柯明 四川省人民检察院干部、法学博士。
内容摘要
关于侵犯公民个人信息罪的保护法益,存在隐私权说、个人信息权说、隐私权·个人信息权说、秩序与安全说的对立。侵犯公民个人信息罪的保护法益应当为独立的个人信息权,特别是个人信息控制、支配、决定的权利,而非隐私权。个人信息权不仅体现人格利益,还具有财产价值和安全价值。侵犯公民个人信息罪所针对应是个人信息收集者、处理者和利用者严重的滥用行为。一般而言,为了公共利益或者具有合理使用目的处理、利用公民个人信息的行为,不会致使侵犯公民个人信息罪的法益被侵害。
关键词:侵犯公民个人信息罪 法益 个人信息权 隐私权
一、问题的提出
2009年2月28日通过的刑法修正案(七)首次针对侵犯公民个人信息的行为设立犯罪,将出售、非法提供和获取公民个人信息的行为规定为出售、非法提供公民个人信息罪和非法获取公民个人信息罪。立法工作机构在说明立法理由时指出,上述罪名的增设是为了保护公民的人身、财产安全、个人隐私以及正常的工作、生活不受侵害和干扰,保护公民个人信息不被泄露。2015年8月29日通过的刑法修正案(九)进一步对上述罪名进行修改,将违反国家有关规定,向他人出售或者提供公民个人信息的行为设立为犯罪的同时,修改出售、非法提供本单位因履行职责或者提供服务而获得公民个人信息的规定,从特殊主体扩大至一般主体,并明确了从重处罚的原则、提高了法定刑配置。对此,立法工作机构解释,这次修改的主要是为了惩治一般主体违背公民个人意愿出售、非法提供公民个人信息的行为,以及从源头上打击利用公民个人信息实施的其他侵害公民权益的违法犯罪行为。换言之,从根本上看,对刑法第253条第1款的修改,仍然是为了保护公民的人身、财产安全、个人隐私以及正常的工作、生活不受侵害和干扰,只是从范围和程度上来看,修改导致该罪的打击范围更广、刑罚惩罚力度更强了。2020年通过的民法典在人格权编之下对个人信息作出了规定,但并未将个人信息权作为一种独立的人格权利对待。那么,在如此规定的背景下,侵犯公民个人信息罪所保护的法益究竟是什么,是人身权、财产权、隐私权还是生活安宁权,有待进一步研究。
应当看到,法益具有指导刑法解释的方法论机能,只有明确所要保护的法益,才能够使对犯罪构成要件的解释符合刑法设立该犯罪的目的;同时,对某个刑法规范所要保护的法益内容理解不同,也将导致对构成要件的理解不同。而当前就侵犯公民个人信息罪保护法益的问题而言,学界及实务界并未给予充分关注,已有的观点也大抵未进一步展开,导致对侵犯公民个人信息罪构成要件的解释争议颇多。基于此,本文在梳理有关侵犯公民个人信息罪法益学说的基础上,确立个人信息权为该罪的保护法益,并进一步对个人信息权说予以展开,以期有助于侵犯公民个人信息罪的立法完善和司法适用。
二、对各种学说的批判性考察
(一)关于侵犯公民个人信息罪保护法益的学说争议
若是将关于侵犯公民个人信息罪保护法益的学说予以类型化,大致可分为以下三类观点:一是隐私权说,二是个人信息权说,三是隐私权·个人信息权说。
隐私权说是从隐私权的角度理解侵犯公民个人信息罪的法益,认为刑法保护个人信息是为了保护隐私权,旨在禁止他人非法侵入公民的私人领域,维护公民现有平稳生活状态。除此之外,有学者虽然认为隐私权属于所保护的法益,但隐私权只是人格尊严的一部分,因此,侵犯公民个人信息罪所保护的法益应是人格尊严和个人自由。个人信息权说则认为,侵犯公民个人信息罪的保护法益是公民个人的信息自由和安全,特别是公民对其个人信息的控制权。隐私权·个人信息权说既从个人信息权的角度,又从隐私权的角度理解侵犯公民个人信息罪的法益。只是,由于对个人信息权和隐私权之间关系的理解不同,有观点从并列关系的角度认为,除公民的个人信息自由和安全之外,侵犯公民个人信息罪的保护法益还应当包括私生活权利。另有观点则从包含关系的角度,或者认为侵犯公民个人信息罪所保护的隐私权法益,既包括公民个人隐私不受侵犯的权利,也包括公民对其个人信息的控制权;或者认为该罪保护的是个人信息权,既包括个人隐私不受侵犯的权利,又包括限制他人非法收集、转让和出售他人信息的权利。
概而言之,上述学说的核心争议在于对隐私权、个人信息权的权利性质、权利内容、权利间的关系理解不同。
(二)隐私权说的批判性考察
隐私权说认为,保护公民个人信息就是保护公民的隐私权。对此,笔者认为,这一观点混淆了个人信息与个人隐私之间的关系,实际上,二者之间既存在着联系、又有着区别,不能将二者的概念与范畴等同。就个人信息与个人隐私之间的范围来看,二者确实存在重合的部分,一些未经公开的个人信息属于个人隐私,根据部分个人隐私也能够识别出特定个人。例如,通过直接识别或者间接识别的方式,可从未经公开的个人病例资料中辨别出特定的自然人,而该病例资料又显然属于个人的隐私。
但除了个人信息与个人隐私的重合部分之外,二者还有着各自特定的内容,个人信息的范围并不仅限于包含个人隐私的个人信息,个人隐私的范围也不仅限于信息性隐私。一般认为,能够单独识别出或者与其他信息相结合能够识别出特定自然人身份的信息是个人信息,其主要特征在于可识别性。对于能够识别出特定自然人身份的信息,即使已经公开、不具有隐秘性,也属于个人信息。而对于隐私来说,其主要是一种私密性的信息或私人活动,个人不愿意公开的部分大都可以成为个人隐私。那么,对于已经公开、不具有私密性、不涉及公共利益且能够识别出特定自然人身份的信息而言,非法出售、提供、窃取等行为就不会侵犯隐私权。事实上,上述行为是对个人信息权造成了破坏。譬如,已经公开在个人社交网络平台上的电话号码,由于不具备私密性而不属于隐私,但却因为可通过实名制等方式识别而属于个人信息,行为人非法利用电话号码的行为,可能造成对个人信息权的破坏,但并不会侵害隐私权。
此外,侵犯个人隐私的行为也并不意味着对个人信息权当然的侵害。20世纪60年代以来,随着电脑和互联网的出现,美国学者普遍认为隐私权包括自治性隐私权、物理性隐私权、信息性隐私权三种。所谓物理性隐私权,也称空间性隐私权、场所隐私权,是指他人对其住所、其它私人场所甚至公共场所享有的免受别人打扰、侵扰的权利。保护物理性隐私是以通过禁止他人未经许可对本人私人物理空间的侵入来实现。而所谓信息性隐私权,是指个人所享有的决定何时、以何种方式、在何种程度上将个人信息向别人公开的权利。自治性隐私权则是指“他人所享有的就其具有私人性质的事务作出自我决定的权利”。
虽然与我国侧重从人格权角度理解隐私权存在不同,美国法不仅是从一般侵权法角度,还更多从宪法权利的角度认识隐私权,但其对隐私权类型的划分仍然值得我们吸收和借鉴。笔者认为,从形式上看,对隐私权的破坏,一种表现为对以信息形态存在的隐私的破坏,譬如在网上披露他人的身份证号、家庭住址、病历资料、犯罪记录等信息;另一种就表现为以个人活动等方式侵扰、打扰他人在私人场所的权利,譬如公安机关在非紧急情况下,不出示搜查证对他人住所进行搜查。亦即,隐私权包括信息性隐私权和物理性隐私权。
至于自治性隐私权,则不属于我国隐私权保护的范畴。这是因为,自我决定的权利属于自治权,与自由权息息相关,但独立于隐私权。美国法将自治性隐私权纳入隐私权保护的范畴,是因为其偏重于从自由的角度理解隐私权,将隐私权作为公民对抗政府的制度工具,且美国法中既没有一般人格权的概念,也没有具体人格权的概念,因此,设定隐私权为一项宪法上的权利,涵盖各种人格利益,不失为一种合理的选择。而在我国,对隐私权的保护一直以来倾向于通过具体人格权来保护,而非宪法基本权利模式,如果将自治性隐私权纳入隐私权的范畴,不符合我国隐私权概念的内涵与外延。另外也应当看到,美国法中的自治性隐私权导致了隐私权概念范围越来越大、隐私权边界越来越模糊的弊端,包括生育自决、婚姻自决、抚养和教育孩子自决等内容均被纳入了隐私权。而根据我国民法中的隐私权、婚姻自主权均同属于具体人格权,二者并非包含关系。因此,我国的隐私权没必要吸收内涵模糊、涉及面甚广的与自治权相关的内容,而是应将其予以排除。
由此,对个人信息的保护并不能直接等同于对隐私权的保护,用隐私权说解读侵犯公民个人信息罪的保护法益并不妥当。刑法增设侵犯公民个人信息罪,是为了保护公民的个人信息不被非法出售、非法提供给他人,或者被他人以窃取或者其他手段非法获取。这之中当然包括对信息性隐私的刑法保护,但是,依此并不意味着隐私权就是侵犯公民个人信息罪的保护法益。毕竟,已经公开的能够识别出特定身份的信息、未公开但不具备隐秘性的个人信息,同样均属于侵犯公民个人信息罪的范畴。这些信息不属于隐私,难以认定非法出售、提供、获取上述信息的行为对隐私权造成了破坏。而且,对隐私权的侵害范围亦不能仅限定于信息性隐私,物理性隐私也属于隐私的范畴。
此外,认为侵犯公民个人信息罪所保护的法益是人格尊严和个人自由的观点,不当扩大了该罪法益的范围。民法典规定了人身自由和人格尊严为一般人格权的基础,生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权等具体人格权。一般人格权与具体人格权之间的关系在于,对各项具体人格权的保护都能够体现对一般人格权的保护,许多侵害具体人格权的行为,如污辱、诽谤他人,宣扬他人隐私,泄露他人的个人信息等,均不同程度地损害了他人的人格尊严。亦即,侵犯公民个人信息的行为当然侵犯了公民的个人尊严和人身自由。但需要注意的是,既然侵犯公民个人信息罪是针对侵犯公民个人信息的行为而设立,那么该罪的保护法益理应是与个人信息直接相关的利益,不应为人格尊严和人身自由。并且,由于人格尊严和人身自由具有高度概括性、抽象性和补充性,如果将其作为该罪的保护法益,可能导致司法认定时随意地进行解释,进而损害相关利害关系人的权利。因此,也不宜将人格尊严和人身自由视为侵犯公民个人信息罪的保护法益。
(三)隐私权·个人信息权说的批判性考察
既然个人信息的范围中确实包含信息性隐私,涉及对隐私权的保护,是否就意味着,如隐私权·个人信息权说所认为,侵犯公民个人信息罪既侵害了公民的隐私权,又破坏了公民的个人信息权?对此,笔者认为,在隐私权·个人信息权说中,首先,从包含关系角度理解个人信息权与隐私权之间的关系存在问题,因为如上文所述,个人信息权与隐私权之间实际上呈交叉关系,交叉的部分为信息性隐私权。因此,个人信息权无法完全包含隐私权的内容,隐私权也无法完全包含个人信息权的内容。那么,这又是否表示可以从并列关系角度理解侵犯公民个人信息罪的法益,即个人信息权和隐私权均受到了侵害?笔者对此亦不敢苟同。因为在笔者看来,技术领域的巨大变革已促使所有的信息性隐私均能够通过技术被识别出,换言之,信息性隐私已经完全为个人信息的范围所包含,非法出售、提供、获取公民个人信息的行为是对个人信息权的侵害。
应当看到,当前的技术变革已经使整个社会发生一场前所未有的系统性变革。在“第四次工业革命”的提出者克劳斯·施瓦布看来,正在经历的第四次工业革命呈现出指数级而非线性的发展速度,建立在数字革命基础之上的这场革命,结合人工智能、物联网、纳米技术、生物技术、量子计算等领域的新兴突破性技术,从深度和广度上都将带来系统性的影响,不仅会改变着我们所做的事情和做事的方式,甚至会改变人类自身。而从当前我们所身处的社会来看,每一个个体确实已经被深深地嵌入在海量数据之中。随着大数据、云计算、移动互联网、物联网的发展,各种类型的数据被收集、处理、分析和应用。每个人的身份信息、位置信息、用户习惯、消费、浏览偏好、言论观点等,在不经意地滑动手指、点击鼠标、敲打键盘之时就被网络服务提供者所采集,而通过大数据、云计算的方式分析和处理,这些信息已经在网络上形成了特定自然人的“数字人格”,不仅能够识别出身份,甚至能够反映性格特征和兴趣爱好。而数字经济的核心现在及未来都将是如何服务客户,因此,企业为了更好地实现客户需求,提供定制化的产品和服务,将通过企业数据平台战略、数据分析、数据共享等更多、更创新的方式获取客户的信息(包括信息性隐私),而客户为了满足个人的个性化生活需求,也将越来越主动地提供这些信息。最终,包括信息性隐私在内的所有与个人有关的信息未来都将被网络服务者收集。
而在庞大的数据库容量、广泛的数据分享和多数据库的交叉比对之下,识别出某一特定自然人的身份并不困难。根据美国数据隐私专家的观点,即使没有姓名和社保账号,只要通过性别、生日和邮编三个数据项,就可以根据数据挖掘技术成功辨识美国87%的人口。更何况未来可能出现的网络零隐私场景以及更具突破性技术的变革,将使得识别身份的过程变得更为简单、快速。虽然为保护个人隐私,去识别化技术被广泛要求应用于个人信息领域,但技术专家认为,再识别技术的发展已经使得个人信息的辨别能力大幅提升,个人信息将越来越难以保持匿名化的状态。可见,由于技术的发展,信息性隐私将从隐私范畴中剥离,侵犯公民个人信息罪所保护的个人信息中涉及隐私权的部分,完全可以通过对个人信息权的保护来实现。
此外,与个人信息权相比,隐私权的概念较为主观,“与个别当事人主观认知、当下所处风土民情或社会文化有密切关联,本质上属相对性极高之权利概念,殊难有一客观标准以界定其范围”,因此,在个人信息权能够包含信息性隐私权时,使用个人信息权这一相对客观的概念也更为合适。综上,侵犯公民个人信息罪的保护法益不宜采取隐私权·个人信息权说。
三、个人信息权说的确立及其展开
(一)为什么要确立独立的个人信息权?
1890年,萨缪尔·沃伦和路易斯·布兰代斯所发表的《隐私权》一文首次明确地将隐私利益上升为法律上独立的“隐私权”予以研究,并引用了托马斯·库里“单独而不受干扰”的说法,将隐私权定义为个人独处的权利,个人有权决定是否公开自身的事务,除非涉及公共利益、同意等7项合法例外情形。
法律上的隐私权概念被萨缪尔·沃伦和路易斯·布兰代斯提出的背景是19世纪下半叶至20世纪初的第二次工业革命。其时,美国正在推进工业化、城市化进程,涌入城市的新工人阶层对周围世界充满好奇,同时又恰逢摄影技术与印刷技术发生变革。这些因素促使美国新闻业(特别是报纸业)迅速发展,同时,也带来了猎奇新闻侵犯个人与家庭隐私权的问题。
1977年,在whalen v. Roe案中,美国最高法院最终通过该案确认了宪法上的信息性隐私权的存在,承认州政府收集、存储和披露个人信息时,涉及宪法上的隐私权内容。该案争议的主要问题就是纽约州政府是否可以在其中央计算机中记录与SCHEDULEⅡ药品相关的开处方医生,发药药剂师,病人姓名、地址和年龄及药品用量等信息。之所以信息性隐私权被确立,其背景是20世纪后半期第三次工业革命的发生。特别是电脑、通讯技术等新兴电子信息技术所带来的信息产业革命,让美国从家庭、社区、教会等简单社群发展到信息社会,政府制定政策以及商业机构制定运营计划逐步以收集、分析个人信息为重要依据。美国政府纷纷制定运用电脑大规模收集、处理其国民个人信息的计划,这引起了美国民众对信息性隐私迫切的关注。建立全国性“国家资料中心”的计划,就因公众普遍的反感而宣告失败。
因此,应当看到,每一次关于隐私权和个人信息权理论的发展均与技术变革密切相关。而这一次工业革命是在物理、数字和生物技术的融合下推动的,将使各行各业发生改变,一场关于“在透明度越来越高的世界里隐私意义何在”的全球辩论也将就此展开。简言之,这次工业革命将会导致人们再次重新思考个人信息保护问题。而笔者认为,重新开启对这一问题探索的钥匙就是对独立的个人信息权的肯认。
同时,明确个人信息权的权利性质、权利内容具有重要意义,不仅能够宣示个人信息权的权利地位,而且对于个人信息权的具体行使——包括提供上位法依据、辨别与其他权利的关系,有着重要的作用。2020年通过的民法典第1034条虽然对个人信息作出规定,明确不得非法收集、存储、使用、加工、传输、提供、公开他人个人信息,但遗憾的是,民法典并未规定独立的个人信息权,亦未将个人信息权的权利性质予以明确。另外,我国现行其他法律、行政法规以及部委规章、地方性法规、规章中,也没有关于个人信息权的规定,仅有的关于个人信息的规定亦不甚明了其内容与范围。在民法总则颁布之前,有学者统计,我国法律中关于个人信息及相关保护内容的记录仅有23条,行政法规中仅有12条,部门规章有27篇,地方性法规规章则有200多篇,并且,这些规定所强调的法律义务大多为保密。更为关键的是,由于尚未颁行关于个人信息保护的系统性立法个人信息保护法,导致对个人信息权的权利性质、权利内容等问题存在着争议。对此,有学者精辟地总结到,我国关于个人信息保护的立法存在着立法的碎片化现象突出,系统的专门立法尚付阙如;多数规范性文件位阶偏低,高位阶的规范性文件流于形式或者是宣示性规定,缺乏可操作的具体规则等问题,这些问题均亟待解决。
前置法的不完善甚至是阙如,当然导致了侵犯公民个人信息罪刑事责任追究过程中出现问题,其中包括侵犯公民个人信息罪个人信息权保护法益认定上的困难,以及进而造成的对构成要件解释不同。不过,正因为如此,对个人信息权的权利性质、权利内容理论上的分析,特别是侵犯公民个人信息罪个人信息权保护法益的确立,反过来能够进一步促进立法上的完善和司法上的合理阐释。
(二)个人信息权的域外考察及其借鉴
美国和德国关于个人信息的保护一直走在世界的前列,因此,可以通过梳理美德两国的关于个人信息保护的历史,并结合我国对个人信息保护的现状,探明我国个人信息权的权利性质和权利内容。如上文所述,美国法对个人信息的保护是依靠隐私权进行的。基于独处权理论的隐私权,主张的是排除他人对本人生活的干扰,其中既包括禁止他人进入私人空间,又包括保持和隐匿个人生活秘密。但总的来看,无论是何种形式的排除他人干扰,基于独处权的隐私权表现出的是一种消极性、被动性权利,基本上不存在积极行使这一权利的可能。此外,虽然关于隐私权的信息秘密说、接触说与独处权理论存在不同,但这两种学说实际上均是在独处权理论基础上的引申,体现的仍然是隐私权的消极性、被动性,只不过,与独处权理论强调从状态上理解隐私权不同,这两种学说侧重于从结果上认识隐私权。真正与独处权理论不同的是私密关系自治说。该说认为隐私和人际交往密切相关,享有隐私就意味着我们有权允许或者拒绝他人对我们个人信息的获取,强调的是信息主体对其个人信息的控制权。这种控制表现出了主动性、积极性的特征。1974年美国隐私法关于信息主体权利的规定进一步体现了美国法中隐私权所呈现的权利从被动性、消极性向主动性、积极性的转向。该法规定,信息主体具有决定是否公开自己资料、掌握、更正自己个人信息的权利。
而德国法对个人信息的保护,在宪法上以“信息自决”为基础,在民法上则以一般人格权为基础。在20世纪六七十年代,德国依据领域理论对大量个案作出判决,而领域理论的概念是跟随美国法有关隐私权的讨论而产生的。但随着科技的发展,保护个人信息安全的需求越发迫切,加之,德国学者认识到私密领域实际上非常模糊且可能同时属于公共领域,因此,自我表现理论应运而生,被用来弥补领域理论的不足。
在自我表现理论中,马尔曼提出了信息自决的概念,认为自我表现的实质就是对个人信息的使用,个人应当有权决定如何使用自己的个人信息。1983年,德国联邦宪法法院在“人口普查案”中,依据德国基本法第1条第1项关于“人性尊严”的规定和第2条第1项关于“人格自由发展”的规定作出判决,个人享有“信息自决权”对抗信息侵害,即个人信息主体对其个人信息的交付与使用的自由决定的权利。这一判决使信息自决权成为个人信息保护的宪法依据。1990年,受“人口普查案”影响,德国对联邦信息保护法的修改着眼于个人信息的合理使用,免受因个人信息传播造成的人格权侵害。2000年和2009年,德国又分别两次修改了联邦信息保护法,进一步扩展了信息自决权的范围,规定信息主体在特定条件下享有更正、删除或封锁个人信息的权利,信息收集、处理的合法性也在于权利人的同意,信息收集行为也需要符合合法性原则和信息经济原则。2016年4月27日审议通过并将于2018年5月开始实施的一般信息保护条例,扩大了信息主体的权利,新增了有关被遗忘权的规定,这一条例也将取代个人信息保护指令成为欧盟个人信息保护的基本法。总的来看,德国法将对个人信息的保护上升到人格尊严和人格自由的高度,并视为基本人权,同时,德国法不断强调信息主体对个人信息的自决权,限制对个人信息的使用。
应当承认,美德两国法律愈发强调积极地、主动地对个人信息的控制,这种控制表现为信息主体基于意思自由对信息及信息所产生利益的支配,自主决定是否提供个人信息以及如何使用个人信息。换言之,个人信息权最主要的特征在于其积极性、主动性,最关键的内容在于对于个人信息的控制、支配和决定。因此笔者认为,所谓个人信息权,应当是指信息主体依法对其个人信息所享有的控制、支配、决定,并排除他人侵害的权利。具体就内容而言,即包括信息主体直接控制与支配并决定个人信息是否被收集、处理、利用的权利,查询个人信息被收集、处理、利用情况的权利,请求信息控制者对不正确的个人信息进行更正的权利,请求信息控制者对不完整的个人信息进行补充的权利,以及在法定或约定理由出现时请求信息控制者暂停个人信息处理、利用的权利。
(三)侵犯公民个人信息罪个人信息权说的展开
需要首先提及的是,认为侵犯了个人信息自由和安全的观点显然过于笼统,未阐明具体内涵与外延,且更为关键之处在于,该观点并未将个人信息权作为一种独立的权利去对待,不利于技术变革背景下对个人信息的刑法保护。因此,应当在确立个人信息权独立地位的基础上,进一步明确侵犯公民个人信息罪所保护法益个人信息权的内容与性质。
首先,具体就侵犯公民个人信息罪个人信息权法益的内容而言,虽然个人信息权涉及决定、查询、更正、补充等权利,但并非上述所有权利受到严重侵害时均需要通过刑事手段规制。从刑法谦抑的角度来看,侵害个人信息查询、更正、补充等权利,并不会造成严重的法益侵害性,通过民法上或者行政法上的手段,如请求损害赔偿或者要求撤销、纠正不适当的行政行为,即可实现对权利的救济。因此,个人信息控制、支配、决定的权利是个人信息权的主要内容,侵犯公民个人信息罪主要造成对信息主体个人信息控制、支配、决定权的破坏。
其次,侵犯公民个人信息罪所针对的与个人信息权有关的行为,主要涉及的应是个人信息收集者、处理者和利用者的严重滥用行为。为了保护个人信息权,许多国家的立法例要求个人信息收集者告知信息主体,取得信息主体的书面同意。但笔者认为,不应将收集过程中的知情同意作为个人信息权刑法保护的必备要件,而应当将对个人信息权的刑法保护集中于对个人信息的滥用行为上。其一,从现实的情况来看,虽然当前的网络服务者均会在收集用户隐私之前声明其隐私政策,但很少的用户能够为了保护个人隐私,在使用服务前阅读长达几十页的隐私政策并表示同意。在一次次具体的信息披露中辨别个人是否同意、是否明知个人信息会被用于某一特定用途变得越来越困难。其二,从上文所述的技术变革的角度来看,对个人信息的收集将变得十分简单、便捷且有利可图,因而想通过事前取得知情同意的方式保护个人信息权,可能会严重阻碍数字经济和技术的发展。其三,刑法作为后盾法,主要惩罚的是直接造成危害后果的行为。就侵犯公民个人信息的犯罪而言,直接造成危害后果的行为正是滥用公民个人信息的行为,经非法滥用,公民的个人信息权遭到了侵害。而仅收集公民的个人信息,即使未经公民个人同意,一般也不会产生刑法上严重的法益侵害性,不宜通过刑事制裁措施予以规制。当然,从民事侵权的角度来看,非法收集的行为对公民的个人信息权造成了侵害,公民个人可以要求停止侵害、赔偿损失等。其四,从立法的过程来看,立法者对于将同意作为前提要件亦持否定态度。在刑法修正案(九)(草案)中,原本规定出售、非法提供公民个人信息的行为应需要满足“未经公民本人同意”的条件,但在随后的二次审议稿、三次审议稿以及刑法修正案(九)中该条件均被删除,这表明,立法者认为收集个人信息过程中是否经权利人同意不足以作为判断是否侵犯公民个人信息的标准。
这里还需要特别提及的是被遗忘权。所谓被遗忘权,强调的是信息主体有权要求删除信息收集者、处理者和利用者已经持有的个人信息。笔者认为,被遗忘权所涉及的行为也主要是第三方的收集行为。因为要求第三方删除所持有的个人信息,就是反对第三方对信息的保有,明确应对先前收集行为所造成的结果予以修正,第三方即使未予以删除,也并不意味着其滥用公民个人信息。更为关键的是,如果将被遗忘权纳入侵犯公民个人信息罪所保护的个人信息权中,既可能使公众丧失对相关信息知情的权利,也可能使得言论自由受到限制。并且,正如上文所分析,在当前技术极速发展的背景下,使个人信息在互联网完全消失的可能性近乎为零,因此,如果认为第三方未删除已经持有的个人信息的行为可能构成犯罪,则将直接导致第三方拒绝收集个人信息,以免承担相应的民事、刑事责任,进而不利于产业的发展和技术的进步。
至于滥用行为的范围,根据刑法第253条第1款的规定,主要指的是非法出售、非法提供、窃取或者以其他方法获取的行为。但这里涉及的一个问题是,窃取或者以其他方法获取的行为是否属于滥用行为?从语义上看,窃取或者以其他方法获取的行为属于收集的一种方式,而并不涉及滥用。但笔者认为,窃取等行为的目的多是为了滥用,例如利用所窃取的个人信息实施诈骗、敲诈勒索等活动,因此可以认定窃取等行为也属于滥用。不过,这里有一个前提条件,即必须是通过窃取或者与窃取相当的方式收集个人信息。而根据2017年6月1日开始施行的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第4条的规定,购买、收受、交换等方式获取公民个人信息的行为属于“以其他方法非法获取公民个人信息”,这意味着不需要达到与窃取的法益侵害性相当的行为,也会导致对公民个人信息的滥用。对此,笔者并不赞同,对“以其他方法非法获取公民个人信息”的解释应当以极有可能造成对个人信息的滥用为准。
同时,笔者认为,仅将上述行为纳入滥用行为的范围显然过窄,滥用的行为还应包括非法使用、加工、传输、公开等行为,这些行为同样造成了对公民个人信息权的严重侵害。并且,从与民法典第1034条衔接的角度,侵犯公民个人信息罪所针对的行为也不应当仅限于现有规定的行为。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第3条将通过信息网络或者其他途径公开个人信息的行为,基于“举轻以明重”的法理,即向特定人提供公民个人信息的行为属于“提供”,向不特定人公开的行为更应当属于“提供”。这一解释值得称赞,认识到对滥用行为的刑法规制还不充分。但是,对于非法适用、加工、传输的行为,刑法和司法解释并未作相关的规定。因此,从加强对滥用公民个人信息行为刑法保护的角度,未来可行的方式仍然是通过立法修正的方式将非法使用、加工、传输、公开的行为作为侵犯公民个人信息罪的行为方式之一。
再次,个人信息权除了体现出人格利益之外,还不应忽视个其财产属性和安全属性。如上文所述,伴随着技术的发展,原本不具有任何价值的海量数据,经过技术分析,已成为识别出某个特定自然人信息的重要资料,“大数据技术下的社会组织的成员可以通过商品交易之外的信息智能处理机制来进行信息交换,实现稀缺物品提供者和消费者的自动匹配”。在这整个数据整合、处理,个人信息识别、利用的过程中,个人信息作为其中最为重要的一环,其商业价值不可估量,不论是个人的职业信息、健康信息、信用信息还是个人的网络浏览信息,都可以进行商业化开发,产生经济效益。并且,这些个人信息不仅在公开之后仍具有分析、利用的价值,而且可以重复利用、再分析利用。再有,虽然个人信息具有私人性,但是个人信息常以集合形式表现,如国民基因信息的这些信息,由于可能涉及成千上万人的个人信息,而与国家安全产生密切的联系。正因为如此,网络安全法第4章专门针对网络信息安全作出规定,并明确了与个人信息保护相关的内容。这些表明,我们同样不能容忽视个人信息权的安全价值。侵犯公民个人信息罪的保护法益个人信息权还应当从公民社会、国家的角度去理解,公民个人信息不仅直接关系对个人信息的控制、决定,而且关系社会公共利益、国家安全乃至于信息主权。但需要注意的是,个人法益属性与超个人法益属性之间的主次关系不能颠倒,个人信息权首先应体现的是前者,然后才是后者。
最后需要说明的是,在认定是否侵害法益时,应当考虑处理、利用公民个人信息的行为是否为了公共利益,或者具有合理使用目的。如果对个人信息的处理、利用是为了维护国家安全或者为了批评、评论、新闻报道、教学、学术研究,则可以认定不构成对侵犯公民个人信息罪法益的侵害,因为这些行为或者是为了公共利益,或者具有合理的使用目的。当然,在进行司法判断时,并非只要符合这些情形就认定不侵害个人信息权法益,仍需要结合具体案件事实,依据是否具有商业性质或者营利目的,是否为了利用个人信息服务于人类活动,是否会对技术发展与进步产生积极影响等标准进行判断。
|
