摘要
个人信息在数字社会中具有重要价值,个人信息保护法不只是保护个人信息权利,还与国家安全与利益、企业自由竞争与发展紧密相关。个人信息相关各方对个人信息保护法有不同的需求,不同国家和地区的个人信息保护法有不同的利益导向。对于依法进入经济和社会管理领域的个人信息,建立保障其有益利用的安全管理秩序应当是刑法的重要任务,有益利用的核心是维护本国利益基础上实现个人信息相关方利益保护的最佳平衡。侵犯公民个人信息罪的法益具有二重性,既包括个人信息保护权和个人信息相关的其他权益,又包括“国家有关规定”确立的个人信息安全管理秩序,而后者是其主要法益。该罪应当设置在妨害社会管理秩序罪中,并为个人信息提供全周期保护。侵犯公民个人信息罪的危害行为至少应当扩展到非法利用个人信息行为,“为合法经营活动”不应是该罪的出罪事由。为境外窃取、刺探、收买、非法提供个人信息的社会危害性更为严重,有必要设置为境外窃取、刺探、收买、非法提供公民个人信息罪。
关键词
个人信息;关联利益;刑法法益性质;全周期保护
个人信息在数字社会中具有重要价值,许多国家和国际组织通过了保护个人信息的法律,但对如何保护个人信息分歧较大,根本原因是对个人信息保护法的目标持不同立场。在全球化、数字化社会环境下,个人信息相关法律不只是保护个人权益,而是与国家安全与利益、企业自由竞争与发展、数字人权发展与保护紧密相关。研究个人信息的刑法保护应有全球化、数字化生存视野,分析个人信息相关方利益,从维护本国利益出发实现相关方利益保护的最佳平衡。研究个人信息刑法法益,应当依据个人信息关联利益和相关法律来确定其性质和内容,侵犯个人信息犯罪立法和刑事司法应当对个人信息刑法法益提供全周期保护。
一、 个人信息关联利益及相关立法保护导向
(一) 个人信息关联的利益及其博弈
20世纪末美国学者尼古拉·尼葛洛庞帝在其专著《数字化生存》中预言了人类社会的数字化生存方式,数字化社会的核心是基于数据分析、决策和控制的网络系统,数据是基础要素,直接影响着每个人和组织体的生存状态。在数字社会中,每一个人是“数字人”,既是数据的生产者,也是数据的消费者,既提供社会运作需要的数据资源,也在享受数字社会的福利,同时,承受个人信息被非法处理带来的危害。数据的价值在于流动和利用,但并非所有数据都适合无限制地流动和利用,不同数据应在各自适当“管道”中流动并被适格主体利用,才能产生有益结果。根据数据关联的利益,可以将数据分为国家秘密和情报等关联国家安全与利益的数据、商业秘密数据、个人信息数据和其他数据,第一类数据只能在国家保密信息“管道”中流动并被受权人员利用,不应当成为生产要素,更不应当自由流动和利用。个人信息数据并非都可以成为生产要素,如个人通信内容信息和隐私行踪信息数据,只有获得信息主体同意或者符合法律规定进入经济和社会管理领域的个人信息,才能在限定的经济活动和社会管理“管道”和“系统”中“自由”流动,有适当的权利或权力的主体处理个人信息时必须遵守法律规定和有益利用原则。个人信息不只关联着个人利益,对企业、社会管理单位和国家也有重要影响,处理个人信息对个人利益的侵害或威胁常常与对国家、社会利益的增益交织在一起,从而不能按照传统法益来确定个人信息法益的性质,需要平衡个人信息相关方利益,谨慎地划定个人信息权益的边界 1 ,界定有益利用原则时不能只站在某一方的立场上来维护其利益。
个人信息具有信息主体的识别性和利益关联性。个人信息不仅包含识别特定人身份的信息,还包含着处理特定人某方面事务的信息,如公安机关、电商平台的信息系统处理的个人信息被用于处理人身、财产方面的事务,与个人多方面利益紧密关联。识别性是利益关联性的基础,一旦获取了个人信息,就有可能通过相关信息系统处置其个人事务、影响其实体权益。例如,获取淘宝网信息系统中的个人信息后,就可以向信息主体推销商品、盗取网购商品,利用其银行卡账号实施盗窃或诈骗,利用其收件地址侵犯其人身安全等。个人信息的利益关联性被我国《个人信息保护法》确认,该法第28条将人格尊严、人身财产安全等规定为敏感个人信息的关联权益,该关联权益不限于隐私权,也并非都是重大权利,如数额不大的财产。 2 事实上,一般个人信息也关联个人的实体权益,如前文所述的淘宝系统中的个人信息,在数字社会环境下侵犯个人信息就能威胁实体权益安全,同时,即使没有实体权益遭受侵害,也会使个人的生存与发展权益受到损害。例如,网络服务提供者将合法获取的他人交易信息用于个性化商品推荐活动,即使不用于“大数据杀熟”来损害其人身、财产权益,也会使信息主体只能看见被筛选过的信息,导致其数字生存空间变小。因此,个人信息保护权应是数字人权中的基本权利之一,比在传统社会环境中更重要。个人信息关联的实体权益具有广泛性,个人信息必然关联人身权益,部分个人信息还涉及财产性利益,将个人信息作为整体看,如何确定其法律地位成为难题 3 ,原因是不同类型的个人信息关联不同的利益,除了个人信息保护权外,其他关联权益并不确定。
个人信息是现代企业的基础生产资源,关联着企业的发展利益。党的十九届四中全会确认了数据的生产要素地位。个人信息是重要的数据类要素,不仅赋能传统经济活动,还是网络经济的核心资源;如果个人信息缺位,现代经济活动如网络金融、电子商务等都无法正常进行,对国际商品与服务贸易尤其是跨国信息企业的经营活动的影响尤为显著。欧盟《一般数据保护条例》对个人数据跨境流动产生了重大影响,使美国跨国数字企业付出巨大的合规成本,严重限制其在欧盟范围内的经营活动,而我国信息企业如腾讯公司等也在评估合规成本后主动退出了欧盟市场。个人信息也是社会服务单位正常运作的基础资源,关系其运行成本与效率。社会服务单位如公立学校、医院、慈善机构等的社会服务早已完成了数字化转型,其运作必然要收集和处理个人信息,限制个人信息的收集和处理会增加其运行成本,降低运行效率,甚至无法提供社会服务。
个人信息关联国家治理、国家安全与经济利益。在数字社会环境下,个人信息对国家治理的重要性达到前所未有的程度,公安、社保、税务、防疫等活动都要收集和处理个人信息,而诸如新冠疫情防控等工作的成败往往取决于能否迅速、全面地收集、处理个人信息。个人信息对国家安全与经济利益有着重要影响,数量庞大的特定个人信息,如中国人的基因信息、国家安全相关人员的行踪轨迹等直接关系国家安全,海量的公众消费信息与国家经济利益紧密相关 4 ,向境外提供这些信息会危害国家安全与经济利益。首先,个人信息关系国家安全。许多互联网企业掌握着关系国家安全和利益的重要数据 5 ,如特斯拉汽车记录的行车路线和街景信息、滴滴出行等网约车服务器中记录的个人行车信息,当这些信息达到海量规模时,就能从中挖掘出威胁国家安全的信息。网络与数据安全相关法规确认了个人信息关涉国家安全 6 ,保护个人信息不只是保护个人权益,也是在保护公共利益和国家安全。 7 其次,作为数字经济的关键要素,个人信息关系国家经济利益。与个人信息相关的黑灰产活动破坏我国经济秩序,个人信息的非法跨境流动会导致国内资金的外流,如网络赌博、违禁品交易等非法经济活动侵蚀我国经济利益。即使是在合法经济领域,保护个人信息同样事关维护国家经济利益。 8 欧盟《一般数据保护条例》对外国数字企业进入欧盟市场设置“数字壁垒”,不只是为了保护个人数据权利,根本原因在于欧洲本土的信息企业在与中美企业的竞争中处于弱势 9 ,对个人信息提供强法律保护有利于维护欧盟地区经济利益。 10 我国建立相似个人信息保护制度却遭到欧美国家的抗议,美国国际商业委员会声称,中国《网络安全法》阻碍了美国依赖个人信息开展运营的公司进入中国市场。 11
个人信息相关方的利益需求之间存在博弈关系。首先,信息主体与企业和社会服务单位的利益之间存在此消彼长、共存共生关系。对个人信息的保护越充分,企业和社会服务单位能够获取和处理的个人信息就越少,越不利于其发展利益,其向信息主体提供的服务越有限。反之,信息主体面临的风险增大,会导致其对抗合作。因此,无论偏向哪一方,最终都会损害双方利益,应当在风险告知与风险自担的基础上平衡双方利益。 12 其次,国家与个人、企业和社会服务单位的利益需求部分相同,但不完全一致。充分保护个人信息有利于维护国家安全和经济利益,但过度保护则不利于国家治理和数字经济发展。国家保障个人信息的依法合理利用,能满足企业和社会服务单位的利益需求,也符合国家治理与经济利益的需要,但是,企业天然具有逐利性,特别是外国数字企业以谋取优势信息资源和丰厚利润为主要目标,并不总与本国利益一致。 13 在国内层面,三方利益需求的博弈关系如图1所示。因此,对于依法进入经济和社会管理领域的个人信息,保障其在适当“管道”内的自由流动和有益利用符合国家、社会和公众的利益。需要注意的是,前述“有益利用”是有国家立场的,不能想象损害我国国家安全与利益的行为符合有益利用原则,在维护本国利益的基础上,还要通过“两头强化,三方平衡”实现各方利益平衡和最大化。 14
图1 国内个人信息利益关联方的关系
最佳利益平衡不会自然形成,实际的利益平衡状态是由前述各方实力博弈的结果,建立适当的个人信息保护法律体系是实现最佳利益平衡的法律保障。国家机关拥有信息主体无法抗拒的权力,如果没有法律保护,信息主体难以维护自身的合法权益。 15 企业与信息主体在法律关系上本应平等,但是,前者能够运用技术、资本实力,采取“不接受就不服务”“过度或未经许可秘密收集和不受限制地处理”等手段迫使后者就范,即使后者点击同意隐私保护协议,对前者侵犯其权益也不一定真正知情和同意。 16 社会服务单位的博弈实力兼具国家机关和企业二者的权力和技术实力,信息主体同样无力与之对抗。由于信息主体缺乏自我保护能力,如果法律不充分保护个人信息,信息主体的权益必然遭受严重侵害,进而连锁损害其他方利益。 17 因此,国家应当干预以上利益博弈,转变消极的“守夜人”角色,以强有力的法律干预手段,改变国家机关、企业和社会服务单位与信息主体之间的“持续性的不平等关系”,充分保护信息主体的合理权益,避免其被工具化 18 ,兼顾充分保护个人信息和促进国内数字经济发展的个人信息保护法律体系是实现最佳利益平衡的制度基础。
(二) 个人信息保护法的利益导向
世界各国各地区的个人信息保护法有不同的利益导向,原因是各自的政治、经济、社会发展状况和科技实力上的差别导致其立法有不同的目标,但是,在利益导向的设立标准上却有共同之处。
美国个人信息立法的特点是对特定个人信息提供有限保护和扩张美国国家利益。美国联邦层面仅有保护特定个人信息的立法,如规制金融机构的《金融服务现代化法》《金融消费者保护法》、规制特定商业机构和个人的《联邦贸易委员会法》等,其特点是保护信息产业市场自由竞争,强化特定行业监管,对个人信息提供有限的隐私法保护。美国有多个州制定了保护个人数据的法律,如美国加利福利亚州的《消费者数据保护法》,其对消费者数据的保护近似于欧盟《一般数据保护条例》。以上立法与美国的信息科技实力和法律传统相适应:一方面,美国有着世界上最强大的信息科技实力和信息产业,处于向世界各国输出信息服务的绝对优势地位,其信息企业在海外扩展中获得丰厚的经济利益,是美国经济、政治、军事实力的重要基石,美国联邦立法优先保护其信息企业自由竞争和发展利益符合其国家利益;另一方面,美国社会有着重视隐私保护的法律制度传统和保护个人信息的强烈社会需求。对于金融、儿童隐私、通信秘密、消费者信息保护等领域的个人信息,美国法律按照隐私法保护,在一定程度上满足了保护个人信息的需要,在州层面对个人信息的强法律保护则有利于保护美国国内信息主体的个人权益。但是,即使只提供有限保护为导向的个人信息保护法,仍然不能满足美国数据霸权的需要,除了长期对外国实施网络窃听外,美国还通过立法来获取境外的个人信息,如2018年美国通过的《澄清境外数据合法使用法》授权美国政府对本国公司的数据跨境流动实行“长臂管辖”。 19 可见,宽松的个人信息保护立法符合美国强大的信息科技及产业实力状况和数据霸权需要,美国国家利益与其信息产业的自由竞争与发展利益高度重合,其个人信息保护法的利益导向是主要保护这二者利益,而不是信息主体的个人权益,非美国本土信息主体的个人信息权益就更容易被忽视。
欧盟地区个人信息立法的特点是对个人信息和本地区经济利益提供强法律保护。1970年德国黑森州通过了世界上第一部个人数据保护法,之后德国、法国、英国等欧洲国家先后制定个人数据保护法,限制国家和企业收集和处理个人信息。随着美国跨国信息企业逐渐垄断欧洲信息服务市场,1973年欧共体委员会提出“从美国企业手中夺回欧洲数据处理市场”,欧洲各国强化个人信息处理者的法律义务,限制个人信息的跨境流动,遭到美国强烈抗议,也给欧盟国家之间的信息流动造成障碍。自20世纪80年代开始,欧盟个人信息保护立法转变为保护个人信息与促进欧盟数字社会经济发展并重,先后通过了《一般数据保护条例》等一系列法律文件,坚持充分保护个人信息,严格限制欧盟数据对外跨境流动,欧盟法院先后裁定欧盟与美国签订的《安全港协议》和《隐私盾协议》无效 20 ,形成“内宽外严”的法律壁垒。 21 面对美国强大的信息科技产业,欧盟使其地区安全与经济利益、本土信息企业的发展利益和信息主体权益“站到一起”,置于个人信息强保护法律体系下加以保护,其立法利益导向形式上是充分保护个人信息权益,实质是维护欧盟及其本土企业和信息主体的共同利益。
我国个人信息保护立法的基本特点是个人信息保护法与网络安全法、数据安全法及民法、刑法相关规定协同发展。在20世纪90年代我国就开始制定计算机、互联网安全立法,保护个人信息是其重要内容:《关于加强网络信息保护的决定》《网络安全法》等都规定了个人信息保护条款;《数据安全法》规范数据处理活动及其安全监管,个人信息属于数据,个人信息安全也在其规制范围内;《个人信息保护法》全面规定了个人信息处理规则和跨境提供规则;《民法典》规定保护个人信息,规定了个人信息处理的原则和条件、个人信息相关权利以及信息处理者的安全保障义务等;《刑法》将违反国家有关规定侵犯公民个人信息的行为规定为犯罪。可见,我国个人信息保护相关立法始终是将国家安全与利益、公共安全和信息主体权益紧密联系在一起 22 ,规范个人信息的合法利用、跨境流动和境外处理。我国信息科技及产业竞争力不及美国,对个人信息的弱法律保护不利于本土信息产业的生存发展,在美国数据霸权的挤压下,国家安全与利益、本土信息产业的发展利益和信息主体权益紧密结合在一起,只有采取与欧盟相似的强法律保护立场,才能更好地维护三者利益,这是我国个人信息保护法应该采取的利益导向,如图2所示。
图2 外部压力下个人信息关联方的关系
保护国家安全和利益是确定个人信息保护法利益导向的出发点,欧美和我国个人信息保护法利益导向的确定标准都是在维护国家安全与利益基础上兼顾他方利益,利益导向决定给予个人信息何种程度的法律保护。在国内个人信息相关方的利益存在此消彼长的关系,而在国际层面则要在维护本土利益的基础上,合作抵御来自美国数据霸权的压力,国家安全与利益和信息主体权益重合度更高,个人信息强保护立法和限制个人信息跨境流动更有利于本土各方利益。建构我国个人信息的法律保护体系,应当从前述国际竞争环境和本国国情出发,认清以上国际国内利益关系,顺应我国个人信息保护法的利益导向,以维护本土利益和实现个人信息相关方利益的最佳平衡为目标,否则,会在借鉴国外个人信息保护法过程中“迷失方向”。基于以上认识,笔者认为,前述有益利用原则的内涵应当是“维护本土利益和实现个人信息相关方利益最佳平衡的个人信息合法利用”,建立保障有益利用的个人信息安全管理秩序应当是刑法的重要任务。
二 、个人信息刑法法益的性质与内容
刑法法益是指刑法保护的重要利益,有必要研究侵犯个人信息犯罪立法保护法益的性质和内容,以分析现行刑法是否有利于实现前述利益保护目标,推动我国个人信息刑法保护的发展完善。我国《刑法》规定的侵犯个人信息犯罪是“破坏金融管理秩序罪”中的窃取、收买、非法提供信用卡信息罪、“扰乱公共秩序罪”中的拒不履行信息网络安全管理义务罪以及“侵犯公民人身权利、民主权利罪”中的侵犯公民个人信息罪,前二罪法益显然是集体法益,对后罪法益的性质和内容刑法学者则有不同观点,影响了该罪适用,有必要对相关观点进行分析。
(一) 个人信息权益是侵犯公民个人信息罪的法益之一
个人信息权益应当是侵犯公民个人信息罪保护的法益。个人信息直接关联信息主体的利益,作为侵犯公民个人信息犯罪的直接受害者,信息主体的个人信息权益理应受到刑法保护。有民法学者提出放弃对个人数据信息的私权保护,将个人数据信息作为公共物品保护。 23 有刑法学者也认为,侵犯公民个人信息罪立法初衷并不在于保护公民个人信息权,在司法认定中并不考虑信息主体的“默许或者谅解态度”。 24 笔者认为,以上观点值得商榷,分析如下:(1)个人信息权益作为该罪法益于法有据。我国《民法典》《个人信息保护法》《网络安全法》等法律法规规定保护个人信息权益,在国际上一系列国际条约将保护个人信息规定为核心内容,众多国家制定的个人信息保护法规定保护个人信息权或相关权益。作为专门保护个人信息的侵犯公民个人信息罪没有理由不保护信息主体的个人信息权益。(2)个人信息权益影响侵犯公民个人信息罪的适用范围。该罪的犯罪前提是违反国家相关规定,《民法典》《个人信息保护法》《网络安全法》等都将信息主体的同意作为合法处理个人信息的重要依据,前述观点认为该罪立法不承认信息主体同意的效力,有悖于以上立法。在司法实践中,侵犯个人信息行为都没有获得信息主体同意,如果有证据证明已获得同意,同时不违反国家相关规定,不可能被认定为犯罪。(3)个人信息权益是个人信息刑法法益的基础。法益是“由法律所承认和保护的人的利益”,人的利益是刑法法益的基础,如果刑法规定不是为了“保护个人的自由发展”或其实现的社会条件,该规定就不具有合法性。 26 如果法律不承认个人信息权益,信息主体就缺少抵御国家机关、社会服务单位和企业侵犯个人信息的法律屏障,进而个人的人格权和财产权等权益都将遭受侵害。 27 侵犯个人信息犯罪立法是《民法》《个人信息保护法》等其他个人信息保护法的保障法,如果个人信息权益不是受保护的基本刑法法益,相关犯罪立法的合法性、合理性基础都将不存在。
1 、侵犯公民个人信息罪立法保护的法益不是个人法益
不少刑法学者认为该罪法益是个人法益,但对其内容有不同看法。笔者认为,这种观点值得商榷。
(1)隐私权下的个人信息权说
张明楷教授认为,该罪法益是隐私权下的“公民的个人信息权” 28 ;我国台湾地区学者王泽鉴认为,我国台湾地区“个人资料保护法”第34条处罚的是侵犯个人隐私权行为,该罪保护的隐私权主要指信息自主权。 29 笔者认为,以上观点与我国法律的立法宗旨与具体规定不符,详述如下。
首先,《个人信息保护法》保护的是个人信息权益而非权利。权利必须由法律授予,不存在无法律依据的权利,权利的性质和内容由本国法律确定。我国《个人信息保护法》第1条规定了该法的任务是保护个人信息权益,第2条规定禁止侵害个人信息权益。可见,该法保护的是个人信息权益而非权利。但是,该法规定信息主体在个人信息处理活动中有知情权、决定权、查阅权、复制权、转移权、更正补充权、删除权、要求解释规则权,关于以上“权利”与“个人信息权益”的关系,存在个人信息赋权肯定论和否定论的观点,然而,即使是肯定论者也认为,以上权利“虽名之为‘权’,实则只是为了称呼方便而已”。 30
其次,我国民法保护个人信息相关人格权益。我国《民法典》区别保护隐私权和保护个人信息,没有规定保护个人信息权。该法第990条第1款列举了包括隐私权在内的9种人格权,不包括个人信息权,第2款规定自然人享有前述人格权外的“基于人身自由、人格尊严产生的其他人格权益”。可见,《民法典》保护的是作为人格权益的个人信息权益,其不属于隐私权,如有民法学者认为“个人数据权利的内容不同于隐私权所保护的内容”。 31
再次,“个人信息权”之表述缺乏宪法依据。我国《宪法》规定的公民基本权利不包括个人信息权、自主权或自决权,侵犯个人信息也不直接侵犯人身自由和人格尊严,推导不出个人信息权是宪法权利的结论。信息自决权概念源于1983年德国联邦宪法法院“人口普查案”判决,有德国学者认为其是个人数据保护的基本权利,主张欧盟数据立法应当建立在信息自决权基础之上。 32 但是,该观点并未被欧盟立法与司法采纳,德国联邦宪法法院也认为“信息自决权概念的提出仅仅是为了凸显一般人格权”。 33 美国立法也不承认信息自决权,而是将隐私权扩展到对个人信息的控制。 34 我国没有以上一般人格权制度和隐私法传统,若简单照搬外国法律和司法判例所确立的隐私权或个人信息权,既不符合我国宪法,也不合理。
(2)隐私权之外的具体人格权说
该观点认为该罪法益是个人信息权,它是“具有绝对私人属性的具体人格权” 35 ,但不属于隐私权。相似的观点认为,该罪的法益是公民的人格尊严与个人自由,我国《民法典》在“人格权编”中规定保护个人信息,侵犯公民个人信息罪被《刑法》规定为侵犯公民人身权利罪,被认为是个人信息权益属于人格权的法律依据。 36 有民法学者认为,个人信息权属于人格权,但按照已有的人格权类型难以充分保护个人信息,其应被规定为一种新的具体人格权类型。 37
笔者赞同区分隐私权和个人信息权益。《民法典》区分隐私与个人信息,二者有重合部分,但并非所有个人信息都是隐私 38 ,对于同时成立隐私和个人信息的个人隐私信息,根据《民法典》第1034条规定,应按隐私进行保护,因此,个人信息权益不属于隐私权。同时,我国刑法没有设立侵犯隐私罪,与之有关的侮辱罪属于轻罪和自诉罪,而侵犯公民个人信息罪的最高法定刑是7年,如果认为该罪立法保护的是隐私权,则与两罪的刑罚不相称。但是,认为该罪保护的仅为人格权下的个人信息权益,也不能反映侵犯公民个人信息罪的实际危害。前文分析过,该罪行为不只侵犯信息主体的人身自由、人格尊严,还对个人的财产、就业、受教育等方面权益构成现实威胁。这在“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中也有反映,该解释第5条规定的“情节严重”情形包括侵犯征信信息、财产信息、交易信息等影响财产性利益的个人信息50条或500条以上,这些个人信息关联的不仅有人格权,还有财产权及其他权益。因此,认为该罪法益是具体人格权与事实不符,与司法实践相悖。
(3)独立的个人信息权说
该观点认为该罪的法益是个人信息权,核心是个人信息自决权,不是人格权,更不属于隐私权,是独立的新型民事权利。 39 相似的观点认为,个人信息权是兼有人身属性和财产属性的独立信息权利益。 40 还有学者认为,个人信息权是包括人格权和财产权的权利束,该权利束具有社会公益性,其中的权利位阶顺序是国家主权、个人的人格权和财产权。 41 以上观点认识到个人信息关联人身权、财产权和其他权益及其在数字社会中的实际作用,侵犯公民个人信息罪侵害广泛的个人利益。但是,前文分析过,将个人信息权定性为个人信息自决权不仅缺乏法律制度基础,而且,将其定性为超越人身权、财产权的独立民事权利(益),还对我国《民法典》确定的由物权和人格权组成的自然人民事权利体系提出挑战,进而需要在“物权编”“人格权编”之外单独设立“个人信息权编”;同时,也对我国刑法规定的保护个人法益的犯罪体系提出挑战,原因是单靠侵犯财产罪或者侵犯公民人身权利、民主权利罪都不能完整保护个人信息权,而应当设立独立的“侵犯公民个人信息权罪”章,这显然是不现实的。
笔者认为,以上观点与事实和法律不符,未全面反映个人信息与国家利益、信息处理者利益、信息主体利益之间的关联,个人信息权益在整体上并非兼有人身权和财产权的独立民事权利。前文分析过,个人信息具有识别性和实体利益关联性,前者与人格权直接关联,后者与实体权益间接关联,侵犯公民个人信息行为必然直接侵犯人格权,同时间接侵犯实际关联的实体权益。但是,个人信息是类概念,包括各种类型的具体个人信息,如身份证信息、财产信息、行踪信息等,并非所有个人信息同时承载人身权、财产权及其他权益,只有侵犯关联财产权益的个人信息才同时侵犯人身权和财产权,不应该将个人信息权益整体上认定为同时具有人身权和财产权属性。此外,以上观点没有考虑个人信息与国家、企业和社会服务单位的利益关联性,未反映《民法典》《个人信息保护法》等法律法规对国家利益、社会利益和个人信息处理者利益的保护。 42
(4)个人信息安全说
陈兴良教授认为该罪法益是“公民个人的信息自由、安全和私生活权利” 43 ,相似的观点认为该罪法益是个人信息安全,因为个人信息涉及信息主体的人身财产安全,而具有刑法保护的必要性,但不是集体法益。 44 另有观点认为,该罪法益是公法意义上的个人信息受保护权,属于个人法益而非超个人法益。 45 以上观点回避个人信息相关权利(益)的民法性质,仅从刑法学角度界定该罪法益。法益是法学概念,不限于特定的权利(益),国家安全、公共安全、计算机信息系统和数据安全、社会管理秩序等都可以是刑法法益,“个人信息安全”等提法本无可厚非,但是,应当合法合理且对解决实际问题有指导意义。笔者认为,以上观点只是前述三种观点的“刑法学换装”。我国刑法分则设立了十类罪,章节罪名具有法定性,从章罪名可以看出,“侵犯公民人身权利、民主权利罪”和“侵犯财产罪”以外的八章犯罪的法益是集体法益 46 ,只有针对私人财产的侵犯财产罪和侵犯公民人身权利、民主权利罪保护的是个人法益,该观点认为该罪法益不是集体法益或超个人法益,实质上认为该罪法益是公民人身权利、民主权利或私人财产权,与前三种观点没有本质区别,存在前文分析所指出的不足。
笔者认为,个人信息权益只是侵犯公民个人信息罪保护的法益之一。《个人信息保护法》规定信息主体有前述8种权利,《民法典》只规定了其中的5种权利,关于这些“权利”属于权益、权利或者权能,是物权、债权还是人格权,在民法学界存在争议 47 ,《民法典》和《个人信息保护法》都将其定性为个人信息权益并给予法律保护,而不是只受公法保护。但是,没有理由认为侵犯公民个人信息罪保护的只是“个人信息保护权”,除了前述个人信息关联超个人利益、相关法律法规与司法解释中的超个人法益规定,侵犯个人信息权益没有被规定严重的民事法律责任,如果刑法仅仅保护个人信息权益,更不可能设置重刑,而侵犯公民个人信息罪的最高法定刑是7年有期徒刑,如果该罪不保护其他重要法益,难以证成该罪刑罚的正当性。而且,我国保护个人信息的法律中只有《网络安全法》使用“个人信息安全”概念 48 ,在该法及《个人信息保护法》和《关于加强网络信息保护的决定》中,只有少数法条使用了信息主体“有权”的表述 49 ,大部分法条规定的是保护个人信息安全的规则及相关行政法律责任,没有理由认为以上行政法律只保护前述个人权利(益),而不包括个人信息安全管理秩序。
2、 刑法保护的个人信息权益包括个人信息保护权和个人信息相关其他权益
个人信息保护权是信息主体在个人信息处理过程中保护个人信息的权利。个人信息处理活动影响个人权益,传统法律不能提供有效保护,有必要赋予信息主体保护个人信息的权利,这种权利是防御性权利,不产生对个人信息的占有权,也不应将其定性为个人信息自决权,否则会使该权利绝对化,损害其他个人信息相关方的利益。个人信息保护权不仅受到民法、行政法的保护,也应当受到刑法的保护,这是因为,侵犯个人信息犯罪必然侵犯个人信息保护权,而相关人身、财产权益等是被间接侵犯的选择客体,并非在所有犯罪中必然遭受侵害,如果个人信息保护权不是其保护的法益,该罪就缺乏合理的基础法益。《个人信息保护法》是专门保护个人信息的法律,个人信息保护权的内容应当是该法规定的前述8种权利,这种法益的重要性程度较低,仅侵犯个人信息保护权行为的社会危害性较小 50 ,通常是侵犯数量较多的个人信息时,才能以积量构罪的方式构成侵犯公民个人信息罪。 51
个人信息相关权益是个人信息关联的人身、财产和其他权益。各类信息系统处理的个人信息关联到信息主体的人身、财产安全以及受教育和工作机会等权益,侵犯公民个人信息罪行为间接侵犯信息主体的以上某方面权益并引起现实的危险,如非法提供的行踪信息被他人用于故意伤害、杀人犯罪。相比于直接侵犯人身、财产安全的犯罪,侵犯个人信息相关权益行为的危害较轻,如果被侵犯的个人信息关联权益不是重要法益时,单次侵犯行为可能达不到应受刑罚处罚的严重程度。例如,在“人肉搜索”和网络暴力活动中,行为人在网上公开特定人的身份、经历和言行等信息,间接侵犯他人的人格尊严,由于侮辱罪是轻罪,非法提供前述个人信息的行为可以被视为侮辱罪预备行为,达不到应受刑罚处罚的严重程度。如果被侵犯的个人信息关联重要法益如人身或重大财产安全,或者侵犯大量个人信息,则可以满足应受刑罚处罚的必要性。
(二) 个人信息安全管理秩序是该罪的主要法益
有学者认为该罪法益是超个人法益,关于法益内容不同学者有不同观点。曲新久教授认为,刑法在个人信息之前冠以“公民”二字,且该罪多适用于涉众型犯罪,因此,该罪法益的性质既是超个人法益,也是个人法益。 52 相似的观点认为,该罪法益是“公民信息的管理制度以及社会对公民个人信息的处置方式”,其处罚模式是预防性处罚而非实害性处罚。 53 还有观点认为,该罪法益是集体法益性质的信息专有权,权利内容是法定主体对其占有个人信息的处分权。 54 以上观点值得商榷:(1)曲新久教授没有明确所述个人法益和超个人法益的内容,其结论的推导依据不足。(2)将该罪法益的内容表述为“公民信息的管理制度以及社会对公民个人信息的处置方式”,内涵不够明确,并且,我国个人信息相关法律法规既保护个人信息,又促进其合理利用,并非偏向某一方面。侵犯公民个人信息罪不是预防性犯罪,因为刑法设立的预防性犯罪往往是为了提前保护重大法益,且通常为轻罪,而该罪的下游犯罪范围广泛,并非都是危害重大法益的犯罪,如侮辱罪等,加之,该罪最高法定刑为7年有期徒刑,不是轻罪。(3)关于集体法益与个人法益的关系,哈塞默(Hassemer)认为,“构成合法法益基础的是单个的个人利益,而不是通过个人来实现其功能的群体的和国家的利益” 55 ,多数学者认同集体法益应以人的利益为基础和目标,同时,只有一种利益能够影响社会上的每一个人时,这种利益才可以成为集体法益。如果这种利益并不是服务于所有人而是少数人或特定群体,将其作为受刑法保护的集体法益是不正当的。 56 前述个人信息专有权说将个人信息处理者的利益作为该罪主要保护的法益,不能反映公共利益,认为间接保护的个人信息自决权是宪法权利,如前文所述,缺乏本国法律制度和法律传统依据。
笔者认为,该罪立法保护的主要法益是个人信息安全管理秩序。前文分析过,保护本国利益和实现个人信息相关方最佳利益平衡是包括刑法在内的个人信息保护立法的共同目标,如果《刑法》等法律法规主要保护个人信息权益,则偏离了以上目标。从目前个人信息立法的规定来看,它们主要不是保护信息主体的个人权益,而是维护个人信息安全管理秩序:《网络安全法》《关于加强网络信息保护的决定》等法律法规主要规定个人信息安全管理制度;《个人信息保护法》虽在第四章规定了信息主体的个人信息保护权,但其他章节主要规定的是个人信息处理和跨境提供规则,且第五章“个人信息处理者的义务”并非对应于信息主体的权利,而是个人信息处理者的合规义务,是个人信息处理规则的延伸;在《民法典》第六章“隐私权和个人信息保护”中,只有第1037条规定了个人信息保护权,该章其余法条主要规定的是个人信息处理规则、信息处理者的信息安全保障义务、相关职能部门的保密义务等。作为以上法律法规的保障法,刑法同样服务于前述目标,即主要不是保护个人信息权益。作为侵犯个人信息犯罪的一般犯罪,侵犯公民个人信息罪应当与窃取、收买、非法提供信用卡信息罪和拒不履行信息网络安全管理义务罪一样,主要保护超个人法益或集体法益。
侵犯公民个人信息罪的法益具有集体法益和个人法益二重性,集体法益是主要法益。不同于“侵犯公民人身权利、民主权利罪”章的其他罪名,侵犯公民个人信息罪将“违反国家有关规定”作为犯罪前提,这一前提是对个人信息权益作为该罪法益地位的限制。 57 《个人信息保护法》是主要的前置法,该法不仅规定了个人信息权益,也规定了个人信息安全秩序。如该法第10条规定,不得从事危害国家安全、公共利益的个人信息处理活动,第5条至第7条规定了若干限制处理的原则,包括合法、正当、必要、诚信、公开、透明、合理目的、最小范围收集等,这些都超出了信息主体知情同意的限制范围。此外,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将“造成重大经济损失或者恶劣社会影响的”规定为特别严重情节,司法实践中单纯侵犯个人信息保护权的案件绝大多数是涉众型案件,以上都表明该罪保护的并非仅为个人信息权益。犯罪对象有别于犯罪客体,侵犯公民个人信息罪的犯罪对象是个人信息,不等于信息主体的个人权益是该罪的主要法益。与之相似的是侵犯知识产权罪,虽然知识产权是该类犯罪的被害法益,但是,其主要法益却是社会主义市场经济秩序,而且,部分犯罪行为还不侵犯知识产权,如制作出售假冒他人署名的美术作品行为。因此,维护本土利益和实现个人信息相关方最佳利益平衡的个人信息安全管理秩序才是该罪的主要法益。
个人信息安全管理秩序与个人信息权益具有一致性。“自由与控制没有真正的对立,自由是在控制下实现的。个人保护自由的不足,通过让渡权利,获得国家的保护” 58 ,在数字社会环境中,信息主体无论是凭借自身的控制能力还是主张法律权利,都不足以充分保护个人权益,只有通过让渡部分权益给国家,借助于刑法保护个人信息安全管理秩序,才能实际获得强大的国家保护。个人信息安全管理秩序涵盖对信息主体个人权益的保护,保护个人信息权益属于个人信息管理秩序的内容之一,但将其作为该罪的主要法益则不符合事实与法律,特别是在个人权益与国家利益相冲突的情形下,会使得信息主体的个人信息权益及其与个人信息处理者的合同权益凌驾于国家利益之上。例如,信息主体同意信息处理者跨境转移个人信息,后者行为危害国家安全与利益,如果个人信息权益是主要法益,因其没有侵犯信息主体的个人权益,则不能按侵犯公民个人信息罪定罪处罚;同时,这些个人信息通常不构成国家秘密或商业秘密,导致以上信息处理者的行为也不能按其他犯罪处罚,使国家安全和公共利益面临严重威胁。
三 、个人信息刑法法益性质的司法实证及相关立法完善
我国保护个人信息的刑事立法和司法实践体现了对个人信息相关方利益的平衡保护,确认了个人信息刑法法益的二重性,但是,侵犯公民个人信息罪立法及其司法还存在不足,应当顺应我国个人信息保护立法的利益导向,及时完善相关刑法规定及其司法规则。
(一) 个人信息刑法法益性质的司法实证
侵犯公民个人信息罪立法及其适用在理论界和司法实践中争议较多,“两高”通过制定《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》解决了大部分问题,该罪立法及司法符合个人信息保护法的利益导向,确立了个人信息刑法法益的性质与内容。
1 、保护个人信息权益
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将严重侵犯个人信息权益作为认定侵犯公民个人信息罪的重要依据,体现了对个人信息权益的保护。该解释与《个人信息保护法》对“公民个人信息”所作的定义相似 59 ,不同之处是,前者列举了7种个人信息,并在第5条列举了轨迹信息等4种核心个人信息和住宿信息等4种重要个人信息,还以定性方式将可能影响人身、财产安全的公民个人信息规定为重要个人信息。这些核心、重要个人信息的共同特点是不仅具有识别性,还关联信息主体的人身安全和重大财产安全,个人信息关联的实体权益越重要,个人信息权益的重要性程度越高,受刑法保护的门槛就越低。相比于以上两类个人信息,侵犯一般个人信息需要达到十倍以上数量要求才能满足该罪的定罪条件。可见,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》确认个人信息保护权是该罪的基本法益,个人信息关联的实体权益是选择性的重要权益,二者结合在一起构成个人信息权益,后者提升了危害行为的社会危害性,降低了入罪门槛。
对个人信息权益尤其是个人相关实体权益的侵害是评价犯罪情节的重要依据。除了《个人信息保护法》第13条第二项至第七项规定的情形,未经信息主体同意处理个人信息属于侵犯个人信息行为,但是,只有其中的非法获取、提供个人信息且情节严重的,才可能成立侵犯公民个人信息罪。严重侵犯个人信息权益特别是重要实体权益,是评价情节严重的重要依据。首先,严重侵害或威胁信息主体的实体权益是成立“情节严重”“情节特别严重”的认定依据。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条第1款规定的“情节严重”包括“出售或者提供行踪轨迹信息,被他人用于犯罪”和“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供”,导致信息主体的实体权益遭受实际侵害或者现实性威胁,达到了应受刑罚处罚的严重程度,而不是一般侵权行为造成的较轻危害;第2款规定的“情节特别严重”包括“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”,更是以信息主体生命、健康、人身自由权利遭受严重侵害作为认定该罪重罪的依据。其次,根据个人信息关联的个人权益重要性程度,对个人信息权益受侵害程度进行量化评价。除了前述情形外,绝大多数侵犯公民个人信息犯罪是“积量构罪”构造的涉众犯罪,需要侵犯大量个人信息才能成立犯罪,个人信息关联的实体权益的重要性程度是倍增行为危害量的主要因素。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条规定,行踪轨迹等4种核心个人信息关联的个人权益最重要,被赋予超过一般个人信息百倍的加权系数,重要个人信息关联重要的个人权益,被赋予十倍的加权系数。此外,该解释第5条、第11条规定,对各类个人信息权益受损害量“按相应比例合计达到有关数量标准”,可见,该罪保护的个人信息权益是可计量的具体权益,而不是抽象的一般人格权或个人信息自决权。
2、 重点维护个人信息安全管理秩序
犯罪是严重危害社会的行为,犯罪的社会危害性大小主要通过被害法益的性质来体现,我国《刑法》分则“原则上依据犯罪的同类法益对犯罪进行分类” 60 ,分为社会危害性程度不同的十类犯罪,并配置了不同轻重程度的法定刑。从《刑法》《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的规定及相关司法判决来看,侵犯公民个人信息罪的社会危害性主要通过妨害个人信息安全管理秩序而非侵犯信息主体的个人权益来表现。
保护个人信息的“国家有关规定”确立了个人信息安全管理秩序。该罪危害行为限定为“违反国家有关规定”的个人信息获取、提供行为,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第2条将“违反国家有关规定”解释为“违反法律、行政法规、部门规章有关公民个人信息保护的规定”,这些规定虽然也保护信息主体的个人权益,但主要是维护个人信息安全管理秩序:(1)《个人信息保护法》第13条规定的合法处理个人信息的7种情形包含“取得个人的同意”,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第3条规定的非法提供行为包括“未经被收集者同意,将合法收集的公民个人信息向他人提供的”,以上规定体现了对个人信息权益的保护;(2)该司法解释第4条规定的以其他方法非法获取个人信息则是表述为“违反国家有关规定”,而非“取得个人的同意”。有关单位或个人违反《个人信息保护法》第5条、第6条、第7条的规定,即使取得了个人的同意,其获取公民个人信息仍然属于非法行为。因此,个人信息权益不能完整体现该罪的法益,个人信息安全管理秩序则能全面涵盖国家、企业和社会服务单位以及信息主体的利益,应是该罪的主要法益。
侵犯个人信息相关民事、行政、刑事案件判决状况也能证成以上结论。笔者以“个人信息”为关键词,从裁判文书网、北大法意网、无讼网上检索2017—2021年的人格权纠纷民事一审判决书、以侵犯公民个人信息罪判决的刑事一审判决书和侵犯个人信息案件的行政一审判决书,各年对应的刑事、民事、行政案件一审判决书数量如图3所示。
图3 2017—2021年个人信息保护一审判决
以上数据显示,相关民事、行政一审判决书数量明显少于刑事一审判决书数量,说明个人信息的刑法保护发挥了主要作用,也说明侵犯公民个人信息罪并非只保护信息主体的个人权益,理由是:(1)如果该罪只保护个人信息权益,作为惩罚严重侵犯个人信息权益的刑事案件应远少于相应的民事案件,而以上刑事、民事一审判决数量反差显著,与该种推断相悖;(2)分析前述刑事一审判决书,仅有极少数案件是侵犯单个信息主体的少量个人信息 61 ,绝大多数案件中侵犯的公民个人信息的数量巨大,具有涉众型犯罪的妨害社会管理秩序特征。以上司法实践也证实,该罪的被害法益主要不是信息主体的个人信息权益,而是个人信息安全管理秩序。
(二) 个人信息刑法保护的应然发展
在侵犯个人信息犯罪立法中,个人信用卡信息相关犯罪立法对个人信用卡信息实现了全过程的刑法保护,拒不履行信息网络安全管理义务罪立法要求网络服务提供者承担保护个人信息安全的刑法义务,而侵犯公民个人信息罪虽经多次修改,仍存在不足。原因在于,随着《个人信息保护法》《数据安全法》《民法典》的相继出台,个人信息保护法的利益导向逐渐清晰,而侵犯公民个人信息罪立法及《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的施行时间早,个人信息的刑法保护没有及时跟进,与相关民事、行政法律之间的不协调日益突显。为了实现个人信息保护法的目标,协调对个人信息的各部门法保护,有必要完善个人信息刑法保护体系。
1 、侵犯公民个人信息罪应属于妨害社会管理秩序罪
前文分析过,侵犯公民个人信息罪的主要法益是个人信息安全管理秩序,作为次要法益的个人信息权益超出公民人身权利的范围,将该罪设置在“侵犯公民人身权利、民主权利罪”章中,与《个人信息保护法》《网络安全法》《民法典》等相关规定相悖,应当转移到保护秩序法益的犯罪章节中去。窃取、收买、非法提供信用卡信息罪和拒不履行信息网络安全管理义务罪的被害法益都是秩序法益。前者犯罪对象是个人信用卡资料,属于个人信息,因为这类个人信息关联金融管理秩序,而被设置在“破坏金融管理秩序罪”中。后者规制网络服务提供者不履行信息网络安全管理义务致使用户信息泄露行为,可以识别个人身份的用户信息属于个人信息,其行为妨害个人信息安全管理秩序。可见,无论是否属于特殊类型的个人信息,个人信息关联的不只是个人权益,主要侵犯的是秩序法益。侵犯公民个人信息罪是专门保护个人信息的普通犯罪,应当反映侵犯个人信息犯罪的共性,将其设置在“妨害社会管理秩序罪”中更妥当,考虑其与拒不履行信息网络安全管理秩序罪的密切关系,建议设为《刑法》第286条之二。 62
2、 个人信息的刑法保护应当体系化,对侵犯个人信息犯罪生态进行全过程刑法治理
个人信息的法律保护应当形成相互协调的体系。《个人信息保护法》《民法典》等法律法规建立了涵盖收集、存储、使用、加工、传输、提供、公开、删除个人信息等个人信息处理相关制度,而不只是收集、提供个人信息的规则,如《民法典》第111条禁止非法收集、使用、加工、传输、买卖、提供或者公开他人个人信息行为,《个人信息保护法》规制的处理个人信息行为包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。而侵犯公民个人信息罪只处罚非法获取、提供行为,不包括非法使用、加工等行为,与前述民法、行政法的保护不协调。此外,个人信息的刑法保护自身也不协调。《刑法》对个人信用卡信息给予全过程的刑法保护,《刑法》第177条之一、第177条和第196条打击个人信用卡信息相关整个犯罪链行为,包括窃取、收买或者非法提供他人信用卡信息资料,使用以上信用卡信息伪造信用卡,明知而持有或运输、出售或购买或为他人提供伪造的信用卡,使用伪造的信用卡;并且,将非法使用信用卡信息资料即伪造信用卡行为作为犯罪链中的核心行为,规定了最重的法定刑。侵犯公民个人信息罪处罚侵犯信用卡信息资料以外个人信息的行为,这些行为具有类似的犯罪产业链,部分个人信息如金融账户、行踪信息等比个人信用卡信息关联的利益更重要,没有理由不给予全面的刑法保护。
我国应当对侵犯个人信息犯罪生态进行全过程刑法治理。在数字社会环境下,个人信息是关键的生产要素,对犯罪人而言是关键的犯罪条件或获利机会,侵犯个人信息犯罪不只是非法获取、提供个人信息,而是形成了非法获取、存储、提供、传输、使用、分析、加工个人信息的犯罪产业链,在个人信息生命周期各阶段侵犯其安全,个人信息流动“管道”的任何一段得不到充分的保护,都会导致个人信息刑法法益遭受严重侵害,因此,不能只在个人信息生命周期的初期给予刑法保护,而应当进行全周期刑法保护。 63 侵犯个人信息犯罪的产业链行为相互独立、共生互利,上下游犯罪人之间是非法交易个人信息及其处理物的关系,而不是共同犯罪关系,应当将其中危害严重的行为纳入刑法规制范围。非法使用个人信息最接近对法益的直接侵害,并从中获得非法利益,还为上游犯罪输送利益,是整个犯罪产业链的核心,具有最严重的社会危害性,应当是刑法打击的重点。 64 而《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》非但不处罚非法利用行为,还将“为合法经营活动”规定为经营者非法获取个人信息行为的出罪条件,助长了侵犯个人信息犯罪产业链的野蛮生长。关于侵犯公民个人信息罪不处罚非法使用行为的原因,有学者认为,非法获取和非法利用往往是一个行为整体,后者是前者的自然发展,按非法获取个人信息行为认定即可。 65 笔者认为,非法使用是目的行为,非法收集是手段行为,如果由同一人或数个共同犯罪人实施,应当是非法使用行为吸收非法收集行为,而不是相反;当前非法收集行为和非法利用行为之间往往是上下家交易关系,难以认定为共同犯罪,更不可能将非法利用行为按照非法获取行为认定。该观点也不能解决合法收集个人信息并未经同意使用个人信息行为的定罪处罚问题。虽然部分非法使用个人信息行为可以按照传统犯罪的实行犯、预备犯或帮助犯处罚,但是,许多危害严重的非法使用个人信息无法按此方法处置,如将合法采集的中国人基因信息用于定向性基因武器的研发、将用户信息用于政治或商业趋势信息的分析与发送等。立法者未将非法利用个人信息行为纳入侵犯公民个人信息罪的主要原因,有可能是为了促进个人信息的利用,这种立场有失偏颇,不符合前文所述的立法目标。即使是重视保护信息企业利益、有限保护个人信息权益的美国刑法,其所规定的身份盗窃罪也不限于处罚非法获取、提供个人信息行为,还处罚未经合法授权的持有、使用他人的识别方法信息。 66 根据前述个人信息保护法的利益导向和立法目标,我国刑法应当扩大侵犯公民个人信息罪的处罚行为范围,至少涵盖非法获取、持有、提供和使用个人信息的行为。
“为合法经营活动”不应当是侵犯个人信息权益行为的正当化事由。《个人信息保护法》第13条规定了合法处理个人信息的7种情形,除了为履行法定职责或者法定义务所必需和为公共利益实施新闻报道、舆论监督,其他情形都不得违背信息主体的意志侵犯其个人信息。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第6条却违反了该法规定。该第6条规定,为合法经营活动而非法购买、收受核心、重要个人信息以外的个人信息,只有利用其获利五万元以上的,才成立“情节严重”。换言之,非法获取以上个人信息用于合法经营活动、获利五万元以下,无论被侵犯的个人信息是否超过5000条,其行为都不构成侵犯公民个人信息罪,实质上是将“合法经营目的”确定为该罪的出罪事由。笔者认为,该条规定极不妥当:(1)合法经营目的不属于《个人信息保护法》第13条规定的未经同意但合法化的情形。合法经营单位非法购买、收受个人信息后的利用活动往往是未经信息主体同意的广告推广、客户联络等活动,不具有《个人信息保护法》第13条规定的合法化事由,其非法购买、收受行为构成《刑法》第253条之一规定的非法获取公民个人信息行为。(2)在司法实践中,侦查机关往往难以查实非法获取个人信息的类型和数量,更难以查明大量利用个人信息行为及其产生的利益,绝大多数情况下不能取得符合该项规定所需要的证据。即使获利数额能够查明,但只要非法购买、收受了个人信息且符合前述司法解释第5条规定的情形的,就已经齐备该罪的构成要件,应当依法追究刑事责任,而不应法外增设新的入罪限制条件。同理,前述司法解释第6条也不应该规定后二项入罪限制条件。总之,在《个人信息保护法》规定了合法处理个人信息的条件后,该司法解释第6条不应再适用。
3 、应增设为境外窃取、刺探、收买、非法提供公民个人信息罪
信息安全是总体国家安全的重要组成部分,个人信息关联国家安全与经济利益,为境外窃取、刺探、收买、非法提供公民个人信息比其他侵犯个人信息犯罪的危害性更严重,有必要设置为境外窃取、刺探、收买、非法提供公民个人信息罪,给予特别的刑法应对。除了被害法益是国家安全和经济利益,增设该罪的理由还有:
(1)为个人信息保护相关法律法规提供刑法保障。我国《网络安全法》《个人信息保护法》等法律法规都规定向境外提供个人信息应当进行安全评估,遵守相关安全管理制度,违反以上规定的,要承担相应的行政法律责任。如果行为人故意为境外窃取、刺探、收买、非法提供大量公民个人信息,且危害国家安全和经济利益的,以上法律法规规定的法律后果不足以实现对违法者特殊预防、对其他潜在犯罪人一般预防的效果,同时,与其造成的社会危害后果不相称。例如,滴滴全球股份有限公司为境外非法提供大量国内用户个人信息,“存在严重影响国家安全的数据处理活动”“违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患”,不仅严重损害个人信息权益,还严重威胁国家安全。 67 该公司被处以80亿元人民币的罚款,对于一家市值近700亿美元和年营收近2000亿元的大公司而言,该笔罚款可能仅被视为不“伤筋动骨”的经营成本,难以起到震慑和预防犯罪的作用,而其给国家安全造成的损害无法用罚款来弥补。《数据安全法》第46条规定,违反该法向境外提供重要数据的,最高可处罚款一千万元,更是难以遏制严重侵犯数据安全的违法行为,刑法应当为以上民事行政法律法规建立的个人信息跨境流动制度提供充分保障,通过严厉惩治犯罪来保护国家安全与经济利益。
(2)以刑法手段惩治为境外的机构、组织、人员窃取、刺探、收买、非法提供个人信息犯罪具有必要性和紧迫性。在数字社会环境下,个人信息是重要的战略资源,有必要从维护总体国家安全的角度给予充分的保护。为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密、商业秘密和个人信息都会严重危害国家安全与利益,对于前二者行为,我国刑法规定了为境外窃取、刺探、收买、非法提供国家秘密、情报罪和为境外窃取、刺探、收买、非法提供军事秘密罪,还规定了为境外窃取、刺探、收买、非法提供商业秘密罪。为境外窃取、刺探、收买、非法提供个人信息与商业秘密在主观恶性上相同,在客观危害上可以远超后者,《刑法》已设立了为境外窃取、刺探、收买、非法提供商业秘密罪,举轻以明重,有必要以刑法手段惩治为境外窃取、刺探、收买、非法提供个人信息的行为。在当前国内个人信息被大量非法采集、挖掘和利用的严峻形势环境下,为境外窃取、刺探、收买、非法提供个人信息给国家安全和利益造成的危害日益严重,应当尽快增设前述犯罪,遏制此类犯罪活动。鉴于《刑法》在侵犯商业秘密罪之后设置为境外窃取、刺探、收买、非法提供商业秘密罪,建议在侵犯公民个人信息罪立法之后增设一条,设立为境外的机构、组织、人员窃取、刺探、收买、非法提供个人信息罪,设置比前者更重的法定刑。
ABOUT
作者简介:皮勇,同济大学上海国际知识产权学院教授、博士生导师
转自:“社会科学研究杂志”微信公众号
如有侵权,请联系本站删除!
