个人信用信息法益及刑法保护:以互联网征信为视角
2019-05-10张勇
张勇
内容摘要:个人信用信息兼具私权和公共属性,其法益内容既包括个人隐私权在内的人格权及其衍生的财产权,也有涉及国家和社会公共安全、利益及秩序的“超个人法益”。在互联网征信领域,法律需要合理设定征信机构、信息提供者和使用者的保护义务,实行多元化、多层次的保护,对个人信用信息侵权犯罪行为予以刑法规制。我国个人信息保护立法存在碎片化问题,需要运用体系解释方法,加强刑法体系的内外部衔接;运用利益衡量方法,对互联网征信的侵权行为进行实质判断,实现个人信用信息法益的整体刑法保护。
关键词:互联网征信 个人信用信息 超个人法益 体系解释
中国分类号:DF6文献标识码:A文章编号:1674-4039-(2019)01-0058-67
引言
信用是市场的基石,市场经济是信用经济。信用是保障市场交易的基础。随着我国个人信贷市场业务规模快速增长,不良贷款余额和不良负债率居高不下,因个人信用不良引发的社会矛盾突出,经济欺诈和逃废债行为相当普遍。众多P2P网贷机构在给小微企业带来融资机会和需求的同时,也给网贷行业自身以及整个社会制造了安全风险,跑路、诈骗、倒闭等现象持续出现。面对社会信用缺失的严重状况,迫切需要加强个人信用征信体系建设。然而,我国信用征信市场化起步较晚,政府主导的社会征信体系覆盖率不够广泛,征信数据源单一,难以实现信息资源共享。同时,互联网技术的应用和商业模式的创新使得征信业获得快速发展。2015年初,芝麻信用、腾讯征信等国内八家机构根据中国人民银行发布的《关于做好个人征信业务准备工作的通知》,准备申请牌照进入个人征信领域。在电子商务的推波助澜下,互联网个人征信逐渐渗透到金融消费行为和商业活动当中,但在互联网征信开放、信息共享的模式下,个人信息、信用信息与隐私的边界模糊化。许多征信机构以社交网络和电子商务为平台,采集大量涉及个人信用的信息,但较少考虑个人信息安全和隐私权、人格权保护问题。他们采集和使用的成本很低,非法获取和滥用个人信息违法犯罪现象趋于严重,并借助互联网不断放大其社会危害效应。立法者和司法者也面临着如何在个体权利、公共利益、社会秩序和国家安全之间进行价值平衡的问题。笔者拟对互联网征信中个人信用信息的权利属性、法益内容以及侵权行为类型进行分析,从系统论角度对个人信用信息刑法保护体系问题加以探讨。
一、个人信用信息的权利属性与法益内容
“信用”一词在不同领域有不同的含义。道德上的信用作为一种美德,其核心是诚实不欺,于个人主要是指诚实人格或可信赖的品质;于社会则指普遍的信任和责任承诺。经济上的信用即市场信用,主要是指行为人在商业交易或信贷活动中迟延履行对应义务的权利或能力。法律上的信用关注的是经济活动相对人或社会对特定主体在经济活动中履行义务的能力的信赖和评价。笔者所指的“个人信用”,即自然人和法人履行法定或者约定义务的心理态度及其行为能力。能够评价其经济能力和履约能力的个人信息,即为“个人信用信息”。
(一)个人信用信息的内涵及其可识别性
各国立法对于个人信息的界定不尽相同,一般都以公民个体的识别性为标准。有的国家将个人信息界定为可以有效识别公民个体身份即个体属性的相关信息,如美国《隐私权法》中的个人信息包括:社会保障号码、驾照号码或者其他国家授予的身份证件号码;银行账号、信用卡或借记卡号码,以及其他银行账号、信用卡号码。〔1 〕有的国家则否定个人信息的个体属性,将其界定为能有效识别公民个体社会属性的相关信息。如德国《联邦数据保护法》第3条第1款将个人数据界定为“有关已识别或可识别的自然人(或数据主体)个人或实际关系的个体数据”。〔2 〕日本《个人资料保护法》将个人资料界定为“得以直接或间接方式识别该个人之资料,”并将保护客体分为“个人资讯”“个人资料”“保有个人资料”,并分别课以不同层次的义务加以保护。〔3 〕
在我国立法中,个人信息的内涵呈现不断扩大的趋势。《关于加强网络信息保护的决定》第1条将个人信息规定为,“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”;《关于依法惩处侵害公民个人信息犯罪活动的通知》对“公民个人信息”也作了与前者相同的规定。《网络安全法》第76条规定,个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。这一定义删去了隐私信息,“隐私性”不再是公民个人信息的要素,并由“能够单独识别”扩大到了“能够单独或者与其他信息结合识别”,可识别性从狭义变为了广义范畴。2017年3月《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第1条所界定的“公民个人信息”,在《网络安全法》所確立的“广义的可识别性”基础上又增加了“活动情况”要素;个人信息类型又加入了“账号密码”“财产状况”“行踪轨迹”三种,使得公民个人信息分为两类:个人身份认证信息和可能影响人身、财产安全的个人信息。前者要求具有广义的可识别性,后者则对可识别性没有要求。可以看出,被纳入法律保护范围的个人信息类型在不断增加。然而,与立法上采取的一贯扩张态势不同,司法上一直将个人信息限定为特定类型的信息,尽管通过司法解释逐步扩大了公民个人信息的保护范围,仍然呈现出进退反复的情况。〔4 〕
根据现行立法和司法解释规定,互联网征信中个人信用信息的本质特征在于,其具有个人身份或个体特征的可识别性。可识别性即指与特定个体具有一定的关联性与专属性,通过这些信息符号能够把信息主体直接识别出来,或者与其他信息互相结合间接识别出能够评价其经济能力和履约能力。其中,能够直接识别的个人信息如个人姓名、家庭住址、电话号码、电子邮箱地址等,争议很少;但随着云计算、大数据等信息技术的运用,许多征信机构通过分析互联网用户的消费信息、网页搜集信息、社交网络上的个人信用信息、智能手机的位置信息等,使很多价值密度低的数据更易被赋予可识别性特征。如果某种个人信用信息虽具有一定的敏感性,但无法明确知道该个人的身份,也即无法特定化,不具有可识别性,就不应成为个人信用信息。诸如事关公共生活的个人信息、非专有个人信息、无效的个人信息,除非其属于能够识别其经济能力和履约能力的,一般不需要纳入刑法保护的范围。从具体内容来看,个人信用信息主要包括:(1)个人基本资料,通常包括姓名、性别、年龄、籍贯、学历、政治倾向、婚姻状况、住址、电话、工作单位、工资收入等;(2)个人商业信用状况,包括个人收入、资产、银行贷款及其还款情况、信用卡使用情况等过往的商业信用交易记录,以及有无破产记录等;(3)社会公共记录,包括从事的职业、社会保险金缴纳情况、纳税情况等;(4)守法情况,主要指有无刑事、行政与民事违法记录等。
(二)个人信用信息的人格权及财产权属性
在国外立法中,关于个人信息权利性质的归属,主要有两种进路:第一种以美国立法为代表,将个人信息归类于个人隐私的范畴,倡导以隐私权保护个人信息权;即便在当下美国,在私法领域内的隐私权被赋予了更加丰富的内涵,扩充为信息隐私权、空间隐私和自我决定的隐私。〔5 〕如美国学者弗瑞德(Fried)就认为,隐私权的核心并非是限制他人对本人私人生活的干预,而是保护本人对其个人信息的控制权。〔6 〕第二种以德国立法为典型,将个人信息权称为“信息自决权”,系指个人有权自行决定,是否将个人资料交付与提供利用。个人资料非经个人许诺,不得任意搜集、储存、运用与传递,〔7 〕德国联邦宪法法院通过一系列判决,〔8 〕超越防止国家滥用个人数据的初始功能,将信息自决权构建为普遍意义上的公民个体对于其个人信息进行搜集、使用和处理的决定权。当然,这一决定权并非排他性的支配权,德国联邦宪法法院在相关判决中,同时明确了符合显著公共利益、基于法律保留的合目的、透明、必要与合比例这四项基本原则。〔9 〕作为欧洲层面个人数据保护的大宪章,《欧洲数据保护基本条例》立法理由第1条也明确规定,个人数据保护权是自然人应享有的基本权利,这显然是继受了信息自决权的内涵。事实上,当前人们对信息隐私权与信息自决权的理解已无实质差异,均承认个人对其个人信息拥有控制权或自主决定权,具体包括个人信息告知权、更正权、封锁权以及删除权等,这些内容的拓展使个人信息成为多面向、多维度、体系化的权利整体。〔10 〕
在国内,也有学者认为,应将个人信息权看作是一种新型权利。在权利内涵上,个人信息权是个人以其自身信息为权利客体,对其个人信息所享有的相关权利是其人格的重要组成部分。在权利性质上,个人信息权兼有人格权和财产权,〔11 〕《消费者权益保护法》《网络安全法》《民法总则》《刑法》等现有法律构成了个人信息的法律保护框架。虽然《侵权责任法》第2条首次纳入隐私权的概念,个人信息被纳入个人权利的客体,《民法总则》第111条规定个人信息受法律保护,任何组织和个人不得非法收集、使用、加工、传输他人个人信息;不得非法买卖、提供或者公开他人个人信息。但没有明确公民个人信息的权利属性,即对于公民个人信息应当属于人格权、财产权,还是一种独立权利避而不谈。隐私权不仅获得人格权法和财产权法双重保护,而且获得国内法、国际法、行业自治法以及技术创新措施等多元保护。〔12 〕所谓“个人信息权”其实是理论上的概念,将个人信息作为独立法益在刑法中予以保护缺乏前置根据,对个人信息权利属性的界定,脱离不了现行法律规定。
从传统个人法益角度,刑法之所以将侵犯个人信用信息的行为犯罪化,就在于这种行为威胁或损害了个人隐私在内的人格尊严和个人信息自决的自由,以及由人格权延伸出来的财产利益。(1)个人信用信息权利主要是一种人格权,从实体层面包括隐私权、肖像权、姓名权等,整体而言超出了个人隐私权。《解释》将“公民个人信息”分为“识别特定自然人身份”或“反映特定自然人活动情况”两类信息,明显不限于隐私权范畴。随着现代信息社会发展,隐私权已从传统的消极权利演变为积极的“信息隐私权”。从形式层面则表现为个人信息自决权,即公民对他人收集和利用本人信息拥有是否同意的选择权。或者说,信息权利主体得以直接控制与支配其个人信息,并决定其个人信息是否被收集、处理与利用以及以何种方式、目的、范围收集、处理与利用。刑法应将个人信用信息确认为一种“具体人格权”,明确规定个人信用信息主体的知情、同意、查询、更正、补充、删除、封锁等权利。当然,法律并非无限制地保护信用信息自决权,个人也不能将其所有的信用信息自决权理解成其拥有绝对的、毫无限制的支配权。对个人信用信息自决权的限制,仍要符合法律保留原则和比例原则。〔13 〕(2)个人信用信息还具有人格权延伸出来的财产权属性,其财产利益是现代社会精神性人格利益商业化的典型。按照传统的人格权理论,人格权受到侵害之后不能申请财产赔偿。反过来说,财产权受侵害后也不能要求精神赔偿;自然人死亡之后,其个人信用信息的商业价值的利用问题也无法得到解决,因为人格权不能转让或者继承。正因为个人信用信息的人格权和财产权的属性区分不明确,导致被害人很难提起刑事附带民事赔偿的要求。刑法要遏制侵犯个人信用信息的犯罪,就必须加大其犯罪成本,最有效的做法就是承认个人信用信息的财产属性,将其中的人格权与财产权分开。在刑事附带民事诉讼中,受害人既可以申请精神损害赔偿,也可以申请财产侵害赔偿。这样显然更有利于个人信用信息权的保护。
(三)个人信用信息的“超个人法益”性质
如前所述,个人信息主要是一种人格权,一般认为,人格权是专属法益,自然不可能向财产法益那樣相加重叠。然而,当侵犯个人信息超过一定数量,就会造成对个人法益叠加而成的集体法益的侵害。在信息网络社会风险因素和潜在威胁不断增大的情况下,个人信息的法益保护也出现了公共化的趋势,追求公共利益、秩序和安全的“超个人法益”就成为社会公众普遍心态和立法目标选择。所谓“超个人法益”,是指在法益概念中与个人法益相区别的、又具有某种关联性的那部分利益,强调自身是全部个人法益的集合。〔14 〕“风险意识加剧了公众的焦虑感和危机感,如何为个人的存在提供制度上的安全保障开始支配公共政策的走向。” 〔15 〕在信息网络社会,个人信息关涉公民的人身财产安全,面对个人信息风险,个人自由将会被限缩,社会活动也会因为人们对个人信息泄露的不安受到影响,公众对信息网络安全的普遍信赖感值得法律保护。有日本学者指出:“一般的信赖感是指社会成员感受到应该相互遵守的社会生活上的规范或规则被遵守。” 〔16 〕也有德国学者指出,如果将法益作精神化的理解,就应当承认国民对于法秩序的信赖感也是法益的内容。〔17 〕在刑事立法上,也倾向于将抽象危险犯等预防性刑法条款适用于具有“超个人法益”的犯罪领域,法益功能从出罪化转变为入罪化。〔18 〕根据我国《刑法》第253条之一的规定,侵犯个人信息的行为必须符合“情节严重”“情节特别严重”的条件,才可构成侵犯公民个人信息罪。如果个人信息被用于违法犯罪、造成被害人死亡、重伤、精神失常或者被绑架等严重后果的,或是造成重大经济损失,此种情况下必将给公众对个人信息安全的信赖感造成重大冲击。若是认为该罪法益为个人法益,则很难将个人信息的用途以及造成后果涵射在该罪的法益范围之内。在我国尚未颁布《个人信息保护法》的前提下,合理利用个人信息的法律规则尚未制定,这时若将该罪的法益单纯界定为个人隐私权或信息自决权,可能会过度抑制个人信息的积极利用。将侵犯公民个人信息罪的法益界定为“超个人法益”,即个人信息安全的信赖感,则为个人信息的利用预留更大的空间,也有利于保护个人信息的自决权。
(二)征信中个人信用信息侵权行为类型
近年来,征信主体非法买卖、泄露与滥用个人信用信息的侵权行为泛滥,并借助于网络载体所产生的波及效应,无限放大其社会危害效应。在电子商务领域,主要存在制假售假、以次充好、虚假宣传、恶意欺诈、服务违约、恐吓威胁,以及通过恶意刷单、恶意评价等方式实现“增信”或“降信”,从而侵犯个人信用信息的行为。如旺旺贷“跑路”事件,就将网贷平台最大的流量入口百度推上风口浪尖。很多受害者投资旺旺贷的主要原因就是其有百度认证。从不同征信主体的侵权行为类型上看,可分为以下几种情况:
1.个人征信机构的侵权行为。主要包括:(1)在信息采集环节,如果征信主体所采集的信息无法真实、全面地反映信息权利主体实际的信用状况,就会使授信者对信息主体信用状况产生错误判断;同时,征信主体可能违反《条例》等法律法规中的禁止性条款和基于合同对信息采集范围的约定,随意扩大个人信用信息的搜寻范围。(2)在征信系统设计环节,如果征信系统设计存在瑕疵,导致对信息数据分析错误,影响授信者对个人信用状况的判断,使被征信者无法开展信用交易活动,就对个人信用信息权造成侵害。(3)在信息存储环节,如果个人信用信息不及时更新、对不良信用信息不及时删除,或者未对个人信用信息采取适当的安全加密措施,被他人攻击、篡改、非法获取,就会造成对个人信用信息权的侵害。例如,“数据黑市”滋生的重要原因就在于黑客能够利用“爬虫”、“撞库”等技术手段轻而易举地获取数据库,大量价格低廉的个人信息数据成为部分征信机构的隐形数据源。有的征信机构甚至雇用黑客直接对数据缓存库实施“拖库”盗取数据。还有的征信机构虽然通过正规渠道和价格获得数据接口,但在调用数据时会在“本地设备”上形成一个“缓存库”,當个人信用信息数据累积到一定程度后,就将这些“缓存库”拿去进行二次销售牟利。
2.个人信用信息提供者的侵权行为。《条例》第15条规定:“信息提供者向征信机构提供个人不良信息,应当事先告知信息主体本人。但是,依照法律、行政法规规定公开的不良信息除外。”然而,在提供个人信用信息过程中,也会产生如下侵权行为:(1)向征信机提供错误、过时、遗漏、片面等情形的个人信用信息。征信机构最终提供的信用信息上的瑕疵,导致信息权利主体的信用评价受到贬损。(2)基于故意增删、修改、涂抹个人信用信息,或是虚构相关涉及征信采集方面的事项,损害他人信用。这些受到贬损或误导产生的信用信息结论都有可能导致被征信者的信用评价受到影响,从而失去潜在的商业机会和原本预期的商业活动结果。(3)征信行业内部工作人员非法倒卖、帮助倒卖个人信用信息牟利。诸如相关涉及征信行业部门的业务操作人员、系统维护人员等作为“内鬼”为谋取非法利益,违规利用内部信息系统查询征信报告出售盈利或串通外部人员,为其提供征信ID和密码、银行专用网络,后者用于实施其他违法犯罪或倒卖出售获利。
3.个人信用信息使用者的侵权行为。信息权利主体对自己的信用信息评估情况及该情况被用作何途享有知情权。如果信息使用者未按照规定及时履行相关告知义务,就可能构成对他人信用信息权的侵害。实践中经常出现由于银行未尽责审核或者他人利用虚假的身份资料办理了贷款、信用卡后逾期不还,信息权利主体莫名被录入征信“黑名单”,导致本人无法贷款。另外,因授权条款设置不具体、不明显导致滥用个人信用信息的现象也很常见。许多互联网银行、P2P机构在获取个人信用信息授权时采用电子形式,即信息权利主体申请贷款时在线勾选“同意”授权条款、电子规则、声明等,但并没有使用明显标志进行提示,且授权内容范围不明。如在“微粒贷”业务中,微信用户点击微信钱包中的“微粒贷”查看额度,不慎勾选了授权条款,而被“微众银行”以“贷款审批”为由向央行征信中心查询用户的信用信息,致使后者的知情同意权受到侵犯。
三、个人信用信息刑法保护的系统思维
从系统论的角度,刑法规范是其整个法律体系的子系统,既以其自身独有的结构而具有内部封闭性,又同非刑事法律法规的交互作用而获得其自身的开放性。根据法秩序的一体性与刑法谦抑性理念,刑事违法性与行政或民事违法性具有一致性。不存在具有刑事违法性,而没有行政或民事违法性的行为;缺少行政或民事违法性的行为,也不可能具有刑事违法性。对上述个人信用信息侵权行为,除了进行形式层面的违法性判断之外,更重要的是基于系统思维对个人信息立法碎片化予以修复,对个人征信各方主体利益进行利益衡量,从而实现个人信用信息刑法保护的体系化。
(一)个人信用信息保护立法碎片化及修复
目前,国内涉及个人信息与隐私保护的法律主要有《刑法》《侵权责任法》《网络安全法》《消费者权益保护法》《征信业管理条例》《征信机构管理办法》《电信和互联网用户个人信息保护规定》等。但在维护信息网络安全立法思想主导下,个人信息权利的法律保护一直存在不足,缺乏相应的法律规范和制裁体系。我国尚未制定出台个人信息保护法,现行立法多是间接的、碎片化的、框架性的规定,就像堆积拼接而成的“碎片”,既不系统又不协调,层级低且效力弱。实践中存在执法部门权限职责不清,个人信息的收集处理规则不科学、不合理,作为个人信息权利保护义务主体的守法成本高,个人维权成本高昂且效率低下等问题。对此,有论者认为,在互联网时代“必须营造一个公平正义和诚实信用的法治文化生态环境,而这个环境的建设源于多种要素的支撑和相关机制的完善”。〔21 〕在刑事立法方面,对于侵犯个人信息犯罪的刑法规制处于不断扩张态势,法益保护的链条不断拉长,扩大了公民个人信息保护范围和程度。《解释》分别对“公民个人信息”“违反国家有关规定”“提供公民个人信息”“以其他方法非法获取公民个人信息”“情节严重”“情节特别严重”等作了具体规定,明确了定罪量刑的情节标准,但仍未形成对个人信息权利完整的体系化保护。如《网络安全法》第41条规定,信息收集者必须按照信息提供者同意的方式与范围使用,不得超出收集个人信息的原始目的使用,但《刑法》以及《解释》都没有对非法“使用”个人信息行为做出规定,与《网络安全法》的上述规定是相脱节的。即使“在《网络安全法》加大侵犯个人信息违法行为处罚力度、两高最新司法解释进一步扩充刑法第253条之一构成要件的背景下,行政法与刑法的界限问题、刑法自身的边界问题变得非常突出,直接影响到罪与非罪的认定。” 〔22 〕另外,由于缺乏严格有效的监督制约机制和良好的行业自律环境,行业组织所发挥的作用也比较有限。上述法律规制方面的漏洞,不仅难以实现个人信用信息法律保护的统一性和有机性,也不能为认定和处理侵犯个人信用信息的行为提供明确依据,由此带来了司法认定方面的困惑,查证难度和司法成本相当大。司法实践中,以侵犯公民个人信用信息罪追究刑事责任的案件并不多见,其中未经授权查询个人信息被处以行政罚款的比例最高,行政处罚内容大都是罚款,“一罚了之”,处罚理由也未披露,违法成本相当低。
从系统论的角度,个人信用信息保护的法律规范之间应当是衔接协调的。只有刑法体系内外部实行多层次的法益保护,将大量侵犯个人信息的违法行为堵截在民事、行政法律领域进行处置,才能更好地发挥刑罚的惩治和预防功效。一方面,在刑法体系内部,涉及对侵犯公民个人信息罪及其关联罪名的体系解释问题。实际上,侵犯公民个人信息罪及其关联罪可以看作是一种罪名集合。侵犯公民个人信息罪在这个“罪群”中处于核心位置,对于衔接和协调其他罪名的罪刑关系具有着重要的纽带作用。不同罪名的构成要件之间应避免相互重叠,更不能相互冲突和矛盾;同时,准确处理相关罪名与法条竞合关系,保持刑法规范适用的统一性和协调性。另一方面,在刑法体系外部,面对互联网征信领域日益泛滥的非法采集和使用个人信息行为,在行政法监管不到位、处罚软弱无力的情况下,有必要运用刑事法律手段进行规制。当然,作为保障法、事后法和制裁法,刑法只有在非刑事的前置法管控无效、超出其调整范围的情况下才可以介入。如果一味予以刑事打击,加大征信主体的涉罪风险,就会阻碍个人征信市场的发展,不利于互联网金融安全和社会信用保障。因而,有必要从出罪角度加以考量,避免造成征信主体权益的制度性压制。应当看到,民法、行政法、刑法等部门立法的价值目标各有侧重,相互之间存在交叉竞合、冲突矛盾的情况在所难免。因此,对于个人信用信息权利保护的“碎片化”问题,也应当客观地看待其现实合理性,不能一概否定。
(二)个人信用信息保护的利益衡量及选择
在互联网征信领域,个人信用信息法益呈现多元化态势,个人信用信息的权利属性决定了两者之间的矛盾,本质在于两者所体现的经济法价值理念不同,前者追求秩序,后者关注自由;个人征信影响信用信息权利的保护,而对信用信息权利的保护会降低征信效率。为了防止人们逾越权利底线追求自身利益而给他人利益带来损害,法律需要确认合法利益的边界,协调不同主体利益,建立利益调节机制,既要充分保证个人隐私和人格权益不受损害,又能够保证个人征信活动的正常开展。〔23 〕从国外立法来看,各国已经意识到衡平征信与信用信息权利保护两者矛盾的重要性。如美国通过《公平信用报告法》《消费者信用报告改革法》《格莱姆法案》《公平与准确信用交易法》强化了征信机构、信用报告使用者以及信息提供者的义务;欧盟也通过《关于个人数据处理的个人权利保护及此类数据自由流动的指令》等为依据保护信息主体的权益。相比之下,美国宽松的信息保护政策促进了信用信息的有效供给和流通,但也不可避免地提高了民众的负债率。而欧盟立法更加注重对信用信息权利的保护,但也在一定程度上阻碍了信用市场的发展。〔24 〕随着互联网技术的不断发展,各国有关个人征信的法律规则也在不断作出调整,在利益冲突和协调的过程中趋同性日益凸显。
我国刑法将侵犯公民个人信息罪置于《刑法》“侵犯公民人身权利、民主权利罪”一章,作为第253条之一规定在“私自开拆、隐匿、毁弃邮件、电报罪”之后,可见刑法保护的重点是公民个人的隐私权。然而,这种隐私权保护模式已经难以适应现代社会积极利用个体信息的现实需要。从保护个人隐私权的角度出发,必须限定征信中个人信用信息的范围;但将其完全限制在个人隐私之外显然是不现实的,只要允许个人信用信息的采集和使用,就必然存在其与个人隐私和人格权保护之间的冲突。对个人信息权利主体而言,他们很难对自身信息价值作出正确估价,很难对信息披露的风险作出评估,也不能确切地知道其个人信息最终会流向何处,或者将会被如何利用。〔25 〕由于信息持有者和使用者之间不平等的谈判力量,个人也无法通过与处于强势地位的征信机构进行谈判来有效保护自己的个人信息财产权利。而对于需要积累数以亿计的信用信息的征信机构而言,针对每次个人信息的使用逐一進行谈判,需要非常高的交易成本,也是难以做到的。
我国征信业尚处于初创阶段,在个人信用信息采集和使用方面,宜采取相对宽松的制度政策。基于保护社会公共利益的原则,在某些特殊情况下,可以强制公开个人信用信息,以实现个人信用信息公开的对称性和公平性。在刑事立法和司法中,应当在坚持罪刑法定原则的基础上,运用利益衡量的原则和方法,对侵犯个人信用信息行为的社会危害性进行实质判断。有学者提出将利益分为:具体利益、群体利益、制度利益和社会公共利益,并通过利益层级进行判定。〔26 〕但也不能由此认为社会公共利益就一定要高于具体利益,否则就会导致国家权力的过度扩张,而使个人权利自由空间遭致压缩。如前所述,个人信用信息所包含的法益可分为个人人格及财产权益、社会公共利益、国家安全利益。原则上,人格权益优于财产权益;财产权益之间价值高者优先;社会公共利益、国家安全利益一般优先于个人的人格及财产利益;但也要考察利益数量和规模大小从而加以判断,而不能仅将法益性质作为唯一根据。判断个人信用信息法益性质及其程度,包括个人信用信息的识别性强弱、信息数量规模、侵权行为方式和用途去向、被害人的心理感受、对国家信息安全、社会公共利益的影响等因素,需要司法机关综合加以考量。〔27 〕
结语
综上所述,在互联网征信领域,个人信用信息呈现权利属性复杂化、法益结构多元化的特点,包括信息主体的知情同意权和自决权,兼具保护国家和社会公共安全、利益及秩序的“超个人法益”,因而需要多层次、体系化的刑法保护,刑法体系自身是一个开放的复杂系统,并不局限于静态的文本构造,更应从刑事司法功能的动态发挥得到实现。司法机关应加强对相关罪名的体系解释,加强刑法保护体系内外部的衔接协调,构筑侵犯个人信用信息违法犯罪行为的法律责任和制裁体系;同时,通过运用利益衡量方法进行实质判断,准确把握入罪门槛与出罪边界,实现征信各方主体的信息权利的整体刑法保护和适当利益平衡。另外,法律上的利益平衡都不是静态的,随着个人征信的行业进步和经济发展,通过刑事法律与非刑事法律之间的衔接协调,寻求互联网征信领域不同主体利益的平衡点,在有效保护个人隐私的同时又不过度抑制征信行业的发展创新,从而实现个人信用信息法益刑法保护与信用信息开放之间的动态平衡。