滥用公民个人信息行为的刑法保护路径研究
——以个人健康信息为例
2022-03-02龚珊珊
龚珊珊, 李 韬
(东南大学 法学院, 江苏 南京 211189)
一、问题的提出
滥用公民个人信息行为需要纳入刑法规制。以个人健康信息为例,数据时代的到来给医疗健康行业带来了新的发展,为医疗服务需求者提供了更为精准、便捷、个性化的优质医疗服务,公民个人为了享受数据时代下更为优质便利的个性化医疗服务,也愿意主动将自身的健康信息提供给相关机构平台,于是个人健康信息在社会中的流动便成为常态。然而,随着数据时代背景下个人信息的商业价值属性日益凸显,个人健康信息的滥用危机逐渐显现。尽管某项孤立的健康信息的泄露乃至被滥用或许并不足以危及个人生活的安宁,但当许多项健康信息汇聚在一起,特别是当包含具有专属性的生理纹理、基因图谱等信息时,组合起来已经可以指向某一特定的个体。这些信息倘若被滥用,必然会对个人隐私及社会安全产生极大影响。过度追求刑法“关注理想的原则”而忽视“关注需求的原则”则易导致人们在面对个人信息危机日趋严重的现状时,仍然只能“主要依赖脆弱的技术手段,不知瞬间会发生何种灾难”[1]12。当个人信息对主体的识别性不断增强,公民个人信息具有巨大的商业价值,实践中滥用公民个人健康信息的案例频频发生而技术手段难以防范,刑法其他罪名越来越无法如传统时代一般能够对滥用公民个人信息行为进行附带性评价时,刑法应当适时介入并且提出有效的规制方式。在面对只能科处较轻刑罚的行为时,应尽可能注重类型性,避免处罚漏洞[1]17。
针对《中华人民共和国刑法》(以下简称《刑法》)、《中华人民共和国民法典》(以下简称《民法典》)以及《中华人民共和国网络安全法》(以下简称《网络安全法》)等与保护个人信息有关的法律都只进行源头转移规制或对使用阶段过于原则性保护的现状,将个人信息的使用与搜集进行平等的保护,不仅是出于科学技术手段日渐复杂且对其监管难度日渐增大的紧迫性,也是出于法律对权利在各个阶段滥用的规制方式皆需要日益完善的考虑;也不仅是出于对数据时代公民隐私权的保护,防止公民个人信息被滥用后出现无法律保障底线的局面,更是出于对罪刑法定原则成文法主义及刑法明确性原则的遵守,防止刑法因无明确的条文规制而陷入“不是不管就是乱管”的局面的考虑。“既然刑法的任务是保护法益,而违法的本质是侵害法益,那么,对违法(构成)要件或客观构成要件的解释理所当然必须以法益概念为指导。”[2]可见,有效的规制必须以法益保护目的为指导。因此,笔者认为,有必要对侵犯公民个人信息罪的具体法益及法益属性进行符合数据时代特征的解释。
二、个人信息的滥用现状及刑法规制困境
随着数据时代的不断发展,人类社会在获得数据红利的同时,也面临着数据洪流下个人信息被泄露、滥用的风险。数据共享与隐私泄露犹如一枚硬币的正反面,科学技术的核心是增强从海量的数据中提取有效信息并加以使用的能力,以实现数据的增值效益,但与此同时,这也可能预示着个人隐私失控的开始。科学技术的深度发展,使得商业主体为攫取利益而侵犯个人信息的手段更具有隐蔽性。一方面,公众不再满足于对各类信息的简单获取,而主动将个人生活与互联网进行更深层次的融合,因此大量个人信息已不再处于传统意义上的保密状态;另一方面,商业主体滥用个人信息的方式通常表现为概括同意式的“合法”获取后的不当利用,侵害个人信息权的方式也从传统的获取型侵犯转化成新兴的使用型侵犯。然而,网络社会与现实社会深度交叠的当下,个人信息所有权与控制权已不如传统时代一般不可分割,个人对信息的控制权能已逐渐成为个人信息的重点保护对象,法律也应当将保护目标更多地朝向个人控制权能。
(一)个人信息的滥用现状
以滥用个人健康信息为例。个人健康信息是指在疾病预防、体检、诊断、治疗、医学研究过程中所涉及的个人身体、精神的健康状况和家族病史等信息[3]。数据时代的到来,带来了数据技术在医疗健康行业的广泛应用,使得个人健康信息得到了更加充分的开发利用,从而可以为医疗健康服务需求者提供更加精准、便捷、个性化的优质医疗健康服务。但是,个人健康信息由于具有极高的敏感性和私密性,一旦泄露无疑会给当事人带来极大的影响,而个人健康信息数据化同时意味着个人健康信息有被滥用的风险。作为个人信息这一符号系统中的一种,健康信息关联着特定个人,反映着个体特征,具有识别性[4],如个体的生理纹理、基因图谱,这些信息犹如个人身份证,记录着个体独一无二的信息,一旦被不法分子加以利用,不仅涉及被害人的隐私,还可能关系到被害人的财产乃至人身安全。例如,不法分子将获取的个人健康信息用于精准广告推销甚至诈骗,便极有可能给信息主体带来财产安全隐患;不法分子假冒信息主体身份进行违法活动,使得信息主体的社会信用评价降低,将其原有的平稳生活置于麻烦和困境之中。
数据时代,个人健康信息已然成为饱含商业价值的矿藏,因而也成为了各类商业主体竞相追逐的对象,许多信息服务提供商纷纷推出了健康管理软件或平台。这些信息服务提供商在用户使用其产品前,往往会通过提供健康服务的优惠措施或者若不签署同意个人信息转移的合同就不提供产品服务的方式来诱惑、强制个人同意授权其健康信息。此类合同又往往过度收集用户除健康信息之外的个人信息。而根据此类合同内容,滥用个人健康信息的行为一般具有两种表现形式:一是行为人以公司名义与被害人签署同意授权获取个人健康信息合同,而事实上,该公司名下通常有多款不同类型的应用程序(App)或者服务平台,具有投资理财、医疗保险等涉及范围广泛的功能,被害人误以为该信息只关乎健康平台服务,殊不知行为人名下的所有网络服务平台皆已“合法”分享信息。而一旦认定被害人的个人健康信息对行为人无商业利益可言,行为人将通过技术手段限制或剥夺被害人的多项社会权利,如投资理财、申请保险等。二是该类合同通常附有强制性或者隐藏性的转授权条款,使得被害人一旦签订合同就意味着同时同意授权第三方网络服务平台获取个人健康信息,而行为人从中套取利益。行为人无论通过哪种方式滥用公民个人健康信息,从目前刑法规制方式来看都是合法的,被害人不仅缺乏有效的手段反对和阻止个人健康信息扩散[5],而且个人信息泄露的风险也早已被合法转嫁给自身。
(二)刑法规制困境
自2021年11月1日起施行的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正是一部针对App过度收集个人信息,进而向用户提供个性化推荐和精准服务或者进行“大数据杀熟”等一系列使得公民感到隐私被“围观”的现象而制定的法律。该法律不少条款均体现了对个人控制信息权能的关注,大幅限制了个人信息获取人的权利,并对其提出了较严格的义务要求。例如,个人信息获取人在处理公民个人信息时应当征求个人同意,若处理事项发生重要变更还应当二次征求个人同意,且个人有权撤回同意,个人信息获取人也不得以个人不同意为由拒绝提供产品或服务。严苛的责任设置表明,国家为加强对公民个人信息的保护,必将不断完善法律。但是目前在刑法实践中,对非法提供(出售)、获取、泄露公民个人信息等转移型行为适用侵犯公民个人信息罪的案例十分常见,而相较于非法获取个人信息行为,对被害人隐私权在空间侵犯上更广、后续影响更深的滥用行为的刑法规制案例数量却寥寥无几。可见,中国刑法侵犯公民个人信息罪是存在规制缺陷的。
首先,在客观现实方面,因科技发展及数据核心价值变化,刑法存在外部与内部两方面的滞后性。在外部,刑法作为最后的必要性规范,只能当具有规范保护必要性的法益在其他规范如民事、行政法规范严重缺失或难以发挥作用、特定法益面临亟待刑事规范介入保护的严重侵害风险时,才能够发挥作用,并且任何行为的入罪都需要进行充分论证并考虑与其他部门法的冲突和衔接问题。除《个人信息保护法》外,《网络安全法》与《民法典》应当是目前与公民个人信息保护相关性最大的法律。前者通过规范个人信息收集方式、处罚违法收集个人信息行为等限制转移的手段来避免个人信息的泄露、篡改和损毁,与目前刑法规制思路一致,无法应对滥用行为。后者虽然针对使用个人信息行为有“合法、正当、必要……不得过度处理”的规定,但是缺乏相应责任条款,且该规定过于原则化,难以发挥实际效用。在内部,除侵犯公民个人信息罪外,刑法与公民个人信息相关的犯罪,如非法获取计算机信息系统数据罪、非法利用信息网络罪、拒不履行信息网络安全管理义务罪以及帮助信息网络犯罪活动罪,都无法应对合法获取、非法滥用个人信息的情况。但是,如若滥用个人信息行为作为某种犯罪的前置行为或者帮助手段,而行为人的主要目的在于实施该犯罪,如诈骗罪等,则尚可通过刑法完成形态理论、共犯理论等进行处理,而当滥用公民个人信息的行为不符合其他罪名的构成要件要素或者量刑裁量要素时,刑法则缺乏相应制裁手段。
其次,在主观逻辑方面,刑法因固守传统“源头治理”思维而导致无法应对滥用个人信息的行为。刑法一直试图通过“源头治理”——限制转移的逻辑防范、规制侵害个人信息的行为。虽然在传统时代个人信息可以通过物理保密方式来进行有效保护,防止信息空间流转的限制转移规制逻辑是有其合理性的,但是在数据时代,这已然不符合个人信息的隐私样貌。一是个人信息一旦与互联网挂钩就不存在完全保密状态,刑法只有将保护对象着眼于个人控制权能,才能防止对滥用行为无法规制的缺陷;二是刑法只对“提供(出售)、获取或者泄露”个人信息的非法转移行为进行规制,而滥用行为往往在其信息获取源头上合法或者形式合法,因而无法评价为侵犯公民个人信息罪;三是个人信息自主是个人信息转移的重要原则,该原则不应只存在于转移阶段,也应存在于使用阶段;四是在实践中,“源头治理”的规制思路并不利于数据时代信息的流转,也不符合刑法适用的公平性。
三、侵犯公民个人信息罪的具体法益分析
关于侵犯公民个人信息罪法益类型的探讨,目前存在“超个人法益”“个人法益”“复合法益”三种观点。前两者在对侵犯公民个人信息罪的具体法益认定上又有多种学说,如“超个人法益”目前就有信息专有权、社会管理秩序、公共信息安全、个人信息安全的社会信赖等学说;“个人法益”则主要有信息自决权、个人信息安全、个人信息权等学说。学界通过各式检验方式对比各学说的优劣,以期寻求最符合法益保护目的的具体法益。但笔者认为,无论是基于刑法教义理论、刑事政策要求抑或与司法解释协调性等方面考虑,各学说皆可以提出支持本说、反对他说的理由,此间种种不一而足。然而遗憾的是,鲜有从法理角度对刑法中的“个人信息”概念进行深度梳理的。当民法、行政法等部门法对个人信息权属于具体人格权范畴还是属于隐私权范畴这一问题仍然存有争议时,刑法学界还未解决个人信息权在刑法法益中的位阶问题,便将其与隐私权之具体人格权法益并列看待,进而对侵犯公民个人信息罪的法益进行以个人信息“公私”属性为核心的法益类型及内涵探讨,这是缺乏法益体系化逻辑与法理根基的。因此,笔者拟从“隐私权”在数据时代的法理重塑角度切入,对个人信息的“公私”属性进行梳理,进而再来讨论“超个人法益”“个人法益”“复合法益”的法益辨析问题,以期重构更符合法益保护目的及体系的法益证成路径。
(一)传统隐私权的缺陷
隐私权产自美国法[6],在美国最具代表性的有五种学说:独处说(Right to Be Let Alone)、有限接近自我说(Limited Access to the Self)、秘密说(Secrecy)、信息控制说(Control over Personal Information)和私密关系说(Intimacy)。五种学说都有各自的核心观点,但都坚守“隐私应当被保密”的共识,而“保密”的界限即是于传统隐私而言的“公”“私”的界限。然而,数据时代隐私的“公”“私”特征已然模糊。在数据时代,物理意义上的各种信息皆可量化和搜集。例如,个人健康信息,在传统时代个人如若不愿意主动“分享”,个人的健康状况事实上也几乎不可能被时时搜集;但是,为获取更为优质便利的个性化医疗服务,个人往往默许医疗机构等相关平台拥有获得自身健康信息的行为。而一旦这些个人信息开始流动,则意味着其“私有”属性就受到了一定程度的妨碍,这种妨碍虽然不一定使私有权利受损但确实是客观存在的。一旦私有属性发生动摇,传统隐私权所固守的明确的“公”“私”界限即保密界限就变得难以认定。尤其在信息的消费者与生产者身份不断重叠的当下,个人在有限范围内公开自己隐私、分享自己生活已然成为获取社会认同感的途径之一,因此,隐私权已然随着人们生活观念、生活方式的改变而改变。
另外,传统隐私权学说还存在其他缺陷。例如,独处说就因对隐私权适用现实案例时过宽或过窄的涵盖范围而受到部分学者的反对[7],其对数据时代隐私“公”“私”属性交叠的处境更为束手无策;有限接近自我说具体化了秘密、匿名、独处三个要素后也面临着隐私权范围被不当限缩的困境,毕竟数据时代大多数获取公民个人信息的方式都符合这三个要素,按此理论将推导出隐私权在当代并未面临被侵犯的紧迫性的结论,显然与公众的感知相悖,过度限缩的隐私权将导致人人处于被未知第三方监视的恐惧中却又难以寻求到法律救济;秘密说则比有限接近自我说对隐私的认定更为绝对和限缩,与“秘密”相反的就是公开,意味着信息一旦公开就不再属于隐私,亦不受隐私权保护,因此,秘密说在面对一定范围内公开的隐私时就十分为难,对隐私“一刀切”式的判断方式不符合数据时代隐私的常态表现,亦不利于对公民隐私的保护;信息控制说对“信息”的范围界定问题使得此学说保护范围过窄,且其核心要素“控制”的概念又是一直以来争议的焦点,无论“控制”是类似财产处理的手段,抑或是隐私权的必要认定要件,都使得隐私权的概念难以明晰;私密关系说由于出现较晚,目前理论界对其解读或过于接近有限接近自我说,或未能区分“私密关系”与“秘密”,概念范围皆模糊不清。
(二)隐私权在数据时代的概念重塑
多元的社群和组织使得原本简单清楚的规定难以适用[8]。在全球数据化信息量占信息总数95%以上[9]21的今天,随着云端、资料库等储存空间的多样化,数据所承载的个人隐私早已不处于完全保密的状态下。数据信息这座金矿之所以被众多商业主体追逐,正是由于其最重要的功能并非“捕捉现在”,而是“预测未来”[9]52-55。因此,隐私权概念事实上已然发生转变,而转变后的隐私权与个人信息权的关系,才是决定个人信息权是否能够成为具体人格权之一的关键所在。笔者所持的观点是,两者是包含关系,隐私权包含个人信息权,个人信息权是隐私权的下位概念,这是以隐私权的保护客体为依据的。隐私权具有两种类型:信息隐私权和自决隐私权。前者是指权利人对个人信息的控制,后者则是指个人以自治为基础所作出的某种基础性决定[10]。当然这两种类型也时有交错。
这样的划分以人格权的权利特征为基础,即积极利用权与消极防御权。信息隐私权要求个人拥有能够对可识别的个人信息在任何空间的社会关注度具有控制的权利,是积极利用权的体现。其强调积极行使意义上处分、利用等主动行使的权利,权利的实现对应要求义务人同样的积极作为,主要表现为征求信息主体的同意等。而可识别性正是针对数据时代信息的量化达到一定程度后可描摹个人特征的特性所提出的。正如某一项孤立的健康信息可能无法说明个人特征,但许多项健康信息汇聚在一起,特别是包含具有专属性的生理纹理、基因图谱等信息时,组合起来便已经可以指向某一特定的个体,本来模糊的个人“样貌”便在集体之中浮现出来。自决隐私权的核心正是在于隐私的转移是否违背个人意志。与信息隐私权相反,自决隐私权强调公民对未在一定范围内公开的个人信息享有不受侵扰的权利,是消极防御权的体现。其强调消极行使意义上个人信息处于安全状态的权利,权利的实现对应要求义务人负有不得不当泄露、使用以及销毁其合法获取的和还未获取的公民个人信息的义务。
此外,还需要明确的是,个人在一定范围内对隐私权的放弃并不意味着隐私因公开而消失,义务人超范围的利用依旧存在妨害隐私的问题,因为隐私是客观事实,而隐私权是价值判断。例如,当医生为检查而接触患者的生殖器官时,并不会被评价为对患者隐私权的侵犯;铁路安检人员为列车安全而检查乘车人的行李箱时,也不会被评价为对乘车人隐私权的侵犯。因此,个人在一定范围对隐私权的放弃不影响对此范围外的隐私权的享有。由此可见“一定范围”的重要性,亦即对于数据时代的隐私权,“空间”的概念不可或缺。这里的“空间”不应仅局限于传统物理的、静止的、一元的空间,而应解释为虚拟的、动态的、多元的空间。具体可分为原生空间及流转空间:原生空间是指个人信息所有者分享信息的范围;流转空间则是指个人信息获取者传递、利用信息的范围。个人信息与原生空间当然不存在隐私权侵害问题,而个人信息与流转空间则可能存在隐私权侵害问题。但是,能够证明信息获取者对该信息的传递、利用符合个人信息所有者与社会交互关系的期待除外。
因此,隐私权在数据时代的保护范围应当且已然扩大。当人们惊觉曾经并不在意的个人信息可以被各类商业主体甚至不法分子肆意获取并不断传递、滥用时,个人整体“样貌”已然可以被轻易描摹。在传统“保密”的界限难以辨析时,“控制”以及“空间”的概念将重塑隐私权的新面貌。在重塑后的隐私权的保护下,个人才能够决定个人信息从原生空间进入何种流转空间及其进入程度,个人信息才不至于违反个人意愿被“合理”搜集、分析与使用,个人才不至于沦为商业主体逐利、不法分子获益的牺牲品。正如个人健康信息作为可以用以识别个人的符号,对信息所有者而言具有重要意义。即使个人出于获取更为便利的医疗服务或者为促进医疗事业发展而匿名提供健康数据等原因,在一定范围内分享个人健康信息,放弃此范围内的隐私权,但其健康隐私并不会因在原生空间的放弃而消失,任何合法获取此信息的行为人一旦逾越原生空间传递,滥用其信息,都应被视为对个人隐私权的侵犯,除非行为人能够证明其行为符合个人信息所有者与社会交互关系的期待。
四、侵犯公民个人信息罪的法益类型辨析
在明晰个人信息权隶属于隐私权后,侵犯公民个人信息罪的法益不言而喻,正是隐私权,由此再回归法益类型的探讨就更为明了了。该罪的法益类型为“个人法益”,理由如下:其一,在保护对象上,该罪的保护对象是公民个人信息。按照文义解释的要求,解释不能超出字面本身所具有的含义。“个人”二字说明其私有性,且私密性是隐私权的专有特征,这是确定该罪的法益类型为“个人法益”的根本理由。其二,在所属位置上,该罪位于《刑法》分则第4章“侵犯公民人身权利、民主权利罪”中,按照体系解释的要求,被解释的法律规范应当联系整部法律,根据局部联系整体的关系来解释法律规范。该章同类法益类型为个人法益,因此该罪的法益类型亦为“个人法益”。其三,在权利类型上,由于信息隐私权的权利实现要求义务人积极作为,如征求个人信息所有者的同意。其四,在刑法理论上,亦即被害人同意具有犯罪阻却功能,因此认定为“个人法益”与违法阻却要件相契,也更有利于遵循个人意愿,保障个人信息所有者控制个人信息的自由。
“超个人法益”则认为,“侵犯公民个人信息犯罪的法益并不是公民个人的人身权利,而是社会的公共安全,具体来说是公共信息安全”[11],存在法益认定抽象、无视个人法益及类推解释缺陷。“超个人法益”的各种学说将公共法益、社会秩序等词汇作为目的法益,抽象化的法益描述忽视了“超个人法益”实质上不过是对具体人格权侵犯后的进一步结果,是“因果关系延长线上可能存在的副产品”[12],虽然该罪的表现形式常常是“群体性”[13]、集合式的,但是以表现形式为依据认定该罪法益就是“超个人法益”,则属于本末倒置。
一方面,从人权保护角度而言,抽象的法益存在为国家刑罚权的扩张提供解释理由的风险。刑法存在的目的不仅仅是惩治犯罪,还在于限制国家权力。例如,若认为个人的权利被侵害不存在法益侵害性,只有累计至一定数量才产生质变,侵犯公民个人信息罪法益保护功能才发挥作用,那就意味着集合化之后的人格——“社会人格”,将凌驾于个人人格之上,这不仅违反了平等适用刑法原则,也将国家置于公民个人的对立面。因此,但凡能够具体解释的,还是应当追本溯源[14]。另一方面,从刑法原则评价角度而言,“超个人法益”不符合罪刑法定原则的明确性要求、禁止类推的派生性原则以及上文已述的平等适用刑法原则。“公共利益应是个人利益之集合”[15],而非一定数量个人利益的抽象化。“超个人法益”的认定意味着否认单个的、具体的被害人之同意具有违法阻却的行为,这与理论逻辑相悖:单个的、具体的被害人有控制个人信息的权利,却没有否定该权利被侵犯的权利;“社会人格”之被害人没有控制个人信息的权利,却有否定该权利被侵犯的权利。
“复合法益”顾名思义是既肯定“超个人法益”又肯定“个人法益”的折中说。从理论上来说,一旦肯定“超个人法益”就意味着给“个人法益”的保护屏障撕开了一道口子,使得屏障外的行为如同屏障内的行为一样受到侵犯公民个人信息罪的评价。然而通过上文分析可知,“个人法益”与“超个人法益”完全背道而驰,两者无法兼容。例如,在关于被害人同意问题是否阻却违法的问题上,两者态度就截然相反。因此,一旦认为侵犯公民个人信息罪法益具有“超个人”属性,就是实质的“超个人法益”支持说,所以并不存在真正的“复合法益”。
此外,刑法应对新法益的创设保持谨慎态度,数据时代的到来使得许多传统法益客观上被赋予内涵与外延。一方面,要克服刑法的滞后性并不意味着一定要创设新概念、新法益,新事物的创设必然会导致既有的已成熟的理论体系的重构,而这样的重构很多时候只是让刑法理论看似发展得热闹,却并不具有现实意义;另一方面,传统法益因时代发展而无适用余地时不可弃之不顾,群众感受具有深厚的力量,它使得文字原本承载的内涵悄然改变。对此,学界应当以法益为核心的目的解释为指导,先尝试剖析与解释传统法益,而非热衷于创设新概念、新法益,却忽视了对传统概念、传统法益的新诠释。对于“保护个人信息具有超越保护隐私的价值”[16]观点的提出,究其原因还是在于未能对隐私权进行重新解释,或者混淆了隐私与隐私权的概念,将“隐私”片面理解为一旦公开即丧失,将“空间”片面理解为物理的、静止的、一元的,将“控制”片面理解为无人知晓的保密方式。
五、滥用公民个人信息行为的刑法具体规制方式
法律解释的方法繁多,但能够在国内外刑法学界达成普遍共识的只有以法益保护为指导的目的解释论,即以刑法所保护的法益为解释目的的解释方法。其他解释方法得出的结论不但可能偏离刑法保护目的,而且最终合适与否仍需以目的解释论为检验标准。“因为只有目的论的解释方法直接追求所有解释之本来目的,寻找出目的观点和价值观点,从中最终得出有约束力的重要的法律意思。”[17]只有以保护法益为指导,才能合理分析犯罪构成要件,精准辨析罪与非罪的界限。在明确侵犯公民个人信息罪的法益为隐私权,法益类型为个人法益,以及规制的重点应当面向对以信息隐私权为前提的个人信息控制权后,滥用公民个人信息行为的刑法具体规制方式就有了法益指导。也只有结合数据时代的特征,对隐私权之传统法益重新进行法理上的深入描摹,对侵犯公民个人信息罪不断进行理论与实践的反思,才能对该罪名如何应对滥用行为的问题进行解答。
首先,侵犯公民个人信息罪的适用范围需要扩展至使用阶段。正如上文分析,该罪的不法评价重心在于信息的获取、转移及使用是否违背个人真实意愿,那么以此为标准划分的行为类型则不应再限于非法转移行为,“合法获取、非法滥用”的使用行为也应当被该罪评价。这也是法益保护统一性以及隐私权类型统一性的要求。
其次,对“合法获取、非法滥用”行为的责任情节裁量应当比照侵犯公民个人信息罪第1款的规定进行处罚。该罪的行为方式需进行细致划分,从条文上来看,有窃取、非法获取、出售和提供。而根据行为发生逻辑,则可划分为两个阶段,即窃取、获取为一阶段,可单独定罪处罚;出售、提供为二阶段,也可单独定罪处罚。显然,一阶段(无论合法与否)是二阶段的前行为,只有当一阶段(无论合法与否)行为完成后二阶段行为才可能发生。那么,根据两个阶段行为非法皆可单独处罚的规定,就可能涉及一个 法益重复评价情况,如行为人针对同一个人信息,非法获取后又非法提供该如何适用该罪?在司法实践中,笔者对侵犯公民个人信息罪的现有相关裁判文书进行研究统计后发现,窃取或非法获取公民个人信息的行为基本都伴随出售、提供或者滥用的行为。根据期待可能性原理,行为人在非法获取公民个人信息之后不能期待其反而保护信息不使其转移,况且非法获取的目的通常就是转手出售或者提供给第三人谋取利益,因此,对同一个人信息的数次法益侵害行为无需再作重复评价。2017年,最高人民法院、最高人民检察院颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第11条规定:“非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。”该条文也间接肯定了上述观点。而滥用行为存在于使用阶段,也与出售、提供的二阶段一样必须在一阶段(无论合法与否)完成后实施,因此,滥用行为与非法出售、非法提供行为同属于二阶段,对滥用行为可比照该罪第1款的规定进行处罚。如若非法获取后再滥用,则如前所述根据期待可能性原理直接比照侵犯公民个人信息罪第3款进行处罚,不再对侵犯同一法益的行为进行重复评价。
最后,坚持刑法谦抑性原则,对滥用行为入罪进行严格限制。一是被害人同意是违法阻却事由。同意的对象包括对信息使用方式、使用目的及使用主体等多方面。在法理上,信息隐私权赋予个人信息控制权,其实现要求义务人积极作为,对个人信息一旦超范围、超目的使用应当征求信息主体的同意,这也是“个人法益”的要求。因此,在刑法上,被害人如若对滥用个人信息的行为表示同意或者能够推测其具有肯定意愿,则行为人不具有责难可能性。在邓光明、宋慧娟侵犯公民个人信息案①中,邓光明辩护人在辩护理由中明确提到“邓光明获取相关公民信息是经过信息主人的同意的”,但是法院在说理部分完全忽视了对被害人同意行为的分析,是存在不足的。另外,还需解释两个问题:第一个问题,“法定同意”信息是否同样适用该违法阻却事由?“法定同意”信息是指某些属于公民个人但是对其获取及处理不仅需要经过个人同意还需要经过法定许可的信息,如人类遗传资源信息等。笔者认为,“法定同意”信息的定义本身即意味着该信息受国家严格的、特殊的保护,一旦被非法获取及处理可能导致严重后果。因此,针对该信息的同意主体有两个——公民个人与相关法律规定,那么,此处“被害人”可以解释为个人信息受侵犯的公民与不被遵守的法律规定。因此,对于滥用此类信息的行为,个人同意与法律允许二者缺一不可,否则将出现刑法与其他部门法无法衔接的情况,法的统一秩序将被破坏。第二个问题,行为人获得公民在网络上完全公开的信息后,再滥用该信息的行为是否违背个人意愿?根据“情境脉络完整性理论”,判断对个人信息的处理是否合理,需要依据处理引发的影响能否为用户接受,或者是否符合用户的“合理预期”。例如,若个人明确否定或者可推定认为该滥用行为违背其真实意愿的,则可以评价为侵犯公民个人信息罪。二是“违反国家有关规定”虽然是侵犯公民个人信息罪前提,但要避免行政化倾向。对于适用民法、行政法等部门法就足以处理的案件,刑法不应干涉。另外,对刑法法益的保护认定也应当适用刑法的标准,而非《网络安全法》《民法典》等其他部门法的标准。刑法是最严厉的法律,对刑法法益的认定应当基于“法律的最后防线”的意识,对新法益的创设、新行为的入罪等现象都需保持谨慎态度。三是对“情节严重”的限制。滥用个人信息行为的入罪对侵犯公民个人信息罪法定犯、情节犯等属性并未产生影响。由于“情节严重”的界定具有一定模糊性,虽然模糊性是法律条文所必须的,但笔者还需对滥用个人信息行为“情节严重”的判断提出两个方面的限制:一方面,必须以隐私权的法益为指导与制约;另一方面,避免以获取财产数额的方式认定滥用个人信息行为“情节严重”的做法。以数额认定情节的方式只适用于财产犯罪,而个人信息虽然具有财产属性,但其本质依旧是人身属性,属于人格权的保护范围。不能以获取财产数额多少的方式评价情节严重与否,否则就混淆了侵犯公民个人信息罪法益,亦违反了罪刑法定原则。
六、结语
大数据时代,一方面,利用个人信息进行数据分析及使用的确会给社会进步带来极大助益,若仅着眼于保护个人信息之隐私权而限制对信息的使用,甚至动辄以刑法规制,则有违刑法谦抑性原则,且将增大信息流动难度与成本,甚至会损害公共利益,阻碍社会进步。另一方面,如果个人信息无时无刻不面临着可被获取、分析、利用的风险,那么个人合理隐私期待及信息自决权将无从谈起,个体将沦为社会进步的工具,而以人为手段的社会发展是不能被接受的。因此,刑法作为最低道德的保护防线,应当对政府及商业主体甚至个人对他人健康信息的滥用行为进行规制。
所以,笔者以滥用个人健康信息为例,在分析行为人滥用个人信息的表现方式以及目前中国刑法的规制困境的基础上,进一步总结了导致规制困境的现实与理论两个方面的原因。为提出有效的规制路径,以法益保护目的为指导对侵犯公民个人信息罪的具体法益及法益属性进行符合数据时代特征的解释。从隐私权的重塑入手,确认侵犯公民个人信息罪法益为隐私权,法益属性为个人法益,并提出了刑法应将保护重点着眼于对个人信息控制权能的保护的观点。在此基础上,笔者进一步提供了刑法对滥用行为的具体规制方式,认为侵犯公民个人信息罪的适用范围需要扩展至使用阶段,对合法获取、非法滥用行为的责任情节裁量应当比照该罪第1款的规定处罚以及坚持刑法谦抑性原则,对滥用行为入罪进行严格限制。
注释:
① 参见:广东省开平市人民法院(2018)粤0783刑初215号刑事判决书。