侵犯公民个人信息罪疑难问题探析
摘要:侵犯公民个人信息罪保护的法益为公民的信息自主权。对本罪“个人信息”的内涵、行为方式以及特殊信息种类的认定应当基于本罪法益作出准确判断。鉴于本罪常发生于职务行为过程,在量刑时可以适用“禁业限制”。
关键词:个人信息 法益 禁业限制
侵犯公民个人信息罪法益保护内容
《个人信息保护法》出台意味着刑法应当明确侵犯公民个人信息罪打击的范围,具体而言,就是明确本罪法益保护内容。
有学多学者认为本罪保护的是超个人法益。比较有说服力的观点主要是:法条文中并没有明确地指出公民个人的同意是信息收集的合法化基础;本罪具有群体性和间接性特征,侵犯一个公民的个人信息权根本不能达到入罪门槛,不值得刑法保护;个人信息也承载着社会发展的公共元素,所以法律不会赋予个人以信息专有权,将个人信息“私有化”,这会阻碍社会发展;“大数据时代中单个自然人的个人数据本身并无价值”;网络服务提供者为了使自身收集公民个人信息的行为合法化,往往会在公民接受其服务之前让公民签署服务与隐私协议。面对这一协议,公民只有两个选择,离开或者留下。信息不对称使得大部分公民在面对这种选项的时候会毫不犹豫地选择留下,他们甚至都不会阅读隐私与服务协议,也不知道接受服务会意味着什么,知情同意原则就这样被虚化(参见郭泽强 张鑫希《走出侵犯公民个人信息罪的法益保护之迷思———超个人法益之提倡》
笔者不认同上述观点。首先,所谓“法条文中并没有明确地指出公民个人的同意是信息收集的合法化基础”这一方面是法律条文的误读,换言之,如后所述,完全可以将本罪的“违反国家有关规定”视为对违反同意原则的规定;另一方面,我们不是通过字面条文看出法益保护内容,相反,应当通过准确理解本罪法益来解读法律条文的真实内涵。其次,“侵犯一个公民的个人信息权根本不能达到入罪门槛,不值得刑法保护”的说法有失偏颇。例如,行为人获取张三财产信息、行踪轨迹信息累计达50条以上,难道也不成立犯罪吗?再次,以“社会发展”否认私法益的存在的说法令人难以接受。最后,所谓公民在接受服务过程中不阅读协议内容直接选择留下,恰恰体现的是公民对信息的自主处理,只能说明绝大部分人为了“效率”牺牲了“信息”而已。况且,强制公民同意留存信息作为获取服务的前提存在违反《消费者权益保护法》的嫌疑。
部分采取“个人法益说”的学者指出,本罪保护的法益是“人格权”、“人格尊严”等等。
事实上,法益的性质和类型,对于具体罪名的性质和排序具有抽象性的制约意义,对于具体案件的准确认定具有原则性的指导作用(参见李嘉程 马聪《财产信息的规范边界与适用规则——以我国刑法中侵犯公民个人信息罪为例》)。如果将侵犯公民个人信息罪的法益界定为所谓的人格尊严或者人格尊严,丝毫无法发挥“法益理论对犯罪构成要件的解释指导作用及对刑法处罚的限制机能”(参见刘艳红《民法编纂背景下侵犯公民个人信息罪的保护法益:信息自权———以刑民一体化及《民法总则》第111条为视角》)。换言之,所谓的人格权、人格尊严等说法并不明确,例如,强奸罪、故意杀人罪、非法拘禁罪、拐卖妇女、儿童罪等人身犯罪都是侵犯公民的“人格尊严”,但是如此认定对罪名的解释毫无意义。
之所以有学者认为本罪保护的法益为人格权、人格尊严等等,很大程度上是因为从《民法典》来看,我国对个人信息权的确认是与“人格权”同在、甚至是依附于其中的。此外,先前我国不存在独立的信息权法律规范也是一个重要原因。
如果将信息权视为一项全新的、独立的权利类型,那么本罪法益内容就不难确定。笔者认为,信息权完全可以作为独立的权利类型。
首先,要学会利用“竞合的思维”考察新事物。信息及其权利内容是随着经济社会发展逐步出现并愈加重要的。在这个过程中,信息首先具有隐私内容,随后也必然含有商业价值,在个人利益与社会利益的冲突下,必然有其人格尊严的一面,因此,信息的属性是财产、隐私、人格等权益的集合。
其次,《个人信息保护法》出台意味着我国在立法上确立了“信息权”的存在。如果说考察个人信息在《民法典》的地位无法单独确立“信息权”,那么《个人信息保护法》完全可以消除这个疑虑。法,是以权利义务为内容的社会规范的总和,既然如此,《个人信息保护法》当然是以和信息有关的权利义务作为内容的规范。换言之,应当承认独立的“信息权”,注意,这与信息同时具备前述隐私、财产、人格等属性不矛盾。
最后,基于体系解释,结合《刑法》以及《个人信息保护法》规定,可以明确本罪保护的法益为公民的信息自主权。一方面,侵犯公民个人信息罪规定在《刑法》“侵犯公民人身权利、民主权利”一章当中,应当认为本章保护的法益均为私法益。另一方面,《个人信息保护法》第十三条规定,符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。完全可以将《刑法》第二百五十三条之一规定的“违反国家有关规定”与前述“(一)至(七)”结合起来理解。换言之,违反个人同意原则上即构成本罪,但是存在其他违法阻却事由,即存在《个人信息保护法》第十三条(二)至(七)项内容的,即视为不违反“国家有关规定”、不构成犯罪。由此可以得出,本罪的实质为,违反公民个人意愿,(非法)获取或者提供(包括无偿或者有偿)个人信息、情节严重的行为。
综上所述,我国存在独立的“信息权”,侵犯公民个人信息罪侵犯的法益为公民的“信息自主权”。
“公民个人信息”的认定
2017年的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“侵信司法解释”)
对“个人信息”作出界定,即“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
由上述定义可知,刑法中的“个人信息”本质上不仅要求具有“可识别性”,还要求能够定位到“特定自然人”。除此之外,对于“可识别性”,既可以是直接识别,也可以是间接识别。
问题是,什么才是“识别特定自然人身份或者反映特定自然人活动情况的各种信息”?或者说要识别到何种程度?笔者认为,既然本罪保护的法益为公民信息自主权,对于“特定”的要求,只需要能够定位到“那个人”即可。至于“那个人”是这里人还是那里人、是男人女人,均不重要,因为此类信息不影响本罪的成立。
还需要讨论的是,什么是“其他信息结合识别”?即何谓“间接识别”?直接识别很好理解,例如,行为人获取张三的姓名、住址和身份证号码、电话号码,行为人可以直接据此准确定位到“张三这个人”。但是如果仅仅获取的是手机号码(假设实名),能否认为行为人可以基于手机号码、结合其他信息识别出特定自然人?有判决认为,通过公民个人的电话号码虽无法单独识别公民个人身份,但在手机号码实名制的大环境下,公民的手机号码本身能够与特定自然人直接关联,在这种情况下结合其他个人信息可以识别出公民的个人身份,符合《侵信司法解释》中对公民个人信息范围的规定,属于公民个人信息(参见广东省博罗县人民法院 (2020)粤 1322 刑初 133 号判决书)。
如何看待前述判决?事实上,通过特定途经查询实名认证的手机号码,从而识别特定自然人,在技术上不存在难度,但是在法律上却值得讨论。换言之,如果这里的“间接识别”考虑的仅仅是技术上有无可能,则该判决正确,如果这里的“间接识别”考虑的是一般人有无查询手机号背后的特定自然人信息的权利,则该判决值得商榷。
因此,问题就成为,“间接识别”的边界在哪里?笔者认为,应当以一般人面对信息,通过通常的查询手段能够定位到特定自然人为标准来认定是否属于可以间接识别。
于是,对于行为人非法出售1万个人的手机号码(假设号码均实名认证)与非法出售1万个人的身份证号码(均无名字)分别如何处理成为难题。
如果坚持前述标准,即应当以一般人面对信息,通过通常的查询手段能够定位到特定自然人为标准来认定是否属于可以间接识别。那么,一般人均无法基于单纯的手机号码和身份证号码定位到特定的自然人。于是行为人均不构成犯罪,但将非法出售1万个身份证号码的行为宣告无罪,至少在观念上令人难以接受。
对此,也有人认为,虽然手机号码实名,但现实当中不代表系本人使用,但身份证号码却系唯一永恒不变的特定信息,故后者显然重要于前者,即使不处罚出售手机号码行为,也要处罚出售身份证号码行为。
但是该说法也存在问题,以客观事实取代规范内容,终究只是权宜之计。这种说法还可能存在以下疑问:房产所有人不居住于某房产而是将房产出租,行为人获取房产信息,究竟是识别了所有权人个人信息还是获取了居住者的个人信息?
或许应当另辟蹊径,从本罪和其他罪名的关系出发进行认定。众所周知,个人信息泛滥所产生的危险往往是其他犯罪的滋生,例如网络诈骗往往与信息的非法交易有关,于是侵犯公民个人信息罪成为其他关联犯罪的“上游犯罪”。因此,从处罚必要性来看,非法出售手机号码行为相比非法出售身份证号码行为似乎有过之而无不及,因为前者往往可以成为诈骗犯罪的目标,后者却不行。这样的话,似乎处罚单纯的出售手机号码行为显得很有必要。
但是,处罚的必要性充其量只能作为刑事政策的考量,最终的问题还是要回答,单纯的实名认证手机号码如何能够符合“识别特定自然人”的要求。能否认为一般人都可以通过拨打手机号码与手机使用者进行沟通,以此等价于“识别特定自然人”?笔者认为,拨打号码无论如何也不属于“结合其他信息”,况且使用人完全可以拉黑等方式逃避一般人的联系。或许无论如何解释,也很难认为单纯的手机号码结合其他信息能够识别特定自然人。因此,非法出售大量的手机号码行为是否应当入罪确实值得思考(非法出售大量的身份证号码行为也一样)。
特殊信息类型的认定
根据《侵信司法解释》规定非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的......
由此可见,刑法上的信息分类采用三分法:敏感信息、重要信息、一般信息。因此,对信息类型的准确区分是划分罪与非罪、轻罪重罪的重要前提。
什么是财产信息
要准确理解财产信息的内涵必须明确本罪保护的法益内容。如前所述,本罪侵犯的公民的信息自主权,同时作为侵害“人身、民主权利”犯罪,本罪加重处罚的依据必然是对公民人身、财产具备更多的违法性。
因此,财产信息必须是明确的、直接的表明某人部分或者全部资产状况的信息,它不需要经过加工处理。在这种情况下,此类信息更容易成为其他不法分子的目标,对公民人身、财产危害更大,入罪门槛只需要50条的立法规定才能得到准确的解释。
问题是,如何区分财产信息与交易信息?笔者认为,可以从是否具有一般的稳定状态进行区分。换言之,交易信息是动态的,信息内容不具有稳定性,相比之下,财产信息是静态的,具有较强的稳定性。但是,假设某人专门设立账户用以投资股票,即使账户操作频繁、内容变换较大,也应当认为是财产信息而不是交易信息。
什么是征信信息
征信信息含有除了个人身份证号码、姓名、常用住址、联系方式之外,最重要的内容是关于个人的信用卡或各种贷款的使用、负债以及逾期情况,或者是涉及司法判决的履行情况(参见李嘉程 马聪《财产信息的规范边界与适用规则——以我国刑法中侵犯公民个人信息罪为例》)。
什么是行踪轨迹信息
行踪轨迹信息准确反映了自然的活动情况,事关个人人身安全。该信息内容一般涉及个人的乘坐交通工具、宾馆开房记录(有时候是住宿信息)、手机实时位置以及银行卡取款刷卡等。
什么是住宿信息
常见的是记录个人来往酒店的信息。但是如果住宿活动频繁,记载的住宿信息已经能够反映出自然人准确的活动轨迹,此时住宿信息可能转化为“行踪轨迹信息”。
当然,不排除在具体案件中信息种类认定会存在争议,此时应当把握本罪法益保护内容,从对公民人身、财产危害性大小来区分刑法中的敏感信息、重要信息、一般信息。
侵犯公民个人信息罪的行为方式认定
《刑法》第二百五十三条之一规定了本罪的行为方式包括:违反国家有关规定,向他人出售或者提供公民个人信息;将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人;窃取或者以其他方法非法获取公民个人信息。
如前所述,结合本罪保护法益,完全可以将本罪的行为方式理解为:违反公民个人意愿,(非法)获取或者提供(包括无偿或者有偿)个人信息、情节严重的行为。
值得注意的是,公民对个人信息的权利远远不住于获取与提供,只不过基于刑法的谦抑性,只处罚出售或者提供行为。因此,对于出售、提供行为重点看的是有无得到个人的授权;对于其他行为方式,比如信息的储存、处理、使用等等,更多涉及的只是民事责任。
问题是,如果张三从网站公开的企业信息网上搜集企业公开发布的信息,包括公司的名称、产品、经营行业、注册信息和公司法定代表人、联系人的姓名、职务、联系方式等。张三将上述信息存入数据库,供他人付费查询使用。是否成立犯罪?
如果不考虑本罪保护的法益,很容易将此类行为认定为犯罪,至少在形式上张三没有获得授权即获取此类信息作为获利方式。但是如果考虑到本罪保护的法益为信息自主权,则相关信息的公布的个人自主作出的,等同于承诺了“获取”和“提供”,似乎不应当将张三行为认定为犯罪(相同观点参见 刘艳红《民法编纂背景下侵犯公民个人信息罪的保护法益:信息自决权———以刑民一体化及《民法总则》第111条为视角》)。
对此,也有学者并不完全认同。例如周光权老师认为,关于张三行为的认定,主要还是要考察行为人获取信息后的用途,对于处理已公开的个人信息且未偏离该信息公开的目的,没有改变其用途的行为,没有侵害法益主体的法益处分自由,对于这种尊重信息公开目的前提下的对个人信息的合理处理,民法典、网络安全法、个人信息保护法等前置法均不反对,该个人信息是权利主体自愿放弃保护的财物,且处分行为没有违背其处分财物的意思,其在刑法上的要保护性丧失,不属于刑法所保护的行为对象。反之,处理个人信息明显违背个人公开其信息的目的,改变已公开信息的用途的,都有可能构成本罪(参见周光权 《侵犯公民个人信息罪的行为对象》)。
其实,前述两种观点的分歧在于对“同意范围”的认定。如果认为个人一旦自主处分个人信息于公众状态便是信息自主权的全部内容,则张三不构成犯罪;如果认为个人信息自主处分还需要考察背后的目的,则张三的行为超越个人公开信息的目的时,依然可能成立犯罪。
时下,偶尔会出现行为人冒名他人实施违法犯罪的社会现象。关于“冒名”行为,我国目前只有冒名顶替罪,由于很难将本罪的获取、提供行为解释为使用,故对于行为人冒名他人实施违法犯罪等造成他人名誉损害等行为无法追究侵犯公民个人信息罪的刑事责任。问题就在于除了获取和提供行为以外,要不要处罚“使用公民个人信息”行为?笔者认为,处罚使用信息行为应当是一种趋势,使用行为甚至严重于提供和获取行为,因为它对公民信息自主权的侵害更加明显。对此只能期待将来立法。
侵犯公民个人信息罪的禁业限制
对于违法提供在履行职责或者提供服务过程中获取的公民个人信息的行为,除了从重处罚以外,实践中少有对行为人适用禁业限制的做法。此外,还有行为人虽未在履行职责,但是利用其权限违法提供公民个人信息,例如派出所民警张三利用职务权限查询公民个人信息出卖他人获利。对于前述两类行为,今后或许会逐步适用禁业限制。
