第三节 侵犯“公民个人信息”行为的入罪边界
《刑法修正案(九)》和《办理侵犯公民个人信息刑事案件的解释》在确定“公民个人信息”权利属性和概念外延的同时,对于侵犯公民个人信息行为进行了明确分类,从“公民个人信息”非法提供源头到非法获取、非法使用,可谓实现了全程化、链条化保护。因此,无论是“公民个人信息”的权利外延,还是“侵犯行为”,现有刑法框架均实现了积极的扩张。但同样不容忽视的是,积极保护“公民个人信息”、严厉打击侵犯公民个人信息行为的同时,亦须明确罪名适用的边界。
一、前置性要件的实质解读:“违反国家有关规定”的法律内涵
根据《刑法》第253条之一的规定,出售、非法提供公民个人信息行为构成犯罪以“违反国家有关规定”为前提,学界普遍将其称为侵犯公民个人信息罪的前置性条款,在立法上经历了“违反国家规定”到“违反国家有关规定”的转化。因此,明确该要件的实质,对于侵犯公民个人信息罪的认定具有重要意义。
经过本书梳理发现,关于个人信息保护的规定散见于30余部不同的法律法规、部门规章和司法解释中,主要包括个人信息保护的一般立法,涉及个人信息保护的具体行业、个人健康信息、个人快递信息、未成年人信息等领域的规定。[30]因此,这30余部“国家有关规定”在形式上成为侵犯公民个人信息构成犯罪的前提,如果狭隘地认为没有“国家有关规定”就不构成犯罪,这将会在行政法规无法及时跟进的情况下造成侵犯公民个人信息适用的短板。鉴于此,有研究者指出,根据公民个人信息本身所具有的“超个人法益属性”,“违反国家有关规定”“非法”应当是“弱意义”的构成要件,不具有犯罪构成认定的实际价值,“未经公民同意”即可视为“非法”。[31]类似的观点还存在于非法经营罪的认定中:非法经营罪的四项类型中,“兜底”第4项中“非法”和“违反国家规定”属于一种同义关系。[32]
笔者认为,“违反国家规定”和“非法”之间绝非等同关系,“违反国家规定”一定是“非法”的,但“非法”不一定是“违反国家规定”的,二者在某种程度上属于一种“种属关系”。因此,准确厘清“违反国家有关规定”的实质,尚需要运用历史解释的方法对其进行解读。《刑法修正案(七)》增设的出售、非法获取公民个人信息罪所保护的“公民个人信息”,仅限于依职务、公共服务获得的个人信息,其获取渠道有法律的授权和明确规定,对于相关的个人信息并非获取、提供就直接成立犯罪,而是要求“违反国家规定”。不难发现,这一规定的实质更多的是提示违法阻却事由的作用[33],是对于侵犯公民个人信息罪违法阻却事由的反向重申,属于表面的构成要件要素,其价值在于强调对于具有法令行为、业务行为等阻却违法性事由的行为不成立犯罪。因此,充分发挥“违反国家有关规定”在侵犯公民个人信息罪认定中的限缩作用的同时,明确其违法阻却事由的提示性质,将极大地有助于厘清侵犯公民个人信息行为的入罪边界。
二、定量性门槛:“情节严重”的基本类型
我国传统刑法视野下,对于大量犯罪设置了定量要素,数额、数量中心主义较为突出。随着侵犯公民个人信息犯罪的逐渐增多,传统简单化的定量标准已经无法满足犯罪评价的需要,随之产生了一系列类型化的定量标准。
(一)侵犯公民个人信息行为入罪的情节要件
网络犯罪定量标准往往要比传统犯罪复杂得多,其犯罪对象的多元化、犯罪目的的复杂性、犯罪结果的不可控性决定了定量标准计算的难度。因此,《办理侵犯公民个人信息刑事案件的解释》明确了“公民个人信息”的分类、分级保护制度,对于不同安全类型和等级的个人信息,在入罪的门槛设计上进行了差异化的设置。整体上讲,“情节严重”的类型除了根据不同“公民个人信息”类型设定的不同入罪数量之外,《办理侵犯公民个人信息刑事案件的解释》进一步将违法所得数额、信息用途、行为人主体身份、犯罪记录等作为定量标准,基本上涵盖了影响侵犯公民个人信息的大部分情节因素。同时,《办理侵犯公民个人信息刑事案件的解释》关于“情节严重”的设置,也在很大程度上对“公民个人信息”的法益属性和权利边界进行了回应。比如,针对信息用途的规定,就是鉴于侵犯公民个人信息犯罪逐渐具有链条化、团伙化、多元化特征,侵犯公民个人信息往往只是其他违法犯罪的开始,在非法获取公民个人信息之后必然流向下游的关联犯罪,这也在某种程度上决定了侵犯个人信息犯罪的社会危害性特征。因此,关于“公民个人信息”的链条化保护逐渐成为立法的重要关注点。比如,德国刑法对于侵犯个人数据犯罪构建了严密的罪名体系,实现了犯罪各阶段的全链条评价。其中,第202条规定了侵害通信秘密罪,分别在a、b、c、d规定了探知数据、拦截数据、预备探知和拦截数据,以及数据销赃[34],对于非法获取被采取安全保护的他人数据,非法拦截使用数据处理系统传输的未公开的他人数据[35],为前述犯罪创造、提供、销售、转让、传播或以其他方式提供的任何此类行为为目的计算机程序[36],以及数据销赃行为[37]。
(二)再次重申的问题:“公民个人信息”数量是否需要满足不特定多数人要求
诚如前述,基于对“公民个人信息”权利属性认识的不同,有观点将本罪侵害的法益解释为“公共信息安全”,即限于对不特定多数人信息的保护。此类观点认为,针对单个个人实施的侵害行为,如果并未实施其他犯罪,未造成实际的法益损害,即使具备情节严重的情形,也欠缺刑事处罚的必要性;如果用于犯罪,则可以作为其他下游犯罪的加重情节,也无须单独处罚获取单个的、特定的公民个人信息的行为。[38]这一观点的谬误本书在此不再赘述,在判定“情节严重”认定被侵犯的公民个人信息数量时再进一步阐释。
笔者认为,更多的是源头治理的体现,提前打击、从严评价。信息时代背景下,公民个人信息价值倍增的同时,与人身、财产利益之间的紧密度、关系度不断增强,成为关涉个人人身、财产安全的关键要素,个人信息不安全就意味着人身、财产不安全。同时,信息时代背景下,网络犯罪逐渐呈现链条化[39]、集群化[40]特征,个人信息泄露成为很多犯罪的前置性犯罪形态,间接推动或者帮助了相关性犯罪的实现和数量的增长。刑法正是基于信息时代,尤其是大数据时代背景下,公民个人信息在人身、财产安全中的重要地位,在相关性、下游性犯罪中的影响,所进行的前置式、预防式的提前制裁。因此,即使侵犯同一个人的信息达到相应的门槛,亦应构成犯罪,这也是对“公民个人信息权”保护的积极回应,《办理侵犯公民个人信息刑事案件的解释》第11条亦认可了此种解释思路。[41]
通观我国刑法关于“公民个人信息”保护的规则体系,从附属于金融管理秩序、社会管理秩序的“顺带保护”到设立专门罪名进行单独保护,从强调直接的身份“可识别性”和隐私权属性到统一身份“可识别性”的标准,刑法在不断实现“公民个人信息”保护罪名体系精密化的同时,不断赋予“公民个人信息”以新的内涵和外延,不断扩张侵犯公民个人信息罪的打击半径。从当前的信息时代和大数据时代需求来看,这无疑是立法和司法的巨大进步。但是,依然需要明确,“一花独放不是春,百花齐放春满园”,关于“公民个人信息”的保护单靠刑法的大跨步前进并不能达到理想的保护效果,还需要民法、行政法等部门法合作,推进“刑民衔接”“刑行衔接”,实现“民先刑后”“刑民并重”的法律合力。事实上,目前学界关于公民个人信息的保护思路也在不断地推定民刑、刑行领域的研究,尤其是随着“个人信息权”不断得到国内外学界和立法的承认[42],我国民法、刑法研究中关于“公民个人信息”个人信息权化保护的观点不断产生契合和共鸣。笔者认为,随着《网络安全法》《民法总则》《刑法修正案(九)》相继在立法中明确搭建了公民个人信息保护的整体框架,在后续的具体操作和理论注释中,有必要根据时代变化的需求通过部门法的协助、通过司法解释等形式不断扩充公民个人信息法律保护的范围,实现公民个人信息在信息时代、大数据时代的全面保护。
[1] 刑法早期保护的“个人信息”更多地属于超个人法益的信息,如故意泄露国家秘密罪、非法获取国家秘密罪、泄露内幕信息罪、侵犯商业秘密罪,通过对符合超个人法益的信息进行个人信息的保护。
[2] 根据2009年《刑法修正案(七)》的规定,侵犯公民个人信息,是指国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的行为。
[3] “刑先民后”与其说是刑法走得太快,不如说是民法保护模式已经严重滞后于信息时代的实际需求,使得刑法只能在“配合”民法关于个人信息权利属性定位的情况下审慎入刑,造成大量具有严重危害性的侵害公民个人信息行为无法得到有效制裁。
[4] 《信息系统安全的解释》第1条。
[5] 王肃之:《被害人教义学核心原则的发展》,载《政治与法律》2017年第10期。
[6] Article 29 Data Protection Working Party,Opinion 3/2012 on Developments in Biometric Technologies,WP193,available at http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp193_en.pdf,accessed October 29,2017.
[7] §3 Weitere Begriffsbestimmungen,Bundesdatenschutzgesetz(BDSG),2002.
[8] 《保护指南》以个人敏感信息和个人一般信息进行分类保护,其中第3.7条规定:“个人敏感信息(personal sensitive information)一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息……”
[9] 欧盟国家普遍使用个人数据一词,如EU general data protection,Bundesdatenschutzgesetz(BDSG);英美法系普遍使用个人隐私一词,如Privacy Act;我国台湾地区、我国香港一般使用个人资料,如《个人资料保护法》《个人资料(私隐)条例》。
[10] 個人情報の保護に関する法律(平成15年法律第57号)第2条,この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
[11] 個人情報の保護に関する法律(平成15年法律第57号)第2条第4款,この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
[12] Karl Steinbuch,Gewerblicher Rechtsschutz und Urheberrecht,579-581(1987).
[13] 王昭武、肖凯:《侵犯公民个人信息犯罪认定中的若干问题》,载《法学》2009年第12期。
[14] 蔡军:《侵犯个人信息犯罪立法的理性分析——兼论对该罪立法的反思与展望》,载《现代法学》2010年第4期。
[15] 胡胜:《侵犯公民个人信息罪的犯罪对象》,载《人民司法》2015年第7期。
[16] 汤擎:《试论个人数据与相关的法律关系》,载《华东政法学院学报》2005年第5期。
[17] 王肃之:《被害人教义学核心原则的发展》,载《政治与法律》2017年第10期。
[18] 赵宏:《从信息公开到信息保护:公法上信息权保护研究的风向流转与核心问题》,载《比较法研究》2017年第2期。
[19] Danielle Keats Citron,“Reservoirs of Danger:The Evolution of Public and Private Law at the Dawn of the Information Age”(2007). Faculty Scholarship. 125.
[20] Karl Steinbuch,Gewerblicher Rechtsschutz und Urheberrecht,579-581(1987).
[21] 本书更倾向于把个人信息权称为一种群属性权利,包括隐私权、财产权以及附属于其他人身财产利益的权利内容。参见王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,载《现代法学》2013年第4期。
[22] 付强:《非法获取公民个人信息罪的认定》,载《国家检察官学院学报》2014年第2期。
[23] Roger Clarke,Surveillance by the Australian Media,and Its Regulation,Surveillance & Society 12,1(Mar 2014),89-107.
[24] 可识别性一般是指同特定个人具有一定关联性或专属性的信息,即通过此类信息可以直接或者同其他相关信息结合识别出特定的个人。参见叶良芳、应家赟:《非法获取公民个人信息罪之“公民个人信息”的教义学阐释》,载《浙江社会科学》2016年第4期。
[25] Article 4,EU general data protection 2016.
[26] 曲新久:《论侵犯公民个人信息犯罪的超个人法益属性》,载《人民检察》2015年第11期。
[27] 高富平、王文详:《出售或提供公民个人信息入罪的边界》,载《政治与法律》2017年第2期。
[28] 张民安主编:《隐私权的比较研究——法国、德国、美国及其他国家的隐私权》,中山大学出版社2013年版,第319—320页。
[29] 基于曾经犯过罪的事实会产生规范性评价(前科)和非规范性评价(社会公众自发的“贴标签”),目前所探索的犯罪记录封存制度或者前科消灭制度均是对犯罪事实规范性评价的消灭,同时,还应注意对犯罪事实的非规范性评价,即对犯罪事实这一曾经的公开信息予以隐私化保护,认定为“公民个人信息”。
[30] 主要包括:2000年《互联网信息服务管理办法》,2000年《个人存款账户实名制规定》,2003年修订《居民身份证法》,2003年修订《商业银行法》,2006年修订《未成年人保护法》,2009年《邮政法》,2009年《侵权责任法》,2012年《精神卫生法》,2012年《加强网络信息保护的决定》,2013年修订《消费者权益保护法》,2013年《征信业管理条例》,2013年《电信与互联网用户个人信息保护规定》,2014年《人口健康信息管理办法(试行)》,2014年《寄递服务用户个人信息安全管理规定》,2014年《消费者权益保障法》,2014年《电信条例》,2017年《网络安全法》,2020年《民法典》。
[31] 有研究指出组织出卖人体器官罪、多次盗窃型盗窃罪等罪名,以及对于非法拘禁罪等犯罪中犯罪对象在多人以上直接作为入罪的条件,均体现了立法、司法的超个人法益保护方向。参见曲新久:《论侵犯公民个人信息犯罪的超个人法益属性》,载《人民检察》2015年第11期。
[32] 马春晓:《非法经营罪的“口袋化”困境和规范解释路径——基于司法实务的分析立场》,载《中国刑事法杂志》2013年第6期。
[33] 张明楷:《刑法学》,法律出版社2016年版,第922页。
[34] 此处数据外延相对较小,仅包括以电子记录或者其他不能直接提取的方法存储或传输的数据。
[35] §202b Abfangen von Daten StGB.
[36] §202c Vorbereiten des Ausspähens und Abfangens von Daten StGB.
[37] §202d Datenhehlerei StGB.
[38] 金园园:《大数据时代个人信息的刑法保护》,载《人民检察》2015年第17期。
[39] 链条化,是指网络犯罪从预备阶段到实行阶段再到事后的销赃阶段、犯罪掩饰阶段,等等,均实现了犯罪分工的明确化,呈现“产业化”态势。
[40] 集群化,是指单个的网络犯罪形态将不再成为主流,而是以必要的共犯化为核心,一个犯罪有可能横跨刑法分则的十章罪名,罪与罪之间的勾连化逐步增强。
[41] 《办理侵犯公民个人信息刑事案件的解释》第11条第2款规定:“向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。”
[42] European Convention for the Protection of Human Right and Fundamental Freedoms,Nov. 4,1950,213 U.N.T.S. 222.