作者简介:雷达,中国社会科学院大学法学院博士研究生;郑旭江,浙江理工大学副教授,武义县人民检察院副检察长(挂职)。
文章来源:《北京科技大学学报(社会科学版)》2023年第3期,注释从略,引用请参照正式文献。
摘要:个人信息已成为21世纪最有价值的资源之一。非法利用公民个人信息的行为不断涌现,成为当前刑事治理的重点领域。在司法实践中,混用个人信息与相关概念的现象屡屡发生,影响对侵犯公民个人信息罪犯罪构成要件的理解,也关系着刑罚的处罚边界。“个人信息”作为侵犯公民个人信息罪的行为对象,是刑民规范聚合的必然产物。因此,应当尝试在法秩序统一性原理的价值指引下解读“个人信息”概念:在形式上,以《民法典》的相关规定为基础,采取狭义的个人信息认定方式,将个人信息与个人数据、隐私进行明确区分;在实质上,深刻把握侵犯公民个人信息罪的法益内核,个人信息作为本罪的行为对象应当充分体现个人信息自决权的法益本质,从而为实现信息主体的选择权和决定权提供坚实基础。
关键词:侵犯公民个人信息罪;个人信息自决权;个人信息;法秩序统一性
随着数字经济时代的到来,信息化、电子化已成为不可抗拒的发展趋势。作为一种新兴现象,个人信息被非法滥用的情形频繁出现,侵犯公民个人信息的犯罪行为处于高发态势,个人信息不但为上下游关联犯罪提供“重要原料”,而且个人信息本身也紧密关联公民个人的人身、财产等重大法益。目前,侵犯公民个人信息罪的法律规范不断严密,但仍然存在许多有待明确的内容。个人信息作为本罪的行为对象,其内涵与外延一直备受学界关注,无论在学理上还是实务中,时常出现个人信息、个人数据与隐私等相似概念的混用情形,同时对个人信息的权利归属认定也较为模糊,这成为行为人侵犯公民个人信息的重要起因之一。本文认为,以上问题的出现缘于对本罪法益认定立场的摇摆不定以及与私法规范关系的尚未理清。有鉴于此,确证侵犯公民个人信息罪的法益属性以及正确处理刑民规范二者的关系, 成为当前需要解决的重点问题。“刑法学研究要前瞻后望,左看右盼,上下兼顾,内外结合”,个人信息作为关键概念,是数字经济时代在个人法益中的重要面向,需要进行体系化、系统化解读。是以,应当严格遵守法秩序统一性原理,在厘清本罪法益内核的前提下,以刑民规范聚合为视角廓清“个人信息”的基本范畴。
一、问题的提出
司法实践是实现个案正义的基本通道,通过研习审判案例不仅会助推刑法教义学的理论深化,更能检视和发现当前刑法理论存在的弊端和困境。下文将通过侵犯公民个人信息罪的典型案例,以行为对象“个人信息”为思考核心,窥探实践中出现的疑难问题。
案例一:被告人余钢涛在阿某集团工作期间,违反集团内部规定,利用具有自动爬取数据功能的编程软件,将存储在公司内部论坛网站“阿里内外”的账号信息配置到编程软件的脚本程序中,通过运行该脚本程序,秘密获取阿某集团员工的公民个人信息共计2 万余条。法院认定,被告人余钢涛窃取公民个人信息的行为构成侵犯公民个人信息罪。在该案中,被告人将处于企业管理下的员工个人信息认定为已公开的个人信息,并抗辩称其获取已公开的个人信息不属于窃取行为。
案例二:被告人王千喜从租房室友周磊处获取公民个人信息,包括姓名、电话号码、归属地、股民代码、股票名称、购买金额等具体内容。通过qq 等方式将所获取的25 670 条个人信息以文档形式出售给王某。法院认定,被告人王千喜构成侵犯公民个人信息罪,并“责令被告人王千喜在判决生效之日起十日内永久删除其出售的公民个人信息数据”。在本案的法院判决部分显然将个人信息与个人数据两个概念交替使用,并合并计算为行为人所获取的个人信息数量。
案例三:被告人肖晓涛帮助诈骗团伙成员黄刚购买已实名登记的、可以直接使用的手机号码卡,在明知同案人黄刚等人使用上述手机卡用于实施违法犯罪活动的情况下,仍将购买的实名手机卡交给同案人黄刚等人使用。法院认为,被告人肖晓涛明知他人利用公民个人信息实施犯罪,仍向他人提供公民个人信息,情节严重,侵犯公民的隐私权,其行为已构成侵犯公民个人信息罪。该案中,法院认定被告人构成侵犯公民个人信息罪的原因之一在于犯罪行为侵犯了公民的隐私权,即将本罪的法益定性为公民隐私权。
通过以上案例可总结,对本罪行为对象“个人信息”的认定存在以下三个方面的问题:其一,对处于法人主体保管下的个人信息归属认定不清,已公开的个人信息是否能够豁免后续使用行为的非法性?其二,个人信息与个人数据等相关概念关系界定不清,非法使用个人数据的行为是否也应当被本罪囊括?其三,对个人信息所体现的法益确证不清,隐私权是否可以作为本罪法益?基于以上问题,本文试从以下内容展开论述:首先,明晰个人信息、个人数据与隐私三者之间的关系,目的在于划清本罪行为对象的边界;其次,确证本罪的法益内涵,目的在于明确本罪法益所指,以引导本罪行为对象的认定;最后,在法秩序统一性原理的指引下,对本罪的行为对象“个人信息”范畴予以回应。
二、关系诸相:“个人信息”与相关概念的厘清
通说观点认为,行为对象是指“犯罪行为所作用的客观存在的具体人或者具体物”,作为一种客观存在,行为对象不以权利主体的意志为转移,并能为主体的意志所反映。按照类型不同,行为对象可准确区分为人和物两类。“个人信息”是“窃取或者以其他方法非法获取”等客观行为所作用的直接对象,且更贴近于物的概念,将“个人信息”认定为侵犯公民个人信息罪的行为对象不存疑问。从个罪的犯罪构成角度认识,个人信息属于客观构成要件要素,是本罪法教义学研究必须予以明确的概念,其内涵与外延直接影响着国家权力与公民权利的具体关系,更是定性侵犯公民个人信息行为性质的首要前提。个人信息属于刑民规范聚合下的典型概念,尽管刑法与民法在调整对象和规范目的上风格各异,但不可否认,二者在事实性质的调整范围上存在交叉重合,特别体现在民法中的权利客体与刑法中的行为对象具有一定程度的相似性。可以说,个人信息的界定既有规范层面的重要性,也具有事实层面的复杂性。本文便以此主张结合民法理论中的相关概念对“个人信息”加以说明,从而既能够保障规范层面上的周延性,也可以体现事实层面上的全面性。但是,如何在刑民交叉语境下寻找到适当的切入点以辅助明确“个人信息”,成为难点问题。纵观审判实务与理论研究,关涉“个人信息”的讨论,必然涉及其与个人数据、隐私两两之间的相互关系。从源头上看,三者内容都出自公民个人,与主体具有紧密相关性;但在具体范围、与主体权益的关联程度上差异性逐渐显现。因此,本文将以“个人信息”为逻辑起点,探讨其与个人数据、隐私的区别与联系。
(一) 内部视角:个人信息与隐私的关系
个人信息与隐私一脉相承,因附着其上的个人信息权和隐私权具有同源性,都是人格权的重要组成部分。为避免二者在外延认定上陷入两难,域外理论对二者关系做了不同处理,如美国法长期坚持使用“大隐私”概念,将个人信息作为隐私的子内容进行保护;与之相反,欧盟的相关指令和法律则是把隐私归属在个人信息项下,个人信息的范畴明显大于隐私。但随着信息传播速度的不断提升和侵犯风险的与日俱增,种种现实情况证实,分离“个人信息”与“隐私”是必然趋势,“个人信息”理应具有独立的法律地位和特定的保护方法。囿于二者在源头上具有不可分割性,在讨论隐私能否等同个人信息成为本罪行为对象这一问题时,需要在权利体系内部进行审视,这必然要求以《民法典》人格权编为承接。
与我国现行有效的民法规范相结合,立足于个人信息与隐私的定义,可以初步探明二者在明文规定上的差异。通过《民法典》第1032 条第二款可知,《民法典》对隐私含义的界定采取的是“1 3”模式,即将隐私具体化为私密空间、私密活动、私密信息三项具体事项,而“私人生活安宁”隐含着隐私“私密性”的特质。转而通过《民法典》第1 034条第二款可知,《民法典》对个人信息的规定采取了国内外较为通用的定义模式,即识别型定义,又兼采了不完全列举的方式。
考察《民法典》对个人信息与隐私的规定,选择何种定义模式无足轻重,需要关注的是二者在核心特征上的本质区别。隐私关注“私密性”,或称“秘密性”,该特征源自“领域”概念的发起,即将生活领域区分为私人领域与公共领域,而隐私归属于私人领域范畴。在“领域”概念下,隐私是指权利主体不愿公开披露、不想被他人知道的信息范围。相应地,个人信息关注“识别性”,“是指个人信息与信息主体存在某一客观确定的可能性,简单说就是通过这些信息能够把信息主体直接或间接‘认出来’”。不言而喻,个人信息的“识别性”与隐私的“私密性”两种核心特征存在质的不同:“识别性”突出内容与主体的对应性,而“私密性”强调内容本身的不可公开性,即前者侧重对权利主体的保护,而后者则是为了保护内容本身。目前,支配性的观点认为,“识别性”是个人信息与隐私的基本区别。的确,“识别性”可以作为二者的分水岭,但是这种特征性描述仍然过于抽象和单薄,关于二者的关系需要在其他方面进一步具体化。
本文认为,个人信息与隐私应当属于相互独立的一对范畴,只在部分内容上存在交叉,但这并不意味着二者是包含与被包含的关系。总体上,个人信息与隐私的关系具有本质的一致性、范围的交叉性、载体的差异性以及可控范围的区别性。第一,本质的一致性。二者均是统一于信息主体的意志,体现了主体所享有的一项基本宪法权利,其根本目的在于保障公民的人格尊严与自由。第二,范围的交叉性。隐私包括尚未被公开的“隐私化”个人信息,往往是指信息主体不愿公开且具有私密性的个人信息,即隐私中的“私密信息”。第三,载体的差异性。个人信息毫无例外必须要以信息载体为媒介,并通过载体进行流转传递,尽管个人信息流通不是其基本价值体现,但不可否认,信息载体与个人信息相伴而生。而隐私不同,除私密信息外,还包括私密空间和私密活动,后两者往往无法以信息载体的方式直接展现。第四,可控范围的区别性。隐私一旦公开即不可逆转,其“私密性”特征即被消解;而个人信息因具有客观的物质载体,切断物质载体的供应,可有效控制个人信息的传播范围和强度。所以,隐私与个人信息是不能交互使用的概念,即使二者在本质上都体现为一项基本公民权利,但是内容不能完全重合,又因为二者存在方式和传播力度的差异导致保护手段上也应当有所区分。
《民法典》的体例编排形式可佐证,人格权编第六章章名为“隐私权和个人信息保护”,说明私法领域也奉行个人信息与隐私区分制的保护模式。同时,《民法典》第1 034 条第三款也验证了个人信息和隐私的关系,即只有对象为“私密信息”时,二者的保护理念和保护方式才会出现重合。综上,结合民法理论中的相关内容,个人信息与隐私的关系得以厘清:首先,隐私无法代替个人信息成为侵犯公民个人信息罪的行为对象,刑法意义上的个人信息当然包括隐私中的部分私密信息,但是又不限于私密信息;其次,隐私中只有“私密信息”一类可以成为侵犯公民个人信息罪的保护对象,兼具“信息”的属性;最后,个人信息和隐私作为相异客体,各自所凸显的个人信息权和隐私权具有差异化的权利属性,无法将本罪法益个人信息权偷换成隐私权概念。
(二) 外部视角:个人信息与个人数据的关系
作为前提需要指明的是,个人信息与个人数据、隐私之间的关系不具有同质性。一方面,数据是伴随电子化、信息化潮流而出现的新兴概念,与个人信息之间不具有同源性;另一方面,只有当数据以个人为主体限定时,数据才能与权利主体建立联系,像“平台数据”“企业数据”等非个人数据,虽然冠以“数据”之名,但并不是本文的研究对象。正因如此,在鉴别个人信息与个人数据关系时,无法从权利体系内部视角切入。而“在司法实践中,‘信息’和‘数据’随意切换的混用现象已成为常态“,审判实务中时常出现个人信息与个人数据混合使用甚至并列使用的情形,如“李轩、郑思敏侵犯公民个人信息罪”一案中,判决书中出现“非法获取公民个人信息数据”的表述方式;“张某侵犯公民个人信息罪”一案中,法院认定被告人张某非法取得的个人交易信息包括“姓名、电话、地址、购物信息等数据”。从实质上讲,这种现象属于对本罪行为对象的认定偏差,将直接导致本不属于本罪惩罚范围的个人数据进入到本罪的规制范畴,不当扩大处罚范围或加重刑罚处罚后果,导致罪责刑失衡。“个人数据保护问题之所以能够在信息时代得到凸显,不仅是源自一种表象的权益侵害,还源自其所引起的更为深刻的社会变化即数字化与社会生活的紧密结合”。既然如此,研究二者关系时,应当以外部实践为入口,既能体现个人数据作为新型载体的特征,又能够疏解本罪行为对象的认定困境。
信息技术的迭代更新打破了原有的秩序格局,数字经济时代的到来又将数据推向法治轨道。相较而言,个人信息与隐私的定义在《民法典》中已有明确规定,但个人数据的概念仍然处于模糊的状态,这为界定本罪的行为对象增添了阻碍。尽管我国《数据安全法》第3 条第一款对“数据”含义进行了规定,但也仅指明一般意义上的广义数据概念,与本文所讨论的“个人数据”相比仍缺少信息主体上的限制。欧盟《一般数据保护条例》(gdpr)(以下简称《条例》)第4 条对个人数据的含义进行了详细界定,指明个人数据是任何已识别或可识别的自然人(数据主体)相关的信息,该定义已经成为我国研究个人数据的重要参照。本文也试图借用《条例》所规定的个人数据概念,分析其与个人信息的关系。整体上看,个人数据和个人信息同样都强调“识别性”,即对自然人主体的具体指向性,这也是划分“个人数据”和“非个人数据”的重要标准;但从外延上看,个人数据比个人信息范围更加广泛,后者只限于特定范围和固定类别,而前者包括了一切与信息主体有关系的内容。不得不说,个人数据与个人信息之间联系十分紧密,是“彼此依存且互为依托,可谓‘橘肉和橘皮’的关系”。但是,个人数据更关注形式,其存在根据在于促进个人相关信息的流通与传播,识别主体并非个人数据的本质属性;而个人信息则强调内容,突出信息与主体权利的连通性,通过个人信息识别信息主体是其根本使命。
尽管《民法典》未对个人数据的概念加以明确,但从第111 条和第127 条并列关系来看,我国私法规范对二者采取的是分别保护的立法模式。但也有学者认为,“没有个人信息的数据不是个人数据,而只是以二进制代码表现出来的比特形式”,因此将个人信息与个人数据看成一物两面,“信息是数据的内容,数据是信息的形式”。的确,在网络时代,个人数据蕴含着不可估量的经济价值以及附带产生被侵犯的巨大风险。但与个人信息相比,个人数据对公民利益的影响仍然较为有限,数据本身不具有任何目的性,也缺乏价值判断性,作为网络中的基础语言,仅可承担最基础的传输或者分享功能。在刑事规范语境下,“刑法之所以规定某些行为作用于特定的对象才构成犯罪,往往是因为只有作用于特定对象的行为才值得科处刑罚”,故并非任何客观载体都能成为侵犯公民个人信息罪的行为对象。从应然角度上理解,个人数据和个人信息关系应当是泾渭分明的,个人数据应当更接近于数据的中立性本质,对个人数据的规制应当从技术规则入手,而个人信息才会涉及法律问题。
本文厘清个人信息、个人数据与隐私三者关系的目的在于借助民法规范澄清侵犯公民个人信息罪所保护的客观对象究竟为何,借此明晰本罪的处罚边界。综上,个人数据、个人信息与隐私并非简单的上下级位阶关系。相对个人信息来说,个人数据属于一般性的规定,侵犯个人数据的行为未必侵犯公民个人信息,只有当个人数据能够识别特定自然人并且行为侵犯主体的相关法益时,才可能成为本罪的行为对象。其余情况下,个人数据更多承载着数据的基础功能,在公共领域发挥传播与交流的作用。相对隐私而言,个人信息属于一般性规定,此种关系专门针对隐私中的“私密信息”部分,通过“私密信息”而侵犯隐私权的行为往往属于侵犯公民个人信息的行为。在现实情况中,大多数侵犯公民个人信息的行为征表为对隐私的侵犯,在一定范围内,隐私权的保障是个人信息保护的主要目的和逻辑前提。以上划分尚且具有相对性,因为“三者之间不是非此即彼的关系,由于个体的差异性和主体的主观性,欲在实践层面对三者进行界分实属不易,理论上的区分更多地具有描述性意义”。但此种描述性的简单区分并非意味着割裂,叙明三者关系的根本目的在于建立有序的权利客体保护格局,针对不同客体实现法规范内差别化、精准化保护。对侵犯公民个人信息罪而言即是如此,通过三者关系的梳理,确切划定本罪的惩治范围,使刑法真正发挥法益保障的机能。
三、法益实像:“个人信息”权利属性的确证
作为行为对象的具体人或物是公民利益在不同领域的体现,而公民利益在刑法上的映射即为法益,表明行为对象和法益存在必然联系。本文认为,行为对象除行为定型的作用外,与法益之间是形式与实质的关系。在侵犯公民个人信息罪中,实行行为通过作用于“个人信息”这一行为对象,从而达到侵害本罪法益的目的。故本罪的行为对象“个人信息”不仅是本罪法益外化的体现,也是实行行为侵害法益的唯一通道。司法实践中对行为对象认定混乱,根源在于未能对本罪法益进行清晰回应。因此,结合民法规范在民事权利体系内外明确个人信息、个人数据与隐私关系的基础上,仍需要回归到刑法规范当中,探究本罪的立法本意与法益内核,以指导划定“个人信息”范围。
(一) 个人信息权的宪法基础
当前,刑法理论界围绕本罪法益聚讼不已,按照法益主体范围不同,本罪法益可以划分为集体法益和个人法益两种阵营,其在各自内部又形成丰富的理论谱系。以集体法益为立场,主要形成三种不同的学说观点:一是“秩序法益说”,该观点认为针对“个人信息”所实施的犯罪行为并非是对人身、财产等某项具体法益的侵犯,而是在整体上对“个人信息管理秩序”的危害;二是“公共安全信息说”,此立场关注附加在个人信息之上的公共属性(社会属性),认为本罪的行为对象是指“相当数量被害人个人信息”,即公共安全在个人信息领域的集中体现;三是“社会利益说”,该种观点认为“个人信息”实质上是包含“一定的安全利益、秩序利益乃至法律利益等”在内的不同种社会利益的综合体。以个人法益为立场也形成了诸多法益见解,在保护内核上却有所不同。如以“人格尊严和个人自由”或“具体人格权”为核心,分别形成了“一般人格权说”和“具体人格权说”,也有学者认为应当在“具体人格权说”的基础上细化,便形成“隐私权说”和“信息自决权说”。在集体法益和个人法益两种立场的基础上,又出现了“综合说”,该观点认为“‘公民个人信息’是‘个人法益’且具有‘超个人法益’属性”。
尽管不同立场都不乏支持者和批判者,观点争鸣也确实有助于学术进步和观点明晰,但本文无意展开立场争锋,更无需用他者的弱项助长自我的优势。本文认为,“一国的法律体系应当具备融贯性,现代宪法构成法律体系的规范基础和价值基础,各部门法的规范与学理更有向宪法调整的必要”。宪法作为我国的根本法,具有最高的法律效力,部门法的制定需要以宪法为最高准则,刑法上的法益确证也不例外。“任何权利都无法超越宪法文本,离开宪法文本解释基本权利,都将是水中月、镜中花”,能够为刑事立法者提供法益识别标准的法律,当属宪法。“宪法的社会功能本质上就是强调宪法对全体人民利益的照拂”,刑法所保护的法益都应当在宪法中找到存在根据,故从根本上,我国刑法法益机制的形成需要以宪法为价值秩序的指引,而宪法价值秩序的指引作用不仅为立法者的能动价值评判提供了可信的准绳和发挥的空间,也在法益形成过程中为立法者提供了必须遵循的价值判断准则。因此,刑法法益应当是指“根据宪法的基本原则,由法所保护的、客观上可能受到侵害或者威胁的人的生活利益”,只有刑法认为值得保护的生活利益才能称之为法益,而宪法为法益的确认提供了本源性基础,也决定了刑法法益的正当性根基。因此,侵犯公民个人信息罪的法益需要从宪法中追根溯源,才具有其存在的正当性。学界对本罪法益争锋不断,缘于尚未选定适当的法理根据,如果能够通过宪法指引来明确本罪法益,无疑是最具有确定性和说服力的。
关于本罪的个人信息权至少体现在以下三个宪法条文当中:其一,我国现行宪法第33 条第三款规定的“国家尊重和保障人权”,即“人权条款”。本条款自2004 年修改宪法新增后,一直受到学界的广泛褒扬。不仅在于人权条款顺应了保障人权的国际趋势,更是因为该条款为宪法未明确列举的权利提供了补充和存在的空间。其二,我国现行宪法第38条规定的“中华人民共和国公民的人格尊严不受侵犯”。本条所提及的人格尊严“不是一项具体的基本权利,它与其他基本权利的关系也不完全类同于平等权与其他基本权利之间的关系”,“而是将其确定为一种统帅基本权利的价值核心”。申言之,人格尊严可以作为是我国公民人格权的总括性规定,即包含了生命权、身体权、健康权、姓名权以及个人信息权在内的诸项人格权,本条规定可以作为证成个人信息权的又一来源。其三,我国现行宪法第40 条规定“中华人民共和国公民的通信自由和通信秘密受法律的保护”,本条所提及的“通信自由和通信秘密”即是公民个人信息的具体表现。宪法条文的明确规定为本罪法益的存在提供了正当性基础,更为重要的是,通过宪法条文的指引,本罪的法益内涵得以清晰化、具体化。
(二) 个人信息自决权的法益内涵
众所周知,刑法法益是个人权利的进阶版本,当然需要以实现公民自由发展为存在前提,但如果刑法法益不但无法保证公民自由,反而成为个人发展的枷锁,那便失去了存在意义。由此,刑法法益从根本上应当具有实现个人自由与发展的可能性,便以此形成“自决权”概念。又依据宪法,个人信息作为基本人权的客体,依附其上的权利是关于个人基本权利与自由的综合体。以“基本人权客体说”为逻辑起点,在侵犯公民个人信息罪中,个人信息即为公民人格尊严的表征,窃取个人信息等实行行为直接体现为对公民人格利益的侵犯。立法者曾指出,本罪的法益是“公民对个人信息享有的权利”,而信息主体在个人信息法益上的自由是“享有权利”逻辑证成的必然结果,而这种自由应当体现为信息主体对个人信息的自主处分,这也是个人信息自决权所主张的核心观点。故本文认为侵犯公民个人信息罪的法益应当是指个人信息自决权,“以信息自决权作为该罪法益可突出个人信息权在理论源头上与人的尊严和自由的密切相关性”,这也是宪法指导下的必然结论。
个人信息自决权最早由德国学者施泰姆勒提出,所谓自决权是指“人们有权自由决定周遭的世界在何种程度上获知自己的所思所想以及行动”。该项权利实际上包括了选择、控制、更改和删除等诸多项权利在内的权利束,核心为“自决”,并集中体现为自我选择权和自我决定权两项子权利。个人信息自决权是信息主体基于合法性要求,坚持意思自治,自我决定是否将个人信息予以公开以及采取何种具体方式公开个人信息,包括何时、何地、对何人并以何种方式使用个人信息在内的权利集合体。个人信息自决权的存在根据是为了保障信息主体对信息的自我决定,实质上是一种行动上的自由,侧重表现出主动性、积极性的权利特质,其是公民个人信息权在宪法上的体现。质言之,个人信息自决权应是我国宪法所规定的基本权利,也是本罪应当保护法益的本质所在。只有以个人信息自决权为本罪法益,才能够践行宪法对部门法的指导作用,体现对公民基本权利和自由的保障,印证刑法具有保障公民自由的机能。以个人信息自决权为本罪法益可以集中且有效地应对审判事务中的认定难题:
一方面,个人信息自决权能够较好地回应学界关于本罪法益是个人法益还是集体法益的争论,并能够辅助明确“个人信息”的属性。个人法益强调对具体个人利益的保护,如每个人与生俱来的生命、健康、自由等,刑法仅是对其进行肯定和表达;而集体法益是以国家、社会整体的权利与利益为保护内容,如公共安全、市场经济秩序、社会管理秩序等,集体法益为理性选择的结果,是在刑法持有一定目的下创设产生。集体法益与个人法益作为法益的子类型,本身属于相互独立的法益构造,无需费力消解二者差异。本文坚持法益二元论立场,认为集体法益与个人法益间存在非此即彼且相互独立的关系,同一罪名的法益不可能既是个人法益又是集体法益,个人法益与集体法益之间无法相互转换或还原。按照法益二元论的思考路径,侵犯公民个人信息罪的法益只能是个人法益或集体法益二者其一。以宪法为前提的法益确证思路也表明,本罪应属于保护纯粹的个人法益类犯罪。按照我国《刑法》条文的章节体系,本罪置于“侵犯公民人身权利、民主权利罪”一章中,立法本意即是将本罪法益定位为个人法益。虽然在适用本罪时需要考虑个人信息流动等社会层面利益,实质上是在“肯定公民个人信息个人权属特性的基础之上,对相关衍生利益的再平衡”。由此,通过对本罪为个人法益类型犯罪的确认,作为行为对象的“个人信息”需要彰显个人权利的法律属性得以证成。
另一方面,个人信息自决权能够帮助处理企业管理下个人信息的权属问题,辨明主体与信息间的权属关系。伴随双层社会结构的出现,信息主体与信息间关系变得松散,这时信息权属势必受到影响。在传统的现实社会中,主体对信息享有所有权并事实性占有个人信息,二者间形成紧密的附属关系,尽管信息呈现为一种“无体物”状态,但是信息主体仍然可以依靠媒介自由选择和决定如何利用个人信息。而在网络社会不同,个人信息一旦流入网络空间,便游离于信息主体之外,甚至超出主体的控制范围,极易变成社会的公共资源,此时个人信息的归属面临挑战,企业是否能够依据对个人信息的物理性占有而主张所有权?本文认为,即使在网络社会,个人信息的所有者仍然是自然人而非企业,其原因在于:一方面,个人信息代表了信息主体的基本人格权,即信息本身承载了公民基本权利,而企业自然无法享有人格权性质的基本权利,具有主体的不适格性;另一方面,依据《个人信息保护法》第五章“个人信息处理者的义务”规定,企业针对所占有的个人信息负有相应的保障义务,同时本法第14 条还赋予信息主体以知情同意权对抗此种事实性占有。因此,企业对所占有的个人信息仅仅享有的是数据的专有权而非个人信息的所有权。是以,即使个人信息与信息主体的占有状态由紧密变得松散,仍然无法改变个人信息的所有权属性。
四、路径提倡:法秩序统一性下“个人信息”的认定
通常情况下,“个人信息”经常被认定为大量公民个人信息的集合体,是包含公民姓名、身份证件号码、通讯方式、行踪轨迹在内的各种信息汇集,已突破传统理论中对“个人信息”静态范围的界定。伴随个人信息种类的不断扩充,刑法对个人信息的保护也呈现出扩张化的趋势,这可能导致侵犯公民个人信息罪处罚范围的不当扩大,以致于侵蚀公民的正当权益。因此,本文认为应当对“个人信息”加以正当限制(限制并非限缩),以不得造成法体系的内部矛盾为必要,以尊重法秩序统一性为前提。对法秩序统一性的理解,学界已经形成通识观点,认为“法秩序统一,是指‘整体法秩序’内部是统一的,即许多部门法背后所展示出来的整体法秩序不存在内在矛盾”。法秩序统一性作为法学界的普遍真理被广泛认同,也是协调部门法差异性的最终追求。该理念较早提出者是恩吉施教授,认为法秩序统一性的要求体现在消除法律秩序内部的矛盾,并将这种矛盾区分为不同类型:制定法技术的矛盾、规范矛盾、价值矛盾、目的论矛盾、原则矛盾五类。这五类矛盾反映到法秩序统一性要求的三个层次,分别是逻辑的统一性、体系的统一性和目的的统一性]。下文,以侵犯公民个人信息罪为依归,遵循法秩序统一性要求,从形式与实质两个侧面认定“个人信息”。
(一) 形式侧面:刑民交叉下的共同概念“个人信息”
通过前文分析,在民法视域下,个人信息、个人数据与隐私的关系得到初步厘清。本文认为,三者属于相互独立的概念构造,仅在事实层面存在部分交叉,同时各自所承载的权利与功能各不相同,这也导致对三者的保护理念和保护手段存在差异性。刑法意义上的“个人信息”应当如何界定,民法所采取的区分模式以及对个人信息范围的认定能否适用到刑法当中,这涉及同一概念在刑民不同规范中的认定问题。按照体系解释,“法律条文只有当它处于与它有关的所有条文的整体之中才显出其真正的含义”,对法律概念的解读也应当如此,而体系解释的要求不仅应当体现在具体某个独立性的法规范内部,也应当体现在以部门法为单元的整个法律体系之中。刑法与民法作为整个法律体系中极为重要的部门规范,共同解释“个人信息”有其合理性和必要性。
体系解释的法理基础即为法秩序统一性原理,如前文所述,法秩序统一性可分为三个层次,其中前两个层次分别为逻辑的统一性和体系的统一性。逻辑的统一性是指法律体系内部具体规范之间的沟通协调、逻辑顺畅;而体系的统一性除关注法律规范的具体应用外,又将目光转移到整个法律体系当中,要求得出的结论不可与整体法律体系相抵牾。二者在关注重点上具有一定的相似性,都是以法律规范“显性”统一为重点,可将二者合称为“形式统一性”。此种“形式统一性”是实现法秩序统一性的必要条件,因相同概念在不同语境下具有不同含义,若忽视“形式统一性”较为随意地定义法律概念,容易导致判断结论出现诸多结构性矛盾,法律规范的作用与功能将失去应有价值。法秩序必须被思考成一个整体、一个价值判断,以实现尽可能一致的体系和意义构造,所以“个人信息”在形式上、表面上应当维持相对一致性,采取统一的解释路径。
按照“形式统一性”要求,“个人信息”应当同时接受刑法与民法规范的双重调整,《民法典》作为一部“人的权利法”,其中的相关规定具有不可或缺的价值意义。“刑法和民法的关系不是对立、互斥的关系,而是补充、承接的关系”,民法作为刑法的前置法,刑法需要充分考量民法理论的规范立场和逻辑路径,如果刑法单独设立“个人信息”概念,势必破坏法秩序的统一性。“个人信息”的判定和识别,需要以《民法典》为依托:一方面,在关系上,刑法中“个人信息”范围应当依照《民法典》中的相应规定,严格区分个人信息、个人数据与隐私间的关系,明确各自不同的权利征表,实施区分化的保护措施,采取狭义的个人信息概念。另一方面,在内涵上,“个人信息”的静态维度已基本形成“可识别性”的通说观点,但不可忽视,“个人信息”在动态维度中的场景性。因此,“个人信息”的具体表现样态可依照《民法典》第1034 条的规定,以“识别性”为核心本质,具体包括“自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”,分为静态与动态两种类型。“个人信息”范围和具体样态的选择和舍弃必须要以法秩序统一性作为合理性认定的基础,在“个人信息”具体内容尚不清晰有待明确的情况下,需要将其放在整个法律规范体系当中,体系性思考并加以阐明、适用。
(二) 实质侧面:刑法法益指导下的“个人信息”
与“形式统一性”相区别,法秩序统一性的第三层次即目的的统一性,强调不同法律规范之间所保护利益在本质上的统一。此种“实质统一性”并不苛求规范目的的完全一致,因不同规范所调整的社会关系与所追求的规制目标不同,也无法强求部门法之间“严丝合缝”。刑法恪守罪刑法定原则,以惩罚犯罪与保障人权为规范目的;而民法以意思自治为基本原则,充分保障民事主体的意思自由,以促进经济发展和维护交易秩序为必要。二者具有不同的规范目的与价值立场,当以解释刑法意义上的“个人信息”为目标时,必须要以刑法规范目的为核心,充分反映侵犯公民个人信息罪的法益本质。
对“个人信息”的认定,应当立足于合目的性原则,这也正是对法秩序统一性终极目的的回应。对“个人信息”的认定应当符合本罪的法益特征,不是实行行为侵犯的任何个人信息载体都能入罪。这种相对于民法的独立性判断,同样被法秩序统一性所允许,故有学者称其是在“统一性和相对性两端自由滑动”。刑法作为一部法益法,只有彰显法益的物质表现形式才能称为刑法意义上的行为对象,行为对象应当体现出法益的核心内涵。本文分析认为,侵犯公民个人信息罪应当以个人信息自决权为法益,而个人信息自决权以自我选择权和自我决定权为主要内容,因此“个人信息”需要以选择和决定功能的实现为要求,以体现信息主体的意志为目的,而此种完全的行动自由必须建立在个人信息与信息主体的所有权关系上。所有权作为完整性、排他性的对世权利,只有将个人信息处理权限完全赋予信息主体,方能实现对个人信息的自决。
综上,以法秩序统一性原理为根据,从形式和实质两个不同侧面对“个人信息”的范围与权属进行明确。值得注意的是,法秩序统一性并非以逻辑与体系上的表面统一为最终目的,而是以法益保护根本目标的统一为实质根据,形式统一性与实质统一性具有位阶上的高低关系。因此,“个人信息”需要满足刑民规范统一的形式侧面要求,更应当坚守侵犯公民个人信息罪的法益内核。可以说,刑法上“个人信息”的概念需要在满足刑民“形式统一性”的基础上,以侵犯公民个人信息罪的法益为指导作出进一步限缩。基于以上内容,结合“个人信息”的认定结论,可以较好地回应本文开头的三个审判案例。首先,处于企业管理之下的个人信息所有权仍然归属于信息主体,自然人对自身的个人信息享有充分的处分权限,行为人对此类个人信息的使用需要以信息主体知情同意为前提,未经授权的使用行为属于侵犯公民个人信息罪的惩治范围。其次,个人信息、个人数据和隐私在概念与范围上存在交叉,但就侵犯公民个人信息罪而言,“个人信息”需要采用狭义的认定方法,三者作为不同对象需要独立思考,在使用时不能相互替代。最后,《民法典》对个人信息权和隐私权实行分立规定,作为个人信息权具体化的个人信息自决权与隐私权属于不同的权利范畴。因此,在肯定侵犯公民个人信息罪的法益为个人信息自决权的前提下,不宜以侵犯隐私权为本罪的入罪根据。
五、 结语
数据时代已然来临,个人信息成为个人自由与社会发展的重要面向,是大数据时代的核心资源。伴随个人信息的价值和能量被不断挖掘,个人信息被不法利用的风险逐渐升高,行为人利用所获取的个人信息对被害人进行精准画像,这为其他犯罪行为的实施提供了极大便利。故在关注个人信息流动性的同时,更不能忽视其作为基本人权的本质。有鉴于此,根据法秩序统一性原理,我们很有必要在刑民聚合的视角下界定“个人信息”的内涵与边界,明确其与个人数据、隐私间的关系。需要注意的是,本文借助民法的相关规定以明晰刑法意义上的个人信息概念,以便明确侵犯公民个人信息罪行为对象的内涵与外延,但这并非将个人信息概念完全统一适用于刑法与民法的不同法律之中,部门法的差异性决定了法律概念的差异性。基于以上分析,本文认为,侵犯公民个人信息罪中的“个人信息”既需要体现部门法规范之间的协调性,也无法脱离本罪的法益内核。因此,本文对行为对象“个人信息”的认定结论是:应当采取狭义范围上个人信息的认定路径,将其区分于个人数据和隐私,其上所承载的权利属于个人法益并表现为个人信息自决权。
