点也是现代社会发展所必需的,现代社会呈现出风险社会的特征,行为总是风险与利益并存,过度保护个人信息、为信息交换共通设定一系列的桎梏,只会导致发展的迟滞以及对公民自由权利的禁锢。现行《刑法》及《解释》多为明确本罪入罪条件,在本罪的诸项构成要件中,“非法获取、利用”等行为方式尚有争论之处,而最为浅显易懂的当属本罪关于数量的要求,而这导致了在司法实践中产生了唯数字论的结果主义倾向,司法人员则大大降低了对本罪保护法益的关注程度,而对许多存疑行为则不问由来地入罪化处理。由于本罪的法定犯属性,侵犯公民个人信息的行为既可能触犯行政法规成为行政违法,同时又与刑事犯罪相近受到刑法规制,在此类问题中便会出现行刑衔接不畅的现象,其后果或是以行代刑,或是刑罚的虚置,而更多案件的处理结果往往是前者。此外,《解释》将受过行政处罚作为本罪成立要件的规定更加剧了入罪宽泛的问题。
要厘清罪与非罪的边界,首先要追溯本罪的保护法益究竟为何,对严重侵犯法益的行为进行入罪规制。学界关于本罪保护法益的争论纷纷,总体上可以将其分为超个人法益与个人法益之争。超个人法益由于过度强调集体一元论进而容易导致刑法压制个人的极端而被学界主流所抛弃,目前较为主流的观点是个人法益说,其中又分为隐私权说、个人信息自决权说、基本权利说、人格权说四类。[7]参见张明楷:《刑法学》,法律出版社2021 年版;曲新久:《论侵犯公民个人信息犯罪的超个人法益属性》,《人民检察》2015 年第11 期;刘艳红:《民法编纂背景下侵犯公民个人信息罪的保护法益:信息自决权——以刑民一体化及〈民法总则〉第111条为视角》,《浙江工商大学学报》2019 年第5 期;敬力嘉:《大数据环境下侵犯公民个人信息罪法益的应然转向》,《法学评论》2018 年第2 期;参见冀洋:《法益自决权与侵犯公民个人信息罪的司法边界》,《中国法学》2019 年第4 期。
隐私权说似乎与个人信息保护密切相关,但在当今信息化时代背景下,如若仅对于可称为“隐私”的公民个人信息予以保护,则保护面过于狭窄。隐私信息着重于保护个人的私密空间,而个人信息侧重于识别。[8]参见赵龙:《个人信息权法益确证及其场景化实践规则》,《北京理工大学学报》(社会科学版)2021 年第5 期,第170 页。由此可知,二者并非同等概念,将侵犯公民个人信息罪之法益定义为隐私权并不恰当。基本权利说多见于国际条约和区域性条约,其主张个人信息是个人基本权利和自由的客体,而基本权利这一概念见于宪法,地位尤为重要。个人信息权为近年来新兴权利类型,与基本权利的一贯性存在一定脱节,将其作为一项基本权利具有明显的逻辑悖论和法理欠缺性。[9]同上文。而人格权说,产生于对隐私权说的批驳,主张该学说的学者认为个人信息权具有强烈的具体人格权属性,个人对自己的形象信息具有控制权,且因很多个人信息并非基于财产利用的目的而排除了财产权的属性。[10]参见冀洋:《法益自决权与侵犯公民个人信息罪的司法边界》,《中国法学》2019 年第4 期,第72 页。个人信息自决权说,则更鲜明地体现了个人信息的识别性之属性,同时兼具个人信息的人格权属性和财产权属性。再者,《个人信息保护法》中新增的权利就是以个人对信息的处理权为基础,更强调对个人信息的自决。[11]前引[6],王利明、丁晓东文,第6 页。故而,笔者认为应当参照《个人信息保护法》的规范表述,将侵犯公民个人信息罪之法益确定为个人信息自决权较为合理,既符合个人信息与公民人格紧密联系的特点,也涵盖其财产利用价值,更是新法所倾向的个人信息权利的属性。
基于个人信息自决权之权利属性,所谓“自决”即可自我决定权利的行使、放弃,对公民自决知情同意的信息处理便不应作为本罪的规制范围,此外收集公民主动公开的个人信息的行为也应当做无罪化处理。
在《解释》的第5 条中,明确规定“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的”为本罪“情节严重”的情形之一。是否受过刑事处罚,通常情况下,是对行为人再犯可能性以及人身危险性等特殊预防的考量因素,归属于预防要素的内容。[12]参见张明楷:《刑法的基本立场》,商务印书馆2019 年版,第288 页。而在《解释》中,却将其作为了本罪成立的要件,这虽然是出于立法者严厉打击侵犯公民个人信息行为的积极态度,但实则是将刑法中各阶段的不同要素进行混淆,尤其是对于犯罪成立要素与预防要素的混淆。依据犯罪论体系,行为只有在经过了构成要件符合性、违法性和有责性的阶层性审查才能认定其成立犯罪,进而针对行为的预防必要,究竟是否为累犯或者是否存在加重、减轻情节,都应当在后期的刑罚裁量阶段予以特殊考量。而《解释》却忽略了这一点,将犯罪成立要素与预防要素相混淆。再者,对于“受过行政处罚”的表述仅有两年的限制却并未附加种类或者程度的限定,而根据我国行政法规之规定行政处罚的种类多种多样,其背后根据的是行为人行政违法程度的不同,以“受过行政处罚”一言概之的不法性判断过于武断,容易导致以刑代行的困境。以《解释》如此的含糊笼统的入罪方式,会使得众多经营互联网信息企业者过于轻易地被科以刑罚,实则是模糊了行政处罚与刑罚适用的界限。之所以出现如上问题,其本质在于本罪的法定犯属性,受到国家其他法律规定与刑法的双重规制,进而出现的对不法行为的“定性”与“定量”问题的混淆。
基于《个人信息保护法》对个人信息保护类型、层级等均进行了大幅调整的背景,笔者认为刑法及司法解释的规定也需要为维护法秩序的统一性而做出相应的改变。
1.重新划分个人信息的保护层级。根据《个人信息保护法》规定之要旨,其特别强调了敏感个人信息现处于第一保护层级,那么刑法及相关《解释》的优先保护顺位亦须调整,扩充个人信息的保护种类,将对敏感个人信息的保护置于最为优先之层级。笔者认为应当将六类公民敏感个人信息并列为第一档保护信息,统一侵犯此类个人信息的入罪数量标准——以非法获取、出售五十条此类信息为“情节严重”的起点。[13]此六类个人信息为生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹。对于敏感个人信息以外的其他能够产生“识别性”的自然人个人信息归于第二层级的保护顺位,适用非法获取出售五百条的数量标准。最后,对于其他个人信息适用兜底规定的五千条数量标准。由此,既凸显了信息的分层保护也有利于维护法秩序的统一性。
2.对未成年人个人信息的重点保护。尽管未成年人能够支配并使用的财产量有限,但互联网深入发展至社会各方面,未成年人对互联网的使用能力已不逊色于成年人,如何在光怪陆离的互联网世界中保护未成年人的个人信息以及其人格、财产成为研究的焦点。国家互联网信息办公室出台了一系列举措以期保护未成年人身心健康,《个人信息保护法》中着重强调了未成年人个人信息的特殊地位——将不满十四周岁的未成年人的个人信息列为敏感个人信息,而这一点恰恰是《刑法》及《解释》所欠缺的。近年来,无论是刑事责任年龄的降低还是强奸罪、负有照护职责人员性侵罪相关构成要件的更定,均体现着刑法领域对未成年人保护问题的关注,那么在个人信息的刑法保护范畴也应当偏重未成年人信息保护。未成年人的发展期较之成年人更为长久,侵犯此类人群个人信息的危害后果的持续性危害则随之增长。未成年人个人信息承载着未成年人个人利益、父母的亲权利益等不同的法益内涵,未成年人主体缺乏相应的风险识别与承担能力,认识到未成年人个人信息的特殊属性,刑法即须对此予以特别回应。[14]参见孙跃元:《未成年人个人信息保护中监护人同意规则的检视与完善》,《华南师范大学学报》(社会科学版)2023 年第1 期,第152 页。
《个人信息保护法》中单列不满十四周岁未成年人的个人信息但却未表明其保护范围,如若将此类主体的所有个人信息均视为敏感个人信息统一严格保护似乎并不符合现实的情况,特别是将侵犯此类信息行为入罪则应当秉持更加审慎的态度,毕竟《刑法》规制的并非是所有的不轨行为。刑法对不法行为的规制必须在遵循宪法的比例原则的前提下进行,所谓比例原则即要求对行为的规制须符合相当性、合目的性以及有效性,宪法中的比例原则同时也是刑法中法益保护原则的内核。本文认为,对于侵犯未成年人个人信息的刑法规制,须限制其个人信息的保护范围——保护信息种类同上述第一档保护信息之范围,但出于对未成年人的特殊保护,在信息数量上则取消限制性要求——凡非法获取、出售不满十四周岁未成年人六类敏感信息的行为均成立本罪。
3.互联网主体的特殊保护义务。无论是《解释》还是《个人信息保护法》均规定了特定主体的保护义务,这是基于现代互联网发展特点而规定的。少数的互联网公司巨头垄断了绝大多数的互联网领域,他们所掌握的公民个人信息之量难以计数并且有时是隐秘地获取,一旦发生侵犯个人信息的时间所产生的后果会远超于一般主体的泄露行为。那么,赋予互联网服务提供者一定的特殊保护义务成为保护公民个人信息的重要路径。而在《解释》中,以“履行职责或提供服务”为描述规定了特定主体的义务。笔者认为,此表述过于笼统、宽泛,应予以细化分类。“履行职责或提供服务”的现实主体同样存在,众多实体企业设定了许多类似“会员制”“线上线下同步”的服务模式,其中也存在收集公民个人信息的行为,但它们所掌握的信息量和主体类型均限定于特定的范围,与互联网企业所掌控的体量完全不相称。其次,这种“履行职责、提供服务”应当是与信息搜集具有紧密联系的,也即以收集大量信息作为服务基础,具有较高信息泄露、滥用危险性的服务主体。对提供服务履行职责的主体根据它们侵犯公民信息的危害性进行类型化区分——分为互联网企业、大型实体企业和小微型实体企业。按照类型而施以不同程度的规制措施,对于互联网企业的特定义务最为严苛,设定“守门人”义务——包括与国家互联网管理相对应的行政法上的义务也涵盖与自然人个人信息保护权益相对应的义务。[15]参见张新宝:《互联网生态“守门人”个人信息保护特别义务设置研究》,《比较法研究》2021 年第3 期,第22-23 页。对于大型实体企业的义务限定为法定积极作为义务,即以相关法律法规为行为标准,积极保护公民个人信息不受侵犯。对于小微型实体企业,其收集公民个人信息之范围有限,故而其潜在的侵犯信息危险程度较低,并且其内部实际上为自然人共同体的犯罪,可以参照一般自然人主体,不作为特定义务主体加重处罚,以显示对特殊主体的特别处罚机制。
4.调整“数次侵犯个人信息”的定位。如前所述,《解释》将数次侵犯公民个人信息行为的定性为情节严重是对犯罪成立要素与刑罚预防要素的混淆,并且不当地扩大了对于受过行政处罚者入罪的范围。那么,在未来的司法解释规定中,应当对这一问题进行纠正,可以适当改变“数次侵犯公民个人信息”的定位,将其从犯罪成立要件转移至刑罚适用条件之中,作为裁量刑罚轻重的要素之一,并且对行政处罚历史不应当作为“应当”的加重处罚要件,以明晰行政处罚与刑罚的界限、避免不当入刑。本文认为应当排除对受过行政处罚行为再犯行为的入罪,将其排除在情节严重的范畴之外,以达到刑法谦抑主义以及罪刑法定原则的目的。而对于“受过刑事处罚”的行为人,其刑事处罚如符合累犯成立要件即按照法律规定的累犯情节处理,如不符合累犯成立要件则作为酌定量刑情节予以考量。同时对于数次侵犯个人信息行为人的刑罚处罚或并不能降低其再犯可能性,据此应当着力于从业禁止等非刑罚处罚措施以限制其行为可能性。
信息之特殊属性——个人属性与社会属性之冲突平衡,是权衡相关行为是否需入罪处理的疑难之处,出于信息的利用性特性,过于严苛的保护标准会导致信息流通中产生阻塞,从而不利于交流互动和发展共享,进而使公民日常生活的便利性大打折扣。虽然本罪为情节犯,以“情节严重”作为入罪标准已经在入罪门槛上进行了限制,但由于前置法内容规定的差异、罪量要素的归类错误、保护法益的争议等问题,本罪在司法适用过程中仍存在扩大化倾向。刑法对公民日常生活之介入干预也应当以必要性、适正性为基准,谨防唯数量论的结果主义机械倾向,以法益保护主义的立场对于授权收集、使用行为进行除罪化。
1.权利人知情同意的适用。根据上文所述,本罪所保护的法益应当是个人信息自决权,那么对于收集处理公民知情同意并且授权的信息的行为不宜作入罪处理,这便是“权利人知情同意”原则的运用。学界通说认为权利人知情同意原则始源于刑法上的违法性阻却事由——被害人承诺的理论,而被害人承诺的适用则要求被害人承诺的是能够处分的个人法益、被害人具有承诺能力、承诺是出于承诺者内心自由的意思决定、从外部能够认识到被害人存在承诺以及承诺于行为时五个要件。[16]参见陈家林:《外国刑法理论的思潮与流变》,中国人民公安大学出版社2017 年版,第335-340 页。而在本罪中,被害人承诺则具体体现为权利人明知其授权的信息以及授权所使用的用途范围。故而,当符合此二条要件时即权利人自行公开的个人信息应推定为权利人知情同意被收集。但是,正如被害人同意无法阻却所有不法行为的违法性一样,知情同意原则的除罪适用也存在相应的限制。适用知情同意作为收集处理公民个人信息的违法性阻却事由需以明确显著的方式告知权利人并获得权利人的明示同意。获得信息相关人的知情同意应当以明确、具体为判断依据,而不可以简单的知情同意条款为出罪理由。另外,未成年人尤其是不满十四周岁的未成年人由于其不具有被害人承诺所要求的承诺能力,其个人信息的知情同意应当由其法定监护人授权,未经监护人以明确具体方式知情授权的,不应适用知情同意的出罪事由。并且,出于对未成年人敏感个人信息的家长主义保护模式,即使未成年人及其法定监护人对未成年人敏感个人信息知情同意授权使用,仍然推定为承诺无效,即作为不得适用被害人承诺的情形之一。
2.情境脉络的判断。目前司法领域中确定何为“情节严重”出现了“唯数量论”的情况——或以非法获取、出售的公民个人信息数量为标准,或以行为人违法所得的数额为标准,而不问本罪法益,司法适用僵化的问题突出。然而,在现代互联网的应用过程中,海量获取公民个人信息成为常见现象,任何入刑案件所侵犯的个人信息从数量标准看来均是不可计数。此外“爬虫软件”的出现使得一键获取信息变得十分简单,如何确定“非法获取、提供”的“非法性”成为界定此类灰色地带的性质的标准。此处,引入“情境脉络完整性”理论用以甄别是否为非法获取、提供、使用公民个人信息以区分罪与非罪。所谓“情境脉络完整性”理论是指当个人信息在不同的信息主体间流转时,不同情境脉络应当适配特定的信息规范。个人信息原始收集时的具体语境应当得到尊重,其后续传播及利用不得超过原初的情境脉络,其处理是否合理,取决于引发的影响能否为用户所接受,也即是否符合用户的合理预期。[17]参见张忆然:《大数据时代“个人信息”的权利变迁与刑法保护的教义学限缩》,《政治与法律》2020 年第6 期,第60 页。信息收集者对于信息的处理路径若符合用户的认知预期,则排除其违法性,反之则成为“非法获取”的涵盖情形。在具体案件中应当“具体问题具体分析”,运用“情境脉络”理论确定行为是否属于“非法获取”。此外,对知情同意的授权范围也需要以情境脉络理论为支撑,对于不符合授权使用用途、超出情境脉络流向的行为不可适用出罪化事由。情境脉络理论的运用实际上是以法益保护原则为根据的,本罪的保护法益为公民的个人信息权,侵犯法益的行为是成立犯罪最基本的前提,反之未侵犯具体法益的行为则不能为刑法所规制。个人信息权核心即为公民个人对其信息的处理权利,其中授权他者为自身利益所提供的信息,只要能够符合信息权人的利益和权利并且未对其个人信息权的行使产生不利后果的,均不应当将之视为具有“非法性”。从这个意义上,可以说情境脉络理论与知情同意原则是一体两面的,均是在法益保护原则与被害人承诺理论的分支之下,对于符合信息权人知情与预期的信息利用行为,其二者的区别在于信息的流转进程的不同。
互联网应用带来各领域的巨变,经济发展进入数字经济时代,法治领域的相关制度规定也应当因时而异、与时俱进。《解释》所依据的《网络安全法》之规定已然不符合时代发展的进程,而新出台颁布的《个人信息保护法》作为本罪最为直接关联的前置法,为《刑法》及《解释》的内容调整提供契机。公民个人信息泄露事件层出不穷,引发的不仅是单个个体的人格和财产损失,更将是群体对于信息安全的不安感。对侵犯个人信息行为的刑法治理是对衍生犯罪的源头治理,而刑法谦抑审慎的特性必将限制对于一切有损公民个人信息安全行为的惩治力度,情节犯的标准成为信息利用与信息滥用的分界点。
在法秩序统一性的视野下,《解释》应当及时调整对个人信息的保护层级与保护类型次序,突出优先保护敏感个人信息、关注未成年人信息保护,同时区分特殊主体的保护义务、严格要求互联网信息主体的安全保障义务,最后为本罪设置合理的出罪化路径——知情同意原则与情境脉络考察,以达到信息利用的平衡。刑罚不是唯一的治理方法,惩罚也无法根本性地消除犯罪与不法,最终需要利用多重手段综合治理以达到信息保护与利用的和谐状态。