孙碧晨
河北农业大学人文社会科学学院,河北 保定 071000
《中华人民共和国刑法》(以下简称《刑法》)第二百五十三条之一对侵犯公民个人信息的行为进行了规制,本罪属于情节犯,对于“情节严重”的判定,系本罪成立的关键要素,而该条款未对“情节严重”的情形做详细规定。2017 年5 月,最高人民法院、最高人民检察院联合印发了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),规定了侵犯公民个人信息“情节严重”的十种情形,其中侵犯不同类别的公民个人信息所适用“情节严重”的判定标准有所争议。争议焦点为未明确根据侵害法益的严重性对公民个人信息的类型予以合理划分,从而导致了对于一些涉及公民个人最核心的隐私与尊严的信息的保护力度不够,进而造成了立法目的的落空。
本文通过结合《解释》的相关规定,采用类型化分析的方法,对以上问题进行分析与探讨,对侵犯公民个人信息罪“情节严重”信息种类的划分体系进行调整与完善,以此实现本罪于司法实践中的准确理解与适用。
在科技快速发展、大数据引领信息潮流的时代,随着数据收集技术的创新,在对“公民个人信息”的定义及范围予以明确的同时,将各信息进行类型化区分并予以分级保护尤为重要。
第一,不同种类公民个人信息对刑法保护力度的需求存在差异。刑法根据不同种类公民个人信息的重要程度,对其予以或轻或重的保护。例如,同为公民个人信息,年龄、种族、身高体重等虽为个人隐私,其泄露后所造成的危害后果较小。而与个人生活紧密关联的隐私信息,如性生活相关信息、投资信息、健康信息、基因信息等,此类信息被泄露或者更改后将会影响被害人的正常生活,以至于受到不同程度的精神损害。[1]由此,刑法对公民个人信息进行类型化并予以分类保护具有正当性与必要性。
第二,网络时代,信息作为人类社会中各种资源流通的载体,不同种类的信息因其不同用途而价值有所差异,对公民的影响有所差异。根据《解释》中的相关定义,公民个人信息关系到公民的人身、财产安全,承载着自然人人身、意志自由以及人格尊严,其背后所涉及的法益较广。侵犯公民个人信息罪所保护的法益,各种学说百家争鸣,学界的主流观点为个人法益说和超个人法益说。[2]随着个人信息的潜在价值攀升,不同主体对其需求存在差异。因此,学界与实务界除了对公民个人信息的保护进行探讨之外,也关注着如何对其进行合理利用。这就需要划分好二者之间的界限,合理保护与利用公民个人信息,以实现多方利益主体需求的平衡。
第三,在既有的规定中,将个人信息予以分类,是体系性思维的体现。信息类型化,是根据不同的用途与价值将公民个人信息予以分类,其实质是对公民个人信息背后所涉法益予以精确保护。“情节严重”作为判断罪与非罪的构成要件之一,忽视信息类型的区分对“情节严重”认定的影响,把侵犯的多种类型的信息混淆在一起而共同认定为情节严重,存在有违司法裁判公正的嫌疑。[3]
《解释》第五条对“情节严重”进行了具体规定,其中第一款第三至五项根据侵害的不同种类信息及危害程度规定了得以认定为“情节严重”的信息类型及数量标准。前述司法解释以及立法都试图厘清个人信息概念,在相关规定中,都重视信息在识别特定个人方面的功能发挥,采用列举与概括相结合的规范方式,其中关于“等信息”的规定,能够将需要保护的个人信息“兜得住”,不会形成利益保护方面的漏洞。[4]具体分为以下三类:
第一类为直接涉及公民人身和财产安全紧迫危害性较高的信息。在此项条款中,所含信息类型经由完全列举的方式呈现出来,司法实践中不得对该类信息的范围予以扩大,说明了此类信息的重要程度及其背后所涉法益应受保护的必要性。
第二类为直接影响公民人身和财产安全但紧迫危害性较低的信息,以及其他可能影响公民人身、财产安全的包括在此类信息中。该类信息未列举详尽,说明了此类信息涵盖范围较广,危害性相对较低。
第三类信息的规定为兜底性条款,即侵犯除上述两类信息外的其他公民个人信息5000 条以上的。与前两类信息相比,此类信息重要程度最低,因此适用较高数量标准,主要包括姓名、年龄等一般性信息。
对于公民个人信息的分类,部分学者认为,从个人信息的性质上来看,公民个人信息可以分为公开性个人信息和隐私性个人信息两类。[5]也有学者认为,应按照不同影响程度,将公民个人信息分为高度敏感信息、一般敏感信息和非敏感信息三类,并以此为依据分别设置入罪门槛,对其进行分级保护。[6]以上两种观点皆有其依据,然而在司法实践中,不同类型信息在“情节严重”的认定中“一刀切”的现象并不罕见,因此进一步进行信息类型的划分,明确其法益保护的界限,尤为必要。
《解释》对公民个人信息按照直接危害可能性的大小,以及所需刑法保护的必要性与紧迫性进行了分类,并对其规定了不同的数量标准。此种规定使得侵犯公民个人信息的行为有了轻重层级的划分,有利于罪责刑相适应原则的实现,但在信息类型涵盖范围、类型设置以及认定标准等方面尚有不足。
第一类信息规定了对公民产生直接危害可能性最大的信息类型,此类信息所需刑法保护的必要性与紧迫性程度最高,因而对此设置了最低的数量标准,即侵犯相关信息50 条以上即可认定为“情节严重”。但由于其所规定范围的确定性与固定性,一些需要刑法予以同等保护的具有重要性与紧迫性的个人信息无法被纳入其保护范围,由此致使被侵害的法益无法得到应有的保护。例如,“生物特征识别是身份验证的一种方式,可用来作为一种凭证来访问更重要的隐私数据。此情况下,生物特征数据的披露可能暴露这些生物特征信息保护的全部个人数据,对公民个人隐私的攻击将可用间接的方式进行。因此,根据生物特征识别系统实现的不同方式可能会对公民隐私产生不同影响。”[7]此种信息具有绝对的确定性与不可逆性,能够精确地对信息所有者造成无法挽回的损害。且此信息一旦被泄露,权利人除要求对方停止侵害外并无其他有效补救措施,因该信息的特定化,公民无法对其予以更换或阻断其侵害路径。
第二类信息由于重要程度略低于第一类信息,因此未采用完全列举的方式做详尽概括,除所列举的信息外,还用达到500 条的数量要求来扩大该类信息的保护范围。扩大范围为“其他可能影响人身、财产安全”的公民个人信息。此类权利虽未直接影响到公民的人身、财产安全,但会影响公民的正常生活,甚至造成严重后果。由于此类信息涵盖范围的局限,涉及公民隐私、自由、名誉等权利的信息只能适用第三类信息中的相关规定,即《解释》第五条第一款第五项。此规定为兜底性条款,适用的数量标准较高,为5000条,由此说明了此类信息的重要程度较低,侵犯此类信息所造成的社会危害性较低。然而,在司法实践中,因侵害公民名誉、隐私等信息所造成的危害后果,与此类信息所规定的惩罚标准并不适配。例如,公开未成年人的隐私、受害经历、犯罪记录等,违背权利人的意愿对其造成损害的同时,也会为其生活带来难以承受的损害。
为保护合法经营者的合法权益,《解释》第六条规定相关行为达到“情节严重”的获利数额的认定标准,即“非法购买、收受公民个人信息,并利用其非法获利50000 元以上的”,该规定中明确了获利数额,但未规定数量标准。
由前述可知,第一类信息中规定了需要刑法保护的必要性与紧迫性较高的几种公民个人信息,但并未包含“生物识别信息”以及“与未成年犯罪相关的信息”。但根据此两种信息的重要程度与影响范围,本文认为应纳入第一类型中予以保护。
生物识别信息体现的是个人的生物特征,是个人生物符号。生物符号是由生命体的生理特征或行为特征构成,很难丢失或伪造[8]。与通过身份证件等进行传统身份识别的过程不同,该种方式的识别具有唯一性与永久性。由此可知,侵犯此类信息将存在着永久影响权利人隐私的风险,由此将造成对其权益的持续性侵犯。
与未成年犯罪相关的信息包括犯罪人的犯罪记录、相关信息以及受害人的受害经历等。为使未成年犯罪人能够更好地改造完成再社会化,我国采取了一系列措施,包括制定了《中华人民共和国预防未成年人犯罪法》《中华人民共和国未成年人保护法》、实施未成年人犯罪记录封存制度等。由以上规定可以看出,关于未成年人的犯罪情况以及不当行为可视为未成年人隐私并应予以保护。
在目前的信息分类中,第二类信息类型的划分主要保护可能影响公民身体健康、生命财产安全相关的信息,而忽略了对公民心理健康的保护。例如,非法获取、出售公民的宗教信仰、私人生活经历、工作经历、网页浏览记录等。此类信息可统一概括为“影响公民正常生活”,其被侵犯后所造成的危害程度等同于第二类所规定的“可能影响公民人身、财产安全的信息”。因此,本文认为其应包含在第二类信息中,其具体原因有如下两点:
一是人是社会人,其幸福感和自我价值的实现离不开社会生活,“影响公民正常生活”即相关信息遭到侵犯的公民在其工作生活以及社会交往的圈层中,因隐私信息的被公开,从而招致了周围人的议论与评价,受到不公正的待遇。
二是在认定标准方面,第二类信息所规定的“情节严重”的认定标准需侵犯信息的数量达到500 条,第三类则规定为5000 条,这意味着侵犯“影响公民正常生活”的相关信息数量处于500 条以上5000 条以下的将不在本罪所规定的处罚范围之内,不能以本罪论处。
综上所述,为使介于第二类与第三类之间的重要信息得到相应的保护,第二类信息应将其类型范围予以适当延伸,即第二类信息类型可增加列举的信息种类,如非法获取他人宗教信仰、感情经历、网页浏览记录等相关信息,并延伸其概括种类至“其他可能影响公民正常生活的信息”,以此区别于第三类信息中兜底条款的规定。
《解释》第六条第一款列举了为合法经营活动而非法购买、收受第五条第一款第三项、第四项规定以外的公民个人信息“情节严重”的三项情形。本条款规定了特殊的认定标准,以获利数额作为“情节严重”的认定标准,而没有规定相关数量标准。
此条款规定的获利数额标准为50000 元,而《解释》第五条第一款第七项所规定的违法所得数额为5000 元,不考虑成本仅从数量标准上看,前者为后者的10 倍。就成本考量而言,“获利”与“违法所得”有所差别,但二者均通过侵害本罪所保护的法益而获利,判断标准可认定为获利收入越多,侵犯法益程度越严重,考虑到形式上各层级间递增倍数的协调性,因此建议将《解释》第六条的数量标准设置为50000 条,以与“获利”与“违法所得”间10 倍的递增关系相契合。[9]
侵犯公民个人信息罪是典型的情节犯,因此,明确本罪所保护的法益,理解本罪“情节严重”标准的实质与内涵,使得对公民个人信息的保护与合法利用实现动态平衡尤为重要。