西北政法大学 民商法学院,西安 710122
摘要:信息时代,个人信息的财富属性和资源属性日益凸显,但也出现个人信息获取和利用不当、个人信息频遭侵犯等问题。立法对个人信息以权益的方式而非授权的方式进行保护,这扩大了个人信息的保护范围,但也带来了个人信息内涵的模糊以及与其他权利的交叉问题。侵犯公民个人信息罪以违反国家有关规定为前提,但由于个人信息范围极广,调整个人信息的法律众多,这就造成该罪前置性条款模糊,违反刑法的罪刑法定和谦抑性原则。刑法中个人信息的范围界定,应当符合刑法的规范目的,遵从谦抑性原则,结合《个人信息保护法》等法律对个人信息的范围适当限缩,重点保护与公民人身相关的个人信息权益。
关键词:个人信息 侵犯公民个人信息罪 谦抑性
一、刑法对公民个人信息的范围界定
(一)刑法修正案的规定
《刑法修正案(七)》对公民个人信息率先确立全面保护的立法精神,
与特定领域对公民个人信息的保护相比,其突破性地确立了对公民个人信息给予全面刑法保护的原则。[1]以一个条文对公民个人信息保护做出规定,没有做出限制性规定或例外性规定,因此此处的公民个人信息是开放的。
《刑法修正案(九)》对《刑法》253条做出修改,正式确立了侵犯公民个人信息罪,与修改前相比,本罪的犯罪主体一般化,而且将非法获取公民个人信息纳入本罪,扩大了打击范围,但是关于公民个人信息仍然没有进行立法限定,仍然是宽泛意义上的保护。
(二)司法解释的界定
2013年最高法、最高检、公安部发布《关于依法惩处侵害公民个人信息犯罪活动的通知》,对公民个人信息做出解释,涵盖“识别公民个人身份”“涉及公民个人隐私”,参考了全国人大常委会关于个人信息的界定方式,但该界定相对狭窄。2017年最高法、最高检发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,该解释第一条对公民个人信息再次做出厘定,其吸收了其他部门法的立法成果,除了可识别性外又将自然人的活动情况纳入公民个人信息的范畴,扩大了个人信息的范围,加大了对个人信息的保护,顺应了因科技发展而带来的对个人信息保护的需求。
但也有学者指出司法不断扩张“公民个人信息”的内涵和外延,试图将越来越多的“公民个人信息”纳入刑法的保护范畴。但《通知》过于限缩立法上的“公民个人信息”概念与刑法规定的“公民个人信息”可能的文义相去甚远。[2]《刑法修正案(七)》颁布于2009年,当时刑法对个人信息的研究并未深入,也缺乏其他法律对个人信息的保护,尤其是民法、行政法中民事责任、行政处罚的缺失,使刑法这一保障法走在了前头,率先扛起全面保护公民个人信息的大旗。但是,刑法未对公民个人信息做出限制不代表立法者想要对所有的公民个人信息都进行刑法保护,也不代表实践中需要这种宽泛的个人信息界定,因为受制于当时实践的发展,无论是立法还是学术,对公民个人信息的研究都不成熟,个人信息保护初入法律不可能做出完善的规定,不能以这种最初的规定来界定今日公民个人信息的范围,应当结合实践的发展和相关的理论研究对公民个人信息进行界定。
(三)对“违反国家有关规定”的理解
本罪的前置性条款是“违反国家有关规定”,因此本罪公民个人信息的界定应当结合其他法律法规,但对有关国家规定的理解存在争议。《解释》第二条将部门规章作为国家有关规定。有学者表示赞同,[3]这降低了入罪门槛,有利于加大对公民个人信息的保护。但个人信息仅仅在法律层面就有多种规定,部门规章就更繁杂,以“个人信息保护”为关键词在北大法宝进行模糊检索,部门规章的数量达45件。而部门规章都是结合部门职责对个人信息进行规定,侧重点不同,对个人信息的认定有时候会存在差异,因此增加了刑法适用的不确定性和统一性,以宽泛的规章作为前提,有时会与刑法的罪刑法定原则冲突,规章变动的随意性影响刑法的稳定性。
有学者认为,这里的“违反国家有关规定”应当进行限缩,仅指法律和国务院的行政法规,[4]其理由是《刑法》第九十六条,因此将国务院部门制定的规章排除在本罪的前置性规定之外。
二、有关法律对个人信息范围的界定
2012 年全国人大常委会制定《关于加强网络信息保护的决定》,自此个人信息保护进入国家立法视野,个人信息权的保护进入法治化道路。[5]该决定第一条规定:国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。这里将个人信息界定为“识别个人身份”和“涉及公民个人隐私”两项,与刑法修正案未加任何限制的公民个人信息保护相比范围相对狭窄。《消费者权益保护法》第二十九条对消费领域的个人信息保护进行回应,但并没有对个人信息的范围进行界定。《网络安全法》第七十六条对个人信息做出规定,一是删除了隐私信息,“隐私性” 不再是公民个人信息的要素;二是由“能够单独识别”扩大到“能够单独或者与其他信息结合识别”。[6]这与全国人大常委会关于个人信息的定义有所不同,间接可识别性明显扩大了个人信息的保护范围,并且该定义将个人信息与隐私相区分。
《民法典》在人格权编中设置隐私权与个人信息保护一章,将个人信息界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”,与《网络安全法》的定义基本一致,只是在具体的个人信息列举时增加了电子邮箱等。2021年《个人信息保护法》出台,该法第四条规定:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。其在表述方式上与以往对个人信息的定义有所不同,但仍然强调了信息的可识别性,匿名化处理后的信息因不能识别特定的自然人,也就没有将其作为个人信息进行保护的必要,平衡了信息利用和信息保护二者之间的关系。
有关法律对个人信息的规定呈现出如下特点:第一,不断加大对个人信息的保护。从《全国人大常委会关于加强网络信息保护的决定》,到《个人信息保护法》,立法将个人信息从“直接可识别性+隐私”转变为“直接+间接可识别性”,不再列举具体个人信息并剔除匿名化信息。第二,法律对个人信息采框架式规定。在《个人信息保护法》之前,立法对个人信息的界定多采用定义加列举的方式,《个人信息保护法》则采用“可识别性+除外”的定义方式,不再进行具体列举。这样的框架式规定方式是对个人信息保护的需要,但是作为刑法的前置性条款来讲,给刑法的适用带来不确定性。第三,由分散到体系。这种体系化的表现就是《个人信息保护法》的出台,《个人信息保护法》的实施,有利于适用统一的规则对个人信息进行保护,消弭法律之间的冲突,也为侵犯公民个人信息罪的适用提供依据。
三、学理对个人信息范围的探讨
(一)个人信息的权益属性
学界曾对个人信息是一种权利还是一种权益进行讨论,《个人信息保护法( 草案) 》第1条曾规定个人信息权,但最终生效的《个人信息保护法》进行了更改。从个人信息权到个人信息权益,不仅仅是立法表述方式的变化,更是立法者对概念背后个人信息范围的考量。数字技术的发展越来越多的将现实活动复制到网络虚拟场景,而这种数字化亦是信息化,从姓名、住址等这种单纯的个人信息到行踪轨迹、购物记录这种数字时代下的个人信息,个人信息的范围得到了极大的扩充,而这种扩充不可避免的和其他权利存在了交叉,个人信息权的概念难以厘清其内涵和外延,也难以区分其和相近权利的关系。
权益是指权利主体受法律确认和保护的权利和利益,而个人信息权益是信息权利主体对个人信息所有享有的受法律确认和保护的权利和利益。[7]民事权利是指由国家强制力予以保障的类型化的民事主体所享有的利益,这种法律之力和特定利益的结合则构成权利。[8]因此,个人信息权益除了个人信息权利之外,还包括个人信息利益,按照上述民事权利是一种类型化利益的定义,个人信息权益的表述方式是在承认个人信息作为一项独立的受法律保护的权利的同时,还存在和其他权利的交叉,比如隐私权,《民法典》人格权编将隐私权和个人信息放于一章。这种既有区别又有联系的状况是因为数据化、信息化社会的发展,个人信息爆炸式的增长决定了个人信息权益不可避免和其他权利存在交叉关系,跨权利的权益保护方式增加个人信息权益内涵和外延的不确定性,在对个人权益给予广泛保护的同时,增加了刑法适用的不确定性。
(二)公民个人信息的权利属性
对于公民个人信息的权利属性有财产权说、隐私权说等。权利属性认识的不同会导致对侵犯公民个人信息罪所重点保护利益认识的不同,进而影响“公民个人信息”的刑法边界,因此正确认识其权利属性有助于公民个人信息的刑法保护。
财产权说认为:公民对其个人信息的商业价值所拥有的权利是一种新型财产权,即“信息财产权”。[9]隐私权说认为:公民个人信息权应当属于隐私权,公民个人信息受到侵犯时应当通过隐私权的途径寻求救济。“个人数据的保护主要是对数据主体隐私权的保护”。[10]人格权说认为:自然人对个人信息享有的是人格权益,《民法典》虽然没有规定个人信息权,但明确了自然人对其个人信息享有的是人格权益,而非财产权益。[11]独立权利说认为:公民个人信息兼具人身特性、经济属性和社会属性,个人信息权的法律内核为“人身属性 + 财产属性 + 相关法益关联属性”。[12]
对于个人信息,《民法典》将其置于人格权一编,《刑法》将其置于侵犯公民人身权利、民主权利罪一节,因此宜认为本罪保护的保护的重点是公民的人身权利,而非财产权利,以此对其广泛的内涵做出限定。
四、刑法对公民个人信息范围界定的完善
(一)注重刑法谦抑性
对个人信息的保护是多个部门法共同的任务,应该相互协调但要各有所重。刑法典虽然将“违反国家有关规定”作为侵犯公民个人信息罪的前置性条款,但并不意味着本罪中公民个人信息范围的界定完全交由其他法律,刑法应当结合其他法律的规定最终做出自己的判断,回答何种程度的侵犯公民个人信息才会触发刑法的惩戒机制。
通过以上简单的梳理我们发现,近些年,随着信息技术的发展,为了规制愈发严重的侵犯公民个人信息行为,保护公民个人信息权益,我国相继颁布多部关于个人信息保护的法律法规、部门规章,这些规范对个人信息的界定并不一致,学术界对于个人信息的讨论也是众说纷纭,这给刑法对个人信息范围的界定带来困惑。但应注意刑法是保障法,只有在其他法律不能发挥作用的时候才动用刑法,2009年《刑法修正案(七)》确立了对公民个人信息进行全面保护的精神,使刑法这部保障法走在了其他法律的前面,自2012年,个人信息保护进入国家立法视野,经过十余年发展,相关法律已经建立并逐步完善对个人信息的保护,刑法应当与相关法律一道维护公民个人信息权益。
基于制裁手段的严厉性和刑事责任承担后果的不可修复性特征,作为补充手段的刑事法律规范必须保持足够的谦抑,[13]既然刑法的任务是打击犯罪保障人权,那么对于一般的侵犯个人信息的违法行为就交由其他法律制裁,以具有严重社会危害性的侵犯个人信息行为为打击对象。其他法律特别是民法,是在尽量扩大个人信息的范围,以加强对公民个人信息的保护、适应快速变化的信息社会,但这种框架式的立法模式适应私法对权利的保护模式,但容易导致边界的模糊,基于刑法的谦抑性,侵犯公民个人信息信息罪的个人信息认定范围进行限缩,并尽可能予以明确以坚持罪刑法定原则。
(二)本罪保护重点的突出
从文义解释上来看,本罪使用的是公民个人信息,而非“侵犯个人信息罪”,公民是一个政治概念,其与国家相对,意在防止国家机关对个人信息侵犯。另一方面,将主体规定为公民,说明立法将本罪保护的重点放在个人身上,而不是社会公共利益。从体系解释来看,《民法典》将个人信息放置在人格权编中,《刑法》把本罪放在侵犯公民人身权利、民主权利罪一章中,无论是在私法还是在公法,不约而同的将个人信息保护的重点放在了与人身相关的权益上。如前所述,个人信息涵盖内容较广,跨越多种权利,除人身属性外还有财产属性。有学者认为本罪的法益是超个人法益、涉及公共利益,诸多的理论探讨都不无道理,但是刑法出于保护法益的考虑,更多地在与个人行动自由、人身安危及财产安全紧密关联的意义上把握这一概念。[14]刑法对个人信息的范围界定应主要限定在人格尊严、人身财产安全的范围内,同时要求具备严重的社会危害性、应受刑法惩罚性。
随着大数据逐渐展现出巨大社会价值,基于功利主义的价值考量,追求更好生活的哲学基础要求刑法在个人信息保护的立场上进行适当调整,限缩对侵犯公民个人信息行为的刑法适用空间,[15]在对个人信息进行保护的同时,也应当注重数据对于企业、政府的利用价值,为企业经营、社会发展创造宽松的环境。因此,将单纯的、不具备可识别性的数据排除在本罪的个人信息范围之外。
(三)违法阻却事由的设定
《民法典》第一千零三十六条规定了处理个人信息的免责情形,《个人信息保护法》第十三条规定了处理个人信息的情形,其中包括取得个人同意和未取得个人同意的其他合理情形,这些合理使用规则是对个人信息保护的例外规定,不构成违法当然更不构成犯罪,不属于本罪的公民个人信息的范围。该种规定方式值得刑法借鉴,既要通过正面列举的方式明确对哪些个人信息以怎样的方式进行何种程度的保护,又要通过反面排除的方式对一些合理利用个人信息的行为进行出罪化处理,以这样的方式来限缩刑法中的公民个人信息的范围。
参考文献:
[1] 赵秉志:《公民个人信息刑法保护问题研究》,《华东政法大学学报》2014年第1期。
[2] 参见于志刚:《“公民个人信息”的权利属性与刑法保护思路》,《浙江社会科学》2017年第10期。
[3] 参见李川:《个人信息犯罪的规制困境与对策完善--从大数据环境下滥用信息问题切入》,《中国刑事法杂志》2019年第5期。
[4] 参见韩啸,张光顺:《侵犯公民个人信息罪犯罪对象研究》,《河北法学》2021年第10期。
[5 ]乔新生: 《个人信息不等于个人隐私》,《青年记者》2018 年第 13 期,第 72 -73 页。
[6] 于志刚:《“公民个人信息”的权利属性与刑法保护思路》,《浙江社会科学》2017年第10期。
[7] 严鸿雁:《论个人信息权益的民事权利性质与立法路径--兼评<个人信息保护法>(专家建议稿)的不足》,《理论与探索》2013年第4期。
[8]王利明等:《民法学》,法律出版社2014年版,第66页。
刘德良:《论个人信息的财产权保护》,《法学研究》2007 年第 3 期。
[9]张新宝:《隐私权的法律保护》,群众出版社2004 年版,第139页转引自[9][9] [10] 于志刚:《“公民个人信息”的权利属性与刑法保护思路》,《浙江社会科学》2017年第10期。
[11] 程啸:《论我国民法典中个人信息权益的性质》,《政治与法律》2020 年第 8 期。
[12] 于冲:《侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界》,《政治与法律》2018年第4期。
[13] 陈伟,宋坤鹏:《数据化时代“公民个人信息”的范围再界定》,《西北民族大学学报(哲学社会科学版)》2021年第2期。
[14] 周光权:《侵犯公民个人信息罪的行为对象》,《清华法学》2021年第3期。
[15] 储陈城:《大数据时代个人信息保护与利用的刑法立场转换--基于比较法视野的考察》,载《中国刑事杂志》2019年第5期。