财产信息的规范边界与适用规则
——以我国刑法中侵犯公民个人信息罪为例
2023-01-08李嘉程
● 李嘉程 马 聪/文
近年来,随着互联网技术的发展,公民个人信息的安全与法律保护已经成为理论和实践中的重要课题。在刑法领域,国家对公民个人信息的保护日渐重视,关于公民个人信息刑法规制的规则几经修改最终设定为侵犯公民个人信息罪,本罪在犯罪主体和法益保护范围方面都呈现出不断扩大、不断细致和日渐精确的趋势。2017年“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)出台,进一步为本罪的司法适用提供了更为明确和具有可操作性的标准。然而,刑事司法实践中的具体案件始终具有各异性、多样性和疑难性,尤其是近来出现的一些新型案例,《解释》在具体认定方面已经难以直接提供明确的指示性标准,需要司法实践工作者根据侵犯公民个人信息罪的立法目的以及法益进行规范性和体系性解释,进而才能对新型疑难案件正确定罪量刑。本文拟结合一些地区司法实践中出现的侵犯公民个人信息罪的新型疑难案件,就其中一些具体问题进行探讨。
一、问题与意义
近来,司法实践中侵犯公民个人信息罪主要涉及到本罪司法解释中的财产信息的概念、财产信息与其他信息特别是交易信息之间的界限,以及财产信息在具体案件中如何进行规范性判断的问题。
[案例一]赵某系某物业服务公司的部门主管,被单位指派到公司新接手的一楼盘中从事具体的物业管理工作。赵某利用职务之便,将自己工作中所接触到的含有业主姓名、电话、民族、身份证号码以及户号和户型的千余条业主信息以EXCEL文档形式发送给从事二手房交易中介的好友,后因业主大量投诉而案发。
[案例二]陈某系某房地产经纪公司的业务员,主要从事一手房交易中介服务。陈某把自己近3年来销售房屋的信息以及从其他渠道获得的其他业务员的房产销售信息进行汇总整理做成表格,以每份500元的价格将信息表格分别卖给一些教辅机构、健身机构、二手房经纪中介机构以及股票、期货等机构,获利近四万元。其中,这些信息总数达两千余条,包括购房者的姓名、身份证号码、具体住址、购买房屋的户型、价款、折扣比例等等,后案发。
[案例三]王某系某基金公司高管,管理十多人的销售团队。后王某和公司其他高层领导因股权问题产生不和,动了离职念头。王某便将自己团队近3年来的销售信息进行整理汇总,形成了包含基金购买人的姓名、身份证号码、家庭住址、基金购买种类、数量、工作单位和联系方式等内容的近500条电子信息文档,以便跳槽之后与这些客户资源尽快对接产生新的效益。王某入职新基金公司之后,将这些信息发送给自己的4个下属,让下属与这些客户联系,推销新公司新产品,后因客户投诉以及原公司报案而案发。
仔细研读《解释》可以发现,事实上该解释仅仅规定了财产信息、轨迹信息、交易信息等入罪的不同数量标准,但并没有再进一步明确区分财产信息与其他信息之间的概念界限。然而,近来新出现的新型案件,就恰恰在财产信息的认定特别是与交易信息的界限问题上出现了争议,从而影响到案件的正确处理。显然,在我们所列举的三个案例中,如果将这些信息认定为财产信息,行为人就很容易入罪,相反若认定为交易信息或其他信息,行为人则很难入罪。因为《解释》明确规定了财产信息50条则可以入罪,交易信息500条,其他信息则5000条才可以入罪。并且,在调研过程中我们发现,对于此类案件,公诉机关往往试图运用形式解释的方法,将这些信息类型认定为财产信息。其基本思路为:将财产信息这一概念进行字面意义的理解,首先分别对“财产”和“信息”进行字面含义解释,然后综合得出“财产信息”字面含义。案例一中由于出现具体的房产户型、位置的信息,而这种房产具体的价值可以通过房地产销售市场均价便可以确定,显然属于可以固定和确定的财产,那么这种信息自然可以认定为财产信息。案例二则更加明显,这些信息中包含了房产的价款和折扣信息,房产无疑是财产,自然这类信息属于财产信息无疑。案例三也同样如此,基金购买数量本身就是含有金钱价格的标识,基金属于财产无疑,那么这类信息也可以理所当然的认定为财产信息。按照这种逻辑,入罪的门槛和标准自然降低很多,也非常容易便捷。但事实上,这样形式解释的思维方式,是否符合罪刑法定原则,是否符合本罪以及《解释》的立法目的和精神,是否真正有利于保护犯罪嫌疑人和被告人的合法利益,是值得怀疑和反思的。毕竟,从实践角度讲,如何认定这种信息性质和种类,直接关系到犯罪嫌疑人或被告人的数年的人身自由,关系到司法机关自身的办案质量以及社会效果;从学术角度讲,如何认定这类信息则关系到是否真正贯彻罪刑法定原则,关系到刑法解释的方法的合理运用乃至对刑法立法目的和精神的理解程度。事虽小但却影响到案件办理质量与效果,不可不察,不可不慎重。
我们认为,对于此类新型案件财产信息的司法实践认定思路值得反思。应当在规范论的意义上,结合本罪的立法目的以及《解释》具体条款体系,进行综合性和整体性考虑,在对财产信息进行字面解释的基础上,进行恰当的规范性限制,设定其规范边界。
二、财产信息的规范边界
(一)财产信息的法益位置限制
众所周知,除了贪贿渎职类犯罪以及涉及军人和国防利益犯罪之外,我国刑法分则基本是按照法益的基本性质和类型进行分章和分节的。这就是说,法益的性质和类型,对于具体罪名的性质和排序具有抽象性的制约意义,对于具体案件的准确认定具有原则性的指导作用。在具体案件的司法适用过程中,当对具体条文的理解产生矛盾、冲突或不确定时,则需要从具体罪名以及章节的法益性质和类型的层面考虑具体条款的规定和含义。[1]既然如此,在对侵犯公民个人信息罪的具体概念存在分歧的时候,自然应当从本罪法益的基本性质和位置等角度进行综合考量和分析,从而得出正确结论。
对于侵犯公民个人信息罪,有些文献将其法益性质界定为具有公共安全意义上的属性,因此才值得刑法保护,[2]我们认为这种理解并不恰当。我国最高立法机关将本罪放在侵犯人身权利、民主权利这一章之中,而且,本罪的条文重在强调公民信息的个人属性,因此可以确定的是,正是因为某些情形严重影响到了公民的人身安全才被立法者入罪,并规定在侵犯公民人身民主权利罪的章节中。比如,轨迹信息和征信信息之所以被立法者如此重视,就是因为此类信息可以十分轻易和准确的将属于个人高度隐私的具体位置、家庭住址、财产状况、负债情况暴露在信息持有人手中,而被害人的人身安全风险就会大大提高。同样,将反映个人的财产财富现实状况的财产信息轻易暴露在信息持有人手中,则会增大公民个人的人身安全风险。
侵犯公民个人信息罪正是因为属于侵犯公民人身和民主权利犯罪的范畴,这就意味着,特定信息包括财产方面的信息只有影响到公民的人身民主权利的时候,才能被认定犯罪。正因为如此,最高司法机关在《解释》的制定说明中明确指出,财产信息等“公民个人敏感信息涉及人身安全和财产安全,被非法获取、出售或者提供后极易引发绑架、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性”,可以看到,《解释》制定者实际上就是考虑到财产信息涉及到人身财产等方面的恶性犯罪风险,才将其入罪门槛降低到50条的标准。由此而言,我们所举的三个案例所涉及到的信息,无疑属于公民个人信息,不可否认的是这些信息中的确含有能够让他人知悉的财产状况内容。但是,这些信息由于仅仅提供给相应的商业机构,事实上并没有直接引起被害人的人身和财产安全风险,因此,将上述信息认定为财产信息而入罪并不恰当。
(二)财产信息的社会相当性限制
我国刑法法条以及《解释》虽然没有明确财产信息的概念和范围,但是,根据体系解释的学术思路,对于财产信息概念和范围的认定应从法条以及《解释》的体系结构进行综合考虑,即对财产信息及其类似或同类概念的基本内容和社会重要性进行综合衡量和规范判断,即采用相当性的原理进行综合考量,从而准确界定财产信息的概念和范围。
基于此,我们在《解释》中可以很清楚的看到,财产信息与轨迹、征信与通信内容等信息并列作为一类,并对非法提供此类信息的犯罪行为规定数额如达到50条即可入罪。前文已述,最高司法机关认为此类信息是个人信息不同类型中最为重要的一类,这类信息的隐私程度最高,并极易准确的识别被害人的人身位置与财产状况,引发其他人身财产犯罪的风险最高,因此刑法以最严格的方式加以保护。与此同时,交易信息则与住宿、通信记录以及健康生理等信息并列,其隐私程度相对于前一类信息则较低,而且引发其他人身财产犯罪的风险较高,刑法则以相对于第一类信息较弱的手段予以保护,由此规定了数量500条为入罪标准。
显然,最高司法机关的司法解释将财产信息与征信、轨迹与通信内容并列,而与交易信息相互区别,意在强调财产信息在内容、社会意义以及大众观念上的重要性。
我们知道,征信信息含有除了个人身份证号码、姓名、常用住址、联系方式之外,最重要的内容是关于个人的信用卡或各种贷款的使用、负债以及逾期情况,或者是涉及司法判决的履行情况;而轨迹信息则除了个人基本信息之外,最重要的是涉及个人的乘坐交通工具、宾馆开房记录、手机实时位置以及银行卡取款刷卡等信息;通信内容则明确为具体与什么人都说了些什么等极具私密性的事项。可见,此类信息从性质上看具有高度的隐私性,而且从内容上看则此类信息直接能够清晰准确体现被害人的财产、行踪甚至隐私状况。换言之,此类信息从整体上看,其主要内容是高度准确并直接承载和表现被害人财产、行踪或隐私状况的信息事项,而且在大众观念眼中,这些事项自然也是极具个人隐私性和极端重要意义并不希望为外界所知悉的。那么,根据相当性的原理,财产信息自然也应当具有上述特征,即能够高度准确并且直接承载和表现被害人财产状况的信息。通俗言之,财产信息应当意味着当我们社会一般人拿到该信息时,该信息因为直接表明了信息所有人的财产状况,一般人能够直接、立即、准确的从信息中得知信息所有人的财产状况,而不需要进行推算、估价或进一步结合其他信息或方法才能准确获知信息所有人的财产状况。我们所举案例中的个人信息,都是从商品交易或金融活动中产生的,当我们拿到此类信息时,还必须依靠其他方法或信息才能估算信息所有的财产状况,而非直接获得。另外,征信、通信内容以及轨迹则有固定性和稳定性的特点,即信息中所载事项基本是客观而稳定的,因此,财产信息也应当具有这一特点。从这一特点而言,基金交易信息中的购买数量虽然涉及到财产内容,但事实上并不具备客观、固定和稳定性的特点,因为基金可以赎回或者再交易,其中有盈利有亏损,甚至还可以通过配资等方式进行购买,显然这并不能客观和完整地体现信息所有人的真实财产状况。
(三)财产信息的获取方式限制
征信、轨迹与通信内容等信息,刑法之所以进行最严格等级的保护,还有一个重要的考量,即此类信息在法律上具有明确和清晰的“规范禁止性”。[3]也就是说,我国在刑法之外的相关法律规范之中,已经明确非常严格的限制类似征信、轨迹和通信内容信息获知主体、内容以及程序和方式。如,征信记录除非个人从事特定银行业务之外,只有司法机关在办理相关司法案件过程中有权获知该信息;个人轨迹除在特定刑事案件经特定审批程序之外,任何人都无权获得;通信内容也有类似的严格规定。在国家在法律层面以明确的方式严格限制此类信息的获知主体、内容、程序和方式的情况下,行为人仍然故意违背法律之规定而获取此类信息,自然说明行为人的社会危害性和主观恶性巨大,因此才在刑法中予以严惩。作为具有于此三种信息具有相当意义的财产信息,自然也应当具有这样的规范性特点。换言之,财产信息的合法获知主体、内容以及程序和方式等,也应当具有严格的限制。如,在司法程序中,查询一个自然人的财产状况,只有法院开具调查令,或者由刑事司法机关依法调取证据的过程中,才能获知特定人的具体财产状况,而此种财产状况,才正是刑法意义上的财产信息。相反,我们案例中所举的信息获得方式、获知主体、内容以及程序和方式等等,并非经特定司法机关凭借法定程序就可以完全获知,获取方式也相对容易,这也意味着,刑法并不会像保护轨迹、征信或通话内容那样严格保护此类信息,即将所举案例中的信息类型认定为财产信息是不恰当的。
三、财产信息适用与认定的规范思路
我们认为,在侵犯公民个人信息罪的司法适用实践中,对于财产信息应当从严认定。首先辨别是否属于公民个人信息,再结合法益位置、社会相当性与获知方式,对财产信息适当作出限制性理解,唯此,才能符合本罪的立法目的与精神。对此,最高司法机关在制定司法解释的新闻发布会的背景说明也曾予以明确确认,该说明指出:非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的。行踪轨迹信息、通信内容、征信信息、财产信息与人身安全、财产安全直接相关,系高度敏感信息,《解释》第5条第1款第3项将入罪标准设置为“五十条以上”。需要注意的是,鉴于本项规定的入罪标准门槛较低,故此处严格限缩所涉公民个人信息的类型,仅限于行踪轨迹信息、通信内容、征信信息、财产信息四类信息,不允许司法适用中再通过等外解释予以扩大。对于行踪轨迹信息、通信内容、征信信息,司法实践中在认定上不存在争议。对于财产信息,可以根据案件具体情况把握,既包括银行账户、第三方支付结算帐户、证券期货等金融服务账户的身份认证信息(一组确认用户操作权限的数据,包括账号、口令、密码、数字证书等),也包括存款、房产等财产状况信息。[4]
根据这一思路我们认为,案例一中的信息虽然涉及到房产的信息内容,但该信息并没有明确表明房产的价格和价值,需要借助对照或估价等其他手段计算之后才能间接确定该房产价值,因此不适合认定为财产信息。案例二和案例三在司法实践中争议最大。不可否认,案例二中的房产信息非常具体,含有户型、单价以及相应的总价等等,将其认定为财产信息似乎也说的过去;案例三中的基金购买数量信息也明显含有特定的财产内容,似乎也可以将其认定为财产信息。然而,我们认为,对此还应该结合社会相当性、一般常识性观念以及交易目的和社会效果等进行综合性分析。案例二和三中的信息并不需要经过特定审批手续,也不必经特定的刑事司法机关就可以获知,而且这些信息从产生过程而言都是在商品买卖和交易中产生的,信息产生和存在的载体是交易过程,与交易的关联性更加紧密,因此将案例二和三中的信息定性为交易信息比较合适。
试想,一个人到珠宝店买一个价值10万元的黄金戒指,当珠宝店详细记录了客人的电话、联系方式、身份证号码、所购戒指的型号和支付金额之后,形成相应的购买记录信息,我们将这种购买记录信息拿给没有受过刑法专业训练的社会大众来判断,绝大部分人则会将其定性为交易信息。这就说,作为受过专业法律教育的司法实践人员,在对一些疑难和争议案件进行认定时,除了在规范论的角度进行思考和寻找依据之外,同时需要考虑社会一般公众的认知能力和大众的普遍性认知观念。另外,案例二中的行为人在向他人提供信息时,仅仅是用于普通商业性的交易,案例三中的行为人则根本没有谋取利益的目的,仅仅是为了开拓市场和开展业务。两个案例中的非法提供行为并不会直接对被害人的人身权利和财产权利产生极大现实危害或危险。因此,将这些信息认定为财产信息予以从严处罚并不合适。
当然,对于案例三,有司法机关明确认为,基金行业属于特殊性的金融行业,它有特定的准入制度和特殊的保密制度,购买基金的数量和交易记录信息与购买戒指的交易信息有着巨大差别,因此,为了保护基金行业的信息安全,应当把这种信息认定为财产信息。然而,事实上,基金行业所特有的准入和保密制度,本身就是为了更好的保护客户的财产安全,主要是针对基金从业人员的行为所做出的限制性规定。在案例三中,行为人获知并整理的客户信息,是在交易过程中产生,并且仅仅是在同行业流动和竞争过程中使用,甚至没有超出本行业的范围,仅以交易为目的的提供行为根本不会对客户造成人身和财产的巨大风险。
虽然《解释》已经明确指出,对征信、轨迹、财产以及通话内容等四类信息进行了最高等级的刑法保护,将入罪门槛降到极低,但是,个人信息的合法保护与合法使用本身就是相辅相成的关系,基于罪刑法定和均衡原则,对入罪门槛极低的这四类信息不适合做扩大解释。但实际上,在这四类信息中最容易形成“口袋性”概念的就是财产信息,因为任何商品在交易过程都会形成客观和固定的交易记录信息,而这种交易记录信息中则自然含有商品的价值或价格,若根据字面意思理解,这种交易记录信息则可以顺理成章的定性为财产信息。若此,凡是在不动产或大型动产交易过程中产生的信息,都可能被纳入财产信息的范畴而予以入罪,那么,根据财产信息数量达到50条即可入罪的标准,必然会使大量侵犯公民个人信息的行为入罪。对财产信息进行前述扩张性解释,有意无意的扩大入罪范围,虽然在短期内可能对社会上高发的侵犯公民个人信息的违法犯罪行为有一定的震慑效果,并为侦查和公诉机关办理案件带来一定的程序和证据便利,但从长远而言,这种做法实际上是与罪刑法定原则相违背的,也不利贯彻罪刑均衡、宽严相济和区别对待的刑事司法政策。
四、财产信息边界与适用规范化的法治意义
在侵犯公民个人信息罪中对于财产信息的边界以及适用逻辑的确定,应当着眼于规范论,以《解释》中对个人信息明确界定为根据,综合考虑财产信息在司法解释中的位置,从本罪的立法目的与精神、法益位置、社会相当性以及获取方式等角度,适当考虑社会公众的基本常识和通常观念,对财产信息的字面解释予以适当限制,从而避免入罪门槛过低而造成违背罪刑法定原则现象的普遍发生。
首先,对财产信息进行限制性理解,符合本罪立法目的与基本精神,有助于真正贯彻宽严相济的刑事政策。侵犯公民个人信息罪属于侵犯公民人身民主权利犯罪的章节体系之中,那么之所以将个人信息作为犯罪对象,则必然是因特定信息与公民人身民主权利有重大关联,或者该信息与公民财产状况有重大关联而引发公民的人身权利危险。这一说法,应当是对本罪进行体系解释和理解过程中当然的合理结论,因此,对于非法提供没有危及到公民个人人身财产安全的信息,则不适合入罪。本着这一原则,对财产信息进行限制解释,特别是最高司法机关主张严惩非法提供财产等四类信息的情况下,保证入罪的准确性和法定性,无疑对于贯彻罪刑法定原则具有重要的意义。并且,在互联网技术日益发展的当下,侵犯个人信息的各种违法行为虽然日渐增多,但真正严重侵犯或威胁公民人身和财产权利的行为方式以及提供的信息种类对象,也就是那么有限的几类。更何况,保护公民的个人信息安全和生活安宁,不只是刑法的任务,行政法、侵权法等其他法律也承担不可懈怠的责任。刑法已经将特定种类的信息种类以明示方式给予最高等级的保护,那么其他法律规范则应该从违法信息治理的前端予以充分作为,如在行政领域加强物业、房地产中介、电话销售、保险、物流、金融等相关行业的监管,从源头上避免个人信息的泄露,只有刑法和其他法律协同合作,才是治理侵犯公民个人信息违法犯罪行为的治本之策。侵犯公民个人信息罪将特定种类的信息予以严惩,仅仅是展示对最为重要的四类信息的从严态度。同时,对于其他信息的入罪标准的差异化设定,也是在展示对其他信息的从宽态度,如果通过对财产信息进行毫不限制的扩大性和入罪性解释,则自然会违背刑法的立法目的与意图。
其次,在财产信息的认定上如果不统一采取规范性限制,则可能在司法实践中导致个案判断的随意化,反而不利于刑事司法公信力和大众守法意识的培养和塑造。前文已经指出,如果对财产信息进行字面含义的解释,则凡是能够体现财产和价值内容的信息都可能被认定为财产信息,而且由于不同司法机关可能由于各种原因对于财产信息的认定尺度和范围变得更加宽窄不一,加剧不同地区的刑事司法的不确定性。若此,社会一般公众就很可能对类似案件的整个刑事司法的过程产生质疑,甚至抵触心理,违背社会大众心中的朴素和直觉性的公平正义心理,反而不利于充分发挥刑事司法的社会预防和引导教育功能。
注释:
[1]参见张明楷:《刑法分则的解释原理》,中国人民大学出版社2011年版,第3页。
[2]参见刘宪权、房颖慧:《侵犯公民个人信息罪定罪量刑标准再析》,《华东政法大学学报》2017年第6期。
[3]参见[德]克劳斯·罗克辛:《德国刑法学总论(第2卷):犯罪行为的特别表现形式》,王世洲等译,法律出版社2013年版,第7页。
[4]参见2017年5月9日颜茂昆等就《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》新闻发布会中所作说明。