非法获取型侵犯公民个人信息罪中“其他方法”的规范判断
2023-03-12李瑞
李 瑞
(西北政法大学,陕西 西安 710063)
一、问题的提出
刑法为非法获取型侵犯公民个人信息罪规定了“以其他方法非法获取”,2017 年发布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)明确“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息”的行为属于“以其他方法非法获取”,同时在第5 条进一步细化了“情节严重”的认定。然而该解释仅通过不完全列举的方式明确了“购买、收受、交换等”属于“以其他方法非法获取”,并没有真正提供实质标准。同时,《解释》所列举的“购买”“收受”“交换”等“获取”方式均为“行为性质中立的”行为①参见骆群:《对侵犯公民个人信息罪客观行为的解读》,载《法治论坛》2022 年第2 期,第293 页。,因而冠以“违反国家有关规定”的前提,这是否意味着《刑法》第253 条之一第3 款中的“以其他方法非法获取”的行为方式只能与《解释》所列举的行为方式同质也存在疑问。
许多非法获取型侵犯公民个人信息罪的司法判决中都出现了过分扩张认定非法获取行为的倾向,例如在(案例一)张某侵犯公民个人信息案中②参见广东省深圳市福田区人民法院(2017)粤0304 刑初247 号刑事判决书。,张某在公司微信群下载他人上传的含有大量公民个人信息的文件的行为被认定为“非法获取公民个人信息,情节严重”而构成侵犯公民个人信息罪,而并未考察其在获取该大量信息的目的和后续利用活动。在(案例二)张某等侵犯公民个人信息、诈骗案中③参见浙江省衢州市中级人民法院(2019)浙08 刑终333 号刑事裁定书。,被告人利用从网络上下载的公民头像制作3D模型,实名注册支付宝账户,获取支付宝相应奖励,人民法院认为其获取信息用于实施诈骗犯罪活动而认定获取行为的非法性,其行为构成侵犯公民个人信息罪。在(案例三)刘某侵犯公民个人信息案中④参见广东省深圳市福田区人民法院(2021)粤0304 刑初997 号刑事判决书。,刘某通过网络下载、从朋友处获取、购买等方式获取客户信息后供业务员联系客户并赚取服务费用,人民法院均将其认定为非法获取行为。此外还存在将为推销产品或招揽业务而购买或者通过其他方式收集个人信息的行为认定为侵犯公民个人信息罪,但又适用缓刑的情况⑤例如江苏省建湖县人民法院(2021)苏0925 刑初440 号刑事判决书;河南省鹿邑县人民法院(2022)豫1628 刑初67 号刑事判决书;浙江省余姚市人民法院(2021)浙0281 刑初1156 号刑事判决书等。。在上述案例中,要么仅存在违法获取公民个人信息的行为,只要达到《解释》所规定的“情节严重”的数量规模,即认定为本罪而并不实质考察其获取信息的目的、后续使用行为是否对相关信息主体的人身财产权益造成威胁等,要么由于其将获取的公民个人信息用于违法犯罪活动而并不考察其获取行为是否具有非法性而直接认定为本罪的情形。
司法认定过于宽泛,其原因在于刑法规范不能对作为犯罪的非法获取行为进行明确定型,“以其他方法非法获取”的兜底性规定无法为司法适用提供明确指引。非法获取公民个人信息行为处于侵犯公民信息权益及其他人身财产权益的前端,且该行为并不会直接导致公民人身财产权益受损,与核心法益之间存在一定距离,对该行为的规制本身即是刑法防线的前移。社会发展无时无刻不依赖于信息的流通与利用,如果不能准确把握刑法所要规制的非法获取公民个人信息行为,将导致刑法过度介入社会生活。
此外,尽管根据体系解释和有关司法解释规定,以其他方法非法获取公民个人信息依然需要达到“情节严重”才能构罪,但是由于《解释》规定了明确的数量规模,在司法认定中只要将行为认定为非法获取行为,往往很容易达到“情节严重”的认定标准,因而对于情节轻微、危害不大的非法获取行为,实践中往往通过判处缓刑的方式实现罪刑均衡。因而解决问题的关键仍在于通过对“以其他方法非法获取”行为确立更加实质的判断标准,以防止本罪认定范围过于宽泛,刑法触角从犯罪圈伸向违法行为圈。
二、非法获取公民个人信息的规范实质与本罪保护法益
个人信息不同于传统财物,获取公民个人信息行为形式上表现为信息的转移,实质上是个人信息权益利用主体的扩大,其本身无涉价值,只是获取手段或方式的非法性使其具有了负面价值。因而刑法提前介入规制非法获取行为,其规范实质在于公民个人信息权益由于转移手段的非法性而升高被非法利用的危险。鉴于此,本罪的保护法益是公民个人信息之上的人身财产权益和公共信息安全流通秩序,前者既是本罪保护的核心法益,也是对后者的侵犯是否达到实质可罚程度的重要判断依据。
(一)非法获取公民个人信息的规范实质
公民个人信息之所以值得保护,在于其上的公民人身财产权益,“个人信息逐渐发展成为与公民个人权利相关的客观存在,是需要从法律上对公民个人信息予以保护的原因”⑥参见杨军、杜宇:《非法获取公民个人信息的规范阐释》,载《人民司法》2022 年第10 期,第10 页。。同时,刑法将直接侵害信息流通秩序的非法获取行为规定为侵犯公民个人信息罪,也意味个人信息的刑法保护同样关注公民个人信息在流通过程中的安全。如有观点认为,“在刑事领域,公民个人信息的法益目前或者在未来一段时间应当定位在流动安全之上”⑦参见陈小彪:《侵犯公民个人信息之法益厘定及其司法展开——以个人信息数量认定为视角》,载《中国人民公安大学学报(社会科学版)》2022 年第2 期,第79 页。。《个人信息保护法》第4 条规定了个人信息处理行为,作为个人信息处理的第一步工作即为个人信息的收集,在刑法条文中的表述即为“获取”。由于刑法规范关注法益的保护,并以此为目标,对于获取公民个人信息的行为,其关注核心仍应是公民个人信息所承载的公民个人相关利益安全。以此作为出发点,检视刑法规制非法获取公民个人信息的规范实质,能够明确非法获取公民个人信息行为的刑法保护与前置法规范保护之间的关系。
刑法关注的权益客体,即附着于个人信息之上的随着个人信息被收集可能受到影响的个人权益,是其刑法规范属性的核心。又因为获取公民个人信息行为本身表现出的个人信息的流通特点,其在规范上则表现为个人信息权益在不同主体间的转移⑧参见前注⑥,杨军、杜宇文,第11 页。。个人信息具有的非排他性以及再生性、交互性和分享性等⑨参见于改之:《从控制到利用:刑法数据治理的模式转换》,载《中国社会科学》2022 年第7 期,第62 页。都使个人信息的转移同传统财物转移所导致的占有和所有状态发生变化有所不同。公民个人信息的窃取等转移获取方式,同一般意义上的窃取、获取或者其他方式转移相比,并不会打破公民个人信息主体对其个人信息原有的占有状态,只是扩大了其占有主体。但这种占有主体的扩大也直接影响和威胁了个人信息主体的权益,个人信息的价值和其公共属性正在于“信息利用利益”⑩参见蔡燊:《侵犯公民个人信息罪的保护法益及其运用——从个人信息的公共属性切入》,载《大连理工大学学报(社会科学版)》2022 年第3 期,第77 页。,因而单纯的信息收集和获取并不会导致公民权益的直接损害,只是使其他行为主体也获取了“信息利用利益”,但是未经同意或允许的非法手段收集和获取个人信息的行为,升高了信息被非法利用的危险。《个人信息保护法》明确指出其立法目的在于“促进个人信息合理利用”,通过合法手段而为的获取行为所存在的信息非法利用风险在一定程度上为法律所允许,也为社会公众所接受。相应的,利用非法手段而为的获取行为,不仅为法所不允许,而且几乎必然使得公民个人信息面临被非法利用的危险,尤其是在买卖公民个人信息等交易手段获取中。刑法作为行为规范,明确宣示了不允许以非法手段获取公民个人信息,也在于消除个人信息转移过程中的负面价值。
由此可见,公民个人信息的收集和获取本身只是个人信息的转移,值得关注的是其“信息利用利益”,非法获取方式对公民个人信息权益的损害并非针对公民个人信息本身,而是对其上所承载的一旦被不法利用则遭到损害的信息主体的人身财产权益,同时直接损害了公共信息安全流通秩序。公民个人信息权益的转移实质上使得个人信息权益的利用主体扩大,刑法规制非法获取行为的规范实质则在于公民个人信息权益由于转移手段的非法性而升高被非法利用的危险,从而保护信息安全流通秩序。
(二)本罪的保护法益
实践中非法获取公民个人信息行为往往伴随着后续提供、出售等行为,甚至是作为实施诈骗等违法犯罪活动的预备行为,也正因为如此,刑法才要提前规制此类行为。然而并非所有非法获取行为均需要运用刑罚手段进行规制,对于仅存在非法获取行为或者非法获取公民个人信息后仅用于自身商品的推销等活动的情形一律认定为犯罪既不符合法益保护原则,也有悖于刑法目的的实现。因而,有必要明确本罪保护法益以为“其他方法非法获取”的判断提供实质根据。
犯罪的实质在于行为对刑法法益的侵害,只有对刑法规范所保护的法益造成侵害的行为才有可能成为犯罪行为,以此为指导对构成要件进行解释的结论才能实现刑法规定设立该规范的目的⑪参见张明楷:《法益初论》,中国政法大学出版社2000 年版,第216 页。。对于侵犯公民个人信息罪的保护法益,学界主要存在个人法益说、超个人法益说以及混合法益说等不同观点。结合《刑法》和《解释》对于该罪的规定、公民个人信息的个人和社会属性以及侵犯公民个人信息行为的特点,本文认为本罪旨在保护公民个人信息之上的公民人身财产权益,同时也注重保护以公民对信息流通安全的信赖为核心的公共信息流通秩序。
从公民个人信息所具有的个人属性来看,公民个人信息之所以值得保护,在于个人信息除其固有的记录功能,其与公民重大人身、财产法益之间的关联越来越紧密⑫参见王肃之:《侵犯公民个人信息罪行为体系的完善》,载《河北法学》2017 年第7 期,第152 页。。也正是由于其本身所承载的各种利益,各种侵犯公民个人信息的行为层出不穷,并成为滋生其他财产或人身犯罪的源头环节。侵犯公民个人信息罪规定在“侵犯公民人身权利、民主权利”一章,这一立法安排即彰显了公民个人信息法益的人身属性。《个人信息保护法》规定了以“知情—同意”原则作为个人信息处理的基本原则,也凸显了公民个人的自我意志在个人信息保护领域的支配性地位。但是本罪保护的法益并不仅是个人信息自决权,因为对于大多数个人法益,刑法都尊重个人在一定范围内享有的自我决定权,其在刑法理论中的体现即为符合特定条件的被害人承诺能够阻却行为人侵害其法益的行为的刑事违法性。所以,自决权应作为法益主体对其法益所具备的一种权利,不宜将此种自决权定位为本罪的保护法益。借助“违反国家有关规定”和“被害人承诺阻却违法”,个人信息自决权受刑法保护是显而易见的。况且如前所述,刑法之所以注重保护个人信息安全,乃源于其与公民人身、财产利益存在重大关联,一旦被非法利用,将会给信息主体的人身或财产权益造成不确定的损害,当公民行使个人信息自决权时,实际上也是对个人信息之上所附着的人身、财产权益的处分或是对这种风险的接受。因此,其真正值得刑法保护的是作为自决权对象的个人信息本身所承载的某些利益。因而,即便主张本罪保护法益为个人信息权的观点也同样关注个人信息的人格和财产双重属性⑬参见于冲:《侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界》,载《政治与法律》2018 年第4 期,第21 页。。诚然,对公民个人信息的保护,其核心在于公民个人信息本身所承载的人身和财产权益,对于各种侵犯公民个人信息的行为,直接导致公民人身财产权益受损的是对个人信息的非法利用行为,因而惩治尚处于侵犯公民个人信息行为前端的非法获取、出售、提供公民个人信息行为也体现了源头治理的思路。
尽管公民个人信息对公民个人本身具有重要价值,并不意味着否定其所具有的公共属性。一方面,《个人信息保护法》《民法典》等有关个人信息保护的规范在确立“同意”作为个人信息处理原则的基础上都对基于公共利益而处理个人信息的行为作出了例外规定,这意味着个人信息同时具有公共面向,同时蕴含着超个人法益⑭参见徐翕明:《侵犯公民个人信息罪的法益重析——基于个人信息保护法制定的探讨》,载《社会科学家》2022 年第8 期,第121 页。。另一方面,个人信息的价值在于流通,大数据的发展和人们生活便利的需要也使得过分强调公民对其个人信息的控制权变得不再可能。“在互联网上,通过各种途径实时地进行数据自动收集,进而生成巨量电子数据的时代已经到来。”⑮储陈城:《大数据时代个人信息保护与利用的刑法立场转换——基于比较法视野的考察》,载《中国刑事法杂志》2019 年第5 期,第51 页。为了获取服务和便利,公民在使用互联网的过程中几乎不得不“自愿”交出自己的个人信息,并允许运营商“访问”甚至控制。在有些情况下,公民“自愿”交出个人信息甚至包含着对某些信息侵害危险的接受。各种互联网产品不断方便个人工作生活的同时,作为用户的个人的信息无时无刻不被收集,“大数据时代的私人领域、用户意志被进一步压缩与弱化”⑯参见前注⑩,蔡燊文,第77 页。。这些都无疑体现了个人信息不是个人专属的私人物品,因为其不具有传统财物所具有的专有性和排他性。在信息被获取、提供和转移的过程中,信息主体对于信息本身所享有的占有和其他权益并未受到破坏。但是违反规范的大量非法获取、提供和买卖公民个人信息的行为,不仅严重威胁着附着于个人信息上的公民的人身财产权益,而且严重破坏了信息流通秩序。
此外,《解释》为本罪情节严重的判断确立了不同的信息数量规模标准,这种规定正是基于不同信息数量规模与法益侵害程度的相关关系所确定,也直观地体现了行为所具有的法益侵害性以及刑法对各种信息类型的保护力度⑰黄陈辰:《侵犯公民个人信息罪“情节严重”中信息分级保护的结构重塑》,载《东北大学学报(社会科学版)》2022 年第1 期,第96 页。。同时,有观点认为,基于《解释》第11 条第3 款确立的“批量公民个人信息”数量认定规则,当涉及信息数量巨大时,此时刑法处罚的核心不再是信息类型,对行为人的可罚性本质在于行为人侵犯了大量的个人信息⑱参见付玉明:《侵犯公民个人信息案件之“批量公民个人信息”的数量认定规则——〈关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释〉第11 条第3 款评析》,载《浙江社会科学》2017 年第10 期,第28 页。。本罪的可罚性既然与数量规模联系如此紧密,就必然不旨在单纯保护个人法益。只有具备一定数量规模的个人信息受到侵犯,才能达到值得科处刑罚的程度,同时不同信息类型由于其自身与公民人身财产权益的联系紧密程度不同,因而达到可罚性程度的数量规模也存在差异。这也说明本罪的保护法益最终要立足于个人信息之上的公民人身财产权益。如前所述,非法获取、出售和提供公民个人信息的行为处于非法利用公民个人信息行为的前端,直接影响的是信息流通秩序,而该秩序之所以值得保护,在于公民个人信息所承载的公民的人身、财产权益。基于非法手段获取、交易公民个人信息的行为严重威胁着公民个人信息所承载的人身财产权益,因而也破坏了信息合法流通这一社会法益。
基于以上认识,本罪保护法益的核心应在于公民个人信息之上的人身财产权益,同时包含着公共信息流通秩序的安全。但是如前所述,刑法对这一秩序的保护是对公民个人信息之上的人身财产权益保护的提前介入,因而公民个人信息之上的人身财产权益既是本罪保护法益的核心,也是判断公共信息流通安全秩序是否受到实质侵犯以及是否达到可罚性程度的重要判断依据。
三、“以其他方法非法获取”的实质判断标准
通过明确刑法提前介入规制距离核心法益较远的非法获取行为的规范实质,明确其保护法益,为“以其他方法非法获取”的判断确立了实质根据。根据法条罪状表述特点,“其他方法”是对获取方式的描述,“非法”则是对获取手段的限制,其应同时具有形式和实质限缩的功能。对于非法的判断,应遵循前置法规范定性而刑事法规范定量的原则,在形式判断基础上进行实质的考量,以实现行刑有效衔接,最大限度降低社会成本。
(一)“其他方法”的限缩路径
1.“窃取”不能成为“其他方法”的例示指引
“刑法条文在列举了具体项(要素)之后紧接着使用了‘等’或‘其他’+概括项的表述时,对‘等’或‘其他’+概括项的解释应与具体列举项保持同类。”⑲俞小海:《司法裁判中刑法同类解释规则运用的反思与重塑》,载《西南政法大学学报》2022 年第6 期,第124 页。这一解释规则被称为同类解释规则,也是解释这类兜底条款或者概括性规定的一般性解释规则⑳参见李军:《兜底条款中同质性解释规则的适用困境与目的解释之补足》,载《环球法律评论》2019 年第4 期,第120 页;俞小海:《司法裁判中刑法同类解释规则运用的反思与重塑》,载《西南政法大学学报》2022 年第6 期,第124 页。。
运用同类解释方法的前提是要能够在条文所列举的各具体项中概括出体现条文规范保护目的的特征,从而使概括项与具体项保持同质,以使其在实质上符合规范保护目的,同时又对其进行形式上的限制。在《刑法》第253 条之一第3 款中,其例示项仅有“窃取”一项,由于单一列举事项不足以组成包含某一共同特征的行为类型㉑参见李军:《兜底条款中同质性解释规则的适用困境与目的解释之补足》,载《环球法律评论》2019 年第4 期,第120 页。,因而无法通过该例示项概括出符合本罪规范保护目的的类型化特征进而实现对“其他方法”的“保持同类”的解释。况且即使基于同类解释规则,对其例示项所具有的类型化特征的概括也必须同规范保护目的相一致,“只有在特定规范目的下,才能探寻例示条文类型的本来面貌”㉒梅传强、刁雪云:《刑法中兜底条款的解释规则》,载《重庆大学学报(社会科学版)》2021 年第3 期,第114 页。。同时,同类解释的出发点就是基于明确列举的例示项所体现出的规范保护目的而对概括项的解释起到限制作用。为了保持刑法的明确性,则要求在形式上必须符合例示项所共有的某些特征,而这些特征的选择必须符合规范保护目的。因而即使存在多个例示项,在其所共有的特征中有与规范保护目的无关或不一致者,应当不予考虑作为概括项解释的依据和限制。否则,对概括项的解释则会成为“解释者论证个人价值预设的工具”㉓参见前注㉒,梅传强、刁雪云文,第112 页。。
因此,“窃取”这一单一例示项无法为“以其他方法非法获取”的判断提供例示指引。根据这一要素对“其他方法”进行同质解释不仅客观上不具有可能性,而且很大程度上会导致解释的恣意性。
2.《解释》的列举也不能成为“其他方法”的例示指引
问题在于,尽管法条在“其他方法”之前仅列举了“窃取”一种行为方式,但是《解释》却作了进一步列举,这是否意味着对“其他方法”的解释必须同《解释》所列举的几种行为方式保持同质。比如有观点认为,“其他方法”应当与“窃取”以及解释中所列举的行为方式具有同质性,并将其同质特征概括为非暴力性㉔参见黄陈辰:《抢劫公民个人信息行为刑法规制的困境与疏解——以樊某等抢劫微信账号密码案为切入》,载《海南大学学报(社会科学版)》2023 年第2 期,第155 页。。
司法解释是最高司法机关作出的具有法律效力的解释,罪刑法定原则也决定了司法解释不能超出刑法的文义射程㉕参见吴亚可:《论刑事司法解释与刑法文义射程之间的紧张关系》,载《法学家》2022 年第3 期,第46 页。。但是,这并不意味着司法解释对刑法条文的解释具有封闭性,相反,司法解释“只能采取列举式规定(列举对何种行为适用哪一刑法条文)”㉖参见张明楷:《刑法学》,法律出版社2021 年版,第38 页。,即司法解释列举出来的情形当然包含于刑法规定。反之,司法解释未列举的情形并不必然排除于某一刑法规范的适用范围。《解释》对“其他方法”列举的几种行为方式,当然可以认为其属于《刑法》第253 条之一第3 款中的“以其他方法非法获取”,但是并不能因此认为该款中的“其他方法”只能是《解释》所规定的几种行为方式或者与其同等性质的其他行为方式。只有在对《解释》第4 条中的“其他方法”进行解释时,才能通过其所列举的“购买”“收受”“交换”等方式进行同质解释,而不能将其用于对《刑法》第253 条之一第3 款中“其他方法非法获取”中的“其他方法”的解释之中。
因而,《解释》所列举的行为方式也不能成为对“以其他方法非法获取”判断的例示指引。由于《解释》列举的“购买”“收受”“交换”等均为行为性质中立的行为,因而以“违反国家有关规定”为前提,这也说明了“以其他方法非法获取”中的“其他方法”首先应该是违反相关前置法规范的方式,相关前置法规范为判断“其他方法”的形式非法性提供了依据。
3.手段的非法性为“其他方法”的判断提供实质限缩
基于前述非法获取公民个人行为的规范属性,可以得出结论,即合法获取或者收集公民个人信息的行为本身不会受到刑法的负面评价,只有通过非法手段,使公民个人信息发生不正常转移的情况下,由于其所具有的负面价值,才被刑法评价为犯罪。因而,由此出发,可以认为,无论何种方式的获取,其实质都是公民个人信息的转移,正如出售其实是作为提供的一种常见典型方式而被单独规定一样㉗参见骆群:《对侵犯公民个人信息罪客观行为的解读》,载《法治论坛》2022 年第2 期,第292页.,窃取也是非法获取的一种典型方式被单独列出,除此之外,法条更关注的是公民个人信息的非法转移,而转移的具体方式不在其关注范畴之内。
在对法条的列举项“窃取”与概括项“其他方法非法获取”作上述理解后,对“其他方法”的解读也就不需要执着于从“窃取”行为中发掘出“其他方法”所应具备的某些特征,比如“平和”或“秘密”转移等。所以对该方法的限定上还是应当立足于获取行为的规范属性,即只要达到个人信息权益转移,使信息潜在利用主体扩大,且该转移过程具有非法性的程度,即可以评价为此处的“其他方法”。
即使这样认定,也不会使得本罪规制范围无限扩大,其所明确列举的窃取行为本身就具有反伦理规范和反道德性,其本身就是不正当手段,该种方式转移公民个人信息本身即赋予了此种获取行为负面价值。同时,以“其他方法”获取,构成本罪尚且具有“非法”要求,唯其如此,才能体现出该种个人信息转移所具有的负面价值。因而从其规范保护目的出发,刑法所关注的并非单纯的公民个人信息权益转移,其具体转移方式也不是刑法关注的重点,刑法真正予以否定的是转移手段的非法性所带来的负面价值,即对于公民信息被滥用的风险升高。
综上所述,无论是法条规范中的“窃取”还是《解释》中所列举的几种获取方式都不能成为对“其他方法”进行同质解释的依据,对“其他方法”的判断只能直接求之于其规范保护目的,在形式上满足前置法规范违反性,同时扩大个人信息权益的享有和利用主体即可。在实质上,则需要对非法性进行考量以为“其他方法”的限定提供实质限缩。
(二)“非法性”的实质来源
非法获取型侵犯公民个人信息行为的法益侵害性直接体现为该获取手段的非法性所具有的负面价值,“以其他方法非法获取”的准确认定,核心在于对行为“非法性”的实质判断。
刑法之所以要处罚并未直接侵害“信息利用利益”的非法获取的行为,即非法获取公民个人信息引起刑法处罚的负面价值在于:一方面,非法获取是非法使用以及非法提供和利用的预备行为,“对于非法获取、非法提供其最终的依归在于非法利用行为”㉘参见前注⑫,王肃之文,第155 页。。非法获取行为尽管没有侵犯到个人信息所承载的公民人身财产权益,不可能使“信息利用利益”受损进而使信息主体产生损失,只是使信息的潜在利用主体有所扩大,进而产生并升高信息被非法利用的风险。通过非法手段实现的这一潜在利用主体范围的扩大,由于其手段的非法性使信息主体对这一潜在利用主体范围缺乏认识,升高了个人信息之上所附着的公民人身财产权益所面临的危险。基于信息流通和处理的特点,在完成信息获取,进入信息流通之后,该实现过程几乎不为信息主体所控制。但是,对通过非法手段获取公民个人信息的行为进行刑法规制,其目的在于保护其背后的公民人身财产权益作为核心的个人法益。因而尽管获取手段的非法性只能对背后的个人法益产生抽象危险,这种危险必须达到极有可能向具体危险实现的程度才能为行为的非法性提供实质可罚性根据。
另一方面,也正是由于获取手段的非法性使本为预备阶段的获取行为使个人信息之上所附着的个人法益面临的危险升高且变得不可控,从而引起公民对信息流通安全的信赖发生动摇,因而获取行为“非法性”的负面价值直接体现为对以信息流通安全的信赖为核心的公共信息流通秩序的破坏。在双层法益观看来,保护集体法益只是手段,保护其背后的个人法益才是目的㉙参见蓝学友:《规制抽象危险犯的新路径:双层法益与比例原则的融合》,载《法学研究》2019 年第6 期,第137 页。,而就本罪而言,作为手段的集体法益之所以值得保护,也即在于以非法手段实现的个人信息获取行为对个人信息之上的个人法益所存在或升高的潜在危险。进一步而言,如果行为没有产生或升高对其背后法益的抽象危险,则必然可以否定其对直接法益的侵犯。
(三)“以其他方法非法获取”的判断规则
获取手段的非法性为“其他方法”提供实质限制,而非法性的实质来源在于其行为对公民人身财产权益的抽象危险,这也就为其对“以其他方法非法获取”实质限缩提供了基础。就判断成本而言,形式化判断无疑是简单经济的,然而刑法的最后手段性要求并非所有非法获取公民个人信息的行为都要纳入刑法评价。换言之,尽管形式化判断对于判断成本而言是简单经济的,但是在刑罚成本与实现规范保护目的之间却难成比例而最终增加社会成本,浪费司法资源。对于本罪“前置法+保障法”的立法模式,利用前置法规范完成形式定性判断,通过刑事法规范进行实质定量判断则是经济和可行的。
1.前置法定性:形式非法的判断
《个人信息保护法》等有关个人信息保护的前置法规范构建起了个人信息保护和处理的相关原则和规则,作为个人信息保护领域的基本法㉚参见喻海松:《“刑法先行”路径下侵犯公民个人信息罪犯罪圈的调适》,载《中国法律评论》2022 年第6 期,第123 页。,其目的即在于“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”。违反前置法规范的个人信息收集获取行为本身即会对公共信息流通秩序造成破坏,而通过前置法违法性的判断即可起到“定性”作用。因此,“非法”首先是指违反前置法规范,也可以称为形式的非法性。由于“形式的违法性以行为在形式上违反刑法之行为规范”㉛陈子平:《刑法总论》,元照出版公司2017 年版,第235页。,而刑法规定非法获取公民个人信息作为犯罪的行为规制机能即在宣示不得以非法手段获取公民个人信息。如前所述,“以其他方法非法获取”在形式上只要能够产生公民个人信息的非法转移效果即可,所以根据前置法规范可以判断非法获取公民个人信息的行为方式。同时,违反前置法规范是进入刑法评价视野的前提,不具备该形式的非法性,也就不需要进行进一步判断。
《个人信息保护法》第13、14 条确立了处理个人信息所要遵守的一般规则。符合前置法规范的公民个人信息获取方式为取得信息主体有效同意或者具有法律依据。以是否取得信息主体同意为标准,可以将个人信息的获取分为经过同意的获取与未经同意的获取。由于“知情—同意”规则要求信息收集主体要尽到充分的告知义务,而且这种告知义务不仅是形式要求,而且是实质要求㉜参见李怀胜、苏镘圯:《“告知—同意”规则的刑法定位与功能阐释——以“侵犯公民个人信息罪”的出罪解释为中心》,载《广西政法管理干部学院学报》2023 年第1 期,第35 页。,因而在经过同意的获取中还应该考虑该同意是否有效。对于未经同意的获取,则要考虑该信息是否为已公开的信息,从而判断其获取行为所带来的信息利用风险是否为刑法所容许和为信息主体所接受。在通过前置法完成“定性”之后,还需要通过刑事法“定量”,即完成行为实质违法性的判断。换言之,非法获取型侵犯公民个人信息罪一定是由非法获取公民个人信息的行为所构成,但是以非法手段获取公民个人信息的行为并不必然需要通过刑法规制。“行为之前置法不法性的具备并非行为之刑事违法性产生的充分条件”㉝田宏杰:《罪状结构的开放性与罪状类型化的反思》,载《法商研究》2023 年第2 期,第62页。,前置法违法性的判断只能帮助判断获取公民个人信息行为的非法类型。
2.刑事法定量:实质非法的考察
非法获取公民个人信息行为构成犯罪,要求其非法性所带来的负面价值为刑法所否定评价。而在“贯穿刑法、民法和行政法的公民个人信息法律体系基本搭建完毕后”㉞李怀胜:《侵犯公民个人信息罪的刑法调适思路——以〈公民个人信息保护法〉为背景》,载《中国政法大学学报》2022 年第1 期,第139 页。,刑法不是保护公民个人信息权益的唯一手段,而是最后手段,因而只有当其非法性所具有的负面价值达到刑法所预设的不法程度,才能运用刑法评价。如前所述,刑法所评价的非法获取公民个人信息行为的负面价值。一方面在于该非法行为对于公民个人信息之上承载的公民人身财产权益的抽象危险,另一方面在于其所导致的公共信息流通秩序的破坏。其中,保护后者是防止前者面临进一步的危险,即前者是最终目的,也承担着判断后者受到的侵害是否需要动用刑罚的作用。“在‘定性+定量’入罪模式的背景下,即使抽象危险犯的危险也不能被指向管控的风险所取代”,对其的判断正是与行政违法相区分的重点㉟参见于润芝:《抽象危险犯的解构:从法益关联和危险控制展开》,载《南大法学》2022 年第3期,第111页。。
对于实质“非法”的考量,必须从获取信息的目的以及其后续信息处理活动是否具有非法性进行可罚性程度的判断,即在获取公民个人信息的行为具有形式非法性之后,必须能够说明该获取行为的非法性对于个人信息上的人身财产权益产生的危险达到极有可能向具体危险实现的程度。例如,为了实施违法犯罪活动而获取公民个人信息,数量规模达到情节严重的程度,其获取行为对于个人信息之上的人身财产权益即产生了极有可能向具体危险转化的达到可罚程度的抽象危险。又如,为推销产品而获取公民个人信息的,由于其获取行为对于个人信息之上的人身财产权益所产生的抽象危险并未向具体危险实现,即使数量规模达到《解释》的情节严重标准,也不应认定为犯罪。
综上所述,对“以其他方法非法获取”的判断,在形式上要违反前置法规范,产生信息权益利用主体扩大的效果。实质上要考察该获取行为是否威胁到公民个人信息之上所承载的个人法益,是否需要通过刑法手段加以规制,从而判断该非法获取公民个人信息的行为是否构成侵犯公民个人信息罪。
四、应用与检视:几种获取公民个人信息行为的判断
根据前述“以其他方法非法获取”的判断标准,可以对以下几种获取行为作出是否属于《刑法》第253 条之一第3 款中“以其他方法非法获取”的判断。
(一)“间接获取”公民个人信息的行为
经过信息主体的有效同意而收集个人信息的获取公民个人信息的行为,该信息转移完全不具有负面价值,即使其依然存在个人信息被滥用的风险,但该风险是法律所允许且信息主体所接受的,在获取阶段并不会受到法律的负面评价。问题在于,获取他人手中的经过信息主体同意而收集的公民个人信息是否合法,该危险是否在信息主体接受范围内。在柯某侵犯公民个人信息案中,㊱参见上海市金山区人民法院(2018)沪0116 刑初839号刑事判决书。柯某通过房产中介获取大量业主房源信息,尽管这些业主房源信息属于房产中介经过业主同意而收集,其收集是合法收集,但是并不意味着其可以再次提供给他人,柯某的获取行为显然使信息权益发生转移,信息利用主体范围扩大,且并不为信息主体所知晓。柯某绕过业主而直接从房产中介处获取业主信息并不等于取得信息主体的有效同意,因为其并未履行告知义务,也就无所谓获得同意。业主将个人信息同意由房产中介收集,也不等于其同意房产中介再次将其提供给他人。“通过特定渠道、有限范围提供个人信息的,需要结合双方约定、交易习惯、行为目的等因素,判断信息权利人允许的信息使用方式和公开的范围、程度。”㊲周光权:《被害人受欺骗的承诺与法益处分目的错误——结合检例第140 号等案例的研究》,载《中国刑事法杂志》2022 年第2 期,第35 页。因而其行为违反了前置法规范,其获取行为具有形式非法性。
同时,柯某绕过业主而获取其个人信息的,超出了信息主体所接受的风险范围,其通过非正常手段获取公民个人信息,使该个人信息流转过程具有极大的不确定性,同时其事后的出售行为也进一步证明了其获取行为的实质非法性,不仅破坏了信息合法流通的公共信息流通秩序,而且使信息主体的人身财产权益面临不可控的危险,具有实质非法性。从上述案例可知,通过间接方式获取公民个人信息的,是否属于非法获取型侵犯公民个人信息行为,既要考察信息主体在提供信息时的目的以及同意公开的范围,又要通过间接获取主体获取公民个人信息时是否告知信息主体信息的真实用途,以及通过其获取目的和后续信息处理活动,判断其间接获取行为是否损害了信息主体的合理信赖并威胁了信息主体的个人权益。
(二)通过欺骗方式获取公民个人信息的行为
对于虽然获得信息主体形式的同意,但是并未获得实质同意的个人信息获取行为,依然属于非法获取。在“赵某某侵犯公民个人信息案”中㊳参见广东省东莞市第二人民法院(2020)粤1972 刑初1603 号刑事判决书。基本案情为:被告人赵某某通过“送礼品”等方法吸引他人提供身份证信息、肖像来办理手机卡,再将这些身份信息在移动公司的终端上与手机卡绑定,只是最后不把卡给到客户,但是将非法获取的实名认证手机SIM 卡出售给他人。,被告人通过欺骗方式获得“同意”而获取公民个人信息的行为,由于该“同意”是通过欺骗方式获得,即已经违反了作为取得同意前提的“充分告知”义务,因而该“同意”并不具有前置法的合法性,但是是否具备实质非法而成为刑法上的非法获取,则需要进一步评价其欺骗行为是否使得信息主体对其信息的处分目的落空。如果信息收集行为尽管存在欺骗行为,但是其后续的信息处理活动并未超出信息主体的处分目的,则因为其获取行为并未制造超出信息主体所接受的危险而没有对信息流通安全造成威胁,因而不属于刑法上的非法获取行为。只有超出信息主体的处分目的而以欺骗方式获取公民个人信息的行为,其形式上由于欺骗行为不具有前置法的合法性,实质上侵害了信息安全流通秩序,增加了信息被非法利用,信息主体权益受到侵害的现实危险,属于刑法上的非法获取行为。因此,在未充分如实告知信息主体其获取该信息的意图或者通过欺骗方式获得信息主体同意而获取公民个人信息的场合,应当在评价个人信息主体的法益处分目的是否发生重大错误之后,判断基于该种错误认识而处分个人信息的行为,能否阻却他人获取和处理信息的违法性。
(三)对于公开个人信息的获取行为
对于在已公开的个人信息中的获取行为,需要区分信息公开的目的和范围。个人信息处于公开状态即意味着其具有可获取性,意味着个人信息的可被知悉,即不特定第三人获取信息的广泛的可能性㊴参见宁园:《“个人信息已公开”作为合法处理事由的法理基础和规则适用》,载《环球法律评论》2022 年第2 期,第74 页。。对于任何人都可以知悉的已公开个人信息,获取此类信息并没有扩大信息利用的潜在主体范围,因而单纯的收集或提供行为都不具有非法性。如果其后来的非法利用行为实际上侵犯了公民人身财产权益,只能针对后续行为进行刑法评价,而不能以后续行为对公民人身财产权益产生重大威胁而将获取行为直接评价为“以其他方法非法获取”。在案例二中,行为人通过网络下载公民人脸头像的行为认定是否属于“以其他方法非法获取”时,应当进一步细化考察其下载途径是否合法,其获取行为是否属于对该信息利用主体范围的扩大,而非由于其获取信息系实施违法犯罪活动而笼统地将其获取行为全部认定为非法获取。对于相对公开的个人信息,要考察信息主体公开该信息的目的和范围,即可获取的主体范围。如果可获取主体范围内的人整理并提供给同样范围内的信息收集主体,两者均不受刑法的否定评价,因为该信息移转过程仍然符合信息主体的合理期待,但是超出该范围的获取行为则可能受到刑法的否定评价。
此外,对于仅仅具有获取行为,尤其如案例一中仅仅通过微信群下载包含大量个人信息的文件,即使他人上传行为非法,也不能直接将行为人的下载行为直接认定为本罪,必须通过考察其获取信息的目的及其后续处理活动判断其获取行为对于信息主体的人身财产权益的威胁是否达到刑事可罚的程度。
结语
刑法对个人信息的保护,其所关注的不是信息本身,而是“在一个公正社会中信息对于人们有什么样的重要意义”㊵[德]乌尔里希·齐白:《全球风险社会与信息社会中的刑法——二十一世纪刑法模式的转换》,周遵友、江溯等译,中国法制出版社2012 年版,第283 页。。获取公民个人信息行为处于各种信息处理活动的前端,将一部分非法获取公民个人信息的行为认定为侵犯公民个人信息罪体现了源头治理和风险预防的治理理念。由于获取公民个人信息的行为只是使个人信息发生移转,使信息权益的利用主体范围得到扩大,基于信息所具有的不同于传统财物的非排他性、可复制性等特征,这种移转本身不会直接对信息主体的权益和信息本身造成任何损害,因而如果不对非法获取公民个人信息的行为进行实质定量判断,则会导致侵犯公民个人信息罪的扩张适用。以非法手段获取公民个人信息的行为直接侵害了公共信息流通秩序安全,但这种侵害以发生移转的公民个人信息之上所承载的公民个人法益受到被非法利用的危险为前提。因而,个人信息之上所承载的公民人身财产权益,不仅是刑法规制非法获取公民个人信息行为的目的,也是判断其直接保护的信息流通安全是否受到侵害的重要资料。同时,个人信息保护领域的法律规范呈现出了“前置法+保障法”的模式,因而借助“前置法定性,刑事法定量”的思路可以清晰地判断某一非法获取公民个人信息行为,是否为非法获取型侵犯公民个人信息行为,而构成非法获取型侵犯公民个人信息罪。