网络提供信息与被害人自我答责
——以侵犯公民个人信息犯罪为视角
2016-03-15陈文昊
陈文昊
〔清华大学法学院,北京100871〕
网络提供信息与被害人自我答责
——以侵犯公民个人信息犯罪为视角
陈文昊
〔清华大学法学院,北京100871〕
随着信息时代的到来,公民向外界提供信息变得不可避免。个人信息与隐私不同,具有相对的公开性,尤其是公民自愿在网络上公开的信息。为应对越来越多的侵犯公民个人信息的情形,刑法作出了相应的犯罪圈的扩张,《刑法修正案(九)》将利用公民公开信息的情况归入侵犯公民个人信息罪的范畴。被害人自我答责的阻却事由成立要求信息对称,因此特殊行业的从业者将通过职务便利收集的公民个人信息用于其他用途的情形不能成立被害人自我答责。在公民自行公开个人信息、行为人加以利用的场合,信息提供者是否具有商主体身份,是决定能否成立自我答责的关键因素。
侵犯公民个人信息罪;被害人自我答责;信息对称
一、侵犯个人信息罪的立法背景与问题引出
根据中国互联网网络信息中心的《第38次中国互联网络发展状况统计报告》,截至2016年6月底,中国网民规模达7.1亿,互联网普及率达51.7%,其中手机网民规模达6.56亿。也就是说,我国居民上网人数已经过半。我国国家顶级域名“.CN”总数为1636万,年增长47.6%,占中国域名总数的52.8%,成为全球注册保有量第一的国家和地区顶级域名。[1]在这样一个网络普及的时代,公民的个人信息更容易暴露在公众的视阈之下,受到相关犯罪的侵蚀。根据第三方机构披露的数据,2015年中国网站因为安全漏洞可能泄露的个人信息多达55.3亿条,公民的个人信息安全日渐成为犯罪重灾区。[2]
鉴于网络安全和个人信息保护匮乏的现状,我国立法机构也旋即做出相应调整,竭力遏制相关犯罪事件的延烧。早在2009年,《刑法修正案(七)》就新设了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个罪名,标志着立法者开始对侵犯公民个人信息的行为绳以刑法。《刑法修正案(九)》更是将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”合并为“侵犯公民个人信息罪”加以调整,进一步扩大犯罪量刑圈。
2016年11月7日,全国人大常委会通过《中华人民共和国网络安全法》(以下简称《网络安全法》),更是就公民个人信息保护的问题进行了全面规制。《网络安全法》设置“网络信息安全”专章,对个人信息安全加以保障,相对应地,在第六章“法律责任”当中对包括侵犯个人信息安全在内的违反网络安全规范行为的法律后果加以明确,填补了之前对网络运营者的行政处罚的空白。
《网络安全法》的部分内容与刑法遥相呼应,针对当前泛滥的泄露、收集和买卖个人信息等非法行为进行了规制。值得注意的是,在《网络安全法》中,“被害人的同意”被视为一个重要的义务在规范中反复强调。例如,《网络安全法》第22条规定:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意”;《网络安全法》第41条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集和使用信息的目的、方式和范围,并经被收集者同意。”;第44条规定:“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”。这些条款都表明,符合规范地收集和提供公民个人信息,必需考察“他人承诺”这一要素,转化到教义学的视角来看,也就是被害人自我答责的问题。
二、侵犯公民个人信息罪与被害人自我答责
1.事实层面:自我信息提供的必然性
研究表明,在侵犯公民个人信息罪的案件中,遭泄露的公民个人信息涉及领域广泛,计有金融、电信、教育、医疗、工商、房产、快递等部门和行业40余类。[3]不难发现,在这些领域尤其是在需要身份认证的情况下,公民不得不提供其全套的个人信息,包括姓名、出生日期、身份证件号码、住址、电话号码、账号、密码等,这些信息一旦提供,就很可能遭到泄露甚至进入公众领域。另外,有的公共平台也需要行为人提供相应的个人信息,并将之暴露在公众的视野之下,例如QQ、微信、微博,社会一般公众可以看到使用者的出生日期、住址、电话等信息,而这些信息是行为人自己提供或者是自己选择真实提供的,在这种情况下,如果遭到他人的收集和泄露,能不能认为属于被害人自我答责呢?实际上,在侵犯公民个人信息罪的案例中,公民个人信息的来源多样,但其中绝大部分是由公民自己向外部提供的。
对此,笔者在法律裁判文书网上以“侵犯公民个人信息罪”为关键词进行搜索,考察这些案件中的信息来源方式,将之分为以下几类:
第一,公民以各种途径在网上公开信息,行为人通过浏览互联网将这些公开的信息进行搜集和出卖。例如,章某侵犯公民个人信息罪一案。①(2015)安刑初字第883号
第二,行为人将通过特殊行业获取的公民个人信息出卖给他人。如,李某出售、非法提供公民个人信息罪一案,②(2014)徐刑初字第89号包某出售、非法提供公民个人信息罪一案等。③(2014)东刑初字第287号
第三,行为人通过侵入电脑系统等方式取得公民信息,或者侵入特殊行业的系统内部获取公民个人信息。如,徐某侵犯公民个人信息罪等。④(2016)闽0524刑初333号
不难发现,在这些案件中,作为受害人的公民或多或少、或自愿或不自愿地向外界提供了一部分个人信息,在有些场合实属不可避免。例如,被告人赵某(系临时工作人员)利用在泗阳县公安局工作的便利,秘密使用其他干警数字证书查询公安内网等方式获取公民个人信息,并在淘宝网上予以售卖。⑤(2016)苏1323刑初271号在这种情况下,虽然可以说提供信息的是公民本人,但其对于自己提供的信息遭到泄露这一事实毫无抵御力可言,不能认为公民对于自身的法益进行了放弃。
2.公民个人信息的特征:不同于隐私
公民个人信息的保护与隐私权的保护在本质上存在区别。在隐私权的保护问题上,国家不以利益主体的角色登场,因此国家倾向于对个人隐私提供绝对保护。而在个人信息保护的问题上,国家一方面是个人信息的收集、处理、储存和利用者,另一方面又是个人信息的保护者,因此涉及利益衡量的问题。[4]由此,在民法中许多学者主张,将公民的个人信息作为一项比隐私权更为广泛的、独立的、具体的人格权加以保护。[5]
在刑法当中,公民个人信息的范围是大于隐私的。例如,我国《刑法》第245条非法侵入住宅罪、非法搜查罪,第252条侵犯通信自由罪,第253条第一款邮政人员私自开拆、隐匿、毁弃邮件与电报罪等罪名均涉及公民隐私权的问题,刑法设置了不同的罪名加以保护。在隐私权的问题上,由于隐私权本身就是公民享有的个人信息不被非法获悉和公开、个人生活不受外界非法干扰或干涉的权利,[6]因此在大部分场合,不存在公民自己泄露隐私的情形,否则也就无所谓“隐私”可言。
但是,在涉及公民个人信息的问题上,情况却有所不同。一方面,正如上文所述,公民在日常生活中不可避免地存在将个人信息向外泄露的可能性,并涉及金融、电信、教育、医疗、工商、房产、快递等多个领域,这些领域渗透于公民生活的每一个角落。在这种情况下,公民自我提供信息的行为应当如何评价,并非一个不言自明的问题。另一方面,在信息时代,如果公民将自己的信息自发公开在网上,行为人通过搜集加以利用,最终以牟利为目的将搜集的信息出售,能否认为存在被害人自我答责的事由,也是值得探讨的问题。
从这一点来说,我国的侵犯公民个人信息罪与国外刑法中的泄露秘密罪在保护的法益上采取了截然不同的进路。例如,《日本刑法典》第134条规定了泄露秘密罪,该罪保护的法益是个人秘密,而所谓“秘密”,根据日本刑法理论,存在三个特征:第一,具有众所周知性;第二,行为人具有隐匿的意思;第三,具有隐匿的利益。[7]可以发现,日本刑法中的泄露秘密罪是纯粹针对隐私权的犯罪。而德国、奥地利、瑞士等国家的刑法中均规定了“侵害言论隐私权罪”,对未经他人同意,窃听或窃录他人不公开谈话的行为轨以刑法。[8]不难发现,无论是泄露秘密罪,抑或是侵害言论隐私权罪,保护的法益都是公民不为他人所知的隐私,这一点与我国的侵犯公民个人信息罪完全不同。
由此可见,我国的侵犯公民个人信息罪与国外的相关犯罪不同,“公民个人信息”具有相对公开性,受到侵害的公民本身也具有向外界提供信息的行为,在这种情况下,就有必要探讨被害人自我答责的问题。
3.规范层面:侵犯公民个人信息罪的结构分析
“立法者应以公共利益为目标,最大范围的功利应成为一切思考的基础。了解共同体的真正利益是什么,是立法科学使命之所在,关键是找到实现这一利益的手段”[9],网络时代的到来对于侵犯公民个人信息行为的影响由事实渗透到规范当中,这对立法者的决策起到了十分重要的作用。正如上文所述,网络时代下的个人信息具有更低的隐私性和更高的公开性,这一点变化被刑法的立法者与司法者牢牢锁定,最终在《刑法修正案(九)》中表现出来。
《刑法修正案(九)》对侵犯公民个人信息行为的规制进行了很大的调整。在《刑法修正案(九)》之前,第253条之一的非法提供公民个人信息罪将本罪的行为范式规定为:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务的过程中获得的公民信息,出售或者非法提供给他人,情节严重”,换言之,在《刑法修正案(九)》之前,本罪属于身份犯,只有存在于特殊行业的工作人员方可成为本罪主体。但是,《刑法修正案(九)》新设第253条之一侵犯公民个人信息罪,将违反国家有关规定,“向他人出售或者提供公民个人信息,情节严重”作为本罪的行为范式,并将特殊行业工作人员泄露公民个人信息的情形规定为本罪的第二款,从重处罚。换言之,在侵犯公民个人信息罪的一般情形下,不需要行为人具有特定身份。
这也就表明,在本罪的行为结构上,无论是利用特殊身份与职务之便获得公民的个人信息,还是通过非法途径窃取、骗取公民的个人信息,抑或是仅仅将在网上相对公开的公民的分散信息加以搜集之后出卖牟利,都可以评价进本罪的构成要件之中。正如有学者指出的,刑法理性不只是静态的,而且是动态的,它不仅表现在刑法本身和对刑事立法的要求,而且还要通过刑事司法来实现。刑法理性是贯穿于刑法的制定、适用和执行的整个过程并保障刑法合理性的根本原则。[10]立法者在对侵犯公民个人信息问题的权衡上,正是考虑到了随着社会的发展,越来越多的侵犯公民个人信息的行为人既不是通过非法途径取得他人的个人信息,也不具有特殊行业中获得他人信息的渠道,而是通过一种游走于“黑白之间”的途径搜集公民半公开的信息,并借此谋取利益。
在这种情况下,需要考察的核心问题就是,公民对自身信息的对外披露符合了什么样的条件,达到了何种程度,才能认为被害人对自身的法益进行放弃,或者具有自我答责的违法阻却事由,从而排除行为人的违法性呢?
三、信息不对称与自我答责
1.自我答责的法理学根基
首先在法理层面需要解决的问题是,为何存在具备了被害人的“自我答责”,就可以免除或减弱募集者的刑事责任呢?这个问题的答案与刑法体系的风险分配机能相勾连。在笔者看来,刑法体系的构建最终解决的是“如何进行风险分配”的问题,也就是说,当损害发生之时,如何将风险分配给特定当事人的问题。在被害人明知风险而接受结果发生盖然性的情况下,分配给造成结果的行为人的责任显然就要更小,而由进行答责的被害人承担更多的责任。更重要的是,法秩序也是构建于自我决定基础之上的,而自我决定权又是自由的核心,个人通过自我决定而感受并实现自由。[11]因此,一个法治国家不应当基于“家长主义”的泛滥褫夺公民的自主决定权,在被害人自我决定处分权能的情况下,如果这种处分不损害公序良俗,就是应当被尊重的。
但是另一方面,这种自我决定权一定是建立于信息相对对称的基础之上的。例如,在“梅梅尔案”中,乘客明知在恶劣天气摆渡有船体倾覆的风险,仍然不顾船工劝阻,搭乘该船,最终船覆人亡。在这种情形下,因为在恶劣天气乘船背后的风险在一般人看来都是明确的,考虑到两方信息的相对对称性,就可以认定被害人的自我答责。与之相反,如果船工凭借多年经验知道暴风雨的来袭,为了招揽客人而隐瞒乘客强行摆渡的,考虑到信息的不对称性,应当对船工予以归责。在日本的“赛车案”中,赛车经验丰富的被害人指导行为人以一种危险的方式驾驶赛车,最终赛车失控,被害人死亡。这种情况下,考虑到被害人在信息的获取上与行为人具有相同甚至是更为优越的地位,因此被害人对所造成的结果自我答责。
进一步来说,在对于“自我答责”或者“自主性”问题的讨论上,需要考虑公民的目的是否达到,这也就涉及“用途欺诈”的问题。“用途欺诈”是指,被害人虽然基于行为人的欺诈交付了财物,但对于财物的用途和目的存在认识错误。例如,在德国的一起判例中,被告人欺骗说,某种杂志卖出后的收益会提供给当地医生供研修使用,不少人因此购买。德国法院的判决指出,购买者看到购买杂志的公益性质,期待其给付的金钱具有支援社会的贡献,基于这一认识错误,不影响诈骗罪的成立。[12]
我国司法实践中也有类似的案件。2010年3月31日,被告人张天绪伙同王文伟、蔡华宝来到义乌市锦都酒店,以让季某乙加入湖北二办为名,骗得季某乙为湖北二办捐款人民币20万元,其中被告人张天绪分得人民币10万元,王文伟、蔡华宝各分得人民币5万元。被告人张天绪辩称,季某乙给的人民币10万元系自愿捐款。法院没有采纳该辩护意见。①(2013)浙金刑二初字第17号本案中,行为人通过欺骗的方式使得被害人季某乙为湖北二办捐款,实际上私分,这便是对捐款的用途进行欺诈。本案中,法院没有否定诈骗罪的成立,实际上是采用了部分财产犯罪的结论,没有将损失作为诈骗罪的构成要件看待。②当然,也有观点认为构成诈骗罪需要损失,但在“用途欺诈”的场合下实际有财产损失。但如后文所述,这样广义理解“损失”只是一套说辞,没有实益可言,也不影响结论。
因此,在侵犯公民个人信息罪的问题上,需要考虑的是,提供自己信息的公民是否在其掌控的目的之内使用信息。在日常生活中,公民提供自己的信息给金融、电信、教育、医疗、工商、房产、快递这些特定行业,目的不啻于为了在接受服务的过程中更为方便。例如,行为人只有提供准确的地址、电话以及其他个人信息给快递行业,才能享受到物流带来的便利。因此,倘若快递公司以牟利为目的将公民的个人信息出卖给他人,就完全违背了公民提供信息的初衷,这种情况下,就不能认为被害人自己处分了法益,不影响行为人成立侵犯公民个人信息罪。同样的道理,行为人为了特定目的将信息提供给特定行业,行业内的相关人员将信息泄露给他人,都不能认定被害人自我答责的情形,行为人成立侵犯公民个人信息罪。
2.被害人自我答责的法经济学阐释
绝对的信息对称在市场行为中不可能发生,或者说,如果信息完全对称,那么市场就不复存在。因此,在特定情况下,例如古玩市场、金融市场这些专业性极强的领域,只要求相对的信息对称。在这些领域,即使行为人以不作为的方式没有履行真实情况的告知义务,只要对方具有风险承担能力,就可以认定为自我答责。例如,一个在古玩市场“捡漏”的行为人没有义务告知摊主古玩的真实价值。
从经济学的角度来看,信息不对称的现象普遍存在于交易之中,或者说,相对的信息不对称促使了各种交易的发生。用成本—收益分析模型剖析信息不对称市场的存在是相对具有说服力的。成本—收益分析在法律经济学中占有重要的一席之地,它为识别、量化和比较某一法律的成本、收益提供了系统分析框架。[13]以古玩市场为例,一个富于经验的古玩行家在古玩市场多年钻研的经验也是一种成本,这种成本不同于原料、设备、厂房这种有形成本,它是一种无形的“沉没成本”,是在古玩市场潜心研究积累多年的经验,使得行为人在交易过程中占有相当有利的地位,帮助行为人以尽可能高的价格卖出古玩,以尽可能低的价格买入古玩。如果国家强加给行业中的所有行为人过分的信息披露义务,试图做到绝对的信息对称,那么,对那些钻研古玩市场多年、富于经验的人而言,就不存在任何优势了。在这种成本投入没有办法得到回报的情况下,大多数人会选择取消这项成本的投入。也就是说,如果要求绝对的信息对称,人们就不会再去研究古玩的辨识与鉴别经验了,这将直接导致古玩市场的崩溃。由此可见,信息对称只能限定为一个相对的概念,只要对方处于与行为人相对信息对称的立场上,也就是具有自我答责能力,就可以排除对行为人的归责。
在侵犯公民个人信息罪的问题上,行为人与提供者之间可能存在信息不对称的情形。例如,公民将信息提供给金融、电信、教育、医疗、工商、房产、快递行业,无形之中便表明了信息获取者对这些信息的利用不得超过特定的范围。如果行为人在提供个人信息的时候以为将信息用于用途A,结果在事后被用作用途B,这就表明对于提供信息的公民来说,存在信息不对称的情形,在这种情况下,就不能认为公民自己提供了个人信息阻却违法。从这一点考察,将通过特定渠道获取的公民个人信息用于其他渠道,从本质上类似于诈骗的结构,在英美刑法中成立欺诈罪。换言之,在行为人使得被害人产生错误认识并取得利益的情况下,不能阻却行为人的违法性。
四、行为人通过网络自行公开信息的自我答责认定
上文讨论了特殊行业的从业者将通过职务便利收集的公民个人信息提供给他人的情形下,由于存在被害人目的的错误与信息不对称,不能认定为被害人自我答责。接下来需要讨论的是,如果是行为人自行将信息公开在网络上,行为人仅仅是搜集散落的公民个人信息后加以出卖或加以利用,能否认定为侵犯公民个人信息罪?
正如上文所述,公民个人信息不同于隐私,可能存在公民自己公开信息的情形。例如,行为人将自己的联系方式放在QQ、微信或微博上,能否就此认为行为人放弃了法益的保护呢?在这种情况下,需要考察信息本身是否值得法律保护,这需要重点考察信息提供者的角色。
为什么法律要特别强调对公民个人信息的保护?从本质上来讲,在大多数情况下,侵犯公民个人信息的场合作为诈骗罪等犯罪的上游犯罪,涉及多数人的不特定利益,非常容易引发涉众犯罪。而且,无论在任何时代,法律都会被打下政治的烙印,刑罚的威慑功能本身就标表着刑法具有平息公众怒气、抵消社会危害行为等不良影响的政治属性,这就说明了为何公众资金安全被提高到一个至关重要的地位,甚至在《刑法修正案(九)》之前集资诈骗罪还保有死刑,就是因为公众资金安全的威胁将直接损害到社会稳定的根基。反观2007年的“蚁力神案”也可以发现这一点。根据案发后的调查情况,“蚁力神案”造成的损失达136亿以上人民币,受害者超过47万户蚂蚁养殖户。2007年11月19日至21日的三天时间内,数千名养殖户在蚁力神集团总部办公室门口聚集,打砸物品并冲击省委机关。[14]最终,营口东华经贸(集团)有限公司董事长兼总经理汪振东被判处死刑立即执行。
换言之,在侵犯公民个人信息罪的问题上,被害人处于相对的劣势地位,是需要重点考察的问题。如果向外界提供信息的主体能够更好地保护自身,刑法就没有理由介入。例如,在商主体主动将公司的信息公开,行为人加以利用的场合,就不能认为行为人成立侵犯公民个人信息罪。这背后的原因就在于,法秩序期待一个具有信息收集能力的商主体对于公开自身信息的后果有所了解,进而对可能存在的侵害有所防范,因此,在这种场合,刑法就不宜介入加以干涉。这就如同在古董买卖的场合,对于具有经验的行家交易而言,刑法必须保持一定的谦抑性,在诈骗罪的认定上需要相当慎重。同样的道理,在商业领域,法规范可以合理期待个人信息的重要性被每一个商主体知晓,不应当公开自己的信息。如果有商主体为了便利交易的目的向不特定公众提供了个人信息,那么对于所带来的不利后果只能自行承担。
[1]CNNIC发布第37次中国互联网络发展状况统计报告[DB/OL].http://tech.sina.com.cn/i/2016-01-22/docifxnuvxh5133709.shtm l.
[2]360补天平台:2015年收漏洞超4万个,可能泄露个人信息 55.3亿条[DB/OL].http://news.k618.cn/kx/201604/t20160410_7106685.html.
[3]佚名.银行教育电信快递证券等内部人员泄露公民信息公安机关5个月抓获270余人[DB/OL].http://news.163.com/16/0925/21/C1RE8N7A00014Q4P.html.
[4]张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(3):38.
[5]王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013(4):62.
[6]王利明,杨立新.人格权与新闻侵权[M].北京:中国方正出版社,2010:406.
[7]山口厚.刑法各论(第2版)[M].王昭武,译.北京:中国人民大学出版社,2011:151.
[8]张明楷.外国刑法纲要(第二版)[M].北京:清华大学出版社,2007:514.
[9]边沁.道德与立法原理导论[M].时殷弘,译.北京:商务印书馆,2012:2.
[10]张智辉.论刑法理性[J].中国法学,2005(1):172.
[11]冯军.刑法中的自我答责[J].中国法学,2006(3):93.
[12]伊藤涉.詐欺罪における財産的損害[J].警察研究,201063(4):40.
[13]周林彬.法律经济学[M].北京:北京大学出版社,2008:53.
[14]贺电,陈祥民,姜万国.涉众经济犯罪研究[M].北京:中国人民公安大学出版社,2011:16.
(责任编辑:孔素真)
10.3969/j.issn.2096-2452.2016.06.010
D917
A
2096-2452(2016)06-0046-06
2016-11-03
陈文昊(1992-),男,江苏镇江人,北京大学法学院2015级刑法学硕士,清华大学法学院2017级博士生。