钟欣煜

(武汉大学 法学院,湖北 武汉 430072)

随着互联网技术的发展,信息呈“爆炸式”增长且快速传播的态势,对经济价值与社会价值日益凸显的个人信息进行保护具有重要意义。为保障公民的人身、财产安全并防止个人信息泄露或被非法利用,2009年《中华人民共和国刑法修正案(七)》新增侵犯公民个人信息罪,2015年《中华人民共和国刑法修正案(九)》对该罪名进一步完善。

刑法先行的立法模式虽满足了现代刑法保护个人信息的立法需求,但也为该罪的理解与适用带来诸多困扰。目前学界对该罪的法益归属存在争议,因此,有必要厘清该罪保护法益以明确《中华人民共和国刑法》(以下简称《刑法》)保护范围。

1 个人信息概念特征及其属性之辨析

1.1 个人信息概念特征的规范性考察

目前《刑法》尚未对个人信息作出明确定义,但可以通过相关法律规定和司法解释来界定个人信息的概念。

首先,在私法层面上,《中华人民共和国民法典》(以下简称《民法典》)第1034条指出,个人信息是“能够单独或者与其他信息结合识别特定自然人的各种信息”。该规定在私法领域对保护个人信息问题进行了回应,强调个人信息是能够“识别特定自然人”的信息。

其次,在公法层面上,2012年通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》第1条首次确立了个人信息的保护原则。2013年《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字〔2013〕12号)进一步明确了公民个人信息的范围,强调个人信息的“身份可识别性”与“涉及公民个人隐私”。2016年《中华人民共和国网络安全法》(以下简称《网络安全法》)对个人信息作出较为全面的定义。根据《网络安全法》第76条第5项的规定,将“可识别性”作为判断公民个人信息的标准。该法明确了个人信息的范围并且删除了个人隐私的规定,注意到个人信息与个人隐私既相互联系又相互区别,且个人信息的范围并不限于具有隐私性的个人信息。2020年国家市场监督管理总局、国家标准化管理委会发布《信息安全技术个人信息安全规范》(GB/T 35273—2020)。作为目前国内个人信息保护制度中最完善的规范性文件提出了特殊数据(个人敏感信息)的定义,表明个人信息与人身、财产安全息息相关。2021年11月1日起施行的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)细化了个人信息的保护内容和处理规则,从其第4条的规定可以看出个人信息具有“可识别性”,第28条采用“二分法”的形式将自然人受到侵害或者人身、财产安全受到危害的可能性程度作为划分标准,将个人信息分为敏感个人信息与一般个人信息。

最后,在司法解释上,2017年6月1日起施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)(以下简称《个人信息解释》)第1条对个人信息进行了定义。相较于《网络安全法》的规定,该解释增加了“反映特定自然人活动情况”的特别提示,实质上是最大限度地将涉及人身和财产安全的公民个人信息纳入保护范围,拓展了公民个人信息的外延。另外,《个人信息解释》第5条按照个人信息承载的内容与信息主体的人身、财产关联性将个人信息划分为3类,涵盖了个人的其他人身、财产权利。

虽然个人信息概念的外延不断延伸,但始终未超出公民个人人身、财产安全的范围。即使各规定对个人信息的定义有所不同,也不难发现“可识别性”是个人信息最本质的特征,将“可识别性”作为个人信息的判定标准已成为共识。因此,个人信息的根本属性应是人身、财产属性。

1.2 网络时代下个人信息的多元属性

在大数据背景下,信息分享与信息交换已成为常态,个人信息在社会主体间流动。在不同媒介和平台上传播、处理和利用个人信息的过程中,多方主体参与,个人信息成为信息社会的重要经济资源,经过不同方式的加工处理而为平台运营者、商业主体等多方利益相关者带来多重价值。

综上,个人信息不仅具有人身、财产属性,在互联网背景下也具有一定的公共属性,并且随着使用和传播,价值内涵也变得越来越多元和复杂。

2 理论争议及其思考

2.1 个人法益说

主张侵犯公民个人信息罪保护法益为个人法益的有以下几种代表观点：

第一,人格权说。有学者将该保护法益解释为隐私权[1],也有解释为人格尊严与个人自由[2]。隐私权说认为,保护公民个人信息就是保护公民的隐私权,旨在维护公民现有平稳生活状态[3],但隐私权说排除了对已公开个人信息的保护。一方面,虽然某些个人信息已公开,但公开的目的与用途存在多元性和复杂性,公开的范围并不明确,且无法确定信息权利人公开的限度。对已公开个人信息的不合理处理,仍然有侵害相关利益的风险,同样具有《刑法》保护的可能性。另一方面,个人信息的核心要素是“可识别性”,既然该信息已经公开,不具有隐私性,也属于个人信息,那么非法出售、提供、窃取该类个人信息的行为就不会侵害隐私权。

第二,个人信息权说。个人信息权是指本人依法对个人信息所享有的支配、控制并排除他人侵害的权利[4]。有学者提出,“本罪中的个人法益应当是个人信息权法益”[5]。该观点基于刑民一体化的角度,将私法层面上排他性的个人信息权移植于《刑法》中,但从《刑法》上保护该权利欠缺合理性。首先,个人信息不等于个人专有信息,个人信息具有公共性。当个人信息在公共领域内流动并脱离个人所能掌控的范围时,个人难以完全支配个人信息。其次,不符合法益保护原则。张明楷指出,法益概念的原则之一为“法益必须与利益相关联”[6]183-184,意味着只有当利益具有可侵害性时才可能上升为法益,如身体、生命、名誉等。但当侵犯个人信息权即妨碍信息主体对个人信息支配权的行使而没有造成个人身体的伤害或财产的减损时,无从体现可侵害性。最后,不具有《刑法》保护的必要性。仅侵害个人信息权,而没有影响人身、财产安全,并未触及值得《刑法》保护的利益,并且完全能够采取民事或行政手段解决,无需诉诸《刑法》。

第三,信息自决权说。信息自决权是指个人有权自行选择和决定个人信息是否公开、对谁公开、公开到何种程度[7]。该观点的核心在于同意权,即“允许他人对本人个人信息的知悉、使用、传播等”[8]。是否经过信息主体的同意就能免责?首先,信息主体知情同意的内容不明晰,无法明确公民个人究竟是只针对个人信息被处理表示知情,还是在知晓被处理的同时也同意接受被处理的风险。即便是接受风险,依然无法确定愿意接受风险能达到何种程度。其次,在信息分享交互、快速传播流通的背景下,信息主体知情同意范围难以界定,究竟是同意个人信息在何种场合、多大范围内被处理、使用和传播,并无明确的界限。

2.2 集体法益说

主张侵犯公民个人信息罪保护法益为集体法益的有以下几种代表观点：

第一,信息管理秩序说。有学者认为,侵犯公民个人信息的行为违反个人信息获取和使用规范,实质上是对信息管理秩序的破坏[9]。该罪保护法益指向社会秩序类的超个人法益。需要思考的是,信息管理秩序本身是通过相关国家机关建立的,保护权威建立的秩序和保护个人信息相关利益本身之间存在逻辑跳跃和空白。在可侵害性层面,如何体现信息管理秩序的侵害性?

第二,公共信息安全说。有学者指出,“公民个人信息不仅直接关系个人信息安全与生活安宁,而且关系社会公共利益、国家安全乃至于信息主权：‘公民’一词表明‘公民个人信息’不仅是一种个人法益,而且具有超个人法益属性,还需要从公民、社会、国家的角度进行解释”[10]。但将“多数的个人信息”简单等同于“多数人的个人信息”,有偷换概念之嫌。此外,该说片面强调个人信息经过公开传播所具有的社会价值,忽略了个人信息的根本属性,即人身、财产属性。这难以解决侵犯少数或单个个人信息的问题,也无法回答司法解释有关出售单个个人信息的定罪问题。

第三,信息专有权说。有学者指出,“侵犯公民个人信息罪所保护的法益,是具备实质权利内涵的集体法益,具体为信息专有权”[11]。该说认为,法益保护的主体是信息收集主体,如网络平台。主张个人信息的处理与使用者对所占信息享有专有处分权,排除了信息主体本身。如何确定网络平台上海量个人信息的权利归属以及信息收集主体对所占信息享有专有权的理论依据来源存在争议,“云服务商极少对产生于云服务之外或由用户产生于云上的内容主张权利。但服务商普遍对数据完整性、保密性等安全负有责任”[12]235。

3 集体法益观点之反思

3.1 基于法益二元论的内涵及特征之检视

法益二元论最早由弗森堡大学的缇德曼提出,主张集体法益与个人法益相互独立,二者平行且互不隶属。该论者还指出,集体法益根本特征就是不可分配性,无法拆分成个人利益。

20世纪以来,刑事立法发生结构性变化,更加注重对集体法益包括国家安全、公共利益、生态环境等的积极保护,这强烈冲击了传统刑法观。为解决个人法益与集体法益之间的冲突,适应中国刑法语境,宜理性选择法益二元论。

在现代风险社会背景下以法益二元论为基础提出的集体法益,是指保护所有个人的共同利益,由每一个人平等、完整地享有,且服务于国家利益或社会公众利益。个人法益系指为个人自由发展提供空间的法益,集体法益则是用以维系特定国家制度的法益[13]270。集体法益作为单独的保护对象,具有独立性、不可推导性和不可分配性。侵犯公民个人信息罪保护的法益显然与集体法益的内涵与特征不相符。

首先,集体法益具有不可再生性、不可替代性,即一旦该法益受到侵害就会对社会或国家造成不可弥补的严重后果,正因如此,集体法益需要《刑法》提前介入进行保护。如污染环境行为不断累积导致环境损害以致无法修复、不可再生,需要提前介入至法益侵害危险阶段以保护环境。当公民个人信息被泄露时,可以通过可实现性的手段对遭到破坏的法益进行恢复。因此,侵犯公民个人信息罪所保护的法益并不符合集体法益的不可推导性。

其次,集体法益最本质的特征是不可分配性,即特定的法益无法还原为个人法益。公民个人信息并不具备这种特性。公民个人信息由特定个体参与而产生,即使通过网络进行流转时也仍然具备附着在个人信息之上值得《刑法》保护的个人利益。从个人信息概念上看,其特征是具有“可识别性”,根据信息所承载的内容可以定位到特定个体,说明个人信息关乎特定个体的利益。既然个人信息所具有的利益完全可以分配给个人,那么该罪保护法益就从本质上无法满足集体法益的特性,即不可分配性。

最后,从集体法益的必要性来看,集体法益适应现代风险社会的需要,但并不是无限扩张《刑法》处罚范围的产物,也并非作为个人法益不明确而设定的兜底工具,集体法益的延伸与发展也需要回归于《刑法》的比例原则。因此,只有当某种法益极为重要,具有保护的急迫性,或可能对社会、国家造成极为严重损害的情况下,才能通过《刑法》保护发挥事前预防效果,以《刑法》保护集体法益才具有正当性。就公民个人信息而言,当利益被侵害并不必然对社会上不特定或者多数人的利益或整个国家网络安全产生影响,更多的是对具体个人的人身、财产造成损害。

3.2 基于集体法益价值面与存在面之检视

首先,集体法益的价值追求要求保护对象具有真实性特征,必须以实现个体自由发展为目标。集体法益保护的制度秩序条件并不等于制度或者秩序本身,这种制度秩序条件仍然以人的利益为旨归。从社会契约精神来看,国家机关的设立并有序运行的根本目的在于为人民服务,保有国家机关工作秩序平稳的正当性依据应来源于是否能为公民工作、生活提供更好的条件。如果将保护法益与秩序本身等同,无异于单纯维护行政权力或国家机器,偏离了国家机关设立的初衷,无法实现保护个体自由发展的目的。因此,对侵犯公民个人信息罪保护法益的认定应当脱离秩序的形式外壳,回归对人自身利益的保护。

其次,侵犯公民个人信息罪保护法益是否属于集体法益还应从其存在面上进行考察。如有观点认为该罪法益为“个人信息安全的信赖”[14],该观点是否符合集体法益的存在面仍需探讨。法益的存在面主要以可侵害性为基础,主要体现为侵害行为所指向的行为客体,造成的损害结果通过可见的外在实体或根据经验性认知而具有可验证性[15]。集体法益指向的是国家制度、生态环境等更为抽象的客体,更加依赖于人类现实生活的经验感知,但仍然脱离不了法益的可侵害性,集体法益也是一种实体[16]。人们的感情或者纯精神的价值不能归属于法益,否则将会模糊《刑法》的处罚界限,扩大《刑法》的处罚范围。“个人信息安全的信赖”难以评价为具有可侵害性的实体。信赖作为人的主观情感,是一个较为空泛抽象的概念,无法成为具体的可衡量的利益。一旦打开精神法益的阀门,将会导致法益概念稀薄化,法益将会成为无本之木,为象征性立法和类推解释的适用大开方便之门,扩张犯罪圈,不利于发挥《刑法》机能,也难以保障人权。

4 个人法益之证成

第一,符合罪名体系。侵犯公民个人信息罪规定于《刑法》第253条,处于《刑法分则》“侵犯公民人身权利、民主权利罪”一章中,反映该罪保护法益应当在特定个人的身体健康或生命安全以及与个体相关的重要权利的范围中确定。在理解该罪保护法益时应着眼于体系解释以及立法意愿,从该罪在《刑法》中所处的地位进行整体性把握。

第二,符合公民个人信息的法律概念。基于前述对相关规范的考察,个人信息包括具有人身、财产属性的信息以及其他与人身、财产相关联的信息。从个人信息的分类方式来看,无论是《个人信息解释》采取的“三分法”,还是《个人信息保护法》采用的“二分法”,主要依据都在于个人信息与人身、财产的关联程度,从而验证侵害的可能性。

第三,该罪是针对具体对象的犯罪。根据上文的解析,个人信息主要指向特定自然人的人身与财产。个人信息“可识别性”的根本特征表明可以通过个人信息具体定位到特定个人,当个人信息被泄露或被不法使用时,就可能对特定个人的相关利益造成威胁。

第四,个人信息的数量应属于一定量的个人利益,无法上升为国家或社会的集体利益。2017年《个人信息解释》中的“情节严重”要求侵犯不同类型的个人信息达到50条、500条、5 000条或违法所得5 000元以上,对数量的规定只是量的积累,而非实质化导致的质的飞跃。这只能说明侵犯公民个人信息的行为积累达到一定程度的社会危害性且具有刑事处罚的必要性,仅表明对个人信息指向的部分特定主体的相关权益造成损害,并不等同于侵害不特定多数人的利益,也不必然危及公共利益。

5 公法法益观下的个人法益之提倡

侵犯公民个人信息罪保护法益性质为个人法益。基于私法与公法两大视域分为私法法益观与公法法益观。私法法益观主张该罪保护法益为排他性的个人信息权,而公法法益观根据个人信息的社会性及其公法属性对其进行保护,以更好规范使用个人信息的行为。

5.1 个人信息安全的实质内涵

该罪保护法益应是个人信息安全。个人信息安全是指通过保护公民个人的姓名、身份证件号码等可识别特定自然人身份的信息不被非法处理和使用,进而保障相关主体的人身、财产安全。该罪的保护对象应是个人信息所附着的个人利益,而非单纯保护个人信息本身。保护个人信息安全,关键在于确保针对人身、财产等内容的信息在产生、流转、处理和使用各环节都处于安全状态,进而保护具有人身、财产属性的个人利益。由于个人信息所承载的个人利益具有多样化和复杂化,不同的个人信息对应不同的个人利益,因此难以评价为某一种具体利益。但最核心的利益应是人身、财产安全,这才是具有侵害可能性与价值性且值得《刑法》保护的内容。

个人信息在网络流转、处理、使用过程中,价值在不断增加。但这种价值具有不确定性,无法预测也难以进行量化,且过于抽象模糊,因而不能上升为法益,不过仍可以在法益的价值面上凸显。

5.2 公法法益观下个人法益的选择

5.2.1 合乎公法规范目的

私法的目的是通过尊重意思自治保护平等主体间私人利益,而公法的目的在于通过分配风险平衡多方利益。在信息共享时代,海量用户与平台进行交互产生各类数据,对数据进行大规模收集、分析和处理的互联网平台企业“垄断”了这些数据,并且通过技术又形成了强大的“数据权力”[17],在互联网这张大网下聚拢海量个人信息并从中获得巨大价值,加剧了个人信息安全遭受侵犯所带来的风险。因此,公法明确了信息处理者、网络服务提供者等“数据权力”持有主体合理处理、使用个人信息的义务,以避免个人信息受到不法侵害。将该罪保护法益理解为个人信息安全,不仅体现了对他人非法提供、获取个人信息行为的打击,也要求多方主体在信息流转中加强对个人信息安全的维护。

5.2.2 坚持法秩序统一

将该罪保护法益界定为个人信息安全兼顾了不同法域的规范要求,契合法律规范的整体目标。目前在我国法律框架下,《民法典》《网络安全法》《个人信息保护法》等都对个人信息进行保护,形成了彼此耦合的规范体系,明确了网络运营者、电信业务经营者、互联网信息服务提供者等多方主体对个人信息的保护义务,体现对公民个人信息进行保护的必要性。

5.2.3 适应数据网络环境

对不同的信息进行不同方式的处理和使用,个人信息在采集、传播、使用过程中具有多种价值。基于公法法益观对公民个人信息安全的保护,所着眼的并不止于禁止他人对个人信息非法提供、出售、窃取,同时也要求信息处理者等主体对个人信息进行合理处理和使用。保护个人信息安全不只是简单地保障个人人身、财产安全,同时也要保护个人信息在信息社会所具有的多元价值。