🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
查看原文
其他

李怀胜:侵犯公民个人信息罪的刑法调适思路——以《公民个人信息保护法》为背景

李怀胜 中国政法大学学报 2023-01-13

点击上方“中国政法大学学报”关注我们

转载时烦请注明“转自中国政法大学学报公众号”字样


【作者】李怀胜,中国政法大学刑事司法学院副教授、网络法研究中心研究员。

【来源】《中国政法大学学报》2022年第1期【热点聚焦】个人信息保护专题。因篇幅限制,原文有删节,引用请参见原文。


【摘要】我国对公民个人信息的法律体系,遵循了一条“刑先民后”的保护路径,而随着《个人信息保护法》的生效实施,关于公民个人信息保护的基础性法律体系已完整建立起来。在此背景下,应当遵循法秩序统一原理,对侵犯公民个人信息罪进行规制调适,恢复民法、行政法、刑法的应然规范位置。刑法司法解释对公民个人信息的概念逾越了民法确立的识别性标准,因此刑法的公民个人信息概念应向主流标准回归。同时应着力构建面向公民个人信息的全生命周期的刑法保护体系。


【关键词】公民个人信息 法秩序 信息滥用 司法解释


2021年8月20日,十三届全国人大常委会第三十次会议表决通过了《个人信息保护法》,该法已于2021年11月1日起正式施行。《个人信息保护法》作为我国首部保护个人信息的综合性的法律规范,立足本国实践经验,兼采域外先进经验,妥善处理个人信息权益的民事保护与个人信息处理的行政监管两大核心内容,走出了一条具有中国特色的立法道路,是我国个人信息保护领域当之无愧的基干法。至此,从《网络安全法》到《电子商务法》,再到《数据安全法》,以及结合《民法典》关于公民个人信息的保护规定,贯穿刑法、民法和行政法的公民个人信息法律体系已基本搭建完毕。尽管在法律位阶上,《个人信息保护法》尚不及刑法,但由于《个人信息保护法》上承《民法典》的规定,下对其他部门法有着实际的影响力,刑法和刑事司法解释关于公民个人信息保护的罪刑条款,必然存在与《个人信息保护法》协调的问题。

一、侵犯公民个人信息罪的立法历程与司法智慧



随着社会信息化进程的加快,个人信息的价值受到充分重视和关注,与此相应,个人信息的不法流转、泄露、收集、买卖等行为呈现井喷态势,对公民个人信息进行法律保护是非常必要的。但在我国立法上,率先开启公民个人信息立法进程的,反而不是构成公民个人信息法律保护基础框架的民事法律部门,而是一向以保守、谦抑为价值底色的刑事法律部门。
(一)“刑先民后”的公民个人信息保护的立法历程

形法体系中专门对公民个人信息进行保护的最早的法律,是2009年2月28日出台,并于当日生效的《刑法修正案(七)》。《刑法修正案(七)》第七条规定,在刑法第二百五十三条后增加一条,作为第二百五十三条之一:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”2009年两高《关于执行〈中华人民共和国刑法〉确定罪名的补充规定(四)》将本条分解为“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个罪名。可以看出,尽管此时刑法先行对公民个人信息予以保护,但是在具体方式上还是有所保留的,即主要规制特殊主体出售或者非法提供公民个人信息的行为,以及采取非法手段获取公民个人信息的行为。而对于其他主体出售或者提供公民个人信息的行为,则不予处罚。
尽管《刑法修正案(七)》增设公民个人信息犯罪相关罪名具有开创意义,但是在汹涌而来的犯罪浪潮面前,单纯依靠刑法无法适应治理犯罪的现实需求。为此,2012年12月28日,全国人大常委会出台了《关于加强网络信息保护的决定》,这意味着立法者开始在全局意义上关注公民个人信息保护问题。2015年《刑法修正案(九)》对刑法第253条之一做了修改,将特殊主体犯罪变为一般主体犯罪,相应地,两个罪名统一调整为侵犯公民个人信息罪。法网扩张,打击半径和覆盖面日益增大,体现了立法对于现实犯罪态势的深切感知。
在《刑法修正案(九)》出台两年后,有关公民个人信息保护的民事、行政法律规范才开始逐步补齐。2017年6月1日施行的《网络安全法》,2017年7月1日施行的《民法总则》,2021年1月1日施行的《民法典》,2021年9月1日施行的《数据安全法》以及2021年11月1日施行的《个人信息保护法》,共同构成了公民个人信息保护的法律体系,而此时距离《刑法修正案(七)》出台已经过去了十二年之久。刑法确立侵犯公民个人信息犯罪,虽然不是应对犯罪的权宜之计,但是在公民个人信息的基础法律规范尚未完全建立之前,确实也是立法的“便宜”之举,在个人信息保护的立法实践上,我国事实上走了一条“刑先民后”的探索道路。
对新生法益采取“刑先民后”还是“民先刑后”的立法保护进路,并没有绝对的优劣之分。“民先刑后”符合一般的立法保护思路,先由民事法律确认新生法益的权益内容、法益边界、利益归属与保护边界,然后自上而下,由刑法发挥最后法与保障法的功能,将具有严重法益侵害性的行为纳入刑法保护边界,实现刑事层面对民事法益的支撑与维护作用,这符合通常理解的逻辑序位,但是它只适合对新生法益保护不迫切,不需要立法快速作出反应的场合,因此允许充分的立法调研与经验累积。如果新生法益的保护具有极大迫切性,而法益内涵又具有快速变动性或者模糊性,基础性法律体系难以在短时间内建构完成,则由刑法先行确立罪名条款,通过对具有严重危害性行为的“点”的打击,来实现对侵害法益行为的“面”的威慑,也不失为一条可以接受的立法路径。

(二)侵犯公民个人信息罪的先天不足与司法智慧

尽管对侵害公民个人信息行为先行由刑事立法予以打击的努力和效果都是显著的,但说到底这还是立法者的不得已而为之,体现了立法的实用主义倾向。刑法从现象层面思索侵犯公民个人信息罪的设置,缺乏规范层面的宏观思考,缺乏公民个人信息保护的底层逻辑支持,因此,随着时间的推移,不免暴露出各种问题,当前刑法理论围绕侵犯公民个人信息罪的诸多争论,均与此有关。
1.争执不下的犯罪法益:源自民法知识供给的先天不足
对侵犯公民个人信息罪的法益内涵的探讨,是刑法学界的热门课题之一。目前刑法理论提出了不下十种具体观点,按照学者设定的本罪的法益类型,大致可以分为私法益观、公法益观和复合法益观三种观点。私法益观认为公民个人信息具有私法上的权益(权利)属性,侵犯公民个人信息罪保护的是个人信息的私法权益,这从本罪所处的刑法分则第四章的体系性位置也可以看出,不应当将本罪理解为对公共利益或者社会秩序的侵害。私法益观按照具体观点还可以分为:人格权说,该说认为本罪的法益是公民人格尊严与个人自由;隐私权说,认为本罪保护公民的网络隐私;个人信息安全,认为本罪保护个人信息关联的人身、财产安全;信息自决权,认为本罪保护的不是等同于民事权利的个人信息权,而是其中最重要的权利即个人信息自决权;以及流通知情权等。而公法益观认为公民个人信息不是私法概念,公民个人信息是现代信息社会的产物,具有天然的技术导向,民法无法确认个人信息的权利主体,而只能从分享与控制的维度确立公民个人信息的利益分配。公法益观按照具体观点有信息专有权,信息安全的社会信赖,信息公共安全说,以及社会管理秩序说等不同观点。此外,复合法益观认为公民个人信息兼有私法的权利属性与公法的属性,因此不能用单一维度来评价侵犯公民个人信息罪的法益类型。
刑法理论界的上述纷争,根源还在于民法学界未能就公民个人信息的权利属性形成一致的、权威性的意见。民法学界对公民个人信息的权利属性,先后有财产权说、隐私权说、具体人格权说、个人信息权说等不同主张,而上述争论迄今也没有形成权威性的主张,自然无法给刑法学界明确的知识指导。
2.来自刑事司法解释的若干智慧与经验启迪
若干理论观点的分歧,并不影响司法解释对公民个人信息保护模式的探索,其中不乏亮点和智慧。2017年两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息司法解释》)明确了公民个人信息的概念、范围以及具体的定罪量刑标准。例如,《个人信息司法解释》第3条规定,“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第253条之一规定的提供公民个人信息,但是经过处理无法识别特定个人且不能复原的除外”,体现了信息匿名化处理的原则,为数字经济时代数据的合法流转和利用释放了法律空间。信息匿名化处理原则也得到了《网络安全法》第42条第1款、《个人信息保护法》第4条的确认。
再比如,公民个人信息的类型多样,包括个人姓名、家庭住址、社会关系、健康生理信息、财产信息等不同种类,其中有些信息一旦泄露可能会诱发后续的电信诈骗犯罪、绑架罪、敲诈勒索等犯罪。《数据安全法》第21条规定了数据分类分级保护制度,《个人信息保护法》第28条规定了敏感个人信息。而《个人信息司法解释》已根据不同的信息类型设定了差异化的入罪量刑标准。依据《个人信息司法解释》第5条的规定,非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:“……(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的……”差异化的量刑标准虽然是为了强化特殊信息的保护,与其社会危害性相适应,但也同时体现了数据分级分类保护的思想。

二、侵犯公民个人信息罪调适的必要性分析


如前所述,客观上,中国对公民个人信息的保护走上了一条刑先民后的道路,在缺乏民事法律规范的情况下,运用刑事手段制裁侵犯公民个人信息的行为,缓解了该领域的规则饥渴,立法价值值得肯定。刑法的若干思路,亦和现在的《个人信息保护法》相呼应。但是在《民法典》和《个人信息保护法》出台之后,侵犯公民个人信息罪就存在是否主动向公民个人信息保护的基本法律规范回归的问题。如果要调适,首先要面临的一个问题是,为什么要调适?其次才是如何调适。《民法典》来临之后,刑法学界普遍认识到刑法规范应与民法规范相衔接。一方面,民法作为“万法之母”的地位也基本获得刑法学界的认可。另一方面,近些年来立法机关特别强调不同法律规范之间的联动效应,注重不同法律部门之间的呼应性,也给讨论刑法与其他部门法的衔接创造了条件。例如《刑法修正案(十一)》增设的危险作业罪与2021年修改通过的《安全生产法》的联动,《刑法修正案(十一)》增设的高空抛物罪与《民法典》第1254条的联动,《刑法修正案(十一)》增设的非法采集人类遗传资源、走私人类遗传资源材料罪等与《生物安全法》的联动,等等。但是,在具体某个法律规范上,刑法是否要实现与前置法的协调与统一,刑法规范是否要接受前置法的约束,刑法学者在此问题上总会有一些不同看法。根据论证的需要,有的学者会说,不同法的规范目的不同,在概念上和处罚尺度上有差别是正常的,但换另外一个罪名,学者同样会说,刑法应当与其他部门法保持统一。那么,就侵犯公民个人信息罪而言,要不要和《个人信息保护法》寻求某种协调呢?答案显然是肯定的。
(一)刑法不创造新的秩序,只是确认现有的秩序
众所周知,刑法具有谦抑性、最后法、保障法的品质,刑法强调尊重差异与协同共治的有机统一。刑法的谦抑性“是指刑法应依据一定的规则控制处罚范围与处罚程度,即凡是适用其他法律足以抑制某种违法行为、足以保护合法权益时,就不要将其规定为犯罪;凡是适用较轻的制裁方法足以抑制某种犯罪行为、足以保护合法权益时,就不要规定较重的制裁方法”。刑法提倡谦抑性,源自刑罚这种社会制裁手段的严厉性,源自犯罪在社会观念和伦理上固有的严重社会危害性,只有在其他社会制裁手段如道德、民法等无法调控某种社会行为时,才能考虑动用刑罚手段,而且必须是针对具有严重法益侵害性的行为。如果某种行为不具有严重的危害性,即使其他社会规制手段无法抑制,也不能动用刑法手段。刑法谦抑性原则的提出,目的是尽量降低社会治理活动中刑法手段的使用,但是也隐含了这样的一层含义:“刑法并不创造新的法秩序,而只是确认现有的法秩序”。意大利刑法学者就认为刑法没有特定的调整对象,刑法规范调整的范围,涉及几乎所有其他法律调整的范围。刑法和民法、行政法等其他部门法具有根本性的区别,尽管它们在总体目标的价值追求上是一致的,但是各自规范的路径是不同的。民法、行政法是对现有社会生活秩序的确认,同时也借助规范的引导功能去主动构建、塑造其理想的秩序类型和规则范式。而刑法则是对民法、行政法确立的法秩序的再次确认,刑法秩序的外延没有超出民法、行政法秩序的范畴,刑法规范的内涵需要民法、行政法的填充、补充、制约和保障。例如对刑法财产犯罪的理解和适用,包括对具体概念术语的解释,必然要以民法的财产法律关系为基础,因为财产犯罪的设置本来就是为了保障人民的基本的财产法律秩序,刑法的目的不是要创造新的刑法财产秩序,而只是对民法财产关系的确认和强化保护。
《个人信息保护法》是主干法律,构建了个人信息保护的基本法秩序,刑法应当努力趋近《个人信息保护法》。从刑先民后到刑民并重,再到民紧刑松,刑法的历史使命阶段性完成。在个人信息保护上,我国走上了一条刑先民后的道路。因此,以后需要采取“刑民并进”“刑民并重”的方式,最好是采取“民先刑后”“民紧刑松”的方式,形成法律合力,全面保护公民个人信息。
如何实现“民紧刑松”,或许《个人信息保护法》能给我们一些启示。协调数字经济活动、数据开放与共享和公民个人信息保护之间的关系是《公民个人信息保护法》的一个立法导向。依据《个人信息保护法》第1条的规定,为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。过去的民事、行政、刑事防范体系离散,导致对个人信息整体法益的保护因缺乏部门法联动而疲软乏力。如果单纯依靠对个别类型化行为的刑罚惩戒与威慑来代替民行刑一体化防范体系构建,不仅有违刑法谦抑性和最后手段性的基本属性,无法为个人信息保护建立体系化风险防范机制提供精准指引,而且动辄入刑的治理方式必将抑制数字经济的创新发展活力,无益于数字经济助力打造国际国内双循环的经济发展新格局。因此,就刑事安全风险防范而言,也需要民事、行政法律提供灵活全面的前置法支撑,在刑民衔接、刑行衔接的法秩序统一原则和刑民共治、行刑共治的一体化防范理念下打造民行刑协同的保护体系。

(二)法秩序统一原理作为立法与解释原则,原则上应予遵守

法秩序统一原理是刑法立法和解释的一个重要原则,在没有例外情况下,应当获得遵守。法秩序的统一性是指由宪法、刑法、民法等多个法领域构成的法秩序之间互不矛盾,个别的法领域之间不应作出相互矛盾、冲突的解释。随着民法典的通过实施,法秩序统一原理成为刑法学界的高频词汇,并被刑法学者自觉用于理解和建构刑法规范。那么,为什么要遵循法秩序统一原理,它有什么样的优势和特色?法秩序统一原理,既是一项立法原则,也是一项司法原则和解释原则。作为立法原则,要求立法者在订立法律时应当注重不同法律部门之间术语和规范内容的协调,例如刑法中的假药概念就要和《药品管理法》中的假药概念一致,而不能建立所谓“刑法中的假药概念”与“行政法中的假药概念”。作为司法原则,司法人员在具体判决时要注意审查其他法律部门对同一事实的认定,刑法判决的结果不能违背民事的基本法理。作为解释原则,在解释刑法时,要注意站在全局的视角解释法律,保持不同法律规范之间的协调。刑法的体系解释方法不仅要求不同刑法条文之间的体系统一,也要求不同法律部门之间的体系统一。而最高等级的法秩序统一,则是解释结论的合宪性,即刑法与宪法的规范统一。
法秩序统一原理的必要性,可以从以下几个方面理解。第一,在法律目的上,不同法律部门的追求是一致的。“良善是最高的法律”,正义是法律的永恒追求,“充分保护公民权利是法治的根本目标”,法治就是将人民共同的道德情感、社会的一般操守予以法律化,保障人民的基本自由与权利,不同法律部门尽管在规制范围、规制手段上存在差异,但是在法律的共同价值追寻上,是高度一致的,这是能够实现法秩序统一的前提条件和价值基础。第二,在适用成本上,法秩序统一原理能够最大程度降低不同法律部门的内耗,提升解释的效力。在适用法律的过程中,坚持术语、概念的统一性,能够降低不同法律部门的知识沟通成本,防止语境转换下的规则误判,减少不必要的名词创制。第三,在适用效果上,法秩序统一原理能够将法律责任的效能最大化,避免不同法律责任的冲撞。民法以损害赔偿、恢复原状为主要责任实现方式,接受无过错责任,刑法以刑罚为主要实现方式,坚持过错责任原则。民法和刑法实现不同法律责任的衔接,构建多层次的法律责任体系。只有坚持法秩序统一原理,不同法律部门之间的自由分配才可能有恰当比例。“应当以刑民一体化为基础,形成不同法律部门、整体法律秩序的一致诉求,从而使得立法机关通过规范的法律文本,可以合理分配个人自由和社会安全间的利益。”
近年来的刑事立法,已经在和民法以及其他部门法趋近化,即使还有差异,那么在实质规范层面也是一致的。比较典型的例子是侵犯著作权罪。1997年《刑法》第217条的侵犯著作权罪只规定了四类侵犯著作权的行为,包括复制发行、出版、制作、出售假冒美术作品等。该规定是为呼应1990年出台的《著作权法》第10条。当时规定的著作权类型也仅有发表权、署名权、修改权、保护作品完整权等几种有限的权能。但是,2001年,我国对《著作权法》进行了一次大的修改,将著作权的具体权能扩展到十六项之多,这就造成刑法的侵犯著作权罪的保护范围大大滞后于《著作权法》的保护范围。随着信息化时代的到来,网络侵犯著作权的行为大行其道,成为主流的侵犯著作权类型。为了缓解刑法的打击压力,2004年两高《关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释》第11条规定,“通过信息网络向公众传播他人文字作品、音乐、电影、电视、录像作品、计算机软件及其他作品的行为,应当视为刑法第二百一十七条规定的‘复制发行’”。也就是说,依照2001年修改后的《著作权法》,信息网络传播权是独立于“复制发行”的一项权能,而按照前述司法解释,信息网络传播权则是复制发行权的一项内容,尽管该规定有违反罪刑法定之嫌,但确实在一定程度上弥合了刑法与著作权法之间的规制差距。而2021年《刑法修正案(十一)》对侵犯著作权罪进行了修改,增设了侵犯与著作权有关的权利也可以构成本罪的规定,并且单列了信息网络传播权,可以视为时隔20年后,刑法侵犯著作权罪向《著作权法》的回归。类似的还有《刑法》第196条的信用卡诈骗罪。“信用卡”在银行领域有特定功能和专有含义。银行领域严格区分储蓄卡(借记卡)和信用卡(贷记卡),前者没有透支功能而后者有透支功能。如果信用卡诈骗罪严格按照商事领域对信用卡的理解,则就将储蓄卡诈骗的行为排除在犯罪之外,显然这是不合理的。因此,2004年全国人大常委会《关于中华人民共和国刑法有关信用卡规定的解释》作出规定,“刑法规定的信用卡,是指由商业银行或者其他金融机构发行的具有消费支付、信用贷款、转账结算、存取现金等全部或者部分功能的电子支付卡。”因此,即使刑法领域的信用卡的概念和民事领域的信用卡的范畴不太一致,在实质处罚范围上依然符合民法的前置规范。
当然,在法秩序统一原理的理解和适用上,应当注意两点。一是不同法律部门之间的“统一”序位是不一样的。应当按照不同的法律层级,确立作为统一基点的核心法律,“法秩序统一”不是平面耦合节奏,而是辐辏结构。宪法自然在其中占据最主导地位,所有其他部门必须遵从宪法的基本原则、基本制度与基本价值追求。而刑法作为其他部门法的保障法,虽然与民法、行政法都属于基本法律部门,但是基于刑法的保障法特色,刑法也需主动迎合民法、行政法的规定,因为刑法的违法性根据和来源,多数情况下是民法和行政法。不能在民法和行政法上是合法的行为,在刑法上是犯罪,但是反过来在刑法上不是犯罪的行为,在民法和行政法上却可以是违法的行为。第二,自然犯和法定犯,对于体系协调的要求不同。以侵犯公民个人信息罪为例,从体系解释的角度出发,尽管在其构成要件的表述中配备了“违反国家有关规定”这一要素,由于其本质上对伦理道德秩序的违反,该罪仍属于自然犯。但不可否认的是,该罪体现了“自然犯的法定化”,联系其作为新型权利的个人信息权这一保护法益,这其实反映了新型权利“自觉性、法定性和成型性”的统一,正是在数字经济发展过程中催生并自觉保护公民的个人信息安全,进而由《民法典》《个人信息保护法》等相关法律确立其法定地位,最终作为一项稳定且统一的利益在民行刑等不同法律子系统的过滤定型下成为法益。因此,对于个人信息安全刑事风险的防范就不可能忽略作为前置法的《民法典》《个人信息保护法》等民事规范。

三、侵犯公民个人信息罪的具体调适策略


刑法的侵犯公民个人信息罪应当在两个层面向民法靠拢,一是在刑事司法层面,对公民个人信息的概念重新进行限缩性解释,二是在刑事立法层面,扩充侵犯公民个人信息罪的适用范围。通过司法的“退一步”与立法的“进一步”,对侵犯公民个人信息罪的适用范围进行重新调适。
(一)司法上的调适思路:公民个人信息概念的限缩
公民个人信息的概念是侵犯公民个人信息罪的逻辑起点,直接决定了本罪的规制范围,它同时也是公民个人信息法律保护的基石。众所周知,关于公民个人信息的界定标准,先后存在识别性标准和关联性标准。公民个人信息的识别性(identifiable)标准包括公民个人信息的“可识别”与“已识别”,其理论源头可以追溯到沃伦(Samuel D. Warren)和布兰代斯(Louis D. Brandeis)两位学者在1890年发表的著名论文《隐私权》。在该文中,两人指出,事物的排他性所有权需要经过识别(identification)才能确认。20世纪60年代,瑞布豪森(Oscar M. Ruebhausen)与布林(Orville G. Jr. Brim)基于隐私权保护的立场,提出在学术研究中,应当对被研究者的个人信息进行匿名化处理,以防止相关研究数据被识别为个人信息。此后经过1980年世界经济合作发展组织的《隐私保护和个人数据跨境流通指南》以及1995年欧共体保护指令等一系列保护法律政策文件的确认,个人信息的识别性标准在世界范围内流行起来。与之相对的是个人信息的关联性(linkable)标准,它由美国加州消费者隐私法案提出,这个标准很好地抓住了个人信息辨识个人的方式与实质,同时有助于缓解抽象界定带来法律适用不确定性的困境,但也未能充分强调个人信息高度依赖于场景并只能在具体场景中加以判断的特征,因而存在路径性局限,没有被广泛采用。《刑法》第253条之一没有明确规定公民个人信息的概念,而是由《个人信息司法解释》第1条予以规定。在该司法解释之前,先后有两个比较重要的法律文件也规定了公民个人信息的概念。一是2012年全国人大常委会《关于加强网络信息保护的决定》(以下简称《决定》)。《决定》第1条指出,公民个人信息是“能够识别公民个人身份和涉及公民个人隐私的电子信息”。《决定》对公民个人信息概念的界定缺陷是显而易见的。它将公民个人信息限定为电子信息,固然注意到了个人信息在网络环境中保护的明显困境,却也忽略了传统社会的公民个人信息保护,是巨大的法律漏洞。在个人信息的内涵方面,《决定》采取了“识别性+隐私性”的双标准模式,显示出当时的立法者并没有清晰认识到公民个人信息与隐私权在法律性质和规范结构上的本质差别,没有脱离隐私权的框架保护公民个人信息。对公民个人信息概念界定的这种立法思路也被运用到2013年两高和公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》。而直到2017年6月1日,与《个人信息司法解释》几乎同时生效的《网络安全法》第76条采用了纯粹的公民个人信息的识别性标准,标志着立法者基本摆脱隐私权框架对公民个人信息概念的束缚,并与欧盟《一般数据保护条例》等国际主流的立法趋势接轨,也意味着我国对公民个人信息的保护开始走上独立的、直接的保护路径,而与隐私权的间接保护模式分道扬镳。《民法典》和《个人信息保护法》也继承了《网络安全法》的立法思路。依据《个人信息保护法》第4条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。根据上述法律背景来审查刑法视野下的公民个人信息的概念的话,就会发现刑法中的公民个人信息概念与民法中的概念的错位。根据《个人信息司法解释》第1条,“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”按照该定义,刑法的公民个人信息的概念大于公民个人信息保护法,实质上将非公民个人信息的数据也放入了侵犯公民个人信息罪的框架中,个人信息=个人身份信息+可能影响人身、财产安全的个人信息。刑法司法解释作出如此界定的原因是多方面的。民法学界无法为刑法提供权威性的知识供给。刑法在没有其他参照物的情况下,只能摸着石头过河了。为了应对基于数据的后续犯罪行为,刑法选择扩大公民个人信息的范围,将之纳入公民个人信息犯罪的框架中。另外一个重要的原因是,我国刑法缺乏独立的数据犯罪体系,侵犯公民个人信息罪承担了部分数据犯罪的功能。欧盟的《一般数据保护条例》没有区分数据(data)与信息(information)的概念,在个人信息保护立法中,欧盟及其成员国大多以“数据”来表述其立法保护对象,因此个人数据与个人信息的内涵是等同的,而我国通过《数据安全法》和《个人保护信息法》,建立了数据与信息的二元保护体制。但是在刑法上,并没有独立的、完备的数据犯罪保护体系,关于数据的刑法保护规范散落在破坏计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪等不同罪名中。为了应对大量的非系统性数据的保护,刑法选择扩充公民个人信息的范围,将非可识别性的数据也作为公民个人信息的一部分。这种极度扩张个人信息范围的做法甚至也影响到《民法典》。《民法典》第1034条第2款虽然对公民个人信息的定义坚持绝对的识别性标准,但是又列举了“电子邮箱”作为公民个人信息的一个类型,这就受到《个人信息司法解释》将“账号密码”作为公民个人信息的一种类型的影响。但是,无论是电子邮箱还是账号密码,都不是个人身份的派生物,与个人信息并没有必然的联系。对电子邮箱以及账号密码的侵犯,主要是看中其内含的经济价值,对于该账号和邮箱属于谁,犯罪嫌疑人并不关心。刑法将之作为公民个人信息予以保护,完全是假途灭虢之举,是借侵犯公民个人信息罪来实现对一般性的网络数据的保护。假如在《民法典》与《个人信息保护法》出台之前,刑法这么做尚有合理之处的话,在公民个人信息的基础法律关系已经建构完成的背景下,刑法就应当恢复到其本来的历史面目中。由于公民个人信息的概念是由司法解释来规定的,笔者建议在适当的时候对《个人信息司法解释》进行修改,以完成公民个人信息概念的限缩性解释。
(二)立法上的调适思路:个人信息滥用行为的入罪化

成熟的个人信息法律保护体系建构完成的标志之一是,建立对个人信息的全生命周期的法律保护。我国对个人信息的全生命周期保护,是由《个人信息保护法》和《数据安全法》共同完成的。根据《GB/T37988-2019信息安全技术 数据安全能力成熟度模型》国家标准,数据的生命周期分为采集、传输、存储、处理、交换和销毁六个阶段。《网络安全法》第42条明确了网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。实际上以一种消极的方式确认了个人数据的上述使用场景。《民法典》第1035条规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等,延续了此前《民法总则》的规定。2021年3月11日,十三届全国人大四次会议表决通过的《关于国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确了六种数据应用场景,分别为数据采集、标注、存储、传输、管理、应用等全生命周期产业体系。《数据安全法》第3条明确的数据处理行为,包括数据的收集、存储、使用、加工、传输、提供、公开等。实践中,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。以此来比照侵犯公民个人信息罪的话,侵犯公民个人信息罪本质上仍然是预备性质的犯罪,它打击公民个人信息的不法流转,即非法出售、非法提供、非法获取行为。单纯的不法流转没有直接的危害性,其危害性的直接体现是下游的信息滥用行为。非法滥用公民个人信息的危害是多方面的,它对个人权益、社会秩序乃至国家安全有多重复合型危害,即同一危害样态中包括多重危害类型。例如,利用公民个人信息实施电信网络诈骗等所谓的精准诈骗行为,互联网平台利用公民个人信息进行个性化推送、数据画像、自动化决策等侵犯公民个人隐私的行为,进行价格歧视等损害消费者知情权利的行为,以及运用深度伪造技术合成虚假的他人音频、视频的行为,等等。过度的数据画像侵蚀了人们对各自私人生活事务和生活空间的相关信息以及活动的自主权利。所谓的个性化推送其实是对个人行为的有益引导和塑造,是数据预测个人的行为。侵犯公民个人信息罪处罚信息的不法流转,根本原因还在于将公民个人信息按照隐私权加以保护的思路。但是在司法实践中,法院又为了满足打击信息的非法滥用的行为,而强行将信息的非法滥用行为解释为侵犯公民个人信息。以张富、余杭飞、史良浩等侵犯公民个人信息案为例,检察机关指控:2018年7月份开始,被告人张富、余杭飞等人以牟利为目的,利用已非法获取的公民个人信息,通过使用软件将相关公民头像照片制作成公民3D头像,从而通过支付宝人脸识别认证,并使用上述公民个人信息注册支付宝账户。张富、余杭飞等人通过这种方式来获取支付宝提供的邀请注册新支付宝用户而得到的相应红包奖励,法院认为张富等人构成侵犯公民个人信息罪。但是在本案中,法院不但在结论上是错误的,在论证思路上也难以自圆其说,张富所获取的公民个人信息是张富自行从网络上的公开渠道获取的,不属于侵犯公民个人信息罪的“非法获取”。本案的危害性不在于公民个人信息的流转,而在于公民个人信息的后续滥用,但由于我国刑法缺乏关于公民个人信息滥用的法律规范,司法者不得不借助侵犯公民个人信息罪这个上游犯罪去解决公民个人信息的下游犯罪。事实上,由于非法滥用个人信息型罪刑规范的缺乏,司法实践产生了一系列困惑,例如,公开渠道合法获得他人信息,进而有偿提供给他人用作商业经营和推广,是否构成犯罪?有的学者认为,个人信息处理是否合理,取决于引发的影响是否被用户所接受,是否符合用户的合理预期,将个人信息转卖给他人,信息利用的情境发生了变化,即使不需要用户的二次同意,该信息的利用方式仍然侵犯了用户的信息自决权。也有学者反对这种观点,继而引发关于“知情同意”原则在犯罪成立中的地位等一系列问题。根本原因在于,原本只是规制非法流转型的侵犯公民个人信息罪,司法者却期冀其发挥更大的功能。

END


中国政法大学学报

长按二维码关注我们



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存