【理论洞见】敬力嘉 | 大数据环境下侵犯公民个人信息罪法益的应然转向
点击蓝字关注刑法界更多精彩内容
摘要:按照我国《刑法》第253条之一侵犯公民个人信息罪规定的行为类型,侵害公民个人信息所造成的危害结果兼具个体性与公共性。但公民个人信息是被侵害的对象而非法益,厘清本罪法益才能明确本罪的入罪标准。大数据环境下,信息自决权是公民个人应享有的新型的宪法层面的具体人格权。将本罪法益构建为作为个人法益的信息自决权,或者作为公共法益、不具备实质内涵的信息安全,都不能明确本罪的处罚范围。侵犯公民个人信息罪所保护的法益,是具备实质权利内涵的集体法益,具体为信息专有权,也就是法定主体对于所占有个人信息的处分权限。通过对信息专有权的刑法保护,可以实现对作为宪法法益的信息自决权的间接保护。未来国家立法应当将本罪拆分为 “非法获取公民个人信息罪”与 “非法提供或出售公民个人信息罪”,以信息专有权为核心,进一步完善公民个人信息刑法保护的规范体系,完成从安全本位向权利本位的优雅转身。
关键词:大数据环境 公民个人信息 信息自决权 信息专有权 本位转变
一、问题的提出
过去二十年,信息通信技术(ICTS),特别是互联网相关技术,在全球社会、政治与经济生活中发挥着重要的作用,构筑了信息社会的基石。时至今日,在社交网络、物联网、移动互联网、云计算等新兴技术支撑下,企业的商业模式正在快速向以海量社会数据为核心转变。所谓“社会数据”,是指关于公民活动、行为方式、兴趣爱好、与他人的关系等能够识别公民个体社会属性的数据,这些数据的总量每18个月就会翻一倍。通过对它们的分析研究,企业可以实现对用户的行为规律、需求内容等分析预测,这意味着更高的生产率和用户盈余。这个意义上讲,社会数据就是互联网时代的黄金,对社会数据的需求加速推动着企业生 产与经营的网络化。此外,以互联网为基础的信息公共事业正在成为社会的基本结构,这也推动着社会治理模式向以社会数据为核心转变。总体来讲,我们的生活空间正在加速数据化,迈向“大数据”时代。
大数据环境下,数据就是黄金,也是权力,企业和国家都蜕变为“渴望数据的利维坦”,这样的现实危险并非不存在,2013年的“棱镜门”事件便是这一现实危险的最佳注脚。 因此,将这一数据化进程纳入法秩序的 规范,是法治社会的应然要求。在法 规范视野中,社会数据便是数据化了的个人信息,在自由法治国的语境下,对于社会数据,或者说个人信息的搜集、处理、使用等行为,应当构建明确的法律规范框架,其中就包括刑法规范。
在我国《刑法》中,与此直接相关的罪名是第253条之一规定的侵犯公民个人信息罪。对于本罪保护的法益,学界的认知一直在个体权利的公民人身权利与公共安全的信息安全之间徘徊 ,并未形成具有说服力的结论。而本罪采取的是情节犯的立法模式 ,在刑法规范层面,应当明确“情节严重”和“情节特别严重”的构成 要件行为所侵害的确切法益,而不只是作为所侵犯对象的公民个人信息 ,才能明晰本罪的入罪标准。本文拟在大数据环境下,以侵犯公民个人信息罪的法益为中心展开深入探讨 。
二、公民个人信息的个体性与信息自决权
论及公民个人信息的法律保护,无论在法学理论抑或世界范围内的立法例中 ,信息自决权都是在构建以公民个人信息为保护对象的法益时无法回避的一个重要选项。吊诡的是,有关信息自决权的探讨,我国学界只在公法与民法领域有所涉及,刑法学界基本空白。本文认为,这是源自面对大数据时代侵犯公民个人信息犯罪的严峻态势时,我国刑法学界主流观点所秉持的安全本位立场。 在我国公民个人信息保护受到高度重视,相关刑法规范先行于个人信息保护专门立法的当下,充分探讨信息自决权作为侵犯公民个人信息罪法益的可行性,是正确理解与适用本罪的重要前提 。
(一)作为宪法法益的信息自决权之证成
信息自决权理论发源并发展于德国 ,是德国《联邦数据保护法》(BDSG)的理论根基,也是德国构建与完善个人信息保护法律法规的基点。从1995年欧洲议会通过的《个人数据保护指令》开始到 2016年生效的《欧洲数据保护基本条例》,该理论对欧洲层面个人信息保护立法也产生了深远影响 。
德国学界最早提出“信息自决权”(Das Recht auf information Selbstbestimmung)概念的是施泰姆勒。他在自己提出的《联邦数据保护法(草案)说明》中将这项基本权利的内涵表述为 “人们有权自由决定外在世界可多大程度获知自己的思想及行动”。从1983年德国宪法法院著名的 “人口普查案”判决开始,这项基本权利逐步形成。该案判决书表述如下:“在现代数据处理环境中,根据《基本法》第2条第1款(每个公民都享有自由发展人格的权利)与第1条第1款(人的尊严神圣不可侵犯),公民个人数据不被无限制地搜集、存储、使用与转让。”这是信息自决权的最初形态 。它由德国宪法法院通过判例为公民个体所创制,针对国家经由个人数据的搜集 、存储、使用与转让,侵犯公民个体享有的、由德国《基本法 》第1条第1款所规定的人格尊严权,和第2条第1款规定的人格自由发展权的防御基本权(Abwehrgrundrecht)。由于在1954年“读者来信案”的判决中,德国联邦最高法院已经在这两种权利的基础上发展出了一般人格权,因此,这一消极的防御基本权的性质,是由一般人格权发展出、独立作为宪法法益的具体人格权,内涵为面对国家时,公民个体对搜集、使用和处理其个人信息的行为的决定权。
随着信息通信技术的飞速发展,社会不断网络化、数据化,信息自决权日渐成为公民个体享有各项基本权利的前置性保障。对于信息自决权而言,以上着眼于私人领域防护的理解已无法适应权利保护的现实需要。因此,德国联邦宪法法院通过一系列判决 ,超出防止国家滥用个人数据的初始功能,将信息自决权构建为普遍意义上公民个体对于其个人信息进行搜集 、使用和处理的决定权。当然,这一决定权并非排他性的支配权,德国宪法法院在相关判决中同时明确了符合显著公共利益 、基于法律保留的合目的、透明必要与合比例这四项基本原则。作为欧洲层面个人数据保护的大宪章,《欧洲数据保护基本条例》立法理由第1条也明确规定,在认可以上四项基本原则的基础上,个人数据保护权是自然人应享有的基本权利,显然是继受了信息自决权的内涵。在我国,作为宪法法益的信息自决权《宪法》中并未明文列举。 但现行宪法第2章 “公民基本权利与义务”第38条明确规定:“中华人民共和国公民的人格尊严不受侵犯。 禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”按照宪法学界通说,从该条规定的人格尊严,可以推导出姓名权、肖像权、名誉权、荣誉权和隐私权,实质是将该条保护的法益往德国宪法中一般人格权的方向进行构建 。那么根据本条的规定,证成信息自决权一样是我国宪法所保护的新型具体人格权应当不存在理论障碍。但由于我国目前缺乏实际运作 的宪法解释机制以及专门的个人信息保护法,作为宪法法益的信息自决权需要部门法予以确证,才能具备实然的法律效力。
(二)作为刑法法益的信息自决权之否定
从上文对信息自决权的考察看,它天然属于个人法益。作为宪法保护的具体人格权,这个结论当然成立。但是,能否直接将它确定为侵犯公民个人信息罪的法益,仍是悬而未决的问题。 因为作为具体部门法,刑法对具体人格权的保护既可通过个人法益,也可通过超个人法益实现。侵犯公民个人信息罪法益属性的确定,需要以个人信息属性的明确为基础 。
那么,个人信息真的如我国所选择的进路具备个体属性吗?恐怕不然。网络环境下,所谓“个人信息”都会牵涉到多方主体。个人信息流动的载体,也就是网络服务提供者,与搜集、使用和处理的主体,也就是其他公民个体、国家行政主体以及网络服务提供者,同它指向的对象,也就是公民个体并不一致。换言之,公民个人信息是关于公民个体的信息,而非属于公民个体的信息,不具备个体属性,德国《联邦数据保护法》体现的认知是准确的。公民个人信息的具体形象应当是以公民个体为对象的信息画像,勾勒出了公民个体作为社会人的具体形象。而这幅画像的权属,需要经过对相关主体所享有权利的具体衡量,才能得出结论。
1.“信息画像”:个人信息个体属性之否定
世界各国对于“个人信息”的界定不尽相同,总体来说都以公民个体的识别性为标准 ,具体有两种进路。第一种将个人信息界定为可以有效识别公民个体身份 ,也就是个体属性的相关信息。遵循这一进路的代表国家有美国与我国。美国对个人信息的保护是由《隐私权法》完成,学界一般将“个人信息”定义为个人的名字、缩写与姓氏结合的以下数据内容 ,且姓名和数据内容没有加密或编译 :(1)社会保障号码;(2)驾照号码或者其他国家授予的身份证件号码;(3)银行账号、信用卡或借记卡号码,以及其他银行账号、信用卡号码(其与任何必需的安全码、存取码或密码结合可以获取个人资产账户访问权限)。我国《网络安全法》第76条第5款中,对个人信息的内涵也做出了类似界定 。第二种否定个人信息的个体属性,将其界定为能有效识别公民个体社会属性的相关信息,这一进路以德国为代表。德国《联邦数据保护法》第3条第1款将个人数据界定为“有关已识别或可识别的自然人(或数据主体)个人或实际关系 的个体数据 ”,也就是前文所提到的 “社会数据”。换言之,个人信息由社会主体间的信息交换所产生 。
2.作为侵犯公民个人信息罪法益的信息自决权之否定
《刑法修正案(七)》设立了出售、非法提供公民信息罪,2015年《中华人民共和国刑法修正案(九)》(以 下 简称《刑修(九)》)将本罪重新设置为侵犯公民个人 信息罪 ,将犯罪主体扩大到一般主体,取消了 “非法提供” 中的“非法”,将入刑的行为确定为“出售或提供公民个人信息”“窃取或者以其他方法非法获取公民个人信息”两种行为,体现出我国刑事立法对公民个人信息保护力度的加强。法益决定刑罚权适用的边界,是对刑法中罪名进行具体解释适用的应然起点。鉴于本罪规定在我国《刑法》第四章“侵犯公民人身权利、民主权利罪”中,本罪法益原则上应属于公民的人身权利,以公民个体的信息自决权作为本罪法益 ,似乎并无不妥。但基于以下原因,笔者认为,作为个人法益的信息自决权 ,不能成为本罪所保护的法益 :
第一,大数据环境下,个人信息的社会属性决定了公民个体不直接享有对个人信息的自决权 。如前文所述,在个人信息构成的信息流动链条中,有四类基本主体,具体关系如下图所示:
从这个关系图中我们可以清晰地看到,除了公民个体之间相关主体可以自主决定其个人信息是否进入流动链条之外,当前大数据环境下,无论是面对国家行政主体还是网络服务提供者 ,公民个体都无法决定自己个人信息的走向。因为,大数据环境下,网络服务提供者对海量社会数据的搜集与分析是其商业模式的基础,社会数据已然成为了基本的生产资料 ,为企业的发展与经营所必需。 这样的背景下,网络服务提供者现行的做法,也就是在用户使用其服务之前让公民同意其使用协议,看似以征得公民个体的同意作为处理关于该公民个人信息的前提,确保了公民个体的信息自决权 ,其实不然。公民签订的使用协议实质是放弃信息自决权的声明,主要理由有二:第一,长篇累牍与专业化的使用协议 ,让一般民众没有可能完全了解哪些有关自己的个人信息将会被搜集,又将如何被使用;第二,公民个体如果不同意使用协议 ,通常便无法使用相应的服务。例如,公民个体试图使用导航类 APP时,如果不同意自己的位置信息被搜集,便被自然剥夺了使用相关导航服务的可能。而站在国家行政主体的角度,从便于加强社会控制的立场出发 ,有关我国公民个体的个人信息在众多不同的情境下,包括就业、就学、公务办理等,被行政主体运用行政权力广泛搜集、使用与处理,公民个体的信息自决权无从谈起 。
第二,个人信息的社会属性决定本罪保护的法益不应是公民个体的信息自决权 。首先需要明确,基于公民个人信息的社会属性,刑法保护公民个人信息并非保护信息本身,而 是保护其关涉主体的相关权利。《刑修(九)》对侵犯公民个人信息罪的犯罪主体 、行为类型都进行了大幅度扩张 ,但作为规制的对象,却将公民个人信息理解为公民个体所有,认识不到其应然的社会属性 ,在具体解释适用时必然面临尴尬境地 。因为关于公民个体的个人信息所涉及的具体权利主体与权利类型非常多样 ,基于刑法规范明确性的要求,本罪所保护的主体以及相应法益究竟是什么,亟待厘清。我国学界对于本罪处罚范围可能过宽的担忧是一致的,但基于对公民个人信息具备个体性的基本认识,通行的路径是以单一罪名处罚范围的限缩为基点,在认可本罪所保护的是个人法益的基础上,试图以个人信息的专属性和重要性为标准限缩本罪的处罚范围。公民个体的信息自决权是这一进路下本罪应然的法益。但按照本文的观点,基于公民个人信息的社会属性 ,这样的选择无疑是不科学的。
具体来看,本罪规定的两种行为类型,也就是“违反国家有关规定出售或提供公民个人信息 ”和 “窃取或以其它方法非法获取公民个人信息”,能够侵犯的权利主体绝非限于公民个体,能够侵犯的权利也绝非仅是公民个体的信息自决权。例如,公司的客户名单,包括客户的姓名、地址、联系方式以及交易习惯、意向、内容等,性质上当然属于公民个人信息 。根据《反不正当竞争法》第10 条第3款的规定,商业秘密是指不为公众所知悉、能为权利人带来经济利益 、具有实用性并经权利人采取保密措施的技术信息和经营信息 。《刑法》第219条侵犯商业秘密罪第3款规定也完全与《反不正当竞争法》规定相一致。 根据法律规定,当客户名单符合以下三个要件,即不为所属领域相关人员普遍知悉和容易获得 、具备经济价值以及权利人采取了保密措施,则应被界定为商业秘密,侵犯这一类个人信息,侵害的是相关企业的商业秘密 。司法实践中,也有在客户名单符合以上三个条件时被认定为商业秘密的判例 。又如,在有组织犯罪案件的审理中,为了保护证人的人身安全,其身份信息应当受到严格保护 。若是掌握证人身份信息的法官或警方人员出售或提供证人的个人信息给犯罪团伙,导致证人被严重伤害或杀害,即使在行为人对相关犯罪事实一无所知的情况下,该行为所侵害的法益也是证人的生命权和健康权。
从以上分析我们应当可以清晰地看到,就正确适用本罪加强公民个人信息的刑法保护而言,科学方向不是将本罪所保护的法益解释为个人法益,进而通过加强个人信息的个体关联性限缩本罪的处罚范围,而是以个人信息的社会属性为前提,明晰本罪应当保护的法益,从而明确本罪适用的范围 ,达到限缩处罚范围的效果。本罪所保护的法益不应是作为个人法益的信息自决权。
三、个人信息的社会性与信息安全
既然本罪保护的法益不应是作为个人法益的信息自决权,那么,是否应当放弃将本罪法益构建为个人法益的努力,转而接受国内逐渐有力的观点,提倡法益内涵全面转向网络安全 、信息安全,将其构建为不具备实质内涵的集体法益,进而着眼于所规制对象和行为的具体化 ,明确本罪处罚的范围?这是我们应当选择的进路吗?笔者的答案是否定的。
(一)信息安全与信息自决的价值导向冲突
法律规范的解释适用不是纯粹的逻辑推演 ,需要进行价值判断。 在教义学中彻底排除价值判断的实证主义,会导致法律沦为权力逻辑所支配的工具 。二战中纳粹法学家对法律规范的恣意解释给德国法秩序带来的崩坏性效应充分证明了这一点 。因此,为法规范适用时的价值判断找到稳定的标准 ,是战后德国法学界孜孜不倦努力的方向。目前的通说认为,宪法通过对基本权利的保护,为整体法秩序构建了价值判断的法定标准。作为宪法法益的信息自决权,是公民个体享有、为宪法所保护的基本权利,是国家对公民选择与行为自由的具体保护。 因此,自由是在解释适用保护公民个人信息的法律规范时应当遵循的价值原点。
当然,这一“自由”并非人人皆可随性而为的积极自由 ,而是不被强制为非己所愿之事的消极自由,两者的区别,在于后者要求稳定秩序的存在,作为确保社会共同体安定生活的基础 。
具体到本文的中心论题,在我国学界目前主张信息安全作为侵犯公民个人 信息罪法益的有力观点认为互联网的快速发展制造了显著的技术风险,在风险社会中安全价值应当优于自由价值 。笔者认为,这是人为制造了安全与自由之间的对立,实质是认为保障稳定秩序的强制力与公民 个体选择与行为自由之间必不相容。基于宪法基本权利的框架,个人自由保障与公共秩序维护之间的矛盾完全可以在(信息)权利自决的语境下解决。有关于此,下文将进一步具体展开。当前可以确认的是如果将信息安全作为侵犯公民个人信息罪的法益,其价值基点无法同信息自决权的自由价值导向相协调 。
(二)信息安全不能明确本罪的适用范围
在法规范层面,安全是指法益的安全,内涵是防止法益侵害危险 。换言之,从一般意义上讲,安全是一种价值取向,而非法益。具体到刑法规范中,国家安全无疑属于国家法益,代表着国家的价值宣示。 而公共安全则被我国刑事立法接纳为社会法益,规定《刑法》第二章“危害公共安全罪”中。 根据 《刑法》第115 条 第1款“致人重伤、死亡或使公私财产遭受重大损失”的表述,“公共安全 ”可以理解为不特定或多数人的生命、身体和财产安全。公共安全成为刑法法益,基本理由在于要为刑法所保护的个人法益提供受保障的权利空间。那么,应当将侵犯公民个人信息罪归入我国《刑法》第二章,进而将本罪法益解释为信息安全吗?
首先应当承认,基于公民个人信息的社会性,侵害公民个人信息的行为,其社会危害性在两个层面超越了个人法益侵害的范畴,具备公共性。第一,现实中侵犯公民个人信息的犯罪不具备个体性,而具备群发性。 正因如此,在2017年6月生效的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条中,将非法获取、出售与提供的个人信息数量作为衡量情节是否严重的重要标准。第二,非法获取、出售与提供个人信息可能致使相关个人信息被用于其它犯罪 ,导致不特定多数人的人身与财产权利受到侵害。《解释》第5条中,也将公民个人信息被用于其它犯罪以及造成严重后果作为认定“情节严重”和“情节特别严重”的重要标准。
因为缺乏对公民个人信息社会属性的明确认知,导致侵犯公民个人信息罪的入罪标准在立法论层面内蕴着笔者所指出的矛盾。是否可以就此证成本罪的法益应当是作为公共安全类型之一的信息安全?笔者持否定意见,理由主要在于,虽然作为本罪保护对象的公民个人信息不专属于公民个体,公民个体所享有的信息自决权也不能直接成为本罪所保护的刑法法益,但关于公民个人的信息涉及多方权利主体的法益,不可以用信息安全的概念简单地抹杀侵犯公民个人信息所涉及权利主体的多样性,和权利冲突的复杂性,这会让本罪的适用范围模糊不清。那么,只有明晰本罪应当保护的法益是独立信息权,才能明确符合本罪构成要件的行为本身的不法内涵,本罪才有独立存在的价值 。唯一可行的路径便是为本罪构建出能够间接保护作为宪法法益、公民个体享有的信息自决权 ,而且具备实质内涵的信息权类型,作为本罪保护的刑事集体法益,才能立足于本罪法益应有的个人属性,妥当评价侵犯公民个人信息危害后果的公共性。信息安全显然不符合构建这一集体法益的要求,有关如何妥当构建这一集体法益,应当进行进一步的探讨。
(三)信息安全不提供刑事违法性的现实依据
在立法论层面,对个人法益的保护诉诸于公共安全 ,基本理由是为了给个人法益提供受保障的权利空间。在解释论层面,“公共安全”作为法益,其公共性主要体现在涉及个人法益的数量为不特定或者多数,所涉及的个人法益类别可明确为生命 、身体和财产权利。由此也可以看到,《刑法》中侵犯公共安全犯罪保护的法益还有一个不能被忽略的基本特征,那就是所涉及个人法益都具有现实性,所处罚的实质是对这些现实个人法益的现实危险,更确切地说,是具体危险。
一般来说,风险是指根据当前社会科学技术的发展水平与一般人的认知水平,无法判断其发生的盖然性、严重性以及影响广泛性的损害发生可能性;危险是指在法益保护的目的内,以合比例性原则作为限制、根据当前社会科学技术发展水平与一般人认知水平、通过可执行和证实的方法验证具备足够盖然性的损害发生可能性。如果将侵犯公民个人信息罪的法益认定为信息安全,作为公共安全的一种,无法证成侵犯公民个人信息的行为,按照本罪规定,即非法获取、出售和提供公民个人信息的行为,能够对不特定或者多数人的生命、身体和财产权利造成具体危险,只能认定制造了风险。因为法律适用是法益保护目的实现的过程,刑法所处罚的危险是对所保护法益的危险,仅以侵犯公民个人信息的行为而不依托于行为目的的考量,无法认定此行为对何种法益制造了危险。仅以对侵犯公民个人信息数量的巨大,不能弥合法益侵害危险和风险之间由法益侵害目的缺失所造成的鸿沟。
因此,将信息安全作为侵犯公民个人信息罪所保护的法益不具备正当性与可行性。
四、中间进路:信息专有权
以《宪法》为根基,公民个体行为与选择的自由是动用刑法专门保护公民个人信息的价值根据,信息自决权作为公民个体所有的宪法法益,则是整体法秩序中动用刑法专门保护公民个人信息的规范根据。而公民个人信息的社会属性决定了侵犯公民个人信息罪的法益应同时考量个体性与公共性。将本罪法益完全构建为个人法益或者公共法益的努力,均已证明不可行。本文接下来将要探讨的是中间进路的可行性,具体即为本罪构建出能够间接保护公民个体信息自决权,又具备实质内涵的刑事集体法益 。
(一)信息专有权的概念厘清
首先还是回到对作为宪法法益的信息自决权的考察。1983年,德国联邦宪法法院通过判例发展出信息自决权,作为公民个体享有的基本权利。之后,信息通信技术高速发展,社会的数据化程度飞速提升,让个人数据在自由流动中充分发挥其社会和经济价值,已成为大数据环境下全社会的普遍诉求。因此,再坚持公民个体对关于自己个人数据的绝对自决权,已经与时代发展脱节,若不变革,这项基本权利只能被束之高阁。作为回应,德国联邦宪法法院在2008年网络搜索案的判决中,明确认定IT系统的私密性与完整性是公民享有的基本权利,作为信息时代对公民个体信息自决权的补充。其中的“IT系统”内涵远宽于我国《刑法》第285条中所保护的“计算机信息系统”,包括任一虚拟或实体的、存储个人数据的系统。通过这一判例,德国联邦宪法法院在宪法层面认可了通过保护“IT系统的私密性与完整性”,间接实现公民个体对IT系统中关于自己个人数据的自决权的保护路径。此种间接保护路径确认之所以需要联邦宪法法院通过“IT系统私密性与完整性”这一基本权利的创设实现,主要是为了给个人数据使用应遵循的法律保留原则松绑,找到信息自决权保护与信息自由流动之间的平衡点。
德国通过《联邦数据保护法》第44条规定,以附属刑法的形式对个人数据进行专门的刑法保护。该条规定,以牟利或损害他人为目的,故意以本法第43条第2款规定的方式侵害个人数据的,处2年以下自由刑或罚金刑。笔者认为,表述来看,这个罪名所保护的法益无疑是信息专有权,充分体现了对“IT系统的私密性与完整性”这一基本权利的保护。信息专有权具有两个层面的内涵:第一,个人数据的占有主体对于其所占有的个人数据所拥有的积极处分权,基于本文所提出对个人数据主体同意效力与范围的质疑,此种积极处分权的存在还尚待商榷。第二,对个人数据处分的权限,从《联邦数据保护法》第44条来看,“违背支配权限调取”“骗取”“以不实陈述骗取”“另外用作它途”“违背同意制度”,所具备的内涵是一致的,那就是要求个人数据占有主体采取措施为所占有的数据创设安全阀,阻止或妨碍无权限的行为人,使之不能处分被有权占有的个人数据。也就是说,本罪保护的法益是法定主体的信息专有权,应当没有疑义。
当今大数据环境下,法定主体所占有的个人数据一般都数量大、类别多,法定主体对所占有个人数据的专有权,从属性上讲应当具备公共性,属于集体法益。与此同时,这一集体法益是作为保护公民个体信息自决权的媒介而存在。因为从实然层面来讲,在大数据环境下公民个体能选择的只能是有关自己的个人信息所流动至的第一个主体。如果不能确保第一个占有有关自己个人信息的主体对于此类个人信息进行处分的权限,在大数据环境下,基于网络空间流动性的特质,个人信息一旦进入信息流动链条,公民个体再无施加影响的可能。所以,只有法律严格保护法定主体的信息专有权,才能实现对个人信息自决权的间接保护。信息专有权的创设也充分说明,通过明确集体法益的权利主体,法益的个体性与公共性能够实现和解。
(二)我国刑法中的信息专有权
那么,德国刑法中的信息专有权是否能够为我国所借鉴,成为《刑法》中侵犯公民个人信息罪所保护的法益呢?基于对本罪法条与《解释》的考察,笔者认为这个结论可以证成。
由于在个人信息的使用上我国《宪法》没有法律保留原则的限制,在认可信息自决权也是我国《宪法》所保护的宪法法益的前提下,作为具体部门法的刑法基于大数据环境下的现状,采用间接路径实现对公民个体信息自决权的保护,不存在实质障碍。
回到我国具体的刑法规范,笔者认为,就侵犯公民个人信息的行为链条而言,获取行为是起点,也是规制的核心。对于所规制的获取行为,《刑法》第253条之1第3款表述为“窃取或以其它方法非法获取公民个人信息”。“窃取”公民个人信息,所指的当然是在不具备个人信息处分权限,也就是信息专有权的情形下,占有相关公民个人信息,体现了《刑法》对信息专有权的认可。“以其它方法非法获取公民个人信息”中的“其它方法”,《解释》通过第2条和第4条的规定,将之明确为违反法律、行政法规、部门规章有关公民个人信息保护规定,通过购买、收受、交换等方式获取公民个人信息。结合侵犯公民个人信息罪第2款的规定,在履行职责或者提供服务的过程中非法获取公民个人信息的,应当从重处罚。我们从中可以清晰地看到,获取公民个人信息行为的形式违法性的根据在于“非法”,也就是违反法律、行政法规和部门规章关于公民个人信息保护的规定。但是“有关公民个人信息保护的规定”,保护的究竟是什么?对于这个关键问题,《解释》只明确了保护的对象,未明确保护的法益。
笔者认为,从体系解释角度来看,“其它方法非法获取”应当同“窃取”具有相当性。对于窃取公民个人信息行为的处罚,根据在于行为人对相关主体信息专有权的侵犯,那么对以其它方法获取公民个人信息行为的处罚,其根据自然应当与之相同。因此,应当将“非法”解释为“违反法律、行政法规、部门规章有关法定主体信息专有权的保护规定”。而获取公民个人信息行为的实质违法性根据在于情节,《解释》具体体现为所获取公民个人信息的类别、条数与借此获得的经济利益,对“非法”进行这样的明确不会导致入罪门槛降低和处罚范围扩大,而且明确了获取公民公民个人信息的行为所侵犯的法益内涵,能让《刑法》为获取公民个人信息的行为提供明确的禁止性边界。
对于出售和提供公民个人信息的行为,基本条款规定在侵犯公民个人信息罪第1款,表述为“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重”,第2款是特别条款,规定“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的”,要按照前款规定从重处罚。此类行为形式违法性的根据,在于“违反国家有关规定”。根据《解释》第2条的规定,“违反国家有关规定”是指违反法律、行政法规和部门规章关于公民个人信息保护的规定。这一规定存在的问题还是一样,没有明确保护的法益内涵。根据本文的观点,向他人出售和提供公民个人信息的行为所侵犯的独立法益,应当是法定主体的信息专有权。
除本罪之外,《刑法》第286条之一规定的拒不履行信息网络安全管理义务罪对于网络服务提供者“致使用户信息泄露”的处罚,所保护的也是网络服务提供者对于用户个人信息的专有权。有关两罪之间的关系将在下文中进一步展开。总体来讲,将信息专有权作为侵犯公民个人信息罪保护的法益,也作为刑法有关公民个人信息所保护的核心法益,在我国现行刑法规范中具备正当性与可行性。
(三)信息专有权的核心价值
在构建侵犯公民个人信息罪的法益时选择信息专有权这一中间进路,它的核心价值在哪里?笔者想要从三个层面进行阐释。
第一,基于公民个人信息的社会属性,侵犯公民个人信息所产生的危害结果兼具个体性与公共性。将本罪法益构建为信息专有权这一具备实质内涵的集体法益,在对此类危害结果进行刑法评价时,就可以消解其个体性与公共性之间的冲突,实现刑法谦抑性与前置预防需求的有效和解和对作为宪法法益的信息自决权的间接保护。
将当代大数据环境下的社会描述为充满风险的社会,是犯罪预防刑事政策驱动下的叙事路径,为我国相关立法所继受,也随之将“安全”设定为相关领域问题定义、解决路径探讨和法律规范构建的基调,《网络安全法》的出台便是非常清晰的例证。这一叙事路径下,法益侵害危险的基本特质被描述为新型、普遍存在、不可预见、高频度与可衡量。风险社会理论为这一叙事路径提供了理论基础,“行为人随时随地可以对任何网络连接的对象实施犯罪行为”,是对大数据环境下所面临犯罪风险的经典描述。由于近代以来构建成型的自由法治国刑法,其基本使命就是在公民个体面对国家这个庞大利维坦处于绝对弱势的情形下,限缩国家刑罚权与保障公民个体自由,在当下充满风险的大数据环境中,作为刑法适用的价值基点,安全与公民个体自由的冲突愈加突出。
传统的工业社会形态中,刑法保持谦抑的规范路径是坚持罪刑法定原则,原则上以对个人造成的法定危害结果或者法定危害结果的危险作为刑法处罚对象,避免刑罚权恣意发动。当人类社会快步迈入大数据时代,基于信息具有的流动性,公民个体的越轨行为能够造成的危害结果,乃至危险,已经越来越难以定型化,具备显著不确定性。侵犯公民个人信息所产生的危害结果或危险兼具个体性与公共性,便是这种不确定性的具体体现。有鉴于此,以风险的衡量取代危险的判断作为刑法处罚的根据,成为愈加有力的声音。法益内涵的抽象化是实现这一转变的规范起点。
从实践层面的考量,刑法保护集体法益具有独立价值,体现了对法益预防性与前置性的保护。但是,法益内涵的抽象不等于没有实质,因为法益思想毕竟根植于对国家刑罚权的限制,而去实质化的法益概念不能给刑罚权的发动提供明确的边界,只会沦为权力的工具。集体法益不一定要直接服务于个人刑事法益的保护,但至少要间接服务于个人自由的保障。以信息自决权作为宪法层面的规范依据所推导出的信息专有权,是侵犯公民个人信息罪适宜的法益。
第二,以信息专有权为基点,能够通过个人信息类型化的路径,在刑法规范的层面为个人信息流动链条中多方主体及其权利的保护预留足够的规范空间。个人信息的类型化,实质是对个人信息流动中所涉及的主体及其权利进行类型化,明确侵犯公民个人信息罪规制的具体范畴。比如,德国《联邦数据法》第1条开宗明义地指出,本法的保护目的是防止公民个体的人格权被他人通过处分其个人数据所侵犯。结合上文对德国宪法法院相关判例的解析,可以明确本法保护的法益是信息专有权。虽然该法第44条行为方式规定详细,但个人数据欠缺类型化,导致本罪的实质保护范围模糊不清。也正因为保护对象的不确切引起该条所禁止的行为方式实质不明确,几乎成为空置条款,在德国学界受到了广泛批评。而我国《解释》第1条试图将公民个人信息区分为两大类,能识别特定自然人身份的各种信息和能反映特定自然人活动情况的各种信息,在《解释》第5条有关“情节严重”的规定中,根据不同的个人信息类别,分别制定了五十条、五百条和五千条的基础入罪标准,这是对个人信息的类型化具体标准的有益尝试,但这一标准的合理性,还有待今后进一步深入的研究,本文不进一步探讨。
第三,选择信息专有权作为本罪法益,可以为公民个人信息的流动构建自主型秩序,以公民个体的信息自决为法理基础,为信息安全与信息流动自由之间冲突和解机制的构建,作出了有益探索。安全与自由是法规范中一对相克相生的基本价值。传统工业社会中,它们的内涵被分别理解为社会安全与个人自由,分别对应着权力与权利。但在大数据的语境下,除了原有的含义之外,它们被赋予了新的内涵,分别是公共安全,可细化为信息安全与信息流动自由。在信息安全与信息流动自由相对应的视角下,二者不再能与权力和权利分别对等。以公民个人信息的刑法保护来说,由于公民个人信息是关于而不是属于公民个体的信息,就信息安全的维护而言,公民个体、网络服务提供者和国家行政主体,三者在个人信息流动的链条中,都在某一环节具有处分个人信息的权力,在法益保护的范围内,刑法规范需要对三类主体处分个人信息的权力和应承担的保护义务进行适宜分配;就信息流动自由而言,个人信息流动的起点是公民个体,而在当前的大数据环境下,个人信息的流动又会涉及通信自由、科研自由、信息利用自由等牵涉多方主体的基本自由,刑法规范需要在个人选择与行为自由,同各类基本自由之间进行衡量,明确所保护的确切范围。以信息专有权作为侵犯公民个人信息罪的法益,实质是以公民个体的信息自决作为法理基础,为以上目标的实现构建了稳定而又有弹性的规范框架,留待今后的学理与司法实践进行进一步的探索和完善。
(四)侵犯公民个人信息犯罪体系构想
在明确侵犯公民个人信息罪的法益是信息专有权之后,对于以之为核心构建侵犯公民个人信息犯罪体系,笔者希望提出自己的初步构想。
对于侵犯公民个人信息犯罪而言,非法获取个人信息是整个行为链条的起点、源头,也应当是刑法规制的核心。《德国刑法典》第202条探知数据罪的立法模式,可以提供有益的借鉴。该罪第1款规定,对于采取特别安全措施的数据,在无权限的情形下径行获取的,处以三年以下自由刑或罚金刑。笔者认为,我国《刑法》也有必要参照德国探知数据罪的立法模式,将非法获取个人数据的行为分割为单独的罪名,专门设置“非法获取公民个人信息罪”。德国刑法规定的探知数据罪,由于其入罪门槛较低且没有情节限制,个人数据也未进行类型化,只有“采取了足以阻止或妨碍无权限行为人的安全措施”这一实质限缩标准,因此在德国学界受到了较多的批评。但在我国语境下这不会成为问题。对于非法获取公民个人信息罪,应当沿用情节严重的标准作为入罪门槛和现有的刑罚设置幅度。同时,继续探索对公民个人信息进行类型化,以及在此基础上对数量标准的完善,便足以完成对非法获取公民个人信息行为的妥当评价。
相对于非法获取公民个人信息,出售或提供公民个人信息行为社会危害性的评价要复杂的多。出售或提供的个人信息类别和数量,还不足以成为“情节严重”、“情节特别严重”的衡量标准。关于该问题,《解释》作出了有益的尝试,但存在的问题还非常明显。比如,按照《解释》第5条第1款第(1)项的规定,出售或提供行踪轨迹信息被他人用于犯罪的,或者符合第5条第1款第(2)项的规定,知道或应当知道他人利用公民个人信息实施犯罪向其出售或提供的,都属于“情节严重”。按照第(2)项的规定,向他人出售或提供个人信息被利用实施犯罪的,尚且要求“知道或应当知道”,对于出售或提供行踪轨迹信息被他人用于犯罪的,连“应当知道”都不做要求了,这无疑已突破责任主义原则。《解释》第5条第2款规定,造成被害人死亡、重伤、精神失常或被绑架等严重后果,造成重大经济损失或恶劣社会影响,数量或数额达到第1款第(3)项至第(8)项规定的10倍以上,以及其它情节特别严重情形,都属于“情节特别严重”。在行为人只具备侵犯公民个人信息的主观认知时,让他为公民个人信息被他人非法利用所造成的严重后果承担刑事责任,毫无疑问也是结果归罪。《解释》如此规定的原因在于侵犯公民个人信息罪的适用范围不明确,而按照本文的观点,适用范围不明确的根本原因在于本罪保护的法益不明确。基于侵犯公民个人信息罪保护个人法益的错误认知,面对着犯罪行为造成的危害结果具备公共性的社会现实,情节标准成为了《解释》依赖的万能口袋。
笔者认为,有关出售或提供公民个人信息的入罪,《解释》给出的标准还存在严重的问题,关键在于没有厘清对此类行为刑事归责的基本原则。基于本罪保护法定主体信息专有权的基本认知,出售或提供公民个人信息行为的入罪应当具备对个人信息被利用造成严重后果的认识。这一罪名应当确定为“非法提供或出售公民个人信息罪”,罪名表述应为“非法提供或出售公民个人信息,造成严重后果的”,可以沿用现行的量刑幅度。当行为人对所造成后果具备直接故意时,应直接认定为该严重后果所构成犯罪的共同正犯或帮助犯;当行为人具备间接故意或者过失时,应当认定构成本罪。
《解释》第10条规定,当网络服务提供者泄露用户的公民个人信息,成立《刑法》第286之一规定的拒不履行信息网络安全管理义务罪。该罪的法定刑在三年以下,而侵犯公民个人信息罪在“情节严重”时刑罚幅度才是三年以下。换言之,《解释》认为网络服务提供者拒不履行信息网络安全管理义务,导致用户个人信息泄露,造成严重后果的,属于“情节严重”。“泄露”从文义解释看,包括有意泄露和无意泄露。那么,有意泄露用户个人信息的网络服务提供者,其行为应属于侵犯公民个人信息罪中“履行职责或提供服务过程中获得的个人信息出售或提供给他人”。而《解释》第5条第1款第(8)项的规定,对此类行为“情节严重”的认定,是以提供和出售个人信息的条数与获利数额为标准。笔者认为,《解释》第10条与第5条第1款第(8)项的规定自相矛盾,网络服务提供者拒不履行信息网络安全管理义务又构成其它犯罪的,应直接按照处罚较重的罪名处罚,按照本文的构想,也就是在非法提供或出售公民个人信息罪与拒不履行信息网络安全管理义务罪之间,择一重处。
结语:从安全本位走向权利本位
大数据环境下,我们都陷入了互联网带来的安全焦虑中。面对侵犯公民个人信息犯罪的实然风险,我们在个案推动和舆论的裹挟下,习惯性地遵循惯性思维,那就是从严从快打击具有“严重危害”的社会现象,无论是刑事立法还是司法,都对侵犯公民个人信息的行为进行了较为严厉的规制。无论是学界的观点,还是《解释》的规定,都体现出了这一态势。然而,每一个时代都有自己面临的新型犯罪,刑事立法和司法都应当具备基于理性思考的前瞻视野,才能在保证刑法安定性与适应社会发展变化之间取得良性平衡,不能一味求严求快。我国今后对侵犯公民个人信息犯罪规范体系完善时,应当从安全本位走向权利本位,在刑事立法和司法中,都要以具备实质权利内涵的法益保护目的为导向,完成刑法规范在大数据时代的优雅转身。
作者简介:敬力嘉,武汉大学法学院博士研究生,德国弗莱堡大学法学院博士研究生。
因篇幅原因,省略注释。
文章原载:《法学评论》2018年第2期。
本期责任编辑:梁银慧。
转载本文请注明原文作者和出处。
欢迎学界实务界同仁投稿“刑法界”,作品请发至xingfajie@163.com,本公众号将择优推送。
社科院法学所刑法室
倡导现实关怀 涵养人文底蕴
砥砺学问人生 助力刑事法治