侵犯公民个人信息罪的保护法益及其运用
——从个人信息的公共属性切入
2022-11-24蔡燊
蔡 燊
(清华大学 法学院,北京 100084)
大数据时代,数据作为信息的新型载体,成为重要的生产资料。由信息的集合与规模效应引发的侵犯公民个人信息行为的产业链化是刑法253条之一侵犯公民个人信息罪的规制对象[1]。但是否据此即可认定本罪法益是超个人法益而非个人法益,我国学界存在激烈争论。本文拟从分析当前本罪研究中这场法益之争出发,揭示问题聚焦点:个人信息的公共属性,厘清刑法学与民法学对个人信息公共属性的不同理解。在此基础上提倡本罪法益的个人法益论,并将其适用于本罪的构成要件解释与疑难案件处理中。
一、法益之辩:个人法益与超个人法益
实质刑法下,法益与构成要件解释关联互动,法益具有甄别不法本质、决定入罪范围的机能,构成要件是法益评价的结果[2]。因此,正确界定法益对解释构成要件至关重要。当前学界在侵犯公民个人信息罪法益的讨论中,存在个人法益与超个人法益之争。
1.个人法益与超个人法益的对立
(1)确定法益的路径:前置法与社会系统
为使法益具有确定实质处罚根据机能,必须从刑法外部确定法益。在确定法益的路径中,个人法益论求诸前置私法。“确定侵犯公民个人信息罪的保护法益,必须结合《个人信息保护法》等该罪重要的前置法”[3]。“个人信息权是社会发展之后由其他实定法(《民法总则》111条)予以确认”[4]。个人法益论基于法秩序统一性主张“刑法对违法性的判断不能脱离民法而应从属民法”。法益由前置法确认后,刑法承认前置法确定的法益,本罪法益不需要刑法特别确认。
在超个人法益论中,一种观点求诸外部环境,“生活在信息社会,需要保证每一个社会成员对个人信息安全的信赖”[5]。另一种观点在刑法内部论证,从法益的重要性、紧迫性、罪刑均衡角度,只有侵犯公共信息安全的行为才有必要被刑法规制[6]。但仅在刑法内部单独论证本罪法益难免有循环论证之嫌。超个人法益论的立论基于违法多元论,主张宪法确认个人信息自决权法益(个人法益)后,“能否确定为(刑法)法益,仍是悬而未决的问题”[7]。本罪法益需要刑法独立确认。
(2)论证法益的中心:个人中心与社会中心
在论证中心上,个人法益论的论证以个人为中心,重视个人信息的个体属性。“个人对自己信息形象具有一种控制权。”[4]72其肯定民法上将个人信息作为私权客体进行赋权保护的模式,公民个人信息被认为是信息主体占有的对象与自由的延伸。因此,被害人承诺被视为阻却构成要件或阻却违法事由。在价值选择上,个人法益论倾向于信息主体的信息安全。
超个人法益论的论证以社会为中心,注重个人信息的社会属性。“个人信息也是社会生活事实的一种写照。”[5]144“个人信息由社会主体间的信息交换所产生”,“个人信息是关于个人的信息,而不是属于个人的信息”[7]125。因此,超个人法益论下,是否入罪取决于对公法益的侵犯与否,被害人承诺不影响入罪,“行为入罪的可能性与公民意愿之间没有任何联系”[8]。在价值选择上,超个人法益论关注主体间的信息利用。
2.个人法益论的论证障碍
(1)论证方法问题
其一,个人法益论下个人信息作为私权客体的保护模式不一定适应大数据时代。个人法益论主张的个人信息自决权源于德国20世纪70年代自动化处理信息的技术背景,但其未必适应现在的大数据时代。大数据时代下的个人信息不仅关系到自己还关涉到他人,个人对自己信息的披露会影响到其他信息主体,因此,仅个人授权、个人同意是不够的。而且,即使20世纪70年代的信息自决权本身也决非信息主体对客体的绝对支配权,这“无异于保护一种漫无目的的个人意志,无法为他人行为划定禁区”[9]。
其二,个人法益论在寻找前置法过程中存在疑问。个人法益论主张在前法益上升为法益的过程中,由前置法确认法益,刑法承认由其确定的法益。但个人法益论在寻找前置法过程中无法解释为何只找到个人权利性质的私法,如《民法总则》第111条、《个人信息保护法》第1条等,却未找到《网络安全法》等公法。特别是,《网络安全法》第4章“网络信息安全”中第44条规定:“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”。第45条规定:“依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供”。这两条与刑法第253条之一的第一、二、三款规定几乎无异。即使确认前置法应是私法而非公法,私法上“实现‘信息自决’也并非唯一目的,实现信息保护和利用之间的平衡,促进信息产业发展也应成为个人信息保护法追求的制度目标”[10]。
(2)具体论证问题
其一,个人法益论认为在刑法典中罪名的章节安排上,本罪被“置于侵犯公民人身权利犯罪下,所保护的法益绝非公共秩序或社会利益”[11]。但刑法典中罪名的位置与法益的结构化安排本就有相对性,并非决定性。例如,我国刑法中“侵犯知识产权罪”被规定在“破坏社会主义市场经济秩序罪”一章中,但犯罪行为针对的是具体权利人的知识产权,难以想象不侵犯具体知识产权而侵犯知识产权管理秩序的行为。因此,侵犯知识产权犯罪虽规定在“破坏社会主义市场经济秩序罪”一章下,其法益必然包含个人法益。再如,德国刑法第123条“侵入住居及场所罪”虽然被规定在第七章“妨害公共秩序之犯罪”,但有力观点主张其法益是个人法益,“有学者批判认为,不能根据错误的立法体例理解侵入住宅罪的法益,侵入住宅行为导致左邻右舍不安,只是反射、附随的效果(Welzel)。”[12]
其二,有观点认为超个人法益论是将本罪认定为法定犯,但本罪是自然犯的法定犯化,即带有法定犯特征的自然犯,因此本罪法益是自然犯下的个人法益。但自然犯、个人法益、结果犯与法定犯、超个人法益、危险犯这两对范畴的区分也不具有决定性。诚然,“保护超个人法益的规定,很可能安排危险构成要件,保护个人法益的规定,大多以实害或具体危险构成要件陈述”[13]。但抽象危险应允许反证[14],如生产、销售假药、劣药罪是法定犯,但根据其抽象危险能被具体判断的性质,某种程度其是具体危险犯[15]。再如,虚开增值税专用发票税罪无疑是法定犯,但其抽象危险判断也是“名为抽象危险实为具体危险的判断”[16]。
3.超个人法益论的论证问题
(1)论证方法问题
其一,超个人法益论无法从大数据背景直接证成刑法中的超个人法益。超个人法益论均认为大数据时代的个人信息具有社会属性,但这无法直接推导出个人信息必须由刑法保护。个人法益论的立论基于违法一元论。刑法是前置法的保障法,前置法确定法益后刑法不必独立确认,因此,在个人法益论中这一问题或许不影响其逻辑自洽。但超个人法益论的立论是基于违法多元论,刑法须独立确认法益,因此为何超个人法益能被刑法确认就需要特别论证。
其二,超个人法益论难以解释一些明显指向具体个人的立法现象。如本罪在刑法典中的体系位置是第4章“侵犯公民人身权利、民主权利罪”。再如,虽然立法技术并不一致,但《民法典》第1034条第2款、《个人信息保护法》第4条第1款、《公民个人信息解释》第1条、第3条均将指向自然人的“可识别性”作为认定个人信息的核心要素[17]。完全排斥个人法益的观点可能无法妥当解释这些立法现象。
(2)具体论证问题
其一,超个人法益论在论证“危害后果的公共性”时有偷换概念之嫌。多数个人信息不等于多数人的个人信息,少数人的多数信息也需要刑法保护。超个人法益论根据《公民个人信息解释》第五条第一款(三)~(六)项和第二款(三)项中危害后果的公共性提出“本罪中被害人因群体被侵害而非个体被侵害具有刑法保护必要性”[6]33。“本罪在多数情况下保护法益是多数人的信息自决权。”[5]151有论者将上述规定的“多数信息”偷换概念为表征公共性的“多数人的信息”。按其逻辑,非法获取、出售或者提供50个人的行踪轨迹信息构成本罪,但非法获取、出售或者提供1个人的50条行踪轨迹信息不构成本罪。《公民个人信息解释》只规定信息类型、数量、违法所得数额等,并未规定被害人数量。当然,在侵犯公民个人信息行为产业链化的当下,多数被害人的多数信息是实践中的普遍情况,但不可就此否认少数被害人的多数信息值得被刑法保护。实践中也不乏侵犯少数人的多数信息的判例[18]。
其二,社会信息管理秩序说有逻辑疑问。有学者认为本罪法益是社会法益的社会信息管理秩序[11]66。社会信息管理秩序说作为集体法益一元论不承认个人法益,但是,集体一元法益可能难以成立,因为难以想象不经侵犯公民个人信息而径直侵犯社会信息管理秩序的行为。而且,此说仅将法益定位为社会管理需要而不联系实体性的国民的生活利益,这在法益理论受到抽象化的普遍质疑而愈加需要具象化的当下,其正当性也面临诘问。
其三,公共信息安全说不符合刑法规定。有学者认为本罪法益是公共信息安全[19]。但我国刑法分则第二章“危害公共安全罪”规定的公共安全犯大多至少是具体危险犯,而非抽象危险犯。例外地,第127条“盗窃、抢夺枪支、弹药、爆炸物、危险物质罪”前半段是抽象危险犯也是因为对枪支、弹药、爆炸物的特殊规制。侵犯公民个人信息行为相对于下游犯罪至多处于预备阶段,尚未对公共物理安全造成紧迫的危险,将其归类为公共安全犯与刑法规定相抵牾。
其四,对个人信息安全的信赖说与法益论发展趋势相悖。有学者认为本罪法益是对个人信息安全的信赖[5]139。但当前法益论的发展趋势是反对抽象化、主观化的法益,因为其为类推适用开方便之门。例如,2019年《最高人民法院关于依法妥善审理高空抛物、坠物案件的意见》第五条规定:“故意从高空抛弃物品,尚未造成严重后果,但足以危害公共安全的,依照刑法第一百一十四条规定的以危险方法危害公共安全罪定罪处罚”。张明楷指出,上述司法解释将以危险方法危害公共安全罪这一具体危险犯认定为抽象危险犯,即是以安全感作为法益,明显扩张处罚范围,属于类推适用[20]。针对信赖法益本身,正如劳东燕在受贿罪中信赖法益的研究中指出的:“所谓国民的信赖,本身就是一个相当空泛的概念;而信赖利益有无受到侵害,也完全取决于解释者主观性的解读”[21]。信赖是潜在于风险的精神化法益,但“刑法不可能成为减少公众恐慌的手段”[22]。
其五,信息专有权与处分权说存在处罚漏洞。有学者认为本罪中非法获取行为侵犯信息收集主体的信息专有权,出售和提供行为侵犯信息收集主体的信息处分权[23]。该说认为法益主体是“信息流动的第一个主体”(信息收集主体),信息主体被间接保护。信息专有权由“窃取”的同类解释规则推导出,“窃取”是违反他人意志,以非法占有为目的的转移占有行为,信息专有权是信息收集主体对个人信息的占有。但该说存在处罚漏洞,一方面,信息专有权下,只有转移占有行为构成本罪,侵占、故意毁坏、非法修改个人信息等均不能构成本罪,但253条之一第2款“将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人”的行为完全可能被归纳为职务侵占。另一方面,该说下直接从信息主体获取信息反而无法构成本罪。如甲跟踪50个人,获取50条行踪轨迹信息。这一场合由于没有信息收集主体作为中介,在该说下该行为反而无法被处罚。最后,该说之所以认为保护信息收集主体的专有权与处分权可以间接保护个人,其前提是信息收集主体与个人的利益相一致。但多数情况下信息收集主体同时也是侵权主体,如著名的棱镜门事件、facebook与剑桥数据分析公司窃取用户点赞信息以定向投放选举广告事件等。此外,在竞争法上,广泛地保护信息收集主体的信息专有权,有可能造成这些企业的信息垄断,导致市场过度集中化,降低市场效率[24]。
二、问题聚焦:个人信息的公共属性
上述法益之争的关键对立点是个人法益论指出公法益无主体自决倾向于扩张处罚范围,超个人法益论则认为个人信息兼具公共属性不完全属于个人,问题聚焦于个人信息的个人属性与公共属性的对立。由于个人信息的个人属性符合占有观念与公众直觉因而较易理解,症结在于如何理解个人信息的公共属性。但现有的个人法益论未充分关注个人信息的公共属性,当前的超个人法益论也未充分论证个人信息的公共属性与确定本罪法益之间的关系。在这一论证关键节点上,二者都存在缺失。由于个人信息的公共属性命题源自民法,本文将从民法中个人信息公共属性的证成、表现与保护模式的转型出发全面讨论个人信息公共属性的内涵,并阐明其与本罪法益确定之间的关系。
1.个人信息公共属性的证成与表现
(1)公共属性的证成:个人信息的特殊性
在民法语境下,欧洲的信息自决权、美国的信息隐私权均由消极的防御性权利变为兼具积极的控制性权利,个人信息愈加脱离个人而介入社会生活。德国20世纪70年代立法承认信息自决权,但从德国宪法法院判例中发展出的4项限制[7]118,欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)中的30余项公共利益限制,均显示了个人信息绝非个人所独占支配。正如Winfried Veil指出,“如果信息自决受到过多的法律限制,便不能将其确定为一般原则”[25]。美国2018年《加州消费者隐私法案》(California Consumer Privacy Act of 2018,CCPA)对个人信息的商业利用更是采取“原则允许,有条件禁止”的立法模式。
晚近以来,民法学界的有力观点通过论证个人信息的公共属性提出个人信息的公权控制、社会控制。
首先,数据的再生性、分享性决定了个人信息不是私人物品。数据是信息的载体,信息运行规律须符合数据规律。数据具有再生性、分享性,“复制、删除、上传和发送为其固有功能”[26]。不同于传统财物所具有的稀缺性与排他性,数据的非排他性、非竞争性决定了信息非私人物品,无法为他人行为划定有效禁区。而且,大数据时代下,“个人数据信息数量大、价值密度低、智能处理以及信息获得和其使用结果之间相关性弱”[27]。这些特征也导致大数据时代的个人信息适合公权控制而非个人控制。
其次,个人信息在信息流动过程中才能产生价值,应在信息流通背景下理解个人信息的公共交流机能。个人信息的识别机能是社会交流的前提,“识别个人是社会交往和运营的工具”[28]。人在社会中,“个人信息不仅关涉个人利益,也关涉他人利益和社会利益”[29],因此,隐私保护需要协作而非对抗。对个人信息采取类似物权保护的观点忽视了个人信息的公共交流功能,将对自己信息的支配上升为对他人行为的支配。根据新古典经济学的预测,私权保护模式下的社会隐私将仅达到次优水平的“公地悲剧”。而根据实验经济学的实验,“实验中的人们以远高于新古典主义理论预测的速度分组合作”,在这一意义下,个人信息是公共用品[30]。
最后,大数据时代的个人无力控制个人信息。个人参与数字化生活是个人信息保护被法律关注的最主要原因,今天的互联网公司无时无刻不在收集个人信息。大数据时代的私人领域、用户意志被进一步压缩与弱化,“它以既不可察觉也不可理解的方式无情地监控和塑造着普通市民的生活方式”[31]。在大数据时代即使法律赋予个人对信息的控制权,个人也根本无力控制。一方面,现实中,面对APP冗长繁杂的隐私政策格式条款,信息主体根本无法做出有意义的决定,“知情同意”“目的限定”成为一纸空文。另一方面,某个单一信息完全可能有助于推断出信息主体选择不透露的其他信息,甚至可能是他所不知道的关于自己的信息。而信息组合下的信息泄露问题更为严重。而且,“将信息赋予私人独占并没有现实的法律手段彰显和维护”[32]。在我国,由于民事诉讼中谁主张谁举证的原则,由个人作为原告发起的涉及侵犯公民个人信息的民事诉讼案件非常少。综上,个人信息的公共属性都能够被证成。
(2)公共属性的体现:个人信息利用利益
沿着个人信息公共属性的证成路径,个人信息公共属性的表现不是个人信息权集合而成的秩序、安全、信赖或信息收集主体的信息专有权,而是信息利用利益。这在不同层面都有体现。
首先,大数据应用已形成全社会的共识。在国家顶层设计中,2019年《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》指出“加强数据有序共享,依法保护个人信息”。立法中,《个人信息保护法》第1条立法目的之一即“促进个人信息合理利用”;第13条个人信息处理规则中明确规定基于社会公共利益的情形,第4项为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需,第5项为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息。
其次,当个人信息与公共事务产生关联时具有公共属性。例如公众人物的个人信息、非公众人物却卷入公共事务的个人信息等均具有公共属性。当个人信息进入公众言论自由领域,信息主体负有退避义务。刑法上也有相应的制度设计,如日本刑法就保护言论自由与保护名誉之间预先设计了精巧的平衡,即“诽谤名誉类犯罪的特别违法阻却事由:社会公共利益”。日本刑法第230条之2第1款规定:“于可认定前条第一项(毁损名誉罪)之行为与公共利益之事实有关,且其目的系专为谋求公益者,则判断事实之真伪而有证明为真实时,不罚”[33]。实践中社会公共利益的内容主要包括:事实的公共性(合理性)、目的的公益性和一定程度的事实真实证明等。
最后,“信息产业已成为当今社会发展的核心动力之一”[34]。大数据时代,为充分享受社会应用、经济发展方面数据红利,信息主体也有一定退让义务。如日本2017年《未来医疗基础法》规定信息主体的默示同意范围可以在涉及公共利益的医疗大数据应用中扩张。日本学者指出,只考虑个人信息的个体属性“忽视了(信息主体)负有的为推进医学和健康领域进步而提供数据的社会责任”[35]。可见,“为了公共利益,如社会安全、产业发展、教育研究、新闻报道等,从利益平衡角度出发,当事人应承担更高的容忍义务”[13]145。综上,从个人信息的公共属性的体现统和来看就是为了社会公共利益。
在个人信息上,信息主体的个人信息权的反面是他人尊重信息主体个人信息权的义务,个人信息利用利益意味着信息主体应承担相应的容忍义务。刑法中超个人法益论忽视的是由个人信息的公共属性导出的信息利用利益,而非个人信息权集合而成的秩序、安全、信赖、信息收集主体的信息专有权等公法益。
2.个人信息类型化保护的局限与场景化保护的证成
(1)类型化保护的局限
个人信息具有公共属性,但其如何与刑法法益产生关联。自然的逻辑是将个人信息分类,“通过个人信息类型化路径,在刑法规范层面为个人信息流动链条中多方主体及其权利的保护预留空间”[7]125。特别是将个人信息分为与公共属性相关与不相关的部分。但这一路径具有局限性。
其一,个人信息如何体现公共属性依赖信息处理主体,个人信息价值依赖处理主体赋值。不同于信用卡个人信息、商业秘密、知识产权等具有稳定应用场景,普通个人信息高度依赖应用场景,信息权属具有适应性[36]。从特定信息中发现新信息取决于信息处理主体。不同识别主体的识别难度、识别成本不同,从特定个人信息中识别出不同其他信息的情形完全可能存在。因此,静态信息是少数、不稳定的,即使可以大致区分出公开信息侧重信息保护利益,非公开信息侧重信息安全利益[37]。但大多数个人信息是动态、弥散的,大数据应用关键即在于发现数据间相关性,通过信息组合发现新的信息,而这依赖于应用主体。例如2009年谷歌公司先于美国疾病预防控制中心监测到甲型H1N1流感爆发,这是依据用户的特定搜索词条的使用频率与流感在时空上的传播之间的联系而发现的[38]。此外,由于信息价值由处理主体赋予,信息之间也可以相互流动转化。
其二,个人信息如何体现公共属性受环境的影响。个人信息是否具有公共属性往往需要利益衡量方法,而利益衡量具有高度的文化特异性,必须制定标准来评估不同利益的相对权重。通过严格分析一个国家、社会或文化语境中的优先事项来考虑这些利益,才能在隐私框架内评估收益[39]。这在欧洲与美国对个人信息利用的总体倾向中得到印证,欧洲对个人信息利用相对保守,而美国则相对激进。
(2)场景化保护的提出
为应对类型化保护的局限,2004年美国纽约大学的Helen Nissenbaum教授提出“场景公正理论”(Contextual Intergrity Theory),又称“情境脉络完整性理论”“场景化理论”。场景公正理论主张,同一信息在不同情境下具有多种用途和价值取向,隐私内涵难以被预先确定的信息类型所涵盖。“个人信息保护的合理程度要置于其所处的环境中具体审视。”[40]
在场景化理论下,个人信息侵害的实质不再是未经同意使用个人信息,而是不合理使用个人信息。个人信息保护的实质也不是绝对不使用个人信息进而达成对信息主体的全面、绝对保护,而是合理使用个人信息,平衡信息安全与利用之间的紧张关系。Helen认为,正是因为公私二元对立的观点导致信息安全与信息利用之间的紧张关系。他主张判断信息是否被合理使用的标准是其是否符合资讯规范。而资讯规范由信息主体、信息类型和传播原则3个要素构成。这3个要素都与具体情境相关联而不能脱离实际场景进行抽象评估,而且相互独立,信息价值需要综合判断。具体来说,信息主体在不同情境中遵循不同的行为准则,信息类型随情境不同而不断变化,传播原则中私密性、控制性原则与强制披露原则等也随情境变化而变化[41]。相比之下,场景理论不再执着于不同分类信息,而着眼于信息流动的整个场景结合具体情境提炼出主体、信息、传播3个决定资讯规范的要素,并且依据具体情境独立认定,综合判断个人信息是否被合理使用。
在场景公正理论之下,经过3个要素的综合判断,在个人信息体现个人利益、未被合理使用的场景下,应当适用私法原则尊重个人信息权。在个人信息体现公共利益,被合理使用的场景下,应“采用公法框架规制个人信息的共享使用中的法律风险,有助于挖掘个人信息的社会价值或使用价值”[42]。场景化理论“响应了创新的号召,承认了市场主体的商业利益,同时为个人信息流设置了适当的限制隐私权。”[32]因为场景公正理论将原先隐私法理论的一元模式,如信息类型上分为敏感信息与一般信息、传播原则上通知同意、目的限定、强制披露等原则,结合现实情境还原为多元模式。如Helen注意到,正是企业对个人信息突破“知情同意”原则的多样化应用造就了互联网繁荣,并以此解释个人信息上的多元属性。场景公正理论提出之后,很快即受到理论和政策上的关注。在政策上,2012年2月美国政府出台《隐私权法案》(Privacy Bill of Rights)中提出的保护隐私权7项原则中的第3项“尊重情境”(Respect for Context)即是源于此。正如学者评价的,场景公正理论回归到“‘公平信息实践’政策的初心,即实现的是信息收集者或处理者与个人之间的公平或合理的信息关系,仍然取决于相应制度是否能够在具体场景与信息关系中确立个人信息权利的合理边界”[43]。
如果从场景公正理论的角度观察前述类型化个人信息的路径,类型化个人信息是场景公正理论的具象体现,应例外允许场景公正理论中其他变量对其反证。场景公正理论强调在个人信息上的个人的相关权益、他人的相关权益、企业的相关权益、市场的相关权益以及公共利益等必须合理协调,因此,个人信息侵害的实质行为不是对个人信息自决权的侵害而是对个人信息合理使用的背离。场景化理论为数据安全与数据利用之间的紧张关系提出的解决方案是个人信息的合理使用,侵害的实质不是使用而是不合理使用。相比之下,当前刑法学中的个人法益论与超个人法益论均缺少对个人信息利用维度的研究。那么,如果在刑法学中考虑个人信息的合理使用利益,公法益能否成为本罪法益?本文认为答案是否定的。
三、场景公正理论下侵犯公民个人信息罪的法益与构成要件解释
社会物质生活条件决定法权要求,而“法权要求又必须借助法律形式才具有普遍效力,法律形式是统治阶级对一定法权要求的确认”[44]。实定法的形成遵循着“社会物质生活条件→法(法权要求)→法律”的结构。具体到刑法法益,前置法益上升为刑法法益必须通过刑法的独立检验。场景公正理论下,当个人信息体现公共利益、被合理使用时,个人信息的公共属性即能够导出数据共享使用的公法益,但是,本文认为,该前置法益无法上升为刑法法益。
1.本罪法益是个人法益
“大数据的争论归根结底是价值第一,数学和机器第二。”[45]个人是利益衡量的中心,不是反射、附带利益。场景公正理论下,侵犯个人信息的实质是侵犯合理使用。但合理使用的范围如何理解,必须回归到个人法益,即在某些场合行为对个人法益产生不利影响。本罪法益归根结底还是个人法益。
其一,刑法中超个人法益论下个人信息的公共属性与民法中个人信息的公共属性理解不同。民法强调在个人信息利用维度下个人信息具有公共属性,这在刑法中是利益衡量下的出罪事由,而非入罪事由。超个人法益论的逻辑则是,个人信息属于社会,侵犯个人信息是侵犯社会法益。其依然将个人信息作为私权客体保护,在超个人法益论中,公共属性是被个人信息权集合而成。但民法中主张个人信息公共属性的逻辑是个人信息属于社会,目的在于放宽个人信息的大数据利用,增加数据的公共效益,着眼于主体间关系,公共属性是个人信息基于其性质、机能所固有。
其二,个人信息权—信息利用利益与知识产权—知识产权管理秩序的法益结构不同。个人信息作为知识而非物质更类似知识产权。但不同于侵犯著作权罪中的侵犯著作权行为必然同时侵犯著作权管理秩序的连带性;反之,保护著作权也是保护著作权管理秩序。本罪中,信息主体的前置法益个人信息权受到对信息利用利益的容忍义务。此时,“他人或社会使用个人信息的正当与否不应由个人决定,而应由社会决定,由法律决定”[37]97。问题归结于个人信息上的合理使用法益是否值得刑法保护。类比知识产权犯罪,其法益决不包含“社会合理使用”带来的法益。即使行为人以个人信息利用利益为目标进行攻击(如行为人攻击健康码系统,目的就是不让政府机关做出正确决策),该当本罪的理由也只能是侵犯了具体个人的个人信息权法益,而非侵犯信息的合理利用利益。因为个人信息的合理使用并未“违反国家有关规定”,即“公民个人信息的保护与大数据发展和信息社会的建设并不矛盾,二者之间的平衡点就在现行法律框架”[46]。
其三,大数据时代下个人信息泄露、滥用的风险加剧而普通个人无力对抗。近年来,我国司法实践中发生的关于普通公民个人信息的案件中,如微梦(新浪微博)公司诉淘友(脉脉软件)公司不正当竞争案、大众点评公司诉百度公司不正当竞争案等案件,诉讼中指向的都是普通用户的个人信息,但此类案件中个人信息主体反而并未作为权利主体出现,信息收集主体相对普通公民处于绝对强势地位。这样的现实下,如果还是一味保护信息收集主体的利益忽视信息主体的个体法益,恐怕并不公平。综上,本文主张253条之一侵犯公民个人信息罪的保护法益是个人法益。
2.场景公正理论对本罪法益配置的启示
确认本罪法益是个人法益后,具体是何种个人法益呢?首先,对公民个人信息的保护不能归入既有法益类型。刑法对其他个人信息的保护:信用卡个人信息、商业秘密、知识产权、计算机信息系统数据等均与个人信息的复杂、多元属性差异较大。个人信息上兼有人格利益、财产利益、安全利益、便利利益、公共政策等多元不同的法益,无法被划入单一保护模式。
其次,个人信息权的具体权能上,《个人信息保护法(草案)》第12~19条规定了信息决定、保密、查询、更正、封锁、删除、可携带、被遗忘8项权益。其中信息决定、查询、更正、删除、可携带属于积极权能和信息保密、封锁、被遗忘属于消极权能。刘艳红认为本罪法益是个人信息自决权,另外7项权利“建立在个人信息决定权亦即自决权的基础之上”[47]。但从其他权利可由自决权推导得出这一角度来说,信息自决权与个人信息权可能并无显著差异。而且,个人信息查询、更正、删除、可携带等积极权能,信息保密、封锁、被遗忘等消极权能也理应受到刑法保护。信息自决权说需要面对的真正问题毋宁说是在普通个人根本无力反抗大数据权力的当下,前置法律框架下采用的“知情同意”原则是否真正可行。如果对这一问题的回答是否定的,信息自决权的法益论证基础或许将不复存在。
本文认为,本罪法益是个人信息权法益。进入信息时代,大数据应用使“危险不再是隐私的泄露,而是被预知的可能性”。因为个人信息被侵犯而导致侵犯传统法益的危险被放大,而使本罪具有入罪的正当性。换言之,个人信息权不是抽象、独立、先天的法益,其“应被视为其他基本权利的一项附属权利,数据处理只有在具体损害自由或构成损害自由的特别危险时,才应与基本权利相结合”[25]。
虽然信息利用利益无法通过刑法法益检验,但场景公正理论作为判断个人信息权法益受侵害程度的方法有其价值,信息价值只有在具体情境中才能被完整判断。个人信息权法益程度绝不能依赖个人信息本身的类型、数量,类型、数量的背后实质是传统法益被侵害、威胁的程度,这已被场景公正理论表征出来。本罪的着手标准:对个人信息权法益的紧迫的危险,对其不能做形式判断,只能结合传统法益进行实质判断。
结合场景公正理论理解本罪法益,应当根据个人信息在具体情境中对信息主体传统法益的侵害程度,在信息类型、信息主体与传播路径3个变量之下,分别配置不同权能。比如,就信息类型来说,大致上个人敏感信息应配置全面的“积极权能+消极权能”,非敏感信息仅需配置消极权能,具体的情境还可以做更细致的配置。例如,网站公布了信息主体的敏感信息,如个人生物识别信息的情境中,信息主体享有删除权,要求网站删除而未删除的行为等价于网站“非法获取”公民个人信息。但一些具体情境下,网站公布信息主体的非敏感信息,信息主体不享有删除权。需要注意的是,具体权能的法益配置应在具体场景下综合判断,一定情境下的非敏感信息完全有可能转变为敏感信息而受到全面保护。再如,就信息主体来说,特殊主体需要特别保护,例如公安等承担公共安全职能的特殊主体,对其个人信息应当加强保护。
3.个人法益论与场景化理论下本罪的构成要件解释
(1)“情节严重”的解释方向
《公民个人信息解释》中“情节严重”采用4条标准:类型+数量(50条、500条、5000条)、违法所得数额(5000元)、与他人犯罪关系(行踪轨迹信息被用于犯罪、明知他人犯罪为其提供个人信息)、前科(因侵犯公民个人信息受过刑事处罚或二年内受过行政处罚的)。结合个人法益论与场景公正理论,上述情节要素不应抽象理解,而应放在具体情境中解释。
其一,个人信息的不同类型、不同数量是表征行为对传统法益危险程度的差异。一般来说,按对传统法益威胁的严重程度,“行踪轨迹信息、通信内容、征信信息、财产信息>住宿信息、通信记录、健康生理信息,交易信息>其他信息”。但在场景公正理论下,这只是考虑了信息类型一个要素,还应在具体情境下考虑信息主体与传播原则综合判断,并允许具体情境下的反证。此外,关于个人信息数量的认定,由于信息价值依赖于处理主体,信息数量应由行为人的需要来认定。
其二,违法所得数额不影响法益侵害。违法所得数额不表征法益侵害程度,存在侵犯公民个人信息类型严重、数量众多违法所得数额却较少的情形。实践中由于个人信息数量众多难以查清真伪进而剔除,往往使用违法所得数额情节入罪,这存在较大的人权保障风险。违法所得数额不应成为入罪的决定性因素。我国学者早已提出“刑法思维基点是犯罪行为对社会的危害,而非行为人从犯罪中获得的利益”[48]。
其三,前科不影响法益侵害。情节要素中应区分责任情节与预防情节,预防刑是确定责任刑的前提下才需要考虑的影响特殊预防必要性大小的情节。“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚”是预防情节而非责任情节,将其纳入作为构成要件的“情节严重”明显是将不法与量刑责任混同,本不应在定罪阶段被考虑。只有当行为符合构成要件该当性、违法性与有责性而构成犯罪后,才应在量刑阶段考虑量刑的责任。
(2)疑难案件的正确处理
侵犯公民在网络上公开的信息可以适用场景公正理论出罪。关于侵犯公民网络上公开的个人信息,司法实践中一般认为其该当本罪公民个人信息,因而一般采入罪观点。裁判文书中的经典表述是“互联网上出现的公民个人信息,无论是被动公开还是主动公开,同样受法律保护”[49]。“个人信息依法受法律保护,即便公民个人自愿公示于众,他人也不得擅自出售、出租”[50]。但是,2020年《信息安全技术 个人信息安全规范》(GB/T 35273—2020)中9.5项的“共享、转让、公开披露个人信息时事先征得授权同意的例外”中第(f)项规定,“个人信息主体自行向社会公众公开的个人信息”。实践中也有可以被视为适用场景公正理论出罪的案例:“本案中常州企业负责人信息包含企业名称、经营范围及负责人姓名、电话、手机号码,上述信息由企业出于经营需要,自行在互联网进行公布,而并非他人泄露,故不存在不希望为一般人知晓的情形,且公诉机关亦未提供证据证明上述信息系企业负责人本人不愿公开的信息。常州企业负责人的信息不属于公民个人信息。”[51]本案中,法院对网络公开信息并未一刀切地认定为该当侵犯公民个人信息罪中的公民个人信息,而是在信息主体、信息类型、传播原则方面结合具体情境做具体理解。信息主体是企业负责人,信息类型是经营所需信息,传播原则是信息主体自愿披露。当然,即使是公开的个人信息,“对公开信息的后续利用并非不受限制,必须控制在‘合理范围’内,受目的限制原则拘束”[52]。综合判断下,得出其行为不具有对被害人传统法益的危险进而出罪。这一判决体现的思路正是场景公正理论下网络公开信息的出罪路径。
“私家侦探”类案件应考虑行为人是否有权利知晓被害人的个人信息进行类型化分析,不宜一概入罪。我国司法实践中有不少行为人指派私家侦探跟踪调查配偶、债权人等构成侵犯公民个人信息罪的案件。在这类案件中,虽然私家侦探采取跟踪、拍摄等方法获取了达到入罪数量的个人信息。但考虑到雇佣私家侦探进行侦探行为的往往是被害人的配偶、债权人等相关权利主体,所获取的信息类型主要是行踪轨迹、见面对象等对被害人传统法益无特别危险的个人信息,实践中应当综合考虑,此类案件有出罪余地。细言之,应当考虑在特定情境中行为人是否有权利知晓相应行踪、债权信息、个人信息被散播的可能性等因素而做具体判断。
关于罪数问题,侵犯公民个人信息罪与下游犯罪不宜一概以包括的一罪论。可以预见,侵犯公民个人信息行为作为下游犯罪的预备行为,往往会被作为吸收犯或牵连犯,放在包括的一罪中理解。例如,甲强制乙跟着甲走,即甲非法拘禁乙的场合,如果达到侵犯公民个人信息罪的入罪数量,甲自然同时构成侵犯公民个人信息罪,但是这种情形往往会被作为包括的一罪理解。但是,置于包括的一罪中理解,其中,牵连犯的问题是如何理解“常态性关联”,且停留在经验层面的论证无法证成有“常态性关联”就应当以一罪处罚。例如,受贿行为与下游犯罪行为具有常态性关联,但也应数罪并罚,“国家工作人员受贿后,挪用公款给他人使用,该为他人谋利益的行为同时构成挪用公款罪”[53]。而且,刑法设立侵犯公民个人信息罪恰恰说明个人信息权作为独立法益的重要性。因此,包括的一罪中牵连犯的正确理解应当是回到罪数论的初始目的:对犯罪行为充分而不重复的评价。只有当一个罪名足以评价两个行为不法时,才是牵连犯。
四、结 语
进入大数据时代,信息风险需要重点关注。立法上只采取对个人信息赋权保护的模式,难以有效应对信息安全与信息利用之间的紧张关系。因此,力求平衡二者的场景公正理论应运而生。场景化理论将倾向于信息主体的通知同意标准弱化为独立判断的合理使用标准,为信息利用留下足够空间。但即使承认场景化的合理性,也不应单方面强调刑法中本罪的公法益,亦应保护个人信息对抗大数据滥用的权力。
