网络社会中个人信息的保护
——构建侵犯公民个人信息罪的规范意蕴*
2018-03-23晋涛
晋 涛
(河南财经政法大学 刑事司法学院,河南 郑州 450046)
在网络社会中,个人信息彰显了前所未有的重要性,其具有的巨大的商业价值的潜能正在凸显。与此同时,由于科技的发展,特别是拍照、视频设备的普及和信息的网络化,获取个人信息变得更为容易,针对个人信息的犯罪也呈现出激增的态势。“查通话记录、查银行账号、查用户电子邮箱中的私人信件,为了摸清被调查对象的生活作息规律,在公共场所跟踪、偷拍、冒充、潜入等手法都被使用。虽然风险巨大,但惊人的利益回报却驱使调查者甘愿冒险。”[1]偷拍、偷录、上传不雅视频的新闻更是屡见不鲜:“女子温泉假日酒店全裸泡温泉,疑遭同性视频直播”[2],“男子无人机直播偷拍女子裸居画面,被行政拘留”[3],“偷拍狂手机加防水套游泳池底拍女性泳姿”[4],诸如此类的偷拍、直播等无疑构成侵犯公民个人信息罪。探讨侵犯公民个人信息罪的规范意蕴,应充分考量本罪以信息为对象的涵括性,解析其面向当下的构成内容,如此才能真正实现该罪的功能预设。
一、“违反国家有关规定”的解读
《刑法》中,只有本罪出现了两次“违反国家有关规定”。明晰“违反国家有关规定”的含义,首先需要梳理一下刑法中的相关规定。刑法中,“违反……规定”可以具体划分为违反国家规定和违反准则性规定。违反国家规定还可以分为违反一般性国家规定和违反具体性国家规定,前者如“违反国家规定”(第一百八十六条、第一百九十条、第二百二十二条、第二百二十五条、第二百八十五条、第二百八十六条、第二百八十八条、第三百三十九条、第三百四十四条、第三百五十条、第三百五十五条、第三百八十九条、第三百九十六条、第四百零五条第二款等)、“违反法律规定”(第二百九十七条)、“违反法律、行政法规的规定”(第四百零五条)等,后者如“违反交通运输管理法规”(第一百三十三条)、“违反消防管理法规”(第一百三十九条)、“违反土地管理法规”(第二百二十八条、第三百四十二条)、“违反进出口商品检验法的规定”(第二百三十条)、“违反国务院卫生行政部门的有关规定”(第三百三十条)、“违反国(边)境管理法规”(第三百二十二条)等。
如何理解刑法中仅有的两个“违反国家有关规定”,意见并不统一。“违反国家有关规定”既可以解释为违反国家的“相关”规定,也可以理解为违反国家有关“部门”的规定。违反国家“相关”规定与“违反国家规定”具有相同的意义,仅指全国人大及其常委会、国务院作为制定主体的规定,这样可以防止“有关规定”的不明确性和泛滥,捍卫刑法的明确性和谦抑性。违反国家有关“部门”的规定指向多层次的国家机关的规定,宽泛承认以国家名义(包括地方各级政府)制定的各种等级、领域的规定,这会让行为失去预测可能性,极大地扩展了本罪的成立范围。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第二条规定:“违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的‘违反国家有关规定’。”该解释虽然没有将“地方政府的规定”认定为“国家有关规定”,但认为“部门规章”属于“国家有关规定”,实质上是宽泛承认“违反国家有关规定”的范畴。实践中,“违反国家有关规定”通常被理解为一种违法性提示语,对其做出有别于“违反国家规定”的理解,即更宽泛地理解国家规定,只要有相应的国家部门规定即可。之所以这么理解,可能是因为当前我们国家还没有《个人信息保护法》这样的专门性法律对个人信息进行全面的规定,还由于个人信息涉及到方方面面,还没有一部法律能够囊括个人信息的所有内容,因此该司法解释采用了更为广义的表述。
本文主张在第一种意义上理解“违反国家有关规定”,即“违反国家层面的相关规定”。“违反国家有关规定”也属于违反一般性国家规定的范畴,应当与“违反国家规定”做相同的理解。“违反国家有关规定”不仅是一种违法性提示语,更具有实质性内容,即违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。这其中,最高人民法院还专门对涉及国务院的“国家规定”做出过解释。最高人民法院《关于准确理解和适用刑法中“国家规定”的有关问题的通知》对行政措施做出了明确性规定:“‘国务院规定的行政措施’应当由国务院决定,通常以行政法规或者国务院制发文件的形式加以规定。以国务院办公厅名义制发的文件,符合以下条件的,亦应视为刑法中的‘国家规定’:(1)有明确的法律依据或者同相关行政法规不相抵触;(2)经国务院常务会议讨论通过或者经国务院批准;(3)在国务院公报上公开发布。”
应该认为“违反国家有关规定”是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。
虽说《个人信息保护法》还未出台,但随着《民法总则》以及《网络安全法》《反恐怖主义法》一系列法律法规的颁布,再加上已有的《食品安全法》《消费者权益保护法》《律师法》等法律中都有对公民个人信息保护的相应规定,可以说,目前在国家层面我们已经建立起了对个人信息保护的完整体系,没必要担心侵犯公民个人信息的前置性法律缺失。还应注意的是,在保护个人信息的同时,也不能过分挤压公民权利。如果只要有相关规定存在(哪怕是地方政府制定的红头文件),就可以作为侵犯公民个人信息罪的依据,那么本罪的成立范围将被极大地拓展,这显然不利于公民自由的保护。现阶段,在侵犯公民个人信息罪中,法益保护和人权保障应当并重,对侵犯公民个人信息罪的行为不能无限扩张,出于对公民知情权和表达自由的保护,应将“违反国家有关规定”限于违反全国人大及其常委会制定的法律、发布的决定以及国务院制定的法规或者发布的决定。对于仅仅违反了部门规定或者地方政府的规定,不得认为是“违反国家有关规定”。
“违反国家有关规定”另一意义是提示排除犯罪的事由,如果存在国家规定的合法化事由,获取或提供公民个人信息的行为就不能认定为犯罪。比如《国家安全法》《人民警察法》《刑事诉讼法》《防恐怖主义法》都规定了技术侦查措施。《反恐怖主义法》第四十五条规定:“公安机关、国家安全机关、军事机关在其职责范围内,因反恐怖主义情报信息工作的需要,根据国家有关规定,经过严格的批准手续,可以采取技术侦察措施。依照前款规定获取的材料,只能用于反恐怖主义应对处置和对恐怖活动犯罪、极端主义犯罪的侦查、起诉和审判,不得用于其他用途。”技术侦查措施是指采取专门技术手段获取相应的案件信息,通常包括电子侦听、电话监听、行为监控、秘密拍照、录像、进行邮件检查等秘密手段。按照严格的审批程序采用这些技术手段获取的公民个人信息由于具有法律依据,因而并不违法。“违反国家有关规定”具有违法性提示作用,即使在这个意义上,也限于依据国家层面上的法律实施的相关行为才被许可。
二、公民个人信息的内涵构建
“在当今这样一个信息社会,公民个人信息的形态早已不再局限于传统意义上的姓名、联系方式、住址等,手机定位信息、车辆轨迹、航空旅游信息等新型的公民个人信息在笔者检索所得的案例中并不少见。”[5]对于个人信息的不同理解,决定着个人信息范围的大小宽窄,进而也影响到侵犯公民个人信息罪的成立范围。本罪是复数法益,既有个人对自身信息的排他性支配这种人身权利,也有国家对个人信息管理权。侵犯公民个人信息支配权的行为通常也违反了国家对个人信息管理,但也存在没有侵犯个人的人身权利,却侵犯了国家对个人信息管理的情况。比如说,特定地区的人群同意将自己的相关信息提供给某一公司,该公司转手将该批次的信息转让给了国外的机构。针对一定地区特定人群个体信息(如基因、体质等)的研究,可能被用来研制专门针对该地区的特定人群的传染性病毒。这种获得了被害人承诺的行为仍然构成非法侵犯公民个人信息罪。“当代信息社会,公民个人信息不仅直接关系个人信息安全与生活安宁,而且关系社会公共利益、国家安全乃至于信息主权。”[6]因此本罪的保护法益是选择性法益,即公民对个人信息的支配权或者国家对个人信息的管理权。
(一)公民个人信息的特性扩张
实务界和理论界多认为“公民个人信息”必须具有可识别性。2017年6 月1日施行的《解释》第一条:“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”学界也认为公民信息应具有可识别性:“公民个人信息”是指专属于某自然人的一切能用于识别其特定身份的重要信息,包括姓名、职业、职务、年龄、婚姻状况、种族、学历、学位、专业资格、工作经历、住址、电话号码、网上登录姓名和密码、身份证号码、护照号码、社会保险卡号码、医疗保险卡号码、驾驶证号码、指纹、声音印记、DNA、书写的签名和电子签名等[7]。“将‘公民个人信息’限缩为可直接识别特定个人身份的公民个人信息具有其合理性与正当性。”[8]
个人信息不必具有可识别性,只要是个人信息即可。如果要求个人信息必须具有识别性,会将那些具有严重社会危害性的行为排除在外,从而出现刑法规制的漏洞。“6月30日20时,在呼市海亮地下通道内,男子赵某看到自己前面一女子的身材很好,便拿出了自己的手机跟在该女子后面。在这名女子准备上楼梯的时候,赵某乘机把手机伸向了这位女子的裙底开始偷拍。然而赵某的这一举动被该女子的同伴发现,被拍女子连忙报警。赵某见状赶紧逃跑,慌乱中把手机丢弃。”[9]该案例中,依据裙底信息显然不能确定出具体的行为人或者区别性的局部特征,裙底信息并不具有可识别性,但“裙底信息”无疑是重要的信息。实践中对这类“偷拍狂魔”一般按照治安管理案件处理,事实上偷拍裙底的行为已经构成侵犯公民个人信息罪。实践中之所以对偷拍、偷录行为没有按照侵犯公民个人信息罪处罚,主要是没有将获取不具有可识别性信息的行为认定为个人信息。“个人隐私也是一种个人信息,且个人信息的范围大于个人隐私,个人信息与个人隐私是一种包含与被包含的关系。”[10]换言之,认定偷拍、偷录行为侵犯了他人隐私没有问题,而隐私也是信息的一部分,因此偷拍行为可以成立侵犯公民个人信息罪。“裙底风光”当然是他人身体的重要信息,不要求个人信息的可识别性,排除对个人信息的传统认知的障碍,有助于将偷拍、偷录行为纳入刑法范畴进行评价。
个人信息与个人隐私不是对立关系。从内容上看,个人隐私是个人信息的一部分,因为任何隐私实质上都是一种资讯,侵犯隐私就是侵犯了公民个人信息,甚至可以认为个人隐私是个人信息中最为核心的一部分内容。个人信息和隐私两者的定义角度是截然不同的,很难在同一平面上进行比较。前者是对信息本身的识别性和指向性进行的判断,能够识别为具体个人或者指向具体个人的是个人信息;而后者则是对私人领域侵入程度的判断,如果侵入的程度超过了社会一般容忍限度,达到影响个人独处和生活安宁的程度,则会被视为对个人隐私的侵犯,是以行为后果为依据的判断[11]28。虽然本文不赞同个人信息必须具备可识别性,但是绝大多数个人信息还是具有可识别性的,上述论断对于个人信息和个人隐私的区别具有合理性。简单而言,个人信息与个人隐私具有不同的功能定位。隐私权的设计,重点在于保密;而个人信息权的设计,重点则在于信息的控制与利用[12]789-790。
个人信息着眼于个人对信息的自我处分和国家对个人信息的管理权,个人隐私侧重于个人私生活的安全、安宁。同一事物既可能是个人信息又可能是个人隐私,这取决于观察的视点和实际需要。就像一个明代的青花瓷瓶既是文物又是财物,将其看作文物的同时并不排斥还可以将其看作财物。第三者将该瓷器故意损坏的,既构成故意损毁文物罪,也构成故意毁坏财物罪,根据法条竞合,最终成立故意损毁文物罪。民法中对个人隐私进行保护有着悠久的历史和成熟的理论,对个人信息的保护才刚刚开始,在事物具有个人隐私和个人信息的双面性质时,将其定位于隐私更有利于问题的清晰化和可接受性。反观刑法中,并没有专门以隐私为规制对象的罪名,将某种事物认定为隐私,可能成为行为人开脱罪责的借口。比如认为裙底信息是个人隐私,不是个人信息,刑法仅规定了侵犯公民个人信息罪,没有规定侵犯公民隐私罪,因此这种行为无罪,只能按照民法上的隐私侵权处理,这样显然不合理。因为按照一般理解,偷拍他人家居生活因为具有可识别性,因而构成侵犯公民个人信息罪;偷拍他人裙底,因为没有可识别性,仅构成侵犯个人隐私,不能按照犯罪处理,只能交给民法处罚。难道偷拍他人裙底的危害性要轻于偷拍他人家居生活?这样的不合理性纯粹是我们的解释制造的障碍,而不是立法本身的漏洞。对法律的解释,应当以法条为素材,以现实正义为追求,在案件事实与法律规定之间打磨调和,得出符合当下需求的结论。法律解释的运行机理在于解释主体的认知,解释人的前见是理解的起点,但是如果不能面对现实及时扩充新鲜认知,前见可能成为偏见,最终阻碍刑法规范目的的实现。
(二)公民个人信息的分类
个人信息是与个人相关联的一切资讯,包括财产信息、身份信息,且不要求可识别性。个人的身体特征、生日、住址、证件号码、病史、婚姻家庭状况、活动轨迹、通话记录、手机、E-mail、微信等通讯工具号码等等都属于个人信息。司法实践中也印证了公民个人信息的多种多样。如张某某、王某“非法购买、交换近百万余条含公民个人信息的建筑、设计等企业信息以及银行金卡、车检车主、在校学生、淘宝用户等公民个人信息数万条”*参见张某某、王某非法获取公民个人信息罪二审刑事裁定书,(2014)芜中刑终字第179号。。在未来社会,个人信息的内容还会更加丰富,甚至是叠加式增长。对于公民个人信息的认定要充分考虑到个人信息的扩张趋势,随着科技的进一步发展,当前很多没有太多信息价值的事物会被识别成重要的信息,诸如声纹、唇纹、虹膜、脑波、心电波等等。“随着科学技术的不断发展,特别是生物科学、生命科学的新发现、新突破,以个人生物信息为代表的个人信息范围将会不断拓展。”[13]
对公民个人信息应从多角度进行分类,多侧面透视个人信息的特点,打破仅在一个方向上看待个人信息的单一思维,尽可能拉伸个人信息的范畴,促进个人信息的清晰化和明确化。个人信息是一个疯狂增长的信息群,膨胀性是其显著特点。公民个人信息分类是为了对新型信息的认定提供通道,使其归类顺畅。“目前,各地法院认定的公民个人信息范围非常广泛,包括公民身份信息、车辆信息、房产信息、手机定位信息、护照信息、旅馆业旅客入住信息、乘客数据信息、淘宝买家信息、公司客户(会员)信息、学生信息、新出生婴儿信息、残疾人信息、精神病人信息以及已故人员家属信息等。”[14]根据信息的性质、信息的主体、信息的属性、信息的功能等方面,可以对信息做出四种分类。
1.个人生物信息和个人社会信息
人既是自然物种,也是社会动物,在网络社会中,人的自然属性与社会属性同等重要,共同支撑着人的存在和发展。人的自然属性指人具有动物的特征,人是一种受环境支配的生物存在,无法摆脱出生、存在、死亡的过程,人自身承载着多种生物特征,既有自己的特定性也有人类共性。生物信息是建立在人的动物属性上的信息,包括身高、体重、相貌、指纹、声纹、虹膜、血型、DNA、健康状况等等。人也是一种社会动物,在当今这个被网络连接的社会中,人的行为与社会存在着密切联系。社会信息是人为了适应社会生活,为了更好地在社会中发展自己而附加的各种信息,包括姓名、职业、特长、手机号码、家庭住址、财产状况、婚姻状态、亲属关系、活动轨迹等等。生物信息和社会信息都是个人信息的有机组成部分,知悉别人的身体状况或者生理特征,再或者是获取他人的行动轨迹、开房记录等向外界发布,会对他人造成重大影响。
2.个体信息和涉众信息
根据信息涉及的主体是仅指向一个人还是指向多个人,可以将信息分为个体信息和涉众信息。涉众信息从本质上来讲也属于个人信息,不过是众多个人信息的集合体而已。在侵犯公民个人信息罪的判断中,个人信息与涉众信息的判断具有区别。像身高、姓名这些信息具有一定的公开性,获取单个人的这种信息一般不应认定为犯罪。当涉及了众多人的身高、姓名信息时,处罚的必要性就显著增加了,因为这种行为侵犯了国家对于信息的管理权。黄某、谢某犯非法获取公民个人信息罪是典型的涉及侵犯个体信息的犯罪。“2014年7、8月间,被告人谢某先后两次来到扬州,通过网上交易并采用秘密跟踪、秘密拍摄、在被害人戚某驾驶的汽车上安装GPS追踪器等方式,非法获取了被害人戚某的户籍信息、家庭成员户籍信息等相关个人信息,通过网上交易并采用秘密跟踪、秘密守候等方式,非法获取了被害人华某的宾馆住宿登记等个人信息。”*参见黄某、谢某犯非法获取公民个人信息罪一审刑事判决书,(2014)扬广刑初字第505号。
在侵犯公民个人信息罪中,多数案件涉及到的信息主体数量巨大,关注涉众信息这一类型具有现实意义。个体信息可以向涉众信息进行转化,个人隐私是个体信息,涉及多个人的个人隐私就是涉众信息了。实践中多发的是像李志勇侵犯公民个人信息罪一样,通常侵犯众多公民个人信息的犯罪。李志勇“通过QQ和微信平台,对外承揽出售公民个人信息。其中,分别以100元至1 000余元的价格出售了多类公民个人户籍信息、开房信息、房产信息、银行信息、定位信息等内容给梁某、何某、张某、吴某等人,从中获利达11 000元”*参见李志勇侵犯公民个人信息罪二审刑事裁定书,(2017)渝05刑终85号。。
3.动态信息(行为信息)和静态信息
根据信息内容是否正在发生变化、是否具有连续性和延展性,可以将信息分为动态信息和静态信息。“应该指出的是,公民个人信息不仅包括能识别公民个人身份的静态信息,还包括能够体现公民行踪的动态信息,如宾旅馆住宿信息和机场登机、到达信息等。”[15]动态信息是指行为信息,能够体现出信息的动态性甚至是连续性。静态信息是指具有稳定性的信息,包括手机号码、婚姻家庭、财产状况、指纹、血型等。偷拍偷录、车辆定位、跟踪他人等都是动态信息,动态信息具有鲜活性、集合性、连续性,应当受到严格保护。获取公民动态信息,对公民的个人隐私、安全感破坏性极其严重,更应受到特别关注。“如‘只需提供身份证号码,即可查询包括开房记录、列车记录、航班记录、网吧记录、出境记录、入境记录、犯罪记录、住房记录、租房记录、银行记录、驾驶证记录等11个项目在内的材料’,统称‘身份证大轨迹’。而在‘定位服务’方面,‘只要付费即可找到任何人当前位置’,‘只要有手机号码或QQ微信等,就可以进行定位’。”[16]
4.识别信息和非识别信息
根据信息能否让外界认识到具体的人或者认识到显著性特征,可以分为识别信息和非识别信息。这里的“识别”应当如何理解?对此,《欧盟个人数据保护指令》采取了“可能性”和“合理性”相结合的判断标准,其第二十六条规定:“……判断是否能够被识别,要依据控制者或者识别者所拥有的所有可能并且合理的手段……”这里的“可能”表达的是这种识别可以通过当事人所掌握的所有方式进行;而“合理”则表达的是一个成本问题,进行识别所花费的成本应当在一个依据一般标准认为合理的范围内。因此,欧盟指令所强调的是,判断识别与否,不能依据简单机械的标准,而需要在具体个案中结合当事人的具体情况作出判断[11]8。姓名、身份证号码、开房记录、银行记录等是识别信息,人们可以根据该信息在常规途径下低成本地锁定特定的人。识别信息还可以进一步划分为识别身份的信息和识别特征的信息,前者如对某人进行监控录像就很容易锁定到具体的人,后者如提供他人的生理缺陷、癖好等具有显著性的信息。
非识别信息是不能与具体的个人或者特定主体的局部特征挂钩的信息,如血型、行车记录、卫星定位、裙底偷拍、厕所偷窥等。孤立地依据该信息不能识别出某一个体或者其显著性特征,再或者说虽能识别但需要采用超常规、高成本的方式,即识别非一般方式所能达成。当然,随着科技的发展,现在识别成本较高但在未来可能变得简便易行。裙底信息虽不具有可识别性,但这并不妨害它是公民个人信息之一种,值得动用刑法进行保护。
个人信息与个人隐私是从不同视角展开的判断,个人信息强调个人信息的自我控制管理权,既有人格属性又有财产属性。个人隐私强调私生活的安全、安宁,是一种人格权。从内容上看,隐私就是一种信息,偷拍裙底,对被害人来讲是隐私受到了侵犯,从行为人角度来看,绝不是单纯的为了侵犯隐私而侵犯隐私,其行为的真正动机是侵犯隐私之后得到了他人的裙底所蕴含的信息,这才是行为人所追求的。因此,区分识别信息与非识别信息的意义在于提醒人们在识别信息之外,还存在着需要刑法保护的非识别性信息。
三、“公民个人信息”中“公民”的宽泛理解
侵犯公民个人信息罪不仅仅保护我国公民的信息,对于外国人、无国籍人的信息同样给予保护。如何在刑法采用“公民”的表述中涵括外国人和无国籍人就成为我们必须面对的现实问题。在这里如何解释“公民”决定着本罪的设定理性和规制效果。
(一)该罪中“公民”是一种泛称
在《刑法》中,“公民”一词多次出现,其区别于百姓、群众、市民等日常词汇,对其有严格的界定。“公民”是一个宪法词汇,也是一个法律词汇,其含义是具有一国国籍的自然人,国籍的取得和丧失有着严格的法律规定(参见我国《国籍法》)。明晰了公民的含义,就知道公民不等于自然人。自然人包括公民、外国人、无国籍人,自然人的范围显然大于公民。“当法官面临法律术语的解释问题时,必须要通过参考法律术语在其他法律规范中的意思来确定。”[17]“相比而言,中国宪法中所定义的权利几乎是清一色的‘公民权利’。不过,事实上,许多中国法律都明确表示,除非法律特别规定,普通法律一般平等适用于境内的外国人或无国籍人(如《民法总则》第二条、《民法通则》第八条、《行政诉讼法》第七十和七十一条、《国家赔偿法》第三十三条的相关规定)。然而,在宪法观念上,从‘公民权’到普遍‘人权’的转变仍有待完成。”[18]这个问题在刑法上表现得更为突出,《刑法》文本中除了三个条款外,其余使用“公民”概念的都是错误表述,应视情况换成“私人”“他人”“人”等表示全体自然人的词汇。第七条(属人管辖权)、第八条(保护管辖权)、第三百七十六条(战时拒绝、逃避服役罪)这三个条款正确地使用了“公民”这一概念。而下列条款中“公民”一词是错用,刑法的任务(第二条),犯罪概念(第十三条),公民私人所有财产的范围(第九十二条),侵犯公民人身权利、民主权利罪(第四章章名),串通投标罪(第二百二十三条),侵犯通信自由罪(第二百五十二条),非法剥夺公民宗教信仰自由罪(第二百五十一条),侵犯公民个人信息罪(第二百五十三条之一)。
法律词汇具有统一性和相对性的属性,统一性和相对性的选择取决于刑法的规范目的和正义的考量。刑法中的“公民”必须做出相对性的解释,在特定语境中使用“公民”的法律意义,在其他语境中使用“公民”的泛指意义。在本罪中,“公民”就是泛指意义上的个人,即所有自然人。其他国家和地区在规定个人信息保护时,并未在“个人信息”之前加上“公民”来修饰,如中国澳门特区刑法典第一百八十九条规定之违反保密罪,第一百九十条规定之不当利用秘密罪,均没有加“居民”之类的修饰性的语词。删除罪状中“公民”一词,既简洁又可以避免法条解释过程中可能产生的误区[19]。立法建议对于今后或许具有价值,在还未修改法律的前提下,如何化解立法制造的障碍并没有太多实益。解释论主张通过解释实现法律的顺畅与合理,法律适用离不开发达的解释学的支撑。
从字面解释的意义上,应将本罪中的“公民”理解为“世界公民”,包括中国公民、外国人和无国籍人。若坚持“公民”的法律意义,就会只保护中国公民的个人信息,但在开放的当代中国生活着众多的外国人和无国籍人,如果对他们的个人信息不予保护,让他们的个人信息处于随意被侵犯的状态,由于信息具有交缠性和牵连性,这样必然造成社会秩序的混乱,显然不符合本罪设置的宗旨。“在刑法中,‘公民’通常指称任何人。无论是具有中国国籍的公民还是外国人、无国籍人均属于刑法保护的权利主体。”[6]既然“公民”是泛指意义上的个人,就需要通过合理的解释化解掉刑法的“明文规定”制造的障碍,从而得出合理结论。有人认为这里的公民既指中国公民,也指外国公民,这极大地拓展了公民的范围,但是“中国公民+外国公民≠个人”,因为“中国公民+外国公民+无国籍人=个人”,显然,中国公民和外国公民不能包括无国籍人。中国公民和外国公民虽说是个人的大多数,但还不能包括所有的个人。可以借鉴日常生活中“世界公民”这一口头词汇,将“公民”解释为“世界公民”,即在这个地球上存在的人。虽说“世界公民”这一称谓从法律层面来说并不是一个严肃的词汇,但在这里却可以一方面守住“公民”的字面,另一方面又实现了将本罪保护对象扩展到所有的自然人。
(二)公民应包括死者
本罪中,公民不仅包括活着的人,也应包括死者。从一般意义上说,刑法中所指的人仅指活着的人,死者不属于人的范畴。在网络语境内,大范围传播个人信息变得极为容易,至于信息所指向的个人是活人还是死者并不重要,也无法查知,换言之,人们关注的是信息本身。
民法为死者人身利益的保护提供了理论积淀和条文支撑。“死者人身利益是指自然人死亡以后,其姓名、肖像、名誉、隐私等利益。法律不仅保护人身权,而且也对死者的人身利益加以保护。依照《精神损害赔偿解释》第三条的规定,自然人死亡后,下列人身利益受法律保护:(1)死者姓名、肖像、名誉、荣誉;(2)死者隐私;(3)死者遗体、遗骨。”[20]《民法总则》第一百八十五条特别规定:“侵害英雄烈士等的姓名、肖像、名誉、荣誉,损害社会公共利益的,应当承担民事责任。”可见,死后的人格权保护针对的是降低人格评价的行为,如死后尸体被碾压、死后人的形象被他人歪曲、身份被扭曲、一些敏感的个人状况被公布等,或者他人为了自己的利益将死者作为可处分的客体对待[12]757。因此,民法上有着对死者人身利益保护的完整理论和丰富实践。侵犯死者个人信息的,属于对死者人身利益的侵害,对其中的严重行为应当纳入到本罪的值域内。
有学者反对将死者作为个人信息的保护主体,认为如果死者的信息权益真的需要维护,那也是因为其对近亲属产生了直接或者间接的影响,是死者近亲属的精神利益和死者继承人的财产利益,在必要时可以将其视为指向近亲属的个人信息加以保护。而对于胎儿信息的保护也是同理,在出生前或者出生时已经死亡的,可以视为指向其父母的信息,而出生之后可以视为指向其本人的个人信息[11]14-15。否定死者作为个人信息的保护主体,不但与民法理论与民法规定相冲突,还与网络社会中死者生前信息保护的迫切性相抵牾。如果公民信息只限于活着的人的信息,对死者的信息肆意获取、任意发布不受制约,诸如死者曾经的生活隐私(开房记录、出行线路、财产账户、过往丑事等),这不但会影响到死者近亲属的名誉,还会对生者造成潜在的压力。如果不对散布死者生前的私密信息的行为加以规制,死者生前的私密信息可以任人处置、发布,如此“过往”信息处在了法律保护之外的真空状态,这会严重压缩生者的行为自由,影响他们的正常生活。因为人人都会担心一旦自己逝去,个人信息就处于“裸奔”状态,在此心理阴影下,将严重影响生者的行动自由。当然死者应该是死去的当代的人,不包括古代的人。
四、余论:隐私与个人信息的交融性评价
网络社会语境中个人信息的商业价值和个人权益之间的博弈呈现出紧张状态,一旦个人信息受到侵害,就有可能在网络世界肆意扩散传播,这将会对个人权益产生巨大的危害性。因为这种“留痕”式的传播是不可控的,甚至是永久的。在个人信息泄露泛滥的当下,民法、行政法再到刑法都加强了对个人信息的保护。根据各个法律具体规定的内容对个人信息作出相对性的解释,符合法秩序统一性原理,更有利于有效地保护个人信息。
刑法不应对个人信息和隐私做分离性评价,而是应当认识到二者在“获取了他人一定的生活内容”上具有一致性,都获得了本不应知晓的他人的个人情况,都侵犯了他人生活的自主权和个人生活的安宁。“这些判决书便涉及包括户籍资料、身份证号码、家庭住址、婚姻状况、工作单位、IP地址、健康信息、购物信息、照片记录等各种个人信息。”[21]考察侵犯公民个人信息罪的判例可知,对于侵犯公民个人信息罪仍然囿于身份证号码、购物信息等这类一般性的个人信息,很少看到偷拍、偷录、上传他人裸照等侵犯个人隐私的行为被认定为侵犯公民个人信息罪的判决,这表明我们对侵犯公民个人信息罪的认知还处在一般性经验层面。认识到个人信息与隐私的交融性,考量侵犯公民个人信息罪的规范意蕴,就会认同偷拍、偷录、上传他人裸照等行为可以受到刑事处分,从而极大地拓展本罪的适用范围,将那些侵犯他人隐私的行为纳入到侵犯公民个人信息罪中来。
参考文献:
[1] 王文硕.保护公民个人信息永无“灰色地带”[N].人民公安报,2014- 07-14(3).
[2] 女子温泉假日酒店全裸泡温泉,疑遭同性视频直播[EB/OL].(2016- 08-22)[2017- 09-14].http://news.qq.com/a/20160822/012804.htm.
[3] 男子无人机直播偷拍女子裸居画面 被行政拘留[EB/OL].(2017- 07- 07)[2017- 09-14].http://www.cjn.cn/jsxw/201707/t3034289.htm.
[4] 项仙娥.偷拍狂手机加防水套游泳池底拍女性泳姿[EB/OL].(2012- 06-10)[2017- 09-12].http://news.sina.com.cn/s/2012- 06-10/051924566338.shtml.
[5] 廖宇羿.侵犯公民个人信息犯罪“情节严重”认定研究[J].法律适用,2016(2):116.
[6] 曲新久.论侵犯公民个人信息犯罪的超个人法益属性[J].人民检察,2015(11):6.
[7] 陈超,李华,贺心.周建平非法获取公民个人信息案[J].刑事审判参考,2010(2):33-37.
[8] 高富平,王文祥.出售或提供公民个人信息入罪的边界——以侵犯公民个人信息罪所保护的法益为视角[J].政治与法律,2017(2):52.
[9] 变态!呼和浩特一男子在海亮地下通道偷拍女子裙底被抓[EB/OL].(2017- 07- 05)[2017- 09-27].http://news.ifeng.com/a/20170705/51379336_0.shtml.
[10] 饶明党.侵犯公民个人信息犯罪的司法认定[J].河南警察学院学报,2011(1):67.
[11] 谢远扬.个人信息的私法保护[M].北京:中国法制出版社,2016.
[12] 陈甦.民法总则评注[M].北京:法律出版社,2017.
[13] 吴盛.公民个人信息的刑法保护宜更为周全[N].检察日报,2008- 09-15(3).
[14] 李玉萍.侵犯公民个人信息罪的实践与思考[J].法律适用,2016(9):11.
[15] “侵犯公民人格权犯罪问题”课题组.论侵犯公民个人信息犯罪的司法认定[J].政治与法律,2012(11):150-151.
[16] 张贵峰.数据时代,个人信息如何不“裸奔”[N].人民法院报,2016-12-18(2).
[17] 陈林林.法律方法比较研究:以法律解释为基点的考察[M].杭州:浙江大学出版社,2014:154.
[18] 张千帆.宪法[M].2版.北京:北京大学出版社,2012:133.
[19] 赵秉志.当代中国刑法立法新探索[M].北京:法律出版社,2017:399.
[20] 房绍坤.民法[M].4版.北京:中国人民大学出版社,2017:110.
[21] 韩旭至.个人信息类型化研究[J].重庆邮电大学学报(社会科学版),2017(4):64.