以刑制罪:“宽口径授权”侵犯个人信息行为的刑事规制
2021-12-06
我国刑法上侵犯个人信息犯罪并不包括非法滥用个人信息的行为,而实践中经常发生非法滥用“宽口径授权”获取个人信息的行为,此类行为因严重侵犯个人信息自主权和公共安全而具有社会危害性。因此,非法滥用型侵犯公民个人信息行为虽然属于合理授权的范围,但如果将获取的个人信息用于牟取经济利益或者其他非法目的,并且造成严重损害即属于犯罪行为。在刑法没有将此类行为直接作为犯罪行为作出规定时,并不意味着此类行为不具有可惩罚性,在遵守罪刑法定原则的前提下,司法机关可以合理地适用“以刑制罪”对“宽口径授权”情形下滥用个人信息造成严重损害的违法行为追究刑事责任,但必须严格遵守运用的基本原则和具体规则。
“宽口径授权”是指网络信息平台服务商在利用各种APP客户端为公众提供服务的同时,为客户设定诸多霸王条款,而客户为了获取服务而被迫接受这些条款,对平台服务商提出的填报个人信息予以“宽口径授权”为平台以及网络服务商滥用个人信息敞开方便之门。但是,我国现行刑法侵犯公民个人信息罪却无法规制经过客户“宽口径授权”的侵犯个人信息行为,刑法如何对此类行为进行制裁,以维护个人信息自主权和公共安全,成为学术界和司法实务界的共同课题。笔者认为,在刑法没有直接将滥用“宽口径授权”的个人信息行为纳入规制范围的情况下,通过司法机关“以刑制罪”的逻辑推理,在罪行法定原则的指引下,准确、合理地适用恰当罪名,可以有效地规制此类行为。本文以“宽口径授权”情形下网络平台运营商滥用个人信息行为的刑事规制为视角,通过界定“以刑制罪”的含义,论证其适用的基本原则,分析其在滥用个人信息犯罪案件中适用的具体规则。
一、滥用个人信息刑事制裁的必要性
滥用“宽口径授权”获取个人信息的行为在我国刑法上并没有直接规定为犯罪行为,这是刑事立法的缺陷。滥用“宽口径授权”个人信息的行为利用“合理”授权的形式,是非法滥用型侵犯公民个人信息行为,严重侵犯了个人信息的自主权,威胁公共安全,具有社会危害性,应负刑事责任。
(一)刑法上侵犯公民个人信息罪的立法缺陷
1.刑事立法以制裁非法转移型侵犯个人信息行为为主。我国刑法对侵犯公民个人信息行为的制裁,主要围绕作为共同规制的可罚性行为类型——非法转移型侵犯个人信息行为而展开。规制该行为的意义在于无论是制裁非法侵入获取公民个人信息的行为还是制裁非法提供、获取或泄露公民个人信息行为,都是通过制裁对公民个人信息的非法转移行为来实现对公民个人信息的保护。[1]这一保护思路在网络时代开创初期有较强的针对性,因为那个时代的网络技术才开始起步,对网络的使用也仅仅停留在较为简单地获取新闻与资讯的阶段,以搜索引擎为代表的网络运行,使用者在网络中遗留的个人信息非常有限,网络以信息输入为主而不是信息输出为主,因而在网络初期侵犯公民个人信息犯罪还是以泄露、非法提供和非法获取行为最为典型。[2]
随着互联网技术的进一步发展,公众对网络的需求开始多样化,不再满足于简单的信息获取,而是从生活、工作各个方面开始与互联网融合,互联网的商业价值得到巨大提升,在互联网与人们生活高度融合的情况下,公众与互联网之间的关系模式便不再是单向的信息输入型模式,而是信息输入与输出并重的模式。公众通过网络购物、制定出行计划、安排工作、学习与交流的方式不断遗留大量个人信息,这些个人信息被网络运营者通过合理、合法的方式(用户授权等)进行收集与保存,并在之后为其获利提供帮助。刑法仅仅通过制裁“非法转移行为”来实现对公民个人信息的保护显然不够,难以适应互联网时代个人信息侵权行为复杂多变的形势,“合理获取、不当滥用”的行为在客观上构成对个人信息自主使用权的侵害。我国刑法目前对这类侵害信息自主使用权的行为缺乏规制,只对个人信息自主转移权进行保护,但信息自主使用权比信息自主转移权更有保障的必要性与价值。正因为对信息自主使用权能保护的缺失导致刑法对滥用型侵害公民个人信息的行为出现规制漏洞,造成对公民个人信息的保护乏力。①
2.刑法上侵犯公民个人信息罪司法适用的局限性。一方面,我国现行刑法第253条没有将滥用“宽口径授权”获取的个人信息认定为犯罪行为。因我国刑法支持个人信息转移自主性,从而忽视了对使用自主性的规制,在司法适用上认定只要坚持遵循个人信息转移的自主授权就不构成违反国家规定,从而不直接构成犯罪。很多侵犯公民个人信息的犯罪主体就是利用法律规定的漏洞将其行为合法化。在信息转移途径多样化的背景下,信息获取者可以通过相对隐蔽的手段利用各种便利条件诱导信息主体进行合法的自主授权,再通过“隐私换利益”这一路径或第三方转授权的方式轻而易举地运用合法的手段获取需要的个人信息。例如,手机APP平台用注册登记会员获取优惠券的方式吸引大批客户通过注册获取个人信息,该行为模式并没有直接违反国家有关个人信息保护的禁止性规定,只是在填写注册所需个人信息内容的范围上远远超过了该平台所需的个人信息。
另一方面,网络运营商利用“宽口径授权”获取的个人信息非法获利可以有效规避“拒不履行信息网络安全管理义务罪”。除了现有刑法第253条之一对侵犯公民个人信息犯罪进行直接规制外,还有针对公民个人信息犯罪的间接规制[3],其中适用范围最广、使用频率最高的便是针对网络运营商的“拒不履行信息网络安全管理义务罪”,该罪是对网络平台服务商和运营商最有效的规制条款。但是,现有对个人信息合法获取的方式也能够有效规避该罪。网站、APP运营方等转授权或提供授权接口形式都难以被认定为“拒不履行信息网络安全管理义务罪”规制的信息主体,司法实践中难以认定其没有尽到网络安全管理义务而导致信息泄露。在“宽口径授权”常态化的背景下,网络运营服务方通过获取用户的个人信息,再设置强制授权或隐蔽授权条款引诱客户同意转授权或提供第三方授权通道,这样的方式可以使网络运营商将已经获得的用户个人信息作为资产进行转卖以实现商业套利,将个人信息利益最大化。而一旦用户对其进行了“宽口径授权”,运营商将发生个人信息泄露的风险责任转移至用户本身,网络运营及服务商不再需要承担个人信息泄露的责任。[4]
此外,如果滥用个人信息只是犯罪的辅助手段,其真实目的是其他犯罪行为,例如诈骗或者利用个人信息进行网络犯罪活动等,尚且可以通过预备犯、帮助犯、竞合犯的概念结合实际所犯罪行合并处理。但是,在大数据背景下,滥用个人信息的行为大部分是以辅助决策、商业判断等行为出现,其本身并不是犯罪活动,此种滥用公民个人信息的行为,司法实践中缺乏相应的制裁依据。
(二)非法滥用个人信息行为的社会危害性
一是非法滥用个人信息行为造成当事人的人身和财产损害。大数据时代个人信息具有经济价值,网络对个人信息的利用将由获取型模式转变为使用型模式。传统刑法保护个人信息的理由即在于信息的可识别性,它决定了泄露或不当使用个人信息将造成当事人的人身和财产损害,所以刑法保护该法益。正是基于这一特征,对可识别信息的自主控制就成为个人信息权的具体权能之一[5],然而随着信息时代的发展,在个人信息电子化交换和大量个人信息被利用以获取经济利益的背景下,个人信息所有主体和控制、使用主体分离已经成为常态,逐步形成了个人信息非独占、可复制、不可控的突出特点[6],个人信息可以被他人轻易转移和使用而导致个人信息主体不能对自己的个人信息进行自主控制,这也反映出个人信息主体对个人信息自主权能保护的困难。正因如此,为保护国家管理秩序以及个人信息自主权,将个人信息自主权能纳入法律保护的范畴刻不容缓,特别是当下对个人信息权利保护处于极端弱势的状态,侵害个人信息现象大量发生,而现有技术手段无法对其进行严格防范。基于这一理由,近年来我国刑法已经开始重视个人信息权的保护并修改完善个人信息犯罪的相关内容,其中最典型的便是设立保护个人信息的专门罪名。但即便如此,侵犯个人信息的行为依然没能得到有效遏制,其主要原因在于现有刑事立法观念在个人信息保护的法益认识方面存在局限,对信息主体个人信息自主权能的认识不够全面,法条强调对个人信息转移自主权能的保护却忽视了自主使用权能的控制,只对非法转移的行为进行制裁。然而,个人信息自主使用已经成为个人信息的核心权能,必然成为法律对个人信息保护的目标和落脚点,对个人信息经济价值的追求已经成为各类侵犯个人信息违法犯罪行为的深层诱因。仅从信息转移自主层面对侵犯个人信息犯罪行为进行规制是治标不治本,根本对策还是要加强对个人信息使用自主权能的保护,个人信息使用自主比转移自主更具刑法上法益保护的必要性。
二是非法滥用个人信息行为损害法律秩序。刑法须恪守谦抑,不能过度干预社会生活,否则会造成刑法滥罚的风险。因而,即使从法益的角度来看具有法律惩罚的必要性仍然不能轻易使用刑法,只有其他部门法(例如民法及行政法等)无法对其进行全面规制,或对其规制仍然无法消除其行为所造成的恶劣影响时,才具备刑法进行规制的必要性。诚然,现有的民法规范和行政法规范对个人信息使用自主权有一定的保护措施,但其保护措施还只是原则性的,可操作性不强,缺乏明确而具体的保护标准,这给个人信息的自主使用权能保护带来了一定的困难。
从行政法层面来看,与个人信息最直接相关的是《网络安全法》上的保护条款:网络运营者收集、使用个人信息需要公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意[7];个人发现网络运营者违反法律、行政法规的规定,或者违反双方约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息[8]。这一规定对个人信息使用自主的保护集中在两个方面:规定收集、使用个人信息的前提条件,即收集者必须对所收集的个人信息的使用规则(使用目的、方式和范围)有明确的公示;赋予信息主体相应的救济手段,即发生侵犯其个人信息的情况后,有权要求收集、使用主体删除其所使用或发布的个人信息。[9]这一规定在一定程度上保护了信息主体的个人信息权能,但是却缺乏对个人信息滥用型违法行为的规制,只规定了相关前置责任,并没有对滥用行为本身进行规范,不能有效遏制滥用个人信息的违法行为。
在民法规范上亦存在同样的问题,《民法典》 对个人信息的保护主要集中在个人信息主体的权利(防止侵害要求删除的权利)、个人信息处理的原则和条件(公开使用目的、使用范围、使用规则等)、信息处理者的安全保障义务(采用必要措施防止所收集、使用的个人信息被篡改、泄露、丢失)、国家机关和承担行政职能的法定机构及其工作人员的保密义务。这些规定虽然在一定程度上保护了公民的个人信息权能,但对滥用个人信息的行为缺乏明确的具体规制,因此难以遏制公民个人信息滥用的行为。
三是非法滥用个人信息行为具有可罚性。一方面,只对造成个人实际损害的违法行为予以制裁。受现有刑事政策的影响,为保持经济发展的活力,国家对适当利用公民个人信息并且没有给个人的精神及实体利益造成实际损害的收集和利用行为总体上持肯定态度。因而在已经获得授权的前提下,对个人信息的利用若没有造成个人的实际损害,则不能以“授权内容过于宽泛,其使用途径不符合内心期待为由”将其纳入犯罪行为进行刑事规制。另一方面,只对产生严重社会危害的滥用行为予以制裁。社会危害是一个宽泛的概念,对此类行为的入罪必须控制在社会危害性较大的层面,只有引发各种公共危机或在短时间内造成大量个人信息泄露和滥用的行为才能被视为严重的社会危害程度。除此之外,刑事法律在对此类行为的制裁上应保持谨慎、谦抑的态度,不能轻易对其实现刑事制裁,否则会影响网络信息科技发展的积极性,抑制互联网经济的社会活力。
二、“以刑制罪”的含义与适用原则
“宽口径授权”下的滥用型侵犯公民个人信息的犯罪行为,是以强制要求用户授权的形式,将所收集的用户个人信息转卖给其他机构和个人,这种对用户个人信息的严重侵犯行为在我国现有刑法规定中没有相关法条予以规制,因而在法律上留下灰色地带,给网站及APP留下了侵犯用户个人信息的空间。在法律无法及时修改的情况下,如何适用现有法律对滥用个人信息造成严重危害的行为予以制裁成为迫切需要解决的问题。“以刑制罪”的提出为解决这一问题提供了可能。
(一)“以刑制罪”的含义
“以刑制罪”也称“以刑定(议)罪”②“刑罚反制”“逆向定罪”“量刑反制定罪”③等,虽然称谓各有不同,但其逻辑推理一致。[10]“以刑制罪”提出的首要目标就是解决法官在疑难案件中无法适用或无法准确适用法条进行定罪量刑的问题,为了防止量刑失衡,开始对传统的定罪量刑司法逻辑予以发展,试图建构一种新的司法逻辑来解决司法实践中的问题,“以刑制罪”作为一种司法逻辑开始被关注。其逻辑推理的基本支点在于:主张刑罚对罪名的选择具有约束作用,提出优先作出罪与非罪、此罪与彼罪的判断,再寻找合适的罪名定罪量刑。可以说“以刑制罪”的提出打破传统定罪量刑模式的单一逻辑推理,提出了一种新的逻辑推理方法,当判定某些具有社会危害性的行为是否构成犯罪以及此罪与彼罪的界分出现困难时,不采用先定罪后量刑的传统逻辑推理方式,而从反向予以推理,先衡量行为的社会危害性应否处以刑罚,应当判处什么样的刑罚,然后再根据可能科处的刑罚选择最相适应的刑法条款,确定成立何种罪名。[11]
“以刑制罪”的提出及发展,给诸多罪名不明晰、无法适用法条的犯罪行为的认定提供了可能,因而成为世界范围内运用的司法适用逻辑,我国司法实践中也常常运用这一逻辑推理。
例如,2010年9月,被告人王某将刀架在其前女友刘某颈部,威胁被害人刘某及其父母还有围观群众,不许靠近、报警,并进一步威胁刘某与其恢复恋人关系。后王某被众人制服,在被挟持的过程中,被害人刘某被王某划伤左面部及右颈部,后被鉴定为轻伤。公诉机关认为,王某因感情纠纷问题绑架他人并将其作为人质,致人轻伤,情节较轻,其行为触犯了《刑法》第239条之规定,应当以绑架罪追究其刑事责任。被告人王某对起诉书指控的事实和罪名均无异议。被告人王某的辩护人则认为王某的行为不构成绑架罪。一审法院认为,被告人王某因不能正确处理与被害人的感情纠纷,致伤害被害人身体并造成轻伤的后果,其行为已构成故意伤害罪,应予惩处。公诉机关指控被告人王某犯罪事实清楚、证据充分,但指控的罪名有误,应予纠正。[12]被告人王某无主观上实施绑架被害人刘某的行为故意,客观上未提出索要钱财或其他非法要求,其行为不符合绑架罪的构成要件。最终判决被告人王某犯故意伤害罪,判处有期徒刑一年六个月。
从这个案例我们可以看出,针对被告人王某的行为适用绑架罪是很勉强的,本案中王某的客观行动没有完全体现出其想绑架刘某的目的。绑架罪所处的刑罚非常严厉,根据现行刑法的规定绑架罪有两个法定的量刑档次……绑架他人作为人质的,处十年以上有期徒刑或者无期徒刑……情节较轻的,处五年以上十年以下有期徒刑。即使是情节较轻的情况下,犯绑架罪的被告人也将被判处至少五年及以上有期徒刑,与此相比较,故意伤害罪的情节较轻,只处以三年以下有期徒刑、拘役或者管制。且公诉机关为了平衡量刑将其行为直接认定为情节较轻而没有任何事实和理由支持,这无疑是公诉机关为了消除罪刑失衡所做的解释。最终法官意识到,按照正常的定罪量刑逻辑无法给予本案被告人一个罪责刑相适应的司法判断,因此,法官摒弃了传统的先定罪后量刑的思维路径,而采用绑架罪法定刑对其构成要件反制这一逆向逻辑推理,试图对绑架罪的犯罪构成进行准确解释,最后再进行是否最终适用的判断。绑架罪的犯罪构成应当与其严厉的法定刑相对称,也就说应当将绑架评价为一种后果十分严重的行为,结合我国现有刑法的规定,绑架罪需要以勒索钱财为目的,当绑架他人做人质时,则应当提出重大不法要求。根据“以刑制罪”的逻辑推理,应当将轻微行为排除在绑架罪的范围之外,故本案被告人因一时冲动的行为且没有造成重大不法伤害,其行为并未达到刑法对绑架罪的严厉评价程度,不能适用绑架罪。很难想象立法者对绑架人质索要几千元或者轻微的不法需求也要判处十年有期徒刑。对于绑架罪的合理解释应当是,被科以重刑的绑架罪应当是那种勒索巨额赎金或提出重大不法要求或造成严重的人身、财产损害后果的行为。
(二)“以刑制罪”的适用原则
第一,结果正当性原则。即在对包括网络信息犯罪行为在内的刑法评价过程中,需要对传统的犯罪构成要件存在一定程度的扩展解释,这是在个案中,法官倡导的依照合理的犯罪认知对其进行独立解释的原理,目的在于达到实质公平的要求。[13]通过对上述要求的进一步深化可以表述为实质评价思维,这种思维是以定罪量刑结果的正当化为第一步所要考虑的因素,首先得出符合大众普遍的正义认知和社会价值取向的定罪量刑结果,再以“逆向回溯”思维对构成要件、违法性和有责性进行合理的反向解释。这种以结果正当性为首要目标所进行的逻辑推理即为“逆向定罪”或“结果先行”的思维逻辑推演过程。[14]
第二,重大正当利益原则。“以刑制罪”必须符合刑事政策的相关要求,刑事司法活动是一种建立在法条释义基础上的价值判断活动,作为价值判断活动其最大的特点便是能动及功利主义,现实主义法学与功利主义从来都紧密相连,这种联系主要体现在两个方面:一是从司法层面来看其运用是对“实质正义”的能动追求;二是从刑法解释学的层面来看,因由刑入罪的解释路径不可避免地受到刑事政策的影响,是“跨越李斯特鸿沟的一种路径选择”[15]。有学者主张对构成要件的解释结论必须“贯彻于体现相应条文背后的刑事政策意旨与价值取向”[16]。这便要求法官在裁判案件时要充分发挥其主观能动性,与时俱进,保持其适当的灵活性,拒绝僵硬适用法条。但是这种能动性必须服从于重大正当利益的权衡,“以刑制罪”是追求实质公平的司法评价,故其适用必须为了保证重大正当利益而有限运用。
第三,实质推理原则。法官在运用“以刑制罪”裁决案件的过程中,不可避免地侧重对法条的形式解释而缺乏真正意义上的实质论证,这是因为在长期的司法裁判过程中,司法实务界形成了“以法条为中心以各类文件要求为辅助”的裁判依据模式,造成法官逐渐沦为审判机器。因此,在运用“以刑制罪”时,在罪刑上必须进行实质性法律推理。因为“以刑制罪”与以往的顺向逻辑推理的先定罪后量刑模式不同,是必须分析行为人实施的犯罪行为并寻求其所对应的刑罚,进而确定最终罪名的逻辑推理过程。在这个过程中法官并没有明确的法条为断案依据,只能通过对行为人行为的实质推断来认定其行为的性质及所需判处的刑罚与罪名,故“实质的推理对疑难案件的处理更是具有不可替代的作用,因为它更能明察和纠偏不合理的法律规定,维护社会整体利益与价值观,增加判决的正当性和说服力”[17]。
第四,综合效果评价原则。为了实现司法判决法律效果与社会效果的统一,在运用“以刑制罪”裁决案件时需要考虑其最终判决是否最佳。这就要求裁判必须体现司法的基本价值,符合社会主义核心价值观。法官既要恪守罪刑法定原则的基本要求,以维护法的安定性,又要敢于打破僵化的教条主义,以实证标准及司法判决的综合评价来检验“以刑制罪”在疑难案件中的适用效果。
第五,罪刑法定原则。必须正确理解“以刑制罪”逆向逻辑推理与罪刑法定原则之间的关系,“以刑制罪”在本质上并不是对罪刑法定原则的违背,而是在罪刑法定原则下对违法行为作出的有罪判断,运用“以刑制罪”的前提是罪刑法定原则。在通常情况下,司法机关的定罪思路是分析案件案情——分析构成要件——匹配相关罪名,形成对犯罪行为的三段论定罪逻辑思路。“以刑制罪”的逆向逻辑推理则经历两个相互关联的推理阶段,第一个阶段是分析案件案情——分析构成要件——无罪名匹配或罪名匹配不合理;第二阶段则是确立构成犯罪——寻找合适罪名相匹配。从其定罪的逻辑进路可见,“以刑制罪”的逻辑演绎进程必须先经过三段论的推导,其第一阶段是传统的三段论推导,当三段论推导无法得出合理的结果时才启动第二阶段的反推逻辑,可以说第二阶段的逆向推导实际是对第一阶段结果不合理的一种补充推论,相当于第一阶段的延长。[18]“以刑制罪”逆向逻辑推理从本质上来说是符合罪刑法定原则要求的,是对罪刑法定原则的一种补充。因此,部分学者将“以刑制罪”逆向逻辑推理当作罪刑法定的违背予以坚决排斥。但“以刑制罪”作为司法裁判综合判断的方式,已经在实践中得到了广泛的运用,其弊端虽不可避免,但不可否认其打破常规逻辑推理运用逆向逻辑推理的裁判方法为许多疑难案件的解决提供了帮助。[19]当然“以刑制罪”逆向逻辑推理在疑难案件定罪中所发挥的积极作用,不能对抗传统的三段论定罪法则,毕竟传统的三段论逻辑是罪刑法定原则最根本、最集中的体现,在大部分案件法律适用中法条的规定是明晰、准确的,法官可以直接根据法条的相关规定进行合理的定罪量刑。因此,绝大部分司法审判活动仍然需要遵循常规逻辑推理裁判思维,法官在能动的解释和运用法条时必须遵守罪刑法定原则以保证司法公正。[20]“以刑制罪”的逆向逻辑推理同样符合罪刑法定原则,它是以构成要件为核心的刑法学与社会基本伦理道德之间的桥梁,而不应被当作肆意损害刑法安定性的破坏者。[14]因此,法官在运用“以刑制罪”进行定罪量刑时,必须先经过罪刑法定原则所支撑的三段论逻辑推演,只有在其推演结果得出不合理结论时才可谨慎使用“以刑制罪”进行逆向思维,并且在推演过程中不得随意创设法律条文及罪名,也不能随意创设法定刑,必须在罪刑法定原则的严格限制范围内合理运用。[21]
三、“以刑制罪”在侵犯公民个人信息罪中的运用规则
“以刑制罪”作为传统三段论推演逻辑的一种补充,为“宽口径授权”侵犯公民个人信息行为的定罪问题提供了一种可能的参考途径,但需要明确的是,“以刑制罪”的适用必须遵循相应规则,保持必要限度,只有在传统的三段论推演逻辑无法进行罪名认定的情形下,而现实需求又存在刑法进行打击的必要性前提下才能考虑是否应当适用“以刑制罪”进行定罪的逻辑推理。
(一)侵犯公民个人信息罪适用“以刑制罪”的内在需求
第一,我国刑法的规定不能直接发挥制裁所有侵犯个人信息犯罪行为的功能。刑事立法的缺陷以及传统的单一逻辑推理方式,不能给予侵犯个人信息犯罪的行为及时予以制裁,法条的缺失促使司法机关需要运用新的逻辑推理对犯罪行为进行全面判断,“以刑制罪”的逆向逻辑推理能够帮助法官准确适用刑法,可作为弥补措施来缓解因法律规定不足引发的适用困境。
第二,国家逐渐重视个人信息安全建设,加强对侵犯个人信息的刑事制裁。2020年10月13日《个人信息保护法草案》进入审议阶段,表明国家对个人信息安全防范的重视。该草案明确规定,处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或服务。一些网络平台利用用户大数据推送个性化广告,草案对其强调通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。可以看出,还在审议中的《个人信息保护法草案》对“宽口径授权”后再转卖第三方网站或APP用以分析用户喜好并向其推送相关商业信息或广告的行为予以限制,为了加强个人信息更深层次、更广泛的保护,必然逐步完善刑事法律,加强对侵犯个人信息违法行为的刑事制裁。受刑事政策导向的影响,在没有明确法条可以适用的情况下,当侵犯公民个人信息的行为严重损害个人权利与社会公共利益时,需要刑法给予制裁,此时“以刑制罪”的运用就显得十分必要。
(二)“以刑制罪”司法适用的现实空间
第一,制裁滥用个人信息行为的需要。网络经济的迅速发展,大数据的运用,个人信息带来巨大的商业价值,在经济利益驱动下,形成以非法收集、买卖、利用公民个人信息的产业链。侵犯公民个人信息的违法犯罪行为逐年递增,受刑法滞后性的影响,对一些新型的侵犯公民个人信息犯罪无法及时适用刑罚,尤其是滥用型侵犯公民个人信息行为“合法”存在,为了制裁这些严重危害社会和个人的行为,司法机关不断扩大刑事法相关条文的解释,以回应个人信息使用权保护的需求。然而司法解释本身的局限性使之难以全面而持久发挥作用,亟须通过更新传统司法逻辑思维,加强定罪量刑的司法认定并对审判行为进行重新排列组合。[22]“以刑制罪”模式的提出恰好能够弥补这一缺陷,追求实质公平的“以刑制罪”逻辑推理,通过逻辑反推方法,对犯罪行为的本质进行合理解释并通过对行为的危害性判断,对应刑法上的罪名予以适用。
第二,实现刑事制裁社会效果与法律效果统一的需要。对滥用个人信息犯罪的刑事制裁不能片面追求法律效果,而要兼顾公民诉求的社会效果。与过去侵犯公民个人信息犯罪行为集中于非法转移、买卖个人信息行为不同,当下侵犯公民个人信息的违法犯罪行为常常是在“合法”外衣下的非法行为,其行为具有隐蔽性、损害程度的严重性等特点。为司法机关的侦查、公诉和审判活动增加了难度,由于滥用个人信息与“宽口径授权”相关,传统的“扩大解释”“合理解释”等显然无法解决定罪量刑的认定问题,需要发挥法官的主观能动性,改变其“由罪至刑”的传统三段论的定罪量刑逻辑推理,通过判断其行为应受惩罚性以及可罚性,再适用合适罪名,通过判决实现“法律效果”及“社会效果”的统一。[14]
(三)“以刑制罪”在侵犯公民个人信息罪中的运用
第一,在个人信息犯罪的刑事规制中,“以刑制罪”只能在滥用型公民个人信息犯罪行为中适用。产生此种规则的原因有二,一是现有刑法条文关于侵犯公民个人信息罪的规定已经覆盖了滥用公民个人信息之外的其他行为,因此针对其他侵犯公民个人信息犯罪的行为使用一般的逻辑三段论进行解释推理就可以解决定罪量刑的问题,不需要再使用“以刑制罪”的逆向逻辑推理。二是“以刑制罪”作为罪刑法定原则的补充,因其通过行为性质进行定罪的逆向思维与传统三段论推理存在差异,只能在符合罪刑法定原则的基础上才能适用,否则将违背其初衷与刑事法基础。因此,严格限制“以刑制罪”的运用是保证罪刑法定原则的有效手段。
第二,“以刑制罪”在滥用型个人信息犯罪中的运用必须以社会整体利益为考量因素。“以刑制罪”打破了以往传统三段论的定罪量刑逻辑,是对传统定罪量刑模式的创新与发展。法官在裁决案件时必须考量其适用后的利弊得失,若仅仅为了制裁轻微损害而适用“以刑制罪”,则收益甚微,弊大于利,甚至可能导致对罪刑法定原则的损害。所以,衡量利弊得失成为是否适用“以刑制罪”的关键所在。刑法以保障个人自由与社会秩序两大价值为己任,因而只有损害这两大价值的犯罪行为才能对社会整体利益构成威胁。[23]有鉴于此,“以刑制罪”的运用应强调该行为严重侵犯了社会整体利益,构成重大损害,属于犯罪行为。如因滥用个人信息行为造成被害人伤亡、巨额财产损失,或者波及人数众多、造成恶劣社会影响等情况下才能适用。
第三,“以刑制罪”的运用须遵循规范的逻辑推理。在滥用公民个人信息犯罪行为的案件中,首先必须要考虑其行为的损害程度和社会危害性,从而将严重的滥用公民个人信息犯罪行为纳入刑法制裁的范畴。在此前提下,对此类犯罪行为运用“以刑制罪”的逻辑推理便会产生三种结果:一种是构成侵犯公民个人信息罪,其犯罪行为主体是APP及网络运营商,其行为符合强迫用户进行“宽口径授权”并将收集到的用户个人信息转售给第三方网站,或对其进行开发利用并获取经济利益的行为,应当认定为侵犯公民个人信息的犯罪行为。在此类案件中,“宽口径授权”并不是用户自愿授权,而是平台及网络运营商以用户对其产品或应用的使用权限为筹码,强迫用户接受“宽口径授权”,用户为了能够使用该应用或网络服务只能被迫授权,这些霸王条款虽在法律形式上具有“合法性”,但在实质上仍然是一种违背当事人真实意愿的非法行为,故此类行为的合法性本身值得质疑,不应将其作为对抗法律制裁的理由。其次,判断此类行为是否属于以非法买卖及使用公民个人信息为基础的侵犯公民个人信息的非法行为,是否符合刑法第253条之一的犯罪构成以及侵犯公民个人信息罪的相关情节并进行定罪量刑。另一种便是不构成犯罪的情况,即获得“宽口径授权”的应用平台商及网络服务商在转售或利用其所获得的用户个人信息时重新取得了用户的同意,在这样的情况下,因用户的再次授权使得其行为具有合法性基础,故不构成非法行为。最后一种是构成其他犯罪的情况,例如强迫用户进行“宽口径授权”的平台和网络服务运营商的后续非法行为可能会触犯刑法第286条之一“拒不履行信息网络安全管理义务罪”等,应当按照刑法的这一规定定罪量刑。
四、结论
总的来说,虽然我国刑法对侵犯公民个人信息犯罪予以制裁,但在“宽口径授权”的情形下,网络平台和运营商利用自己提供服务的优势地位,强迫用户接受提供个人信息的霸王条款。一些网络平台和运营商将收集到的个人信息转卖给他人谋取经济利益,导致滥用个人信息的行为激增。而现有刑法并没有将此类严重损害个人利益和公共利益的行为直接规定为犯罪行为,为了有效制裁滥用个人信息的行为,在遵守罪刑法定原则的前提下,司法机关谨慎、合理地运用“以刑制罪”逻辑推理对“宽口径授权”情形下滥用个人信息造成严重损害的违法行为追究刑事责任。此举对维护公民的个人信息使用权、隐私权、生活安宁权,维护公共安全和社会秩序,保障经济持续发展有显著增益[24],同时“以刑制罪”逻辑推理必须遵循正当性原则和罪刑法定原则,且仅适用于滥用型个人信息犯罪案件。
注释:
①第三方插件授权型滥用是指,手机或电脑APP在使用APP或软件时,需要使用者授权同意软件开发商的霸权条款,这些条款中就有不少内容是针对使用者个人信息的获取的,一般都强制要求使用者授权同意开发商能收集其个人的相关信息并有权转让给第三方使用,或者允许开发商自由的进行广告推广,而这些插件和广告推广都是使用者为使用这款软件而付出的代价,实际中这些铺天盖地的广告推广和插件严重影响了使用者对软件的体验,常令使用者感到被打扰,这也是对使用者个人信息的侵犯。
②以刑定罪指从法定刑或者刑罚的角度对定罪进行制约。例如阮齐林认为:“法律规定具有有效性并且符合立法者真实意图是解释法律的基点。在法律尚未修改之前,至少应当在现行立法框架内作出解释、达成共识。”参见阮齐林《绑架罪的法定刑对绑架罪的制约》(《法学研究》2002年第2期)。
③有的学者倡导“以量刑反制定罪”。例如:梁根林认为,在某些疑难案件中,可以从量刑妥当性的基点出发,反过来考虑与裁量的相对妥当的刑罚相适应的构成要件,以决定该定什么罪,称之为“以量刑反制定罪”。参见梁根林《现代法治语境中的刑事政策》(《国家检察官学院学报》2008年第4期)。高艳东认为:“正确认定罪名只有手段性意义,判断罪名只是为公正量刑服务的,量刑才是刑法重心。定罪应当为量刑公正而让路,如果常规判断的罪名会使量刑失当,就可以为了公正量刑而适度变换罪名。”参见高艳东《量刑与定罪互动论》(《现代法学》2009年第5期)。
