大數(shù)據(jù)環(huán)境下的我們,從國家到個人,都陷入了互聯(lián)網(wǎng)帶來的安全焦慮中。面對侵犯公民個人信息犯罪面對的實然風險,我們在個案推動和輿論的裹挾下,習慣性地遵循了慣性思維,那就是從嚴從快打擊具有“嚴重危害”的社會現(xiàn)象。然而,每一個時代都有自己面臨的新型犯罪,刑事立法和司法都應當具備基于理性思考的前瞻視野,才能在保證刑法安定性,與適應社會發(fā)展變化之間取得良性平衡,不能一味求嚴求快。我國在今后對侵犯公民個人信息犯罪規(guī)范體系的完善中,應當從安全本位走向權(quán)利本位,在刑事立法和司法中,都要以具備實質(zhì)權(quán)利內(nèi)涵的法益保護目的為導向,完成刑法規(guī)范在大數(shù)據(jù)時代的優(yōu)雅轉(zhuǎn)身。

作者:敬力嘉,武漢大學法學院,弗堡大學法學院博士研究生

敬力嘉

侵犯公民個人信息犯罪體系構(gòu)想

1

在明確認可侵犯公民個人信息罪的法益是信息專有權(quán)之后,對于以之為核心構(gòu)建侵犯公民個人信息犯罪體系,也就有了初步構(gòu)想。對于侵犯公民個人信息犯罪而言,非法獲取個人信息,是整個行為鏈條的起點、源頭,也應當是刑法規(guī)制的核心。

在我國語境下,對于非法獲取公民個人信息罪,應當沿用情節(jié)嚴重的標準作為入罪門檻,和現(xiàn)有的刑罰設(shè)置幅度。同時,繼續(xù)探索對公民個人信息進行類型化,以及在此基礎(chǔ)上對數(shù)量標準的完善,便足以完成對非法獲取公民個人信息行為的妥當評價。

2

對出售或提供公民個人信息行為社會危害性的評價,相對于非法獲取公民個人信息要復雜得多。

出售或提供的個人信息類別和數(shù)量,還不足以成為“情節(jié)嚴重”“情節(jié)特別嚴重”的衡量標準。出售或提供公民個人信息行為的入罪,應當具備對個人信息被利用所造成嚴重后果的認識。

這一罪名應當設(shè)置為“非法提供或出售公民個人信息罪”,罪名表述應為“非法提供或出售公民個人信息,造成嚴重后果的”,可以沿用現(xiàn)行的量刑幅度。當行為人對所造成后果具備直接故意時,應直接認定為該嚴重后果所構(gòu)成犯罪的共同正犯或幫助犯;當行為人具備間接故意或者過失時,應當認定構(gòu)成本罪??芍苯影凑招谭ǖ?86條之1第3款的規(guī)定,網(wǎng)絡(luò)服務提供者拒不履行信息網(wǎng)絡(luò)安全管理義務,又構(gòu)成其它犯罪的,直接按照處罰較重的罪名進行處罰。

明晰入罪標準

應明確啥是“情節(jié)嚴重”

所謂社會數(shù)據(jù),是指關(guān)于公民活動、行為方式、興趣愛好、與他人的關(guān)系等,能夠識別公民個體社會屬性的數(shù)據(jù),這些數(shù)據(jù)的總量每18個月就會翻一倍。通過對社會數(shù)據(jù)的分析研究,企業(yè)可以實現(xiàn)對用戶的行為規(guī)律、需求內(nèi)容等的分析預測,以帶來更高的生產(chǎn)率和用戶盈余。對社會數(shù)據(jù)的需求加速推動著企業(yè)生產(chǎn)與經(jīng)營的網(wǎng)絡(luò)化,因此社會數(shù)據(jù)就是互聯(lián)網(wǎng)時代的黃金。而在法規(guī)范視野中,社會數(shù)據(jù)是數(shù)據(jù)化了的個人信息,所以將這一進程納入法秩序的規(guī)范是法治社會的應然要求。

對于社會數(shù)據(jù)或者說個人信息的搜集、處理、使用等行為,應當構(gòu)建明確的法律規(guī)范框架。在刑法規(guī)范層面,應當明確“情節(jié)嚴重”和“情節(jié)特別嚴重”的構(gòu)成要件行為所侵害的確切法益,而不只是作為所侵犯對象的公民個人信息,如此才能明晰本罪的入罪標準。

何為個人信息

各國界定不盡相同

侵犯公民個人信息罪法益屬性的明確,需要以個人信息屬性的明確為基礎(chǔ)。世界各國對于“個人信息”的界定不盡相同,總體來說都以公民個體的識別性為標準。

有些國家將個人信息界定為可以有效識別公民個體身份,也就是個體屬性的相關(guān)信息。例如美國的法律規(guī)定“個人信息”包括社會保障號碼、銀行賬號、駕照號碼或者其他國家授予的身份證件號碼等。我國《網(wǎng)絡(luò)安全法》第76條第5款中,對個人信息的內(nèi)涵也做出了類似美國的界定。

也有國家將個人信息界定為能有效識別公民個體社會屬性的相關(guān)信息。例如德國《聯(lián)邦數(shù)據(jù)保護法》第3條第1款將個人數(shù)據(jù)界定為“有關(guān)已識別或可識別的自然人(或數(shù)據(jù)主體)個人或?qū)嶋H關(guān)系的個體數(shù)據(jù)”,即“社會數(shù)據(jù)”。

那么個人信息真的具備個體屬性嗎?其實不然。網(wǎng)絡(luò)環(huán)境下,所謂“個人信息”都會牽涉到多方主體。個人信息流動的載體,也就是網(wǎng)絡(luò)服務提供者,與搜集、使用和處理的主體,也就是其他公民個體、國家行政主體以及網(wǎng)絡(luò)服務提供者,同它指向的對象,也就是公民個體并不一致。

換言之,公民個人信息是關(guān)于公民個體的信息,而非屬于公民個體的信息,個人信息不具備個體屬性。

使用協(xié)議艱澀難懂

信息“一不留神”被搜集

我國通過《刑法修正案(七)》,在刑法分則中設(shè)立了出售、非法提供公民信息罪。2015年《中華人民共和國刑法修正案(九)》,將本罪重新設(shè)置為侵犯公民個人信息罪,將犯罪主體擴大到一般主體,取消了“非法提供”中的“非法”,將入刑的行為確定為“出售或提供公民個人信息”和“竊取或者以其他方法非法獲取公民個人信息”兩種行為,體現(xiàn)出我國刑事立法對公民個人信息保護力度的加強。

法益決定刑罰權(quán)適用的邊界,是對刑法中罪名進行具體解釋適用的應然起點。鑒于本罪規(guī)定在我國《刑法》第四章“侵犯公民人身權(quán)利、民主權(quán)利罪”中,本罪法益原則上屬于公民的人身權(quán)利,以公民個體的信息自決權(quán)作為本罪法益,似乎并無不妥。但在大數(shù)據(jù)環(huán)境下,個人信息的社會屬性決定了公民個體不直接享有對個人信息的自決權(quán)。

因為在網(wǎng)絡(luò)服務提供者的角度,海量社會數(shù)據(jù)已然成為了基本的生產(chǎn)資料,為企業(yè)的發(fā)展與經(jīng)營所必需。這樣的背景下,網(wǎng)絡(luò)服務提供者現(xiàn)行的做法,就是在用戶使用其服務之前讓用戶同意使用協(xié)議。這些使用協(xié)議看似確保了公民個體的信息自決權(quán),實質(zhì)卻是公民是放棄信息自決權(quán)的聲明:長篇累牘與專業(yè)化的使用協(xié)議,讓一般民眾很難完全了解哪些有關(guān)自己的個人信息將會被搜集、又將如何被使用。而公民如果不同意使用協(xié)議,通常便無法使用相應的服務。

公民個人信息的社會屬性,決定了侵犯公民個人信息罪的法益應同時考量個體性與公共性。將本罪法益完全構(gòu)建為個人法益或者公共法益的努力,均已證明不可行。

法律保護“對象”

應該是信息專有權(quán)

德國通過《聯(lián)邦數(shù)據(jù)保護法》第44條規(guī)定,以附屬刑法的形式對個人數(shù)據(jù)進行專門的刑法保護。該條規(guī)定,以牟利或損害他人為目的,故意以本法第43條第2款規(guī)定的方式6侵害個人數(shù)據(jù)的,處2年以下自由刑或罰金刑。從表述來看,這個罪名所保護的法益無疑是信息專有權(quán)。除卻侵犯公民個人信息罪之外,我國《刑法》第286條之1規(guī)定的拒不履行網(wǎng)絡(luò)安全管理義務罪中,對于網(wǎng)絡(luò)服務提供者“致使用戶信息泄露”的處罰,所保護的也是網(wǎng)絡(luò)服務提供者對于用戶個人信息的專有權(quán)。

那么,德國刑法中的信息專有權(quán),是否能夠為我國所借鑒?就侵犯公民個人信息的行為鏈條而言,獲取行為是起點,也是規(guī)制的核心。對于所規(guī)制的獲取行為,我國《刑法》第253條之1第3款表述為“竊取或以其它方法非法獲取公民個人信息”。“竊取”所指的當然是在不具備個人信息處分權(quán)限也就是信息專有權(quán)的情形下,占有了相關(guān)的公民個人信息,體現(xiàn)了我國《刑法》對信息專有權(quán)的認可。

而從體系解釋的協(xié)調(diào)性來看,“以其它方法非法獲取”的解釋,應當同“竊取”具有相當性。同時,應當將“非法”解釋為“違反法律、行政法規(guī)、部門規(guī)章有關(guān)法定主體信息專有權(quán)的保護規(guī)定”。因為獲取公民個人信息的行為的實質(zhì)違法性根據(jù)在于情節(jié),在《解釋》中具體體現(xiàn)為所獲取公民個人信息的類別、條數(shù)與借此獲得的經(jīng)濟利益,對“非法”進行這樣的明確,不會導致入罪門檻降低,處罰范圍擴大,同時能讓《刑法》為獲取公民個人信息的行為提供明確的禁止性邊界。

對于所規(guī)制出售和提供公民個人信息的行為,基本條款規(guī)定在侵犯公民個人信息罪第1款,表述為“違反國家有關(guān)規(guī)定,向他人出售或者提供公民個人信息,情節(jié)嚴重”,第2款是特別條款,規(guī)定“違反國家有關(guān)規(guī)定,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的”,要按照前款規(guī)定從重處罰。

總體來講,將信息專有權(quán)作為侵犯公民個人信息罪保護的法益,也作為刑法有關(guān)公民個人信息所保護的核心法益,在我國現(xiàn)行刑法規(guī)范中具備正當性與可行性。