单纯非法获取公民个人信息可罚性之商榷
——以司法维度的消极刑法观为切入点
2024-05-10李纪杰
李纪杰
海南大学 法学院,海南 海口 570100
一、问题的提出
在网络时代,运用互联网或者大数据侵犯公民个人信息已成司法实践中高发网络犯罪现象。根据《中华人民共和国刑法》(以下简称“刑法”)第253 条之一第1 款和第3款,侵犯公民个人信息罪的实行行为有两种类型:一是向他人提供个人信息,二是非法获取个人信息。前者一般包括出售、交换、赠送等;后者包括窃取、交换、收受、购买、索要等。在司法实践中,当行为人同时实施非法获取行为和其他行为时(如出售或者其他提供行为),处罚行为人往往不存在争议。但当非法获取行为单独出现时,对于其是否具有刑事可罚性则存在争议。例如行为人非法购买个人信息后,不用于犯罪或者违法活动,而用于合法经营活动时是否构成犯罪?对此,不同法院存在不同观点。例如在(2018)粤0304 刑初448 号案件中,被告人严某系个人贷款公司的业务组长,其非法获取125 950 条一般公民个人信息后用于推销个人贷款业务,法院认为严某非法获取125 950 条一般个人信息后用于开展合法经营活动,符合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息刑事解释》)第6 条第1 款的规定,因此尽管涉案信息条数多达12 万条,但行为人仅构成侵犯公民个人信息罪的情节严重,判处严某有期徒刑1 年4 个月。而在(2020)川0524 刑初6 号案件中,被告人杨某某为开展合法经营活动,非法获取244 万余条公民个人信息,法院却认为由于没有证据证明被告人符合《个人信息刑事解释》第6 条第1 款的规定,所以非法获取244 万余条公民个人信息的行为“尚不应评价为犯罪”。
这不免让人产生疑问——非法获取个人信息行为是否构成犯罪?单从刑法第253 条之一第3 款来看,似乎可以认为所有非法获取个人信息行为,只要达到情节严重都构成犯罪。但《个人信息刑事解释》第6 条第1 款同时规定,为合法经营而非法购买、收受一般公民个人信息的①主流刑法理论根据《个人信息刑事解释》第5 条将公民个人信息分为3 类,分别是第5 条第1 款第3 项的敏感个人信息,第4 项的重要个人信息和第5 项的一般个人信息。参见周光权:《侵犯公民个人信息罪的行为对象》,载《清华法学》2021 年第3 期,第32 页。,构罪标准不再是信息条数,而是获利数额、是否属于因本罪受过刑事处罚或者行政处罚后再次购买和收受个人信息(以下简称“特殊再犯”)及其他严重情节。根据这一规定,为合法经营活动非法购买5 000 条一般公民个人信息的行为,在未获利也不属于特殊再犯之情况下,不具刑事可罚性。由此引发的问题是:为何非法获取个人信息后用于合法经营活动的不具有刑事可罚性?申言之,非法获取个人信息行为在何种情况下才构成犯罪?
非法获取个人信息行为有罪论在理论界和司法实践中都属于主流观点,但这绝不意味着讨论获取公民个人信息行为是否构成犯罪不具有理论意义和实践价值。因为刑法条文的真实含义会随社会客观现实的演变而改变[1],即使非法获取公民个人信息行为在过去几乎一律被划入刑法规制圈,也不意味着同样的行为在现在以及在将来仍会被定罪。我国刑法对非法获取公民个人信息行为入罪始于2009 年的《中华人民共和国刑法修正案(七)》。该修正案公布之时我国还处于网络时代2.0 时代,也称“Web 2.0 时代”。在Web 2.0 时代,网络犯罪的代际特征主要是犯罪工具的物理性[2]102。犯罪工具的物理性决定了Web 2.0 时代获取个人信息需人为手动操作,例如手动利用调查问卷或者利用钓鱼网站等不成熟的黑客技术诱骗被害人留下个人信息。而Web 3.0 时代的犯罪工具逐渐智能化[2]104,部分犯罪者仅需滑动鼠标便可使用爬虫技术从政务公开网站中自动爬取个人信息,抑或利用AI 技术通过照片就可自动生成动态人脸识别信息等。网络犯罪成本的降低和网络犯罪方式的多元都彰显着社会客观现实的剧烈变化,而社会现实的改变通常会导致社会治理观念的转变。例如,在犯罪方式多样化和法益频遭侵害的社会背景下,运用刑法工具构建严密的刑事法网治理犯罪就显得很有必要。但当刑事法网已日趋严密,民刑共治的犯罪治理新模式被提倡[3]33,即精细司法、科学治理、综合治理时代已来临时[4]144,积极运用刑法工具的观念理应得到纠偏。当社会治理观念发生改变,亟须考虑是否仍须运用刑法工具治理非法获取公民个人信息行为。当前,鲜有文献专门结合网络犯罪时代背景和新型社会治理理念对非法获取公民个人信息行为的可罚性与否进行审视性研究。因此,笔者从单纯非法获取个人信息行为入罪与现实之间的矛盾、消极刑法观与犯罪治理现代化的契合性等角度,探讨单纯非法获取个人信息行为出罪的合理性,请教于方家和同仁。另外,需要强调的是,本文中的单纯非法获取个人信息行为是指行为人仅存在非法获取的犯罪故意,不存在其他故意和其他犯罪目的(如将个人信息用于财产犯罪的目的)。
二、单纯非法获取公民个人信息行为入罪合理性之商榷
(一)与刑罚协调原则相抵牾
刑罚协调原则是现代法治国家的合理配刑原则之一。刑罚协调既包括不同犯罪之间的协调,也包括同一犯罪内部的协调。前者指不同犯罪之间应类罪同罚[5];后者指同一罪名内部不同实行行为在危害性相同时,应被科处相同刑罚[6]。
如下文所述,从不同犯罪之间的刑罚协调关系出发,不应将单纯非法获取公民个人信息的行为入罪。单纯非法获取公民个人信息的行为实则仅侵害公民个人信息自决权①从形式层面来讲,单纯非法获取公民个人信息行为同时对公民个人信息自决权造成实害和对人身安全、财产安全造成抽象危险(本文将此称为形式观点)。但由于本罪并不处罚给人身安全、财产安全法益造成抽象危险的行为,因此在实质层面可认为本罪法益并不包括处于抽象危险状态的人身安全、财产安全。既然如此,单纯非法获取公民个人信息行为在实质上就仅侵害了公民个人信息自决权(本文将此称为实质观点)。本文在第二部分和第三部分中主要采取的是实质观点,在第四部分中主要采取的是形式观点。在其余地方的讨论中,恳请读者合理辨认采取的究竟为何种观点。。众所周知,个人信息自决权是宪法所保护的一般人格权的具体化权利之一[7]。从刑罚均衡视角而言,仅仅侵犯个人信息自决权的行为,不应当配置第一档法定刑为3 年以下有期徒刑或拘役,并处或单处罚金的刑罚,因为这与侵犯通信自由罪的刑罚设置不协调。刑法第252 条侵犯通信自由罪保护的法益为公民通信自由权,该权利也属于一般人格权的具体化权利之一[8]。既然公民个人信息自决权和公民通信自由权都属于一般人格权,就应当对两者实施同等程度保护。但侵犯通信自由罪所规定的第一档法定刑仅为1 年以下有期徒刑或拘役,远低于侵犯公民个人信息罪的第一档法定刑。这就说明,侵犯公民个人信息罪第一档法定刑所处罚的并非仅侵害一般人格权的行为,也即并非仅侵犯公民个人信息自决权的行为。换言之,单纯非法获取公民个人信息的行为并未被纳入侵犯公民个人信息罪第一档法定刑的规制范围。实际上,侵犯公民个人信息罪第一档法定刑所规制的是同时侵害个人信息自决权和人身安全、财产安全的非法获取行为。
从侵犯公民个人信息罪内部的刑罚协调关系出发,同样不应处罚单纯非法获取公民个人信息的行为。侵犯公民个人信息罪所规定的实行行为仅有非法提供和非法获取两大类。对于非法使用个人信息行为,在《中华人民共和国刑法修正案(九)》出台之前,就有学者明确建议立法机关将非法使用行为予以入罪,但立法机关未予以采纳[9]。就行为危害性而言,非法使用公民个人信息的危害性比单纯非法获取公民个人信息的危害性更大。例如,利用AI 换脸技术合成虚假视频不仅可能侵害个人信息自决权、人身安全、财产安全,还可能侵害肖像权、名誉权等[10]。但如下文所述,单纯非法获取公民个人信息的行为只可能侵害个人信息自决权、隐私权等。既然危害性更大的非法使用行为都未入刑,危害性较小的单纯非法获取行为就更不构成犯罪。
(二)与犯罪治理内涵相龃龉
将非法获取个人信息行为入罪的原因之一系为了更好地治理个人信息犯罪链条上的中下游行为,但是否只要打击位于犯罪链条上游的非法获取行为,中下游犯罪现象就会减少?答案是存疑的。以同样存在犯罪链条的诈骗罪为例。在电信网络诈骗中,上游行为通常是犯罪者出售自己的手机卡或者银行卡(简称“两卡”)给他人,中游行为是犯罪者实施定向电信网络诈骗等,下游行为是犯罪者到ATM 机器上取出诈骗所得款项等。为了治理电信网络诈骗,2020 年10 月起,国家积极适用帮助信息网络犯罪活动罪(以下简称“帮信罪”)打击出售两卡等帮助电信网络诈骗的行为。打击出售两卡活动到现在已经持续开展了3 年,但根据最高人民检察院2023 年10 月25 日发布的《2023 年全国各地检察院前三季度办案数据》①《最高检案管办负责人就2023 年1 至9 月全国检察机关主要办案数据答记者问》,参见https://www.spp.gov.cn/spp/xwfbh/wsfbt/202310/t20231025_631714.shtml#3,最后一次访问时间为2023 年11月4 日。,因电信网络诈骗被起诉和因帮信罪被起诉的犯罪者分别多达3 万人和10.4 万人,同比增长分别为46.9%和12.3%。上游行为(指构成帮信罪的行为)被有针对性地高压打击3 年后,下游犯罪(指诈骗罪)仍未呈现出明显下降趋势,反而还处于同比增长状态,这从一个侧面说明刑事手段在网络犯罪治理中并未取得良好效果[11]。
实际上,犯罪是一种复杂的、非孤立的社会现象。导致犯罪现象显性化的原因众多,因而犯罪治理是一项综合性极强的工作。科学的犯罪治理应首先立基于综合运用多学科知识和理论方法剖析犯罪现象的成因和社会基础[12],其次才聚焦于构建系统的平行的治理方法。如有学者对电信网络诈骗现象深入剖析后发现,电信网络诈骗的立体性、操作性、应和性之特征使其区别于传统诈骗,因而将奏效于传统诈骗中的末端司法管控模式直接移植到电信诈骗之治理很容易“水土不服”;治理电信网络诈骗时,应基于电信网络诈骗的成因和社会基础,从打击转向预防[13]。
同理,从犯罪治理角度出发,需要先分析侵犯公民个人信息犯罪现象频发的肇因。笔者认为,这与侵犯公民个人信息犯罪的高犯罪收益、低行为成本、低案发风险密切相关[14]。有学者对侵犯公民个人信息犯罪中行为人的犯罪收益进行研究后发现,在其所收集的200 个案例中,行为人的平均违法所得为5.3 万元,而我国人力资源社会保障部2020 年公布的全国最低月工资仅为1 180 元,最低年工资仅为12 150 元,可见犯罪收益之高[15]。不同于Web 2.0 时代,在Web 3.0 时代,智能化信息处理已经深刻镶嵌于人们的现实生活中,因此智能化计算机信息系统一旦被行为人非法入侵,行为人可直接获取智能化信息系统储存的海量个人数据。相较于Web 2.0 时代使用问卷调查等接触性方式非法获取公民个人信息,Web 3.0 时代获取公民个人信息之手段基本跃迁为省时省事的非接触性方式,此乃行为成本之低。此时侵犯公民个人信息主要通过互联网实现,犯罪者一旦通过反追踪、反定位方式抹除自身在互联网留下的犯罪痕迹,将给公安机关的抓捕带来一定的难度[16],此为案发风险之低。既然导致侵犯公民个人信息犯罪现象频发的诱因有多种,治理路径就应从多方面展开,而不应仅仅通过刑事手段打击侵犯公民个人信息的行为。特别是对于危害性不高的单纯非法获取个人信息行为,不应处以刑罚。当刑罚适用与刑罚效益原则相悖时,应使用非刑罚工具[17]。刑罚效益原则的核心内涵是成本——收益的经济学分析方法[18]70,终极目的是投入最小刑罚成本,获得最大刑罚收益[19]127。犯罪者角度的刑罚成本是指罪犯因犯罪受到刑罚需要付出的代价,例如拘役、有期徒刑等刑事制裁以及由此造成的其他影响(如剥夺考取公务员的资格);国家层面的刑罚收益是指国家获得对罪犯的惩罚效果和促进其他人打消犯罪念头的预防效果[18]69。将单纯非法获取公民个人信息的行为纳入刑罚圈,容易导致刑罚成本明显高于刑罚收益。具体而言,单纯非法获取行为入刑的刑罚收益是在一定程度上抑制行为人再次实施单纯非法获取行为和告诫其他人不要模仿实施非法获取行为,但相对应的刑罚成本却是犯罪者被判处刑罚。试想,一个人如果仅仅因为非法获取他人50 条财产信息,知悉50 个人的财产状况,就被贴上带来诸多负面影响的罪犯标签,这是否合理?答案显然是否定的,因为此时的刑罚成本远大于刑罚收益。合理的做法是,在“刑罚”收益相等时,基于刑罚节俭性原则应当适用“刑罚”成本小的制裁手段[19]129。实际上,抑制非法获取行为再次发生的手段还有由检察机关提起公民个人信息保护公益诉讼、由被害人提起民事侵权诉讼[20]、由行政机关作出行政制裁①参见《中华人民共和国网络安全法》第64 条、《中华人民共和国个人信息保护法》第66 条。等,甚至还可以增设处罚不构成犯罪的单纯非法获取公民个人信息行为的相关规定。这些手段同样可以取得同刑罚类似的治理效果。因此,从犯罪治理的角度出发,不应直接考虑对单纯非法获取公民个人信息的行为处以刑罚。或许可以考虑综合运用其他部门法,从前述具体诱因出发,制定相对应的措施,从源头上治理单纯非法获取公民个人信息的行为。
三、消极刑法观的引入和适用
(一)司法维度积极刑法观的存在动因有待商榷
司法维度的积极刑法观是指司法机关积极运用扩大解释,扩张处罚范围,尽可能地作出有罪认定[21],通常表现为可入罪可不入罪时选择入罪,可罚可不罚时选择罚,而司法维度的消极刑法观是指司法机关消极、被动地解释法律,积极运用缩小解释限缩犯罪圈。
积极刑法观与消极刑法观之争原本仅停留在刑事立法观念上,但随着研究深入,两种观念之争从立法维度延展到司法维度[22-24]。尽管当前网络犯罪现象仍处于高发状态,但目前网络犯罪刑事法网已经处于较为理想的状态[25],所以本文不再讨论立法层面的观念之争,而将目光聚焦于司法层面。司法维度积极刑法观有以下几个存在动因,但其合理性有待商榷:
动因一是现有刑事法网不够严密,刑事规则供给存在缺漏,司法人员有时只能采取积极刑法观扩张现有刑罚范围,以便规制犯罪现象。但即使在刑事法网存在罅隙之时进行刑罚扩张是司法实践理性使然,同时系出于回应民众的安全保护需求和维护民众的社会安全感,实践理性也不应脱离刑法规范的作用范围。也就是说,尽管打击犯罪属于硬需求,但刑罚扩张仍应保持应有的理性,不应对法益侵害性较小的行为适用较重刑罚,也不应将法益侵害性轻微的行为予以入罪。例如,帮信罪的设立初衷主要是规制向他人的网络犯罪活动提供线上帮助的行为,但《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》(以下简称《网络诈骗解释二》)明确①之所以说是“明确”将适用范围扩大到线下帮助行为,是因为根据刑法第287 条之二第1 款的规定,线下帮助行为同样可以被“等技术支持”和“等帮助”所涵盖。但在以往的司法实践中,很少处罚仅仅出售银行卡或者电话的线下帮助行为。《网络诈骗解释二》属于首次明文规定将线上帮助和线下帮助同等处罚。将该罪的适用范围扩大到线下帮助行为,如出售手机卡、流量卡的行为。出于打击电信网络诈骗的现实需求,基于实践理性将帮信罪的适用范围从线上帮助明确扩张到线下帮助本无可厚非,但对线上帮助行为和线下帮助行为适用同一入罪标准和同一档法定刑实则与罪刑均衡原则相悖。线上帮助行为通常借助互联网实施,互联网使得行为人可以在短时间内实现一对多的帮助。从帮助范围和帮助对象数量来讲,线上帮助行为都远超过线下帮助行为,因此两者的法益侵害性并不一致。鉴于法益侵害性不一,入罪门槛和量刑标准应予以区分[4]139,142,但《网络诈骗解释二》对此并未予以区分。
动因二是部分司法人员受到工具主义刑法观的影响,形成了只有通过积极运用刑法才能有效威慑其他公民、遏制犯罪再次发生,并维护社会秩序的刻板印象。所谓工具主义刑法观是指,将刑法工具化,以人为手段实现刑事正义。通过惩治犯罪者威吓潜在犯罪者,使其放弃犯罪念头,即属工具主义刑法观具体内涵之一[3]37。一些司法人员在遇到所谓的“虚拟货币诈骗第一案”“流量劫持第一案”等新型案件时,为了劝诫其他民众打消实施类似不法行为的念头,往往主张积极扩张刑法规定,将之前尚未出现的不法行为纳入刑罚圈。但运用刑罚打击犯罪从而实现犯罪预防的做法,实际上是将人当成实现目的之手段,而不是目的本身。过于宽泛的刑罚在实现秩序维护机能时容易牺牲公民的行动自由,因此不能任由刑罚扩张。也就是说,一味使用刑法工具打击侵害法益的新型违法行为,虽可促使公民放弃损害法益,但也存在不当限制公民正常生产活动的风险,这在运用刑罚打击中立的网络服务提供行为时体现得尤为明显。在司法实践中,一些网络服务提供行为之所以在入罪问题上存在争议,是因为其行为性质比较特殊。网络服务提供商通常面临这样的困境:其所提供的服务被其无法控制的他人用以实施犯罪,如果其想控制,则需放弃对服务有效性至关重要的技术流程自动化。因此,一般只有在法律规定检查义务之时,网络服务提供商才会检查是否有人利用其所提供的服务进行犯罪[26]946。在具备法定义务却不履行时,其有可能涉嫌不作为犯罪。可见,判断网络“中立”帮助行为是否构成犯罪的重要环节之一乃判断法律是否赋予特定主体特定法律义务。为同时发挥刑法秩序维护和人权保障之机能,立法者必须根据风险和成本收益对法律义务的范围作出调整[26]969,司法者同样也要根据风险和收益对法律义务作出契合时代背景和社会现实的动态解释。如果立法者将特定主体的法律义务规定得过多或者司法者将特定主体的法律义务解释得过宽,则不仅可能不当限制特定主体的行动自由,更可能不利于某些新兴行业的蓬勃发展。因此,司法人员不应固守工具主义刑法观,也不应在任何时代背景下都唯积极刑法观是从,应根据不同时代背景持有不同犯罪治理理念。
动因三是部分司法人员尚未意识到犯罪治理乃一项庞大的系统性工程,其往往局限于积极采用严厉刑罚打击侵犯法益的犯罪,而忽视了犯罪综合治理所涉及的复杂性。一些司法人员怀有“打小打早”的犯罪打击念头,却很少深思仅仅依赖刑法工具是否真的可以降低犯罪率,以及是否真的可以减少甚至遏制犯罪现象再次发生。犯罪现象的实证研究表明:犯罪率升高和犯罪预防效果降低的原因包括但不限于社会因素、经济因素等[27]。同时还有实证研究表明,相较于刑事司法财政支出的增加,社会福利财政支出的增加可以带来更为显性的犯罪治理效果[28]。因此,有必要先行对网络犯罪现象进行鞭辟入里的研究,随后再根据研究结果制定科学的治理之道。概言之,在犯罪治理过程中,应改变首选刑罚手段的积极刑法观,树立多部门法协同合作、多学科知识综合运用的犯罪治理理念。
综上,司法维度积极刑法观的存在动因在合理性层面有待商榷,司法人员应改变司法维度的积极刑法观,合理运用司法维度的消极刑法观。消极刑法观不强调刑罚先行,也不坚守刑罚为主,与主张多重规制手段综合运用的现代化犯罪治理理念相契合。下文将对此进行阐述。
(二)消极刑法观与犯罪治理现代化的内涵相契合
犯罪治理属于社会治理的一种,社会治理始于对社会现象和社会现实的观察,当社会现象和社会现实改变时,社会治理模式也随之改变,犯罪治理模式亦如此。当下社会是科技社会、网络社会,互联网已经介入了社会生活的各个环节,诸多犯罪方式也逐渐互联网化、科技化。随着犯罪方式的变化,国家治理犯罪的政策和理念也在改变。《中华人民共和国国民经济和社会发展第十四个五年规划和2035 年远景目标纲要》提出要建设自治、法治、德治相结合的城乡基层社会治理体系①《中华人民共和国国民经济和社会发展第十四个五年规划和2035 年远景目标纲要》,参见中华人民共和国中央人民政府网(https://www.gov.cn/xinwen/2021-03/13/content_5592681.htm)。,《法治社会建设实施纲要(2020—2025 年)》提出要“提高社会治理法治化水平”②详见《中共中央印发〈法治社会建设实施纲要(2020—2025 年)〉》,参见中华人民共和国中央人民政府网(https://www.gov.cn/zhengce/2020-12/07/content_5567791.htm)。,《法治中国建设规划(2020—2025 年)》提出要“推进国家治理体系和治理能力现代化”③详见中共中央印发《法治中国建设规划(2020-2025 年)》,参见中华人民共和国中央人民政府网(https://www.gov.cn/zhengce/2021-01/10/content_5578659.htm)。,这些都是对社会治理现代化要求的新阐述。对社会治理现代化内涵的新阐述表明:社会治理乃一项系统性工程,只有协同运用整体法律,才能实现社会治理现代化。法治在犯罪治理现代化中的核心含义是限缩刑事处罚范围[29]178。也就是说,犯罪治理现代化要求将犯罪治理观念从以刑为主的犯罪之制转为民刑结合的犯罪之治[3]35,也即从单向刑罚压制转向多重手段综合治理。如前文所述,消极刑法观的内涵是指司法机关进行缩小解释以限缩犯罪圈或者不进行扩张解释以维持犯罪圈。由此可见,消极刑法观与犯罪治理现代化的新意蕴不谋而合,因此应当将消极刑法观列为构建犯罪治理现代化体系过程中的核心治理理念之一。
实际上,在网络治理过程中,已经出现不少消极刑法观指引下的实践案例。例如,在网络爬虫行为的规制历程中,司法实践对于爬虫行为先适用《中华人民共和国反不正当竞争法》予以规制④详见(2017)粤03 民初822 号判决书。,而后才适用刑法对部分法益侵害性较大的爬虫行为予以规制⑤详见(2017)京0108 刑初2384 号判决书。。先民后刑体现的是刑法工具的理性缺位,与消极刑法观要求合理限缩犯罪圈的核心蕴含如出一辙。可见,司法维度的消极刑法观不仅依托于时代背景,更脱胎于实践经验,因此在司法层面采取消极刑法观有理可循。
概言之,网络社会、科技社会不应当一味追求刑事手段优先,应注重多重规制手段的综合运用,注重提高治理犯罪之意识和技术[30]。而要实现综合治理,离不开司法维度消极刑法观的指引,司法人员在办案过程中,应当结合消极刑法观的具体含义对违法行为作出合理处置。
(三)消极刑法观对侵犯公民个人信息罪法益的重塑
消极刑法观的具体含义包括消极的法益观、消极的不法论、消极的责任以及消极的刑罚观[29]185。司法实践中,司法工作人员对法益和构成要件范围的重新解读、对不法阻却事由的证立、对责任阻却事由的证成以及对刑罚效果的再次审视等都会影响行为人的罪与非罪,因此司法维度的消极刑法观之具体含义也可概括为前述四个方面。消极的法益观是指,通过重新阐释法益内涵对犯罪范围进行限缩或者通过重新厘定构成要件行为范围对犯罪范围进行限缩。例如,在侵犯公民个人信息罪中,消极刑法观支持者将侵犯公民个人信息罪的法益界定为个人信息自决权,因此经个人同意的,在合理范围内处理他人已公开个人信息不构成犯罪[29]186。又如,帮信罪在司法实践中存在扩张趋势,可通过将受处罚的帮助行为限缩为针对“利用信息网络实施犯罪”之人实施的帮助行为,从而对帮信罪的成立范围予以限缩[31]。与本文讨论焦点有关的是消极的法益观,因此在此不对消极刑法观的其他内容进行展开。
当前,有必要结合消极刑法观重新探讨侵犯公民个人信息罪的法益内涵。只有厘清侵犯公民个人信息罪的法益内涵,才能正确评价单纯非法获取公民个人信息之行为是否构成犯罪。
侵犯公民个人信息罪的法益之争主要围绕个人法益和超个人法益展开。超个人法益观立足于个人信息的公共属性,试图结合个人信息之价值发端于信息交换,证成法益的超个人性。但即使得以证成个人信息的非个人性,也无法直接得出该非个人性需被纳入刑法保护范围。换言之,个人信息的公共属性脱胎于违法多元论,而超个人法益的支持者基本未单独论证动用刑罚工具保护公共属性的必要性和合理性何在,欠缺逻辑完整性[32]。因此,本文支持个人法益观。2020 年颁布的《中华人民共和国民法典》第111条和2021 年颁布的《中华人民共和国个人信息保护法》第14 条实际上都规定了公民的个人信息自决权。基于违法一元论,本文将本罪法益具体界定为个人信息自决权。在网络时代,大数据背景下信息价值始于信息流动,信息流动也是社会发展的必然趋势[33]。按照主流观点,刑法必须在信息保护和信息流动之间实现动态平衡,所以其仅承认相对的个人信息自决权[34]。但将本罪法益界定为相对的个人信息自决权仍存不足之处,因为此举尽管可以实现信息保护和信息流动之动态平衡,但未取得公民的行动自由与法益保障之间的平衡。消极刑法观视域下,法益保障并非只能通过刑罚工具实现。刑罚工具在保护法益的同时,实际上也可能不当限制公民的行动自由。因此,从消极刑法观的角度看,认为本罪法益仅包括个人信息自决权实则左支右绌,具体理由如下:
第一,如果将本罪法益仅界定为个人信息自决权,实际上即认为本罪在非特殊情况下①例如符合《个人信息保护法》第13 条的规定时。保护所有类型的个人信息。但根据《个人信息刑事解释》第5 条,本罪仅保护财产信息、住宿信息等可能影响人身安全、财产安全的信息。如下文所述,如果某一类信息不影响人身安全、财产安全,那么便不属于本罪的保护对象。既然不保护所有类型的个人信息,那么本罪法益就不可能仅为个人信息自决权。
第二,若本罪法益仅为个人信息自决权,那么便无须对被保护的个人信息进行分类,因为无论侵犯何种公民个人信息,受损的法益都是个人信息自决权。但显而易见的是,《个人信息刑事解释》不仅对个人信息进行分类,还赋予不同个人信息不同的重要性,这从不同个人信息对应不同的构罪信息条数便可看出。这同样足以证明本罪法益并非仅含个人信息自决权。
第三,消极刑法观视域下本罪法益不可能仅含个人信息自决权。消极刑法观中的法益论要恪守比例原则,践行刑法作为辅助性法益保护工具的理念。具言之,要考虑对个人信息的保护是否可以通过其他部门法予以实现;如果可以,则不应直接动用刑法予以保护或者仅动用刑罚工具予以保护。实际上,治理网络犯罪需要行刑协同[35]101,目前新的网络立法已经注意到这一点。例如2022 年9 月颁布的《中华人民共和国反电信网络诈骗法》第46 条规定,参与网络诈骗的犯罪者除了需要承担刑事责任外,还需承担行政责任和民事责任。同理,保护公民个人信息不能一味动用刑罚工具,要学会积极运用其他部门法的治理手段,从源头上治理侵犯公民个人信息的行为,进而保护公民个人信息。那么其他部门法是否存在对单纯非法获取公民个人信息行为予以规制的合理手段?答案是肯定的。2020 年的《关于积极稳妥拓展公益诉讼案件范围的指导意见》已经将个人信息保护列为网络领域公益诉讼的工作重点。2021 年4 月22 日,最高人民检察院发布了11 件有关个人信息保护的公益诉讼①《最高检发布检察机关个人信息保护公益诉讼典型案例》,参见https://www.spp.gov.cn/spp/xwfbh/wsfbt/202104/t20210422_516357.shtml#1。,这些公益诉讼案件主要集中于互联网企业违法违规获取公民个人信息等[36]。2021 年11 月1 日实施的《中华人民共和国个人信息保护法》第70 条直接规定了检察机关可以在个人信息处理者违规处理个人信息进而侵害众多权益时向法院提起公益诉讼。2022 年全国检察机关办理个人信息保护公益诉讼案件则达6 000 余件。由此观之,个人信息保护公益诉讼在理论和现实层面都切实可行。甚至还有学者已经构思,将刑法上的风险社会理论引入个人信息保护公益诉讼制度,构建预防、救济并存的二元化体系[37]。因此,对个人信息的保护完全可以通过非刑罚手段予以实现。
综上,不应将本罪的法益仅界定为个人信息自决权。既然个人信息自决权并非本罪的唯一法益,那本罪的法益还包括什么?本文认为,从刑法第253 条之一本身出发,本罪的法益同时包括个人信息自决权和人身安全、财产安全①特别要注意的是,为便于描述,本文将人身安全、财产安全这两个法益合称为一种法益,个人信息自决权则作为另外一种法益,所以本罪是包括两种法益,也即双重法益的罪名。,理由如下:
第一,本罪之立法目的佐证了本罪法益同时包括双重法益。刑法设立本罪之目的绝非仅仅保护公民对个人信息的支配。一般而言,先于刑法存在的法益是证成刑事立法目的正当性的重要工具,因此法益与刑事立法目的属于决定与被决定之关系。但在法益之内涵与外延含混之时,可从刑事立法目的倒推法益的真实面貌。本罪的设立是为了防止个人信息被侵犯后所带来的一系列附随后果[38],如财产被盗抢、人身安全被威胁等。因此,本罪同时保护个人信息自决权和人身安全、财产安全。
第二,相关司法解释对行为对象的描述决定了本罪法益属于双重法益。构成本罪需达至情节严重,根据《个人信息刑事解释》第5 条第1 款,构成情节严重需达至的条件有被侵犯个人信息的条数、被侵犯个人信息的类型等。信息条数代表的是被侵害法益程度的轻重,因此从信息条数无法推断法益。被侵犯的个人信息类型代表的是行为对象。行为对象跟法益的关系十分密切[39]212。具体而言,行为对象往往是法益的形式载体,通常可从行为对象倒推法益内涵。
《个人信息刑事解释》第5 条第1 款规定的行为对象采取的是“列举+兜底”方式。兜底条款的作用在于补足未列举之行为对象[40]。部分含包容性概念的兜底条款通常概括描述了已列举和未列举之行为对象的共同特征[41],因此可从共同特征萃取法益的真实面貌。但《个人信息刑事解释》第5 条第1 款一共存在两处包容性概念,所以需要先判断哪一处包容性概念概括了行为对象的共同特征。这两处包容性概念分别是第1 款第4 项的“其他可能影响人身、财产安全的公民个人信息”和第1 款第5 项的“第3 项、第4 项规定以外的公民个人信息”。后者并未直接规定行为对象的共同特征,而是需要先行总结归纳第三项和第四项的行为对象的共同特征,随后才可得出第1 款规定的所有行为对象的特征。由于多次推断更易造成信息丢失,因此本文放弃从后者,转而从前者归纳行为对象之特征。前者存在“可能影响人身、财产安全”的概括性描述,因此可将第1 款行为对象的共性归纳为“可能影响人身、财产安全的公民个人信息”。同时,应当把第4 项中的“等其他可能影响人身、财产安全的公民个人信息”中的“等其他”理解为等内等。从语义解释角度而言,“等”字用法有二:一为等内等,意指对前文列举事项之煞尾;二为等外等,意指对未列事项之概括。第4 项中所列举信息类型对应的入罪条数仅为500 条,而在互联网时代,向他人提供500 条交易信息耗时可能不到1 秒钟。对于犯罪难度如此之低的罪名,自然不应当扩大其成罪范围,此乃消极刑法观应有之内涵。因此,出于限缩犯罪圈和提高入罪门槛的考虑,应将第4 项中的“等”理解为等内等。循此逻辑,应当将第5 项中的“第三项、第四项规定以外的公民个人信息”理解为除第3 项和第4 项所列举的具体信息类型之外的可能影响人身、财产安全的公民个人信息。如此,便可将侵犯公民个人信息罪的行为对象概括为可能影响人身、财产安全的公民个人信息。由于法益的形式载体是行为对象,从本罪行为对象自然可证成本罪法益还包括人身安全、财产安全。
综上,应认为本罪法益囊括个人信息自决权和人身安全、财产安全,所以本罪属于双重法益,不法行为须同时侵害两种法益才能构成犯罪。
四、单纯非法获取公民个人信息行为出罪合理性之证成
(一)不法行为未对法益造成具体危险时不具刑事可罚性
在界定本罪法益包括两重法益的基础上,还需厘清对法益侵害的程度达至何种程度时不法行为才构成犯罪,也即还需判断本罪是属于实害犯,还是具体危险犯抑或抽象危险犯。
基于消极法益观限缩犯罪刑罚圈、运用非刑事手段规制危害性不大的不法行为立场,本文认为,只有同时对公民个人信息自决权造成实害和对人身安全、财产安全至少造成具体危险时,非法获取行为才构成犯罪,具体理由如下①由于不管何种非法获取行为,都构成对个人信息自决权的实害,因此以下讨论仅针对人身安全、财产安全。:
首先,如果要求对人身安全、财产安全造成实害才构成犯罪,所有的个人信息犯罪都会变成具体的财产犯罪和人身犯罪,此时便不存在另设本罪的必要性。
其次,如果认为对人身安全、财产安全造成抽象危险即可构成犯罪,实则在处罚财产犯罪、人身犯罪的预备犯。但这不仅与“一般不处罚预备犯”的司法实践理性[42]相抵牾,而且还与消极刑法观限缩犯罪圈的出发点相悖。其一,尽管我国刑法总则设立了处罚预备犯的规定,但司法实践中一般不处罚预备犯,因此仅对人身安全、财产安全造成抽象危险的行为不应被处以刑罚。其二,基于消极刑法观的立场,刑法理应放弃处罚法益侵害性不大的行为。仅对人身安全、财产安全造成抽象危险的非法获取行为即属于法益侵害性不大的行为。从犯罪综合治理角度出发,仅造成抽象危险的不法行为应使用非刑罚手段予以规制。综上,仅造成抽象危险的非法获取行为不构成犯罪。仅造成抽象危险的非法获取行为也叫单纯非法获取行为,如前所述,其指的是行为人实施非法获取行为时,仅具有非法获取个人信息的犯罪故意,不存在其他犯罪故意和其他犯罪目的。
接下来要讨论的是,何时才构成对人身安全、财产安全的具体危险。刑法理论一般认为,产生具体危险之时即犯罪着手之时,所以讨论何时产生具体危险实则在讨论犯罪何时着手。不同犯罪的着手点有所不同,被用于判断着手点的观点有主观说、形式客观说、实质客观说等[39]439-440。基于不提前也不延迟认定着手点的立场,本文采取实质客观说中的结果说。按照该说,当不法行为具有侵害法益的紧迫危险时,即存在犯罪着手。判断紧迫危险是否存在要从行为的具体方式、行为是否利用了所制造的条件等方面出发[39]441。当存在客观证据证明行为人获取个人信息之后极大概率用于人身犯罪、财产犯罪①此处并非指行为人具有将个人信息用于人身犯罪、财产犯罪的犯罪故意或犯罪目的,而是指行为人在客观事实上将个人信息用于人身犯罪、财产犯罪。,在其获取到个人信息之时,即存在对人身安全、财产安全的具体危险。例如,在以下情形中,行为人一获取到个人信息就构成本罪:在非法获取个人信息之前,就已备好到他人家里实施抢劫的工具;或者已加入电信网络诈骗团队学习诈骗话术,待获取到个人信息后就立即实施定向电信网络诈骗。如果行为人在非法获取到个人信息后,才产生利用个人信息实施财产犯罪的意图,此时不应当以侵犯公民个人信息罪处罚行为人。因为行为人一开始的非法获取行为并未对人身安全、财产安全造成具体危险。
之所以在行为人刚获取到个人信息之时就认定具体危险的存在,是因为:第一,在互联网犯罪中,危害结果发生和犯罪着手之间的时间间隔大幅度降低。例如行为人可能前一个小时刚获取到公民个人信息,后一个小时就已经利用这些个人信息成功对被害人实施了诈骗。第二,互联网犯罪的特点一般是一对多,即一名犯罪者同时对多个目标实施犯罪。例如在互联网诈骗中,犯罪者可同时对多个目标发送诈骗钓鱼链接。由于目标众多,因此相较于仅针对单一目标的传统犯罪,该类犯罪者的成功概率明显提高。第三,在侵犯公民个人信息犯罪中,由于行为人掌握着准确且大量的公民个人信息,因此其实施人身犯罪和财产犯罪的成功概率相较于传统人身犯罪和财产犯罪都明显提高。可见,网络犯罪中将犯罪的着手点提前存在一定的合理性。具体而言,当有证据表明行为人获取到公民个人信息后极大概率将个人信息用于人身犯罪、财产犯罪,在行为人获取个人信息之时就可以认定其行为对人身安全、财产安全法益造成具体危险,进而构成侵犯公民个人信息罪。
(二)“为合法经营活动”要素属于消极的构成要件要素
《个人信息刑事解释》第6 条第1 款规定,为合法经营活动而非法购买、收受一般公民个人信息的,只有在满足获利要求和特殊再犯要求时,才构成犯罪。
“为合法经营活动”是指个人信息被用于合法经营活动中,其属于消极的构成要件要素。具体而言,刑法处罚的是获取公民个人信息后极大概率用于人身犯罪或者财产犯罪的非法获取行为;如果行为人“非法获取”公民个人信息后用于合法经营活动的,不是刑法上的非法获取行为,不应予以刑法处罚。
可能有反对意见认为,个人信息的用途在个人信息被获取之后才显现,也即先有非法获取行为,才有个人信息被用于合法经营活动。既然获取行为在行为人实施行为时就被定性为“非法”,那就不可能再依据后续个人信息的用途对行为之性质予以变更,也即行为性质固化于行为之时。这种反对意见的逻辑漏洞在于:行为性质虽然止于行为之时,但刑法规范可根据行为实施后的附随变化对行为时的行为性质予以修正。例如,在行贿罪中,行为人被勒索实施“行贿”,如果后续获取到不正当利益,则行贿行为最终成立;如果后续未获取到不正当利益,刑法则将先前的“行贿”修正为非行贿。同理,如果行为人非法获取个人信息后用于合法经营的,刑法应否定该获取行为的刑事可罚性。就此而言,可以将“为合法经营活动”理解为构成要件要素中的附随要素,这种附随要素会影响刑法规范对不法行为的最终定性。
也可能有反对意见认为,“为合法经营”并不能证明消极不法,因而不属于消极的构成要件要素。具体而言,“为合法经营”乃对信息用途的界定,信息用途合法并不能直接阻却获取行为的违法性。判断信息用途是否合法的规范依据涉及经营生产生活的方方面面,而判断获取行为是否合法的规范依据是刑法第253 条之一的“国家有关规定”,也即法律、行政法规。很明显,前一规范依据之范围明显大于后一规范,所以“为合法经营”并非“违反国家有关规定”的反面阐述,因此不具备消极不法之证明功能[43]。然而,“为合法经营”和“违反国家有关规定”的机能并不相同。前者属于消极的构成要件要素;后者在性质上仍存争议,为聚焦争议,在此暂且将其理解为积极的构成要件要素。只有同时存在积极的构成要件要素和不存在消极的构成要件要素才能构成犯罪,也即同时违反国家有关规定和同时未将个人信息用于合法经营才构成犯罪。由于两者的性质不同,所以两者并非一个硬币的正反面。两者实际上皆在作为独立个体发挥各自的作用,所以两者所依据的法律规范不同并不影响两者各自机能的正常发挥。概言之,“为合法经营”要素可以作为消极的构成要件要素对一些非法获取行为予以出罪。
另外,还有一个值得讨论的问题,即为何《个人信息刑事解释》第6 条仅将这一消极构成要件要素的适用对象限于一般公民个人信息?可能的回答是司法机关认为非法获取一般公民个人信息行为本身的危害性不大;若被非法获取的个人信息的用途是用于合法经营活动,非法获取行为之行为危害性再一次降低。因此在行为人未达到获利门槛、特殊再犯要求的情况下,可以直接予以出罪。但按照刑法教义学的逻辑一致性要求,在同一个构成要件中,消极构成要件要素的出罪功能不会因为行为对象的不同而发生变化。换言之,其出罪功能不仅应适用于一般个人信息,还应适用于重要个人信息和敏感个人信息。只有这样,才能维持消极构成要件要素在刑法教义学中的原本机能。但在司法实践中,有些法院不但未承认消极构成要件要素在重要个人信息和敏感个人信息中的作用,实际上也未承认消极构成要件要素在一般公民个人信息中的作用。如在(2018)粤5381 刑初58 号一案中,行为人莫某某和黄某某通过购买等非法方式非法获取一般公民个人信息270 万余条①实际上,法院将涉案个人信息认定为一般公民个人信息的做法也值得商榷。因为涉案个人信息仅仅是手机号码加号主性别。由于公民个人信息所要求的是直接识别性,而并非间接识别性。因此,即使手机号码在当今时代已经全部实名制,但一般公民是没有权限获取手机号码背后的实名制信息的,所以手机号码并不具有直接识别到具体个人的机能,手机号码加号主性别的信息组合同样也不具有。因此,不能将涉案信息认定为一般公民个人信息。,后将个人信息用于开展微商经营活动,其未在经营活动中获利,也不属于特殊再犯。法院认为,两行为人非法获取一般公民个人信息270 万余条,虽然其未将个人信息用于开展犯罪活动,而是用于微商经营,但其仍构成侵犯公民个人信息罪,最后分别判处莫某某有期徒刑1 年7 个月缓刑2 年,黄某某有期徒刑1 年6 个月缓刑2 年。但按照《个人信息刑事解释》第6 条第1 款之规定,在行为人非法获取的信息为一般公民个人信息,且不符合获利要求和特殊再犯要求时,无论行为人获取多少条一般个人信息,都不构成犯罪。所以,针对该案中的行为人,合理的做法是对其出罪,同时适用其他部门法规对其单纯非法获取行为予以规制。
五、结语:网络犯罪治理应从单向抑制转为综合治理
在网络时代,由于网络犯罪的行为样式日益复杂、多变,部分司法人员习惯于使用刑事手段积极打击犯罪。但正如前文所述,由于网络犯罪存在特殊的犯罪成因,一味地单向刑罚压制已难以完全抑制犯罪现象之再次发生。况且,刑罚的正当性依据除了报复性,还包括预防性。如果严刑峻法并不能取得良好治理效果,且刑罚成本远高于刑罚收益,基于刑罚效益原则应放弃过度依赖刑罚工具。因此,网络时代的刑事治理理念应考虑从单向刑制转向多重治理。在多重治理模式下,必然重视治理手段之次序,提倡非刑罚手段先行,刑罚手段后置。也就是说,在消极刑法观指引下,刑法之惩治重点应聚焦于法益侵害严重的行为,法益侵害相对轻微的行为应交由其他部门法予以规制。例如前文论及的单纯非法获取公民个人信息之行为,实际上就属于法益侵害轻微的行为,对此应采取非刑罚手段进行治理。
特别值得注意的是,由于综合治理离不开溯源治理[35]99-101,所以不少学者认为,只要运用刑罚严厉打击犯罪链条中的源头行为,便能很好地遏制整个犯罪链条。这一治理思维其实未考虑源头行为本身所具有的法益侵害性是否值得动用刑罚予以规制,也未考虑将整治重点聚焦于法益侵害性更大的后续行为上,因此存在不妥。在涉及公民个人信息的犯罪中,由于存在获取个人信息—处理个人信息—利用个人信息实施下游犯罪的犯罪链条,不少学者认为,只要运用刑法截断获取个人信息这一环节,后续犯罪就会自然而然地减少。但是,打击非法获取公民个人信息行为不一定要动用刑法,也可动用其他部门法的治理措施,例如公益诉讼、侵权诉讼、行政制裁等。因此,从综合治理角度出发,应只对法益侵害性大的非法获取行为施以刑罚,对于法益侵害程度不高的单纯非法获取行为,应当考虑采用非刑罚手段予以规制。
总而言之,犯罪现象的治理是一项综合性、系统性的工程,应重新审视对于部分法益侵害性较小的行为是否仍需动用刑罚工具,在网络刑事立法体系已趋于完善的年代更应如此。因为只有保持立法扩张和司法限缩的动态平衡,才能逐步构建科学的综合治理体系,才能实现犯罪治理现代化。