侵犯公民个人信息罪超个人法益之提倡
2018-04-15江海洋
江海洋
一、 问 题 之 提 出
法益保护作为刑法的核心概念,是刑罚规范的正当化基础,也是刑法解释的出发点,刑法分则个罪问题的研究,首先就绕不开该个罪法益为何。《刑法修正案(九)》以“侵犯公民个人信息罪”取代原来的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个罪名,将适用主体范围进一步扩大,可以说是在个人信息保护这个问题上跨了一大步。但步子跨得大并不一定就完全是进步,现在以互联网为代表的信息技术迅猛发展,巨量的个人信息数据日渐成为具有重大价值的生产要素,掌握信息,包括个人的信息,不仅有助于个人对生活中的各种事务自由地做出判断,也有助于企业掌握商机、创造利益,更有助于国家进行社会管理和提供服务。可以说,个人信息数据的利用是大数据发展的应有之义。而侵犯公民个人信息罪限制获取、提供与出售个人信息的行为,并对违反禁止规定者给予处罚,无疑是限制公民的自由与权利,对公民自由的限制的刑罚规范必须具有内在正当性,只有这样才符合当今法治国的要求。一般认为,刑法个罪保护之法益即是证立该刑法规范正当性之理由,即个罪所保护法益具有正当性,刑法规范因此具有正当性。那么法益又是如何证立自身的正当性?个罪法益的内涵又是如何确定的?就侵犯公民个人信息罪而言,以刑法规范保护个人信息之正当性是什么?侵犯公民个人信息罪所保护法益又是什么?
二、简析法益正当性证立方式与法益内涵确定步骤
(一) 法益正当性证立之方式
有学者认为,法益的基本概念应当是由利益所组成,而利益就是一种使人感到愉悦的生活状态。*黄荣坚: 《基础刑法学(上)》,台北元照出版公司2012年版,第20页。不过生活中可以使人感到愉悦的状态不胜枚举。无论是外在的物质满足还是对个人情绪的满足,严格意义上来说都可以使人感到愉悦,也就会是一种利益,因此这样的法益定义尚不足以说明法益的内涵,也不能证立刑法规范的正当性。我国有宪法学者正确地指明了证立法益自身正当性的方向,即将法益与宪法相关联。该学者指出,法益的宪法关联性应该被理解为宪法对法益内容的控制,这既包括对立法者的法益形成自由设定宪法边界,也包含教义学层面对法益内容的合宪性解释。宪法对立法者的法益形成自由的控制,不仅是就立法程序而言,而且是就其实质内容而言。*张翔: 《刑法体系的合宪性调控》,载《法学研究》2016年第4期,第53页。我国台湾地区也有学者主张,刑法规范所欲保护的利益,必须与宪法上的基本权或宪政秩序相联结,进而认为宪法对于基本权的保护,无非就是赋予公民享有社会生活所需资源的自由,此与刑法保护利益的概念完全契合,因为刑法所保护的公民在社会生活所需要的利益,必定是宪法认为必须予以保障的利益,如果不是宪法所认可的必要生活利益,宪法不可能准许以剥夺公民生命权及身体自由的方式加以保护。*参见许玉秀大法官,释字594号解释之部分协同意见书。转引自潘怡宏: 《论个资法第41条第1项违法侵害个资之保护法益》,载甘添贵教授七秩华诞祝寿论文集编辑委员会: 《甘添贵教授七秩华诞祝寿论文集(下)》,台湾承法数位文化有限公司2012年版,第530页。此外,德国学者罗克辛进一步细致地指出,对于安全、自由的保障为所有个人人权和公民权的社会生活所必要的,或者对于建立在此目标上的国家制度的运转所必要的现实存在或者目的设定就是法益。刑法规范只能遵循保障公民在维护人权前提下和平自由的共处目的,一切围绕人权;刑法保护的法益虽然不限于个人法益,而是包括公共法益在内,但是只有在最终服务于个体国民时,这种公众法益才是合法的。*克劳斯·罗克辛: 《刑法的任务不是法益保护吗?》,樊文译,载陈兴良主编: 《刑事法评论》第19 卷,北京大学出版社2003 年版,第147 页。而国家制度(司法制度、货币和税收制度、廉洁的政府) 之所以能够被作为法益内容,也在于其保障个人有尊严的、合于人权标准的和平生活。从这种法益理论出发,我们可以推导出一个至关重要的、对自由起着捍卫作用的结论,即如果罪刑规定既不是为了保护个人的自由发展,也不是为了保护实现个人自由发展的社会条件(例如正常的司法和国家行政),那么该规定就不具有合法性。恣意的、纯粹由意识形态发动的或者违反基本权利的刑法并不保护法益,法益多数要直接回溯到宪法。*参见 克劳斯·罗克辛: 《对批判立法之法益概念的检视》,陈璇译,载《法学评论》2015年第1期,第57页。
将刑法保护法益的概念与宪法基本权利的保护做联结性思考,进而将刑法保护法益根植于宪法基本权利的保护是一种值得提倡的方式。因为通过对法益的宪法关联性思考,可以避免法益变成一个实定刑法下的概念,*如果法益概念是一个纯粹刑法的概念,由刑事立法者决断,那么,在实现形式上的民主主义和法治主义之外,宪法所保障的其他价值,特别是人权价值,就有可能会遭受立法者的威胁。见前注〔2〕,张翔文,第51页。进而限制立法者对法益内涵恣意创设的自由。刑法具有最后手段性,其目的应与宪法保障基本权利目的相同,即维护人性尊严、保护人格自由发展与共同社会生活所应具备之最基本条件。只有针对侵害如此条件的行为才可发动国家刑罚权。法益的宪法关联性正是说明刑法规范正当性之基础,因为法益内涵一旦与宪法基本权利相联结,则刑法规范保护之法益都是对我们社会共同生活绝对必要、不可或缺之事项。
(二) 法益内涵确定之步骤
法益作为证立刑法分则个罪规范正当性之基础,自然也决定了其对刑法分则个罪构成要件内涵解释之决定性作用。由于文字具有模糊性与多义性,刑法分则个罪构成要件的内涵往往不是一下就可以明确的,在对构成要件进行解释时,除了立足于文义解释寻求语言文字的可能含义外,最重要的即是探求刑法分则个罪的规范目的,即规范所保护之法益。毋庸置疑,法益的确定无论是对构成要件的成立,抑或是对违法阻却事由都具有重要意义。就侵犯公民个人信息罪而言,其法益的确定对本罪“行为客体”与“情节严重”的界定都具有重要意义。侵犯公民个人信息罪是以“个人信息”作为行为客体,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)将“个人信息”界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。从这个定义可以发现,《解释》定义的“个人信息”范围甚广,无论是否公开、是否涉及个人隐私,只要“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”,均被归入本罪的规制范围。但是如此广阔的行为客体范围,若没有一个标准限制其涵摄范围,除了有违构成要件明确性原则,亦与刑法最后手段性与片断性原则不符。对构成要件内涵进行限定,在文义解释已成定局的前提下,最重要的莫过于规范目的为何,亦即刑法分则个罪的法益内涵为何。对法益的内涵界定应尽可能明确特定,只有这样才可能最大限度明确构成要件的内涵。
那么如何确定刑法分则个罪所保护的法益?一般来说,如果立法者明白地表示,无论是通过特定刑法分则个罪条文具体表达,或是于其他相关法条规定中推知,只要是立法者明示的意思,在解释适用法条时应优先加以尊重。但很多时候从法条本身是不能确定立法者意思的,这时就只能从刑法个罪行为规范中的禁止或命令内容,借由类型学的方法,先检验该行为规范所禁止或命令的内容,是否符合既有的法益类型,如生命、身体、自由、性自主权、财产等被普遍承认的法益类型。如果没有符合的既存法益类型,那么基于刑法保护的法益具有宪法关联性,与宪法基本权利内涵相一致原则,就要回归到宪法,检验该个罪行为规范的内容,是否为保护公民的基本权利而存在,也就是检验该个罪行为规范所保护之事项,是否关涉人性尊严、人格的自由形成与发展以及社会共同生活所不可缺少之条件。若得出否定答案,则应否定个罪行为规范具有保护法益的正当性基础,进而质疑其存在正当性。
侵犯公民个人信息罪的法益为何?立法者并未在本罪条文中明确规定,结合前后个罪条文亦不能直接得出答案。*刑法第235条规定了侵犯通信秘密罪,通说认为该罪保护的法益为隐私权,但是无论是《解释》对“个人信息”的内涵的界定,以及目前世界各国对“个人信息”内涵的规定,将“个人信息”限定为保护隐私权都不合适,下文会详述。从类型学的方法出发,也很难得出答案,因为本罪的行为客体“个人信息”内涵涵盖甚广,纵观刑法分则个罪条文,很难为现行刑法之单一特定犯罪行为客体所涵盖,最多也就是与现行刑法规定之犯罪行为产生竞合而已,因此很难将侵犯公民个人信息罪保护法益归入到既有刑法保护法益类型之中。
因此,欲探求以刑法规范保护个人信息之正当性以及侵犯公民个人信息罪的法益为何,仍必须追根溯源,先探求个人信息在当今社会对于人们的重要性,分析个人信息遭到非法获取、提供与出售,是否会影响到我们个人在社会中生存、人格的自由发展,以及个人信息不遭受非法获取是否是社会共同生活不可或缺的条件,也就是探求个人信息的保护,是否属于宪法基本权利保障的范围。
三、 个人信息权利属性之界定
欲探究以刑法规范保护个人信息之正当性,必须弄清“个人信息”的权利属性及其内涵。我国目前未制定《个人信息保护法》,对个人信息的保护散见于各种法律法规之中,立法上并未形成一个完整体系,在理论上也没有对“个人信息”的权利属性、内涵达成一致。可以说我国法律对“个人信息”的保护尚处于原始阶段。为此,有必要借鉴参考其他成熟国家立法与理论,特别是以欧盟和美国为代表的两种保护模式,探究这两种模式下的国家对个人信息保护立法之目的,立足于国情,发现“个人信息”的权利属性及内涵。
(一) 信息隐私权
从宪法的角度来看,个人信息保护所涉及的基本权利,包含信息隐私权与信息自决权,两者概念的形成分别来自美国与德国。美国对个人信息的保护是立足隐私权展开,隐私权中关于个人信息部分,被称为信息隐私权。最早在1887年,托马斯·库勒(Thomas Cooley)在其关于侵权行为法的论著中,就曾提到不受外界干扰的权利(the right to be let alone),开启隐私权的法律上探讨。1890年,塞缪尔· D. 华伦(Samuel D. Warren)律师因为不满媒体详尽报道其家庭生活,和路易斯·D.布兰迪斯(Louis D. Brandeis)律师在哈佛法学评论发表隐私权(The Right to Privacy)一文,主张隐私权属权利之一种,为不可侵犯之人格,并以独处不受他人干扰为其内容,因为不满媒体报道而发表的论文,成为美国法隐私权发展的基础。*参见李振山: 《电脑处理个人资料保护法之回顾与前瞻》,载《中正法学集刊》2004年第14期,第6页。后来许多学者以此为基础,引申出“有限接近自我(limited access to the self)”理论对隐私权进行进一步的解释。有人认为隐私是一种主张、一种心理状态、一片不可侵犯的领域,或者一种控制的形式。还有将其描述为一种他人对自己个人事务知悉程度的控制,对“个人身份亲密程度的控制”,或是对“何人可以感受到自我的控制”。如果说独处理论是从状态上对隐私进行表述,那么“有限接近自我”则是从效果上将隐私权描述为对个人私生活领域的管控。*参见谢远扬: 《信息论视角下个人信息的价值》,载《清华法学》2015年第3期,第99页。这种控制理论通过美国学者弗瑞德(Fried)的论述进一步完善并得到学界承认,弗瑞德从人际关系的角度来审视隐私权,将对人际交往关系的维护和对个人信息的控制联系起来,他认为,隐私和人际交往密切相关,其是我们对自身信息的控制,享有隐私就意味着我们有权允许或者拒绝他人对我们个人信息的获取,即所谓对人际交往关系的维护,实际上就是个人决定如何同他人分享自己个人信息的问题。这一理解跨出了美国通过隐私对个人信息进行保护的重要一步,其将分析的视角由保持个人的隐居独处、排斥他人的不当干预,转换为本人对个人信息的控制。即隐私权的核心并非是限制他人对本人私人生活的干预,而是保护本人对其个人信息的控制权。*见前注〔9〕,谢远扬文,第100页。
(二) 信息自决权
德国1983年的人口普查案,明确地定义出资讯自决权的概念。在实务发展的过程中,德国法院透过德国基本法第1条第1项“人性尊严不可侵犯”、第2条第1项“一般人格权: 人人有自由发展其人格的权利,但以不侵犯他人之权利,或不违反宪政秩序或道德规范者为限”,承认信息自决权是上述权利所内含或衍生的权利。所谓信息自决权,系指个人有权自行决定,是否将个人资料交付与提供利用。个人资料,非经个人许诺,不得任意搜集、储存、运用与传递。*萧奕弘: 《论个人资料保护法的法制性问题》,载《成大法学》2012年第23期,第149页。换句话说,信息自决权赋予个人对于其自身相关的信息,能拥有决定在何种范围、于何时、向何人、以何种方式加以揭露或处分使用的自主权,此即赋予个人对个人信息得拥有自我决定之权。也因此,信息自决权乃是更一般性之自我决定权,自我决定的对象是与个人相关的信息。*参见邱文聪: 《从信息自决与信息隐私的概念区分——评计算机处理个人资料保护法修正草案的结构性问题》,载《月旦法学杂志》2009年第168期,第174页。个人信息权作为一般人格权所衍生出的具体人格权,关涉人性尊严。依据联邦宪法法院判断人性尊严是否被侵害而建立的客体公式,只要个人被他人贬抑为单纯物(客)体、被当作手段、工具或是可替代性的数值或事物时,即可认为已侵害到其人性尊严。*参见李忠夏: 《人性尊严的宪法保护——德国的路径》,载《学习与探索》2011年第4期,第113~114页。在信息时代,人特别有沦为被支配客体的可能。科技的发展虽为人们带来生活上的便利,但是也带来了风险,现今国家、企业甚或个人,凭借信息科技的帮助,无不拥有收集、建构并解读个人信息的能力,倘若不加限制,那么借由个人信息的收集、解构、组合再建构的程序,可以想见个人的种种形象、诸般生活样态都可以被国家、企业抑或他人详细地掌握,就如同监视一般,那么个人就形同玻璃人,成为被观察、监视的单纯客体,不仅隐私无所遁形,人性尊严更将荡然无存。至于个人信息的性质是否具有隐私属性,并非信息自决权关注的要点,个人信息是否应归入信息自决权保障之范畴,以及应如何限制,必须综合该项个人信息在人格权上所具有的意义、该项信息之使用目的,或该信息与其他信息结合后产生的作用来判断。即重点在于,个人信息的收集、处理是否会形成人格图像描绘的效果,若对个人信息所为之行为会产生人格图像部分或全部描绘的效果,该等行为即属于对个人信息自决权的不当干预。*见前注〔3〕,潘怡宏文,第530页。
当然信息自决权亦非无限制地保护,个人亦不能将其所有的信息自决权理解成对于其个人信息拥有绝对的、毫无限制的支配权。相反,个人应认识到,其人格乃是在社会共同体中发展,经由与他人的沟通、互助而形成。个人信息同时也是社会生活事实的一种写照,并非单纯归属于个人。从而,如果国家基于重大公益目的而对其信息自决权加以限制时,个人乃负有忍受之义务。当然对个人信息自决权之限制,如同对其他基本权利的限制一般,仍要符合法律保留原则以及比例原则。*见前注〔3〕,潘怡宏文,第531页。
无论是美国信息隐私权理论还是德国的信息自决权理论,其根源都是立足于宪法基本权利,因此都可以证立刑法规范对个人信息的保护的正当性。事实上,信息隐私权与信息自决权当前已无实质差异,均承认个人对其个人信息,拥有控制权或自主决定权,得以决定是否揭露,并对其个人信息如何被收集、处理与使用,拥有知悉的权利,同时也保有其内容的控制权。只是对于其应受保护的个人信息范围,可能有细微的差别。*详细讨论信息自决权与信息隐私权的差异,参见前注〔12〕,邱文聪文。但是本文认为,两种理论因起源于不同法系,往往使人误认为两者之间具有很大差别,但实际上,两者理论之间实质上几乎已无差异,两种理论都具有可操作性,两种理论面对时代发展产生的不足,也都会有相关例外原则予以补充,典型如信息隐私权理论被攻击的“隐私合理期待原则”不能适应当今网络信息化时代的发展,如我们在网上某个特定范围公布信息被认为已经公开,所以不再具有隐私的合理期待,不能得到保护,而将公开的信息一律排除在隐私外,不给予保护,并不合适。但是针对隐私合理期待的困境,已经有学者提出情境脉络完整性理论予以解决。关于情境脉络原则详细阐述参见刘静怡: 《社群网络时代的隐私困境: 以Facebook为讨论对象》,载《台大法律论丛》2012年第41卷第1期。既然信息自决权与信息隐私权都可以很好地诠释对个人信息的保护目的,那么我国只需要根据国情选择一种理论适用即可。由于信息隐私权起源于美国,而美国法采纳的是大隐私权的概念,其包括大陆法中的名誉权、肖像权、姓名权等具体人格权的内容,*参见王利明: 《隐私权概念的再界定》,载《法学家》2012 年第1 期,第63页。承担了一般人格权的功能。若我国采用信息隐私权理论,则需要继受美国的大隐私权概念,因为只有如此,才可以将消极的隐私转变为积极的信息控制权。但是,我国作为大陆法系国家,理论上基本已经构建了完整的人格权体系,如果再采用美国的大隐私权概念难免造成理论体系上的冲突,*当然这也是理论上的分析,观台湾理论界对信息隐私权与信息自决权就属混用状态,留美学者多用前者,留德学者多用后者,故王泽鉴教授指出在台湾信息自决权与信息隐私权殆属同义。参见王泽鉴: 《人格权保护的客体与展望(3)——人格权的具体化及其保护范围: 隐私权(中)》,载《台湾本土法学杂志》2007年第98期,第28页。故对个人信息之权利属性,采用德国信息自决权理论更适合我国国情。
四、 侵犯公民个人信息罪之法益
应注意的是,信息自决权固然具备其宪法上基本权利之地位,也有被刑罚规范保护的正当性,但是这并不必然一定要以刑罚手段来管制,因为正当性只是刑罚规范适用之前提。事实上,信息自决权作为一种新型具体人格权,其本质上与刑法上对于隐私以及秘密的保护并不相同,用刑罚手段来保护这样的权利,可谓创设了一种新的刑法保护法益。创设刑法过去所没有的保护法益并非绝对不可,但是需要考量到刑法的痛苦性、谦抑性,对于新法益的刑罚规范,必须在保护的必要性以及相关刑事政策的基础上为全面之考量,以避免刑罚的规定涵盖过广,突破刑法的最后手段性。下文将首先对目前我国刑法学界对侵犯公民个人信息罪法益的各种理论予以考察,同时也将借鉴比例原则,对以信息自决权作为侵犯公民个人信息罪所保护法益之必要性、适当性以及均衡性予以检视。
(一) 国内侵害个人信息法益学说简介与批判
1. 消极隐私权说之批判
有学者认为,侵犯公民个人信息罪所保护的法益是隐私权(消极的隐私权)。在个人信息上负载着人格权、隐私权、财产权甚至公共利益等多重权益,在制定保护个人信息的法律时,作为立法者就必须选择一种权益作为保护的重点,这也是对立法价值取向的一种预设。立法的价值取向影响甚至决定着法律条文的解读与适用。立法者将侵犯公民个人信息这个罪名放在《刑法》第253 条之一进行规制,就体现着对个人隐私权保护的价值追求,因此只有个人信息中体现着个人隐私权的那一部分信息才属于刑法保障的范围。*参见蔡军: 《侵犯个人信息犯罪立法的理性分析———兼论对该罪立法的反思与展望》,载《现代法学》2010 年第4 期,第105~107页。将本罪法益界定为消极的隐私权可以说是目前我国学界的一种多数认识,但是该理论的不合理性显而易见,正如学者所指出的那样,个人信息的范围不仅包括尚未公开的信息,也包括已经公开的信息,个人信息不要求必须具有隐私权属性。*喻海松: 《侵犯公民个人信息罪司法适用探微》,载《中国应用法学》2017年第4期,第176页。即便相关信息已经公开,不属于个人隐私的范畴,但仍有可能成为个人信息,如有关国家机关或者部门为救济、救助或者奖励而公示的公民个人信息。*赵秉志: 《公民个人信息刑法保护问题研究》,载《华东政法大学学报》2014 年第1 期,第121页。
2. 信息隐私权说之批判
也有部分学者认为,侵犯公民个人信息罪所保护的法益就是个人信息所体现的公民的隐私权,既包括公民个人隐私不受侵犯的权利,也包括公民对自己个人信息的控制权。*刘艳红: 《刑法学(下)》,北京大学出版社2016年版,第253页。但另一方面刑法不能将个人信息的保护绝对化,与公共生活有关的信息应该排除出去,刑法禁止任何对公民的私人领域的非法侵害,从而实现保护个人信息所体现的公民隐私权,使公民可以自主掌控自己个人的信息,从而维护公民平稳的生活状态。将隐私权作为本罪保护的法益,有利于弥补我国刑法尚未设置侵犯个人隐私或秘密相关犯罪的立法漏洞。*参见王昭武、肖凯: 《侵犯公民个人信息犯罪认定中的若干问题》,载《法学》2009年第12期,第148页。该种理论和美国的信息隐私权应属同义,但是正如上文所阐述的那样,我国作为大陆法系国家,并不适合美国的大隐私权理论。如果一方面坚持信息隐私权,一方面却又不继受其基础理论,只可能形似神不似,甚至出现理论冲突。另外,这也是为了避免多数人误解之需要,因为信息隐私权,很容易让人觉得已经公开的个人信息不属于隐私,不具有合理隐私期待。这时,往往需要其他理论对这个漏洞进行修补(如提倡情境脉络理论),未免得不偿失。美国系因其独特的立法传统,在其隐私保护较为完善的法律体系之下,通过“信息控制权”理论修正其隐私权概念,为个人对其信息的积极控制提供支持,从而实现对个人信息的保护。*张新宝: 《从隐私到个人信息——利益再衡量的理论与制度安排》,载《中国法学》2015年第3期,第43页。可以说这是由于美国独特的国情决定的,我国并不具有这种条件。
3. 人格尊严、自由说之批判
另有民法学者认为,“侵犯通信自由罪”与“私自开拆、隐匿、毁弃邮件、电报罪”所保护的法益均为公民人格权利与自由,包括公民个人通信自由和人格尊严。从具体罪名的编排来看,侵犯公民个人信息罪所保护的法益应与上述两个罪名相类似,是对公民人格尊严与个人自由的保护。由于我国尚未制定具体的关于个人信息数据保护法,所以我国刑法对于公民个人信息保护是建立在《宪法》对公民基本权利保护基础之上的,是履行“国家尊重和保障人权”的基本义务,保护公民人格尊严、人身自由等宪法权利,而不是直接基于人格权或隐私权保护。因此,从个人信息保护的法律基础和基本宗旨角度,刑法中侵犯公民个人信息罪所保护的法益应理解为公民人格尊严与个人自由,隐私利益只是人格尊严保护的一项内容而已。*高富平、王文祥: 《出售或提供公民个人信息入罪的边界——以侵犯公民个人信息罪所保护的法益为视角》,载《政治与法律》2017年第2期,第47~48页。该观点将本罪法益界定为人格尊严与个人自由这种广义上的一般人格权,这种对法益内涵广阔的界定与刑法法益界定原则不符。人格尊严与个人自由作为一般人格权,其内涵具有开放性,对生命、身体、自由、名誉、利益、信用、隐私等这些专属于特定人格而存在的权利进行保护,都属于对人格尊严与个人自由的保护。在讨论特定立法保护之事项是否属于一般人格权之范畴,首先就应该排除已经被规范类型化的具体人格权的可能性,若理论与实务已经将可归属于一般人格权的权利予以类型化、具体化,那么只能考虑已经类型化、具体化的具体人格权。*参见前注〔3〕,潘怡宏文,第510~511页。因此,在德国以及其他国家实务已经发展出了信息自决权的前提下,侵犯公民个人信息罪所保护的法益就没有适用人格尊严与个人自由这个一般人格权的可能。另外,刑法分则个罪的法益越具体明确,越有利于界定个罪规范的射程,亦有利于检验特定个罪规范是否符合法益保护原则之外的其他正当性基准,如罪刑相当原则。
(二) 信息自决权之考量与批判
在界定侵犯公民个人信息罪法益之前,我们很有必要立足我国的国情探求“个人信息”的权利属性,由上述对比当今主要两大法律体系对“个人信息”保护可知,德国的信息自决权理论更加适合我国理论实际。那么是否可以认为本罪所保护的法益就是信息自决权?即本罪保护的法益为个人对于其自身相关的信息,能拥有决定在何种范围、于何时、向何人、以何种方式加以揭露或处分使用的自主权?由于信息自决权关联着宪法基本权利,刑法规范对其进行保护之正当性已经得以证立。但是正当性得以证立只是第一步,在此之后还需考量采用刑法规范保护信息自决权是否具有适当性、必要性以及均衡性,这也是比例原则在刑法中的运用。*关于比例原则在刑法中如何适用的介绍,可参见姜涛: 《追寻理性的罪刑模式: 把比例原则植入刑法理论》,载《法律科学》2013年第1期;陈晓明: 《刑法上比例原则应用之探讨》,载《法治研究》2012年第9期;张明楷: 《法益保护与比例原则》,载《中国社会科学》2017年第7期。
若认为本罪所保护的法益为信息自决权,首先就必须检验采用刑罚手段保护信息自决权是否具有适当性。刑法保护法益,就意味着刑法禁止侵犯法益的行为。但是,应当禁止某种行为不等于应当以刑罚处罚该行为。在正当性证立后,必须判断刑罚是不是达到合理目的的手段。这是比例原则中的适当性原则在刑事立法中的运用。如果刑罚不可能保护某种法益,或者以刑罚制裁某种行为将导致更为严重的犯罪发生时,就表明刑罚不是保护法益的有效手段。*见前注〔27〕,张明楷文,第103页。就侵犯个人信息罪而言,刑罚自然是有利于保护信息自决权的,而且也不会出现更严重的犯罪,因此信息自决权作为侵犯个人信息罪的法益是符合比例原则适当性要求的。
其次,刑法虽是保护法益,但往往也是以限制他人自由为代价。因此,“对刑法来说,较轻的手段应当永远优先适用,因为它对公民自由的限制轻于一种经常危及生存的刑事惩罚”。在此意义上说,“刑法以保护其他手段所不能保护的法益为目的”。*罗克辛: 《德国犯罪原理的发展与现代趋势》,王世洲译,载《法学家》2007年第1期,第151页。所以,存在替代刑罚的手段,即使刑罚是保护法益的有效手段时也不可用刑罚手段。这既是比例原则中的必要性原则的适用,也是刑法的补充性原理所决定的。那么对个人的信息自决权是否可以用民事或行政替代手段进行有效保护?就我国而言,对于个人信息保护的立法呈现分散化现象,缺乏体系性与完整性,应该说目前想凭借民事或行政手段保护个人信息自决权有困难。这种情况有学者认为在民事程序不能发挥应有机能时,可以在民事程序充分发挥机能之前,先动用刑罚,到一定阶段后再交给民事程序处理。*见前注〔27〕,张明楷文,第105页。因此,如果持上述理解,则可以认为采用刑罚手段保护信息自决权具有必要性。但是,有必要指出的是,即使按照该学者的看法,随着我国民事、行政立法对个人信息保护的完善,再采用刑罚手段直接保护个人信息自决权是否仍具有必要性?
最后,在只能由刑罚保护法益时,还必须进一步判断,以刑法保护某种法益时,是否会造成对其他法益的侵害以及造成的侵害程度如何?这是狭义的比例原则的适用。特别需要判断的是,刑罚的适用在对法益起保护作用的同时,会给全体国民的自由产生什么影响(附随的萎缩效果)。在刑法上只有当刑罚手段所造成的侵害明显小于所欲追求的目的而获得的利益,才能运用刑罚手段。*见前注〔27〕,张明楷文,第106页。若认为个人信息自决权为本罪的法益,则一旦对个人信息所为之行为会产生人格图像部分或全部描绘的效果,该等行为即属于对个人信息自决权的不当干预。又因为信息自决权为具体人格权,在没有正当性事由的前提下,只要实施获取、出售以及提供个人信息的行为,即对个人信息自决权的实害就已经发生。此时,既然已经造成对个人人格的侵害,就应可以适用侵犯公民个人信息罪之规定。但是若采取此种做法,必定使得获取、利用个人信息的空间,极度压缩,过度限制人们的自由。因为个人信息的范围甚广,在此种范围模糊不清的处境下,人人恐慌动辄得咎,如交换名片时出于担心可能要求对方必须签个人信息使用同意书、学校不敢公布获得奖学金学生的全名、购物网站不敢根据消费者的消费习惯为其推荐商品与服务。更根本的问题在于,被最严的法网纳入禁止之列者,往往可能都是一些颇为轻微的不当行为,或是尚属于社会中被允许之行为,例如学校因成年学生家长之要求,交付该学生几十门课的成绩,甚至如毕业纪念册印制学生姓名与联系方式,都将可能构成侵犯公民个人信息罪。由此可以发现为保护个人信息自决权而采用直接刑罚手段并不符合狭义比例原则。同时,就刑罚的横向比较而言,同样属于对个人人格权进行保护的侮辱罪、诽谤罪、侵犯通信自由罪以及私自开拆、隐匿、毁弃邮件、电报罪,这几项个罪的法定刑最高仅为三年,其中侵犯通信自由罪最高法定刑仅为一年,而侵犯公民个人信息罪最高法定刑却为七年。若侵犯公民个人信息罪所保护的法益为个人信息自决权,那么其法定刑和其他同属保护一般人格权的个罪法定刑相比,就不应出现如此巨大的差异。
五、 超个人法益: 一个全新视角的展开
面对若将侵犯公民个人信息罪所保护的法益界定为个人法益,可能出现刑罚范围涵盖过广,过度限制公民自由,以及造成有关人格权保护个罪出现法定刑不均衡的现象,有学者认为,本罪法益具有超个人法益属性。“公民个人信息”不仅是个人法益,而且具有超个人法益的属性。*参见曲新久: 《论侵犯公民个人信息犯罪的超个人法益属性》,载《人民检察》2015年第11期,第5页。其论证道,这种超个人法益主要体现在这两方面: 一方面,刑法第253条之一使用“公民”概念的潜在意义是表明“公民个人信息”具有超个人法益属性。在刑法中,“公民”通常指称任何人。外国人、无国籍人也属于我国刑法保护的对象。公民个人信息不仅直接关系个人信息安全与生活安宁,而且关系社会公共利益、国家安全乃至于信息主权,所以,“公民”一词表明“公民个人信息”不仅是一种个人法益,而且具有超个人法益属性,还需要从公民社会、国家的角度进行解释。另一方面,侵犯公民个人信息犯罪的规范目的以及现实状况也表明了“公民个人信息”的超个人法益属性。侵犯公民个人信息犯罪不仅严重危害公民的信息安全,而且极易引发多种犯罪,成为电信网络诈骗以及各种新型犯罪的源头,甚至与绑架、敲诈勒索等犯罪相结合,影响人们的安全感,威胁社会和谐稳定。*前注〔32〕,曲新久文,第6页。
可以说该学者对本罪法益的界定指出了一个正确的方向,但是其并未进一步清楚地界定侵犯公民个人信息的超个人法益是什么。为此,本文认为本罪所保护之法益应该是个人信息安全的社会信赖,也即社会成员对个人信息安全的信赖,以下将从几个方面予以证立。
(一) 刑法理论之证立
我们正处在一个信息风险社会,随着网络与科技的发展,我们外出时已经不必携带现金,各种事务都可以从网上办理,使我们获得了难以估计的便利。但是,网络信息社会带来的不仅仅是便利,也带来了许多麻烦。随着个人信息在日常生活的利用与流通越来越多,例如网上购物、网上订餐、出门手机快捷支付都需要个人信息,个人信息被泄露、网络诈骗泛滥也呈爆炸式的增长,给社会与被害人带来巨大的损失。信息风险社会之中吊诡的是,当信息安全科技不断进步的同时,信息风险并未降低,反而日益升高,并且更难以察觉与防范,其原因在于,一方面挖掘漏洞的技术不断演进,而在另一方面,也是关键性的原因是,在网络社会中,信息技术的价值及其存在条件,即在于其不曾停歇的创新与应用,这却刚好就是风险的根源,新技术与新应用总是在隐藏过去未曾发现的漏洞。从这个角度看,信息社会中风险具有不受限于时空之普遍性,常难以归责于个人以及发展极为迅速等特点。*乌尔里希·齐白: 《全球风险社会与信息社会中的刑法: 二十一世纪刑法模式的转换》,周遵友、江溯译,中国法制出版社2012年版,第288页。
在网络信息风险社会中,个人信息风险永远不可能被消灭。另一方面,个人信息又是个人在信息社会交往以及整个社会正常运转的基础。信息社会中个人信息往往关涉社会成员的财产安全、甚至是人身安全,面对个人信息风险,社会成员的行动自由必定被限制,社会正常的活动必定因为人们对个人信息泄露的不安受到影响,如支付宝发生大规模用户账号密码泄露事件,人们因此不再信赖其支付宝的个人信息是安全的,纷纷停用支付宝等网络线上支付工具,那么这不仅可能影响我们正常的生活,也可能会使整个互联网金融行业受到重创,甚至影响整个国家的金融安全以及社会稳定。*事实上,最典型的例子应该属个人信息泄露后喷井式爆发的电信网络诈骗的影响,现在我们接到陌生电话,如对方声称自己是公检法的工作人员,我们第一反应就是这是电信诈骗。新闻如中国江苏网:“法院电话通知领12万元钱,宿迁受害人疑心又是诈骗电话”(http://jsnews2.jschina.com.cn/system/2015/07/22/025569967.shtml, 最后访问时间2017-10-14)。随着我们借由信息科技管理日常生活事务之处与日俱增,生活中的每一个人细节都转化为某种或是一些信息,那么信息之决定权限被侵害之风险也就无处不在。*徐育安: 《信息风险与刑事立法》,载《台北大学法学论丛》2014年第91卷,第23页。因此,生活在信息社会中,需要保证每一个社会成员对个人信息安全的信赖,虽然个人信息的风险不能被消灭,但是只要保证了社会成员对个人信息安全的信赖,则社会成员就可以安心参与社会活动,社会成员的行动自由范围就不会被限制,社会成员就有更多的机会实现与完善自己的人格,整个社会系统也可以维持自身正常运转。因此,在信息风险社会,社会成员普遍的信赖感值得刑法保护。
以交易、货币与电子交易的关系为例,在最早期人类社会中,尚未出现银行,人与人的关系便是以物易物,并无具体的人际关系;随着交易结构的越发复杂性与多样性,人类开始使用货币,货币能够兑换商品与服务,货币的存在,代表人对支撑货币背后的经济体系的信赖。这时除了交易进行的具体个人外,还有一个通过人际关系建立起来的“货币制度”,货币的效用,虽然会串联到具体个人的交易行为,但必然是一个独立于个人之外的人际关系与制度;当我们的社会在进一步发展,传统的货币交易已经不再符合需求时,我们需要更高阶的交易方式,这时以计算机、网络为中心而串联的电子化支付机制,又逐步茁生而成为一个类似早期货币形态的新制度。网络交易的买家和卖家不会亲自见面,但他们可以交易,这因为有一个值得信赖的转账机制,买家把户头上的钱转给卖家,而卖家的户头多出一些数字,这个流程中,从来没有出现任何现实具体的货币转移,卖家只是因为账户的数字变大了,就可以担保他已经得到了货款,从而可以顺利出货。这种形态的交易之所以可以实现,都是因为买家与卖家对于“银行电子转账系统”有着信赖,任何一方都可以相信转账出现的电子金额,可以归属到自己财物项目的增减。换言之,从尚未有实体纸钞的现实货币中,又出现了另一种必须加以保护的新人际关系与制度,这就是电子交易本身的可信赖性,如同货币和具体个人的关系,电子交易的可信赖性也会独立于具体个人之外,而成为一个生活中不可或缺的独立系统。*许恒达: 《资讯安全的社会信赖与刑法第359条的保护法益》,载《月旦法学(刑事法制判例研究汇编)》,北京大学出版社2016年版,第341~342页。
从上述例子可以发现,即便具体个人是社会构成的必要元素,但是社会还需要比具体个人更多的“制度性”组成因子,这些制度的存在,使得我们能够应付复杂的多元社会。我们不用种田,却有米可以食用,正是因为我们信赖货币制度提供的交易机能;我们购物时只要在网上选好物品,然后网络转账,是因为我们信赖电子交易制度。在刑法看来,这些制度性事实,正是超个人法益保护的实质对象。*见前注〔36〕,徐育安文,第342页。事实上,某些特定制度的顺利运作需要仰赖人们的信赖,当制度的参与者不信赖该制度时,很可能导致制度本欲达成的利益无法达成。当社会成员的信赖感是某种制度运作不可或缺的要素时,确保社会成员的信赖感就具有正当性。生活在信息风险社会中,个人信息关涉社会成员的财产利益、隐私名誉利益甚或是生命健康,因此每一个社会成员都有权利信赖个人信息制度的安全性。*制度是一套彼此相关的规范之体系,将人类在社会中所扮演的角色,以及对此角色的行为期待给予定性化,订为规范,要求任何人只要担任此角色就必须符合期待。透过各个角色的各司其职,人们才能缩减复杂与预测意外,才能顺利生活。一系列的规范组合成体系(制度),为人类社会提供特定功能,所有的规范体系构成人类生活的大部分内容。对制度的信赖是制度运作的重要基础。信赖意味着把生活一部分的风险交给特定角色去应付与决策,授信人可以减轻负担,专心在较小范围的事项上,把这部分事情做好。在信息社会,个人信息往往关涉个人的财产利益甚或人身利益,对个人来说至关重要。个人信息又是信息社会生活交往中必须流通的,人们只有基于信赖个人信息的安全制度,信赖个人信息不会被非法获取、出售、提供用于违法犯罪活动的前提,才能放心地参与社会生活,自由地实现自己的人格。关于制度信赖法益的介绍,参见钟宏彬: 《法益理论的宪法基础》,台北元照出版公司2012年版。
信赖是一个具有浮动特质的外在条件,考虑到社会法益涉及多数且广大的社会利益,刑法的管制机能不可能迟滞到“一切信赖都丧失”的时点,才介入处罚;在正常情况下,刑法通常会在“信赖足以减损”的情况中,发动制裁力量介入干预。*见前注〔36〕,徐育安文,第342页。因此,并不是只要对个人信息自决权造成侵害的行为都会破坏社会成员对个人信息安全的信赖,只有达到某种程度的侵害行为才会足以减损社会成员的信赖,如《解释》规定的出售几千条个人信息的行为。将本罪法益界定为对个人信息安全的信赖,可能招致的批判是信赖是一种主观评价,具有模糊性。但是刑法本身就是一门具有浓厚价值判断色彩的学科,特别是法益逐步由物质化向精神化转变的过程中,*台湾刑法学者陈朴生指出:“法益概念之内容,从其发展过程而言,始由物质化,进而精神化。”德国刑法学者麦兹格甚至认为,精神化是法益概念自身的本质,“如果没有精神化,就不可能利用法益概念”。而是否接受法益精神化,则成为区分“法益侵害说”与“规范违反说”的试金石: 要么接受法益精神化的概念,要么放弃法益侵害说。关于法益精神化的解释可参见: 舒洪水: 《危险犯研究》,法律出版社2009 年版;舒洪水、张晶: 《法益在现代刑法中的困境与发展———以德、日刑法的立法动态为视角》,载《政治与法律》2009年第7期。价值判断更是必不可少。有学者指出,“一般的信赖感是指社会成员感受到应该相互遵守的社会生活上的规范或规则被遵守”,*伊东研祐: 《现代社会中危险犯的新类型》,郑军男译,载何鹏、李洁主编: 《危险犯与危险概念》,吉林大学出版社2006 年版,第190 页。这实际上是把“事态发展的预测可能性或所依赖之社会系统发挥正当机能以一般的信赖利益之形式进行了法益化”。*见前注〔42〕。与此相似,德国刑法理论中的“印象理论”也认为,如果将法益作精神化的理解,就应当承认国民对于法秩序的信赖感也是法益的内容。*陈家林: 《德国的不能犯理论及对我国的启示》,载陈兴良主编: 《刑事法评论》第20卷,法律出版社2007 年版,第463 页。社会系统基本规范或规则被遵守,是社会系统内部成员参与社会互动交往的重要前提,也符合社会成员基于法律系统的保障机能而产生的对法秩序的信赖与期待。这种信赖利益的主观化描述,实则是规范的平稳运行状态在心理层面上的反映。这种期待感也好,信赖感也好,其感受对象是社会规范本身。*刘烔: 《法益过度精神化的批判与反思》,载《政治与法律》2015年第6期,第73页。对制度的信赖,是人类的心灵现象,也是真实的,可能受行为影响的。虽然信赖的破坏与感情一样,必须透过个人的心理反应才会发生,但由于这类制度并非个人自行培养人格、自我负责的私生活,而是与名誉一样,是社会生活基础的心灵、精神现象,因此值得、也允许刑法保护,国家的保护不会侵犯人性尊严。不过严格而论,刑法也不可能直接进入内心保护,国家所能做的跟任何情况都一样,在心灵的外部,消除可能影响内心世界的外在情状。*见前注〔39〕,钟宏彬书,第265页。
(二) 刑法条文及司法解释之论证
以上只是从刑法理论上论证了将社会成员对个人信息安全的信赖作为本罪法益的正当性,但是仍需结合刑法法条以及司法解释的规定进一步分析论证对个人信息安全的信赖作为本罪法益的合理性。
1. 刑法条文之证立
《刑法》第253条之一规定侵犯个人信息的行为必须符合“情节严重”的条件,才可构成侵犯公民个人信息罪。同时,《刑法》第253条之一还规定了侵犯公民个人信息“情节特别严重”适用第二档法定刑加重处罚。单从刑法条文分析,立法者明显认为并不是只要非法获取、出售与提供个人信息,侵犯个人信息自决权,就可以构成本罪,还必须符合“情节严重”的条件。如果采本罪法益为个人法益的观点,不免有疑虑,信息自决权属于具体人格权,为人身专属法益,一般来说,只要非法获取、出售与提供个人信息即已经侵犯了本罪法益个人信息自决权,就应构成犯罪。可是《刑法》第253条之一却以“情节严重”限定之,其中道理让人很难理解,因为个人信息自决权是一种积极控制权,与侮辱、诽谤罪所保护的法益名誉权等人格权有所不同,个人信息自决权体现在对个人信息的积极控制,只有是否侵害的问题,而不可能与名誉权等人格权一样有侵害程度的问题。因此,本罪法益为个人法益的观点好像并不契合立法者将本罪规定为情节犯的事实,反倒是作为超个人法益,即社会成员对信息安全的信赖,更加契合本罪为情节犯的立法。当然,根据法条的“情节严重”只能简单论证,仍需要结合《解释》的内容继续深入论证。
2. 司法解释内容之证立
《解释》详细地规定了属于“情节严重”的情况,可以发现在例示规定的9种情节中,与个人信息数量有关的有5条,与个人信息用途有关的有2条。*《解释》第5条规定,非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”: (一) 出售或者提供行踪轨迹信息,被他人用于犯罪的; (二) 知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的; (三) 非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的; (四) 非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的; (五) 非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的; (六) 数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的; (七) 违法所得五千元以上的; (八) 将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的; (九) 曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的; (十) 其他情节严重的情形。也就是说,在很大程度上,是侵犯个人信息数量的多少决定行为是否符合“情节严重”、是否构成本罪。如上述,个人信息的权利属性应是一种具体人格权(个人信息自决权),刑法理论上一般认为具体人格权应为人身专属法益,人身专属法益的衡量自然不可能像财产法益那样简单地相加重叠。但是,《解释》却规定在多数情况下构成本罪需要根据侵犯个人信息的条数来决定,这也就意味着多数情况下要符合“情节严重”构成本罪,必须侵犯多人个人信息,也即是侵犯多人的个人信息自决权。也就是说,根据《解释》的规定,本罪在多数情况下保护的法益是多数人的信息自决权,以出售通信内容为例,行为人必须是出售500条通信内容、侵犯500人的信息自决权,才可为本罪所规制。所以,可以看出,在多数情况下本罪保护的法益是多数公民个人信息自决权的法益相加的一个法益集合,但是信息自决权作为人身专属法益的属性决定了并不能将其相加。*与诽谤罪的司法解释对比更能发现问题,诽谤罪也要求“情节严重”才构成犯罪,其中“两高”《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》规定利用信息网络诽谤他人,同一诽谤信息实际被点击、浏览次数达到五千次以上,或者被转发次数达到五百次以上的,属于情节严重。可以看出,诽谤罪也并未将诽谤多数对象的个数相加,而只是认为诽谤一个对象有程度的区别。因此,若认为本罪法益为个人法益信息自决权,则很难说明为何《解释》只在行为侵犯多数人的个人信息自决权时才给予规制,即使忽视人身专属法益不能相加以决定是否可以入罪的问题,多数个人信息自决权相加后的法益也很难认为是个人法益了。*刑法对人身专属法益的保护条文中,并没有以人次认定是否符合“情节严重”,进而决定是否给予保护。虽然拐卖妇女、儿童罪中规定“拐卖三人以上”属“情节特别严重”,但是这和以人次决定是否符合“情节严重”并不一样。既然本罪多数情况下保护的对象是复数个人信息的集合,那么从中也可管窥本罪真正保护的法益为何。我们只需要回答为何本罪要对侵犯复数个人信息的行为进行规制,也就可以发现本罪所保护之法益,而维护社会成员对个人信息安全的信赖作为答案应无问题。正如前述,信赖是一个具有浮动特质的外在条件,对信赖的破坏会有程度的区分,只有当达到对信赖破坏的临界值时,社会成员才会真正丧失信赖,至于临界值为何,其判断标准取决于社会结构与其历史。*参见前注〔39〕,钟宏彬书,第264页。非法获取、提供抑或出售个人信息的数量多寡自然是影响社会成员对个人信息安全信赖的重要因素,至于数量多少的界定则属于立法技术问题。
其次,将本罪的法益界定为社会成员对个人信息安全的信赖,可以很好论证《解释》将侵犯不同类型的个人信息符合“情节严重”,分别规定了不同数量要求。如上述所言,个人信息权利属性为信息自决权,信息自决权是一种积极的控制权,也就是说对信息自决权的侵犯只有是否的问题,并没有程度的问题。即使认为个人信息的控制也有程度之分,但恐怕也很难认为出售5个人的财产信息对个人信息自决权的侵害程度比出售499个人的交易信息高。因此若认为本罪法益为个人法益,很难合理解释行为符合“情节严重”会因个人信息的种类不同而要求不同数量的问题。但是,若以社会成员对个人信息安全的信赖作为本罪法益则可以很好解释这个问题,因为对信赖的破坏有程度轻重之分,对不同种类个人信息的侵害,自然会对个人信息安全的社会信赖产生不同的影响。
最后,将社会成员对个人信息安全的信赖作为本罪法益,也可以很好说明《解释》将侵犯个人信息用途、侵犯个人信息造成的后果及影响作为决定“情节严重”与“情节特别严重”的因素的原因。因为若是个人信息被用于违法犯罪、造成被害人死亡、重伤、精神失常或者被绑架等严重后果的或是造成重大经济损失,此种情况下必将对一般社会成员关于个人信息安全的信赖造成重大冲击,此时刑法果断出击通过以最严厉的刑罚来打击此种侵犯个人信息的行为,应是可以理解的。反之,若是认为本罪法益为个人法益,则很难将个人信息的用途以及造成后果涵摄在本罪的法益之中,因为信息自决权只是具体人格权,其不可能涵摄生命权、身体权以及财产权,那么《解释》将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的或是造成重大经济损失”作为决定本罪不法内涵的因素就明显不合适。
(三) 修法背景与司法实践之证立
1. 修法背景之证立
某大数据中心利用其专属的文书解析技术,针对中国裁判文书网中2013—2016年间涉及侵犯公民个人信息类约1 300件刑事案件进行了深度挖掘。发现被告人在获取公民个人信息后,多用于出售牟利、业务推广、从事其他违法犯罪活动等。在样本案件中,约有51.2%的案件,公民个人信息被用于出售牟利;约有20.3%的案件,公民个人信息被用于业务推广,如产品推销、市场拓展、拉动客源等;约有28.6%的案件,犯罪人会利用公民个人信息从事其他违法犯罪活动,如实施诈骗、盗刷信用卡、伪造证件等。*《侵犯公民个人信息类刑事案件大数据分析报告》(http://www.thebigdata.cn/JiShuBoKe/33420.html,最后访问时间2017-10-15)。可以发现,除了出售外,个人信息绝大多数都是被用于实施违法犯罪活动,典型的就是电信诈骗。在“两高”《解释》的新闻发布会上,公安部的发言人就指出,侵犯公民个人信息的犯罪已经成为其他各类犯罪的上游犯罪,打击侵犯公民个人信息犯罪是治理网络犯罪最重要的措施之一。*“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》新闻发布会(https://www.chinacourt.org/article/subjectdetail/id/MzAwNEivMoABAA%3D%3D.shtml,最后访问时间2017-10-15)。由上述数据以及实务界的观点,可以发现修改并设置侵犯公民个人信息罪真正动机即在于打击关联性犯罪,希望可以通过侵犯公民个人信息罪的修设,从而抑制住侵犯公民个人信息下游犯罪的源头,特别是抑制网络电信诈骗犯罪的继续蔓延。姑且不论此种修法动机正确与否,但是不可否认的是此动机是本次修法重要原因,这也体现在《解释》将“个人信息被用于犯罪”作为决定“情节严重”与否的因素之一的规定上。
正如上述,在信息风险社会,个人信息泄露的风险不可消灭,立法机关试图通过严厉打击侵犯公民个人信息的犯罪,来实现抑制其他犯罪的动机似乎很难实现。事实上,立法者只是希望通过侵犯公民个人信息罪的修设,来维持保障社会成员对个人信息安全的信赖,使社会成员安心参与社会活动,不应惧怕个人信息泄露而限缩自身自由活动范围。日本刑法学者伊东研祐指出,在现代社会日益复杂化的背景下,社会成员的精神(心理)负荷在不断提高,有必要以保护安全感和制度信赖感的方式来防止犯罪行为对心理的或精神上的平和或安定实施侵害的危险。*见前注〔42〕,伊东研祐文,第182~184页。在信息风险社会中,不安全、不信赖已经渗入了人们生活的结构中,破坏了个人的生活,也破坏了自我价值和自尊,产生了让人无法忍受的恐惧、焦虑、无望和无力。风险感知总是与不安相伴,风险景象亦总是与恐惧相连。于是,“风险意识加剧了公众的焦虑感和危机感,如何为个人的存在提供制度上的安全保障开始支配公共政策的走向,面对周围世界如此多的挑战与不确定性,不仅个人需要不断地进行风险管理,现代国家也必须更多地以管理不安全性为目标”。*安东尼·吉登斯: 《社会学》,赵旭东等译,北京大学出版社2003 年版,第21 页。因此,将社会成员对个人信息安全的信赖作为本罪的法益,正是体现了国家为了应对信息风险社会中个人信息泄露无法消灭、个人信息泄露给社会成员带来的巨大恐慌,而采取积极立法应对方式。
2. 司法实践之证立
大数据时代,对个人信息的泄露绝大多数情况都不是单个的一条或者几条,通常都是以几百、几千、甚至几十万条来计算。《解释》也说明了这一点,《解释》将本罪“情节严重”的标准分别规定为“50条”“500条”“5 000条”,若将本罪法益认定为个人法益,在实务处理中根本不具有可行性。要证明行为人构成犯罪,必须做到事实清楚、证据确实充分。这就要求实务机关必须去验证每一条个人信息的真伪与有效与否,因为要证明行为侵犯了单一公民的个人信息自决权,则至少需要证明每条信息的真实性与否。但在动辄就是成千上万条的个人信息案件中根本不可能完成。*“两高”《解释》新闻发布会中公布了6个典型案例,其中4个涉及“信息条数”,3个案例为几万条,1个案例为几十万条。见前注〔52〕。实务机关针对这个问题已有回应,在“两高”《解释》新闻发布会中,最高检的发言人指出,对批量公民个人信息的条数,根据查获的数量直接认定。当然,也允许根据在案证据排除不真实或者是重复的信息。*见前注〔52〕。但是这种做法明显不符合侵犯个人法益类型犯罪的特征,以故意伤害罪为例,若要证明行为人有罪,则基本条件就是要弄清楚行为人是否伤害了被害人、伤害了几个被害人。而在个人信息真伪不明、数量不清的条件下,就认定其侵犯公民个人信息自决权并不合适。
但是,将本罪法益认定为社会成员对个人信息安全的信赖明显可以很好解决这个问题,因为信赖是否被侵害是一个规范价值的判断问题,侵害个人信息数量只是考量的因素之一。信赖虽然不明确却也并非不可感知,刑法中对信赖的判断具有规范属性,可以社会中一般人的感受出发进行判断。以一般人的视角为判断标准,事实上在刑法中已得到广泛运用,典型的就是对于能犯未遂和不能犯未遂的区分学说之一的具体危险说。*对于能犯未遂和不能犯未遂的区分问题,具体危险说即是站在行为时的立场,结合已经查明的行为时的全部客观事实,从社会一般人的生活观念出发,予以具体的、个别的判断。参见梁根林: 《未遂犯处罚根据论: 嬗变、选择与检验》,载《法律科学( 西北政法大学学报)》2015年第2期。一般社会成员对个人信息安全的信赖是一种规范性的状态,社会成员的信赖崩解的证明方法,并非依据经验法则或论理法则去推论个别行为与社会心理之间的关联性,而是依据法秩序的价值标准,判断受害利益的重要性及射程对于大众的法规范信赖应该有多大程度的动摇。社会成员对个人信息安全的信赖会随着实质利益与被害人数的增加而提升。*薛智仁: 《无故取得电磁记录罪之解释及立法》,载《政大法学评论》2013年第136期,第26~27页。例如,将个人的行踪轨迹出售给抓外遇的老婆与将个人行踪轨迹出售给绑架犯罪团伙,后者明显对社会成员的信赖有更大程度的侵害。
(四) 小结
由上述可证立,将侵犯公民个人信息罪的法益界定为超个人法益,即社会成员对个人信息安全的信赖,具有正当性。事实上,将本罪法益界定为超个人法益也能实现对个人信息的保护,只不过这种保护是一种间接的保护。日本学界认为,此种对法益保护的界定模式为“主副法益论”,即对社会法益或超个人法益之犯罪类型往往也会伴随着个人利益的维护,因此同一犯罪当中有可能出现保护双重法益的情形。*参见谢煜伟: 《论金融机构特别背信罪》,载《台大法学论丛》2016年第4期,第2042页。我国台湾地区采取主副法益论的学者认为,在解释这种保护超个人法益的犯罪时,除非是一见即明的秩序动荡,不然于解释上必须寻找出一个成立犯罪时的关卡,借以表明规范秩序的具体动荡程度。而这个犯罪成立(亦即有规范确认必要性)的关卡,可能是传统社会法益犯罪立法模式当中的个人法益,此时,该当个人法益就会变成副法益而算入法定刑当中,而唯有当这个副法益被损害的程度强烈到足以撼动到社会大众对于那个主法益(如制度)的信赖感之际,才有发动刑事处罚之必要。*参见李茂生: 《刑法新修妨害计算机使用罪章刍议(上)》,载《台湾本土法学杂志》2004年第54期,第240~244页。本文认为,“主副法益论”只是学者为了更好地阐述理论而生造出来的工具,实际上个人法益(副法益)只是判断(超个人法益)主法益受侵害与否的一个要素而已,对个人法益(副法益)的保护也只是对超个人法益(主法益)保护而产生的射幸利益而已。故为了避免司法实践中出现误解,保持理论的一贯性,没有必要采“主副法益论”,直接将此种情况界定为超个人法益即可。
六、大数据时代个人信息刑法保护再审视——代结语
大数据时代是一个信息消费的时代,我们每一天所消费的大量信息,有很多都是某种意义上的个人信息。同时因我们在网络上活动之行迹处处留痕,我们的个人信息也成为被人消费的对象。换句话说,所有人都同时是个人信息的主体与直接、间接收集者。绝大多数人因此并不觉得,即使未得到他人同意而取得他人个人信息是一件不道德或者伤害别人的事。网络社会崇尚自由与免费的文化,而越加商业化的网络在提供免费服务的同时,网络使用者的个人信息不可避免成为主要通货之一。一个人若是想获取网络生活的便利,不可避免会放弃一部分个人信息选择权,若娱乐、服务、运用以及其他各种便利是商品,个人信息就是我们用以换取这些商品的通货。随着网络数字信息科技的发展,许多人已经发现这种得以随时随地使用所需信息、服务或应用软件的方便性,越来越难以抗拒。此等方便自有其代价,为了让我们自己享受个性化、更方便的上网经验,多数人都会任由网站将所谓的“小饼干”存放在我们的电脑里。经常上亚马逊的爱书人,一定会喜欢它的书籍推荐服务,为了让这项服务更有用,许多人还自愿为书籍评价,只是在提供更好的服务的同时,亚马逊也精确地掌握了我们的喜好与需求,也因而可以更有效地向我们推销它的书籍与商品。事实上,这些服务在不知不觉中也侵害了个人信息自决权。行为经济学告诉我们,人类基本上对己身拥有的,经常赋予较高的主观价值。相对的,对于尚未得到或者已经失去之物,则恰好相反,即是禀赋效应(endowment effect)。这个理论似乎可以在公民对个人信息权的态度得到印证: 当一个社会普遍对个人信息有较高的尊重时(如欧盟),则人们也普遍珍视个人信息权。反之,在一个普遍缺乏个人信息权的社会,则较多的人觉得个人信息权并没有那么重要。在当今网络信息时代,事实上社会成员对个人信息权仍是处于一种模棱两可的态度。
另一方面,在大数据、云计算时代,包括个人信息在内的数据,只有通过流动、共享甚至交易才能够实现集聚效益和规模效益,才能充分发挥这些数据的社会价值、经济价值。事实上,个人信息数据一直以一种隐蔽的方式流动交易。如在2013年4 月,新浪公司宣布,阿里巴巴通过其全资子公司,以5.86亿美元购入新浪微博公司发行的优先股和普通股, 占微博公司全稀释摊薄后总股份的约18%。双方表示,将在用户账户互通、数据交换、在线支付、网络营销等领域进行深入合作,并探索基于数亿的微博用户与阿里巴巴电子商务平台的数亿消费者有效互动的社会化电子商务模式。*《阿里巴巴5.86亿美元入股新浪微博》(http://www.ebrun.com/20130429/72470.shtml,最后访问时间2017-06-23)。同年5月,高德软件宣布,阿里巴巴以2.94亿美元购买该公司28%股份,成为第一大股东。高德希望,通过为用户提供一体化生活服务以及为生活服务商户提供信息发布、搜索、数据挖掘、支付等电子商务服务,高德将创造新的位置服务收入模式。高德官方公告暗示了接受阿里入股的主要目的,希望依托与阿里的合作尽快在移动互联网上盈利。高德提出了当年客户端要突破2亿的目标,把产品真正打造成一个移动互联网的产品,从纯工具性的产品演化成生活服务的产品。*腾讯科技: 《阿里巴巴2. 94 亿美元投资高德: 成第一大股东》(http://tech.qq.com/a/20130510/000100.htm,最后访问时间2017-06-23)。可以看出,这些交易都包含着互联网巨头为实现用户信息和交易数据“共享”的目的,虽说这些交易是互联网产业发展的正常现象,但是这些交易过程中必不可少地包含着用户个人信息的流动与交易。甚至一些企业间的收购,收购方就是看重被收购方拥有的用户信息,收购目的就是为了获取用户信息资源加以整合。由此可以看出,在大数据时代,个人信息的流动与交易已经是一种不可阻挡的时代趋势,是当今时代创新的基础条件之一。个人信息的保护与利用涉及复杂、繁琐的利益衡量问题,对个人信息的利用与保护需要制定更加细致的专门法律来规制,刑法的最后手段性与片断性决定了其对个人信息的保护必定不能冲在最前线。
故将侵犯公民个人信息罪的法益界定为超个人法益,即个人信息安全的社会信赖,以此种间接折中的刑罚方式来保护个人信息自决权是一种最好的选择。特别是在我国尚未颁布《个人信息保护法》的前提下,各种合理利用个人信息的原则、规范尚未制定,这时若将本罪的法益界定为个人法益,即个人信息自决权,恐怕刑罚范围很难控制,将有过度抑制个人信息利用之危害。最后,需要重申的是,个人信息固然需要保护,但是如何保护需要理性思考,以最严厉的刑罚手段直接保护个人信息自决权,有用力过猛之嫌。合理的方式应该是,借鉴其他法制发达国家的立法经验,立足本国国情,制定专门的《个人信息保护法》给予个人信息保护与利用以系统全面地规制,为个人信息的保护与利用划出一个清晰的界限。刑法不是万能的,我们不能寄希望于以一个刑法条文附加十几条司法解释就可以解决个人信息的利用与保护平衡的问题。在缺乏基础法律为个人信息的保护与利用划出的清晰的界限之前,在对侵犯个人信息罪所保护法益进行界定时,应保持谦抑与理性,将其界定为超个人法益,为个人信息的利用预留更大的空间,应是符合大数据时代潮流之举。
