来倩如??西南政法大学法学院硕士研究生。
内容摘要
司法实践中对于侵犯公民个人信息罪的法益立场面临着困境,即忽略公民的个人信息自决权。通过以信息自决权为切入点,对本罪的入罪边界进行探讨。刑法对于公民自由处理其个人信息的不合理规制一定程度上违背商业发展的逻辑和需要,对于主动公开的信息应当具有二次授权性,并且前置法已承认公民个人信息自决权。因此应当将本罪法益确定为超个人法益与个人法益的结合,在符合刑法谦抑性原则的基础上准确打击侵犯公民个人信息的行为。
关键词:法益?侵犯公民个人信息罪?信息自决权?超个人法益?入罪边界
一、侵犯公民个人信息罪的现实困境
自年以来,经过二十多年的发展,互联网早已经全面嵌入社会生活的方方面面。社会共同生活已经不仅存在于公共领域,个体的私人生活、私人信息也成为社会共同生活的一部分。如果拒绝提供个人信息数据,那么公民可能得面临与社会一定程度上的脱离。而在提供的过程中,公民个人信息存在泄漏的重大风险。因而,在大数据时代,个人信息保护问题日益成为社会热点问题,面对日益增加的信息风险,法益保护前置已经成为立法上的现实选择。民法典、中华人民共和国消费者权益保护法、中华人民共和国网络安全法等法律对于个人信息未经同意不得收集和使用的相关规定,强调公民对于自己的个人信息具有支配权,而如果经过同意进行收集或者使用的行为则不算作侵权。
而实践中存在这么一种案例,即行为人利用真实身份信息注册电子商铺,在未进行店主信息变更的情况下,将包含注册人手机号码、身份证号码、真实姓名等个人信息的电子商铺贩卖给他人。这种做法导致电子商铺所有人与实际经营者不同一,极大地给电商平台管理带来增加难度,并且为电子商铺销售违法伪劣商品提供了灰色空间。值得注意的是,本案中被出卖个人信息的注册人是同意的、且有获得对价,根据相关民事法律和行政法律的规定可知经过同意后对个人信息进行买卖并不算是一种侵权行为,而本案中法院认为行为人构成侵犯公民个人信息罪,即刑法排除民事法律和行政法律直接对该行为进行处罚。除此,自愿买卖身份证信息的案例还体现在,公民将自己的个人信息出售给购买者,购买者利用其进行违法犯罪活动或者申领银行卡后进行违法犯罪活动,给司法实践带来巨大的挑战。
有罪论认为侵犯公民个人信息犯罪的法益并不是公民个人的人身权利,而是社会的公共安全,具体来说是公共信息安全,上述情况可以以本罪进行规制。但是公共信息安全作为社会秩序法益,本就有对象模糊化的缺陷,为何要把本罪中已经确定了的犯罪对象即公民个人信息模糊化呢?其次,在其他法律已经不认为是违法的情况下,刑法作为“保障法”,可否超脱于其他前置法,直接介入调整呢?再次,公民个人对自己的个人信息是否具有使用权,在多大范围里具有使用权?刑法条之一中的“违反国家有关规定”是否需要指明“限制公民个人信息处分权”的相关规定?最后,个人信息的利用对于市场经济发展、国家治理、社会进步等具有重大的积极意义,那么在刑法层面应当如何对待出售或者提供公民个人信息的行为呢?
刑法分则以法益的分类为根据而具有了明显的结构化,而法益也揭示了犯罪的本质内涵和可区别的外延,可以说认识法益是正确适用某一罪名的前提。因此,欲探究侵犯公民个人信息罪的适用边界,首先需要明确本罪之法益究竟是何。基于上述问题意识,本文旨在以“信息自决权”为中心,对侵犯公民个人信息罪法益的适用逻辑进行反思,以期刑法第条之一的法益保护限定在罪刑法定框架内,尤其在各种前置法规范以及网络准则不健全的互联网环境下,避免刑法的过度介入。
二、侵犯公民个人信息罪在保护什么?
(一)本罪法益内容的争论
从刑法条文本身表述来看,侵犯公民个人信息罪的犯罪对象较为明确,即为“公民个人信息”。因此关于本罪的法益的争论首先围绕“个人信息”展开,实质上是个人信息和个人隐私之间的关系问题,形成了信息权说和隐私权说。信息权说认为侵犯公民个人信息罪所侵犯的具体法益类型真正在于“个人信息自决权”,其中包括公民个人信息所涵括的个人对涉及自身信息的安全决定权、自由决定权、收益决定权、隐私决定权以及尊严决定权。而隐私权说强调本罪法益是公民的隐私权,既包括公民个人隐私不受侵犯的权利,也包括公民对自己个人信息的控制权。由于其对个人信息和个人隐私进行绝对的区分,并且认为侵犯公民个人信息罪仅保护其中一种,本文将其称为单一个人法益论。显然,对于单一个人法益论而言,其所产生的分歧也仅针对个人法益本身,最终受到侵犯的仍是公民个人。然而,个人信息和个人隐私在概念上本就难以绝对的划分,因此学界有观点认为本罪的法益应当是个人信息权和隐私权并存,即本罪的法益是公民个人的信息自由、安全和隐私权。或者认为本罪所保护的法益即公民个人的信息自由、安全和隐私权的双重法益,其中,主要法益为公民个人的信息自由和安全。
就个人信息和个人隐私的关系而言,存在包容说和交叉说,争论的症结是人们在什么层面使用个人信息与个人隐私。包容说要么认为个人隐私包括个人信息,要么认为个人信息包括个人隐私。有学者主张个人信息包括个人隐私,个人隐私的范围只是公民个人信息的一部分。认为隐私包含信息的人认为从比较法上看,无论是理论还是判例,对于隐私与个人信息的保护,多采取“一元制”保护模式,即不区分隐私与信息,将信息纳入隐私的范畴而采取同一保护,如美国、日本、我国台湾地区等。
交叉说是指个人信息与隐私的内涵互有交叉。“自然人的隐私,是自然人与公共利益、群体利益无关的,不愿他人知道或他人不便知道的信息,不愿他人干涉或他人不便干涉的个人私事,以及不愿他人侵入或他人不便侵入的个人领域。隐私有三种形态,一是个人信息,为无形的隐私;二是个人私事,为动态的隐私;三是个人领域,为有形的隐私。”由此可见,以对隐私的经典理解为基石,个人隐私包括隐私信息、隐私活动、隐私空间等内容,其中隐私信息、隐私活动属于个人信息,隐私空间不属于个人信息的范畴。隐私信息、隐私活动具有一定的可识别性,即可以根据该信息本身从而有识别出特定的自然人,如在自家门口安装监控对门活动的摄像头,由此获得的信息具有可识别性;但是对于裙底偷拍等类型的侵犯隐私所得的个人信息则难以识别出特定的自然人。“必须承认的是,隐私与信息有时可以清晰地区分开来,有时则难以区分。因为,隐私由两部分构成:一部分属于‘空间隐私权’,如住宅、公共场所(如商场)中的更衣室、浴室等,该部分隐私与信息的区分是泾渭分明的。但还有一部分隐私是通过一定的载体体现或者表达出来的,其表现形式就是‘信息’,尤其是在今天这样一个越来越‘无纸化’的生活时代,如个人的数码私密照片等。”
因此由上可以看出,个人信息与个人隐私的使用是不在同一个层面上的,人们往往会根据需要对同一词汇选择了不同的意义片段。实际上,个人信息分为广义的个人信息和狭义的个人信息,而隐私同样也包括广义和狭义的隐私。广义的个人信息是指一切与特定人相关的信息,不要求具有识别性。狭义的个人信息指能识别个人身份的信息(身份信息),如肖像、指纹、家庭关系等信息。广义的隐私包括隐私信息、隐私活动、隐私空间等内容,狭义的隐私仅指隐私信息、隐私活动,即以信息的形式体现出来的不愿让外界知悉的个人事项(隐私信息),归根到底其仍是属于个人信息的一种表现形式。从逻辑上来看,广义的个人信息可以包括狭义的个人信息(身份信息)和狭义的隐私(隐私信息)。因此,信息权和隐私权并存说更为合理。
而单一个人法益论的主张引发了另外一个问题,即人作为社会生活的成员,其个人信息受到侵犯有可能并非仅仅损害其个人的利益,还对社会、国家的利益造成威胁,个人身份信息的泄露给国家对社会的管理制度和秩序带来严峻挑战,譬如本文所讨论的案例中造成的市场监管困难,形成执法死角,损害国家和社会的利益。在单一个人法益论的主张下,如果经过身份信息主人的同意和授权,并且未给信息主人本人带来任何损害的情况下,则无法追责此类违法犯罪行为。因此,学界将超个人法益引入侵犯公民个人信息罪的保护法益当中。即认为当代信息社会,公民个人信息不仅直接关系个人信息安全与生活安宁,而且关系社会公共利益、国家安全乃至于信息主权。
实际上,将本罪法益确定为个人法益与超个人法益并存是更为合理的。首先从刑法体系上看,本罪位于刑法第四章侵犯公民人身权利、民主权利,即侵犯公民个人信息罪的首要法益应当是公民的个人信息权、生活安宁权等人身权利,正如生命权、健康权一般是公民在社会中平稳、幸福生活的重要权利。实际上,其个人信息遭到窃取、泄露、买卖等不仅会受到破坏生活安宁和稳定等一次伤害,更有可能引起对人身、财产进一步侵害的二次伤害(比如掌握其轨迹的前提下对其实施抢劫、强奸等行为)。其次,从公民社会、国家的角度解释,本条所谓的“公民个人信息”应当具有超个人法益的属性。在现代社会,公民的个人信息还关系到社会利益、国家利益甚至信息主权等问题。信息“贩子”们通过打包出卖购买公民的个人信息,并以此作为工具实施其他犯罪行为,包括利用假身份信息进行虚假注册银行卡等,严重违反国家的相关管理制度和侵害公私财产安全。正如年最高法最高检以及公安部发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》中所强调的:“互联网上非法买卖公民个人信息泛滥,由此滋生的电信诈骗、网络诈骗、敲诈勒索、绑架和非法讨债等犯罪屡打不绝,社会危害严重,群众反响强烈。”
(二)本罪法益之具体内容展开
日本刑法以及我国台湾地区“刑法”都规定有侵犯个人秘密的犯罪,对保护个人隐私的重视可见一斑。据此解读,“无论是泄露秘密罪,抑或是侵害言论隐私权罪,保护的法益都是公民不为他人所知的隐私,这一点与我国的侵犯公民个人信息罪完全不同。”我国刑法中有针对侵犯国家秘密、军事秘密、商业秘密的专项性罪名,但没有专门针对侵犯个人秘密提供保护的罪名。在刑法修正案(七)出台之前我们对个人隐私采取了分散性、片段性保护,仅规定了窃取、收买、非法提供信用卡信息资料罪(第条之一第2款),侵犯通信自由罪(第条),私自开拆、隐匿、毁弃邮件、电报罪(第条),非法获取计算机信息系统数据、非法控制计算机信息系统罪(第条第1款),泄露不应公开的案件信息罪(第条之一第1款),披露、报道不应公开的案件信息罪(第条之一第3款)等犯罪。诞生于刑法修正案(七)并经过刑法修正案(九)修正的侵犯公民个人信息罪弥补了对“个人秘密”全面保护的欠缺,本质上是侵犯隐私信息的一般性罪名。否定侵犯公民个人信息罪保护个人秘密是只
