【202210010】非法获取公民个人信息的规范阐释
文/杨军;杜宇
作者单位:复旦大学国际关系与公共事务学院复旦大学法学院
专题分类:个人信息保护
摘要:
刑法第二百五十三条之一规定的窃取或者以其他非法方法获取公民个人信息存在规范阐释的必要。获取公民个人信息具有个人信息权益位移的规范效果。为了保护公民个人信息权益,需要对造成负价值的行为予以刑事处罚。鉴于个人信息保护中“前置法+保障法”的立法体例,可以形式违法性和实质违法性的统合判断、前置法违法性和刑事违法性的统合判断为路径,判断非法获取公民个人信息的非法类型。检讨发现,非法获取公民个人信息包括非法直接获取公民个人信息和非法间接获取公民个人信息,前者主要指各类非法收集个人信息行为,后者则主要指收集行为和手段行为之一非法的行为。当然,有违法阻却事由的除外。刑法上非法获取公民个人信息至少应具备对被害人个人信息处理意志的违反。
期刊栏目:本期策划——公民个人信息的刑事保护
根据刑法第二百五十三条之一第三款规定,窃取或者以其他方法非法获取公民个人信息的,以侵犯公民个人信息罪定罪处罚。该款规定由2009年刑法修正案(七)所增设,其背景是,公民个人信息被非法泄露的情况时有发生,对公民的人身、财产安全和个人隐私构成严重威胁。从司法实践来看,自该款规定增设以来,相关案例不断增加,公民个人信息权利因之得到越来越好的保护。然而,由于立法者基于立法语言必要的概括性和模糊性采取了“窃取或以其他方法非法获取公民个人信息”这一列举与兜底并存的罪状设计,非法获取公民个人信息依然存在明确程度不够的问题。否则,该条款要么会因为解释的恣意而沦为口袋条款,导致刑法打击范围的过度扩大;要么会因为司法实践无所适从而沦为虚置条款,导致无法实现其保护法益的功能。与此同时,随着2021年11月1日个人信息保护法正式施行,更新后的法秩序中,应当如何依据个人信息保护法的指引更好地理解非法获取公民个人信息,依然值得检讨。基于此,本文将以获取公民个人信息的规范构造为起点,从规范上阐释非法获取公民个人信息的非法类型。
一、获取公民个人信息的法规范构造
自人类具备信息识别能力起,姓名、性别、样貌等个人信息便已是人类社会的重要内容。对此,传统社会的规范体系在人格权或隐私权的层面对其进行保护。但总体而言,这一阶段个人信息并没有因其负载的权益而被视为重要的保护对象,直到数字时代到来,尤其是随着互联网技术的快速发展以及网络交往的极速增长,个人信息的载体形式、传播方式、使用效率发生质的飞跃,原本不被重视的个人信息成为极具价值乃至于数字社会中最为重要的资源和生产要素。[1]而一旦成为资源和生产要素,因资源稀缺性而产生的对个人信息疯狂且无序的争抢便纷至沓来,对公民个人信息的保护自然而然地成为数字时代社会有序发展的题中之意。就此而言,对公民个人信息的法律保护源自于个人信息在当前时代背景下重要性的变化。亦即,个人信息逐渐发展成为与公民个人权利相关的客观存在,是需要从法律上对公民个人信息予以保护的原因。在此意义上,有必要通过检讨个人信息在当前时代背景下的规范属性来厘清获取公民个人信息的规范构造。
按照个人信息保护法的规定,个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。总体上看,关于个人信息的规范属性,学界存在两种主要的立场:一是个人信息权益客体说,认为个人信息负载着人类主体的多种规范权利,在当下已经被视为一种基本权利的客体。这是个人信息与其他一般信息的主要差别。尽管学界对个人信息所承载的是个人信息权利还是个人信息权益存在一定争议,[2]但随着个人信息保护法第一条正式采用个人信息权益的概念,已经不用再对权益载体还是权利载体作特别的区分。学者们基于此种立场提出,个人信息不仅承载着公民的人格权、隐私权,还承载着各类财产权益;不仅承载着个人信息的本权权益,还承载着本权权益的保护权;不仅承载着个人对个人信息权益的自决权,还承载着基于个人信息而产生的社会交往利益。[3]二是公共交流对象和媒介说,认为个人信息不仅是存在于私人领域的个人权益载体,还是存在于公共流通领域的公共物品。例如,作为言论自由表达对象的个人信息。[4]学者们认为,这种观点构成了个人信息可以在公共领域得到合理流通和利用的原因,并且进一步构成了个人信息保护需要平衡个人利益和社会利益的理据。[5]
比较而言,上述两种学说都切入到了个人信息在现代社会中的规范本质,具有一定合理性。但是,如果将规范本质的讨论聚焦于法规范的视野,则可以发现,交流对象和媒介的规范属性并非个人信息在法规范上的属性,最多只是一般社会规范中的属性。原因在于,以刑法为代表的法律体系乃是以权益保障为目标的体系,对特定概念规范属性的理解应当从与权利相关的角度入手。而事实上,即便是作为交流对象,个人信息之所以值得交流,也是因为其权利客体的规范属性。而对作为交往对象的保护,以及对社会交往的保护,在根本上依然是对公民个人权益的保护。就此而言,应当将权益客体视为个人信息根本上的规范属性。
以此为逻辑起点,获取公民个人信息在规范上的本质乃是一种公民个人信息权益的位移。个人信息是个人信息权益的载体,获取本人以外其他公民个人信息自然会对他人的信息权益产生规范意义上的影响,即个人信息权益的位移。例如,基于分析个人消费信息而产生的财产利益,在个人信息发生转移之后,其财产性权益也会同步发生位移。当然,个人信息具有可复制性,一个主体的个人信息可以复制成若干份。而个人信息权益总量却相对确定,不具有可复制性,两者之间并不存在恒定的等量关系(例如,一份个人信息等于一份个人权益)。但这并不意味着个人信息的获取不足以影响个人权益的位移。原因在于,虽然两者之间不存在恒定的等量关系,但一份个人信息的使用却足以影响到该主体全部的个人信息权益。
值得一提的是,位移本身是与价值无涉的,位移是正价值的还是负价值的,需要具体情况具体分析。不过,丰富的经验事实表明,在数字技术快速发展、信息资源争抢激烈的今天,不少个人信息权益的位移在法律上都是负价值的。例如,个人信息的窃取和买卖,直接侵害了公民对其个人信息的控制权和决定权。基于此,为了保护公民的合法权益和维护社会交往的正常开展,立法者建构出保护公民个人信息的规则体系,将前述可能产生负价值的个人信息权益位移行为确定为非法获取公民个人信息。这便是非法获取公民个人信息的渊源所在。
二、非法获取公民个人信息的判断路径
非法获取公民个人信息负价值的规范效果构成了非法获取公民个人信息入罪的正当化根据,也是判断个人信息处理行为是否构成非法获取公民个人信息的起点。不过,这并不足以为非法获取公民个人信息提供全面的判断指引,还有必要在前述讨论下,从以下两个方面确定判断路径:
(一)统合形式违法与实质违法的判断
成文法语境中,法律相对于社会生活只不过是一种形式而必然具有形式的特征,[6]一旦行为缺失了实质上的违法性,对其加以惩罚便必然会导致刑罚权的过度发动。就此而言,刑事违法性应当是形式违法与实质违法的结合,二者不可偏废其一。由于形式判断有更加具体的参照,基于判断的经济性和便捷性考虑,在实践中进行判断时可以优先进行形式违法性的判断,再进行实质违法判断。
所谓形式违法性判断,是对行为是否符合违法的形式要件的判断。此处的判断主要是个人信息获取行为是否违反实定法规定的判断。刑法第二百五十三条之一第三款明确规定,窃取行为是非法获取公民个人信息行为的非法类型之一。此外,立法者还出台了多部规制信息获取行为的法律法规,个人信息保护法是其中的专门法律。根据个人信息保护法第三条规定,在中华人民共和国境内处理自然人个人信息或在境外处理境内自然人信息的3种情形,均适用个人信息保护法。根据其第四条第二款,个人信息的处理包括收集、存储、使用、加工、传输、提供、公开、删除等。与刑法第二百五十三条之一相比,个人信息保护法虽然没有使用“获取”一词,但毫无疑问,收集信息是获取公民个人信息最直接、根本的手段,个人信息保护法第十条所说的买卖也是获取个人信息的手段之一。就此而言,可以根据个人信息保护法判断非法获取公民个人信息的非法类型。
所谓实质违法性判断,是对行为是否具备实质违法性特征的判断,主要是对行为是否侵犯法律利益的判断。如罗克辛所说,一种法益的侵害或者危害,只有在它与规范共同生活的法律制度的目的相冲突时,才是实质违法的。[7]就此而言,需要从行为是否构成法益侵害的角度判断是否构成非法获取公民个人信息。总体而言,非法获取公民个人信息侵害的法益包括两种:一是个人信息法益的自决权。[8]根据一般法理,个人权益的转移,无论是转移至对象明确的第三方,还是公共领域,都应当以公民的处分为前提,或者有明确的法律依据支撑。亦即,除了法律明确赋予个人信息权益转移权限的情况,其他情形的个人信息法益位移都应当以个人自决为前提。二是个人信息法益的本权法益。非法获取公民个人信息行为不仅侵害个人信息自决权,同时还可能侵犯个人信息的本权法益,即人格权、财产权等。原因在于,非法获取个人信息行为本身往往并不足以构成行为人的终极目的,其终极目的往往是获取行为之后对个人信息的加工、使用、传播等,而这些行为毫无疑问影响着公民个人信息所承载的人格权、财产权甚至生命权益。从法益侵害形式上看,非法获取公民个人信息的实质违法性可能表现为造成法益损伤实害和造成法益损伤危险两种。
(二)基于相对独立说统合前置法违法性与刑事违法性的判断
现行法秩序对公民个人信息的保护采取了典型的“前置法+保障法”的立法体例。判断是否构成这种立法体例下的犯罪,应当依据相对独立说进行违法性判断。亦即,首先进行前置法上的判断,如果不具备前置法上的违法性,则可以不再进行刑事违法性的判断。对于具备前置法上违法性的行为,则依据刑事违法性标准进行判断,尤其是,根据刑法的谦抑性和体系协调性进行判断。对于以前置法进行规制即可的行为,不再单独评价为刑事违法行为。
基于个人信息保护的法律体系在立法体例上的特殊性,判断刑法上非法获取公民个人信息行为的法益侵害时,存在应当依据前置法的标准还是独立的刑事违法性标准的问题。在这一问题上,学界存在违法性从属性说、[9]违法性独立说、[10]相对独立说的观点。[11]比较之下,相对独立说的观点更加合理。原因有二:其一,刑法是民法、个人信息保护法等前置法的保障法,在违法性判断上不可能完全独立于其前置法。例如,非法获取公民个人信息行为的判断不可能忽视其在前置法上的判断。尤其是,在个人信息保护法已经正式实施的背景下,判断获取公民个人信息的行为是否合法,不能不参照该法律的相关规定。其二,刑事法治体系具有与所有前置法均不相同的严厉性,并非所有违反前置法的行为都需要以刑法的方式予以规制,只有违反前置法且具备刑事制裁必要性的行为才需要被纳入刑法规制之中。尤其是,受罪刑均衡等原则影响,特定行为的刑事违法性应当与刑法体系保持协调。例如,以其他方法非法获取公民个人信息在其刑事违法性程度上应当与窃取行为保持协调性。
就此而言,可以按照相对独立说的路径,从两个方面讨论确定非法获取公民个人信息行为的非法类型。一方面,根据前置法判断一般意义上的非法获取公民个人信息行为的非法类型。刑事法以外的所有法律都可以被称作为此处的前置法。其中,主要的前置法是个人信息保护法。另一方面,对于违反前置法的行为进行刑事违法性的判断,根据刑法的具体规定、刑法解释规则等,判断行为人获取个人信息的行为是否构成刑法上的侵犯公民个人信息罪。
三、非法获取公民个人信息的类型
根据上述路径,可以首先从个人信息保护法出发讨论非法获取公民个人信息的非法类型。由于刑法第二百五十三条之一已经明确规定了窃取公民个人信息这一行为类型,所以下面将主要讨论窃取以外的以其他方法非法获取公民个人信息的非法类型。
所有获取个人信息的方法中,收集是最根本的方法,因此,可以首先讨论非法收集个人信息的非法类型。在此问题上,可以根据个人信息保护法原则和规则两个方面的规定确定个人信息收集的非法类型。一方面,从原则规定出发,非法类型包括:第一,违反合法、正当、必要和诚信原则的误导、欺诈、胁迫等(第五条);第二,违反合目的性原则的过度收集(第六条);第三,违反公开透明原则的收集(第七条);第四,违反质量保证原则的收集(第八条);第五,违反安全保障原则的收集(第九条);第六,违反不得非法处理原则的非法收集、使用、加工、传输、买卖、提供或公开、危害国家安全、公共利益等个人信息收集(第十条)。另一方面,从收集个人信息的一般规则出发,非法类型主要指未取得个人同意且没有其他法律依据的个人信息收集。根据个人信息保护法第十三条,个人信息处理者处理个人信息的合法性前提有两大类型:一是取得个人的同意,即情形(一);二是无需取得个人同意但具备其他合法性,即情形(二)至(七)。同时,根据该条规定,上述情形下个人信息处理者方可处理个人信息。其中的“方可”一词,从文义上说明,除了前述两大类型下的7种情形,其他处理个人信息的行为都属于个人信息保护法上不可进行的行为,即非法行为。
从内容上看,违反原则和违反一般规则的非法类型可以相互补充。而从收集信息的行为顺序来看,征得他人同意或获取法律依据位于收集行为的前端,因此,可以将非法收集公民个人信息的非法类型概括为未征得同意且无法律依据的收集行为,误导、欺诈、胁迫收集信息及过度收集信息、不公开收集信息、瑕疵收集信息、无保障收集信息、非法购买信息。
在经验事实中,除了以收集的方式直接获取个人信息,还存在很多其他间接的信息获取方式。但是,这些其他信息获取方式也必然以个人信息的收集为前提,因此,可以将其他信息获取方式拆解为“收集行为+手段行为”的结构。对于这类获取行为的非法性,需要分别讨论。其一,收集行为和手段行为均属合法的,应当认定为合法行为。例如,治安民警从户籍民警处获取其收集的个人信息以查找失踪人口。其二,收集行为和手段行为均属非法的,应当认定为非法行为。例如,诈骗集团从某软件服务器提供商处购买其通过手机软件窃取的个人信息以实施诈骗。其三,收集行为合法但手段行为非法的,应当认定为非法行为。例如,房产中介从户籍民警处购买其收集的个人信息以实施推销。其四,收集行为非法但手段行为合法的,则需要分步认定。首先,基于这一过程在源头上对个人信息权益的侵犯,应当认定其非法性。其次,应当具体判断手段行为是否存在违法阻却事由。如果手段行为属于法令行为、紧急避险等具有违法阻却事由的行为,则应当阻却其违法性。例如,法院没收非法收集的个人信息的行为,警方利用非法收集的个人信息查找失踪儿童等。概言之,以间接方式获取公民个人信息的行为类型,除了收集行为和手段行为均属合法的类型以及存在违法阻却事由的情形,只要二者之一非法,获取行为整体均应被认定为非法。原因在于,无论是收集行为还是手段行为,只要其中一个非法,便意味着个人信息权益的位移是非法的,可能构成个人信息权益的现实侵害或侵害风险。
根据相对独立说的原理,还需要基于刑事违法性标准对上述行为作进一步判断。根据刑法第二百五十三条之一的规定,其他非法获取公民个人信息行为是与窃取并列的罪状表述。根据刑法解释的一般原理,对于其他罪状的解释,应当以相同的事物本质为指引,进行同类解释或者合类型性解释。[12]基于此,非法获取公民个人信息的非法类型应当达致与窃取相同的非法程度。而所谓窃取,按照刑法学上的理解,是指违反被害人的意志,将他人占有的财物转移为自己或第三者占有。[13]就此而言,刑法上的非法获取公民个人信息至少应该具备对被害人个人信息处理意志的违反。
从理论上看,由于个人意志的表达包含实质和形式两个方面,所以可以将对个人意志的违反分为3类:一是对实质和形式的完全违反,即行为人在实质和形式上获取个人信息都没有得到他人同意。窃取、购买以及没有获得公民个人同意的收受赠与、交换信息都属于这种类型。这正是最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第4条将购买、收受、交换等方式确定为以其他方法非法获取公民个人信息的原因。同时,由于过度获取个人信息事实上是超出公民同意范围的信息获取,所以过度部分也应被视为非法获取。二是形式上获得了同意但实质上违反公民个人真实意志的情形。以误导、欺骗、胁迫等方式获取当事人的同意与当事人真实意志并不相同,所以这类行为也应被视为非法获取个人信息。三是虽然没有获得形式上的同意表达但已经取得实质上的同意。对于这类行为,应当首先视其为非法行为,如果公民进行事后追认,则可以阻却其非法性。此外,比较之下,不公开收集信息、瑕疵收集信息、无保障收集信息等行为虽然在个人信息保护法下属于非法获取行为,但由于这类行为并未侵犯公民的个人信息处理意志,不具有与窃取行为相等同的违法程度,所以可以基于刑法谦抑性和体系协调性的考虑,将这些行为排除在刑法规制范围之外,以个人信息保护法等前置法律对其进行规制即可。
【注释】
*杨军系复旦大学国际关系与公共事务学院博士后研究人员;杜宇系复旦大学法学院教授,博士生导师。
本文受到国家社科基金重点项目“犯罪构成的程序向度研究”(项目批准号:WRH3457011)资助,受到上海市浦江人才计划“刑法解释的方法论拓展”(16PJC009)资助,受到上海市曙光计划(13SG07)资助,同时受到上海市教委科技创新重大项目(2021-01-07-00-07-E00124)资助。
[1]彭诚信:“论个人信息的双重法律属性”,载《清华法学》2021年第6期。
[2]张新宝:“《民法总则》个人信息保护条文研究”,载《中外法学》2019年第1期。
[3]张新宝:“论个人信息权益的构造”,载《中外法学》2021年第5期;申卫星:“论个人信息权的构建及其体系化”,载《比较法研究》2021年第5期;马永强:“侵犯公民个人信息罪的法益属性确证”,载《环球法律评论》2021年第2期。
[4]丁晓东:“个人信息的双从属型与行为主义规制”,载《法学家》2020年第1期。
[5]高富平:“个人信息保护:从个人控制到社会控制”,载《法学研究》2018年第3期。
[6]陈兴良:“社会危害性理论:进一步的批判性清理”,载《中国法学》2006年第4期。
[7][德]克劳斯·罗克辛:《德国刑法学总论(第1卷):犯罪原理的基础构造》,王世洲译,法律出版社2014年版,第390页。
[8]张忆然:“大数据时代‘个人信息’的权利变迁与刑法保护的教义学限缩——以‘数据财产权’与‘信息自决权’的二分为视角”,载《政治与法律》2020年第6期。
[9]田宏杰:“行政犯的法律属性及其责任——兼及定罪机制的重构”,载《法学家》2013年第3期。
[10]欧阳本祺:“论行政犯违法判断的独立性”,载《行政法学研究》2019年第4期。
[11]于改之:“法域冲突的排除:立场、规则与适用”,载《中国法学》2018年第4期。
[12]王瑞君:“刑法中概括性语词的类型化功能与解释规则研究——从‘高空抛物’被认定为‘其他危险方法’切入”,载《江西社会科学》2021年第6期。
[13]张明楷:《刑法学》,法律出版社2016年版,第949页。
|