|
【202317058】非法使用公民个人信息行为刑法规制之辩思
文/温健;张飞飞;张烽
摘要:
无论是附属他权的刑法保护阶段还是通过数据安全的刑法保护阶段抑或专门的刑法保护阶段,刑法对侵犯公民个人信息行为的规制均以公民个人信息的“转移”为规制中心。该种规制方式是一种“外围式立法”,对公民个人信息法益保护存在不周延之处。对此,建议以“使用”为中心规制侵犯公民个人信息的行为,在罪刑条款设置时将非法使用公民个人信息的行为列为刑法第253条之一的第1款,并加重法定刑,在相关司法解释中将“直接危害结果”设置为入罪标准之一,以进一步加大对侵犯公民个人信息犯罪的惩治力度。
期刊栏目:争鸣 关键词:转移 使用 法秩序 法益侵害
我国刑法对公民个人信息的保护大致可分为三个阶段,即附属他权的刑法保护阶段、通过数据安全的刑法保护阶段和专门的刑法立法保护阶段。[1]经过上述三个阶段的发展,刑法对侵犯公民个人信息行为的规制由分散走向统一。然而,司法实践中侵犯公民个人信息行为仍大量出现。从刑法规制的角度进行反思并提出完善路径,无疑对公民个人信息的保护具有重要意义。
一、侵犯公民个人信息行为刑法规制脉络缕析
(一)附属他权的刑法保护阶段
在电子信息化时代发展初期,社会中所有的信息电子化传播并没有形成巨大规模,信息的可控性程度较高。对于公民个人信息而言,无论是其商业价值还是对其主体的人身权利属性价值并未凸显,对公民个人信息的侵犯行为也未形成一种定型化、类型化的特征。个人信息与个人隐私、通讯自由之间并不存在明显的区分,对个人信息也未超越隐私权、通讯自由保护的范畴,侵害个人信息主要体现为未经个人许可而获取其信息的破坏信息私密性和专享性的信息转移行为,因此,刑法主要通过对个人隐私和通讯自由等传统权利的规制手段实现对个人信息的保护,即对公民个人信息的保护附属于他权,主要是隐私权和通讯自由权的保护。[2]
(二)数据安全的刑法保护阶段
网络虚拟空间的开放性和“星际多点式链接”使得公民个人信息的数据收集和交换变得更为迅捷,公民个人信息数据的可控性降低,信息主体和控制主体的分离更加剧了公民个人信息数据的失控性风险。因此,对公民个人信息的保护重点也由传统的对私密专享的信息保护转变为对数据安全的防范。对公民个人信息通过数据安全的保护比附属于他权的保护更适应社会现实需要,但数据安全保护存在诸多漏洞。比如,公民个人信息在长期的社会发展中已经具备了独立内涵和地位,公民个人信息安全不能等同于数据安全,二者各有偏重,存在范围交叉却又不能等同。因此,对公民个人信息进行更进一步的立法保护成为迫切需要。
(三)专门的刑法立法保护阶段
刑法修正案(七)第7条增设了出售、非法提供公民个人信息罪,非法获取公民个人信息罪,公民个人信息的概念和法益属性首次得到刑法的确认。刑法修正案(九)第17条对其作出进一步修改。
无论是附属他权的刑法保护阶段还是通过数据安全的刑法保护阶段抑或专门的刑法保护阶段,刑法对侵犯公民个人信息行为的规制均以公民个人信息的“转移”为规制中心。在附属他权的刑法保护阶段,诸如私自开拆、隐匿、毁弃邮件、电报罪,非法搜查罪,非法侵入住宅罪,侵犯通信自由罪等,针对的都是对公民个人信息的获取、毁弃和提供;在数据安全保护阶段,非法获取计算机信息系统数据、非法控制计算机信息系统罪主要针对公民个人信息数据的获取和控制;在专门刑法立法保护阶段,侵犯公民个人信息罪将“非法出售”“非法提供”“非法获取”的行为设定为犯罪,拒不履行信息网络安全管理义务罪是以防范用户信息泄露为目的。而获取、毁弃、提供、控制、出售、泄露本质上针对的都是公民个人信息的“转移”。各罪虽然针对公民个人信息的保护法网越来越密集,但均忽略了对信息主体的信息自决权之“使用”权能的保护。刑法设置侵犯公民个人信息罪,应突出对公民个人信息保护的主体属性,换言之,为了表明刑法设立侵犯公民个人信息罪并非仅仅保护作为客体的信息,更是为了保护作为信息主体的人,侵犯公民个人信息罪的保护法益必须聚焦于个人信息自决权。[3]
二、以“转移”为中心规制侵犯公民个人信息行为的不周延之处
刑法立法中存在这样一种现象,即在某些特定的领域内,作为核心的行为不受刑法处罚,但是与此有关的“外围”行为被广泛规定为犯罪,这种立法现象与立法技巧被称为“外围式立法”。[4]侵犯公民个人信息罪就体现了这种“外围式立法”,即“非法使用”行为没有被纳入犯罪圈调整,而与之有紧密联系的“非法获取”“出售”和“提供”等行为被规定为犯罪。[5]然而,非法使用公民个人信息的行为与处于外围的非法获取、出售和提供行为相比,其法益侵害性更大。因为无论是非法获取还是出售、提供公民个人信息的行为,其对公民个人信息权益的侵害只停留在形式表面,无非是公民个人信息在不同主体之间的物理流转和空间变换,对于形式表面背后的法益并未造成实质侵害。比如,公民个人的身份信息无论被获取、出售、提供多少次,如果没有被非法使用,则信息主体权益并不会受到实质侵害。公民个人信息的保护应该是全面的,侵犯公民个人信息罪只把公民个人信息的“转移”作为保护对象,忽略了对公民个人信息“使用”的保护。在强调“公民信息数据运用为王”的当下,个人信息的使用价值日益突出。个人信息使用也是个人信息转移的目标和落脚点,对个人信息使用价值的追逐成为当前个人信息非法转移行为高发的深层诱因。因此,如果不从根本意义上运用刑法规范个人信息的使用行为,单纯打击制裁个人信息的非法转移行为只能是治标之策。[6]
许多国家或地区在保护公民个人信息的相关立法中均以信息的使用为中心,将非法使用公民个人信息的行为作为独立的犯罪进行规定。例如,1998年美国出台的《身份盗窃和冒用阻止法案》规定,在没有授权的情况下,非法使用他人可识别的信息的行为,构成联邦犯罪,最高可处十五年监禁刑和25万美元罚金。这种做法值得借鉴和参考。
三、非法使用公民个人信息行为刑法规制的必要性
(一)非法使用公民个人信息行为具有严重的社会危害性
按照刑法谦抑性原则,将某一行为规定为犯罪首先是该行为具有严重的社会危害性。如前所述,非法使用公民个人信息的行为相比于出售、提供和非法获取的行为具有法益侵害的直接性。不仅如此,非法使用公民个人信息的行为还具有法益侵害的精准性特征。公民个人信息大致可分为自然形成的信息和根据社会管理需要编制而成的信息,前者如公民的个人生物识别信息、行踪轨迹等,后者如公民的身份证号、财产状况、车牌号码等。无论是自然形成的信息还是根据社会管理需要编制而成的信息,其典型特征和作用就是对信息主体的可识别性。这种与信息主体一一对应的信息如果被非法使用,很容易对现实的信息主体造成直接、精准的侵害。因此,非法使用公民个人信息的社会危害性就体现为公民合法权益侵害的直接性和精准性。
(二)现行刑法规定无法规制非法使用公民个人信息的行为
第一,对“合法获取、不当滥用”的行为,现行刑法规定无法适用。非法使用公民个人信息的前提是预先获取公民的个人信息,刑法第253条之一规定了非法获取公民个人信息入罪的情形,但并不能当然认为刑法的预设截断了非法使用公民个人信息的路径。因为,合法获取公民个人信息后也可能不当滥用公民个人信息。根据刑法第253条之一的规定,构成该罪的前提是违反国家有关规定。而国家有关规定中,关于信息转移的合法与否都强调了合意原则,即只要有公民个人的合法授权,转移公民个人信息的行为便不会“违反国家有关规定”。现实生活中大量存在通过设置强制性条款、隐蔽性条款或引诱性条款诱使用户同意个人信息转移的情形,这种多样式的“擦边球授权”往往成为行为人入罪抗辩的理由。而刑法对这种“合法获取、不当滥用”公民个人信息行为的束手无策,给个人信息被非法使用的公民维权也带来了困境:由于获取、出售、提供公民个人信息的隐蔽性,公民个人在现实生活中更容易发现个人信息被非法使用的情形,但因为现行刑法中并未将非法使用行为规定为犯罪,使得信息主体在向公安机关报案或提起自诉时,要么侦查机关不予受理,要么法院驳回起诉,从而陷入漫长的行政或民事维权程序。
第二,无法将非法使用公民个人信息的行为纳入其他罪名。非法使用公民个人信息行为在刑法中关涉其他犯罪有两种情况:一是使用公民个人信息的行为可能成为其他犯罪的手段行为,此种情况可以通过牵连犯或预备犯、吸收犯等刑法理论加以解决。但司法实践中,大量的使用公民个人信息的行为往往是为了辅助商业决策或商业性推销等非犯罪活动,此时对非法使用公民个人信息的行为缺少刑事制裁规范。二是综观刑法分则的规定,主要有四种罪名涉及非法使用公民个人信息的情形:(1)合同诈骗罪中以虚构的单位或冒用他人的名义签订合同进行合同诈骗的;(2)妨害信用卡管理罪中使用虚假的身份证明骗领信用卡的;(3)信用卡诈骗罪中使用以虚假的身份证明骗领信用卡来进行信用卡诈骗的;(4)使用虚假身份证件、盗用身份证件罪中盗用他人身份证、护照、社会保障卡、驾驶证等依法可以用于证明身份的证件的。这四种罪名要么分布在破坏社会主义市场经济秩序罪中,要么分布在妨害社会管理秩序罪中,其共同点是保护的法益是一种超越个人的法益,而侵犯公民个人信息的行为涉及公民自身的个人法益,由此造成了这样一种困境:当行为人的犯罪行为使用的是与危害结果无关的第三人信息时,第三人信息权益被侵害的结果却无法被犯罪结果所吸收。也正是因为此四种罪名所保护的对象并非信息主体本身,司法机关在该种犯罪中往往关注的是对犯罪结果的处理,而非对公民个人信息权益的侵犯。
(三)刑法规制非法使用公民个人信息的行为是实现法秩序统一的要求
刑法作为其他部门法的保障法,当某一行为达到需要刑法规制必要的社会危害性时,刑法对某一行为的“不法”认定应该与其他部门法保持一致,这是法秩序统一的必然要求,也是犯罪构成体系之违法性内涵的题中之义。
目前,已有多部法律对使用公民个人信息的行为作出规定。例如,个人信息保护法第10条规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。另外,一些部门规章和地方性法规也对公民个人信息的使用行为作出了相应规定。由此可见,非法使用公民个人信息的行为已经和获取、出售、提供等行为加以区分、并列,成为一种具有独立性评价意义的行为。因此,从法秩序统一的角度讲,刑法也应将非法使用公民个人信息的行为作为与获取、出售、提供等相并列的行为加以规定,以避免出现当非法使用公民个人信息的行为达到需要刑法规制的社会危害性时,前置性规范已经否定评价的情况下,刑事法保障供给不足的问题。
四、完善侵犯公民个人信息行为刑法规制之路径
侵犯公民个人信息行为刑法规制之完善,是在刑法第253条之一规定的基础上,将非法使用公民个人信息的行为纳入刑法规制范围,实现对侵犯公民个人信息行为的规制重心由“转移”到“使用”的过渡。由此,刑法对公民个人信息的保护既区分重点又顾及全面。
(一)合理设计非法使用公民个人信息的罪刑条款
第一,由于出售、提供、非法获取公民个人信息的行为与非法使用公民个人的信息的行为主体不同、地位不同、社会危害性不同,非法使用行为不应和其他几种行为合并在一款中。出售、提供公民个人信息的主体是有权获取该信息的主体,其非法性在于公开行为的非法,非法获取公民信息的主体是无权获取该信息的主体,其获取行为本身具有非法性,非法使用公民个人信息的主体既包括有权获取该信息的主体,也包括无权获取该信息的主体。因此,这些行为的主体存在区别。[7]在侵犯公民个人信息的行为中,非法使用公民个人信息的行为在整个犯罪产业链中居于核心地位,也具有相比于“转移型”行为更大的社会危害性。因此,在将非法使用公民个人信息行为入罪时,比较合适的做法是将非法使用公民个人信息的行为单列为一款,并放在刑法第253条之一的第1款。
第二,非法使用公民个人信息的行为应该具有法定犯的属性,必须符合违反国家有关规定的前提,具有与“转移型”侵害行为相一致的非法性前提。在信息社会,信息的合理利用是社会发展的必要条件,刑法必须在公民个人信息的保护与促进社会发展相悖的机能困境中寻求平衡点,不能把所有的利用公民个人信息的行为设置为犯罪,必须以违反有关法律、行政法规、规章等涉及公民个人信息管理方面的规定为前提。
第三,由非法使用公民个人信息行为在犯罪产业链中的核心地位以及其严重的社会危害性所决定,非法使用公民个人信息罪的法定刑设置应重于“转移型”的侵害行为。刑法第253条之一针对出售、提供、非法获取的行为设置的法定刑是“三年以下有期徒刑或者拘役,并处或者单处罚金”以及“三年以上七年以下有期徒刑,并处罚金”,由于非法使用公民个人信息行为法益侵害的直接性和精准性,上述两个法定刑区间显然不能体现非法使用公民个人信息行为的罪刑均衡。至于何种法定刑区间更为合理,需要更详细的论证。
(二)完善相关司法解释
在合理设计非法使用公民个人信息的罪刑条款之后,要进一步完善与该罪相关的司法解释。2017年最高法、最高检发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条列举了10种情节严重的情形作为侵犯公民信息罪的入罪标准,在入罪标准中采用了“信息类型+数量”的标准,并未将对信息主体造成的危害结果作为入罪的标准。笔者认为,此种做法与“转移型”侵害行为只是信息的流转并未对信息主体产生实际侵害有关,但是在非法使用公民个人信息的行为中,信息主体的法益侵害具有明显的直接性和精准性,因此,司法解释应采用两种标准作为侵犯公民个人信息罪的入罪标准:其一,采用“信息类型+数量”的标准,如使用住宿信息、通讯记录、健康生理信息等(多少)条以上的,视为情节严重。其二,采用“具体危害标准”,如使用他人信息办理信用卡对信息主体造成(多少)经济损失的,视为情节严重。当然,非法使用公民个人信息行为的入罪还会产生一些新的司法适用问题,如与其他犯罪的竞合问题,选择性罪名的适用问题等,对此,司法解释也需进一步加以明确。
[编辑:耿阁]
【注释】
温健,山东省邹平市人民检察院检察长;
张飞飞,浙江大学宁波理工学院传媒与法学院讲师,法学博士;
张烽,山东省邹平市人民检察院检察业务管理部主任。
[1][2] 参见李川:《个人信息犯罪的规制困境与对策完善——从大数据环境下滥用信息问题切入》,载《中国刑事法杂志》2019年第5期。
[3] 参见刘艳红:《民法编纂背景下侵犯公民个人信息罪的保护法益:信息自决权》,载《浙江工商大学学报》2019年第6期。
[4] 参见陈文昊:《侵犯公民个人信息罪中的“外围”立法与解释进路》,载《重庆邮电大学学报(社会科学版)》2018年第3期。
[5]
诚然,在某些犯罪中“外围式立法”具有一定的合理性,比如毒品类犯罪中没有将吸毒行为规定为犯罪,而将贩卖、运输毒品等行为规定为犯罪。参见刘仁文:《论非法使用公民个人信息行为的入罪》,载《法学论坛》2019年第6期。
[6] 参见李川:《个人信息犯罪的规制困境与对策完善——从大数据环境下滥用信息问题切入》,载《中国刑事法杂志》2019年第5期。
[7] 参见王肃之:《侵犯公民个人信息罪行为体系的完善》,载《河北法学》2017年第7期。
|