王肃之:论法人信息的刑法保护
关注·
点击蓝字,关注我吧
王肃之 最高人民法院法官助理,法学博士
本文原载《中国刑事法杂志》2020年第3期,第125-139页,转载时对注释与参考文献进行了省略。
摘 要
在信息化的产业革命中, 各类侵犯信息犯罪的对象日益转向法人信息,亟须从刑法层面研究如何实现对其有效保护。不同国家就法人信息存在立法分歧,德日等国家基于个人主义的立场,将个人信息限定于自然人信息,另有一些国家认为法人信息也属个人信息范畴。我国和德日在规范模式、立法渊源等方面存在 差异,在法益体系上也采取了不同的立场,应自行探索法人信息的刑法保护模式。法人信息应当与法人信息权相区别,并基于信息性、识别性和法益关联性进行界定。在刑法规范建构过程中,应注重个人信息范围的延展、法人信息类型的法定化以及非法利用行为的入罪化。
关键词
法人信息;个人信息;识别性;法益关联性;规范建构
在信息化的背景之下,万事万物的存在方式都不免从实体形态延伸至信息形态。首先被绘以详细 “信息画像” 的是自然人,其个人信息在推动社会运转的同时也成为犯罪行为的对象。在个人信息的范畴内,不仅自然人信息饱受各类犯罪行为的侵犯,法人信息也日渐面临被侵犯的危险,需要在刑法层面考察对法人信息保护的必要性与妥当性。然而一方面法人信息具有特定的识别性与法益关联性,另一方面法人又不具有自然人意义上的生命实体,如何在刑法中建构科学、完善的保护规范成为亟待解决的重要命题。
一、问题的提出
随着信息时代、大数据的发展变迁,信息化不再象征着信息科技与高端技术,而是成为席卷社会的巨大浪潮,任何主体与对象的信息表达愈发具有独立的社会意义。在数字化生存的过程中,个人信息刑法保护的重要性已经被各国所认可, 《中华人民共和国刑法》(以下简称《刑法》)第 253 条之一也对侵犯个人信息犯罪及其刑事责任作出规定。由于我国《刑法》未直接界定个人信息的概念,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017 〕10 号)( 以下简称 《侵犯个人信息解释》)第 1 条对 “公民个人信息” 作出界定。这实际上构建了以自然人为指向的个人信息刑事保护模式,并未将法人信息纳入保护范围。然而法人信息遭受侵犯的情形日渐增多,刑事保护的必要性也与日俱增,现实中多个类型的法 人信息均已被侵犯。
第一,机关法人的账号密码信息屡屡遭受侵犯。2019年1月,河南省平顶山市人民检察院官方微博曾发不雅信息,其后发表声明称官微账号被盗,正通过合法手段取回微 博,官微所发与该院工作无关的微博,均系盗号者所为。2019 年10月, 河北省唐山市丰润区文明办官方微博针对 “中山大学南方学院被老师性侵女生” 一案中的19岁女生刘某多次发表攻击性言论,相关负责人声称系因该账号被他人盗用。
第二,事业单位法人的账号密码信息屡屡遭受侵犯。2016年8月,福州《东南学术》刊物官方微信专门发布了 “防骗提醒”,声明该刊官方投稿邮箱被诈骗者所盗,用于向作者发送邮件索要所谓 “版面费”。被报道的期刊官方投稿邮箱的泄露的情况仅是冰山一角,笔者曾于2018年12月收到类似诈骗邮件,被盗的是《××法研究》的投稿邮箱,该刊官方网站上至今挂有以下声明:“我刊评审稿件、录用稿件不向投稿者收取审稿费、版面费等任何费用。凡以我刊名义收取任何费用者均为诈骗。请投稿者切勿上当受骗。特此声明!”
第三,企业单位法人的账号密码信息屡屡遭受侵犯。2018年6月,腾讯官方Qzone账号疑似被盗号并推送涉黄内容。在这之后,QQ空间方面迅速删除内容并在多个平台上发布消息声明称QQ空间官方账号“因为业务逻辑漏洞导致被黑产账号利用”。与此类似,2019年11月29日华为移动巴西官方推特账号发布谩骂苹果公司的推文,旋即被删除。据华为相关人士回应系推特被盗,并非工作人员发布相关内容。此外,还有企业邮箱账号密码信息被侵犯导致财产损失的案例。江苏常州一家灯具公司在与俄罗斯公司进行交易的过程中,该灯具公司的企业邮箱被盗,之后诈骗者通过邮件诱导俄罗斯公司将2万余美元(折合15万余元人民币)打入诈骗者提供的银行账户,造成了财产损失。
在以上事件中,各类法人的账号密码信息均足以 “识别” 法人本身,其无法受到等同于自然人账号密码信息的刑法保护,然而却可能造成更为严重的后果。特别是期刊投稿邮箱集体被盗案件体现出侵犯法人账号密码信息的形态走向公共化,并且可能伴生公众财产损失。然而法人信息在性质上能否等同于自然人信息受到刑法保护?现有的侵犯个人信息犯罪的规范条款与行为类型又能否适用?学界对此缺乏必要的关注,但其却又是不容忽视的重要理论和实践问题。
二、法人信息刑法保护理论基础
在世界范围内,关于法人信息保护的态度,各国立法并不一致,形成了不同的立法路径。同时,和域外国家相比,我国在相关犯罪立法上又有自身的特点,决定了对于法 人信息的刑法保护必须立足于规范传统与实践需要。
(一)法人信息法律地位的路径分歧
法人信息的法律保护问题其实由来已久, 在国际立法层面可以追溯到1980年经合组织《隐私保护与个人数据跨国流通指南》( OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data),在其《解释性备忘录》中曾对法人信息应否与自然人信息采取同样保护方式的分歧进行描述:“有关个人的数据所要求的保护本质上可能与有关商业企业、组织和团体之数据所要求的保护相似,将主要与个人数据相关的规则所提供的保护扩展至法人实体,或许是可取的做法。” 从以上描述看,《解释性备忘录》仍然是以自然人视角展开, 即便是认为需要将个人数据保护规则延伸至法人实体,其原因也在于自然人本位下个人数据和非个人数据之间的区分难题,而非法人信息的独立意义。此后,1990年联合国 《个人资料保护指南》(Guidelines for the Regulation of Computerized Personal Data Files) 在 “应用领域” 部分规定:“可以将全部或部分原则扩展到法人档案。” 相比于 《隐私保护与个人数据跨国流通指南》,联合国 《个人资料保护指南》则是赋予 “法人档案” 以独立的地位,虽然综合其全部内容看仍然基于自然人视角展开,但是其探索意义值得肯定。
域外国家对法人信息是否纳入个人信息(个人数据)保护法律的对象立场也不一致。德国、日本等国家将个人信息限于自然人信息,不包括法人信息。例如德国 《联邦数据保护法》第 46 条第 1 款规定的个人数据 ( Personenbezogene Daten) ,以及日本 《个人信息保护法》(《個人情報の保護に関する法律》)第2条的 “个人信息”,均指向自然人信息 (数据) ,其主体范围不包括法人。
但是也有不少国家在个人信息保护法律中明确对法人信息的保护。比如意大利 《有关个人和其他主体的个人数据处理的保护法》 第1条、 俄罗斯 《个人资料法》的第1章第3条。此外,晚近以来奥地利出台 《2018年数据保护修正法案》(DSG2018),更新原先的 《个人数据保护联邦法案》(DSG2000),新法重申自然人之外法人同样属于“Personal Data” 的权利主体。以上国家的立法虽然对于法人的范畴理解不同,即有的国家在自然人、法人外另规定其他主体的特定信息受到保护,有的国家仅对于权利主体作 自然人与法人二分,但是均承认法人信息受到独立的保护。
(二)法人信息刑法保护的规范模式差异
从前述国家的立法来看,作为经典范式的大陆法系国家,德国和日本立法均基于自然人的视角进行个人信息保护,未将法人信息纳入保护的范畴。然而在个人信息刑法保护的一些基础性问题上,我国和德日存在较大上的区别,不宜在法人信息刑法化的过程中进行盲目照搬,而应探索本国的妥当保护模式。
第一,我国和德日信息网络犯罪的规范模式存在本质差异。德国系以数据 (Daten)为核心构建网络犯罪规范模式。虽然《日本刑法典》未赋予 “电磁记录”类似 “数据” 的独立地位,但是也未强调信息的独立地位,强调对于数字技术形式而非实质内容进行评价。与之不同,我国则是以信息为中心构建网络犯罪规范模式,具体体现在:第一,侵入、破坏等行为所指向的为计算机信息系统,强调系统的信息性。第二,经由相关司法解释将计算机系统数据通过信息范式予以阐释。
这种模式差异也影响了个人信息在刑法典中的保护。按照数据或电磁记录的规范模 式,其强调对于犯罪对象(犯罪客体)的形式评价,个人信息不符合数字技术特征,因而无法作为独立的犯罪对象,只能通过个人秘密(信息)的形式依托自然人进行评价。在此模式下,无论 《德国刑法典》 第 203 条侵犯他人秘密罪, 还是 《日本刑法典》 第134 条泄露秘密罪(秘密漏示)均是基于(自然人)个人秘密信息作出规定。
与之不同,我国则是以信息作为网络犯罪对象模式,强调对于信息数据的实体内容 评价,个人信息作为适格的犯罪对象。在此模式下,《刑法》第253条之一直接以 “侵犯公民个人信息罪” 命名,将保护范围突破了秘密信息的范畴,延伸至一般意义的个人信息,并且对自然人犯罪与单位犯罪进行全面规定。
第二,我国和德日刑事立法渊源体系不同。德日采取二元的刑事立法渊源,可以只 在刑法典规定特定犯罪行为的类型,将其他犯罪行为类型规定于专门法律的刑事条款中(附属刑法)。基此,德国刑事立法重在完成规范指引,无须考虑不同刑法规范具体标准的一致性问题,只要确保周延性即可。
这种立法渊源体系的区别也深刻影响了个人信息刑法保护规则体系。德日除了刑法 典对个人秘密信息的限定保护外,还通过个人信息保护专门法律设定了独立的刑事处罚规则。德国 《联邦数据保护法》 第42条分两款规定了侵犯个人数据行为的刑事处罚。与之类似,日本 《个人信息保护法》 第7章(刑事)“罚则” 第82条至第88条更是对侵犯个人信息犯罪的刑事责任作出系统规定。此外,从德日两国专门法律在 “数据” 与“信息” 使用上的不同也可以看出二元刑事立法渊源的自由性,日本可以在刑法典参考数据模式的基础上,于个人信息保护专门法律采用信息概念。
与之不同,我国是将《刑法》作为唯一的刑事立法渊源,所有犯罪的行为模式和法律后果均由其予以明确, 因此对犯罪对象的考虑必须更为周全,防止挂一漏万, 比如《中华人民共和国网络安全法》(以下简称《网络安全法》)虽然对于个人信息进行界定,但是由于该法并无刑事责任的规定, 刑事领域个人信息的保护仍需基于《刑法》第253条之一侵犯公民个人信息罪进行具体判断。因此,法人信息的刑法保护问题必须由《刑法》作出判断。
(三)法益走向与法人信息
随着刑法教义学的理论范式逐渐被国内认可,学者也日趋从法益的视角解读我国《刑法》中的犯罪及其处罚正当性。但是法益概念的引入也面临本土化的问题, 德日刑事立法的法益观并非能够完全适用于我国刑法领域相关问题的解释。
二者最为突出的区别在于对法益体系与层次的认知。德日刑事立法基于个人本位制定,如法益的传统类型,日本的通说是 “法益三分说”。即刑法所直接保护的利益, 应当区分为个人法益、社会法益和国家法益来进行认识。《日本刑法典》 中个人法益也是居于基础地位,另外两种法益在位阶上次之。在理论探讨时,德日则是在个体法益与集体法益的视角下展开,依集体由个体构成这一认知展开,个人法益作为集体法益的基础。与之不同,我国则强调公共法益的重要性与独立地位,在 《刑法》 分则章节排列上,第一章 “危害国家安全罪”、第二章 “危害公共安全罪” 等章节位于第四章 “侵犯公民人身权利、民主权利罪” 与第五章 “侵犯财产罪” 之前。更为重要的是,在我国语境下侵犯公共法益的犯罪并不一概强调以侵犯个人法益的犯罪为基础,这在 “公共” 的用语表述中即可体现。
这一区别也影响了侵犯个人信息犯罪的法益走向。就此德国可以追寻至公民(自然人)的信息自决权。最早提出 “信息自决权” 系 1983 年德国宪法法院著名的 “人口普查案” 判决,该判决将个人对其个人数据搜集、使用和处理的决定权归于 《基本法》第2条第1款(每个公民都享有自由发展人格的权利)与第1条第1款(人的尊严神圣不可侵犯)。其后德国法院通过一系列判决最终确立信息自决权,使之成为个人对其个人数据搜集、使用和处理的决定权。信息自决权是德国个人信息保护规范的理论基石,其《联邦数据保护法》中刑事责任的规定也是据此构建。同样,日本《个人信息保护法》第7章(刑事)“罚则” 部分第82条至第88 条也是在自然人个人范畴下展开的。
与之不同, 我国的个人信息刑事保护则并非以自然人个人为基础构建。《刑法》第253条之一侵犯公民个人信息罪虽然形式上位于分则第四章“侵犯公民人身权利、民 主权利罪” 中,但是该罪与所属章节在法益主体形态上有所不同。《刑法》 分则第四章 强调对于自然人个人法益的保护,并且法益主体的数量较为有限,否则便应当由分则第二章 “危害公共安全罪” 的相关罪名调整。然而 《侵犯个人信息解释》第5条第(3)至(5)项规定构成犯罪的 “情节严重” 标准却是基于 “五十条以上” “五百条以上” “五千条以上” 的要求构建。以上条款实际上认可了侵犯公民个人信息罪所保护的法益具有相当的公共性,而非仅基于自然人个人。
而法人信息的公共性体现在:一方面,法人本身因自然人的集合而拟制,其信息权利也因此独立于每个自然人而存在;另一方面, 法人信息所关联的法益具有不特定性,可能和众多他人的人身、财产利益相关联。因此,法人信息的公共性和我国独特的公共法益语境具有契合性。
此外,德日个人信息保护的自然人立场也并非没有松动。就 《日本刑法典》 第 134条泄露秘密罪是否包括法人等主体的秘密也存在争论,狭义说认为 “ (个人秘密中的)人只包括自然人,不包括国家机密和企业秘密”,或认为 “秘密不包括国家和自治体的秘密,公司的秘密也不包含”。与之相对, 广义说认为 “秘密, 一般是指自然人的秘密,但是法人等团体的秘密也包括在内”。比如,律师处理的秘密应将企业等法人和团体的秘密包括在内。甚至有观点认为,“秘密的主体除了自然人外,可以是没有法人资格的团体”。在此意义上,德日法人信息的刑法保护立场也并非没有疑问,我国理应基于自身的法益立场对法人信息进行保护。
三、法人信息的本体展开
只有结合相关权利明确法人信息的内涵与结构,才能为法人信息成为适格的犯罪对象提供充分的理论支持,进而为其刑法保护的方式选择与边界确立奠定必要的前提。
(一)法人信息与法人信息权
探讨法人信息的刑法保护必须立足于对其性质的明确界定。虽然完成这一任务并非易事,但是结合教义学范式与我国刑事立法从法益层面仍可对其进行充分的归纳。在公共法益的视角下,有学者基于 “参与式公共性” 的语境对于企业信息的性质进行阐释。这一观点以 “信息专有权” 为前提进行阐释。信息专有权的概念较为广泛,可以包括个人法益与公共法益,但强调具备重大的人身、财产或公共利益属性。其认为,在法益层面确立信息法益时应从安全本位走向权利本位,在现阶段只有信息专有权具有适格的信 息法益形态。在此语境下,企业信息应理解为企业信息专有权,强调对于信息享有的占有、使用、处分、收益的权利。据此,其认为企业信息权不同于知识产权的专有权能, 而是与财产权相联系。
信息专有权说虽然不乏启发意义,但是未遵循法人信息的应有法益评价方向。这一 观点实际上是基于民法视角,类比于物权的权能对于企业信息权的性质进行概括。虽然企业法人也是法人的类型之一,但是从其内容看在以下方面与本文讨论的法人信息存在偏差:第一,其所讨论的企业信息仍是在自然人个人信息的视角下,基于企业(特别是网络服务提供者)对于大量他人脱敏或未脱敏的信息所享有的权利进行探讨,系在自然人视角下展开,而非在法人自身的视角下展开。第二,其所讨论的路径是客体路径,以信息本身为指向,类比于民法中的物权来构建信息权利,而非在主体路径下以信息主体为路径进行讨论。
本文认为,应区别看待法人信息与法人信息权。法人信息权中的 “信息” 可作非限定的理解,即可以类比民法中物权的权能,从占有权、利用权、收益权与处分权的层面 进行阐释。在 “个人信息” 成为识别个人的特定信息类型的情况下, 法人信息中的“信息” 也应当作限定化的理解,而非与法人有关的一切信息。
除了前述可类比物权进行保护的脱敏数据权利外,法人有关的信息还有多种。例如: “1. 综合商业机密信息,这可能包括财务信息、营销计划、潜在的促销活动、业务联系信息、投资者信息、新产品计划和客户名单等。2. 知识产权经常构成企业中最重要的资产之一(即使不是最为重要的资产)。3. 医疗保健信息是监管最严的和最敏感的信息类型之一。4. 像卫生保健信息一样,(用户)个人财务信息也受到严格监管并且高度敏感。5. 安全信息本身也是敏感的,应该受到保护。”本文认为,需要通过刑法予以保护的重要类型有二:第一,知识产权信息。如法人的数据库信息,符合汇编作品条件时可以通过著作权进行保护。第二,商业秘密信息。如法人的客户名单信息,可以通过商业秘密进行保护。
(二)法人信息的内涵
法人信息同样需要具有识别性。学界一般基于识别性来界定自然人信息。并且对于识别性,立法也认为包括直接识别和间接识别。《网络安全法》第 76 条第(5)项对于 “个人信息”的界定也是归于 “能够单独或者与其他信息结合识别自然人个人身份的各种信息”。与之相对,作为独立意义的法人信息,也必须能够识别法人本身,除了法人名称、住所、注册资本、经营范围等信息类型外,如文首所述的特定社交网络账号(如善行河北—唐山丰润微博账号)以及特定通信系统账号(如财务邮箱、投稿邮箱)都是能够识别法人的特定信息。
对于能够识别特定法人的信息,学界一般认为不宜从人身权角度进行评价。其主要理由包括以下几个方面:第一,法人信息具有公开性,不属于隐私类的信息,因而不应受到法律保护。如有学者认为: “大部分法人信息与社会公共利益密切相关,应当依法强制公开。”“如法人的名称、住所、注册资本、经营范围等属于法人注册时应当登记 的信息,在网络上公布、被搜索,这都 是正常的,不应被认为是隐私类的信息”。第二,法人难以具有完全的人格权,法人信息难以通过个人信息进行法律保护。对法人信息法律地位予以肯定的立场认为隐私权不是和自然人生理、身体所直接关联的基础人格权类型,并不排除法人享有这一权利。但是不少学者对此提出质疑, 如有学者认为法人地位的肯认更多和财产权相关,法人无法像自然人那样享有人格尊严。或认为法人仅享有名称权、名誉权等有限的人格权利,将法人信息纳入人格权范畴反而不利于该类信息功能的实现。第三,通过其他法律已经能够保护法人的信息权利。如有学者认为法人的信息权利应归于商业秘密等商业利益而非个人信息利益:“对法人信息的收集、处理、传递与利用虽然也应受到限制,但限制程度与个人信息明显不一致,况且该种数据处理利用主要是其他法律(如反不正当竞争法)进行调整,所以个人信息保护法之主体范围不宜包括法人。”
本文认为上述理由不足以否认法人信息刑法保护的必要性。原因在于:第一,法人信息的公开性并不影响其受刑法的保护。如有观点即指出个人信息无论是否涉及隐私内 容均应受到法律的保护。《刑法》第253条之一侵犯公民个人信息罪采用的是 “个人信息” 概念,不同于德日刑法典 “个人秘密” 的概念,可以包括公开的信息。因此,我国 《刑法》中的个人信息并不强调隐私性,即便相关信息已经公开仍然不妨碍其成为 刑法意义上的(公民) “个人信息”。第二,法人信息的刑法保护未必需要采用民法既有的人格权路径。我国对个人信息的刑法保护本身即采取了公共法益的路径,特别是考虑被害人数量的群体性、行为的独立性以及处罚的严厉性,实际上保护法益的是公共信息安全。因此,对于法人信息法益内涵的分析未必需要参照人格权进行阐释。第三,如前所述,法人信息并不包括在著作权信息、商业秘密信息乃至脱敏数据信息的范畴,仍需在刑法上予以独立保护。此外,即便是认为法人信息目前难以构成个人信息的学者也认为,并不排除随着社会的发展出现将法人信息纳入个人信息保护制度的可能和必要性。
由此,应明确法人信息作为与自然人信息并列的、独立的犯罪对象,纳入广义的“个人信息” 范畴。其特征可以从以下方面把握:第一,法人信息具有信息性。法人信息必须指向具体的信息内容,而非抽象的数据总量和格式(如1TB的数据)。第二, 法人信息具有识别性。“法人信息” 作为独立的实体概念区别于其他法人相关信息的核心特征即在于具有识别性,可以直接或间接识别法人,在这一特征上无论是自然人信息还是法人信息均概莫能外。第三,法人信息具有法益关联性。法人信息如果不能和具体的法益相联系,就不能成为独立的刑法评价对象,而如文首所述,法人信息不仅能够和法人自身的法益产生关联,还能与特定法益产生关联。
综上,刑法中的法人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别法人,且具有法益关联性的各种信息。其中,要求法益关联性是刑法中法人信息的独有特征,否则其便无法成为适格的犯罪对象,而其他法律如果对于法人信息进行保护则未必对此有特别要求。
四、法人信息的刑法规范建构
实现法人信息的刑法保护需要在规范层面加以完善,特别是从对象层面、类型层面和行为层面建构科学和系统的规则。
(一)对象建构:个人信息范围的延展
实现法人信息的刑法保护,必须从规范层面挖掘保护的可能性,使其合理纳入现有犯罪对象体系之中。综观《刑法》现有条款,以下三个罪名具有直接保护法人信息的规范空间。
第一,《刑法》第253条之一侵犯公民个人信息罪。虽然历经《刑法修正案(九)》该罪在犯罪主体、量刑情节等方面多有变化,但是犯罪对象始终未改,即 “公民个人信息”。从 “公民” 的本意来看, 其应当指具有一国国籍的自然人, 此处规定的 “公民”应具有我国国籍。但是整体来看, “公民” 也未必采取严格限定的立场。有观点指出应当对此采取相对宽泛的理解, 将外国公民和其他无国籍人的信息包括在内更为妥当。本文也认为对于 “公民” 进行扩大解释具有相应的合理性。因此,在法人信息日益应当受到刑法保护的背景下,将 “公民” 一词作出必要的延伸,使之包括法人也是不乏先例的。当然从未来看,如果将法人信息纳入个人信息的范畴,还是应取消 “公民” 的限定。
此外,《刑法》 第253条之一侵犯公民个人信息罪的对象主体具有特殊性,亦即个人信息虽然以 “公民” 加以限定,但是结合《侵犯个人信息解释》 的规定来看多数情况下保护的是 “公众” 的个人信息安全(公共信息安全)。因此, 在将来修改《刑法》时可以考虑将该罪移至其他章节,有效消解将法人纳入 “个人” 所面临的章节体系解释障碍。
从 “个人信息” 来看,法人作为拟制主体,与自然人共同构成个人有其合理性。我国立法肯定了法人的权利主体地位,《中华人民共和国民法总则》第57条、第13 条分别规定了法人和自然人的法律地位,二者享有相应的信息权益也符合各自的法律主体地位。在《刑法》中,我国虽然未使用 “法人” 的概念, 但是 “单位” 的范畴其实比“法人” 更为广泛。除了规定了各类单位犯罪外,也包括相关法人单位的法益保护, 比如分则第三章 “破坏社会主义市场经济秩序罪” 第三节 “妨害对公司、企业的管理秩序罪” 即作出系统规定。因此,将个人信息扩展至法人信息,在法益层面并无不可逾越的障碍。
第二,《刑法》第177 条之一第2款窃取、收买、非法提供信用卡信息罪。该罪也具有侵犯个人信息犯罪的性质。信用卡信息除了具有自身的金融属性外,也包含与之相 关的个人信息内容。这一事实也可以通过域外立法予以佐证,《日本刑法典》第163条之四预备非法制作支付磁卡电磁记录罪,其中 “电磁记录的信息”,是指根据支付用信用卡进行支付的结算系统中信息处理对象的一套信息,而非会员号码、有效期限单个信息。其中 “会员号码” 等显然也具有个人信息属性。
特别是随着公司信用卡的出现,法人信息与信用卡信息的结合日益明显。如 “公司卡” (Corporate Card)即是处理公司事务时专门使用的信用卡,该卡以公司信用为基础, 以公司的法人信息为注册内容,由银行应公司的申请发放。从性质看,其信息完全可以纳入信用卡信息的保护范围。由此,通过 《刑法》第 177 条之一保护公司(企业)信用卡信息实际上也是对于法人信息刑法保护的践行。
第三,《刑法》第286 条之一拒不履行信息网络安全管理义务罪。该罪法定情形之一即为 “致使用户信息泄露,造成严重后果的”。对于 “用户信息”,《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法 律若干问题的解释》(法释〔2019〕15号)(《新型网络犯罪解释》)第4条全面沿用了《侵犯个人信息解释》第5条的规定,包括各类个人信息的具体标准, 以及折算标准、严重后果标准,从而以司法解释的形式肯定了用户信息包含个人信息。
此外,从用语的角度 “用户信息” 比个人信息解释为法人信息面临更少的障碍。在商业网络服务提供的层面,用户包括两类即企业用户和自然人用户。而且,与自然人用户个人账户信息需要受到保护一样,企业用户的账户信息同样需要受到保护。已有学者直接将用户归纳为自然人或单位,用户信息即接受网络服务提供者服务的自然人或者单位的相关信息。
(二)类型建构:法人信息类型的法定化
就个人信息而言,基于信息主体的不同,自然人信息与法人信息的二元建构本身即 为对个人信息进行分类的过程。《侵犯个人信息解释》 除了界定自然人信息外, 还就其类型化作出尝试,第 5 条第(3)项至第(5)项依据重要程度对个人信息进行划分, 实际上形成了关键个人信息、重要个人信息与普通个人信息的信息类型。
然而法人信息的刑法规定不宜全面沿用该分类,原因在于:第一,该分类的重要依据之一即是与自然人法益关联的程度,比如和自然人人身法益关联更为紧密的行踪轨迹信息属于关键个人信息,关联程度相对较低的住宿信息属于重要个人信息;和自然人财产法益关联更为紧密的财产信息属于关键个人信息,关联程度相对较低的交易信息属于 重要个人信息。第二,法人信息的保护范围相比于自然人更为狭窄。一方面,法人相比 于自然人具有更强的公共属性,很多法人信息自始向社会公开,比如企业法人的注册信息,这些信息对保护相关自然人的权益十分重要,其信息法益理当受到一定的限制;另一方面,法人具有拟制性,并不具有自然人意义上的完全人格特征,其 “信息画像” 的范围和程度也难以和自然人信息相提并论。
基于法人信息的以上特点,本文认为应借鉴个人信息公开性的分类,将法人信息分为公开的法人信息与非公开的法人信息,并且通过刑事立法或者司法解释予以肯定。第一,公开的法人信息。比如(企业)法人的名称、统一社会信用代码、法定代表人、成立日期、地址、注册资本、营业期限等信息,都可以进行公开查询,自始向社会公开。虽然其获取的权限已经向社会公开,但是仍有可能被用于侵犯法人或者相关自然人的法益。对于公开的法人信息, 由于其公开性, 因此在刑法保护的过程中应当遵循限制原则,在必要时才予以保护。第二,非公开的法人信息。其典型类型为账号密码信息,如文首所述案例中的情形,法人的账号密码信息受到侵犯可能导致十分严重的后果,且由于该信息的非公开性,因此应当遵循全面保护原则,一体予以保护。此外,非公开的法人信息应当在范围上广于法人秘密信息,在特定范围内(比如企业法人内部)被知悉的法人信息也属于非公开的法人信息,却不属于法人秘密信息。
此外,未来 《刑法》在对于法人信息予以立法化的过程中还应考虑信息主体的协调问题。如前所述,我国刑法目前采用同质术语为 “单位” 而非 “法人”,前者的范围更为广泛,设使在术语选择上采 “单位信息”, 也是有其原因的。对此已有学者提出《刑法》第253条之一的犯罪对象应包括自然人信息与单位信息。
(三)行为建构:非法利用行为的入罪化
在犯罪学意义来看,侵犯个人信息犯罪的行为类型包括三种,即非法获取行为、非法提供行为和非法利用行为。第一,非法获取个人信息的行为。其典型形态为通过技术手段或者其他方式未经权利人许可获取个人信息。第二,非法提供个人信息的行为。这 里的 “提供” 并不强调相对主体的特定性,向社会不特定主体公开他人个人信息也在该类行为之列。第三,非法利用个人信息的行为,在刑法视野中该类行为的通常形态为利用个人信息实施诸如诈骗、盗窃、敲诈勒索等下游犯罪,但是晚近以来独立的非法利用个人信息行为也日益类型化、严重化。
我国《刑法》第253条之一侵犯公民个人信息罪, 第177条之一第2款窃取、收买、非法提供信用卡信息罪均规定了非法获取行为和非法提供行为。侵犯法人信息的行为也完全可以包括这两类行为。第一,对非公开的法人信息可以实施非法获取行为,比如对于法人账号密码信息,行为人通过技术手段或者其他方式非法获取,当然构成非法获取行为。第二,对非公开、公开的法人信息均可实施非法提供行为。值得说明的是非法提供公开的法人信息的情形,比如(企业)法人的名称、统一社会信用代码、法定代表人、成立日期、地址、注册资本、营业期限等信息,虽然系公开的信息,但是如果行为人对于散落各处的法人信息进行搜集并且通过大数据分析形成法人的 “数字画像”, 进而定向或非定向地提供,则可能制造了法人或者相关自然人遭受法益侵害的危险,有必要纳入非法提供行为的规制范畴。其实此前,对于行为人收集自然人公开的个人信息实施非法提供行为的情形也有作为犯罪处理的先例。如黄某非法获取公民个人信息案, “被告人黄某通过互联网下载大量公民个人信息,并于2014年5月私自将上述信息上传至自己创办的 ‘密码库’ 网站,采取注册会员的方式收取每人100元的费用后将上述各类近3亿9000余万条公民个人信息供他人查询使用, 从中非法获利人民币20余万元”。在该案中,黄某是通过网络下载的方式获取个人信息,进而实施非法提供行为获利,因而被科以刑事处罚。
晚近以来,随着侵犯个人信息犯罪的愈演愈烈,非法利用个人信息的行为也开始为学界所关注。如有学者认为该类行为的实施主体不仅包括个人信息的合法获取主体,也包括非法获取主体。有观点进而给出了非法利用行为的具体立法建议,即在《刑法》第253条之一中规定 “非法利用” 的行为。此外,日本立法也有规制非法利用行为的先例。日本《个人信息保护法》独立规定了盗用个人信息的行为:第一,个人信息保护委员会的委员长、委员、专门委员及事务局的职员的盗用行为。该法第82条规定违反第72条的规定(保密义务)泄露或盗用秘密的行为,而该法第72条规定:“委员长、委员、专门委员及事务局的职员不得泄露或盗用因职务而获得的秘密。在离职后(实施前述行为),同样处理。” 第二,个人信息处理业者的盗用行为。该法第83条规定了个人信息处理业者(法人的情形为其高管人员、代表人或管理人)或其员工、或者曾经具有这些身份的主体,以为自己或第三人谋求不正当利益为目的,提供或盗用其在业务中处理过的个人信息数据库等行为,包括对其全部或某一部分的复制或加工。
从侵犯个人信息犯罪行为的体系来看,非法利用行为确有予以犯罪化的必要,除了诸如盗窃、诈骗等下游犯罪的情形外,该类行为的典型化和类型化也日益凸显。比如张咏故意杀人案中,被告人张咏在实施杀人行为后,潜逃至安徽省肥东县,冒充肥东籍居民丁某某的身份信息办理了身份证明, 随后一直使用丁某某的身份上大学、工作与生活。虽然其使用他人身份证件的行为符合《刑法》第280条之一使用虚假身份证件、盗用身份证件罪规定的情形,可以按照该罪处理,但是利用他人身份信息办理身份证件的行为依然难以作为犯罪处理。而如果规定一般意义的非法利用个人信息行为,则问题自然迎刃而解。
目前学者讨论非法利用个人信息行为时都是基于自然人视角,实际上非法利用行为的入罪化对于法人信息的刑法保护有着特殊的意义,这可以从该类行为入罪化的两种形式予以阐明。
第一,规定与非法提供行为、非法获取行为并列的非法利用行为。一方面,非法利 用行为的突出意义在对公开的法人信息进行全面有效的保护,避免该类信息被滥用。法人信息与自然人信息相比一个突出特点就是公开性信息较多,这些信息由于已经向社会公开,通过规制非法提供行为、非法获取行为进行保护难度较大,通过规制非法利用行 为进行保护则可以将评价重心从权限转向权益,优化法人信息的刑法保护模式。另一方面,非法利用行为对于保护私有制法人的信息具有重要意义。在文首所述的案例中,对于平顶山市人民检察院、丰润区文明办的账号密码信息进行非法利用的情形,如果危害了社会秩序,更易于通过《刑法》分则第六章 “妨害社会管理秩序罪” 的相关罪名进行处罚; 然而这一路径对于腾讯、华为等公司的账号密码信息保护则颇有难度,因此非法利用行为的入罪化无疑对于对各类法人信息进行全面保护具有重要作用。
第二,将非法利用法人信息的行为纳入相关下游犯罪、关联犯罪的行为范围之中。如《刑法》第287条之一非法利用信息网络罪,根据《新型网络犯罪解释》第10 条第(1)项的规定,冒用特定法人主体(国家机关、金融机构)的名义开设与违法犯罪有关的虚假网站,可以纳入该罪的处罚范围。传统犯罪中, 假冒国家机关、金融机构名义未必与信息相关,但是利用信息网络实施该行为必然非法利用国家机关、金融机构这类法人的信息,因此该项也可以看作特定法人信息刑法保护的具体尝试。在互联网时代,利用法人信息设立网站无疑是最易于导致不特定公众法益遭受侵害的行为,对该类非法利用行为予以独立规制具有合理性。结合非法利用个人信息行为的发展,未来仍可在此基础上进一步延展对于特定种类非法利用法人信息行为的规制范围。比如,文首所述案例中利用知名期刊社投稿邮箱账号密码信息的行为远未绝迹,甚至一打开搜索引擎各类冒用其名义开设的虚假网站比比皆是,给公众的法益带来了现实的威胁。因此,未来可考虑对非法利用信息网络行为中利用法人名义设立用于实施违法犯罪活动网站等行为予以一般化规定。
基于对象、类型、行为三个层面的理论建构,可立足目前的侵犯个人信息犯罪体系 的规范调整,有效实现法人信息的刑法保护:第一,《刑法》第177条之一第2款窃取、收买、非法提供信用卡信息罪的完善。该罪位于 《刑法》分则第三章 “破坏社会主义市场经济秩序罪” 中,所属章节并不排斥法人相关法益的保护,只需增加对于非法利用行为的规定即可。第二,《刑法》 第253条之一侵犯公民个人信息罪,该罪目前位于 《刑法》分则第四章 “侵犯公民人身权利、民主权利罪”,未来或可将该罪移至第六章 “妨害社会管理秩序罪” 中,同时规定非法利用行为。在立法作出上述调整之前,可以通过对这两个罪名进行扩大解释的方法对非法获取、非法提供法人信息的行为加以规制,只不过在适用侵犯公民个人信息罪时考虑章节属性,可以将法人信息附属于关联自然人进行保护。至于利用法人名义设立用于实施违法犯罪活动网站等具体行为类型,可以结合相关司法解释予以明确。
微信号 : DigitalLaw_ECUPL
探寻数字法治逻辑
展望数字正义图景
数字法治战略合作伙伴:理财魔方