|
【202310020】侵犯公民个人信息罪中个人信息的界定与法益侵害分析
文/刘宪权;郑颖
作者单位:华东政法大学
专题分类:个人信息保护
摘要:
侵犯公民个人信息罪中个人信息的内涵应当与个人信息保护法中个人信息的内涵保持一致。刑法及其司法解释对个人信息的界定存在一定偏差,应予以调整。刑法对个人信息的分类应参考个人信息保护法中的二分法,在具体规定中采取“概括+列举”的方式对个人信息予以规定。侵犯公民个人信息罪所侵害的法益不是公共信息安全,而是与公民人格权、财产权紧密关联的个人信息自决权。将个人信息自决权认定为侵犯公民个人信息罪的侵害法益符合该罪的立法目的。
期刊栏目:大数据时代个人信息保护研究专题 关键词:大数据 侵犯公民个人信息罪 个人信息 个人信息保护法
随着互联网的普及应用,信息产生、存储与交换技术飞速发展,极大地促进了公民个人信息的生成、传播与使用,但与此同时,侵犯公民个人信息类刑事案件的发案率也随之攀升。相较于传统的侵犯公民个人信息行为,大数据时代侵犯公民个人信息行为更具隐蔽性、高效性,利用互联网科技手段实施的侵犯公民个人信息行为的社会危害性更大。2009年2月,刑法修正案(七)增设了侵犯公民个人信息罪,刑法修正案(九)对该罪名予以修正,逐步强化对侵犯公民个人信息行为的刑法规制。2017年5月,最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),进一步明确了刑法对公民个人信息的保护范围以及相关罪名的定罪量刑标准。应当注意的是,一段时间里,行政法领域对于公民个人信息的保护滞后于刑法,直到2021年,个人信息保护法颁布施行才弥补了行政法领域规制侵害个人信息行为法律依据的缺漏。需要指出的是,由于我国在保护个人信息的立法过程中存在行政立法滞后于刑事立法的现象,个人信息保护法对于个人信息的规定又更为具体、细致,从而导致司法实务在认定侵犯公民个人信息罪这一法定犯时存有一定争议。如何正确处理《解释》与个人信息保护法的关系?如何正确理解侵犯公民个人信息罪中规定的个人信息?如何确定侵犯公民个人信息罪所侵害的法益?这些问题均有待进一步明晰,以确保刑法规制侵犯公民个人信息行为的正义性、体系性与合目的性。
一、侵犯公民个人信息罪中个人信息的界定
(一)个人信息的内涵廓清
刑法对于个人信息的规定经历了从无到有、法律内涵不断丰富的过程。侵犯公民个人信息罪的保护内涵不断扩大,但该罪中个人信息的概念和法益在法律与司法解释中始终处于一种模糊状态。[1]应当看到,廓清个人信息的内涵是进一步明确侵犯公民个人信息罪所侵害法益的前提,若对个人信息的内涵认定仍存争议,将会影响司法实践对该罪名的适用。笔者认为,应当以现有前置法、刑法及其司法解释作为判断基础,以体系化视角明确侵犯公民个人信息罪中个人信息的内涵。
如前文所述,《解释》与个人信息保护法对个人信息的内涵均进行了规定,但二者存在一定区别。《解释》第1条对个人信息的规定是:“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”个人信息保护法第4条对个人信息的内涵界定为:“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”比较而言,《解释》与个人信息保护法对于个人信息的定义主要存在两方面不同:一方面,两者所描述的核心特征不同。《解释》所规定的个人信息的核心是能够单独或者与其他信息结合进行识别,而个人信息保护法所规定的个人信息的核心特征在于可识别性。另一方面,两者所识别的对象也存在差异。《解释》的识别对象是自然人身份或自然人活动情况等信息,而个人信息保护法的识别对象仅是自然人。
对于《解释》规定与个人信息保护法中的个人信息如何进行衔接与适用,存在扩张说、限缩说、一致说三种观点。扩张说认为,刑法及其司法解释的保护范围应当比前置法的保护范围更广泛,即刑法及其司法解释应当对个人信息的定义进行扩张,将个人信息的各个方面都包含在刑法保护范围内。[2]限缩说提出,刑法及其司法解释中规定的个人信息范围应当比其他前置性法律更小,以体现刑法的谦抑性。该论者主张,在认定个人信息时,应当结合信息主体的意愿及社会评价来判断个人信息的合理范围。[3]一致说则认为,刑法及其司法解释对个人信息的定义应与其他部门法保持一致。立法者应将《解释》中的个人信息定义比照个人信息保护法进行修正。[4]不难看出,前述扩张说将刑法保护的个人信息的范围无限放大,甚至超过了其前置法所保护的范围,是对刑法谦抑性原则的破坏;而限制说混淆了个人隐私与个人信息的关系,不利于侵犯公民个人信息罪的准确认定。[5]
笔者认为,一致说的观点存在合理之处。依据一致说观点,立法者应当对《解释》中个人信息的定义进行适当调整,以使刑法中个人信息的内涵与个人信息保护法中个人信息的内涵保持一致。[6]赞同一致说的主要理由有以下两点:
首先,从法律体系层面分析,刑法具有最后手段性,在法律体系中属于保障法。但是,刑法在对侵犯公民个人信息行为的法律规制中则处于先行者的地位。毫无疑问,此种立法方式有违刑法的最后手段性与谦抑性。在前置法暂未对侵犯公民个人信息行为进行具体、细致地规制时,刑法率先介入,可能导致该罪名的粗放适用,进而影响刑事认定的合理性。在此情况下,更应将侵犯公民个人信息罪的打击范围限定在严重违反前置法律规范的部分行为范围。同时,应当看到,大数据时代侵犯公民个人信息行为具有较高的社会危害性,刑法也不应过度限制侵犯公民个人信息罪的规制范围。对此,可以明确刑法中个人信息与个人信息保护法中个人信息内涵应当保持一致,以体现刑法的最后手段性,最大程度实现刑法对法益的保护功能。
其次,从立法目的层面分析,尽管刑法与个人信息保护法的规定侧重点不同,但两者规定个人信息的基础特征是相同的。刑法及其司法解释中有关侵犯公民个人信息罪规定的侧重点在于合理规制侵犯公民个人信息的犯罪行为,以更好保护公民个人信息。而个人信息保护法的立法侧重点则在于构建个人信息保护体系,明确如何在前置法层面设立个人信息以及主体的权利义务。[7]申言之,即便二者立法侧重点不同,法条表述存在一定差异,但其规定的个人信息的特征都是具有可识别性,亦即通过此个人信息可进一步识别信息主体的其他信息。这一基础特征决定了二者规定的个人信息的内涵可以是相同的。
综上所述,刑法及其司法解释中对个人信息的定义应当与个人信息保护法中对个人信息的定义保持一致。侵犯公民个人信息罪中的个人信息也应当以个人信息保护法为参照,将其限定为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”。
(二)个人信息的刑法分类
需要指出的是,大数据时代背景下产生的信息往往涉及社会生活的方方面面,侵犯不同性质个人信息的行为必然呈现不同程度的社会危害性。因此,有必要在立法过程中对刑法中的个人信息予以分级,以区分规定侵犯不同性质个人信息的犯罪行为的定罪量刑标准。经梳理可知,《解释》与个人信息保护法采用了不同的分类方式。根据《解释》第5条,其采用的是三分法,即将个人信息区分为三档。第一档为敏感个人信息,包括行踪轨迹信息、通信内容、征信信息、财产信息;第二档为重要信息,包括住宿信息、通信记录、健康生理信息、交易信息等;第三档则是一般个人信息。[8]而根据个人信息保护法第28条,其采用的是二分法,即将个人信息区分为敏感个人信息与一般个人信息。其中,立法者对敏感个人信息采取了“概括+列举”的定义方式,对一般个人信息采取了概括的定义方式。笔者认为,应当以个人信息保护法采用的二分法分类方式对侵犯公民个人信息罪中的个人信息进行分级,主要理由如下:
一方面,《解释》所采用的三分法分类标准不具有科学性。依据《解释》规定,第一档信息仅限于行踪轨迹信息、通信内容、征信信息、财产信息4种信息。前述4种信息涉及公民人身与财产安全,一旦被非法获取、利用将给权利人带来较大安全风险。而《解释》规定的第二档信息包括交易信息、健康生理信息、通信记录、住宿信息4类,其同样也与公民人身、财产安全直接相关,对第二档信息的侵犯同样会给权利人带来较大的安全风险,其社会危害性与侵犯第一档信息行为的社会危害性相比难分高低,但是立法者却将两种信息作了区分规定,并设置了不同的定罪量刑标准。
另一方面,个人信息保护法所采用的二分法具有理论上的合理性。个人信息保护法将个人信息区分为敏感个人信息与一般个人信息,体现了对个人信息保护的周延性。个人信息保护法第28条第1款以个人信息是否涉及人格尊严、人身财产安全,同时以信息主体的年龄作为信息敏感程度的判断标准,这一规定既回应了立法者长期以来注重对公民人身、财产安全的保护需求,也体现了对不满14周岁未成年人群体的特殊保护。个人信息保护法还对一般个人信息进行了规定,从而形成保护敏感个人信息与一般个人信息的二分路径,其对个人信息的分类标准更具有理论上的合理性。为实现刑法与前置法的有效衔接,《解释》对侵犯公民个人信息罪中个人信息的分类应予以调整,并采取与个人信息保护法相同的二分法作为标准。
二、侵犯公民个人信息罪所侵害法益的分析
个人信息不仅与信息主体的人身、人格、财产等个人法益息息相关,而且与国家数据安全、社会管理秩序等公共法益密不可分。自刑法增设侵犯公民个人信息罪以来,学界对于该罪所侵害的法益存在一定认识分歧,主要围绕个人法益说与超个人法益说展开。
(一)个人法益说之检视
个人法益说包括人格权说、隐私说、个人信息权说及个人信息自决权说,均侧重于保护个人权利,主要观点如下:
第一,人格权说认为,个人信息是一种可识别的符号系统,其与特定个人相关联并且能反映个体特征。个人身份、工作、家庭、财产等信息都包括在内,个人信息更多地涉及人格,因此只要承认个人信息权是一种民事权利,那么个人信息权应为一种人格权。[9]第二,隐私权说涉及一元论和二元论之争。一元论的公民个人隐私权说认为,侵犯公民个人信息罪所侵害的法益是个人权利中的名誉隐私权,此处的个人信息仅涉及隐私权益部分的信息,即能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。[10]二元论的公民个人隐私权说内部亦存在分歧:有的学者认为,该罪侵犯的法益既包括公民个人隐私不受侵犯的权利,也包括公民对自己个人信息的控制权;[11]也有学者提出,该罪所侵害的法益是自由、安全和隐私权。[12]第三,个人信息权说主张,该罪所侵犯的法益不仅包括个人隐私不受侵犯的权利,也包括限制他人非法收集、转让和出售他人信息的权利。[13]个人信息权说还衍生出二重属性论和三重属性论。其中,二重属性论包括了人格权和财产权。三重属性论则认为个人信息权包含人身、经济和社会内容。[14]第四,个人信息自决权说认为,该罪所侵犯的法益应当是个人信息自决权这一新型法益,即个人对于其信息具有选择和决定权,或者说基于主体自我意志的排他权。[15]
在大数据时代,由于个人信息的内涵和外延都有所发展变化,前述理论学说的适用背景也发生了较大变化,对上述观点应当进行重新检视。首先,人格权说将侵犯公民个人信息罪所侵犯的法益限制为人格权,但人格权在司法实践中具有不确定性,不利于司法人员准确定罪量刑。其次,隐私权说将个人信息与个人隐私混同,个人信息虽与个人隐私有交叉关系,但两者侧重点不同。个人隐私的侧重点在于私密性,而个人信息则是以可识别性为主要侧重点。例如,已公开的个人信息也能成为侵犯公民个人信息罪的犯罪对象,但已公开的个人信息并非隐私信息。由此可以看出,隐私权说的规制范围过小。再次,个人信息权说将个人信息权当作一种独立于一般性人格尊严或人身自由的新兴权利,但实际上个人信息权是集财产权利、人身权利等多权利于一体的复合性权利。个人信息权说与人格权说一样,将导致侵犯公民个人信息罪犯罪对象的不确定,无法满足罪刑法定原则的明确性要求。
综上,笔者认同个人信息自决权说。个人信息保护法明确规定,信息主体对其信息享有知情、决定、保密、查阅、复制等权利,并以信息主体的知情同意作为判断信息处理行为正当与否的关键条件。可以看出,个人信息保护法保护个人信息的主要目的是对信息主体的自我决定权进行确认与维护,这与侵犯公民个人信息罪所侵害的法益仍属于个人法益并不矛盾。个人信息自决权说具有理论上的合理性。
(二)超个人法益说之反思
超个人法益是指因个体存在于社会而特有的、维持个体社会生存秩序的法益,如经济秩序、货币安全等。其保护的是个人的社会生存空间,关注人与人之间的协调共存。[16]超个人法益说中具体包括了公共信息安全说、社会管理秩序说及秩序法益说。持公共信息安全说的学者认为,侵犯公民个人信息罪所侵害的法益仅为公共信息安全。[17]持社会管理秩序说的学者主张该罪侵害的法益是社会信息管理秩序。[18]持秩序法益说的学者则认为,针对个人信息所实施的犯罪行为是在整体上对个人信息管理秩序的侵害,而不是对个人人身、财产等某项具体法益的侵犯。[19]
笔者认为,公共信息安全说存在一定片面性,因为公共信息是指与不特定或多数人相关的信息,但侵犯公民个人信息罪的犯罪对象并未被限定为与不特定或多数人相关的信息,行为人也可只针对少数人或者特定人实施该罪。从刑法体系来看,侵犯公民个人信息罪被立法者设置在刑法分则第四章侵犯公民人身、民主权利罪之中,而非刑法分则第二章危害公共安全罪之中。这一体系安排亦能证明侵犯公民个人信息罪所保护的法益主要是公民个人法益。而社会管理秩序说与秩序法益说均未注意到前述问题,对该罪构成要件的判断仍应以是否侵犯公民个人权益为主要标准。
(三)侵犯公民个人信息罪所侵害法益之证成
基于前述,侵犯公民个人信息罪所侵害的法益是个人信息自决权,其内容包含了公民个人信息的自由、安全和隐私权,在大数据时代也概莫能外。
首先,从法秩序统一的视角来看,在对个人信息的法律保护中,个人信息保护法与刑法保护的主要利益均是个人信息自决权。个人信息保护法作为前置法,是行政法领域保护个人信息的重要法律依据,应当以相关行为是否触犯个人信息保护法作为判断侵犯公民个人信息罪是否成立的前提。在个人信息保护法中,有关“个人同意”的规定多达二十余处,由此可见,在认定侵犯公民个人信息行为的非法性时,关键要看相关行为是否获得了个人的知情同意。换言之,未征得本人同意是行为人非法处理个人信息的违法性依据。
其次,从刑法规定来看,侵犯公民个人信息罪所侵害的法益也应当是个人信息自决权。刑法第253条之一明确列举了该罪的三种具体行为方式,即非法出售、非法提供以及非法获取个人信息。其中非法出售个人信息是指行为人基于获取经济利益的主观目的,在未经权利人同意的情况下擅自出售他人个人信息的行为;非法提供个人信息是指行为人在未征得允准的情况下私自提供他人个人信息的行为;非法获取个人信息是指行为人以不正当方式窃取他人个人信息的行为。以上三种行为均未征得权利人的知情同意,由此可以看出,权利人是否知情同意是判断相关行为是否具有违法性的关键。个人信息保护法和侵犯公民个人信息罪均围绕个人知情同意规则构建,侵犯公民个人信息罪所侵害的法益无疑是个人信息自决权。
再次,从侵犯公民个人信息罪所侵害法益的自身性质分析,个人信息自决权更契合侵犯公民个人信息罪的立法目的。侵犯公民个人信息罪所侵害的法益可能与其他涉个人信息类犯罪所侵害的法益重合。若将侵犯公民个人信息罪侵害的法益限定为单一化的财产权、人格权或公共安全等,则该罪丧失了单独设立的必要,刑法完全可以通过规制财产犯罪、人身犯罪等相关罪名对侵犯公民个人信息的行为进行评价。举例而言,非法获取信息数据的行为可能侵犯个人权利、市场经济秩序、国家安全等多项法益,可能同时符合侵犯公民个人信息罪、非法获取计算机信息系统数据罪、侵犯商业秘密罪、非法获取国家秘密罪、盗窃罪的构成要件,可以这些罪名予以规制。[20]此外,在大数据时代,个人信息保护法认定“个人知情同意”的范围也在扩张,如果不结合侵犯公民个人信息罪的立法目的对个人信息自决权加以限缩,侵犯公民个人信息罪的适用范围可能会无限扩大。该罪的立法目的是保障公民的人格权或财产权不受侵犯,个人信息自决权也应出于保护公民人格权或财产权的根本目的而赋予权利主体自主决定如何处理个人信息的权利。在明确个人信息自决权为侵犯公民个人信息罪侵犯法益的基础上,应当进一步将其限定为与公民个人人格、财产权紧密关联的权利,以实现刑事认定的合理性。
[编辑:姜梦]
【注释】
*华东政法大学功勋教授、“经天学者”讲席教授、博士生导师;
**作者单位:华东政法大学。
[1]参见于冲:《侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界》,载《政治与法律》2017年第10期。
[2]参见罗灿:《如何认定出售公民个人信息罪的情节严重》,载《人民司法》2011年第2期。
[3]参见王昭武、肖凯:《侵犯公民个人信息犯罪认定中的若干问题》,载《法学》2009年第12期。
[4]参见刘宪权、王哲:《侵犯公民个人信息罪刑法适用的调整与重构》,载《安徽大学学报(哲学社会科学版)》2022年第1期。
[5]参见汪东升著:《个人信息的刑法保护》,法律出版社2019年版,第32~35页。
[6]参见刘宪权、王哲:《侵犯公民个人信息罪刑法适用的调整与重构》,载《安徽大学学报(哲学社会科学版)》2022年第1期。
[7]参见刘宪权、何阳阳:《〈个人信息保护法〉视角下侵犯公民个人信息罪要件的调整》,载《华南师范大学学报(社会科学版)》2022年第1期。
[8]《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条规定:“……(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的……”
[9]参见王利明:《论个人信息权的法律保护》,载《现代法学》2013年第4期。
[10]参见张明楷著:《刑法学》(第五版),法律出版社2016年版,第921页。
[11]参见刘艳红主编:《刑法学》(第二版),北京大学出版社2016年版,第254页。
[12]参见陈兴良主编:《刑法学》(第三版),复旦大学出版社2016年版,第256页。
[13]参见黎宏著:《刑法学各论》(第二版),法律出版社2016年版,第269页。
[14]参见于冲:《侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界》,载《政治与法律》2018年第4期。
[15]参见曾粤兴、高正旭:《侵犯公民个人信息罪之法益研究》,载《刑法论丛》2018年第3期。
[16]参见贾健:《人类图像与刑法中的超个人法益——以自由主义和社群主义为视角》,载《法制与社会发展》2015年第6期。
[17]参见张阳:《论网络空间中个人信息的刑法保护》,载《中州学刊》2018年第8期。
[18]参见凌萍萍、焦治:《侵犯公民个人信息罪的刑法法益重析》,载《苏州大学学报(哲学社会科学版)》2017年第6期。
[19]参见张楚:《集体法益视野下获取公民个人信息行为的入罪限度研究》,载《刑法论丛》2021年第1期。
[20]参见张勇:《数据安全法益的参照系与刑法保护模式》,载《河南社会科学》2021年第5期。
|