侵犯公民個人信息罪認定的應然轉向

汪恭政

(浙江工商大學法學院,杭州 310018)

一、侵犯公民個人信息罪認定的問題

眾所周知,我國《刑法》第253條之一規定的侵犯公民個人信息罪是保護公民個人信息(以下簡稱個人信息)的關鍵罪名。特別是自《數據安全法》《個人信息保護法》施行以來,如何有效認定侵犯公民個人信息罪,引發高度關注。

理論上,為了更好地認定侵犯公民個人信息罪,從自然犯、法定犯的角度進行定位,或許是個不錯的選擇。然而,該罪到底是自然犯還是法定犯,并未形成定論。法定犯的觀點認為,基于行為人構成侵犯公民個人信息罪,要求“違反國家有關規定”,所以認為“該罪名屬于較為典型的‘法定犯’”。自然犯的觀點卻主張,“侵犯公民個人信息罪是某種程度上的‘自然犯的法定犯化’,但其根本性質仍是自然犯”。

若持自然犯乃侵犯個人法益、法定犯乃單純違反規范或侵犯超個人法益的區分立場,侵犯公民個人信息罪的認定則面臨問題。具體表現在:若認為該罪是自然犯,侵害的法益當屬個人法益,那為什么《刑法》第253條之一還規定“違反國家有關規定”?若主張該罪為法定犯,行為人的不法行為勢必違反了規范(“國家有關規定”),或認為侵害了超個人法益,那為什么本罪被規定在侵犯公民人身權利、民主權利罪這一章,還保護公民的個人法益?

可見,無論是將該罪定位為自然犯還是法定犯,規范違反(“違反國家有關規定”)和法益侵害的認定,無疑都是認定該罪的關鍵所在。本文以此為問題研究的出發點:首先,梳理該罪規范違反和法益侵害認定的傳統作法,并指出各自面臨的認定困境;其次,立足事實與規范,探究規范違反和法益侵害認定轉向的法理基礎;最后,以此為基礎,完成對規范違反和法益侵害認定的具體轉向,以實現對侵犯公民個人信息罪適用范圍的清晰劃定。

二、侵犯公民個人信息罪認定的傳統路徑及其困境

侵犯公民個人信息罪的傳統認定,有兩方面體現:在規范違反的認定方面,基于“違反國家有關規定”的存在,所以傾向于正向認定,以至于“違反國家有關規定”的性質及范圍難以確定;在法益侵害的認定方面,由于法益的定位仍停留于以法益主體為區分標準,所以易導致法益侵害的認定范圍不明。

(一)規范違反的正向認定及其困境

由于《刑法》第253條之一規定了“違反國家有關規定”,所以學界不少論者傾向于正向認定規范違反。也即,行為人若要構成侵犯公民個人信息罪,前提在于違反“國家有關規定”。

1.規范違反的正向認定

規范違反的正向認定,指的是從正面角度認定《刑法》第253條之一的“違反國家有關規定”。若要正向認定規范違反,有兩方面的內容需要考慮。

一方面,要考慮“違反國家有關規定”的性質。為此,理論上提出了兩種觀點。一種是早期主張的入罪前提說。比如,有論者認為,“違反國家有關規定”乃入罪的前提條件。另一種是現今流行的構成要件要素說。例如,有學者直言,“構成侵犯公民個人信息罪,要求具備‘違反國家規定’這一構成要件要素”;又如,“違反國家有關規定”理所當然地屬于該罪的構成要件要素,直接影響該罪的成立與否,是該罪認定必不可少的要素;再如,“違反國家有關規定”應是一種客觀的構成要件要素。目前來看,構成要件要素說已成為多數說。

另一方面,要考慮“違反國家有關規定”的范圍。目前學界的做法是將“國家有關規定”與“國家規定”的范圍進行對比分析,大致形成了三類觀點。其一,范圍不同說認為,“‘違反國家有關規定’不同于‘違反國家規定’,前者的范圍更為寬泛”;或者說,相比“國家規定”,“國家有關規定”的范圍更寬,包括法律、行政法規、規章等國家層面的涉及個人信息保護的規定。其實,司法解釋也認可了這種觀點,根據2017年最高院、最高檢《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第2條的規定,違反法律、行政法規、部門規章有關個人信息保護的規定的,都屬于“違反國家有關規定”。換句話說,將“部門規章”納入“國家有關規定”的范圍,意味著其也成為判斷違法性的規范依據之一。其二,有限的范圍不同說強調,“違反國家有關規定”僅限于違反法律、行政法規關于個人信息保護的規定,部門規章只有在對法律、行政法規中的規定予以明確、細化的情況下,才能與法律、行政法規一起納入“國家有關規定”的范圍。其三,范圍相同說主張,“國家有關規定”與“國家規定”的范圍一致。例如,“只有將‘違反國家有關規定’作與‘違反國家規定’同樣理解,才能保證解釋結論的合憲性”。

2.規范違反正向認定的困境

堅持規范違反的正向認定,“違反國家有關規定”的性質認定和范圍確定,是繞不開的論題,因而正向認定的困境在此也就得到了集中體現。

其一,在“違反國家有關規定”的性質認定上,若要承認“違反國家有關規定”為入罪的前提或構成要件要素,那么,面臨的困境有兩方面體現:一來要在“國家有關規定”上查明具體的構成要件要素,但有關個人信息保護的規定相對分散,查明時不僅容易造成遺漏,也易過分依賴“國家有關規定”,進而影響《刑法》第253條之一獨立評價的作用;二來若堅持“違反國家有關規定”乃入罪前提或構成要件要素,則“國家有關規定”中含有調整侵犯個人信息行為的規范目的,亦會附加到《刑法》第253條之一中來,增加該罪法益的識別難度,如此一來,亦就出現諸如有學者所認為的該罪法益還包括“保護個人信息保護法等有關信息領域行政管理秩序的目的”的內容。

其二,在“違反國家有關規定”的范圍確定上,學界已出現了上述三類學說,本身就已說明了認定困境的存在。正如有學者所言,《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》將違反法律、行政法規、部門規章有關個人信息保護的規定認定為“違反國家有關規定”。可是,為什么部門規章不屬于“國家規定”,卻屬于“國家有關規定”,不無疑問。或如有論者指出的那樣,將“違反國家規定”改為“違反國家有關規定”,突破了《刑法》第96條的規定,意味著踏上了方法論的歧途。

(二)法益的現有定位及其困境

法益侵害認定的關鍵在于厘定法益,目前有關侵犯公民個人信息罪法益的厘定,仍集中于個人法益、超個人法益的定位,這種以法益主體為區分標準的定位,難以涵蓋個人信息背后利益多元化的特征,以至于影響法益侵害認定范圍的厘清。

1.法益的現有定位

以法益主體為區分標準,法益分為個人法益和超個人法益。侵犯公民個人信息罪的法益到底如何定位,目前學界有兩類傾向。

一類傾向是將侵犯公民個人信息罪的法益定位為個人法益。具體細分為:一是隱私權說。例如,有學者將該罪納入侵犯名譽、隱私犯罪中討論,可以說侵犯的法益乃名譽、隱私,即對能識別公民個人身份或個人隱私的信息、數據資料構成侵犯。或說是,“侵犯個人信息行為犯罪化的價值取向是對公民隱私權的保護”。二是生活安寧說。比如,有論者直言,針對侵犯公民個人信息罪的規定,旨在保護個人生活的安全。或認為,從刑法視野中判斷個人信息應以“私人生活安寧”為標準。三是人格權說。例如,有學者指出,我國理論界大多主張采取德國式的人格權保護模式,且從現實規范看,對個人信息的保護也基本采取了人格權保護模式。四是財產權說。比如,有論者強調,個人信息具有維護主體財產利益的功能,應承認主體對其享有的財產權。五是個人信息權說。該說內部有不同觀點。一種觀點認為,該罪屬于個人法益犯罪,法益本體是個人信息權;另一種觀點認為,該罪保護的法益是個人信息權中的信息自決權;還有一種觀點認為,該罪保護的法益具體體現為信息專有權。

另一類傾向是將侵犯公民個人信息罪的法益定位為超個人法益。具體又分為:一是純粹的超個人法益說。例如,有觀點認為,該罪的法益“并不是公民個人的人身權利,而是社會的公共安全,具體來說是公共信息安全”。或將該罪的法益評價為社會信息管理秩序。二是具有超個人法益屬性說。比如,“個人信息”不僅是個人法益,且具有超個人法益的屬性,或說是“兼具人身特性、經濟屬性和社會屬性”。

2.法益現有定位的困境

分析現有的定位發現,在個人法益說上,堅持隱私權說,意味著重視個人隱私利益的保護,畢竟這在域外也能找到適例。比如,美國確立了以隱私權統合個人信息的保護模式See Daniel J.Solove, ,Harvard University Press,2008,p.104.,就能很好地打擊諸如侵犯個人私生活、公布他人秘密、盜用他人姓名或肖像等個人信息的行為。See WilliamL.Prosser,,California Law Review,1960(3),pp.383-386.但是,個人隱私與個人信息的范圍并非完全等同,個人隱私重在強調個人生活信息的私密性,而個人信息并非都是如此,如個人的就學信息(包括入學畢業日期、就學學校名稱、就學學歷學科等信息)、職業信息(包括工作單位、工作起始時間、工作地點等信息),就不一定要求私密性。因此,若堅持隱私權說的法益定位,侵犯公民個人信息罪的認定范圍縮窄無疑。也即,只有體現個人隱私權的那部分個人信息才能納入該罪的保護范圍。主張生活安寧說,旨在保護生活安寧的利益。與隱私權相比,其既有人格權的共性,又能體現對安穩生活狀態的追求。誠如有論者所言,“安寧生活利益難以為隱私權所包容,應使其成為獨立的法益類型”。但問題是,行為人只非法獲取他人的個人信息(如姓名、電話信息),卻未利用這些信息對其進行生活騷擾時,是否干擾他人的安寧生活就有疑問了。推行人格權說,雖然《憲法》第38條規定公民的人格尊嚴不受侵犯,但人格權乃人身權的具體類別,個人信息的人格屬性體現的往往是人身利益。然而并非所有個人信息都具有人格屬性,若堅持此學說,個人信息的多種屬性,如兼有人格和財產屬性的情形,便無法有效涵蓋了。就財產權說而言,同隱私權的堅持類似,個人信息并非都代表了個人的財產利益,一味地主張財產權說,無疑不當地縮窄了《刑法》第253條之一的適用空間。主張個人信息權說,說明看到了個人信息權為新型權利的趨勢,畢竟這在前置法上已得到確認(后文詳述)。但在現有的界定方案中,無論是個人信息權說,還是信息自決權說,抑或是信息專有權說,對于侵犯個人信息所引發的財產、人身等法益的侵害卻未給出很好的回答。

在堅持超個人法益說上,就純粹的超個人法益說而言,侵犯個人信息的犯罪乃侵犯超個人法益的行為,恰如有論者總結的那樣,個人信息的侵害已呈現“群體被侵害”的特征。既然是超個人法益,說明個人信息的被侵犯是國家安全、公共利益受損的表現。若據此推導的話,即使信息是用于識別于個人的,但由于侵犯的是超個人法益,所以個人就無權處分了。換言之,即使被害人同意處分自己的個人信息,但行為人基于侵犯了超個人法益,依然會受到侵犯公民個人信息罪的評價。正如有學者所言,“個人是否同意他人出售其個人信息”在構成要件符合性的認定上就失去了意義。就超個人法益屬性說而言,此說的觀點在于,不僅承認個人信息是個人法益的體現,也兼具超個人法益屬性。可以說,侵犯個人信息的犯罪,不僅包括針對個人的犯罪,也涉及侵害共同利益的犯罪。相較純粹的超個人法益說,其所引發的疑慮不但沒有減少,反而增加了。具體來說,一是在個人法益與超個人法益屬性的關系上,盡管有學者指出,兼具超個人法益屬性,說明個人信息首先是個人法益而后才是超個人法益,二者主次關系不能顛倒。也即,個人信息以個人法益為主體附帶超個人法益屬性,由于不是純粹的個人法益,被害人同意處分兼有超個人法益屬性的個人信息,行為人能否阻卻違法,便值得深究。二是超個人法益常關聯不同的利益,如國家安全、公共利益,是否意味著不論是其中的國家安全的被侵犯,還是公共利益的被侵犯,都直接以侵犯公民個人信息罪評價?若是這樣的話,是否有評價不當、罪刑失衡的嫌疑?

綜上,無論是將侵犯公民個人信息罪的法益定位為個人法益,還是超個人法益,都是立足于法益主體所作的分類。堅持個人法益,雖然能應對法益的處分問題,但現有方案并未能周延地保護個人信息;主張超個人法益,盡管認識到個人信息背后國家安全、公共利益保護的必要性,但個人信息的個體性、處分性卻未給出合理回答。一言以蔽之,以這種“涇渭分明”的方式定位該罪法益,實質上是由于法益侵害認定觀念不足所致的,故而要走出法益定位的困境,關鍵在于轉變認定的觀念。

三、侵犯公民個人信息罪認定轉向的法理基礎

“目光在事實與法律規范間‘來回穿梭’是法律適用的普遍特征。”侵犯公民個人信息罪的認定,乃法律適用的具體體現,其之所以能夠轉向,根源在于有其轉向的法理基礎。

(一)規范違反認定的轉向基礎

就侵犯公民個人信息罪而言,規范違反的認定之所以能轉向,在于“國家有關規定”和司法判決的事實中都能找到其所轉向的基礎。

1.規范基礎:“國家有關規定”中并無構成要件要素

刑法規定“國家規定”“國家有關規定”,說明有空白刑法規范的存在。對于其性質,通常有兩類觀點:一類觀點認為其屬于犯罪的構成要件要素,在我國刑法中,此類情形占大多數。事實上,不但有部分構成要件要素被規定在空白刑法規范之中,如《刑法》第133條規定的“違反交通運輸管理法規,因而發生重大事故,致人重傷、死亡或者使公私財產遭受重大損失的”情形,也有全部構成要件要素被規定在空白刑法規范之中的,如《刑法》第225條規定的“違反國家規定……有其他嚴重擾亂市場秩序的非法經營行為,擾亂市場秩序,情節嚴重的”情形。另一類觀點則認為其不屬于犯罪的構成要件要素。也即,犯罪的構成要件要素規定在刑法條文中,并未依托于空白刑法規范而存在。例如,《刑法》第338條規定的“違反國家規定,排放、傾倒或者處置有放射性的廢物、含傳染病病原體的廢物、有毒物質或者其他有害物質,嚴重污染環境的”情形,行為要素和結果要素都規定在刑法條文而非“國家規定”之中。

就侵犯公民個人信息罪而言,“國家有關規定”中并未涉及犯罪的構成要件要素。具體體現在:一是行為要素被規定在刑法條文之中。根據《刑法》第253條之一第1款的規定,除了列明“違反國家有關規定”外,此款已明確規定了向他人出售或提供的行為要素;第2款與之類似,對將在履行職責或提供服務過程中獲得的個人信息出售或提供給他人的行為予以規定。二是對象要素被規定在刑法條文之中,眾所周知,個人信息乃侵犯公民個人信息罪的對象要素,梳理《刑法》第253條之一的規定發現,不論是第1款還是第2款抑或是第3款,個人信息這一對象要素都已明確規定。三是除此以外,該條第4款也對主體要素(單位)作了規定。由此可見,該罪的構成要件要素在《刑法》第253條之一中基本得以完整地規定。

反過來說,若正向認定“違反國家有關規定”,但實際情況卻是“國家有關規定”中并無當需考慮的構成要件要素。具體來說:一是“國家有關規定”中有關侵犯個人信息的行為要素并未列明,而只規定“構成犯罪的,依法追究刑事責任”。比如,《網絡安全法》第74條規定“違反本法規定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任”。又如,《個人信息保護法》第71條規定“構成犯罪,依法追究刑事責任”。二是“國家有關規定”中的違法要素已在《刑法》第253條之一中予以明確,并無另外要考慮的構成要件要素。例如,《居民身份證法》第19條規定:“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員泄露在履行職責或者提供服務過程中獲得的居民身份證記載的公民個人信息,構成犯罪的,依法追究刑事責任。”此條規定的“泄露”屬于提供的典型情形,實質上仍是《刑法》第253條之一規定的“將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的”情形。由此看來,“國家有關規定”中并無《刑法》第253條之一未規定且須另行考慮的構成要件要素。

2.事實基礎:司法判決中并未列明違反的具體條款

事實上,梳理現有的司法判決發現,法官在刑事判決書中并未對構成侵犯公民個人信息罪的被告人列明其所觸犯的“國家有關規定”的具體條款。以2020年的刑事判決書為例,具體以Openlaw官網為案件檢索數據庫,共獲得421份案由為侵犯公民個人信息罪的刑事判決書。整理這些判決書發現三類情形:一類是只說明了被告人違反了“國家有關規定”,但具體如何違反并未說明。相比其他情形,此類情形最為普遍,共涉及260份判決書,占比高達60.9%。另一類是列明了被告人違反了“國家規定”,但違反何類“國家規定”并未說明,此類情形最少,有39份判決書,占比9.2%。還有一類是未寫明“違反國家有關規定”或“違反國家規定”,而是只指出被告人構成侵犯公民個人信息罪(包括《刑法》第253條之一第3款“竊取或者以其他方法非法獲取公民個人信息的”情形),此類情形有122份判決書,占比29.9%。除此以外,也有論者以2016至2017年的726件案件為例,發現裁判理由中提到“違反國家規定”和“違反國家有關規定”的案件各有94件、198件,且絕大部分案件并未指明被告人所違反的“國家有關規定”的名稱和條文內容。由此可以說,司法判決未列明被告人所犯“國家有關規定”或“國家規定”的具體條款,乃實踐中的通常做法。甚至恰如有論者指出的那樣,“幾乎所有判決書從不指明被告人究竟違反哪一條‘國家有關規定’”。據此而言,雖然《刑法》第253條之一規定了“違反國家有關規定”,但實踐中法官并未具體審查行為人到底觸犯何類“國家有關規定”,而是傾向于依據該條本身予以獨立判斷。

(二)法益侵害認定的轉向基礎

如上所言,法益侵害認定的關鍵在于法益的定位。定位法益,離不開對“法”和“益”的理解。對二者的深刻認知,無疑為法益侵害認定的轉向提供了基礎。

1.規范基礎:法益的定位須以法為據

雖然“法益的定義至今仍然沒有得到成功而明確的說明”,但法益中“法”的理解無疑是定位法益繞不開的因素之一。

一是法益的界定是在整體法秩序下考慮的。通常而言,法益與法關聯,若在整體法秩序下理解法益,刑法作為保障法,只是整體法秩序的個中環節,因此,法益的定位往往就要有兩方面考慮。一方面,法益受到前置法的關注。刑法作為法律規范的一種,并非是保護法益的唯一依據。可以說,法益保護乃一切部門法共同擔負的使命Vgl.Jakobs, - ,FS-Frisch,2013,S.81.,畢竟“立法者是為了保護一定的利益而制定法律”。換言之,法益經過了前置法的關注,不僅意味著法所保護的利益在整體法秩序下得到了廣泛的認可,也為從刑法上保護創造了條件。之所以如此,恰如有論者所言,只有經過前置法調整并承認確立的法律狀態的法益,才是刑法保護的目標。就個人信息而言,近來愈發受到前置法的關注,尤其是新近出臺的《民法典》《網絡安全法》《個人信息保護法》,都強調了對個人信息的前置保護。另一方面,法益值得刑法保護。盡管法益受到前置法的關注,但并非其所關注的法益都應納入刑法的保護范圍。刑法作為保障法,其“并不禁止可以想象到的一切法益侵害形態,而是僅禁止極為重大的侵害”。在社會發展的早期,個人信息的保護并未引起刑法的關注,但隨著社會的發展,個人信息受侵害的情形漸趨普遍,特別是在信息技術的廣泛運用下,隱私和個人信息的侵犯日益成為嚴重的問題。為了應對這些情況,2009年《刑法修正案(七)》增設了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪,而后在2015年《刑法修正案(九)》中整合為“侵犯公民個人信息罪”。由此可見,隨著個人信息受侵害的日益嚴重和普遍,刑法予以積極應對,這恰恰說明了個人信息受刑法保護的必要性與重要性。

二是法益的定位經歷了被法發現、被法確認的過程。由上可見,法益的定位需要在整體法秩序下考慮,但法益并非法所創造。法益實體內容的創造者不是立法者,而是社會生活,法規范只是發現而不是創造了法益。Vgl.Liszt,,ZStW6,1886,S.663.就侵犯公民個人信息罪而言,梳理現有法律發現,個人信息權被確認為本罪法益的趨勢愈發清晰。起先,法所關注的焦點在于個人信息的保護。具體而言,《統計法》(2009年)第9條規定,統計機構及其人員應對在統計工作中知悉的個人信息予以保密。《居民身份證法》(2011年)第6條第3款規定,公安機關及其人民警察對因制作、發放、查驗、扣押居民身份證而知悉的個人信息,應予以保密;第13條第2款強調,有關單位及其工作人員對履行職責或提供服務中獲得的居民身份證記載的個人信息,也應保密。全國人大常委會《關于加強網絡信息保護的決定》(2012年)也規定,國家保護能識別公民個人身份和涉及公民個人隱私的電子信息。《消費者權益保護法》(2013年)第14條規定,消費者在購買、使用商品和接受服務時,享有個人信息依法得到保護的權利。《網絡安全法》(2016年)第40條規定,網絡運營者應嚴格保密其所收集的用戶信息;第41條第2款也指出,不得收集與其提供服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息。《旅游法》(2018年)第52條規定,旅游經營者應保密其在經營活動中知悉的旅游者個人信息。而后,法所關注的重心則演變為個人信息權。具體來說,《民法典》(2020年)第111條和第1034條都規定“自然人的個人信息受法律保護”,盡管未直接指出個人信息權,但將該條置于民事權利這一章(第5章),就已說明了個人信息在性質上已屬于民事權利之一。而到了《個人信息保護法》,就已明確規定(第2條)“自然人的個人信息受法律保護,任何組織、個人不得侵害自然人的個人信息權益”。由上可見,個人信息權被法識別、被法確認為侵犯公民個人信息罪的法益已成必然趨勢。

2.事實基礎:個人信息的本質體現

法益侵害的認定,之所以能轉向,離不開對“法益”中“益”的理解,而事實上對個人信息本質的把握恰恰為“益”的理解提供了堅實的基礎。眾所周知,若要把握個人信息的本質,首先則離不開對信息的認知。自維納提出“信息就是信息,不是物質也不是能量”以來,信息引發人們的廣泛關注,業已成為普遍性的科學范疇。在哲學上,信息常被界定為“是在表征、表現、外化、顯示事物及其特征的意義上構成自身的存在價值的,是它所表現的事物特征的間接存在形式”。在標準化領域,國際標準化組織將其定義為“關于在特定語境下具有特定含義之客體(如事實、事件、東西、過程或思想包括理念)的知識”。可以說,無論如何界定信息,信息的兩大特征都須有所體現:一是客觀存在性,信息總是某種已經現實存在的東西,是標志間接存在的哲學范疇。二是客體反映性,即能表征客體(包括事物)的特征或含義。正如有論者所言,任何事物均可以在信息系統中呈現。或認為,依據傾向性,可被視為解釋、權力、敘事、通信或媒介、交流、建筑、某種商品等。

相比信息,個人信息是其具體的類型。由此說來,個人信息的本質是信息客觀存在性、客體反映性的具體體現。

一方面,個人信息雖與個人相關,但獨立于個人而客觀存在。一般而言,從兩個角度就能說明個人信息的客觀存在性:一個是從靜態的角度看,如前所述,個人信息是基于個人日常生活、社會交往所形成的信息,是在社會主體間產生的Vgl.Thomas Giesen, ,in:Stiftung Datenschutz(Hrsg.),Zukunftderinformationelle Selbstbestimmung,ErichSchmidt,2016,S.26.,信息生成后就已區別于人而獨立存在,具有客觀實在性亦就理所當然了。另一個是從動態的角度看,個人信息的流動性表明了其客觀存在性。個人信息有關于個人,在社會生活中,人們為了更好地從事社會交往活動,往往需要收集、存儲、加工、利用、傳輸、提供或公開相應的個人信息,特別是隨著互聯網絡、信息技術的不斷應用,社會環繞著流動而建構起來,為現實世界和網絡世界帶來全新的活力。而且,世界上不少國家對個人信息的有序流動都作了明確規定,由此不僅佐證了個人信息流動的現實性,更是表明了個人信息的客觀存在性。例如,歐盟《一般數據保護條例》第4條規定,個人數據可被收集、記錄、組織、建構、存儲、自適應或修改、檢索、咨詢、使用、披露、傳播或其他利用,或被排列、組合、限制、刪除或銷毀,無論此操作是否采用自動化的手段。德國《聯邦數據保護法》第3條規定,個人數據除了被存儲、修改、轉讓、封鎖和刪除外,還能被自動處理。韓國《個人信息保護法》第2條規定,個人信息可被收集、生成、記錄、存儲、保留、增值處理、編輯、檢索、更正、恢復、使用、提供、披露和銷毀等。

另一方面,個人信息能反映個人的生活利益。信息的客體反映性,在個人信息領域,主要體現為對個人生活利益的反映。然而,生活利益具備多樣性,不同類別的個人信息能反映不同形式的生活利益。具體而言,一是個人信息能反映個人的人身利益。例如,個人的姓名、身份證號碼、工作單位等信息能反映個人的人格特征和身份特征。二是個人信息能反映個人的財產利益。比如,個人的電子賬戶名、支付口令、個人收入狀況、擁有的不動產狀況、擁有的車輛狀況、納稅額、公積金繳存金額、個人社保金額等信息能體現個人的財產利益。若行為人侵犯了這些個人信息,就會危及了財產利益,如侵犯網絡服務身份信息和密碼口令,往往會危及個人的財產利益和其他合法利益。三是個人信息能反映個人的其他利益。例如,個人的社交記錄、家庭住址等信息,就能反映個人的社交需求、生活安寧等利益。四是部分個人信息也能反映國家安全、公共利益。這類似有論者所言的“個人信息具有公共性和社會性”。比如,基于大數據對個人信息的處理,往往與社會結構發展、社會利益相關;又如,包括個人信息在內的信息安全已全面融入國家的個人領域,成為影響國家安全的重要因素;再如,在個人信息之上承載了公共信息安全這一公共利益。

四、侵犯公民個人信息罪認定轉向的新路徑

侵犯公民個人信息罪認定的具體轉向,在于規范違反、法益侵害認定新路徑的構建。規范違反的認定,應由正向認定轉向反向認定,而法益侵害的認定,其中法益定位的轉變是重點,應從以法益主體為區分標準轉向法益結構的內部考察。以此為基礎,完成對該罪的有效認定。

(一)規范違反的反向認定

從正向認定角度看,《刑法》第253條之一的“違反國家有關規定”,看似是對構成要件要素的表述,但從反向認定角度看,卻是對違法阻卻事由的提示。據此來說,若行為人向他人出售或提供個人信息,情節嚴重的,或者將在履行職責或提供服務過程中獲得的個人信息,出售或提供給他人的,均推定行為人具有違法性。亦即,若行為人的行為雖然滿足向他人出售或提供個人信息的情形,但由于符合“國家有關規定”,則阻卻違法。不過,為了更好地落實反向認定,發揮違法阻卻事由的提示作用,首先要厘清違法阻卻事由中“法”(“國家有關規定”)的范圍,而后要對違法阻卻事由的類別予以明確。

1.“國家有關規定”的范圍限定

從反向認定角度看,規定“違反國家有關規定”,旨在提示侵犯個人信息的情形是否有違法阻卻事由。也即,違法阻卻事由需要在“國家有關規定”的范圍里尋找,但根據前文,有關“國家有關規定”的范圍,學界目前已有范圍不同說、有限的范圍不同說、范圍相同說三類觀點。就此而言,如何厘清其范圍以更好地確定違法阻卻事由,至關重要。

若將“違反國家有關規定”視作違法阻卻事由的提示條款,意味著行為人向他人出售或提供個人信息的行為具有該當構成要件行為的性質,只是基于存在違法阻卻事由而阻卻違法性。由此看來,違法性的判斷應先于違法阻卻事由的考慮。而違法性的判斷,離不開對違法性中“法”的理解。主流觀點認為,此處的“法”有兩層含義:一是行為違反了刑法法規;二是行為違反了整體法秩序。前者很好理解,即違法性的判斷要依賴于刑法,而后者則須考慮行為與整體法秩序的背離程度。違法性尚且要對“法”予以理解,違法阻卻事由亦不能例外。

就侵犯公民個人信息罪而言,“違反國家有關規定”被規定在《刑法》第253條之一中,毫無疑問,本身已是刑法法規的一部分,故考慮的重點轉向了“違反國家有關規定”與違反整體法秩序之間關系的判斷,畢竟其才是限定“國家有關規定”范圍的關鍵。換言之,“國家有關規定”的范圍限定就落在了整體法秩序的判斷上。而整體法秩序的判斷,要求內部法規范的合憲性(無矛盾性),畢竟合憲性解釋是以法秩序的統一性為出發點的,“否則法秩序之統一性就蕩然無存”。基于合憲性解釋發現,根據《憲法》第62條、第67條的規定,全國人大有制定基本法律的權力,全國人大常委會有部分補充、修改基本法律的權力。刑法屬于基本法律,全國人大常委會以修正案方式(《刑法修正案(九)》)增設“違反國家有關規定”,顯然符合憲法的規定。但問題在于,到底哪一范圍內的“國家有關規定”能規定“違法阻卻事由”?盡管違法阻卻事由并非是成立犯罪的事項,但由于是否定犯罪的事項,無疑也與犯罪事項密切關聯。根據《立法法》第8條第4項的規定,有關“犯罪和刑罰”的事項只能制定法律。據此而言,“犯罪和刑罰”的事項應只能以法律的形式存在。也即,若“犯罪和刑罰”的事項完全被規定在低于法律位階的規范之中,那么就違背了法律專屬立法的要求。但我國實際情況卻是,刑罰事項(法定刑)完全被規定在刑法之中,而犯罪事項(構成要件要素)則有可能全部或部分地規定在低于法律位階的規范里。對于全部規定的情形,顯然違背了《立法法》的規定。誠如有學者所言,若犯罪的行為類型或構成要件完全由行政法規規定,意味著空白刑法規范實際上是由行政機關制定的,因而也就違反了法律保留原則。若部分犯罪事項規定在行政法規層面的規范之中,一般認為并未違反法律專屬立法的要求。因為國務院“制定行政法規,發布決定和命令”是憲法賦予的職權,且其是以憲法和法律為根據的。盡管《立法法》第9條規定:“本法第八條規定的事項尚未制定法律的,全國人民代表大會及其常務委員會有權作出決定,授權國務院可以根據實際需要,對其中的部分事項先制定行政法規,但是有關犯罪和刑罰、對公民政治權利的剝奪和限制人身自由的強制措施和處罰、司法制度等事項除外。”也即,規定“犯罪和刑罰”的事項,要有法律專屬立法的要求。但是,“違反國家有關規定”列入刑法之中,說明其是由全國人大常委會基于《刑法》的增改而納入的,并未違背法律專屬立法的要求。況且,“國家有關規定”事關的是否定犯罪的事項,并非犯罪事項的全部。因而,在行政法規層面規定違法阻卻事由,并非不符合憲法的規定。就此而言,“國家有關規定”的范圍應限定為“國家規定”,即《刑法》第96條規定的全國人大及其常委會制定的法律和決定,以及國務院制定的行政法規、規定的行政措施、發布的決定和命令。而在同時,對于前文所述的“國家有關規定”是否包括部門規章?筆者認為,不宜納入“國家有關規定”的范圍。理由在于,“國家有關規定”乃國家機關作出的規定。也即,“國家有關規定”的制定機關應代表的是國家。根據《憲法》的規定,全國人大及其常委會、國務院屬于國家層面的機關。換句話說,只有這些機關制定的相關規定才是“國家有關規定”,而部委和地方機關出臺的有關規定,由于存在部門性、地方性,故不屬于國家層面的規定。

2.違法阻卻事由的類別劃分

根據前文,侵犯公民個人信息罪違法阻卻事由的存在,在于有“國家有關規定”。也即,符合“國家規定”的,則阻卻違法性,否則以侵犯公民個人信息罪認定。梳理有關個人信息保護的“國家規定”,發現構成違法阻卻事由的,大致有以下情形。

首先,根據“國家規定”,屬于法益處分的情形。具體包括:(1)基于被害人的同意。例如,《個人信息保護法》第13條第1項規定,取得個人同意的,個人信息處理者方可處理個人信息;《民法典》第1035條規定,處理個人信息的,應征得該自然人或其監護人同意;《網絡安全法》第41條第1款規定,網絡運營者收集、使用個人信息,要經被收集者同意,等等。(2)基于合同的需要或雙方的約定。比如,《個人信息保護法》第13條第2項規定,為訂立、履行個人作為一方當事人的合同所必需或按依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需的,個人信息處理者方可處理個人信息;《民法典》第1035條規定,處理個人信息的,不得違反雙方的約定;《網絡安全法》第41條第2款規定,網絡運營者不得違反雙方的約定收集、使用個人信息,等等。其次,根據“國家規定”,屬于法益衡量的情形。“一般而言,法令行為之所以阻卻違法性,是因為制定該法令時立法者已經進行了法益衡量并作出允許該行為合法化的判斷。”具體涉及:(1)基于履行法定職責或義務的需要。例如,《個人信息保護法》第13條第3項規定,為履行法定職責或法定義務所必需的,可處理該個人信息。(2)基于應對突發事件、緊急情況的需要。比如,《個人信息保護法》第13條第4項規定,為應對突發公共衛生事件,或緊急情況下為保護自然人的生命健康和財產安全所必需的,可對個人信息進行處理。(3)基于公共利益的考量。例如,《個人信息保護法》第13條第5項規定,為公共利益實施新聞報道、輿論監督等行為,在合理的范圍內處理個人信息。(4)基于依法合理處理的需要。比如,《個人信息保護法》第13條第6項規定,依照本法規定在合理的范圍內,對個人自行公開或已合法公開的個人信息進行處理。最后,根據“國家規定”,屬于無法益侵害的情形。換句話說,受侵害的信息,已不屬于個人信息,即個人信息已被處理無法識別且不能復原的情形。

除了上述三種典型情形外,多數“國家規定”已規定“法律、行政法規規定的其他情形”,但要注意的是,要判斷現存生效或新施行的法律、行政法規之間是否有沖突,畢竟“只要各個法律對同一問題作了不同的規定,而當某種事實又將這些不同的法律規定聯系在一起時,法律沖突便會發生”。若有沖突的,首先要判斷有沖突的“國家規定”的法律位階,若存在不同位階的,一般優先適用高位階的規定,如法律與行政法規有沖突的,應適用法律;若處于同一法律位階的,則根據《立法法》第92條的規定,特別規定與一般規定不一致的,適用特別規定,新的規定與舊的規定不一致的,適用新的規定。

(二)法益結構與法益侵害的認定

侵犯公民個人信息罪法益侵害的認定轉向,其中法益定位的轉變是重點,應從以法益主體為區分標準轉向法益結構的內部考察,來完成對不同類型的不法行為侵害法益的認定。

1.法益的雙層結構

如前所述,侵犯公民個人信息罪的法益乃個人信息權,但鑒于個人信息具有客觀存在性、客體反映性的雙重特點,因而該罪法益在結構上呈現出層次性。

其一,該罪的法益具有權利存在層。權利存在層之所以存在,這是由個人信息的客觀存在性決定的。畢竟獨立于個人而客觀存在的個人信息,在自由流動中充分發揮著社會和經濟價值,業已成為全社會的普遍訴求,故而被法律賦權,給予應有的法律保護。權利存在層直指權利本身。通常而言,若要理解侵犯公民個人信息罪法益的權利存在層,離不開兩方面內容的把握。一方面,權利存在層強調的是個人對其個人信息享有的處理權限。由于個人信息能識別、有關于個人,故而個人有權保持對其個人信息的控制并有權決定披露和使用。所以《民法典》第1035條才規定,處理個人信息的,要征得該自然人或其監護人的同意。也就是說,既然權利存在層指向的是權利,權利乃自由與控制的統一體,因而其所體現的便是個人對其個人信息支配、處理的自主性。另一方面,權利存在層指向的并非是單一權利,其本質是以知情同意為核心所構建的權利集合。知情同意,意味著他人對個人信息的有權處理,是建立在個人(信息主體)充分知情的前提下同意才可進行的。而權利集合,旨在強調處理權限的多樣化,個人對他人處理其個人信息一項權限的認可,并不意味著他人也可自由行使其他權限,所以《個人信息保護法》才在“個人在個人信息處理活動中的權利”一章中對知情、決定、查閱、復制、更正、補充、刪除、解釋說明等具體權限分別予以規定。

其二,該罪的法益也有利益反映層。之所以存在利益反映層,此乃個人信息的客體反映性決定的。梳理前文,利益反映層的表現通常有:一是有些個人信息能反映個人的生活利益,即要么是單獨反映個人的人身利益、財產利益或其他個人利益,要么是對這些生活利益的復合反映;二是有些個人信息能反映超個人的生活利益,即單獨或復合反映國家安全、公共利益;三是有些個人信息既能反映個人的生活利益,也能反映國家安全或公共利益。總之,若認可侵犯公民個人信息罪法益利益反映層的存在,那么就不得不承認個人信息反映多元生活利益的事實。但是,利益反映層的存在,并不意味著個人信息直接就是人身利益、財產利益、國家安全或公共利益,這些利益往往只有經過對個人信息的直接利用才能再現的,即屬于利益反映層現實化的情形。這也就是為什么《刑法》第253條之一設置的刑罰總體不高(最高有期徒刑7年)的原因。否則的話,一旦出現侵犯個人信息的不法情形,便直接視為對人身利益、財產利益、國家安全或公共利益的侵犯,那么如此設置刑罰便易導致罪刑失衡了。因此,利益反映層旨在反映生活利益,而非生活利益本身,若出現利益反映層現實化的,一般則是轉化為他罪名要保護的法益(以下簡稱他罪法益)了。

基于以上,要準備定位侵犯公民個人信息罪的法益,其權利存在層、利益反映層的關系必須弄清。一方面,權利存在層、利益反映層是獨立存在的,這是該罪法益定位的基礎。通常而言,法益包括“生活利益與法的要保護性兩個要素”。該罪法益權利存在層的存在,說明能識別、有關于個人的個人信息,要在流動中彰顯其社會價值,就須構建并完善個人對其個人信息的處理權限,而這恰恰是法的要保護性的體現,即法重視個人對其個人信息處理權限的保護,強調個人信息的處理自主性。而利益反映層的存在,說明了生活利益的存在性,只不過相比他罪法益所表現出來的生活利益單一性而言,利益反映層反映生活利益的多元性是其特有屬性。因而,權利存在層、利益保護層的獨立存在,滿足了法益構成的所需要素,為該罪法益的準確定位奠定了基礎。另一方面,權利存在層和利益反映層是彼此制約的,這是該罪法益定位的關鍵。該罪法益的定位,不能僅僅限于權利存在層,也不能完全拘泥于利益反映層,二者都須成就方可完成法益的厘定。反過來講,若個人信息反映的生活利益已全然是國家安全、公共利益,即使能識別、有關于個人,但個人處理時會危及國家安全、公共利益的話,亦就限定甚至喪失了個人對其個人信息的自主處分性,如含有國家秘密或軍事秘密的個人信息,個人自由處理的權限必然受限。易言之,若只考慮權利存在層,便只看到法對個人自主處理其個人信息的要保護性,卻忽視了生活利益多元化反映的事實;若只考慮利益反映層,一旦利益反映層現實化,基于他罪法益所表現出來的生活利益單一性,定然與之重疊,不利于罪名競合的厘清。總之,侵犯公民個人信息罪的法益結構呈現層次性,既有權利存在層,亦有利益反映層,二者獨立存在、彼此制約,才能完成對該罪法益的準確定位。

2.法益侵害的認定

侵犯公民個人信息罪法益侵害的認定,考察的主要是不法行為對法益的侵害。按照行為流程的不同,不法行為常分三類:一是前端不法行為,即行為人實施個人信息獲取端的不法行為,包括竊取、獲取、收集個人信息等;二是中端不法行為,即行為人實施個人信息利用端的不法行為,包括使用、加工、篡改、損毀個人信息等;三是后端不法行為,即行為人實施個人信息提供端的不法行為,包括出售、提供、公開個人信息等。在無違法阻卻事由且符合罪量(達到情節嚴重)的情形下,該罪法益侵害的認定,有必要基于權利存在層、利益反映層的存在作以下認定。

第一,在前端不法行為上,若行為人只獲取個人信息,根據《刑法》第253條之一的規定,其侵害了權利存在層,不論利益反映層所反映的是何種生活利益,都該當《刑法》第253條之一的構成要件,直接以侵犯公民個人信息罪定罪處罰。

第二,在中端不法行為上,若行為人利用了個人信息,由于利用行為未被納入《刑法》第253條之一的規定中來,所以認定的重心轉為是否有利益反映層現實化值得以他罪評價的情形。若行為人利用個人信息導致利益反映層現實化的,即侵犯他罪法益的,則以他罪定罪處罰。例如,行為人非法利用他人個人信息竊取其電子賬戶資金的,基于以利用個人信息為實行手段侵犯他罪法益(財產權)的,則以盜竊罪評價。不過,也有些利用個人信息所現實化的生活利益并非是當前刑法保護的,如行為人經個人的知情同意收集了5000人的個人信息(姓名+電話),并利用這些信息深夜撥打電話進行長期騷擾的。相比前述情形,這種利用情形的特點在于,不僅權利存在層的侵害未被規定在《刑法》第253條之一中,而且利益反映層的現實化也未受到刑法的應有保護。但是,鑒于其與前后端不法行為所造成的侵害具有相當性,因而有必要將此情形納入該罪的評價范圍。可以說,這也是對部分論者所言“對數據濫用的行為缺乏必要的規制”的積極回應。據此而言,建議在《刑法》第253條之一中增加“利用”的行為要素,同時考慮到利益反映層現實化受他罪評價的可能,建議增設“利用個人信息同時構成其他犯罪的,依照處罰較重的規定定罪處罰”的條款,以應對罪名重復評價的困境。

第三,在后端不法行為上,只要行為人實施了此類行為,意味著侵害了權利存在層,但囿于利益反映層現實化與否,所以要考慮:其一,單純實施后端不法行為的,即不屬于為他人利用個人信息犯罪提供幫助的情形,不論其如何影響利益反映層,都構成對侵犯公民個人信息罪法益的侵犯,應以該罪評價。其二,實施后端不法行為,為他人利用個人信息犯罪提供了幫助的,要結合利益反映層現實化的具體情形來判斷。展開而論,若他人因利用個人信息現實化了利益反映層而被他罪評價的,就行為人而言,應在他罪(幫助犯)與本罪之間擇一重罪評價;若行為人同時實施了前后端不法行為的,如既獲取他人個人信息又提供給他人的,當后端不法行為不成立他罪(幫助犯)的,即前后端不法行為都只對權利存在層、利益反映層構成侵害的,則只以本罪評價。反之,若出現利益反映層現實化,符合多個構成要件的Vgl.Maurach,G?ssel,Zipf,,Teil2,C.F.Müller,2014,S.659.,才考慮罪名的競合或并罰問題。舉例來說,當行為人明知他人獲取個人財產信息用于詐騙犯罪,仍向其提供的,則行為人觸犯了侵犯公民個人信息罪,同時由于為他人詐騙現實化的財產利益提供了犯罪幫助,因而也構成詐騙罪(幫助犯)。基于只有“提供”這一個不法行為,為了防止重復評價,則行為人應在侵犯公民個人信息罪和詐騙罪(幫助犯)之間擇一重罪評價;而他人此時既有前端不法行為,又因利用個人財產信息使被害人財產利益受到侵害的,則應兩罪并罰。此外,對于有學者指出的,在網上非法買賣身份證、銀行卡等身份信息的黑色產業鏈中,個人信息的“叫賣者”為防范法律風險,會與愿意出售自身信息的公民簽訂“個人信息轉讓授權書”大量獲取個人信息,而后將其轉賣他人進而用于售假、詐騙的情形,關鍵要判斷個人是否有授權權限,若有授權權限但“個人信息轉讓授權書”未告知再轉讓的情形,行為人違約轉讓的,則侵害了權利存在層、利益反映層。若這些公民知情同意再轉讓的,則“叫賣著”未侵害權利存在層,但明知他人利用這些信息進行售假、詐騙而為其提供的,則現實化了利益反映層,符合售假、詐騙犯罪規定的,應以該類犯罪(幫助犯)認定。

五、結語

社會向前發展離不開對個人信息的有效保護,而如何合理認定侵犯公民個人信息罪,始終是繞不開的論題。理論上,將侵犯公民個人信息罪定位為自然犯抑或法定犯是個不錯的選擇。然而,無論是將該罪定位為自然犯還是法定犯,規范違反和法益侵害的認定,無疑是關鍵所在。傳統上,規范違反的認定,基于“違反國家有關規定”的存在,對其正向認定是主要做法;法益侵害認定的重心在于法益的定位,而有關該罪法益的定位,無論是個人法益說,還是超個人法益說,都是停留于以法益主體為區分標準的表面,并未深入法益結構內部予以探究。侵犯公民個人信息罪認定的應然轉向是必然趨勢。不論是規范違反的認定,還是法益侵害的認定,都有轉向的事實基礎和規范基礎。有鑒于此,規范違反的認定,有必要由正向認定轉向反向認定。“違反國家有關規定”并非是對構成要件要素的表述,而是對違法阻卻事由的提示。違反“國家有關規定”的阻卻事由,基于法秩序的統一性,實則是違反“國家規定”的阻卻事由,其類別劃分應依照“國家規定”來判斷。法益侵害的認定轉向,其中法益定位的轉變是重點,應從以法益主體為區分標準轉向法益結構的內部考察。侵犯公民個人信息罪的法益乃個人信息權,但鑒于個人信息的客觀存在性和客體反映性,因而法益在結構上呈現出層次性,既有權利存在層,也有利益反映層。二者的獨立存在與彼此制約,不但決定了該罪法益的準確定位,也對不同類型的不法行為侵害法益的層次認定起到很好的限定作用。