其他
周光权教授:关于侵犯公民个人信息的民刑边界
问题一:民法典、个人信息保护法对侵犯公民个人信息罪犯罪对象的认定有什么影响?
周光权:
刑法应该直接采用个人信息
保护法对个人信息的分类方案
1.具有可识别性。个人信息必须与自然人相关联,而且与特定自然人相关联,同时具有识别性,即通过该信息已识别或者可识别特定自然人。那种经过匿名化处理后无法识别特定个人且不能复原的信息,虽然也可能反映自然人的活动情况,但与特定的自然人无直接关联,不属于公民个人信息的范畴。
2.属于有效的信息。信息必须有效,这是定罪时不能忽略的硬性要求。对于信息没有进行匿名化处理,但行为人为获取高额经济利益,提供重复信息以增加信息数量的,或者信息经多次流转,行为人获得的信息重复量大的,或信息明显虚假、无效(例如,手机号仅有10个数字,仅有座机号)的,这些信息由于其不能对应到具体公民,不属于本罪的个人信息。
3.对某些信息突显与个人行动自由的关联性,弱化可识别性。例如公民的行踪轨迹等信息,由于与特定个人的行动自由、生命身体安全有紧密关联,根据两高2017年发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,侵犯该等信息的入罪标准非常低。对于这类信息,在与特定个人的行动自由、生命身体安全有紧密关联的意义上,具备广义的可识别性特征即可。
周光权教授指出,关于个人信息的外延,刑法上的认识确实和其他部门法之间存在细微差别,不同部门法的规范目的不同,在概念使用上有所不同,这是非常正常的现象。但是,这丝毫不意味着刑法上的判断可以抛开民法典、网络安全法乃至个人信息保护法“另搞一套”。此外,周光权教授还认为,未来应该考虑在刑法上抛弃对于个人信息种类进行细分的思路,直接采用个人信息保护法的方案将个人信息区分为敏感信息和一般信息两种。对于一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息进行严格保护,规定相对较低的定罪数量标准。对于除此之外的一般信息,规定相对较高的定罪数量标准,同时在行为人处理一般信息实施违法犯罪行为的对其数罪并罚,以防止轻纵犯罪人。
问题二:民法典、个人信息保护法为划定侵犯公民个人信息罪的入罪边界起到了何种作用?
周光权:
法秩序统一原理下民法典、
个人信息保护法为个人信
息犯罪划定了最大边界
但是,周光权教授也旗帜鲜明地反对那种“前置法定性、刑事法定量”的主张,其认为前置法无法为犯罪认定提供“质”的根据。在处理刑民交叉案件时,应当重点考察前置法和刑法的规范目的是否一致:如果二者的规范目标不一致,前置法的违法性判断对于刑法判断不具有制约性,刑法的判断具有相对独立性;如果二者的规范目标一致,前置法上违法的行为,在刑法上也具有违法性,但这不是刑法从属于前置法的结果,而是刑法和民商法、行政法等在法秩序统一性的统摄之下,两种违法性判断所得出的结论相同而已,前置法上的违法性判断不能替代刑法上的判断。周光权教授将前置法与刑法生动地比喻为“烟”与“火”,烟雾之下未必真有火,只是起到提示司法人员的作用而已。
具体到侵犯公民个人信息罪当中,由于本罪的成立以违反国家有关规定为前提,那么,民法典、网络安全法以及个人信息保护法等前置法关于个人信息外延的规定对于定罪就会产生影响,这是法秩序统一性原理的内在要求。对于本罪的成立而言,民法典、网络安全法乃至个人信息保护法对于个人信息外延的框定,为定罪提供支撑,同时成为刑法保护个人信息的最大边界。当然,由于刑法的构成要件设计上存在缩小处罚范围的政策考虑,也由于刑法主要在与公民人身、财产权利相关联的意义上把握个人信息,因此,前置法上的违法行为中只有极小部分最终被作为本罪处理,刑法上必须做相对独立的违法性判断。
问题三:民法典、个人信息保护法如何助力刑法完善侵犯公民个人信息罪的出罪机制?
周光权:
不改变信息公开的目的或者
用途可以阻却侵犯公民个人
信息罪的成立
此时需要特别关注前置法的相关规定。如民法典第一千零三十六条强调,如果行为系对已公开的个人信息进行不合理处理的,仍然应当承担侵权责任。换言之,民法典允许对已公开的个人信息进行合理的处理,法律只是对于那些“不合理地处理”已公开的个人信息的行为持反对态度。民法典的这一态度在个人信息保护法中也得到了贯彻。在此基础上,周光权教授具体阐述了可以定罪与不宜定罪的情形:
1.处理已公开的个人信息可以定罪的情形:第一,明显违背已公开个人信息的公开目的的。第二,明显改变已公开个人信息的用途的。第三,利用已公开个人信息实施可能危及公民人身或财产安全的违法犯罪行为的。例如,互联网公司工作人员将其在工作中获取的个人已公开信息出售给体检机构,以便于后者拓展客源的;再比如,通过公开征信系统获得他人手机号之后对个人进行追踪定位的,使他人的生命、身体陷入危险。周光权教授进一步认为,即便否认这些个人信息属于个人隐私,或系依法注册登记而被公开,也不能阻却违法性。
2.处理已公开的个人信息应当出罪的情形:第一,针对已公开的个人信息仅实施单纯获取或爬取、持有等行为的。由于行为人还没有将该信息予以批量出售、提供,很难判断他人后来对于该信息的使用目的是否与个人公开其信息时相同,也无法确定信息的用途是否被改变,难以得出行为人侵害被害人法益处分自由的唯一结论。第二,获取、提供他人已公开的个人信息的目的是帮助行为人拓展业务的情形。如企业注册登记或者将其信息在征信系统中收录,其目的是为了企业自身发展。行为人处理企业公开信息中包含的个人信息,如果与该企业的经营发展目的相一致的,应当认定该处理信息行为具有合理性。第三,获取、提供他人已公开的个人信息的目的是为企业发展提供贷款等金融支撑的情形。企业的发展需要使用支付、结算器械,向企业推销此类产品不违背企业设立的目的。
推荐阅读