自2009 年《刑法修正案(七) 》(以下简称: 《刑修七》) 首次将侵犯公民个人信息行为纳入《刑法》打击的范围后,这种保护力度不断得到强化。2015 年《刑法修正案(九) 》(以下简称: 《刑修九》) 进一步将个人信息犯罪的主体扩大到任何主体,取消了“非法提供”中的“非法”,将入刑的行为确定为“出售或提供公民个人信息”和“窃取或者以其他方法非法获取公民个人信息”两种行为。这意味着,不仅出售公民个人信息和购买公民个人信息(归类到以其他方法获取行为之内) 可能入刑,而且向他人提供公民个人信息或者接受公民个人信息也存在承担刑事责任的风险。(《刑修七》中“出售、非法提供公民个人信息罪”的主体为“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。——作者原注)
我国《刑法》有关个人信息犯罪的修改,引起了社会的广泛关注。个人信息(又称个人数据) 是社会活动尤其是开展商业活动必不可少的要素,尤其是伴随大数据的应用,人类进入数据化时代,收集和分析各种数据并应用于各种决策成为社会运营的常态。政府在社会治理和决策中要大量应用个人数据,基于对个人数据分析的精准营销、网络推送、个性化定制等也已成为现代商业的基本样态。除了在提供服务或商品中自行收集个人数据外,许多商家开始依赖外部数据,其获取方式包括分享、互换、许可使用等。此外,各地也纷纷建立专业大数据交易服务机构,搭建数据交易平台,推进数据的社会化利用。《刑修九》无疑给商业活动中广泛存在的数据交换和正在兴起的数据交易蒙上一层阴影。
由于个人数据保护立法和执法的滞后,我国的个人信息滥用、无序利用已经到了危害公民人身和财产安全的地步,因而国家就率先运用刑法,惩治侵害公民个人信息的犯罪行为。但是,刑法的不正确适用会抑制我国大数据应用的创新和正当的合乎国际规则的商业应用。因此,必须对《刑修九》规定的侵犯公民个人信息罪进行正确的解释和适用,这样才能在打击公民个人信息犯罪的同时,为正当的个人信息收集和使用提供良好的制度环境。
本文以“出售或提供”公民个人信息行为为核心,着重讨论我国侵犯公民个人信息罪所保护的客体,在对刑法保护的核心——侵害的法益进行分析的基础上,论述该罪所禁止行为的实质违法性,试图回答以下两个问题:出售或提供何种公民个人信息才具有刑法上的可责性,何种出售或提供行为才具有实质违法性并构成犯罪。
刑法理论认为,犯罪的客体是指刑法所保护的、为犯罪行为所侵害的社会关系,严重社会危害性是犯罪的本质特征。有学者提出,纵观刑法分则,并没有将犯罪客体表述为社会关系,而是将权利、秩序、利益等作为犯罪客体; 因此,刑法所保护的利益用法益来概括比用社会关系来概括更为合适。依此,“行为是否具有实质违法性,是根据法益是否受到侵害或者威胁来评价的”。笔者认同该观点,应当先分析侵犯公民信息罪所保护的法益,再进一步分析出售或提供哪些公民个人信息构成实质性违法,应受刑法处罚。
笔者认为,侵犯公民个人信息罪所保护的法益应为人格尊严与个人自由,个人隐私只是人格尊严的组成部分。这一观点可以从立法解释和个人信息保护目的解释两个角度加以分析。
侵犯公民个人信息罪被置于我国《刑法》分则的第四章“侵犯公民人身权利、权利罪”,那么从整体而言,侵犯公民个人信息罪所要保护的法益应在公民人身权利或权利范畴之内。至于侵犯公民个人信息罪到底保护何种公民人身权利或权利,还需根据刑法具体罪名的编排以及个人信息所需保护的利益进行进一步分析。
以我国《刑法》侵犯公民人身权利、权利罪章(第四章) 为例,处于该章的第232 条“故意杀人罪”至第235 条“过失致人重伤罪”所保护的法益均为公民人身权利,且属于人身权利中的人身安全利益,包括生命权、身体权与健康权。对侵犯公民个人信息罪而言,《刑修七》首次确定该罪名时就将其条文序号定为第253 条之一,位于“侵犯通信自由罪”与“私自开拆、隐匿、毁弃邮件、电报罪”之后。不难看出,“侵犯通信自由罪”与“私自开拆、隐匿、毁弃邮件、电报罪”所保护的法益均为公民人格权利与自由,包括公民个人通信自由和人格尊严。
因此,从具体罪名的编排来看,侵犯公民个人信息罪所保护的法益应与上述两个罪名相类似,是对公民人格尊严与个人自由的保护。
个人信息刑法保护是个人信息保护的最后一道防线,其保护目的仍然不能脱离个人信息保护的宗旨。个人信息的属性与特征决定了个人信息所保护的利益,同时也决定了侵犯公民个人信息罪所保护的具体法益。
个人信息是指与已被识别或可以被识别的个体有关的信息。个人信息强调对特定个体(自然人) 的识别,凡是能够识别某个人的信息均归入个人信息。个人信息是开展社会交往和社会活动所必需的因素,无论是接受公共服务、申请项目、上学就业,还是进行商业交易等,均要提供个人信息,以实现相互联系和相互了解。因此,个人信息是社会的润滑剂,具有社会性、公共性,在社会活动中向他人提供(披露) 和获得他人个人信息,是社会运行的基本需要。
但个人信息同时涉及个人利益,有些个人信息本身就是个人隐私,不适宜公开,而有些个人信息虽然可以被公开或获取使用,但如果被滥用则会危害个人利益,侵害个人自由、安宁等。因此,个人信息应当受到保护也已成为社会共识。显然,个人信息保护区别于隐私保护,个人信息保护旨在确立个人信息的使用规范,其保护个益包括但不限于隐私利益。虽然我国许多民事法律(如《消费者权益保》) 开始引入个人信息保护制度,但对个人信息保护的宗旨并没有统一的认识。因此,我们需要追本溯源,先了解一下国际社会个人信息保护制度的形成和基本宗旨。
个人信息保护制度既有个别国家的立法渊源,也有国际文件渊源。在德国,其黑森州在1970 年颁布了世界上第一部专门针对个人数据保护的法律,1977 年在国家层面也制定了《联邦个人数据保》( BDSG) 。之后, 1983 年德国宪法法院判决确立了个人信息自决权为公民宪法上的权利。于是,个人自行决定何时、在何范围披露个人信息成为一项宪法权利。在美国,1973 年美国卫生、教育和福利部(现为卫生和服务部) 提出“正当信息通则”(又称隐私原则) ,也成为美国1974 年《隐私法》的基础,并成为当今个人数据保护立法的重要源头。美国的《隐私法》仅规范公共部门的个人信息处理行为,防范公权力对公民隐私的侵害,只是它体现的正当信息通则也被私人领域广泛接受,成为美国保护个人信息的一般原则。
进入上世纪80 年代,先后有两个有关个人信息保护的国际性文件发布,一个是1980 年经济合作与发展组织的《隐私保护和个人数据跨境流通指南》(以下简称: 《指南》) ,另一个是1981 年欧洲委员会《个人数据自动处理中的个人保护公约》(以下简称: 《公约》) 。
《指南》提出的适用于个人信息保护的8 项原则,已经被许多国家接受并作为保护个人隐私与自由的基本原则。《公约》是在保护的意义和框架下定位个人数据保护制度的,它明确宣布个人数据保护是为了保护个利和基本自由(尤其是隐私权) 。《公约》成为1995 年欧盟《个人数据保护指令》(以下简称: 《指令》) 制定的依据和基础。《指令》及欧盟于2016 年4 月颁布的《统一数据保护条例》( 2018 年生效后将替代《指令》成为在全欧盟范围内具有直接法律效力的法律) 均将个人数据保护目的定位于“保护自然人的基本权利和自由”。
从以上对国际社会个人数据保护制度形成和立法定位的简要分析可以看出,国际社会主要是从保护个人基本权利和基本自由的角度来保护个人数据的,甚至《欧盟基本宪章》明确将个人数据保护作为一项独立的或基本权利加以保护。其基本理念是,个人数据的处理涉及公民(或自然人) 的个人尊严、自由,应当规范个人数据的处理行为,以防止对公民基本权利和自由的侵害,其中包括但不限于对隐私(特指个人对敏感信息的控制) 的保护。虽然美国是在隐私法的框架下来保护个人可识别信息(也称为信息隐私权) ,但美国法中的隐私根源于宪法,通过制定法和普通法(判例法) 两套体系不断演绎,形成保护除诽谤、仿冒之外一切个益的侵权救济体系,承载着私人生活领域内保障基本权利的使命。在这样的法律体系中发展出的信息隐私权与欧洲在意义上创设的个人数据保护权异曲同工,具有相同的含义和内容。
因此,所谓个人数据保护,就是保护个人数据收集、处理等数据利用过程中所涉及的个人基本权利与自由(按照美国法,可以概括地表达为隐私权,但按照法系的法律体系,应当是包括但不限于隐私权) 。
我国尚未制定个人数据保,因而对个人数据保护目的还没有统一法律表述。从国际社会个人数据保护基本规律来看,我国的个人数据保护亦应当建立在宪法规定的公民基本权利基础上。若这些公民权利同时体现为人格权益,需要民法予以认可和保护,那么也应同时纳入民法(比如能够以名誉权、隐私权来保护人格尊严) 。只有这样,我们才能理解为什么在没有相应民法规范的情形下,我国《刑法》先行对个人信息予以保护。
也就是说,我国《刑法》对于公民个人信息保护是建立在我国《宪法》对公民基本权利保护基础上的,是履行“国家尊重和保障”基本义务,保护公民人格尊严、人身自由等宪法权利,而不是直接基于人格权或隐私权保护。一旦我们制定个人信息保之后,就可以全面确立我国个人信息保护的目的,使宪法保护的基本权利得到细化,并使宪法对公民权利的保护延伸到民事法律领域。因此,从个人信息保护的法律基础和基本宗旨角度,《刑法》中侵犯公民个人信息罪所保护的法益应当理解为公民人格尊严与个人自由,隐私利益只是人格尊严保护的内容之一(在强调隐私的重要性时,亦可以与人格尊严并列加以表述) 。
根据以上两个层面的分析,我国《刑法》侵犯公民个人信息罪所保护的法益要宽泛于其他国家有关个人秘密或侵犯个人隐私类犯罪的立法。
早在上个世纪,一些国家对侵犯个人秘密的行为就进行了刑事立法。譬如,日本刑法典第134 条第1 款规定了“非法披露个人秘密信息罪” ; 同样,德国刑法在第十五章侵害私人生活和秘密中分别对侵害言论秘密(第201 条) 、侵害通信秘密( 第202 条) 、探知数据(第202 条a) 、侵害他人隐私(第203 条) 、利用他人秘密(第204 条) 、侵害邮政或电讯秘密(第206条) 作出了规定。其中第203 条规定了某些特殊类型行业的人员不得“非法披露他人秘密,尤其是该秘密属于个人隐私、商业或贸易秘密”,特殊行业人员通过列举的方式在法条中予以规定,主要包括从事医疗行业的人员、心理咨询师、法律从业人员、咨询机构、社会工作者 、私人保险机构以及政府官员和其他相关公共职能部门的人。这些罪名主要针对侵犯个人秘密信息、通信自由的犯罪行为,其保护范畴要远窄于侵犯公民个人信息罪。
因此,我国《刑法》基于《宪法》上公民权利所规定的侵犯公民个人信息罪具有更高的定位,所保护的公民个人信息也不限于隐私信息。但是,由于个人信息本身具有社会性、公共性,个人信息本质上是可为人使用的,只是该使用不得侵犯他人人格尊严和个人自由。由于刑法自身的谦抑性,其不能将所有侵犯公民个人信息的行为纳入其调整范围,不能将所有出售或提供公民个人信息的行为视为犯罪行为。因此,还需要进一步分析出售或提供哪些公民个人信息以及何种出售或提供行为构成实质性违法,应当为刑法所禁止。
既然侵犯公民个人信息罪所保护的法益是公民的人格尊严与个人自由,那么对出售或提供公民个人信息行为的实质违法性判定必须围绕该法益展开,即如果出售或提供公民个人信息对公民的人格尊严与个人自由造成严重侵害或威胁,那么该行为就具有实质违法性,应被视为侵犯公民个人信息行为,应受刑法处罚。刑法控制的应该是对个人隐私、人格尊严和个人自由造成严重侵害的行为,这就意味着需要对可入刑的行为作出明确的限。