公民个人信息分类保护的刑法模式构建
2020-03-05董悦
董 悦
(南京师范大学 法学院,江苏 南京 210023)
一、引 言
目前刑事立法对于公民个人信息采取了统一保护模式。《刑法》第253条之“侵犯公民个人信息罪”的基本罪状为“违反国家有关规定,向他人出售或提供公民个人信息,情节严重的”;“两高”出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第1条将“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动状况的各种信息”定义为“公民个人信息”。由此,具有自然人身份和活动状况可识别性的信息就是刑法上的“公民个人信息”,由刑法不加分类地进行统一的保护。
尽管统一保护模式具有规范上的形式统一性,但它并未解决司法实务对于个人信息案件的处理分歧。以收集并出售公开信息的行为为例:行为人通过自行研发的“卓讯云客宝”软件(属于爬虫软件)从网上搜集大量公开信息(包括企业联系人姓名、电话、地址等)并建立后台数据库,累计数量达3000万条,且通过发展会员收取会员费的形式将搜集的信息销售给会员,从中盈利400余万元[1]。按照《解释》第1条的规定,企业联系人姓名、电话、地域完全可以用于识别自然人身份,因而属于公民个人信息。实务争议在于,此类案件中是否存在被害人同意,进而影响有罪与无罪的案件定性。否定意见认为:“公司企业联系人之所以在网上公开,主要是便于公司企业业务的及时开展与拓宽,表面上是面向不特定随机群体公开,实质上是面向潜在的客户群公开……据此,公司企业联系人网上公开信息可以认定为‘以行动表明仅适用特定群体、特定领域、特定情形’,需要经过权利人的同意。”[1]512肯定意见认为:“互联网是一个开放的平台,如果信息所有者自行或者通过单位将信息公布于网站上,应当推定其同意公开个人信息。作为一个理性的个人,应当能预见信息公开的后果,所以在选择公开的程度和方式时会有所控制,不会将私密性较强的信息公布于网站上。所以,即使这些公开的信息被他人搜索到之后再整理出售,一方面该行为的危害程度有限,另一方面该行为的后果是信息所有者应当能够预见到的,所以不宜入罪。”[2]
价值判断指引事实截取,刑事政策决定刑法解释。被害人同意与否看似是事实问题,但事实判断的背后潜藏着适用者的价值判断。对于否定说来讲,信息保护利益是唯一值得保护的利益,因此,统一保护模式已然足够;而对于肯定说来讲,适用者需要在信息保护利益与信息利用利益之间进行衡量,衡量的不同结果决定了分类保护模式应予提倡。信息的统一保护模式没有对信息利用利益和利益衡量方法给予充分重视,这在信息作为重要资源的今天将会使社会承受“不能承受之重”;分类保护模式使得刑事立法、司法与执法围绕利益衡量结果展开,目的是兼顾信息保护与利用,在保障人格尊严的前提下实现信息效益的最大化目标。
二、公民个人信息统一保护模式的不足
1.忽视公民个人信息的内在差异
按照不同的标准,公民个人信息可以被划分为不同的范畴。不同范畴之间虽然有可识别性标准作为联结,但彼此之间仍存在很大差异;除却个人信息权这一共同价值之外,范畴背后蕴藏的价值也各不相同。在这个意义上,公民个人信息与其说是一个概念,不如说是一种类型。“类型归属与概念涵摄不同,它是一种价值导向的思考程序。”[3]价值的发现与衡量过程对于类型来说尤为重要,而这一点恰恰为统一保护模式所欠缺。统一保护模式只强调概念的共性,忽视了各种范畴之间客观存在的差异性,进而遮蔽了范畴背后的独立价值。以“该罪保护的法益不是A而是B”为由,作为独立价值的A在规范上丧失了被发现、检验、权衡的可能,因而也就无法在规范解释中被反映出来。以隐私信息为例,作为个人信息与个人隐私的交叉范畴,隐私信息蕴含着个人信息权与隐私权双重利益,倘若认为侵犯公民个人信息罪保护的法益只有个人信息权,隐私权的价值也就被遮蔽了。经过衡量得出的利益优先结论和依靠宣示得出的利益单一结论比较,前者更为科学和正当,因为各种利益及其组合的后果在利益衡量的过程中能够被给予充分考虑,而且明确的利益衡量标准有利于实现结论的可验证性和可论争性,避免适用者的恣意判断与自说自话。
2.导致形式理性与实质理性相互背离
由于社会生活变迁、立法者理性所不及、法律语言不能全面反映生活事实等种种原因,依照逻辑演绎的方法得出的结论可能会与社会一般人的价值判断产生矛盾,也就是形式理性与实质理性相背离。在概念法学统摄的时代,法的价值被认为已经全面反映在刑法典中,司法者只要经由涵摄便可以实现法的价值,实质理性没有存在的空间。之后概念法学被利益法学和价值法学所取代,价值由单一转向多元,刑法释义学体系受此影响也逐渐从完全封闭走向适度开放,在保有自主性品格的同时追求对社会普遍价值的回应。形式理性与实质理性的冲突在法定犯时代表现得尤为明显,因为立法机关对于部分构成要件要素的定义,已经远远脱逸出生活形式赋予概念的本来意涵,因而使得严格按照涵摄得出的结论与民众的常识、常理、常情相违背。为了弥合形式理性与实质理性的矛盾,司法者应当立足于刑事政策进行价值判断,寻找实质理性进入法释义学的路径,进而使得“外在价值向内在价值转化”[4]。
如果遵循形式理性,行为人违反国家有关规定,收集并出售公民个人信息达到“情节严重”的程度,就构成侵犯公民个人信息罪。但事实上,民众对于不同范畴信息的敏感程度各不相同,对于个人信息的保护需求也存在不同层次。根据2016年11月发布的《中国个人信息安全和隐私保护报告》,在100多万份调查问卷中,有53%的受访者愿意提供个人信息以获得更便利的服务[5]。刑法对于公民个人信息的保护需要区分不同类型,“一刀切”的保护模式在强调法的形式理性、保护法安定性的同时,也有可能忽视法的实质理性,牺牲个案正义。
3.减损资源配置的社会效益
“所有的法律活动和全部法律制度,说到底,都是以有效地利用自然资源,最大限度地增加社会财富为目的。”[6]法律承担着配置社会资源的任务,资源配置结果会反过来影响人们对于法律的评价。因此,社会效益是法所追求的重要价值。
效益是成本与收益之比,以最小的成本投入取得最大的收益,是效益最优的题中之义[7]。刑法的成本包括机会成本、立法成本、社会成本、刑罚成本(刑罚成本内部又可分为犯罪成本、司法成本和刑罚总成本)。收益则包括刑事立法收益、刑事司法收益、刑法对犯罪人产生的附属收益、刑法的精神收益等[7]68-81。通过个人信息统一保护的立法模式,公民个人信息得到了绝对保护,此为刑事立法带来的收益。但国家为此投入了大量成本:首先,将侵犯公民个人信息的行为入罪化增加了刑法的机会成本——国家丧失了以其他手段来矫治、预防此类行为所可能获得的收益;其次,侦查、逮捕、起诉和审判工作消耗了大量的司法成本;最后,国家对公民个人信息的过度保护增加了信息流通和信息利用的成本,信息业者采集和利用信息时往往投鼠忌器,长此以往必然不利于信息产业的发展,这是刑法适用带来的社会成本。从成本收益的角度分析,统一保护模式消耗的成本过高而收益有限,总体上无益于社会效益的增加,因而并非是最优的资源配置方式。
4.欠缺体系研究思维
目前《民法总则》和《网络安全法》都对个人信息与个人隐私进行了分别规定,民法学者对个人信息权的性质[8]、个人信息权与隐私权的关系[9]等问题也进行了深入讨论。“法律体系是指由一国现行的全部法律规范按照不同的法律部门分类组合而成的一个呈现体系化的有机联系的统一整体”[10],前置法上的类型划分不仅对于确定侵犯公民个人信息罪的保护法益具有重要意义,而且对于引入个人信息的分类保护思维具有参考价值。
值得反思的是,尽管学者(包括刑法学者和民法学者)对于刑事司法中的“先刑后民”现象提出了严厉批评[11],“综合治理”的对策似乎也已成为共识[12],但刑法学界对于侵犯公民个人信息罪的研究,几乎还是只局限于对法益、构成要件、司法解释的注释与解读。对于刑法领域之外的宪法、民法、行政法的立法和学理讨论成果少有关注,而其他法领域的学者在批评过刑法的“僭越之失”以后似乎也再无下文,体系性思维的欠缺使得其他法领域的研究成果无法及时进入刑法释义学的研究范畴、进而在面对丰富多彩的现实之时,不可避免地显示出理论的僵化与粗疏。
三、公民个人信息分类保护模式的两对范畴
统一保护模式的诸种不足,根源是因为过于强调公民个人信息的共性而忽视概念内部的差异性。根据不同的标准,个人信息可以被划分为不同范畴,如人身信息与财产信息、直接识别信息和间接识别信息、隐私信息与一般信息、公开信息与非公开信息等。本文将重点对后两对范畴进行考察,原因是:
在经验层面,实践中对于侵犯隐私信息案件与侵犯公开信息案件是否应较普通案件有所区分一直存在争论。虽然大部分判决仍坚持统一保护模式,未承认隐私信息和公开信息相较于普通信息的特殊性,但也有判决给予分类保护。如周娟等非法获取公民个人信息案(《刑事审判参考》第719号指导性案例)、王某甲非法提供个人信息案((2015)锡法刑初字第00179号判决)等。明确两对范畴的规范意涵可以回应司法实践问题、提升理论科学性和完整性。
在规范层面,通过对个人信息法律法规的考察可知,《民法总则》在第五章“民事权利”中将隐私权与个人信息权分别进行规定,前者为第110条,后者为第111条;《网络安全法》第45条对于侵犯个人信息的行为与侵犯隐私的行为予以分别禁止。作为第一次规范的《民法总则》《网络安全法》将个人隐私与个人信息二者分离,说明立法者认为个人信息权与隐私权二者具有独立保护的意义和价值。另外,2014年10月施行的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称《利用信息网络侵害人身权益司法解释》)第12条第4款将“自然人自行在网络上公开的信息或者其他已合法公开的信息”作为网络用户或网络服务提供者信息侵权责任免除的事由,说明在最高院看来,公开信息较一般信息具有规范上的特殊性。以上民事、行政法律和司法解释为刑法上的个人信息分类保护提供了有效的规范借鉴。
在价值层面,“法律人的才能主要不在认识制定法,而在于有能力在法律的——规范的观点之下分析生活事实”[13],任何技术判断背后都蕴含着价值判断。隐私信息与一般信息、公开信息与非公开信息背后隐藏着信息利用利益与信息保护利益的基本冲突,利益衡量的结果对于刑法保护模式的选择具有指示和引导作用。
1.公开信息与非公开信息
这是根据公民个人信息的状态所做的分类。公开是指向不特定多数人的公开。公开可以为当事人主动公开,也可以为公务或非公务机关被动公开。出于对公民个人信息的保护,一般情况下任何个人和组织都不得公开他人信息,除非具有法律规定的特殊情形。《政府公开条例》第14条第3款规定:“行政机关不得公开涉及国家秘密、商业秘密、个人隐私的政府信息。但是,经权利人同意公开或者行政机关认为不公开可能对公共利益造成重大影响的涉及商业秘密、个人隐私的政府信息,可以予以公开。”是否允许信息公开、允许何种信息公开、公开信息可以在何种程度上被利用,实际上是利益衡量的结果。
2.隐私信息与一般信息
这是根据公民个人信息的性质所做的分类。隐私信息处于个人信息和个人隐私的交界地带,它是关涉个人生活安宁和生活秘密、同时具有可识别性的个人信息。有实证研究将中国公民隐私确定为通话记录、私人信件、私人生活空间、私人照片和录像、性取向和性生活、医疗记录、财务信息、身份证号码等12项内容[14];2012年国务院颁布的《征信业管理条例》第14条规定禁止对个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息进行采集;《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《信息安全技术指南》)将身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等确认为个人敏感信息;《信息安全技术个人信息安全规范》(以下简称《信息安全技术规范》)将身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息界定为个人敏感信息。上述内容之间具有相当程度的重合。在我国出台《个人信息保护法》之前,理论和实务可以将上述信息种类作为参考,以大致划定隐私信息的范围。
一般信息是指能识别自然人身份的非隐私性信息,例如自然人的姓名、手机号码、微信号、支付宝账号、淘宝账户名等。信息时代的来临使得一般信息的公开成为日常生活和商业开展所必然:基于人际交往的需要,社会成员需要不同程度地向他人提供各种一般信息,以保证生活便利和交流畅通;现代商业的发展使得商事主体选择将部分个人信息在互联网或其他媒体上公开,以增加交易机会、减少交易成本。互联网上的公开信息作为重要的信息资源,信息利用的方式和限度需要由法律进行合理界定,在保证信息安全的同时达致社会效益增加的目标。
3.两对范畴的关系
隐私信息与一般信息是根据信息的性质所做的分类,公开信息与非公开信息是根据信息的状态所做的分类,两对范畴的分类标准并不相同。如图1所示,公开信息可能是隐私信息,也可能是一般信息,非公开的信息亦然;公开信息与非公开信息都有可能是隐私信息,也有可能是除隐私信息以外的一般信息。实践中以信息公开行为推定被公开的信息属于一般信息而非隐私信息的做法更多的是一种经验性的推断,而非规范上的说明。
四、范畴背后的利益衡量
“法律,是在每一个法律共同体中相互对立且为求被承认的利益——物质的、国家的及伦理的利益——彼此角力的结果。”[15]海克(Heck)的这句话深刻地指出了利益衡量在法学中的重要作用。大数据时代的到来使得个人信息的集合在政府决策、商业开展、科技创新、智能生活等领域发挥着重要作用。个人信息不可避免地由个人属性发展出公共属性,展现出个人性与公共性共存的特征。个人信息领域的利益衡量主要存在于信息的保护利益与信息的利用利益之间,两者分别与信息的个人属性和公共属性相应合。因为个人信息当中蕴藏着巨大价值,国家、信息业者和个人均在不同程度上追求信息利用利益,而个人作为权利主体,同时追求信息保护利益。信息利用利益与信息保护利益之间,是此消彼长的关系:信息利用范围的扩大必然导致信息保护范围的缩小,反之亦然。我们需要探求的是在尽可能保护个人信息的前提下使得信息利用利益最大化的刑事政策,兼顾权利保护与资源利用,在总体上提高社会效益。
1.博弈论视角下信息利用利益与保护利益的衡量
目前我国对于个人信息犯罪的刑事政策可以总结为“重保护而轻利用”。在刑事立法和刑事司法上分别体现为设置公民个人信息的统一立法保护模式和对于侵犯公民个人信息犯罪的严厉打击。刑事政策的本质是价值判断[16],而且是决定资源配置方式的价值判断,因而用于判断价值正当性和合理性的工具不限于传统的法学方法论,还可以扩展至如经济学、社会学、政治学等配置社会资源的人文社科方法论。本文选取经济学中的经典方法论——博弈论(Game Theory)来探求信息资源配置的最佳方式。作为研究如何科学决策的学问,博弈论已经远远超脱出经济学的范畴,拓展至法律政策、法律规制、法律行为等相关领域[17]。“没有在理性人的预设下和博弈思想指导下设立的法律,难以经受住理性的利己主义者和机会主义者的冲击与时间的考验,就会逐渐成为沙滩上的建筑。”[18]
博弈对局中存在3个要素:对局者、策略与报酬[19]。博弈分析的对象是理性对局者采取不同策略时所获得的报酬。我们选取信息业者与信息所有人为对局者,原因是双方为典型的信息利用利益享有者和信息保护利益享有者,通过观察信息业者在利用信息时、信息所有人在面对信息业者的利用需求时所采取的不同策略,分析双方在不同策略组合中得到的收益,来寻求资源配置的最佳方案。
现实中,信息业者具有强烈的信息利用需求,如果刑事政策和刑法规定没有为信息业者以合法方式收集、利用个人信息创造空间,那么在利益的驱使下,一定会有信息业者选择铤而走险,以违法的方式收集、利用个人信息。面对信息业者的利用需求,信息所有人会面临两种选择:合作与不合作。合作即允许或同意信息业者采集和利用信息,获取相应收益或者信息成果利用权益;不合作即不允许信息业者利用信息,相应地也就没有收益或者信息成果利用权益。可以肯定的是,因为非法收集行为一旦被发现将会大大减损信息业者的收益,所以信息业者为合法行为时所得的收益一定大于为非法行为时所得的收益,个人在信息业者为合法行为时所得的收益也一定大于其在信息业者为非法行为时所得的收益(因为后者并不为法律保护),所以我们假设信息业者在合法行为的情况下的收益为70,在非法行为的情况下的收益为-10(被发现的风险使得收益为负);个人与合法行为的信息业者合作可以获得的收益为30,与违法行为的信息业者合作可得的收益为10,此时双方的博弈结果如图2所示。
基于经济学的理性人假设,博弈双方会在综合考虑所有的情形之后选择对己方最有利的策略,因此,他们的决策不可避免地要受到对方决策的影响。对于信息业者来讲,在他为合法行为时,信息所有人基于利益考量会选择合作;在他为非法行为时,信息所有人也会选择合作。而在信息所有人选择合作的两种情形中,信息业者为合法行为可以让他达到效益最优,因此信息业者会选择合法行为。此时,信息所有者的理性反映是合作。因此,(合法行为,合作)组合成为纳什均衡,即所有参与人的最优策略组成的策略组合[20]。同时,因为(合法行为,合作)组合给双方带来的收益明显高于其他3种组合,因此,该种决策也成为相对于其他决策的“帕累托改进”,即与其他资源配置方式相比,该种资源配置方式使得至少有一个人处境变好,同时没有一个人处境变坏[19]297。
既然(合法行为,合作)成为资源配置的最佳方式,那么刑事政策与刑法规范应当为信息业者合法行为创造机会,使信息业者的信息利用需求可以通过合法而非违法的途径得到满足;同时为权利人处置权利提供契机,在规范上为信息业者和权利人的合作创造条件。具体来说,应当适当降低对于部分个人信息的保护程度,使得信息业者可以通过自由利用或者有偿利用的方式获得信息的利用权限。显然,现今的立法和司法体现出的对于信息利用需求的无视和对于信息保护的“一边倒”与上述要求相差甚远。这一点已经引起了学者的注意,比如有学者提出要“更好地平衡个人权利和社会整体利益”,“形成既保护个人尊严和自由,又能够促进个人信息合法使用的规则”[21]。信息的公共价值和社会对于个人信息的利用需求在大数据时代已经成为不可改变的事实,我们应当改变只重保护不重利用的理念,在制度上兼顾信息的保护需求与利用需求,在规范上为信息利用和信息流通创造条件,从而实现信息保护与信息利用的激励相容。
2.公开信息与非公开信息:利用利益与保护利益分别优先
(1)公开信息:利用利益优先
相较于其他类型的个人信息,公开信息背后潜藏的信息利用需求与信息保护需求冲突更加明显。一方面,公开信息符合《解释》第1条对于公民个人信息的定义,应当给予刑法保护;另一方面,信息已经公开,信息的公共性使得信息业者的利用需求在“常理上”具有被正当化的可能。此种情况下,保护利益优先还是利用利益优先,成为利益衡量必须面对的问题。
基于经济博弈分析和价值衡量基本原则的双重考量,我们认为,在公开信息的范畴,信息利用利益优先于信息保护利益。
首先,信息利用利益优先有利于增进社会效益。信息保护与信息利用的博弈分析要求刑法为信息业者合法收集、利用信息提供机会,因而刑法应当在规范上对个人信息进行分类,适当降低部分信息的保护程度、提高其利用程度,从而达到(合法利用,合作)帕累托最优。“部分信息”应当包括向不特定人公开的信息,这是因为在规范层面,相对于处在个人信息概念的“核心范围”的非公开信息,公开信息处于概念的“边缘范围”[3]229,可供适用者进行规范解释的空间相对较大,利益衡量的方法和结论也相对更容易为社会公众所接受;在经验层面,对于公开信息,信息主体的保护需求相对较弱,信息业者的利用需求相对较强,因此,允许信息业者在一定程度内对公开信息加以收集、利用有助于社会效益提高。
其次,信息利用利益优先并未违背价值衡量的指导性原则。尽管法官在进行利益衡量时具有很大的自由裁量余地,但仍然存在着一些客观标准对其进行约束,其中最重要的是价值法学的代表人物卡尔·拉伦茨(Karl Larenz)提出的价值衡量指导性原则:“首先取决于依基本法的‘价值秩序’,于此涉及的一种法益较他种法益是否具有明显的价值优越性……若涉及位阶相同的权利,或者涉及的权利彼此歧异,因此根本无从作抽象比较时,一方面取决于应受保护法益被影响的程度;另一方面取决于,假使某种利益需让步时,其受损害程度如何。最后尚需适用比例原则、最轻微侵害手段或尽可能微小限制的原则。”[3]285将上述指导性原则运用于信息保护与信息利用的利益衡量过程:两者没有明显的优先次序;信息利用价值的彰显虽然会使得信息保护价值减损,但由于公开信息并不属于个人信息的核心范畴因而减损程度有限,并且通过制度设计可以使得保护利益的减损程度进一步降低(比如在权利人明示反对或者撤销同意的情况下,信息业者不得对信息加以收集、利用);对于信息保护利益的减损并不违反比例原则;比例原则由适当性(Suitability)、必要性(Necessity)和相称性(狭义的比例原则)(Proportionality in its narrow)3个子原则所组成。适当性是指手段必须能够达到目的;必要性是指要在能够达成目的的诸手段之中选择损害最小的手段;相称性是指手段所造成的损害不能大于目的[22]。
公开信息保护利益的适度减损可以促进信息利用与流通,增加社会效益,因而符合“适当性”的要求;基于信息流通范围与信息保护范围的反比关系,信息流通的范围太大会造成信息保护的过度减损,因此,将公开信息利用权予以适当让渡是危害最小的手段,符合“必要性”的要求。虽然公开信息利用权的适当让渡会造成权利减损,但权利人可因此获得物质补偿和信息共享权利,总体社会效益也会相应提高,因此,手段所造成的损害并未大于目的达成带来的利益,符合“相称性”的要求。
(2)非公开信息:保护利益优先
在非公开信息的范畴,信息保护利益优先于信息利用利益。首先,信息的非公开状态反映了权利人不愿意公开或者没有明确意愿公开的主观心态,对非公开信息的保护是对于权利人处分自由和自我决定的尊重。其次,非公开信息处于个人信息概念的“核心范畴”,对于非公开信息的保护是个人信息权保护的题中之义。如果非公开信息都不被保护,个人信息的保护也会成泡影。再次,司法实践中的侵犯公民个人信息案件,大多数是对于非公开信息的侵犯,因此,构建和强化信息业者关于个人信息保护的约束机制和激励机制势在必行。加强信息保护的必要性不仅在于信息安全在现代社会中的作用日益突显——既关涉个体安全,也涉及国家与社会稳定;而且在于风险具有建构性特征,它是“社会建构的产物,与文化感知及定义密切相关”[23],社会公众对于信息安全的信赖感在风险社会的背景下亟待重建。
对于非公开信息的保护体现出目前我国个人信息的保护模式仍然是个人本位而非社会本位。有学者根据信息的社会性和公共性推导出个人信息保护的社会决定性,即“个人信息的使用由社会习惯或者法律确定,而不是由个人意志决定”,“要建立‘以一般允许为原则,以个人控制(同意决定)为例外’的个人信息使用规则”[21]99。本文认为,尽管从价值层面看,“以信息流通为原则,个人控制为例外”的社会控制模式会使得信息的利用价值得到充分发挥,甚至在社会效益上可能优于“以个人控制为原则,信息流通为例外”的个人本位模式,但社会控制模式在逻辑层面和经验层面具有明显缺陷。在逻辑层面,因为信息兼具有个人属性和社会属性,从信息的社会性推导不出个人信息保护的社会决定性。在经验层面,首先,当前的立法反映出的刑事政策是不断强化对于个人信息的保护,社会控制模式体现出的“重利用、轻保护”倾向与刑事政策体现出的“重保护,轻利用”倾向恰恰相反,因而短时间内难以为立法者承认;其次,个人信息权在我国尚属新兴,其权利属性甚至还未为部分学者所承认,为确保这一新型权利早日“落地生根”,不宜在现阶段对其施加过多限制;最后,从司法实践来看,目前我国侵犯公民个人信息案件呈现高发态势,不论是从保护实体权利还是从捍卫民众法感情的角度,对于个人信息的保护都正当其时。总体而言,社会控制论的问题在于其太过前瞻,难以适应当前我国个人信息的立法和司法实际。相比之下,从“全面保护”到“保护为原则,利用为例外”再到“利用为原则,保护为例外”的循序渐进式演进可能更具有实践性和可操作性。
3.隐私信息的特殊考量:保护利益的原则优先性
隐私信息是个人隐私和个人信息的交叉范畴,背后蕴藏着隐私权与个人信息权双重权利。隐私信息可能属于公开信息,也有可能属于非公开信息;非属隐私信息的一般信息亦然。按照上文得出的公开信息重利用而非公开信息重保护的结论,对于一般信息,只需根据其是否被公开的状态即可判断其所应追求的价值;问题在于,隐私信息如果属于已公开的信息,保护利益和利用利益发生直接冲突,何者优先?隐私信息如果属于未被公开的信息,在两者均强调保护利益的情况下,隐私信息相较于一般信息是否应具有保护上的优先性?
(1)被公开的隐私信息:保护利益原则上优先于利用利益
隐私权属于精神性的人格权,以生活安宁和生活秘密不受披露和干涉为权利内容,是一种防御性权利[24],因此,它天然地具有保护利益。罗克辛在论及价值冲突的指导原则时指出:“秩序性规定后撤到对具体损害的保护之后;人格的价值应当优于实物财产,面对保护其他人格价值或者超个人的法益,对身体和生命的保护处于一种更高利益的基础之上。”[25]上述“法的基本价值秩序”证明了隐私信息保护利益的原则优先性。作为人的“底线尊严”,隐私权保护应当成为经济和科技发展的禁区,以保留人的主体性,实现人的全面与自由发展。
隐私信息保护利益的优先性意味着,即使隐私信息已经被公开,也不能不加限制地利用。在这个意义上,隐私信息可以构成“公开信息利用利益优先”的例外,已公开的隐私信息原则上仍然以保护利益优先。这一结论也与司法解释的精神一脉相承。《利用信息网络侵害人身权益司法解释》第12条规定:“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。”公开与利用,是信息传播的前后阶段,如果隐私信息不以保护利益为先,前一阶段禁止公开的规定也就失去了应有的价值。
需要注意的是,权利人自愿公开的情形并不构成隐私信息保护利益优先的例外。《利用信息网络侵害人身权益司法解释》第12条第1项和第4项分别将“经自然人同意且在约定范围内公开”和“自然人自行在网络上公开的信息或者其他已合法公开的个人信息”作为保护原则排除在侵权责任的情形之外,但上述两种情形中行为人已经明示或者通过行动表示其放弃了信息保护利益,允许利用上述此类信息恰恰是对于行为人自由决定权的尊重。只有出于公共利益的需要,才能对于隐私权的保护利益进行适当限制,这也是隐私权“可克减性”特征的题中之义。
(2)未公开的隐私信息:相对于未公开的一般信息的保护优先性
虽然未公开的隐私信息与未公开的一般信息两者都侧重保护利益,但本文认为基于以下理由,前者较后者仍然具有保护上的优先性:第一,从权利主体的角度看,隐私信息被公开会给权利人的人格尊严带来更大减损;相较于一般信息,人们更不愿隐私信息被公开。第二,从权利属性的角度看,隐私权主要是精神性人格权,而个人信息权虽然也具有精神属性,但财产属性是其固有属性。事实上,个人信息权正是伴随着信息经济价值的突显而逐渐产生的。在法的基本价值秩序中,人格的价值优先于实物财产的价值。第三,隐私权一直强调私人性,相比之下个人信息的社会性越来越被学者所重视[21]97-101。权利的个人性更侧重于保护,社会性则无可避免地涉及利用,因此在保护利益方面,隐私权较个人信息权具有优先性。
信息的个人属性与公共属性决定了保护利益与利用利益在作为客体的信息之中共存。忽视保护利益,个人信息权利保护成为奢谈;忽视利用利益,信息利用效益低下,信息产业发展空间被挤压。因此,保护利益与利用利益之权衡,成为刑事政策制定的必然考量。以经济博弈分析结论为基础,以保护权利人处分自由和人格利益为原则,不同类型个人信息的利用利益和保护利益的衡量结果如下:公开信息应以利用为主,同时保留个人以明示方式反对利用行为的权利;出于对权利人自我决定权的尊重,非公开信息应侧重于保护而非利用。一般个人信息重保护或者利用,取决于其公开与否;隐私信息即使被公开,出于对隐私权这一精神性人格权的特殊保护,信息保护利益原则上仍优于利用利益;在隐私信息未被公开的场合,隐私权保护的顺位优于个人信息权。
综观利益衡量过程可以发现,人格尊严[26]构筑了科技发展和技术进步的底线,规范层面的基本价值将对逻辑层面的效益分析形成制约。经济效益并非评价法正义性的唯一标准,维护人的尊严才是科技进步和技术发展的终极目标。信息革命在极大提高生活质量、为人的全面与自由发展提供可能的同时,也加深了人对物的依赖,挑战着人的尊严和主体性。在这种情况下,一些基本共识的确立可以为平衡技术进步与权利保护的提供价值指引,引导信息技术尽可能发挥正向作用。第一,一切技术应以实现人的尊严为目标;第二,包括隐私权在内的人格权作为人的“底线尊严”,应该与生命、身体、自由一样,成为科技发展的“保留区”,法律在“保留区”内应趋于保守和审慎;第三,应当尊重主体的自我决定,这是实现人的主体性和全面与自由发展的必然要求。
五、利益衡量结果的刑法展开
正如大法官卡多佐所言:“主要的问题……是法律的目标,如果根本不知道道路会导向何方,我们就不能智慧地选择路径。”[27]以上述利益衡量结果为指引,可以从立法、司法与执法3种路径构建起个人信息分类保护的刑法模式。3种方式中,立法方式最为直接和有效,法的明文规定可以确保法安定性和形式正义,但立法成本相对较高;在立法不变的前提下,刑法解释和释义学方法的运用可以充分运用法律语言的弹性,协调现实生活和规范目标之间的矛盾,因而更加经济、灵活;同时,执法作为立法与司法效果实现的途径,信息分类和筛选技术的运用可以为信息分类保护提供技术保障和支持。
1.立法层次:建立前置法的分类保护模式
侵犯公民个人信息罪是法定犯,犯罪的成立以“违反国家有关规定”为前提。此种立法模式体现了刑法的二次法和保障法地位,有利于维护法秩序的整体统一;也可以有效地协调生活的易变性和刑法稳定性之间的冲突,提高法律规范的适用性;还可以使得规范在形式上趋于简洁,避免立法冗余。根据《解释》第2条,“违法国家有关规定”是指“违反法律、行政法规、部门规章有关公民个人信息的规定”,因此相较于修改刑法,通过前置法律、行政法规、部门规章对于个人信息的分类保护来实现刑法层面的分类保护,是可行而且相对经济的立法方式。
目前我国涉及分类保护的规范性文件,只有《利用信息网络侵害人身权益司法解释》、《信息安全技术指南》和《信息安全技术规范》。尽管3者都不属于《解释》认定的“国家有关规定”,但是文件中体现的分类保护模式可以为法律、行政法规、部门规章增设分类保护条款提供有效借鉴。《利用信息网络侵害人身权益司法解释》第12条第1款和第4款分别将“经当事人书面同意且在约定范围内公开”和“自然人自行在网络上公开的信息”作为网络用户或者网络服务提供者承担信息侵权责任的例外情形;《信息安全技术指南》第5.2.3条不仅将个人信息分为“一般信息”和“敏感信息”,而且针对两者分别设置了“默示同意”和“明示同意”两种同意模式。《信息安全技术规范》在肯定《信息安全技术指南》分类标准的基础上,还进一步针对一般信息区分了直接获取和间接获取两种情形,对于间接获取的设置了合法性确认以及超出授权范围的明示同意等条件。总结上述规范性文件的共性可以发现:隐私信息与一般信息、公开信息与非公开信息的区分已经为民事审判实践和行业规范所采纳,将其纳入法律、行政法规和部门规章的条件已经基本成熟,具有实践上的操作性和可行性。
具体来讲,应当在关于公民个人信息的民事、行政法律(如《网络安全法》)、行政法规和部门规章中对于公开信息设置较低的利用条件和较高的处罚条件,如收集和利用公开信息只需要权利人默示同意、设置较为轻微的民事和行政责任;同时加强对于隐私信息的保护,如确定隐私信息利用的明示同意原则、降低对于侵犯隐私信息的处罚条件等。如此为刑法上的信息分类保护提供前置法上的条件和基础。
2.司法层次:法释义学路径下的分类保护
与概念法学的思考方法相反的是,“利益衡量的方法,实际上是先有结论后找法条根据,以便使结论正当化或合理化,追求的是让法律条文为结论服务而不是从法律条文中引出结论”[28]。在此意义上,法释义学体系和构成要件具有彰显价值判断的工具性价值。适用者将自己的“前见”带入法释义学体系中,而体系的要素及其组合顺序通过筛选和检验事实来对适用者的前见进行回应和重塑。价值与规范之间的循环往复,即考夫曼所谓的“诠释学循环”[13]。因此,法律是“理解性的科学”[15]378,利益衡量的结果为我们解释构成要件提供了实质的根据。
在公开信息与非公开信息的范畴,价值上前者重保护而后者重利用,因此,对于收集和利用非公开信息的行为可做无罪或者减轻处理。具体来讲,若信息是由所有权人自己公开,客观方面可以将此种公开行为视为经过权利人默示同意的行为,信息所有权人行使自我决定权使得刑法欠缺保护必要性;若被害人同意事由未被司法机关承认,在主观不法的审查中,行为人仍然有可能因为出现对于被害人同意的认识错误(即误认为其公开就代表同意)而不具备故意。
在隐私信息与一般信息的范畴,基于特别保护隐私权的原则,可将侵犯隐私信息作为酌定的加重情节。这是因为隐私信息被公开和利用给当事人造成的人格减损和心理创伤可能远大于一般信息。结合案件的具体情况,酌情加重对于侵犯隐私信息行为的处理,更有利于实现罪责刑相适应。
3.执法层次:建立和完善信息分类和筛选机制
根据我国“定性加定量”的犯罪认定模式,信息数量成为影响成罪和罪量轻重的重要因素。实践中部分案件涉及的信息数量过于庞大,且内含大量重复、无效信息,给公安机关认定信息数量带来了巨大困难。比如在最高院公布的侵犯公民个人信息犯罪典型案例中,被告人杜明兴、杜明龙在互联网上非法购买、出售车主信息等公民个人信息28万余条,向他人出售关于期货、基金、车主、信用卡等公民个人信息42万余条;购买杭州地区新生儿及其父母信息等公民个人信息3万余条,向他人出售车主信息、小区业主信息等公民个人信息近40万条[29]。要想正确处理此类案件、实现准确定罪量刑,培养信息分类理念、建立信息分类筛选机制不可或缺。
不同于《解释》第11条第3项规定的批量信息认定规则,对于隐私信息,应当确定逐条认定的规则。《解释》第11条第3项规定:“对批量公民信息的条数,根据查获的数量直接认定,但是有证据证明不真实或者重复的除外。”虽然该规定在很大程度上降低了证明难度,节省了司法资源,但由于实践中隐私信息的价格较普通信息高,且隐私信息的入罪门槛低、刑罚处罚重,所以将二者等同处理并不合理。基于此,应当建立隐私信息与一般信息的区分机制,逐条认定隐私信息数量。
此外,公安机关可以探索建立互联网信息搜索技术,实现公开信息与非公开信息的有效区分。通过技术手段,将在招聘网站或者企业信息黄页上可以浏览的诸如权利人姓名、办公地点和电话等公开信息进行汇总、并将其与非公开信息相分离。此类技术的开发与应用不仅可以节省执法成本,提高执法效率,更有利于科学定罪量刑,实现司法公正。
六、结 语
自概念法学为利益法学所取代,法律适用者的目光就不只在事实与规范之间往返,更在规范背后的利益与价值之处流连。利益的发现与衡量结果直接决定着资源的配置方式:一方面,基于社会效益最大化的目标,由信息的公共性衍生出的信息利用利益应当在规范上被发现和保护,为信息产业的发展提供动力和支持;另一方面,社会效益的追求并非没有界限,保护人格尊严、促进人的全面与自由发展是制度设计的最终目标。本文对于个人信息进行的分类、利益衡量以及由此进行的刑法展开,即为实现这一目标做出的初步尝试。尽管公民个人信息项下还存在其他分类方式,但通过引入上述范畴,本文试图打破刑法对于个人信息的统一保护模式,为信息利用利益找到规范上的立足之地;同时通过探究信息利用利益和信息保护利益在不同范畴个人信息中的保护顺位,突显利益衡量这一法学基本方法在刑法命题中的运用过程。
