赖隹文
侵犯公民个人信息罪既惩治非法出售、提供公民个人信息,也规制“非法获取”公民个人信息。我国刑法在公民个人信息流转环节的入口端和出口端均作了规定,处于出口端的出售、提供不会引发歧义,但处于入口端的非法获取则存在理解分歧。这一方面是由于“获取”并非精确的法律语言,本身需要解释,另一方面则在于刑法使用了兜底条款“其他方法”的表达。伸缩空间的存在会削弱明确性,而且,以法律规范的方式保护公民个人信息也不应在一种混沌乃至语焉不详的状态中完成,精确的刑法适用才能建构共识、实现正义。①张明楷:《明确性原则在刑事司法中的贯彻》,《吉林大学社会科学学报》2015 年第4 期。基于这种问题意识与价值追求,本文致力于严格解释入口端的“非法获取”,尝试搭建相关的解释规则,以期为合法获取与非法获取划定清晰界限。
为了解非法获取公民个人信息犯罪现状,笔者在威科先行法律信息库中,以“侵犯公民个人信息罪”和“非法获取公民个人信息罪”为案由,检索一审司法裁判文书,共获取5628 份刑事判决书。其中,对应非法获取公民个人信息的刑事判决书有834 份。经剔除重复项并选取“审理查明”“本院认为”中涉及“其他方法”“非法获取”内容的判决书后,本文最终以400 份刑事判决书作为分析样本。这些的核心是关于非法获取公民个人信息的判定,可在相当程度上反映司法实践对“非法获取”的适用状况,同时也可据此整体把握“其他方法”的解释进路。
非法获取的典型行为是窃取。“窃取”被明示列举,其核心语义是采用秘密手段,在未获得他人同意的情况下,将他人公民个人信息据为己有。窃取行为违背他人意愿,侵犯了他人的信息安全权益,违背了法秩序,具备形式违法性与实质违法性。为周全保护公民个人信息,需对窃取进行广义解释,除了狭义上的窃取、盗窃外,还应包括利用职务便利的秘密复制①参见(2017)粤0304 刑初286 号刑事判决书。、通过侵入他人电脑爬取②参见(2015)杭江刑初字第1098 号刑事判决书。、通过网络渗透等行为获取等等。总之,判断窃取在司法实践中不存在困难。
有关非法获取的“其他方法”属于兜底条款,需要从规范与事实的互动中确定其内涵。基于对400份刑事判决书的仔细比对、梳理,可发现司法实践中认定的“其他方法”包括十种类型:(1)购买,即通过有偿交易方式获得公民个人信息,属于常见的非法获取行为。(2)骗取,如冒充银行客服人员拨打客户电话,谎称可以提高信用卡额度,骗取客户的信用卡卡号、验证码等信息。③参见(2015)安刑初字第583 号刑事判决书。通过诈骗方式获取公民个人信息也违背了信息主体的信息权,将之纳入“其他方法”具有合理性。(3)交换。持有公民个人信息的行为人之间的信息交换、互换,常通过邮箱、QQ 群等途径实现。④参见(2017)京0114 刑初59 号刑事判决书。其本质为物物交换,既可以视为交易,也可以视为双向信息提供,危害性本质在于信息扩散。(4)索取,即向他人无偿索取获得公民个人信息。这也导致了公民个人信息的流转,且未获得同意,可被认定为非法获取。⑤参见(2015)张刑初字第00504 号刑事判决书。(5)下载、拷贝、复制。通过网络下载、U 盘拷贝、计算机复制等方式获取公民个人信息,也被界定为非法获取。⑥参见(2018)赣0425 刑初42 号刑事判决书。(6)跟踪调查。针对“私家侦探”现象,有判例将对他人跟踪调查、跟踪定位、秘密拍摄、记录行踪轨迹等行为界定为非法获取公民个人信息。⑦参见(2016)粤0303 刑初304 号刑事判决书。(7)接受、接收。在电信诈骗活动中,人员分工细密且处于隔绝状态,信息使用者通常并不知道信息提供者身份。⑧参见(2017)闽0881 刑初299 号刑事判决书。将信息接受、接收界定为非法获取,可以严密法网。(8)收集。通过线上或线下方式收集公民个人信息,以及对公民个人信息的整理、编写,司法机关也认定为非法获取。⑨参见(2018)粤1702 刑初661 号刑事判决书。(9)受赠。受赠者呈现出被动性,属于无偿获取公民个人信息。但基于违法连带性的思路,由于受赠与提供属于对合行为,当提供为非法时,受赠也非法,也被认定为非法获取。(10)持有。单纯持有信息也可被认定为非法持有。在孙某非法获取公民个人信息案⑩参见(2015)深福法刑初第1116 号刑事判决书。中,民警查获一个内有公民个人信息九千多条的U 盘,认定孙某为非法获取。无疑,这是通过刑事推定实现的司法认定。
由此可见,为构建闭合的惩治法网,司法机关对获取公民个人信息的“其他方法”进行了较大力度扩充,并表现出以下特征。一是“窃取”主要表现为病毒入侵、木马程序控制等线上方式,线下窃取比较少见,这跟当下社会的网络形态息息相关。二是窃取公民个人信息的案件并不占多数,司法实践中被认定为非法获取的行为,大部分归属于兜底条款的“其他方法”。三是购买成为常见的“其他方法”,不得买卖公民个人信息属于无需言明的前提,裁判文书几乎都在购买前加上了“非法”两字。四是非法获取的“其他方法”日益精细化,且保持持续扩充之势,只要是从信息流转中获取,不论有偿或无偿、主动或被动,也不论获取信息的目的,都被归入“其他方法”范畴。五是裁判文书认定“其他方法”属于径直认定,没有对“其他方法”与窃取进行同质性论证。对收受、交换、接收等“其他方法”的认定,很难从裁判文书的论证中看出其受到同类解释规则的约束。六是单纯对公民个人信息的“持有”也被界定为非法获取。这说明在功能性的价值引领下,对公民个人信息权的保护趋于全覆盖。七是对已公开的公民个人信息进行收集、整理也被认定为非法获取,表明“非法获取”出现了泛化倾向。把信息流转环节全部界定为非法,不当地挤压了合法获取的空间。
由上可见,司法机关通过对“其他方法”的开放式解释实现了“非法获取”的适用扩张。可是,此种扩张的正当性并非不言自明的,仍然需要经过价值考察。
具有明确性的刑法才可为民众划定行动准则,而刑法的明确性指的是相对明确,并非绝对明确。①张建军:《论刑法明确性原则的相对性》,《南京大学法律评论》2013 年秋季卷。在相对明确性的语境下,刑法设置一定数量的兜底条款,以寻求规范明确性与稳定性的平衡,这在日新月异的现代社会中具有相对合理性。问题的关键是如何妥当解释兜底条款,使其在为社会提供行动准则的同时,又不脱逸刑法的文本基础,不损害国民预测可能性。由于刑法设置兜底条款时,都会先行明确规定典型的法益侵害行为,由此使例示条款或称先例条款与兜底条款组合形成闭合的刑法规范。所以,解释刑法的兜底条款离不开对先例条款的分析解构。兜底条款固然可以因社会发展变迁作动态解释,但却不能脱离先例条款所明示的事物属性与规范本质。换言之,先例条款为兜底条款划定了解释边界,兜底条款的解释应当与先例条款保持同质性。被纳入兜底条款范畴的行为不能明显迥异于先例条款,此为同类解释规则。我国刑法第253 条之一第3 款把窃取作为先例条款进行明确规定,其核心内涵是违背他人意志、未获得信息主体的同意,②杨军、杜宇:《非法获取公民个人信息的规范阐释》,《人民司法》2022 年第10 期。行为特征是非暴力的平和手段。依据同类解释规则,能涵摄为其他非法获取的行为,应当在违背意志、未获得同意这两个要素上具有共性。至于行为手段,则应与窃取具有相当性。根据当然解释规则,既然以非暴力的平和手段获取信息被界定为非法获取,那么以抢劫、抢夺、恐吓等暴力手段获取信息的,理应也可被评价为非法获取。
厘清此认知基础后,便可对前文概括的十种非法获取行为展开检验。购买、交换、骗取采用的都是与窃取相当的非暴力平和手段,也没有获得信息主体的同意,因而解释为非法获取没有疑问。跟踪调查固然违背了他人意志,侵犯了他人隐私权,认为此行为客观上与窃取具有同质性也合理。但如下文所述,把被跟踪调查者的行动界定为信息,有类推解释之嫌。索取、受赠、接收、接受的相对方若是信息主体本人,固然合法;但在“知情-同意”规则下,行为人不可能同时获得批量信息主体的同意。事实上,司法实践中的索取、受赠、接收、接受的相对方并不是信息主体,只是握有批量信息的“上线”而已。这种情况下,应当认为此行为与窃取具有同质性。非法获取信息指涉的是信息的流转,而单纯持有信息并不涉及信息流转,不存在导致信息流转的举动,故无法评价手段的平和或不平和;同时,也很难认为静止形态的持有与动态的窃取具有同质性。把单纯持有评价为非法获取,有过度评价之嫌。对于从网络上收集已公开公民个人信息行为,如从相关政府门户网站收集企业工商登记资料中的公民个人信息,由于信息主体对此类信息的公开已经同意,信息本身已处于不特定公众可获取的状态,因此难以认为收集行为违背了个体意志。而且,要求对已公开的信息进行二次同意也不合理,这也遭遇到实实在在的困境。③张莉莉、阮腾飞:《个人数据信息保护的困境及其破解——基于知情-同意模式的视角》,《江苏警官学院学报》2022年第6 期。由此,不将此类行为界定为非法获取较为妥当。
总之,非法获取公民个人信息的“其他方法”不应无限宽泛化,否则将使其摆脱先例条款的约束。同时,如此演化也将把“非法获取”异化为物理意义上的单纯“获取”动作,进而脱离刑法文本含义的约束。全方位保护公民个人信息的导向固然值得肯定,可对于刑法适用而言,严格解释兜底条款以保障基本的可预测性,仍然应当摆在重要位置。
法律能否为社会提供稳定行动预期,取决于社会公众对法律是否形成了共识性理解。同时,其还依赖于对同样案件同样处理、类似案件类似处理之规则的坚持。正是同案同理、同质同断的法则,才使法律获得社会公信力。刑法的目的是保护法益,法益侵害是犯罪的本质,这是刑法学共识。法益是建构刑法的宗旨,也是促使刑法规范与案件事实往返互动的元素。那么,无论是刑事立法还是刑法解释,都不应当脱离法益,刑法解释与刑法适用都应围绕法益展开。因刑法条文解释存在分歧而不当地把不具有法益侵害性的行为框入,缺乏正当性。与此同时,对法益侵害性完全相同的行为给予区别对待,也脱离了法益本原的思考,欠缺妥当性。刑法第253 条之一第3 款对非法获取公民个人信息赋予了与第1 款出售、提供行为同样的法律后果。其根本原因在于在贩售信息的黑色产业链中,非法获取与非法提供是对合行为,本质上属于共犯,具有同质性。而且,对于黑市的信息流转环节而言,非法获取信息会引发新的信息流转,进而形成新的信息传播链。再者,处于黑色信息流转链条中的角色也并非单一,非法获取者常常同时是出售者、提供者,反之亦然。由此,非法获取与非法出售、非法提供等行为对信息权的侵犯可谓相当,可以把刑法第253 条之一第3 款界定为侵犯公民个人信息罪的堵截性条款。
不过,切不可据此认为一切形式的信息流转行为都需刑法禁止,也不可简单地说刑法禁止一切形式的获取信息行为,因为刑法所禁止的是“非法获取”,而非“获取”。这种措辞本身即说明仍存在合法获取的空间。从罪状表述来看,刑法规定的非法获取兜底条款之前的先例条款是“窃取”,而不是“拿取”等中性词语。自古以来,窃取就是背离社会道德的自然犯。那么,能够被解释为非法获取“其他方法”的,至少应具有与窃取相当的伦理悖反性。换言之,刑法所否定、反对的是非法获取,合法获取、具有社会相当性的合理获取不被刑法所反对。由此,有以下两点值得进一步探究:
其一,从本文梳理的样本案例来看,在定性层面,获取信息的样态、动机、目的、缘由一般对非法获取的性质界定不产生实质影响,只要事实上获取了信息,都会认定为非法获取。这是一种建基于外在事实状态的强力推定。固然,在黑灰产业链中,非法获取公民个人信息处在原点的基础位置,对其的可罚性设置具有前置化与严密法网的刑事政策功能,对其设置较低的入罪条件有合理性。此外,在原则上承认此种堵截式、兜底式立场的前提下,评价“非法获取”是否构成时还应预留充足的正当抗辩权。一方面,在适用推定规则的同时应允许被告人反驳;另一方面,要为合法获取信息预留适当空间,以在公民个人信息刑法保护领域实现法益保护与自由保障的机能平衡。
其二,侵犯公民个人信息罪的保护法益是公民个人信息权,行为的可罚性在于对此种法益的侵害,且侵害是基于客观上的行为,与行为人内心的意图、目的无关。由此,只能针对客观上的非法获取行为建构入罪与量刑规则。但是,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)的规定却令人费解。《解释》第5 条规定,非法获取普通公民个人信息5000 条以上或违法所得5000 元以上的为入罪标准;但在第6 条有关“为合法经营活动”而非法获取公民个人信息的规定中,却把入罪标准改为获利5 万元以上,且去除了信息数量要件。可是,主观目的不同根本不影响非法获取行为的法益侵害性。对此,已有学者明确指出,“侵犯公民个人信息罪的提供、出售、非法获取的构成要件行为,无涉个人信息的处理方式和使用目的”。①于润芝:《非法获取个人数据犯罪的法益分析及处罚限定》,《大连理工大学学报(社会科学版)》2023 年第2 期。《解释》实质上是把一部分非法获取行为转变为目的犯,明显不合理。公民个人信息权是否被侵犯与行为人的主观要素无关,侵犯公民个人信息罪也不存在主观违法要素。该司法解释虽有力图为基于合理目的获取信息的行为腾出自由空间的良苦用心,但这并非妥适之道。因为其必然会导致刑法适用不公平,而且“为合法经营活动”这一内心要素的证明也十分困难——要么过于依赖被告人口供,要么完全依靠客观证据,而这两者均不合适。归根结底,该司法解释的弊端在于脱离了侵犯公民个人信息罪的法益。该罪的法益侵害本应属于客观化判断,可提出合法经营目的等主观要素,把相同的法益侵害行为进行不当切分,造成了性质相同行为的迥异对待,违背了同质同断、同案同判的基本法理。
成文法是立法旨意的文字表达,成文法的禁止范围抑或授权边界,唯有通过阐释才可理解与把握。不管是禁止性规范还是授权性规范,法律所能涵盖的范畴都是有限的,因而含糊其辞的文字表达不适用于法律。法律所承载的是对社会事务、公共权力、公民自由的限制或保障机能,其良好运作离不开一般人能够理解、无歧义的文句。对于民法而言,由于其奉意思自治原则为圭臬,可以容纳更多开放性规范,展开法律解释时也容许更多的空间;但对于刑法而言,其条文的模糊则意味着规制空间的无限,民众无法据此建立合理的行动预期。所以,罪刑法定成为现代刑法不可动摇的基本原则,刑法的明确性与严格解释成了刑法学领域先验的正确性。
诚然,刑法以禁止性规范或命令性规范条文创设行动法则也无法绝对避免歧义,因为即使刑法条文表述非常明确,不同的读者受知识结构、成长经历、价值观等因素的影响,不可能形成无偏差的一致性认知。简单明了的条文也可能出现不同的理解,词语多义的条文更可能是如此,甚至会出现截然相反的理解。这虽是成文法无法克服的缺陷,但并不意味着是刑法的宿命。刑法的性质为限权法,应对其坚持着眼于保障公民权利的严格解释已是共识。由此,语义解释是刑法解释的前提,刑法条文的语义边界、文义射程则是刑罚权应予止步之处。关于文义射程的理解,理论上有国民预测可能性说、明显突兀感说等,①付立庆:《积极主义刑法观及其展开》,中国人民大学出版社2020 年版,第101~104 页。其从不同角度细化了对文义射程的把握,丰富了特定词语的核心语义、通常语义和边缘语义,进而为划清这三者以外的“突兀语义”提供了论说工具。简言之,在将某一行为解释为某罪会令人明显感觉到突兀,也感到背离了通常的理解进而使普通人感到别扭时,界定其突破了刑法条文的文义射程则基本上是可靠的。
以此检验当前司法实践对“非法获取”公民个人信息的行为划定,个别行为被划定为非法获取确有值得商榷之处。首先,可以非常明确地说,社会公众的语言交流是区分获取与持有的。获取是指主体改变物品权属的动作,持有则指的是对物品的占有状态。一般人的日常交流不会混淆获取与持有,反而是承认两者彼此区别的。此外,刑法在规定了非法持有枪支、非法持有毒品等持有罪名的同时,还规定了抢夺枪支等针对违禁品的非法获取罪名,这也说明了刑法是区分持有与获取两种实行行为的。在这种情况下,倘若仅仅是为了实现全方位保护公民个人信息的政策目标,把对信息的单纯持有也认定为非法获取,确实会令人感觉到突兀。
其次,侵犯公民个人信息罪的保护对象是公民个人信息。个人信息保护法第2 条规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”无论认为该罪保护法益是个人法益,②于冲:《侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界》,《政治与法律》2018 年第4 期。还是超个人法益,③江海洋:《侵犯公民个人信息罪超个人法益之提倡》,《交大法学》2018 年第3 期。抑或包括人格利益与财产利益的混合法益,④徐翕明:《侵犯公民个人信息罪的法益重析——基于个人信息保护法制定的探讨》,《社会科学家》2022 年第8 期。从“信息”一词的语义可以得出的明确结论是:公民的活动不是信息。那么,类似于私家侦探受人所托或者行为人基于特别需要对他人实施的跟踪调查、跟踪拍摄等行为,所记录的是他人的行动与活动,并非信息,根本无法归入非法获取信息的范畴。正在进行的人的活动,仍处于持续变动的“进行时”,但侵犯公民个人信息罪中的信息反映的却是“过去时”,已处于静止状态。因此,把跟踪调查界定为非法获取公民个人信息,是把公民的行动混同为信息,把动态的动作类推为静态的信息,有突破信息的文义边界之嫌。如果为了强力保护公民个人信息而突破刑法条文的语义边界,会带来刑法打击面的扩大,也会消解刑法适用的正当性。
法益保护与自由保障是刑法的两大机能。对侵犯或者威胁法益的行为科处刑罚,既是对危害行为的惩罚,也是通过惩罚构建不得侵害法益的规则。当法益已经被侵害甚至特定法益已经灭失时,惩罚虽无法恢复法益,却可以昭示公众法益不容侵犯,一旦侵犯将受到否定评价,从而实现刑罚的预防功能。可见,刑罚对法益的保护不是回顾性的,而是前瞻性的。“刑罚只能以通过维护行为规范的效力、强化国民对规范之信赖的方法,间接实现法益保护。”①[德]乌尔斯·金德霍伊泽尔:《法益保护与规范效力的保障——论刑法的目的》,陈璇译,《中外法学》2015 年第2期。其实,国家制定刑法除了打击法益侵害行为外,还有限制刑罚权滥用的意蕴。换言之,刑法在划定犯罪圈的同时,也划定了国民的自由行动圈。在秩序良好、法治昌明的社会,犯罪圈很小,自由行动圈很大,且两者界限分明。同时,对于客观上难以避免的模糊地带,也应当尽可能作出有利于国民的善意解释。这种尽可能不克损国民行动空间的刑法解释之道,是保持社会活力,促进民众无限创造力的保障。
保护法益的最有效方式是禁绝一切可能侵犯法益的行为,但这无异于把“小孩与洗澡水”一起倒掉,失去了现代社会最低限度的理性。信息时代背景下,公民个人信息、数据确已成为重要的新型法益,应当加以保护;但不能以风险社会理论叙事为理由,把与信息流转相关的诸多行为均视为非法。过度保护会阻碍信息效益的发挥,只有恰到好处的保护才能最大限度地发挥信息的功用。公民个人信息与枪支、弹药、毒品等违禁品不同,后者的流转行为是被绝对禁止的,不存在合法空间。由此,对与这些违禁物品相关的持有、获取、买卖行为均冠以“非法”之名也属合理。但是,此种逻辑不能套用于公民个人信息,因为这类信息并非违禁品,其流转存在正当、合法空间,刑法所打击的只应是“非法获取”,而合法获取仍是法秩序所认可的。
当前,司法实践存在的突出问题恰恰是出发点的偏差,把公民个人信息与违禁品等同起来,进而把一切获取信息的行为均界定为“非法”,进而再归为“其他方法”。比如,按照当前司法解释,将超过5000 名员工的公司内部通讯录进行流转的行为,或是对此类信息的接受、下载等都可能会界定为非法获取。但由于互联网上已经公开的公民个人信息俯拾皆是,行为人从公开网络上对这类信息的收集,具有社会相当性,谈不上侵犯了信息主体的信息权,冠以非法之名显然欠妥。而且,对公开信息的收集整理也属于“创作”,应肯定其正当性,从而充分发挥信息效能。当前,司法实践无一例外地判定从公开网络上收集信息的行为为非法获取,这将会逐渐形成“不得进行任何信息收集”的行动规则。一旦这种国民认知被固化,可能会使具有高价值性的生产要素闲置,使信息保护反而演变成对信息价值的阉割。刑法学界应适当反思当前“非法获取”认定的泛化倾向。一方面,公民个人信息固然需要保护;另一方面,还应预留与公民个人信息相关的流转行为的合法空间,而不是一概认定为非法。
当前,关于“非法获取”的界定逻辑较为混乱,越来越多的行为被纳入此列。这主要是由于有关非法获取的适用规则尚未构建起来,从而导致获取与非法获取之间缺乏界线。为此,应当努力建构非法获取的适用规则,以实现精准识别。对此,本文提倡建构一种前置法与同质性两个层面的双重限定非法获取规则,可简称为“双重限定规则”。
1.刑法视域中“非法获取”公民个人信息的前提是违反了前置法。侵犯公民个人信息罪属于法定犯,具有同时违反前置法与刑法的双重违法特征,而对前置法的违反是构罪的第一层条件。该罪的实行行为包括“非法提供”与“非法获取”两种。“非法”并非可有可无的点缀,而是指必须违反了前置法,即国家有关规定。①于冲:《侵犯公民个人信息罪犯罪圈的“收缩”与出罪化路径——基于个人信息多元化属性的思考》,《青海社会科学》2021 年第1 期。由于我国刑法既定性又定量,②陈洪兵:《中国式刑事立法模式下的结果犯与实害犯》,《杭州师范大学学报(社会科学版)》2017 年第5 期。故形式上违法了前置法的行为仍要具备实质违法性。判断获取公民个人信息行为性质的前置法是个人信息保护法和民法典。个人信息保护法的立法目的是实现公民个人信息权保护的最大化,如该法明确了处理个人信息的正当、必要和诚信原则,规定不得通过误导、欺诈、胁迫等方式处理个人信息,还强调不得过度收集个人信息。但该法也关注到不能“一刀切”地禁止处理公民个人信息,必须为此类行为预留合法空间。个人信息保护法第13 条第2 款规定,“依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。”由此,在个人同意原则之外,明确规定了六种无需个人同意的豁免情形。与获取信息相关的是个人信息保护法第13 条第1 款第6 项,即“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”。换言之,信息处理行为存在特定情形下的合法空间。个人信息保护法第26 条对公共场所使用监控设备也预留了合法空间,即“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需。”该法第27 条进一步重申“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”。综合这些条款可知,当行为人是在合理、必需的范围内,且处理的是信息主体自行公开或者已经合法公开的个人信息时,其行为合法。民法典第1036 条对个人信息保护也同样规定了豁免条款,其规定“合理处理该自然人自行公开或者其他已经合法公开的信息的,行为人不承担民事责任”。
目前,“扩张大数据与保护公民个人信息这一矛盾的调和,成为消解网络风险话语体系中的当然逻辑诉求。”③许桂敏、张转:《非法获取公民个人信息行为的智化、解读与规制——基于技术的多维面向》,《中国人民公安大学学报(社会科学版)》2020 年第6 期。这是当下网络时代不得不面对的普遍难题。为调和此种矛盾,两部前置法均一致地在“知情-同意”规则基础上设置信息处理的豁免情形,以期在保护个人信息权与发挥信息的社会经济效用之间寻求平衡。“合理范围”属于社会相当性判断,即以当前的社会伦理秩序审视行为是否具有通常性、必要性与民众接受度。④陈璇:《刑法中社会相当性理论研究》,法律出版社2010 年版,第245 页。当信息已经公开、处于不特定公众可获取的状态,固然无需对公众附加普遍的不作为义务。并且,要求公众对公开信息视而不见也根本不可能。所以,在判定相应的获取信息行为是否非法时,不能简单地以客观上获得了信息进行推定,还应依照个人信息保护法第13 条、第27 条与民法典第1036 条进行检验,以判断是否属于合理范围、是否属于已公开信息。如果行为人所获取的属于已公开信息,则根本不存在对信息权的侵害,可径直肯定其正当性,否定非法获取。但是,获取信息后的非法使用行为,则应另行评价。只有对信息获取行为进行此种反向考察,才不会致使前置法的例外规定虚置化,才能匡正把所有信息获取行为都视为非法获取的不当做法。行为之前置法不法性的具备,并非行为之刑事违法性的充分条件。相反,前置法之不法行为只有通过刑法的罪质筛选和罪量确定,才能成为刑法上的犯罪行为。⑤田宏杰:《合作共治:行政犯治理的路径选择》,《法律科学》2022 年第5 期。只有真正发挥前置法的评价过滤功能,才能精准认定法定犯,对前置法评价机制的忽视会导致法定犯认定的宽泛,进而消解正当行为与非法行为的界线。
2.违反前置法的非法获取行为仍需进行同质性判断。行政法或民事法等前置法对个人信息方面的规定较为概括,划定的禁止规则也相对宽泛,这与其处罚方式相对和缓是相称的。作为后盾法的刑法,由于刑罚的严厉性,其规制面也理应在前置法的基础上缩小。没有必要把所有违反前置法的行为都视为刑事违法。正因如此,罪刑法定、严格解释都是刑法解释的铁律,而行政法、民事法则没有如此严格的解释要求。①郭晓红:《从刑法的特征看刑法解释的立场》,《河北法学》2009 年第2 期。由此,对“非法获取”展开刑法判断时也必须展开第二层过滤,不能认为违反了个人信息保护法与民法典的行为即可列作犯罪的实行行为并构罪,因为这会导致评价结果的宽泛化。
第二层过滤一般从两个方面展开:其一,行为方式的同质。个人信息保护法与民法典规定的是不得侵犯公民个人信息的基本准则,除了视为合理正当的少量情形以外,一切形式上违背了“知情-同意”规则的信息处理行为都属违法。但若把各种千变万化的信息处理行为都纳入刑法评价,则必将损害刑法的明确性,也不符合有关非法获取的“其他方法”兜底条款解释规则。刑法第253 条之一第3 款明示列举的是窃取行为,那么“其他方法”只能是由与窃取具有同质性的行为来填充。行为方式比窃取更激烈的抢夺、抢劫等行为,当然可以解释为“其他方法”;购买作为出售的对合行为,解释为“其他方法”也没有障碍;交换与购买具有相当性,骗取与窃取具有相当性,解释为“其他方法”也可被接受;但诸如从公开网络收集、整理公开信息、受赠取得信息等较和缓的行为,则缺乏与窃取的同质性。
其二,行为对象的同质。对象与行为具有关联性,不同的对象会限制行为的形式与架构。非法获取的对象是信息,对于从属于“物”的信息可以获取、出售。但是,当对象并非“物”,而是他人的现实行动、生活起居等“行为”时,就无法对之实施获取、出售,充其量只能对行为施加干扰、影响。获取他人信息可以理解,但获取他人的行为、行动则不可思议,突破了常识范畴。②冯亚东:《违法性认识与刑法认同》,《法学研究》2006 年第3 期。因此,非法获取的对象只能限定为信息。诚如学者所言,“刑法所保护的公民个人信息,不仅需要具有一定的可识别性,还应当根据刑法的谦抑性原则对其范围进行合理的限缩。”③叶良芳、应家赟:《“公民个人信息”的教义学阐释——以〈刑事审判参考〉第1009 号案例为样本》,《浙江社会科学》2016 年第4 期。因此,不能把对他人实施跟踪、跟拍等行为界定为非法获取个人信息,因为其与个人信息根本不具有同质性。行为对象的同质性是成立非法获取个人信息的最后关卡。司法机关将跟踪、跟拍等行为界定为非法获取公民个人信息是错误的。
此种错误与对前置法的理解存在偏差有关。虽然民法典把隐私权和个人信息保护一并规定在第四编“人格权”的第六章,但两者属于截然不同的权利类型,且这两种权利的规定是分立的。民法典第1032 条和第1033 条规定不得侵犯隐私权,如不得进入、拍摄、窥视他人的住宅、宾馆房间等私密空间,不得拍摄、窥视、窃听他人的私密活动等。个人信息权则是由其他条款规定的,且个人信息保护法也明确了隐私权与个人信息权的分立。由此,侵犯他人隐私与侵犯他人信息是两码事。虽然隐私可涵盖静态的隐私信息与动态的隐私行动,但静态的隐私信息与动态的隐私行动明显存在样态差别。对他人跟踪、跟拍、调查等属于典型的侵犯他人的动态隐私,但他人的实时行动并非信息。如果将此界定为非法获取公民个人信息,实质上是借助隐私这一上位概念,把动态的隐私行动类推为静态的隐私信息,从而把“行动”类推为“信息”。虽然这种类推实现了对侵犯公民个人信息罪前置法的拓宽,但是体系性解释刑法第253 条之一和个人信息保护法、民法典的相关规定,却根本无法得出侵犯公民个人信息罪在保护个人信息之余,还保护正在进行的个人行动的结论。实际上,跟踪、跟拍、调查等侵犯隐私权行为,由于缺乏行为对象的同质性,根本无法在侵犯公民个人信息罪框架内评价。如果这类行为具有可罚性,确实需要纳入刑法评价,充其量也只能把以此为业的行为界定为非法经营。
综上所述,经过双重限定规则的筛选、过滤,“非法获取”才能得到合理限定,放大化认定“非法获取”的失当做法才能得到有效缓和。
1.前置法审查包括形式判断与实质判断。以民法典与个人信息保护法等前置法为依据审查信息获取行为是否违反国家相关规定,此种违法性判断既是形式判断,也是实质判断。
法秩序并不是禁止一切形式的信息获取。个人信息保护法规定处理个人信息必须遵循合法原则,不得非法收集。就信息流转而言,要求行为人一一核对所获取的信息来源是否正当、是否得到原信息主体的同意显然不切实际。简单地对信息获取行为展开全面打击不是稳妥做法,应重点惩治信息流出的源头,把关注重心转向源头治理、源头保护。①于世梁:《我国信息黑市治理问题研究》,《辽宁行政学院学报》2019 年第3 期。对于信息获取行为,除非明显通过窃取、买卖、交换等应予否定评价的行为外,从公开的场合、空间中收集、整理公开的个人信息的行为,不宜界定为非法获取。至于获取信息后实施的信息出售、提供及非法利用等行为,则由于超出了单纯的获取行为范畴,体现为新一轮的信息流转,当然需要界定为非法。总体而言,这仍然是形式层面的判断。
对具备形式违法性的信息获取行为展开违法性实质判断,需要进一步考察是否存在合理使用等正当事由,这是对行为的危害性与可罚性的社会相当性判断,是把行为置于整体的法秩序中斟酌考量。司法实践中也确实出现了否定信息获取行为非法性的案件,如对于公安民警或者辅警利用工作之便查询公民信息的行为,就有判决明确持否定态度,认为“派出所社保队员的职责虽仅是辅助性工作,按照公安机关内部规定,社保队员不能直接向派出所值班人员索要诸如公民身份住址、开房记录等个人信息,但实践中出于工作需要和便利,也会出现类似情况。……被告人吴某获取上述信息时并未使用窃取、骗取、贿买等非法手段,也无法律明文规定公安机关内部人员之间不能交流传递类似信息,故难以认定为非法获取”。②参见(2015)松刑初字第1474 号刑事判决书。对此,有两点特别值得关注:一是裁判理由提出“实践中上述情形客观存在”,这实质上说明了相应行为在特定社会场域中的通常性,也说明类似的查询信息有利于公安工作的开展。二是裁判理由提出“法并不禁止公安内部人员交流传递类似信息”,这同样是基于公安机关正常开展工作与发挥职能的维度进行的体恤性考量。因为事实上不可能要求每一条公民信息都由公安民警亲自查询,如果禁止民警、辅警之间内部交流传递这些信息,可能会克损公安机关内部本来形成的工作惯例。这两点理由均是价值层面的权衡,也是前置法所规定的合理范围、必需性的实质内涵。以此推演,便可肯定普遍存在的、从公开网络获取公开信息、大型公司内部或者行业共同体内部基于业务需要交流、传递公民个人信息行为的正当性,这些均是刑法应予止步之处。同理,基于安全需要而在营业场所安装监控设备的行为,在当下的社会条件下具有高度的可接受性,也没有必要将其界定为非法信息收集。
2.同质性审查包括行为同质性与对象同质性判断。违反国家有关规定只是违反了前置法,并不意味着必然违反刑法,因为刑法所划定的犯罪圈相对于前置法的行为规制圈更小。这带来违法性评价的差序,即“民事上合法的行为可以作为违法阻却事由,阻却行为的刑事违法性,但行为具有民事违法性不能直接作为认定行为具有刑事违法性的依据。”③房慧颖:《刑法谦抑性原则的价值定位与规范化构造——以刑民关系为切入点》,《学术月刊》2022 年第7 期。那么,这就需要将特定行为置于刑法的视野进行二次考察。如前述,二次考察包括行为方式同质性与行为对象同质性两个方面。对于行为方式来说,须是窃取或者行为强度重于窃取的抢夺、抢劫等行为。行为强度与窃取具有相当性,行为方式也违反信息主体意志,才能评价为非法获取的“其他方法”。至于行为对象的同质性,意指不能把事物属性根本不是“信息”的行为、行动等纳入信息范畴,此处不再赘述。
3.严格适用刑事推定规则。原则上,非法获取信息必须有充分证据证明且符合证据确实充分、排除合理怀疑的刑事证明标准。之所以将此作为双重限定规则的第三步,是因为司法实践存在泛化认定非法获取的做法。通常,这主要是通过刑事推定实现的,如将U 盘或电脑里储存了大量公民个人信息的情形认定为非法获取;又如,把单纯通过邮箱接收信息文件包的情形认定为非法获取。此种认定逻辑在于先验地认为信息为非法流转而来,对无法说清信息来源者,均以持有的基础事实推定非法获取。理论上,也有运用司法推定实现对获取手段非法性证明的主张。④付强:《非法获取公民个人信息罪的认定》,《国家检察官学院学报》2014 年第2 期。诚然,这在宏观层面具有合理性,但是否能保证可接受性,关键在于推定规则有没有得到严格遵守、作为推定前提的“基础事实”是否全面充分、基础事实与推定结论之间是否存在经验意义的关联以及是否获得了常识支撑。对于基础事实,即客观上持有信息的异常性、不合理性等素材而言,信息持有者是否参与了信息流转环节、持有信息是否属于违法流转的结果,至少需有充分证据进行证明。若无法完成基础事实证明,则不能做出推定。一言以蔽之,以持有径直认定非法获取欠缺正当性。以持有推定非法获取,需严格遵循刑事推定规则,在基础事实证明、基础事实到结论的推导等两个层面进行严格限缩。为防止非法获取认定的泛化,在实体法层面双重限定基础上,有必要在具体司法认定中强调证据规则的严格运用,防止因过度迎合保护公民个人信息的政策要求,而在非法获取的司法认定上过度泛化适用刑事推定规则。①劳东燕:《认真对待刑事推定》,《法学研究》2007 年第2 期。
公民个人信息已成为重要的新兴法益,通过刑法与前置法共同搭建保护公民个人信息的完善法律体系可谓是因应时代之需。②喻海松:《“刑法先行”路径下侵犯公民个人信息罪犯罪圈的调适》,《中国法律评论》2022 年第6 期。打击非法获取公民个人信息行为是刑法应然角色功能的发挥,这种积极作用无疑应予肯定。但是,基于罪刑法定原则的约束,刑法的适用必须精确。司法实践中存在的“非法获取”认定的宽泛化倾向,应予认真反思。着眼于刑法谦抑性的坚持,本文为“非法获取”的认定建构了前置法与同质性的双重限定规则。由此,一方面,为司法评价提供了适于操作的过滤方法,防止对“非法获取”的过度认定;另一方面,避免刑法学在整体泛化认定“非法获取”的背景下出现失语。信息保护与信息效益发挥、打击犯罪与行动自由保障都是需要实现平衡的双方,为此,刑法学界应更多关注“非法获取”的泛化认定问题,积极推动建构更加完善的解释论规则与司法适用规则。