尚权推荐SHANGQUAN RECOMMENDATION

尚权推荐 | 孙运梁 张婷:公民个人信息刑法保护的困境及其解决

作者:尚权律所 时间:2022-04-01

公民个人信息刑法保护的

困境及其解决

摘要

 

大数据时代背景之下,公民个人信息正面临着日益严重的威胁。我国《刑法》设置了专门的罪名并出台了相关的司法解释,但是这些规定在复杂多变的司法实践中已经陷入诸多困境,例如个人信息范畴不明确和分类标准不清晰导致无法准确适用侵犯公民个人信息罪的规定、入罪行为规定不足导致无法从根源上遏制犯罪行为、追诉形式的单一导致无法及时有效地保护个人信息。本文从个人信息的基本理论出发,运用比较研究的方法,结合我国实际情况和域外有益经验,立足于法秩序统一原理提出现行公民个人信息刑法保护困境的解决思路:第一,合理确定个人信息范畴;第二,调整个人信息分类;第三,完善入罪行为的范围,将非法使用行为纳入调整范围;第四,追诉模式上增加自诉方式以弥补单一公诉模式的不足。

 

关键词:个人信息;侵犯公民个人信息罪;法秩序统一原理;信息分级分类

 

作者信息

孙运梁,北京航空航天大学法学院教授

张婷,北京航空航天大学刑事法研究中心研究员

文章全文

随着互联网的广泛普及,个人信息潜在的商业价值被深度挖掘,与此同时各种侵犯公民个人信息的犯罪行为也日益猖獗,个人信息正面临着巨大的威胁。传统的私法保护已经不能完全应对日益复杂的现实问题,公民寻求刑法保护其个人信息的诉求愈加强烈,将侵犯公民个人信息的行为纳入刑法的规制范围具有极大的必要性。我国《刑法修正案(七)》首次将公民个人信息纳入刑法的保护范围,无疑是对公民个人信息保护的重大突破,随后《刑法修正案(九)》对其进行了修正,提高了刑法的打击力度和广度,在很大程度上完善了公民个人信息的刑法保护,但是随着网络技术的发达,侵犯公民个人信息罪的规定在实践中仍然存在一定的困境。个人信息的日益重要性、易受侵害性以及大量实践问题的存在,使得个人信息的刑法保护亟待完善。本文从公民个人信息刑法保护的现实困境出发,围绕个人信息的范畴和分类、入罪行为的范围以及追诉模式进行探讨并提出完善建议。

一、个人信息刑法保护的基本理论

(一)个人信息的基本概念

科学界定公民个人信息的基本概念和范围是准确适用“侵犯公民个人信息罪”的前提。《个人信息保护法》是我国第一部专门保护个人信息的法律,该法第4条在识别说的基础上结合关联说,将个人信息定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。这一规定扩张了个人信息的范围,完善了个人信息的法律保护制度。对于侵犯公民个人信息罪而言,各种前置法对个人信息的概念界定为刑法奠定了理论基础,是刑法所保护的个人信息的最大范围。但是由于刑法与其他法律之间规范目的、功能定位存在较大的差异性,刑法应当作为违法行为最后的制裁手段,只能处罚具有刑事违法性的行为,因此刑法上的个人信息的概念并不完全等同于前置法,而是需要根据自身的特性进行合理地限缩。

(二)个人信息刑法保护的必要性

1.法益侵害的严重性

“根据法益保护原则,刑法应当规制严重侵害法益的行为。”刑法将某一行为规定为犯罪并予以刑事制裁的根本原因就在于其严重侵害了刑法保护的法益,也即具有严重的社会危害性。个人信息不仅具有人格权属性和财产权属性,还具有社会公共利益属性,个人信息所具有的权利属性是法律对其进行保护的根本原因。一旦个人信息遭泄露,最直接的后果就是公民的经济损失。除了对公民经济状况造成严重影响之外,不少公民因为难以承受电信诈骗的后果而丧失生命,这对公民的人格权造成了巨大的威胁。在上述个人法益角度的财产损失和人格权的侵害之外,由于大量的个人信息以聚合的形式存在,一旦遭受侵害,将严重影响社会公共利益。因此,侵犯个人信息的犯罪行为不仅严重损害了公民个人的财产利益和人格利益,而且也会严重影响社会公共利益,其具有严重的法益侵害性。

2.其他制裁方式的局限性

民事制裁、行政制裁和刑事制裁是我国目前对违法行为的三大制裁方式,三者在适用顺序上存在位阶关系,民法和行政法作为刑法的前置法应当优先适用,作为后置法和保障法的刑法只有在前置法无法发挥规范作用时才能介入。民事制裁主要是通过纳入民事侵权行为的范围进行调整,一旦超出民事侵权的范围就不属于民事制裁的对象,因此实践中常常因为无法满足具体人格权被侵害的构成要件而难以获得民法保护;行政制裁措施主要适用于行政关系领域的违法行为,由于受到法律关系的限制,其调整的行为范围受到很大程度的限缩。在互联网高速发展的时代,侵犯个人信息的行为手段和方式发生着迅速的变化,表现形式也日益多样化,作为前置性措施的民事制裁和行政制裁已经无法有效地遏制这些行为,无法满足大数据时代背景之下公民对个人信息保护的现实需求。此时急需刑法的介入,通过发挥最强的制裁力量对此类行为给予最严厉的打击,从而为个人信息提供有效的法律保护。

(三)个人信息刑事规制的法律演进

公民个人信息的刑事规制经历了漫长的历史发展,在立法层面经历了通过“身份盗窃”的间接保护模式到信用卡犯罪的直接保护模式的转变。随着个人信息重要性的日益增长,其在个人权利体系中拥有了独立的地位,附随于其他权利的保护方式已经无法满足现实的需求,成为值得刑法予以保护的独立法益,刑法回应社会的变化对其给予了专属的保护。现行刑法已明确将侵犯公民个人信息的行为规定为一项独立的罪名,即侵犯公民个人信息罪。可以发现,随着时代的变化,刑法对个人信息的保护不断朝着专业化的方向发展。

侵犯公民个人信息罪由出售、非法提供公民个人信息罪和非法获取公民个人信息罪演变而来,后者由《刑法修正案(七)》第7条所增设,被《刑法修正案(九)》第17条修订,修订的主要内容是将犯罪主体由特殊主体扩大为一般主体、将“国家规定”修改为“国家有关规定”、扩大了前置法的范围、增设了从重处罚的规定、提高了本罪的法定最高刑,从而加大了刑事制裁的力度,这有利于更加全面有效地保护个人信息。《刑法修正案(七)》首次将个人信息纳入刑法的保护视野,是我国个人信息刑法保护的重大突破。

(四)侵犯公民个人信息罪的保护法益

本罪侵犯的客体也即保护的法益在理论界中存在较大的争议,主要有个人法益说与超个人法益说两种观点,目前尚未得出一致的结论。产生上述争议的主要原因在于本罪在性质上属于自然犯还是法定犯存在较大的分歧,持自然犯观点的学者认为本罪保护的法益是个人法益而不是超个人法益;持法定犯观点的学者认为本罪保护的法益是信息安全或者社会管理秩序等超个人法益。张明楷教授认为本罪保护的法益是公民的个人信息权,是典型的个人法益说。有学者也认为公民个人信息的本质属性仍然是个人权利属性,因此侵犯公民个人信息罪所保护的法益是个人法益,具体而言是指公民的信息自决权以及相关的社会交往利益。周光权教授认为本罪保护的法益具有多重性,除了公民个人的信息自决权,与个人信息相关联的(狭义的)社会管理秩序也是本罪的保护法益,也即既有个人法益又含有超个人法益。还有学者将个人法益观细分为私法法益观和公法法益观,其认为本罪保护的法益并不是作为私法法益的个人信息自决权,而是公法法益角度的个人信息受保护权,但是这种保护权不是超个人法益,其仍属于个人法益的性质。

笔者认为,一方面由于侵犯公民个人信息的犯罪行为直接触犯了社会的伦理道德,侵犯了个人信息内在的人格属性,因此本罪在性质上仍然属于自然犯;另一方面由于法律将“违反国家有关规定”作为本罪的客观构成要件要素,从而本罪又具有一定的法定犯属性。因此,本罪保护的法益首先应当是个人法益,但是与传统的个人法益不同,由于个人信息具有人格属性和财产属性双重法律属性,决定了此种法益是一种复合的个人信息权益,既包含个人的人身权利又包含个人的财产权利。其次,本罪也在一定程度上体现了社会公共利益的法益属性,尤其是在网络黑灰产业链的发展下,侵犯公民个人信息的犯罪行为会严重破坏国家的管理秩序、影响社会的正常运行。

二、我国公民个人信息刑法保护的具体规定及其困境

(一)我国公民个人信息刑法保护的具体规定

现行《刑法》第253条之一规定了侵犯公民个人信息罪。该条明确将侵犯公民个人信息的犯罪行为纳入刑事制裁的范围,确立了公民个人信息法益在刑法上的独立地位。2017年最高人民法院、最高人民检察院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息解释》),对该罪的相关问题作出了详细的规定。该解释具有以下几方面的内容:第一,明确了本罪的相关概念,主要包括“个人信息”的概念、“国家有关规定”的范围、“提供公民个人信息”和“以其他方法非法获取公民个人信息”的界定;第二,统一了定罪量刑的标准,明确提出“情节严重”和“情节特别严重”的具体种类,还规定了从宽处罚;第三,明确了公民个人信息数量的认定;第四,规定了相关犯罪的判断和处理。本文在现有法律及其司法解释的基础上分析侵犯公民个人信息罪的构成要件。

首先,客观要件方面。第一,本罪的行为主体上,《刑法修正案(九)》废除了对犯罪主体的限制,将行为主体由“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”扩大到一般主体,包括自然人和单位。第二,本罪的实行行为表现为出售、提供、窃取或者以其他方法非法获取公民个人信息,情节严重的行为。第三,本罪的犯罪对象是公民的个人信息,即以电子或者其他方式记录的能够单独或者与其他信息相结合从而识别特定自然人身份或者反映其活动情况的各种信息。此外,本罪的成立需要满足“违反国家有关规定”,体现了刑法的二次制裁性特征和保障法的地位。根据《个人信息解释》第2条的规定,本罪的“国家有关规定”是指法律、行政法规、部门规章中有关个人信息保护的规定。

其次,主观要件方面。本罪要求行为人主观心态表现为故意。也即行为人明知自己违反国家有关规定的行为会侵犯他人的个人信息法益,仍然希望或者放任危害结果的发生,过失泄露行为不构成本罪。

最后,入罪标准方面。本罪以行为的情节作为入罪标准,需要达到情节严重的程度。对于情节严重的标准详细规定在《个人信息解释》第5条中,从而明确了侵犯公民个人信息罪的司法适用,其主要从以下几方面进行衡量:信息的类型和数量、违法所得数额、个人信息的用途、行为主体的身份以及曾经受过刑事处罚或者行政处罚的情况。

(二)我国公民个人信息刑法保护面临的困境

1.个人信息范畴不明确

对个人信息内涵的准确界定是适用侵犯公民个人信息罪的逻辑前提,《民法典》和《个人信息保护法》等前置法已经明确界定了个人信息的内涵和外延,这为刑法上个人信息的概念划定了范围。但是由于刑法特殊的性质,只能对达到值得科处刑罚的行为才能予以刑事制裁,因此刑法意义上的个人信息概念很大程度上需要在前置法的范围内进行合理限缩。现行刑法在个人信息范畴上存在的问题主要在于匿名化信息、死者个人信息和已公开的个人信息是否属于刑法保护的范围并没有予以明确规定。

首先,关于匿名化信息问题。《个人信息保护法》第4条明确将匿名化处理后的信息排除在个人信息范围之外,那么根据法秩序统一原理,也不得将处理这类信息的行为作为犯罪行为给予刑事处罚。《个人信息解释》第3条规定经处理无法识别特定个人且不能复原的个人信息不属于“提供公民个人信息”中的个人信息,这一规定具有合理性,是平衡个人信息保护与信息利用之间关系的体现,其不足之处在于这类信息仅针对提供行为,并不包括出售、窃取和其他以非法方式获取的行为,这将会使得条文内部的适用概念之间不统一。

其次,关于死者个人信息问题。目前我国刑法对于死者个人信息相关的犯罪规定在第299之一侵害英雄烈士名誉、荣誉罪中,但是这一罪名处于第六章妨害社会管理秩序罪第一节扰乱公共秩序罪中,也即该罪保护的法益是社会公共利益,其对象也仅限于英雄烈士的名誉和荣誉,显然这与普通死者个人信息没有太大关联。关于死者个人信息是否属于刑法的保护对象在理论界和实务界中存在较大的争议,导致这一争议主要有两方面原因:第一,个人信息的法律属性是权利还是权益,法律并没有予以明确,如果属于权利,那么死者个人信息不属于保护范围;第二,保护的对象是死者的利益还是其近亲属的权益。反对者认为死者不再属于权利主体,因此不再享有个人信息权,这一观点的理论基础在于其认为个人信息属于一项民事权利,例如张明楷教授就认为本罪的“公民”不包括死者。支持者认为保护死者个人信息有利于近亲属权益的保护和社会秩序的稳定。

最后,关于已公开的个人信息问题。对于未经信息主体的同意,将其已公开的个人信息擅自收集或者出售、提供给他人的行为是否构成本罪,在实务界中一直存在较大的争议。通说认为个人信息虽然已经公开但是其可识别性和有效性没有得到任何减损,仍然可以识别到特定的个人,仍然具有较高的经济利用价值,因此非法获取和使用已公开的个人信息仍然会威胁公民人身和财产安全,但是对于这一实务争议刑法并没有作出回应。如今,越来越多的个人信息被公开,这些已公开的个人信息仍然承载着大量错综复杂的价值和利益,如果不加以管制势必会造成法益保护的缺位,但是过度限制也会导致个人信息的社会价值无法有效发挥的问题,上述困境已经成为司法实践的重难点,刑法有必要及时予以回应。

2.个人信息分类标准不清晰

并不是所有的个人信息都需要法律予以同等保护,不同的个人信息对于信息主体的重要性程度不同、对于社会的利用价值也存在较大的差异,《民法典》和《个人信息保护法》都对个人信息进行了分级分类的保护。虽然《个人信息解释》第5条通过不同信息情节严重的判断标准的不同对公民个人信息大致分为了三个类别,即敏感信息、重要信息和一般信息,一定程度上体现了分类保护的思路,但是这一分类已经遭到了学术界的批评和反思。周光权教授认为司法解释对于个人信息的分类过于细化,并指出这一分类存在两方面的弊端:首先,三种类别之间存在交叉重合的问题,例如财产信息与交易信息、住宿信息与住址信息、手机位置信息与行踪轨迹三组信息之间的复杂关系;其次,仅依据个人信息的外在表现形式作为其重要程度的判断标准的合理性有待论证。此外,也有学者认为不仅不同层次的个人信息之间的界限不明确,而且对于第一层次的四类信息该司法解释采用了完全列举的方式,但是否真正列举穷尽还有待证明。笔者赞同上述两位学者的观点,目前的三级分类模式没有明确的立法标准,各类信息之间没有清晰的边界,导致在司法实践中无法作出准确的判断。不同地区判断标准不同,同一地区的不同法院之间标准也不统一,这在一定程度上损害了我国的司法公正和法律的权威,不利于全面打击侵犯公民个人信息的犯罪行为。同时,这种较为模糊的分类以及四项敏感信息的封闭式列举可能导致本应当得到强化保护的个人信息没能得到充分的保护,例如与财产信息相重合的部分交易信息;部分信息的过度保护可能导致没能充分发挥其应有的社会经济价值,降低了资源的利用效益,同时也可能造成罪刑失衡。前置法已经对个人信息作出了明确的分类,从形式上看司法解释对个人信息的分类层级与前置法不同,从实质上看,司法解释上各类别的内容也与前置法存在较大的差异,这显然不利于法律体系的构建。

由此可见,信息所属类别不同,情节严重的入罪标准就存在不同,对于侵犯不同个人信息行为的量刑就会存在差异,但是由于标准的不明确可能产生实践中同案不同判的现象,有违罪刑均衡原则,因此司法解释对个人信息的分类有必要进行调整。

3.入罪行为规定不足

我国现行《刑法》将侵犯公民个人信息罪的行为规定为出售、提供、窃取或以其他方法非法获取四种上游犯罪行为,有学者认为可归纳为“获取型”和“提供型”两种,但是对作为下游犯罪的非法使用行为规制不足。当非法使用的信息是通过合法的渠道获取的时候就不能通过上述四种行为予以规制,可能会助长犯罪行为的发生。现行网络时代背景之下,非法使用个人信息的行为泛滥于网络空间之中,是导致个人信息泄露的根源所在,已经成为侵犯个人信息犯罪链条中的核心环节,然而刑法却没有予以明确的规制。由于非法使用个人信息行为的特殊性质,无法通过法律解释将其归入到刑法已有的罪名之中:首先,非法使用行为与上述四种行为法益侵害的程度不同从而具有本质的区别,因而具有相对独立性,无法直接通过法律解释将其囊括进上述四种行为而纳入侵犯公民个人信息罪中;其次,由于侵犯法益种类的差异也无法将该行为纳入其他间接规制侵犯公民个人信息行为的罪名中,例如妨害信用卡管理罪等与个人信息有关的犯罪。非法使用行为与上述四种行为在侵犯公民个人信息的犯罪链中处于不同的环节,后者是非法使用行为的前提和基础,只有通过个人信息的出售、提供和非法获取才使得行为人有个人信息可以非法使用,因此非法使用行为属于犯罪链的末端和落脚点。但这并不意味着非法使用行为就不重要,正相反,由于其是上述四种行为的最终目的,如果没有非法使用行为,那么上述四种行为只是处于侵犯个人信息法益的边缘,基于此有学者认为非法使用行为对公民个人信息的法益侵害具有直接性,它使得先前行为的法益侵害性具体化,因此属于法益侵害的核心行为。现实生活中,非法使用个人信息的严重后果显而易见,这些行为直接对公民的人身、财产、社会评价等造成恶劣的影响。随着个人信息的使用价值和商业价值的日益突出,对使用价值的过度追逐是诱发出售、提供、非法获取个人信息行为的内在原因。大数据时代下滥用个人信息的问题愈演愈烈,如果不对根源性的非法使用行为进行规制,单纯惩治上述四种行为根本无法彻底遏制侵犯公民个人信息的犯罪行为,无法有效地保护公民个人信息。

4.追诉模式单一

目前,我国刑法对侵犯公民个人信息罪采取的是单一的公诉模式,也即只能通过国家机关行使公诉权对行为人进行追诉。随着互联网技术的高速发展,单一的追诉模式已经不足以及时遏制侵犯个人信息犯罪行为的发生,无法为个人信息提供有效的刑法保护。公诉案件需要经过侦查机关的侦查活动和检察机关的审查起诉活动之后,最后才会进入法院的审判活动。因此,在国家机关进行追诉的情况下,审判机关知悉犯罪事实的时间往往较为滞后,其案件来源是追诉机关的审查起诉活动。此外,在侦查环节和审查起诉环节中需要经过多项法定程序,其间需要耗费大量的时间,这些复杂的流程延缓了个人信息得到保护的时间,往往会错过保护个人信息和打击犯罪的最佳时机,很明显不利于个人信息的及时保护。侵犯公民个人信息的行为与其他犯罪行为存在较大的不同,其主要存在于网络环境中,突破了物理环境中的地理和时间的限制,信息传播速度大大提高,传播范围极为广泛,公民个人信息被泄露的后果具有不可逆性,很难有补救的可能性。因此时间对于遏制侵犯个人信息的行为显得尤为重要,即使是短时间的差距也可能导致极为严重的后果,犯罪行为人可能已经通过网络传播获得了巨大的利润,公民的个人信息可能已经产生了严重的损害后果。如果采用自诉的方式,由公民在发现其个人信息被侵犯之后就立即向法院寻求司法救济,可以在很大程度上提高个人信息获得保护的可能性,从而减小损害的后果。

三、个人信息刑法保护制度的域外考察

(一)域外个人信息刑法保护的规定

美国对个人信息保护的立法起步较早,其将个人信息置于隐私权制度中进行保护,其隐私权就相当于大陆法系的一般人格权,范围十分广泛。其对于个人信息的法律保护采用的是分散立法的模式,没有制定统一的个人信息保护法,通过刑法保护个人信息的方式在美国已经有了相当长的历史。美国个人信息的刑法保护主要包括两个方面:针对身份盗窃的刑事立法与其他有关个人信息保护的刑事立法,前者主要是指《防止身份盗窃与假冒法》、《身份盗窃刑罚加重法案》以及部分州一级的立法,后者主要包括《隐私权法》、《公平信用报告》、《惩治计算机与滥用法》、《电子通讯隐私法》和《机动车驾驶员隐私保护法》。在保护对象上,上述法律几乎将全部有关隐私的个人信息都纳进刑法的保护视野中。在规制行为上,美国联邦和州立法都将非法使用公民个人信息明确规定为犯罪,对侵犯个人信息的上下游行为实行全方位规制。

德国对个人信息保护采取统一的立法模式,2003年通过的《联邦数据保护法》是德国保护个人信息的专门性法律,其在德国数据保护法律体系中占据着核心地位。这部法律的立法目的在于保护公民的人格权,保护的对象是个人数据,因此只对个人进行保护,同时该法第3条指出个人数据是指已经或者能够识别个人的客观情况的信息,其强调必须是具有可识别性并与个人建立联系的信息。从上述定义来看,德国法的个人数据实质上相当于我国的个人信息。该法第44条规定了侵犯个人信息行为的刑事处罚,因此德国法对于个人信息的刑法保护主要包括两个部分:《联邦数据保护法》中规定的刑事违法条款和《德国刑法典》中规定的侵犯公民个人信息犯罪的条款。《德国刑法典》并没有单独的侵犯公民个人信息罪的法律条文,而是散见于第十五章侵犯私人生活和秘密中,这一章节规定了大量与侵犯个人信息有关的各种罪名,保护对象的范围包括言论、通信秘密、他人隐私、信件、电子数据,甚至包含了他人的秘密,几乎涵摄了个人信息的所有内容,范围十分广泛。除了生者的个人信息受到广泛的保护之外,《德国刑法典》第203条和第204条规定的侵犯他人秘密罪和利用他人秘密罪都明确规定保护死者的秘密,并且规定这两种犯罪属于自诉案件,由死者的亲属或者继承人向法院起诉。

与德国相同,日本也制定了专门的《个人信息保护法》,这部法律是日本对个人信息提供刑法保护最直接的来源,其对个人信息的获取、利用直至最终停止利用等环节都设置了相应的法律规范,从而规制处理个人信息的各个环节。此外,《日本刑法典》对个人信息保护的内容也相当丰富,其并没有专门规制侵犯个人信息行为的条款而是散见于相关的罪名中,开拆书信、泄露秘密、准备不正当制作支付用电磁卡电磁记录、使用电子计算机诈骗等罪名都是关于个人信息的保护。

(二)域外个人信息刑法保护的分析及其启示

1.域外个人信息刑法保护的分析

通过对域外国家个人信息刑法保护规定的梳理,上述三个国家对于个人信息刑法保护的共同之处在于,刑法规制范围具有极大的广泛性。首先体现在个人信息的范围上,三个国家的刑法保护的内容十分丰富,外延不断延伸,几乎涵盖了个人信息的全部方面。这主要是由于互联网技术的发达,越来越多的信息经过技术处理之后可以识别到特定的个人,如果不对这类行为进行制裁那么将导致侵犯公民个人信息的行为激增,从而这些具有可识别性的信息也需要纳入到个人信息的保护中,由此个人信息的范围被不断扩大。其次体现在规制行为的范围上,不论是美国对个人信息的分散立法还是德日的统一立法,他们都将个人信息处理的各个环节纳入刑法的规制范围,对于收集直至停止利用阶段分别设定了不同的刑罚。这主要是由于技术的高速发展决定的,随着各种技术的应用,侵犯个人信息的手段和方式日益多样化,法律必须及时作出回应,其回应的方式就是通过刑事立法扩大规制行为的范围,加大刑法的打击面。

在立法模式上,三个国家采用了不同的方式。美国采取的是单行刑法模式;德国和日本采取的是刑法典结合附属刑法的模式,首先在刑法典中设置相关犯罪,其次在个人信息保护法中也规定了刑事处罚。罪名设置上,三个国家也存在明显的区别。美国刑法不仅惩治直接侵犯个人信息的行为,还将为侵犯个人信息的行为者提供帮助和便利的行为也纳入刑法的规制范围,并且美国相关法律并不将这些帮助行为作为侵犯个人信息犯罪的帮助犯、未遂犯或预备犯来惩罚,而是规定单独的罪名。这样的规制方式极大的扩张了刑法的打击面,提高了对个人信息的保护。德国、日本与美国则存在较大的不同,两个国家的刑事法规对个人信息的保护打击的主要是直接侵犯个人信息的行为,对于其他间接行为的关注度不高。

2.对我国个人信息刑法保护的启示

对于我国而言,首先《刑法》设置了独立的侵犯公民个人信息罪;其次在《个人信息保护法》等其他相关法律中也规定了刑事违法条款。以我国的司法现状为基础可以总结出以下几方面有益的域外法经验:首先,在个人信息的保护范畴上,由于侵犯死者个人信息仍会造成严重影响,不仅给亲属造成再次伤害甚至还会影响社会秩序的稳定。而且我国在实践中已经存在因为侵害死者个人信息而被判处构成侵犯公民个人信息罪的案件。因此,或许可以借鉴德国刑法的做法将死者个人信息纳入我国侵犯公民个人信息罪的保护范围中。其次,在行为方式上,上述三个国家都将个人信息的全部环节纳入刑法的规制范围,但是目前我国刑法只对出售、提供、窃取或者以其他方式获取个人信息的行为进行规制,对于个人信息非法使用行为等的刑法规定缺位。随着大数据时代的到来,对于侵犯个人信息的手段和方式日新月异,非法使用个人信息的行为更是愈发严重,现行的法律规定已经远远不能满足社会现实的需要,无法对个人信息提供全面的刑法保护。因此,借鉴域外国家的做法将非法使用个人信息行为纳入刑法的规制范围或许是一条可行的路径。

四、我国公民个人信息刑法保护困境的解决

(一)合理确定个人信息的范畴

保护对象体现了刑法的价值取向,合理确定个人信息的范围是准确适用侵犯公民个人信息罪的必要前提。在界定公民个人信息时需要平衡个人信息的保护和合理利用之间的关系,兼顾个人的信息安全、信息的利用价值和社会的发展。本文针对现行刑法在个人信息界定上存在的问题和不足提出以下几点完善思路。

第一,刑法上的个人信息不应当包括匿名化处理后的信息。刑法上的个人信息应当具有可识别性和有效性,可识别性是指某一信息必须能够单独或者与其他信息相结合而识别特定的自然人,这是个人信息的本质属性;有效性是指只有是真实和有利用价值的信息才属于刑法上的个人信息。根据可识别性的本质特征要求,经过匿名化处理而且不能复原的信息,由于已经不能识别到特定的自然人,无法与自然人之间建立起密切的联系,因此不再具有可识别性从而不再属于个人信息的范畴。那么对这类信息的处理行为就不能作为犯罪行为而进行刑事制裁,《个人信息解释》第3条虽然将部分信息排除在外,但是其针对的行为只限于提供个人信息的行为,并没有包括出售、窃取和其他方式获取个人信息的行为,笔者认为这样的规定存在一定的缺陷和不足,将导致不同的行为适用的个人信息的概念和范围不统一,造成了该条文体系内部的矛盾。由于经过匿名化处理的信息已经不具备个人信息的可识别性和有效性特征,因此对于这类信息的行为都不应当作为犯罪处理,而不能仅限于提供个人信息一种行为,以统一法律的适用。

第二,死者个人信息应当受到刑法保护。首先,从个人信息的特征出发,死者的个人信息能够与特定的个人相关联,而且通过死者个人信息还能获得生者的有关信息,因此具有可识别性和有效性。其次,从死者近亲属的权益保护出发,虽然死者已经不再属于权利主体,但是死者遗留的个人信息仍然客观存在,这些个人信息中包含了大量生者的信息,因此其既涉及死者的人格利益,又关乎生者的合法权益。最后,从社会公共利益的维护出发,死者个人信息还涉及社会善良风俗,对死者个人信息的保护是对我国优良传统的弘扬,符合我国社会伦理观念和价值秩序。当死者的个人信息被非法收集、利用之后极有可能损害生者的合法权益甚至影响社会秩序,因此死者的个人信息也应当引起刑法的重视和关注。根据《个人信息保护法》第49条的规定,近亲属为了自身利益可以对死者的个人信息行使法律规定的权利。这在一定程度上也说明死者的个人信息与其近亲属的合法权益是密切相关的。需要注意的是,由于死者的个人信息具有特殊性,因此在认定侵犯死者个人信息时需要参照自然人的规定并结合其特殊性综合考虑,造成的经济损失应当以近亲属的经济损失为主要依据。

第三,已公开的个人信息是否属于刑法保护范围需要分情况讨论。已公开个人信息的法律保护在其他部门法中已有规定,例如《民法典》第1036条和《个人信息保护法》第27条都对其处理规则作出了明确的立法安排。通过上述两个条文的分析可以发现,对于已公开的个人信息,法律允许合理范围内的处理行为,但是如果信息主体明确拒绝处理或者涉及个人重大利益可能对个人权益产生重大影响时就不能进行自主处理。根据法秩序统一原理,合法化事由具有统一性,前置法中的合法行为刑法不得认定为犯罪,也即对刑法适用范围具有限制作用,可以成为刑事违法性的阻却事由。因此,对于前置法中规定的合理范围内的处理已公开个人信息的行为,刑法不得作为犯罪行为,也即这部分已公开的个人信息不属于刑法的保护对象。周光权教授根据是否侵犯信息主体的法益处分自由作为判断已公开的个人信息是否属于刑法的保护对象的标准,其提出与信息公开的目的没有根本抵触且没有改变该信息用途的处理行为,不论处理数量多少,都不能认定为犯罪,这类信息就不属于刑法的保护范围。也有学者区分个人信息是自行公开还是被动公开分别提出了“合理处理”的标准,对于自行公开的个人信息其标准为是否符合信息主体的合理预期,也即所产生的影响是否被信息主体所接受;对于被动公开的个人信息其标准为是否符合被公开时的特定用途。

笔者认为,判断已公开的个人信息是否属于刑法的保护对象实质上就是确定合理处理行为的边界。根据信息主体是否明确拒绝将已公开的个人信息分为两类,分别规定不同的判断标准。首先,无论是自行公开还是被动公开的个人信息如果信息主体明确拒绝处理,那么仍应当属于刑法的保护对象,就不再属于合理处理的范围,也即周光权教授所说的要尊重信息主体的法益处分自由。其次,对于信息主体没有明确拒绝的已公开的个人信息的合理处理需要以对个人权益的影响作为主要的判断标准,如果会对信息主体的利益造成重大影响,那么合理处理的范围就要受到信息主体授权的严格限制,也即要符合信息主体的合理预期以及信息公开的用途。这一判断标准以作为前置法的《民法典》和《个人信息保护法》的相关规定为出发点,是遵循法秩序统一原理的结果,有利于法律体系的稳定和协调。总之,由于已公开的个人信息同时承载着信息主体的利益保护需求和信息处理者的信息价值利用需求,因此法律不能过度偏向其中一方,而是需要在两种冲突的利益之间寻找平衡点,合理分配两者利益,既要防止刑法保护的阙如,又要避免过度规制的危险。因此,刑法在认定擅自处理已公开的个人信息的行为性质时必须要以前置法中的相关规则作为前提和基础,根据法秩序统一原理合理确定入罪边界。

(二)调整个人信息的分类

由于不同个人信息所体现的价值和利益不同,因此需要对其进行分类保护。《个人信息解释》第5条对不同的个人信息规定了不同的情节严重标准,这体现了对个人信息的分类保护,但是如前所述这一分类标准不明确、不统一,导致各类信息之间的交叉和混乱,从而在实践中难以进行准确的判断。目前的分级保护也没有体现出立法的内在逻辑和价值指引作用,因此急需予以完善。个人信息是承载着人格属性、财产属性与公共利益属性的集合体,保护个人信息就是保护这些属性所对应的价值和利益。但是在这些利益中存在保护顺序上的差异,个人享有的人格权是人之为人所应当享有的权利,是最基础和最重要的权利,因此应当优先保护。由此,那些越是能够直接识别特定个人的信息,与信息主体人格关联程度越强,其体现的人格尊严和自由属性就越突出,对于这类信息刑法应当予以最强的保护;而对于那些需要通过大量技术的挖掘才能与其他信息相结合而间接识别特定个人的信息,应当在对其提供保护的同时给予发挥社会利用价值的空间,此时就需要在信息保护与利用之间作出合理的安排。前置法已经对个人信息作出了明确的分类,这对作为后置法的刑法提供了明确的指导方向和规范参考。

第一,在个人信息的类别上,我国《个人信息保护法》明确将个人信息分为一般个人信息与敏感个人信息两类,作为后置法的刑法在对个人信息进行分类保护时可以参照上述分类方案,同时也能保持部门法上的一致性,有利于法秩序的统一。第二,在确定种类之后,就需要明确分类的标准,在将个人信息分为一般个人信息和敏感个人信息时应当根据个人信息的属性、易受侵害的程度以及侵害后果的严重性作为分类标准。人格属性的高低是首要考虑的因素,其次需要考虑基于人格属性延伸出的财产属性,易受侵害的程度和侵害后果的严重性是重要的考虑因素,通过人格利益和财产价值进行综合考量。第三,在两种类别的范围确定上,《个人信息保护法》中关于敏感个人信息内涵和外延的规定是刑法的重要参照标准,刑法需要在这一范围内结合自身特征做出合理的规定。第四,在入罪标准上,由于敏感个人信息具有高度的人格属性,法律对其给予了最高的重视从而进行最强的保护,在刑法上就表现为对其规定较低的入罪数量标准,对其他一般个人信息设定较高的入罪数量标准。

(三)完善入罪行为的范围

如前所述,非法使用个人信息的行为是法益侵害的核心行为,严重威胁着公民个人信息的安全,其造成的社会危害性足以与现行法律规定的四类行为相提并论。在其他犯罪行为无法全面涵盖这一行为的法益侵害性和危害后果时,有必要在遵守刑法谦抑性原则的基础上将非法使用公民个人信息的行为纳入刑法的规制范围。刑法的谦抑性要求刑法应当规制最严重的法益侵害行为,因此必须要合理确定非法使用行为的入罪标准,防止不当扩大刑法的适用范围,从而平衡公民个人信息的保护、信息的利用与打击犯罪之间的关系。在将非法使用行为入罪时需要注意以下问题:第一,在入罪标准上。《刑法》第253条之一将“情节严重”作为侵犯公民个人信息罪的入罪标准,因此本罪属于典型的情节犯。非法使用行为存在严重程度之分,并不是所有的非法使用行为都需要作为犯罪行为予以刑事规制,需要通过合理的标准区分犯罪行为与一般违法行为,这一标准应当与现行刑法已经明确规定的四种行为的入罪标准保持相对一致性,以维持侵犯公民个人信息罪体系内部的一致性和协调性。但是由于非法使用个人信息的行为是大量违法犯罪行为的源头,具有法益侵害的根源性,因此还需要根据非法使用行为的独特性进行相应调整。第二,在客观构成要件要素上,《刑法》规定以违反“国家有关规定”作为侵犯公民个人信息罪的前置性条件,作为本罪行为方式之一的非法使用行为也需要以违反法律、行政法规、部门规章这些有关的国家规定为前提。第三,在刑罚设置上,相比之下由于非法使用行为对法益产生更加严重的危害后果,因此当其情节严重性与其他方式接近时,可以设置较重的刑罚,但仍然要遵循罪罚相当的原则。第四,入罪路径上,由于涉及增设一种新的犯罪行为方式,因此应当通过刑法修正案将其纳入到刑法的条文中,此时不能简单地通过司法解释入罪,否则将违背罪刑法定的原则,因为司法解释是对现有立法规定的解释,其只能针对刑法中已经明确规定的条文。第五,罪数上,仍然要遵循罪数的一般原理,也即为了保障人权不得重复评价,为了保护法益不得遗漏评价,因此如果在非法使用公民个人信息之外没有侵犯新的法益就不能重复评价,一旦侵犯新的法益就需要单独评价。

(四)增加追诉模式

公诉模式是指只要达到起诉的条件就必须予以起诉,受害人没有决定权。如前所述,我国目前将侵犯公民个人信息罪规定为公诉案件,没有自诉适用的空间,但是单一的公诉模式在面临日益复杂的犯罪行为时已经凸显出一定的局限性。在当前侵犯公民个人信息的犯罪行为日益俱增的情况下,单一的追诉模式已经无法有效惩治犯罪,也不能满足公民日益增长的个人信息保护需求,因此有必要在公诉模式之外新增追诉方案。刑法将侵犯公民个人信息罪置于“第四章侵犯公民人身权利、民主权利罪”中,表明刑法对个人信息提供保护的根本原因和首要原因在于其关乎个人的人格尊严和自由,可见对于本罪的立法旨意仍是保护公民的个人权利,也说明侵犯公民个人信息罪所侵犯的法益主要是个人法益而不是公共法益,因此将自诉作为本罪的追诉方式具有立法理念上的支撑。

将自诉方式作为本罪的追诉方式之一有利于弥补公诉过程中耗费的大量时间,使得公民可以更加及时地寻求司法力量的帮助,从而更加有效地保护自身的合法权益,减少可能遭受的损失;同时,还可以节约大量司法资源,符合诉讼经济原则。我国现行法律明确规定采用自诉方式的案件主要包括侮辱罪、诽谤罪、暴力干涉婚姻自由罪、虐待罪以及侵占罪。通过上述五种自诉案件的特征可以发现法律之所以允许公民自行决定是否向法院起诉的本质原因就在于这五类犯罪行为侵犯的法益都是特定主体的私法益,而且危害后果较为轻微。侵犯公民个人信息罪所侵犯的法益在大多数情况下也是公民的个人法益,与上述五类犯罪具有保护法益上的相当性,因此可以通过合理借鉴的方式新增自诉作为侵犯公民个人信息罪的追诉模式,赋予公民自行决定是否追诉的权利。但是,在比照这五类行为赋予个人信息被侵犯的主体起诉决定权时,需要注意限制赋予权利的范围,对于适用自诉模式的侵犯公民个人信息的行为也应当是只涉及侵害私人法益的行为,也即情节较为轻微、社会危害性较小的案件。一旦当侵犯公民个人信息的行为严重危害社会秩序和国家利益时,由于此时已经不再是仅涉及侵害私人法益的问题,还涉及社会公共利益,而且造成的严重危害后果也不再符合赋予自诉权的宗旨,因此就不再属于自诉案件的范围,而是需要由国家机关积极行使公诉权主动追诉。

公诉和自诉相结合的复合追诉模式有利于司法资源的合理配置,同时,通过自诉的方式可以使公民主动参与到打击犯罪的过程中,有利于提高公民保护其个人信息的意识。

结语

侵犯公民个人信息行为的入罪化,是刑法人文主义关怀和人权保障价值理念的体现。尽管我国刑法在公民个人信息的保护上实现了重大的突破,但是在实践中仍然存在很多争议和不足。一方面,随着侵犯公民个人信息案件数量的喷发式增长和犯罪手段的升级,侵犯公民个人信息的案件愈演愈烈,现有法律规定已经无法应对复杂的司法实践;另一方面,个人信息保护的前置法规定日益完善,作为后置法的刑法需要及时作出调整和回应。因此,刑法的相关制度亟待完善,从而对公民个人信息提供更加系统全面的法律保护。公民个人信息的刑法保护是刑事法治建设的重难点之一,需要立法和司法共同发挥力量,首先需要在立法层面制定出完备的保护规范为实践中的难题提供有效的解决方案;其次需要通过司法的力量将法律规范落实于实践中,两者协力推进刑事法治建设的顺利发展。