侵犯公民个人信息罪的行为构造
2023-01-05童德华
童德华,彭 勉
(中南财经政法大学 刑事司法学院,湖北 武汉 430073)
2021 年8 月20 日十三届全国人大常委会第三十次会议通过《中华人民共和国个人信息保护法》,作为公民个人信息保护的专门法,本法的通过和实施对完善公民个人信息保护法制体系具有重大而深远的意义。我国民众关于个人信息重要性的认识有一个不断发展的过程,立法对个人信息的保护也呈现不断完善的特点。从刑事法律看,这种不断完善的特点十分明显。2009 年2 月通过的《刑法修正案(七)》增设出售、非法提供公民个人信息罪和非法获取公民个人信息罪,作为刑法第253条之一。2015 年8 月通过的《刑法修正案(九)》将两罪修改为统一的“侵犯公民个人信息罪”,将其主体由国家机关、金融、电信、交通、教育、医疗等单位及其工作人员修改为一般主体,扩大本罪所指“个人信息”的范围,降低入罪门槛,提高其法定刑。为适应司法实践需要,“两高”于2017 年5 月发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《信息犯罪司法解释》),对困扰司法实践的诸多定罪量刑难题作出回应、提供指引。《刑法修正案(九)》和《信息犯罪司法解释》共同确立了较为完整的规制侵犯公民个人信息行为的刑事规范体系,有利于侵犯公民个人信息罪的司法适用,也有利于进一步加强对公民个人信息权的有效保护。
尽管公民个人信息保护网络涉及面逐步扩大,有关行政、民事、刑事保护法律规范不断完善,但从刑事规范和刑事司法实践来讲,还存在不少漏洞和问题。例如,侵犯公民个人信息罪保护法益含糊不清,刑法及相关司法解释与《个人信息保护法》《网络安全法》《数据安全法》等前置法的关系处理不当。为了应对不断发展的侵犯公民个人信息犯罪态势,优化对侵犯公民个人信息行为的刑法规制,对本罪所涉常见行为进行类型化研究,从客观行为角度探讨和厘清侵犯公民个人信息罪的适用问题具有相当的必要性和紧迫性。根据《刑法》第253 条之一及《信息犯罪司法解释》的规定,侵犯公民个人信息犯罪行为可分为“非法提供型”和“非法获取型”两大类。“非法提供型”行为是指“违反国家有关规定,向他人出售和提供公民个人信息”的行为,主要有出售公民个人信息、向他人非法提供公民个人信息两种具体行为类型。“非法获取型”行为是指“窃取或者以其他方法非法获取公民个人信息”的行为,主要有窃取和以其他方法非法获取公民个人信息两种具体行为方式。本文着重从类型化研究的视角,对侵犯公民个人信息犯罪两大类四种具体行为的构造进行分析。值得注意的是,行为构造不仅由特殊的行为方式组成,而且还包括主体的主观目的要素。
一、向他人出售公民个人信息行为的界定
(一)出售行为的司法界定
“出售”是指为牟取利益,将行为人掌握的物品售卖给他人的行为。在个人信息刑法保护体系中,“出售个人信息”的表述早见于《刑法修正案(七)》增设的出售、提供公民个人信息罪。《刑法修正案(九)》对该条进行修改,同样将“出售”作为侵犯公民个人信息罪的典型行为。根据全国人大常委会法制工作委员会《中华人民共和国刑法释义》(以下简称《刑法释义》)的解释,“出售”应理解为“将自己掌握的公民信息卖给他人,自己从中牟利的行为”[1]。本质上而言,出售公民个人信息是为谋取经济利益或实现其他非法目的,通过合法或非法方式将公民个人信息作为商品在市场上进行交易、买卖的行为。[2]
(二)出售的对象
立法上侵犯公民个人信息罪是一个整体性罪名,对公民个人信息的出售行为、非法提供行为、窃取行为和以其他方法非法获取行为所侵犯的对象具有一致性,因而在后文对其他三类行为的讨论中,不再重复行为对象的论述。
本罪中,出售的对象是公民个人信息。现行法律对公民个人信息的定义聚焦于可识别性,但不同的部门法涵盖的范畴有所不同。刑法第253 条之一规定了侵犯公民个人信息罪,但并未对何为“公民个人信息”下明确的定义。对个人信息内涵的把握一般认为应参照其前置法的内容。2016 年11 月7 日通过的《网络安全法》第76 条和2020 年5 月28 日通过的《民法典》第1034 条对个人信息予以明确定义,均强调个人信息对“自然人”的可识别性,并以“包括但不限于”的表述方式对“个人信息”范围作出列举。《个人信息保护法》未对个人信息的范围作出列举,而以“有关的各种信息”作概括性规定,表明了对个人信息保护范围的开放性。2017 年3 月20 日发布的《信息犯罪司法解释》亦对“个人信息”作出明确,除强调“识别特定自然人身份”外,明确将“反映特定自然人活动情况”的信息纳入“个人信息”范畴。
在学理上,对公民个人信息的本质究竟为何主要有三种观点:一为关联说,认为只要是和信息主体有所关联的信息,不论其信息来源、内容差异、关联程度大小,只要是能够和信息主体产生关联的信息,都属于个人信息的范畴[3];二为隐私说,认为与个人隐私有关、不愿被他人知晓,且不涉及公共利益的信息都是公民个人信息[4];三为识别说,也是目前通说的观点,认为公民个人信息指的是可以单独或与其他信息结合,识别出特定自然人的信息。[5]本文支持识别说观点。关联说对个人信息的刑法保护不加以区分,既造成入罪标准过低,违背刑法谦抑性,又导致刑法与前置部门法规定的割裂,违反刑法“二次保护”的属性。隐私说的主张缺乏确定性,“个人隐私”并非客观判断,更多依赖于权利人“不愿被他人知晓”的主观态度。此外,隐私说局限于个人隐私,不利于保护隐私以外的公民个人信息。对识别说的批判往往在于个人信息界定狭隘,无法满足司法实践的需求。但笔者认为,识别说的界定并不狭隘。所谓“识别”,是指通过对信息内容的分析直接或间接关联到特定个人的过程。[6]参照前置法的规定,对此处的“识别”不能僵化地判断,应理解为“既包括对个人姓名、地址的直接识别,也包括对个人其他身份的识别”,[7]从而对个人信息的本质进行综合性评价。
根据识别说观点,公民个人信息应具有以下两个主要特征:第一,具有可识别性。这是其关键属性。公民个人信息必须与特定的自然人相关联,如果经过匿名化处理后无法识别特定个人,不属于本罪中公民个人信息范畴。第二,必须属于有效信息。如果信息明显虚假、无效,也即存在明显的错误,无法对应到具体公民的,不属于本罪中所指的公民个人信息。也即具备该两个特征的信息则是本罪保护的“公民个人信息”。
(三)出售的意图
出售行为的典型方式体现为财物交易,其目的是为了牟利或者实现其他非法目的。在规定侵犯公民个人信息犯罪行为的有关条文中,多将出售和非法提供行为并行罗列。从逻辑上讲,出售行为是非法提供行为的典型方式之一,二者向他人提供公民个人信息的方式是类似的。立法和理论通说观点将这两种行为并列而作出一定的区分,意在强调两者意图上的差异。出售行为主要是指“以获得对价的商业目的而进行的出卖”,非法提供强调的则更多是“不以获得对价的商业目的,但却违背国家规定、职业操守而提供的行为”。[8]可见,出售的意图明确为牟利,当然也不排除同时为实现其他非法目的。
(四)出售的方式
出售行为本身是积极的作为行为,其方式主要包括以下几种:第一,金钱交易形式,这是最为典型的出售形式。第二,物品交换形式,此处的物品指的是具备经济价值和使用价值的商品,包括有体物和无体物。在以上两种形式中,是否要求所获利益与个人信息的价值大致等同,也即是否要求合理对价,存在一定的争论。笔者认为,出售行为的成立不必以获取与个人信息价值的合理对价为基础,存在“有偿转让”的形式即可。个人信息权具有专属性和排他性,与公民的人格尊严、人身权益、财产权益紧密相连,泄露、转让、出售等行为本身就是对其合法权益的侵害,也即属于本罪的构成要件行为。同时,从合理对价的数额认定看,由于个人信息涉及的家庭住址、行踪信息等不具有明确的经济价值,但可能对信息所有者的人身权益、财产权益造成重大威胁,究竟怎样才算“合理对价”,难以确定一个明确的量化标准。第三,财产性利益交换形式,指的是用财物以外具有财产价值的利益进行交换,其主要方法包括使对方负担债务、使自己免除债务、接受别人提供的劳务三种。[9]
二、向他人非法提供公民个人信息行为的界定
(一)提供行为的司法界定
在我国刑法分则中,“提供类”犯罪主要包含两层含义:第一,将作为犯罪对象的“物”提供给他人,如提供虚假证明文件罪等;第二,将“信息”告知给没有权限知晓的他人,如为境外窃取、刺探、收买、非法提供国家秘密、情报罪。显然,向他人非法提供公民个人信息行为属于后一种。
《个人信息保护法》确立了一系列以“告知—同意”为核心的个人信息处理规则,明确规定除具有特定目的和充分必要性的情形外,处理公民个人信息应当取得个人的同意,且“该同意应当由个人在充分知情的前提下自愿、明确作出”。出售、未经同意提供公民个人信息以及下文中的窃取和“以其他方法非法获取”公民个人信息,均明显违反《个人信息保护法》等法律的规定,具有违法性,属刑事法律重点规制的对象。
(二)非法提供的意图
非法提供行为的意图应限定为故意,也即行为人希望或者放任其非法提供行为造成信息权利人合法权益损害或损害危险。对过失行为是否构成本罪中的非法提供行为,现有法律没有作出明确规定。有论者从过失泄露个人信息的危害性和危险考虑,认为本罪的意图可以包括过失。但这种认识值得商榷。将“过失或者是无意识泄露他人隐私的行为认为构成此罪”的观点显然是不恰当的,从现行刑法条文来看,“出售”“提供”等行为本身暗含着一定的积极色彩,与“过失行为”互斥。过失提供行为不应纳入本罪中非法提供行为的范畴,而应由民事、行政法律予以规制。
区别于出售公民个人信息行为,非法提供行为主观上不是为了谋取物质性、财产性利益,但其有着获取财物或财产性利益之外的目的。这里的“非法提供”可分为无偿提供和以非财产性利益为目的的提供。
第一,行为人无偿向他人提供公民个人信息主要分为赠与和散播两种形式。赠与形式中,不论行为人是通过赠与有形的物质载体而使他人获取其中承载的个人信息,还是通过互联网等无形载体赠与信息,都属于提供行为。故意散播的行为,主要指未经权利人同意以公开途径将其个人信息进行传播。对于无偿提供的行为,虽然其主观上没有牟利目的,但客观上对权利人合法权益的危害性与出售行为无异,只要违反了国家有关规定,也应属典型的非法提供行为。
第二,以非财产性利益为目的的提供行为应当归入非法提供行为的范畴。此处的非财产性利益指的是不具有直接经济价值的利益,如在人事任免奖惩、升学就业、资格资质评定等过程中获得的名誉、资格等。行为人以获取他人性服务为条件,向他人提供公民个人信息的,就属于典型的非法提供公民个人信息行为。
(三)非法提供的方式
随着信息网络技术的发展,大数据时代信息的收集、流动、利用不断广泛化、普遍化,混杂其中的非法提供个人信息的行为方式五花八门。对非法提供方式的判定关键是要把握好其“非法性”。从行为提供的对象和提供方式的类型看,主要包括以下几类:
1.向特定人员提供公民个人信息
向特定人员提供公民个人信息,即通过网络平台、微信、QQ、直接交易等方式向相对明确的人员或人群提供公民个人信息。“特定人员”既可以是个体,也可以是某类群体。当前侵犯公民个人信息犯罪多与谋取非法利益有关,实际存在的各类个人信息“暗网”交易平台,因其上、下游人员相对清楚,仍属向特定人员提供公民个人信息。
2.向不特定的多数人发布公民个人信息
通过信息网络或者其他途径对所收集的个人信息进行公开发布,虽然没有明确的提供对象,但其本质仍然是向可能访问该信息网络的不特定多数人公开这部分信息,从而对他人的信息权益造成侵害。基于“举重明轻”的法理,既然向特定的个别人提供个人信息已经构成本罪中的提供行为,通过信息网络或其他途径向不特定多数人提供公民个人信息的行为对公民个人信息权益的侵害力更强,可能造成的危害结果也更严重,此类行为更应纳入非法提供行为的范畴进行规制。
3.合法收集公民个人信息后未经同意而向他人提供
根据《信息犯罪司法解释》第3 条第2 款,即便是合法收集的公民个人信息,若未经被收集者同意而向他人提供,仍然符合本罪对于提供行为的规定,可能构成侵犯公民个人信息罪。司法解释的规定与《个人信息保护法》“告知—同意”为核心的个人信息处理系列规则相契合。一些服务性行业从业人员,在提供服务过程中收集、掌握大量的公民个人信息,未经信息权利人同意擅自对外提供而触犯刑律的情况常有发生。
(四)不作为方式提供的认定
不作为方式的提供行为多见于网络服务提供者未履行信息网络安全管理义务,造成严重后果的情形。《信息犯罪司法解释》第9 条规定,网络服务提供者拒不履行信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,造成严重后果的,应以拒不履行信息网络安全管理义务罪定罪处罚。实践中网络服务提供者疏于安全管理的问题比较常见,为更好地推动公民个人信息保护工作,促进网络服务提供者采取切实有效的举动,加强对其所监管信息的保护力度是必然的要求,完善公民个人信息保护体系也必须准确把握拒不履行信息网络安全管理义务罪的适用。
拒不履行信息网络安全管理义务罪的成立要求行为人经监管部门责令采取改正措施而拒不改正。其中责令改正的内容与网络服务提供者的网络管理义务范围直接相关,在责令改正法律文书规定的期限内未采取改正措施的,应当认定为“拒不改正”。可见,该罪行为上以不作为为要件,且这种不作为是长期且持续的。虽然网络服务提供者并未实行向他人提供公民个人信息的行为,但由于其在履行安全管理义务方面的不作为行为,导致公民个人信息泄露等严重后果的发生,为他人侵犯公民个人信息造成了一定的空隙。该网络服务提供者的行为不仅构成拒不履行信息网络安全管理义务罪中纯正的不作为,而且也符合侵犯公民个人信息罪中消极意义上提供行为的标准。
三、窃取公民个人信息行为的认定
(一)窃取行为的司法界定和学理评说
窃取行为是法定的非法获取个人信息行为中的典型类型,《刑法释义》中将其解释为“采用秘密的方法或不为人知的方法取得公民个人信息的行为”,如用摄像机偷拍他人银行卡密码、卡号或者身份证号,或通过网络技术手段获得他人的个人信息等情况。
对窃取行为的认定在一定程度上可参照盗窃罪的认定。盗窃罪中的窃取行为应当具有以下几个特征:一是具有非法占有目的;二是不具备暴力冲突性;三是违背了财物占有人的意志。对窃取行为是否需要具备隐蔽性则存在争论。虽然通说认为其需要具备隐秘性特点,但也有学者提出,“盗窃应当指的是采取非暴力的平和方式,破坏财物的原有占有而建立新的占有”[10],不要求局限于秘密行为,只要采取的是平和的、非暴力的行为,就可以认定为窃取。
由于侵犯公民个人信息罪中的犯罪对象,即个人信息的价值在于其内容,较之传统的财物具有一定的特殊性。因而,对窃取公民个人信息的行为是否以秘密性和非暴力性为必要条件更是需要讨论的问题。笔者认为,对此应根据个人信息是否依附于载体来分别认定。如果是有载体的个人信息,如储存于电脑、U 盘或是传统介质中的,由于可以通过获取信息载体来获得该个人信息,则窃取行为的直接对象——该储存介质是典型的有形物。因而对于该介质的窃取行为可以直接参照盗窃罪的行为构造予以界定,要求手段具有秘密性和非暴力性。而如果是无载体的个人信息,也即储存于网络空间、以数据形式存在的个人信息,由于网络空间不同于物质世界,具有相当的虚拟性,不存在传统意义上的暴力手段,在此情况下,认定行为是否秘密进行和非暴力性已无意义,该类行为也随之失去了窃取的典型特征。笔者认为,此类行为应当认定为以其他方法非法获取公民个人信息行为。
(二)窃取的意图
在窃取行为的意图上,分为认识要素、意志要素和目的要素三个方面。
认识要素主要指对犯罪构成事实的认识方面,行为人是否认知到自己窃取的是公民个人信息而非他人财物。这就从主观方面对侵犯公民个人信息罪和一般的盗窃罪作了区分。如果行为人的主观目的为窃取财物,而事实上窃取了个人信息的载体,在这种主客观不一致的情况下,应当认定为何种罪名,理论上存在一定的分歧。有学者认为,不论其犯罪目的如何,只要窃取的是个人信息的载体,都应当认定为窃取公民个人信息[11]。也有学者认为,为了合理解释窃取行为的主观故意,除非行为人明确认识到自己窃取的对象是公民个人信息,否则都只能构成一般的盗窃罪[12]。笔者认为,应当根据对象错误的理论,认定为盗窃罪未遂,不以侵犯公民个人信息罪中的窃取行为认定。但如果该行为人事后对所获取的个人信息进行出售或利用处理,则应以出售公民个人信息型侵犯公民个人信息罪论处。
意志要素方面,要求行为人对危害行为有明确的认识,对危害结果具有主观上的追求,也即窃取行为的主观方面只能由直接故意构成,过失行为不满足窃取行为的条件。
在目的要素上,行为人必须具备非法占有或牟利目的。在此方面延伸出了对如何判断“占有”状态的讨论。一般的盗窃罪中,窃取行为是否达到既遂以权利人是否失去对财物的占有为基准,但由于公民个人信息可通过复制、翻录等手段实现权利人和行为人的同时占有。因为存在行为人实际占有和权利人并未失去占有的矛盾情形,此处的窃取行为不应以权利人失去占有为准,而应以行为人实际占有信息的时间基点认定既遂。[13]
(三)窃取的方式
从语义学的角度,“窃取”行为本身暗含着积极的动机。参照盗窃罪的认定,本罪要求行为人对自身行为具备内心确认,意志上积极追求结果的发生,主观要素上属于直接的犯罪故意。认定本罪的窃取行为要求行为人对获取公民个人信息手段的非法性及行为的危害性具有明确认知,并在此基础上实施了该窃取行为。
常见的窃取方式主要包括以下几种:
第一,直接窃取公民个人信息。通常表现为利用工作便利窃取本单位所掌握的公民个人信息和通过“盗号”等方式获取公民个信息,通过技术手段或其他方法盗取公民个人微信号、手机号、登录密码、支付密码等行为,属于典型的“秘密的方法或不为人知的方法”,应归入直接窃取行为之列。
第二,侵入计算机信息系统窃取个人信息。指的是未经计算机所有人或系统控制者同意,进入他人控制下的计算机系统并获取个人信息的行为。侵入计算机信息系统的行为与非法获取计算机信息系统数据罪的行为有一定相似之处,但本罪中的侵入行为主观目的是窃取个人信息,后者的目的则不限于此,还可以涵盖其他数据资料等。
第三,其他常见的窃取方式。主要包括:(1)复制、摘抄,指在他人不知情的情况下,复制他人控制下的个人信息;(2)利用网络或其他器材进行监听、监视,此类行为还可能同时构成非法使用窃听、窃照专用器材罪;(3)手机定位,也即通过定位技术,获取终端用户的行踪信息,其实质是在他人不知情的情况下,秘密获取自然人的行踪信息,无异于秘密窃取。
四、以其他方法非法获取公民个人信息行为的界定
(一)以其他方法非法获取行为的司法界定和学界观点
在本罪中,“窃取或以其他方法非法获取”是典型的列举加概括式的立法模式,“以其他方法非法获取公民个人信息”是对非法获取行为的兜底概括性条款。其要素有二,一是“非法获取”,二是“其他方法”。“非法获取”指的是没有法律根据而获得公民个人信息的行为,排除了那些诸如为了国家安全或者侦查机关为了案件侦破等合法事项而采用技术手段调取、获得上述信息行为的非法性。[14]“其他方法”则是一种概括性的开放式规定。
(二)以其他方法非法获取的方式
“获取”行为本身是一个积极的表述,不存在“不作为的获取”形态,因而本罪的行为方式只能是作为。由于以其他方法非法获取行为属于兜底性条款,从语用学的角度进行分析,在该条文的表述结构上,“以其他方法获取”应该是社会危害性与“窃取”相当的行为,常见的包括以下类型:
1.以明显违法的方式非法获取个人信息
在违法性的角度上,与窃取行为相当的行为主要有胁迫、骗取。
以胁迫方式非法获取个人信息是指通过对个人信息权利人的合法权益造成一定损害或者以此为要挟,胁迫对方作出违背真实意思表示的行为。在侵犯公民个人信息罪中,“违背真实意思表示的行为”常表现为权利人受胁迫而交付信息。胁迫行为可以包括明示或暗示、作为或不作为、对权利人本人或其关系人等,只要足以对权利人产生精神上的强制即可。不论权利人是否最终交付个人信息,达成行为人非法获取目的,都不影响胁迫行为的认定。
骗取个人信息是指以虚构事实、隐瞒真相的方法使信息权利人产生错误的认知,以主观自愿的心理交付其个人信息的行为。在骗取行为的认定上,应注意与诈骗罪、招摇撞骗罪的区分。在与诈骗罪的辨析上,虽然行为人的行为情节上有与诈骗行为重合的部分,但因其骗取的对象并非财物而是个人信息,适用特别法优于一般法的规则,应认定为侵犯公民个人信息罪。在与招摇撞骗罪的辨析上,既要考察行为的次数,又应关注法条竞合问题。招摇撞骗罪中,行为人骗取的利益既可以是物质性利益,也可以是非物质性利益,个人信息属于后者范畴。同时,招摇撞骗罪的行为必须具备连续性和多次性的特点。当行为人骗取的是公民个人信息时,应视骗取信息的行为次数是否符合多次的特点,选择适用侵犯公民个人信息罪,或与招摇撞骗罪竞合、从一重罪论处。[15]
以明显违法的方式非法获取个人信息还包括其他方式。如利诱行为,即以金钱、物品或者其他利益为诱饵,使知悉他人个人信息内容的人提供该信息的行为。
2.以形式上合法的方式非法获取公民个人信息
实践中存在许多看似合法实则非法获取公民个人信息的行为,常表现为在履行职责或提供服务的过程中非法收集公民个人信息,主要包括两个方面:
第一,违反国家有关规定,超过法定范围收集公民个人信息。虽然有关单位具备收集、储存、使用公民个人信息的资格,但如果行为人出于单位或个人利益,在法定范围之外要求或引导权利人提供个人信息,则可能被认定为非法获取公民个人信息行为。此类超范围收集信息的行为入罪,需要具体分析,把握的要点包括:主观上为单位或个人牟取利益的目的,强要或骗取的行为方式,不履行告知权利人其提供的个人信息已超出法定范围的义务等。[16]
第二,通过在欺瞒或强迫情况下签署的服务协议,强制或秘密窃取公民个人信息。在智慧社会环境下,相当部分网络服务提供商在提供服务、收集用户个人信息前,会要求用户签署同意其收集隐私等个人信息的服务协议,如若用户拒绝信息收集,则无法使用所提供的服务,从而使得用户同意对本人信息的收集成为获得服务的前提条件,这直接导致用户知情同意原则的失效。笔者认为,虽然用户确实签署了同意收集其信息的协议,但此类行为仍然应当认定为非法获取个人信息的行为。权利人表面上作出了同意,但这种同意实际上是在网络服务提供商的欺瞒或强迫条件下签署的、无效的同意,不能代表用户的真实意思表示,不能肯定这种同意的有效性。
3.非法交换获取公民个人信息
社会生活中,以信息交换的方式获取公民个人信息的情况比较常见,在此情况下,行为人既是公民个人信息的提供者也是获得者,且这种交换行为往往与非法购买、出售公民个人信息行为密切相关。对信息交换行为是否“入罪”,需要综合分析其进行信息交换前获取该信息的行为和交换后使用该信息的行为,也即要将交换行为放在行为人系列行为过程之中进行考察。信息的来源和交换后的使用不违反法律规定,单纯的交换行为不是刑法意义上的侵犯公民个人信息的行为。基于出售营利及其他非法目的的交换行为,则属于犯罪行为。
4.以网络技术手段非法收集公民个人信息
利用信息网络技术非法获取公民个人信息是侵犯公民个人信息犯罪的一种常见行为方式。重点分析“黑客”行为和网络爬虫行为。
“黑客”行为。即针对计算机系统和网络缺陷、漏洞实施技术攻击而获取公民个人信息,其危害性甚于普通的侵入计算机系统获取个人信息的行为,属于刑法打击的重点。
网络爬虫行为。网络爬虫行为是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本,其是信息时代一种常见的数据抓取技术。当前,利用爬虫技术获取公民个人信息越来越便利,侵犯公民个人信息的现象也越来越严重。网络爬虫行为已由单纯的中立技术转而被人们认为是“道德上可疑的并可被视为违法”的技术,已从涉嫌民事违法的技术发展成为涉嫌构成刑事犯罪的技术[17]。
当利用爬虫技术非法收集公民个人信息对公民信息权利造成损害或危险时,爬虫行为属于刑法意义上的“以其他非法侵犯公民个人信息的行为”。对此,核心是正确认识爬虫行为的非法性,其主要判断标准有形式判断和实质判断两个层面。第一,判断爬虫行为形式上非法的重要标准是其违背合法性原则而获取公民个人信息。我国《个人信息保护法》第5 条明确确定处理公民个人信息“应当遵循合法、正当、必要和诚信原则”,《网络安全法》、全国人大常委会通过的《关于加强网络信息保护的决定》、工业和信息化部制定的《电信和互联网用户个人信息保护规定》等“国家有关规定”均明确了个人信息的取得、适用等要遵循合法性原则。如果爬虫行为违背合法性原则,无疑是非法的,将不再是技术中立的行为,而属于“非法获取型”侵犯公民个人信息违法犯罪行为。第二,认定网络爬虫行为构成犯罪除进行“非法性”形式判断外,还需从实质价值层面来作进一步判断,主要是考量是否有正当化阻却事由。[18]比如,爬虫行为经过授权或许可阻却其“实质非法”,不构成犯罪。反之,如果爬虫控制者在未获取用户同意的情况下抓取其个人信息,则有可能满足侵犯公民个人信息罪的行为构成,达到刑事可罚性要求即构成侵犯公民个人信息罪。又如,行为人利用网络爬虫技术非法收集的公民个人信息无法识别特定自然人的身份,因该信息不符合公民个人信息“可识别性”的本质特征,则爬虫行为不构成侵犯公民个人信息罪。
关于“人肉搜索”行为。“人肉搜索”指的是发起人通过互联网,借助大量社会公众的力量,不断补充、完善和整合信息,并公之于众的行为,其过程中往往会侵害他人的个人信息权。学界关于如何规制“人肉搜索”行为,存在道德规制论、网络内部规制论、民事规制论、行政和刑事规制论等学说。笔者认为,“人肉搜索”行为虽然属于以其他方法非法获取公民个人信息行为,但不应以侵犯公民个人信息罪进行评价。一方面,虽然“人肉搜索”行为客观上确实对他人个人信息存在收集整合(获取)、在网络上公开发布(提供)的情节,但如何判断该行为是“非法获取”则存在困难。现行法律中,虽然存在一些禁止开展人肉搜索违法行为的规定,但层级较低,并不属于刑法第253 条之一中规定的违反“国家有关规定”。另一方面,“人肉搜索”行为具有相当的复杂性,由于参与主体众多,发展环节层层推进,对个人信息的共享提供及整合行为实际上是一个完全的整体,难以对各参与主体所起到的具体作用进行准确评价,继而难以对各主体所应承担的责任进行厘清。[19]因此,虽然“人肉搜索”行为客观上符合非法获取公民个人信息行为特征,但更应通过行政手段进行处罚。
五、余论
侵犯公民个人信息罪是典型的抽象危险犯,是立法中抽象危险犯扩张的产物,只要行为人实施了出售、提供、购买、窃取、非法获取公民个人信息等行为,就可以认定为具有违法性,而不考察行为是否实际侵犯了法益或者制造了法益侵害的危险。[20]尽管我国刑法中的本罪为情节犯,“情节严重”才构成犯罪,但与欧洲推崇行政监管,美国倚重民事救济相比,刑事追诉是我国个人信息保护领域应用最广泛的法律手段,[21]加之我国侵犯公民个人信息罪具有适用主体广、入罪门槛低等特征,如何在发挥刑事规制有效作用的基础上,防止刑事手段的过度扩张、恣意甚至滥用带来的后果或危险,保持刑法的谦抑性,是一个需要高度重视的课题。从行为构造的角度对侵犯公民个人信息犯罪行为进行类型化分析,把握好其犯罪构成的核心要素,是一种有效的路径。同时,《个人信息保护法》的出台和实施,同样会对侵犯公民个人信息罪的立法完善和司法实务带来便利和挑战,对刑法修正案进行再修正、对司法解释进行再完善,也就成为必然。