数字时代个人信息保护的法律边界厘定
2023-12-23张佳华
张佳华
【摘要】数字经济是未来经济发展的重要方向,依赖于互联网和大数据技术,而这些技术又离不开个人信息的应用。明确数字时代个人信息保护的法律边界对于维护公民权益、促进数字经济发展乃至全球数字治理都具有深远意义。现阶段,公民个人信息的保护存在法律规范不统一、法律程序缺乏转化衔接路径、在先的判决效力互认存在掣肘等情形。因此,需明确侵犯公民个人信息的入罪边界以区分侵权与犯罪,优化公民个人信息保护的法律程序转化机制,确立侵犯公民个人信息案件在先判决事实认定的既判力规则。
【关键词】数字时代 公民个人信息 法律边界
【中图分类号】D920.4 【文献标识码】A
【DOI】10.16619/j.cnki.rmltxsqy.2023.22.013
随着互联网、大數据、云计算等信息技术的广泛应用,各类利用网络侵害公民个人信息的违法犯罪日益增多,亟需引起重视,加强治理。在数字时代,侵害公民个人信息的行为更具隐蔽性与欺骗性,侵害公民个人信息的违法行为、犯罪行为与正常社会活动相互交织,刑民交叉现象较为普遍。2021年,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)施行,是我国第一部个人信息保护方面的专门法律。在此之前,对于公民个人信息的保护条款散见于《中华人民共和国刑法》(以下简称《刑法》)、《中华人民共和国民法典》(以下简称《民法典》)等法律法规或司法解释中。虽然《个人信息保护法》为个人信息保护提供了明确的规则指引,但还存在公民个人信息保护的刑民边界不清等问题,本该双线并行的私法和公法双重保护与个人信息保护的实践需求相去甚远。刑事与民事两大法律体系在个案法律适用中存在重叠、交叉或空白的情形,公民个人信息保护法律体系亟待完善。
问题的提出:公民个人信息保护的刑民边界不清
公民个人信息保护的法律规范缺乏统一。刑民法律均基于各自的规范目的与调整领域作出规定,囿于立法重点、规制对象等因素的不同,对公民个人信息保护的法律规范并不统一。我国立法体系是先通过《刑法》设立了侵犯公民个人信息罪,后续才制定《民法典》《个人信息保护法》对公民个人信息加以保护。一是根据法秩序统一性原理,同一行为在刑事与民事法律规范均予以规制的情况下,民事侵权与刑事犯罪之间应为包容关系,所有的犯罪行为均可被侵权行为涵盖。《刑法》规定了侵犯公民个人信息罪“情节严重”的入罪标准,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息司法解释》)则进一步规定了达到“情节严重”的信息条数等。然而,一方面,个人信息的真实性核查困难、“条”数统计困难导致实践中刑事案件认定困难;另一方面,《民法典》《个人信息保护法》出台后,民法中侵犯个人信息的认定规则是否适用于刑事案件还有待明确。同理,不同性质、不同适用范围、不同情节的认定亦会导致个人信息保护刑民法律界分的标准不明,引发裁判尺度不一的问题。二是公民个人信息保护的法益基础不同,直观地体现在保护模式的选择上。刑法领域采用的是“公共利益”保护模式,即传统的司法实践及学说理论并未将个人信息作为独立法益予以设定,多通过附属于国家法益、社会法益的形式加以保护。而民法领域采用的是“人身权”保护模式。《民法典》生效前,我国的个人信息保护以刑法规制为主,呈现出“刑先民后”的鲜明特点。[1]《民法典》实施后,才正式将个人信息权益予以专章保护。期间虽偶有《中华人民共和国网络安全法》等专门立法,但在个人信息方面缺少完整的请求权基础,保护范围及力度狭窄且薄弱,诸多个人信息侵权案件仅能以名誉权或隐私权等侵权路径进行救济。
公民个人信息保护法律程序缺乏转化衔接路径。侵犯公民个人信息刑事与民事案件在实体上认定“同一法律关系”存在困难。《最高人民法院关于在审理经济纠纷案件中涉及经济犯罪嫌疑若干问题的规定》明确以“同一事实”“同一法律关系”作为区分刑民交叉案件的标准,即刑事案件、民商事案件分属不同法律关系的,刑事、民商事并行审理;属于同一法律关系的,先刑后民。但从司法实践来看,各地法院对“同一法律关系”的认定标准不一,个案的处理方式亦存在较大差异。民事案件审理中发现行为人涉嫌构成刑事犯罪时,法院虽可依职权向公安机关移送案件,但刑事与民事案件对“同一法律关系”的认定标准、证明标准、举证责任乃至当事人与诉讼重心均有显著不同,导致办案机关对案件的认定存在理解不一、判定迥异的情形。
侵犯公民个人信息案件在先的判决效力互认存在掣肘。侵犯公民个人信息案件程序之间的衔接,至少包括以下两种情形:一是刑事案件诉讼程序终结后,一些当事人又向法院提起民事诉讼主张损害赔偿。二是民事诉讼终结后,个别当事人不满足于诉讼结果,转而借助于刑事诉讼程序。基于法秩序统一性原理,刑事诉讼与民事诉讼所认定的事实应在最大程度上保持一致,但受制于刑事与民事法律在立法目的、证明规则等方面的不同,刑民交叉案件中,民事诉讼与刑事诉讼对同一案件事实的认定往往存在差异,这就产生在先的判决效力认定问题,即在先的民事或刑事判决是否对在后的刑事或民事诉讼产生约束力。此外,即使刑事判决已认定行为人构成侵犯公民个人信息罪,鉴于刑事判决缺乏被害人信息的相关表述,民事法官也难以掌握其承办民事案件与刑事案件的关联性。
边界厘定的基础:法律保护中“个人信息”的界定
法律保护中的“个人信息”属性是一种独立的新型权利。《个人信息保护法》并未对个人信息类型进行列举,也未区分一般信息与私密信息,而是选择了敏感信息这一概念。在具体应用领域,面临着如何对各类个人信息逐一识别的问题。对于“公民个人信息”的性质,将其视为一种新型权利类型较为可取。大数据时代下的公民个人信息兼具人身属性、经济属性和社会属性,且涉及个人信息保护与商业利用间的平衡,二者不可偏废。一方面,如果作为单纯的财产权进行保护,则将侵犯个人信息犯罪强制割裂为财产性犯罪和人身性犯罪双重罪名,忽略财产属性依附于身份属性的基本关系;另一方面,若单纯将其作为人身权,则忽略了个人信息不同于一般的人格权之外的巨大财产性利益。故建议将其视为一种独立的新型民事权利,不仅可摆脱传统隐私权保护模式的束缚,而且兼顾了个人信息的财产价值。个人信息的多重权利属性决定着其重心在于权利的认定上,《民法典》所规定的删除权等多种权能也只有统一在个人信息权内才可得自洽。因此,将公民在个人信息上的权益属性认定为新型的权利类型,可以在贯彻可识别性原则的同时,对公民个人信息进行全面保护。更为重要的是,这种安排不与刑法理论或实务冲突。在《刑法》“侵犯公民人身权利、民主权利罪”章节中规定,侵犯公民个人信息罪的法益为人格权。理论上,以人格权为具体权属对其进行解释具有可行性,罪名体例也无需重新调整。
法律保护中的“个人信息”应以“可识别性”为认定原则。个人信息之所以需要得到保护,在于其上附着的特定个体的身份、财产等相关利益,故个人信息最重要的特征应为“可识别性”。对于《个人信息保护法》与《民法典》的关系,有学者描述道:“民法典是‘太阳,而单行法则构成围绕‘太阳公转的‘行星;‘行星根据‘太阳所投射的‘光芒来进行解释。”[2]因此,在《个人信息保护法》生效的前提下,民事程序需以该法为基础对个人信息进行统一认定,刑法也因法秩序统一性原理而同样需要坚持可识别性原则。其一,相关立法文件对个人信息的定义,均应要求单独或结合识别出自然人的身份或反映自然人活动情况,认定的本质要求具有可识别性。其二,在刑事司法实践中,行为人所侵犯的个人信息也表现为多种信息的组合,刑事入罪也要求个人信息以可识别性为认定标准,与民事规范并不存在根本性差异。
法律保护中的“个人信息”界定应兼具动态灵活性。丰富的内涵固然有助于全面的保护,但过于开放的概念也会诱发个人信息在个案认定上的困难。大数据时代,自动收集、大数据共享等技术革新极大地拓宽了个人信息的范围,行踪轨迹、生物识别信息等新类型层出不穷,许多以往看似不具可识别性的信息,都存在了识别的可能,个人信息原本清晰的边界愈发模糊。甚至许多已“脱敏”的信息在高度聚集时,也存在再度识别出用户的可能性,即“再识别”。因此,对“个人信息”的界定是动态且高度依赖于具体场景的,仅机械适用“概括+列举”方式的静态类型化识别并不符合实际。对于仅侵犯了电话号码、购物信息等单一信息的,应当遵循《个人信息保护法》“保护个人信息人身利益与财产利益”的规范目的,对涉案信息进行限缩解释,从而避免无限关联情形下的动辄得咎。当然,动态界定个人信息仍要以“可识别性”作为判定标准,强调个案个别处理也并非对“可识别性”的否认,只是对其适用提出了更高要求,目的在于更好衡平个人信息的保护与利用。同时,亦建议在今后立法中,合理界定个人信息的范畴,如民法中个人信息的范畴应包括所有刑法规定的个人信息内容,刑法规制的个人信息范畴应作为民事个人信息部分中的重要内容。
完善路径:构建公民个人信息法律保护的实体衔接与程序转化机制
明确侵犯公民个人信息的入罪边界以区分侵权与犯罪。寻求个人信息刑民保护的“黄金分割線”,即区分个人信息侵权行为与犯罪行为“质变”的分割线比较困难。结合法秩序统一性原理,关键在于明确入罪边界。对比刑法的原则性规定,《个人信息司法解释》从个人信息的种类和敏感度来分级划定起刑点、确定入罪边界,并从信息类型+数量、违法所得数额、获取信息的目的和用途、行为主体的特殊身份及前科情况五方面来衡量“情节严重”和“情节特别严重”。基于刑法的谦抑性,刑事规范对个人信息的认定应比民事规范更为严格,刑事案件对公民个人信息的认定应适度限缩。实践中,存在多个信息结合才能识别特定自然人的情形,值得注意的是,当被告人侵犯海量公民个人信息时,逐一核实个人信息是否具有可识别性及信息真伪既不现实也无必要。在程序上可引入鉴定程序、必要的抽样规则或者推定规则,将个人信息的条数确认交由鉴定机构核实;如果无法启动鉴定程序,公诉机关也需结合必要的抽样检测,并允许被告人提出反驳,如其有明确证据证明部分个人信息不具有可识别性,则应将此部分信息从总数中剔除。此外,建议将非法使用公民个人信息的行为纳入刑事规制范围。非法使用个人信息行为数量众多、影响广泛、危害极大。根据法秩序统一原理,非法使用个人信息行为的入罪需与相关民事规范对该行为的违法性判断保持一致。同时,非法使用个人信息应保持同类罪名刑罚体系及入罪标准的统一性,如设置“情节严重”入罪标准及法定刑升格标准,继续沿用“情节加数额”定量标准。考虑到非法使用信息对公民人身、财产权益的危害性、关联性,建议将类型化、常态化的非法使用行为入罪。[3]法定刑升格情形可以依照行为类型、危害后果、侵害对象、持续时间等综合加以判定,如人肉搜索导致他人自杀或者精神失常的;将公民个人信息用于犯罪活动的;修改他人个人信息,造成严重后果等。[4]
优化公民个人信息保护的法律程序转化机制。人民法院在审理公民个人信息侵权案件时,若出现《个人信息司法解释》第五条列举的情形,依据刑法规定的侵犯公民个人信息罪入罪标准,则涉及民事案件向刑事案件的转化问题;反之,在最初作为刑事案件予以处理的情形下,如果处理该刑事案件的公安机关、检察机关或人民法院认为案件没有达到情节严重的入罪标准,进而无法适用《个人信息司法解释》第五条的规定,则该刑事案件就出现了向民事案件转化的空间。如果在侦查或审查起诉阶段发现案件不构成刑事犯罪,办案机关应向受害方书面告知相关情况,受害方可自行提起民事诉讼。值得注意的是,检察机关如在办理案件过程中发现相关案件虽然不构成刑事犯罪,但侵犯公民个人信息众多,其可依据《个人信息保护法》主动提起民事公益诉讼,此既有利于充分保障不特定被害人的个人信息权益,还有利于规制侵权人,维护社会公共权益。
确立侵犯公民个人信息案件在先判决事实认定的既判力规则。侵犯公民个人信息案件中先判决事实认定的既判力规则应当包含两个层面:其一,鉴于刑事诉讼的证明标准高于民事诉讼证明标准,且刑民法律关系及救济路径存在显著不同,故原则上,在先的民事判决不应对在后的刑事诉讼产生既判力。如原告向某人提起民事诉讼败诉后,检察机关向同一人提起与原民事诉讼事实相同或者基本相同的刑事诉讼,此情形中,原告通过高度盖然性证明标准尚不足以获胜,同样的基础在排除合理怀疑的刑事证明标准下更不可能满足,此时,先判决的民事诉讼对刑事诉讼具有既判力阻却。其二,在先的刑事判决原则上对在后的民事判决产生既判力。有罪的刑事判决对案件事实的认定对民事程序形成拘束力,如认定被告人实施的某项侵犯公民个人信息行为构成犯罪,若被害人就同一案件事实针对被告人提起民事赔偿之诉,则无需对侵权行为再行证明。但也有例外,依据《中华人民共和国刑事诉讼法》第二百条规定,人民法院对案件审理后作出无罪判决的情况主要有两大类,一类是法定无罪,一类是证据不足的无罪。基于前一种情形作出的无罪判决对民事程序不应具有拘束力。就后一种无罪判决而言,证据不足不予定罪与民事诉讼中高度盖然性的标准并无排斥,故在先的刑事判决不能对在后的民事判决产生既判力。
(本文系教育部人文社会科学研究青年基金项目“公正司法视域下罚金刑自由裁量的边界与程序控制研究”和中国政法大学青年教师学术创新团队支持计划资助项目的阶段性成果,项目编号分别为:23YJC820051、21CXTD01)
注释
[1]于冲:《侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界》,《政治与法律》,2018年第4期。
[2]石佳友:《个人信息保护法与民法典如何衔接协调》,《人民论坛》,2021年第2期。
[3]李川:《个人信息犯罪的规制困境与对策完善——从大数据环境下滥用信息问题切入》,《中国刑事法杂志》,2019年第5期。
[4]肖雅菁、郭旨龙:《刑民衔接视角下侵犯公民个人信息罪的规范重构》,《江西师范大学学报(哲学社会科学版)》,2021年第5期。
责 编/肖晗题