摘 要:侵犯公民个人信息罪的法益不是私法上的个人信息自决权。个人信息不等于个人私有信息,个人对其信息并不具有完全的排他性支配权。侵犯公民个人信息罪的法益观应该从私法角度转向公法角度,刑法保护个人信息的目的不是确权,而是规避风险。公法上的个人信息受保护权既不是私法上的个人信息自决权,也不是超个人的信息公共安全。个人信息按照其私密性高低,分别属于三个不同领域,即最核心层的隐私领域、中间层的私人领域、最外层的社会领域。个人信息所属的不同领域直接影响到本罪构成要件符合性的判断。个人同意并不是本罪违法性判断的决定性因素,获得个人同意的行为当然不应该构成犯罪,但未获得个人同意的行为也可能不构成犯罪。
本文源自欧阳本祺, 比较法研究 发表时间:2021-06-01
关键词:侵犯公民个人信息罪;个人信息自决权;个人信息受保护权;领域理论;同意
我国学界对于侵犯公民个人信息罪的法益存在激烈的争论,〔1〕《中华人民共和国民法典》(以下简称《民法典》)的颁行和个人信息保护法立法进程的推进进一步深化了刑法学界关于本罪法益的争论。大体来说,围绕侵犯公民个人信息罪存在个人法益观与超个人法益观的争论。其中,个人法益观认为本罪的保护法益是公民个人信息权,超个人法益观认为本罪的保护法益是公共信息安全或者其他集体法益。在个人法益观内部,又存在私法法益观与公法法益观之争。私法法益观认为个人信息权的内涵是个人信息自决权,强调个人信息权的排他性。公法法益观在“公民权利—国家义务”的关系中理解个人信息,认为个人信息权的内涵是个人信息受保护权。侵犯公民个人信息罪的法益观之争,直接影响到本罪构成要件符合性和违法性的判断,进而决定了本罪犯罪圈的大小。而本罪犯罪圈的大小,又进一步制约着个人信息或个人数据控制与共享之间此消彼长的态势,这直接关系到数据产业的经济活力。因此,有必要深入研究,正确界定本罪的保护法益,合理划定其犯罪圈的大小。
一、侵犯公民个人信息罪私法法益观的批判
我国刑法学界的主流观点认为,侵犯公民个人信息罪保护的法益是个人信息权。〔2〕具体来说,是个人信息权中的个人信息自决权,其核心内容是个人有权自行决定其个人信息是否公开、对谁公开、公开到何种程度。〔3〕我国民法学者对个人信息(自决)权作了进一步的解释,认为“个人信息权主要是指对个人信息的支配和自主决定权”,〔4〕其内涵是“自然人对于自己的个人信息,自我占有、自我控制、自我支配,他人不得非法干涉,不得非法侵害。因而个人信息权是排他的自我决定权,是绝对权”。〔5〕当然,也有民法学者认为,个人信息上凝结的不是权利,而是利益。〔6〕但是,在扩大权利保护范围,将某些尚未被权利化的利益纳入权利保护范围的趋势下,“没有必要严格区分权利和利益”。〔7〕总的来说,把侵犯公民个人信息罪的法益界定为私法上的个人信息自决权,对于深化本罪的研究具有一定的意义,但是这种私法法益观存在很大的迷惑性和缺陷。
(一)私法法益观关于行为对象的理解值得商榷
侵犯公民个人信息罪的对象是“个人信息”,根据我国个人信息保护法(草案)、《中华人民共和国网络安全法》(以下简称《网络安全法》)第 76 条以及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《侵犯公民个人信息罪解释》)第 1 条的规定,个人信息的关键特征在于其“识别性”。识别的客体包括两类:一是识别个体的身份,用来表示“你是谁”;二是识别个体的特征,用来表示“你是个什么样的人”。识别的标准也包括两类:一是直接识别,例如单独根据身份证号码、手机号码一般就能识别具体的个人;二是间接识别,例如姓名需要和性别、单位等信息结合起来才能识别特定个人。那么,“识别性”是否意味着个人信息属于个人私有信息呢?私法法益观对此持肯定态度。私法法益观把“个人信息”理解为“个人所有或者私有的信息”,并且认为全部个人信息都具有同等重要的意义。但是,这种私法法益观值得商榷。
1.个人信息不等于个人私有信息
围绕个人信息的刑法保护,存在很多争议问题,其中前提性的问题是个人信息究竟是归属个人私有,还是社会公有。〔8〕对此,理论与实务界存在四种观点:个人私有说、平台私有说、个人和平台共有说、社会公有说。〔9〕显然,私法法益观采取的是个人私有说,认为识别性特征使得个人对其信息拥有排他性的支配权和自决权。微软总裁兼首席法务官史密斯的观点是个人私有说的典型代表。他认为,“人们存储在我们数据中心的信息并不属于我们。用户才是他们的电子邮件、照片、文档和即时消息的主人。我们只是他人之物的管理者,而不是这些数据的所有者”。〔10〕美国学者莱斯格教授甚至提倡“通过财产权来保护个人数据”。〔11〕
但是,认为个人信息属于个人私有的观点值得商榷。首先,从信息生产的角度来看,很多个人信息是在个人的社会交往活动中产生的。尤其是在网络时代,各种智能设备生产和记录了大量个人信息,如行踪轨迹、通信记录、支付信息、上网痕迹等。这些个人信息是个人与智能设备互动的产物,是“关于个人的信息”,但不是“个人私有的信息”。其次,从信息控制的角度来看,除了隐私、秘密信息等可以被个人控制外,大量信息是个人无法控制的。相反,网络平台控制了海量的个人信息,个人甚至对这些信息一无所知。个人无法像控制个人财产那样控制个人信息。再次,从信息政策的角度来看,强调个人对其信息的私有,无异于制造信息孤岛、禁锢思想。在人类历史上,信息共享是原则,信息控制是例外。为了协调信息主体的个人利益与社会公共利益之间的平衡,人类设计了很多法律制度。例如,著作权制度、专利权制度在赋予权利主体某种专有权的同时,刻意将创新成果的信息予以公开。〔12〕
2.不同领域的个人信息并非具有同等重要性
私法法益观所采取的个人信息自决权理论来源于德国 1983 年人口普查案的宪法法院判决,在这个案件中,德国联邦宪法法院改变了 1969 年人口普查案的立场。在 1969 年人口普查案中,法院区别了私密领域和私人领域。私密领域是个人生活最内部的核心领域,直接涉及到个人尊严,个人对其私密领域的信息享有自决权。而在私密领域外围的私人领域,个人对其信息没有自决权,有义务配合国家进行调查统计。这种区分私密领域和私人领域,个人对其私密领域享有自决权,对私人领域负有社会义务的理论,被称为“领域理论” (Sphärentheorie)。〔13〕但是,在 1983 年人口普查案中,宪法法院放弃了之前的领域理论,认为在自动化数据处理时代,不存在不重要的个人信息,全部个人信息都具有“识别性”,都可以被用于“人格画像”,因此不应该区分私密领域信息和非私密领域信息,个人对其全部信息都具有自决权。〔14〕
但是,认为全部个人信息都具有同等重要意义,个人对其全部个人信息都具有自决权的观点,并不符合我国民法和刑法的相关规定。首先,我国民法典明确区分了个人私密信息与非私密信息。《民法典》第 1034 条第 2 款明确规定,“个人信息中的私密信息,适用有关隐私权的规定”。而隐私权属于绝对权和支配权,具有对世效力。〔15〕可见,私密信息与非私密信息在民法上具有不同的重要性。即使认为个人对其私密信息具有排他性自决权,也不能认为个人对其非私密信息也具有排他性自决权。其次,个人对私密信息与非私密信息拥有不同的同意权。根据《民法典》第 1033 条和第 1035 条的规定,处理他人私密个人信息,需要“权利人明确同意”,而处理他人非私密信息,只需要“征得该自然人或者其监护人同意”。一方面,私密信息只有权利人本人才具有同意权,监护人也无权处理被监护人的私密信息。另一方面,“明确同意”与“同意”的含义和表达形式也不同。〔16〕再次,《侵犯公民个人信息罪解释》对私密信息与非私密信息进行区别对待,分别以 50 条、500 条、5000 条作为构成犯罪的标准。
(二)私法法益观关于信息权权能的理解值得商榷
持私法法益观的学者普遍重视个人对其信息的自决权,并将信息自决权理解为一种排他权和支配权。例如,有的学者指出,信息自决权是“一种排他的、积极的、能动的控制权和利用权”;〔17〕有的学者认为,“个人信息权是排他的自我支配权,是绝对权”;〔18〕或者承认“知情同意是个人信息自决权的核心”,〔19〕信息自决权“核心内容是同意权”。〔20〕但是,认为信息自决权是对个人信息排他性的支配权和同意权的观点值得商榷。
1.信息自决权并非排他性的绝对权
持私法法益观的学者认为,信息自决权是抽象自我决定权在个人信息领域方面的具体体现。〔21〕就像以性行为自主权作为强奸罪的法益一样,以信息自决权作为侵犯公民个人信息罪的法益,正是抽象自我决定权在刑法个罪中的贯彻和落实。〔22〕但是,无论是抽象的自我决定权,还是具体的性行为自主权,抑或信息自决权都不可能是完全的排他性绝对权。
作为抽象人格权的自我决定权是权利人针对自己的生命、身体、健康等具体人格要素进行自我决定和塑造的权利,以保护权利人的意志自由为目的。〔23〕但是,自我决定权并非绝对的排他权,而是要受到政府权力的制约,由此形成了自我决定权与政府规制权之间的冲突,各个部门法理论都致力于探索如何解决这一冲突。〔24〕具体到刑法而言,这一冲突体现为自我决定权与刑法家长主义之间的冲突和协调。〔25〕例如,自杀参与行为是否构成犯罪的问题,涉及的问题就是如何理解生命自我决定权的效力范围。如果认为生命的自我决定权具有绝对性,就会认为自杀不具有违法性,自杀参与行为不构成犯罪;〔26〕如果认为生命的自我决定权受到限制,就会认为自杀参与行为构成犯罪。〔27〕各国立法的态度不同,德国刑法尊重生命的自我决定权,不处罚自杀参与行为;日本刑法限制生命的自我决定权,明确规定了参与自杀罪;我国刑法以故意杀人罪处罚自杀参与行为,体现了对生命自决权的限制态度。再如,性行为自主权在我国刑法中也不具有绝对性。得到妇女同意的性行为之所以不构成强奸罪,是因为两人私下的性行为属于隐私权的范围,隐私权属于绝对权,既对抗他人的干涉,也对抗国家的干涉。但是,三人以上聚众淫乱的行为则构成犯罪,此时,妇女的性行为自主权就要受到国家权力的限制。之所以刑法会采取这种区别对待的立场,是因为性行为自主权具有相对性,不同领域自主权受到的限制不同。对于个人核心领域中的隐私行为,例如婚内性行为、同性恋行为,自我决定权应受到国家权力的尊重。对于个人外围领域的行为,例如聚众淫乱,自我决定权完全被国家权力否定。对于个人中间领域的行为,例如卖淫嫖娼,自我决定权受到有限的承认,刑法不处罚卖淫嫖娼行为本身,但要处罚卖淫嫖娼的组织行为和容留行为。〔28〕
2.信息同意权难以实现
持私法法益观的学者认为,同意权是信息自决权的核心内容,未经权利人同意授权,任何人不得收集、处理、使用其个人信息。但是,这种信息同意权在实践中往往难以落实,而不得不沦为“纸面上的权利”。具体来说,在权利的开端,同意权被虚化为不必阅读具体内容的点击操作;在权利的末尾,用户的损害赔偿难以举证;在权利的维护上,站在维权第一线的都是监管结构,而不是权利人。〔29〕调查显示,虽然 92%受访者重视自己的个人信息安全,但其中大多数人并不阅读网站或者 APP 中的服务条款(“TOS”),因为他们觉得这些服务条款冗长而无效。〔30〕同时,阅读服务条款需要花费相当多的时间。如果一个人把他所访问的网站上的隐私政策都阅读一遍,那一年得花费 244 个小时。而对一个国家来说,这些时间成本累计起来非常大,高达数千亿美元。〔31〕
综上所述,私法法益观认为个人信息是个人私有的信息,个人对其全部信息拥有私法上的信息自决权,信息自决权的核心内容是同意权。但是,这种私法法益观具有很大的缺陷和不足。个人信息的“识别性”并不意味着个人信息属于该个体所有,“识别性”主要是在规避风险源的意义上使用的,是为了防止通过对相关信息的挖掘而将个人识别出来。同时,“同意”也并非意味着个人对其信息拥有排他性的支配权,“同意”也是在风险规避的意义上使用的,主要是让个人来评估自身是否愿意承担信息处理的相应风险。〔32〕因此,侵犯公民个人信息罪的法益研究应该从私法角度转向公法角度。
二、侵犯公民个人信息罪公法法益观的提倡
既然侵犯公民个人信息罪的法益观应该从私法角度转向公法角度,那么,应该如何理解和把握公法上的个人信息权呢?
(一)公法信息权与私法信息权的区别
虽然私法上个人信息权与公法上个人信息权都是个人的信息权,但两者在规范目的、权利特征、法律依据等方面都存在很大差异。概言之,公法上的个人信息权的涵义是“个人信息受保护权”,而不是排他性的“个人信息自决权”。即使采取“个人信息自决权”的概念,也应该回归其原本的公法属性。
1.规范目的不同
私法的目的在于确权,公法的目的在于规制风险。如前所述,私法法益观试图把个人信息权理解为一种类似于物权的私权,其目的是排斥他人对个人信息的侵犯,权利的指向是作为平等民事主体的其他自然人。但是,权利主体对其个人信息并不享有如同物权那样的排他支配权,也无权要求他人如同尊重物权那样尊重其个人信息。〔33〕个人信息不仅具有个人性,也具有社会性,如果把个人信息权设计为支配性的私权,实际上这种支配已不再是对自己信息的支配,而是对他人行为的支配。〔34〕公法上个人信息权的目的不在于通过确权来划定他人行为的边界,而是通过规制数据处理者的行为来规避对个人信息的侵犯风险。在网络时代,侵犯个人信息的风险主要不是来自其他自然人,而是来自政府和数据平台。政府和数据平台拥有强大的“数据权力”(data power)。〔35〕根据权利对抗权力的思路,公法上的个人信息权主要是用来对抗政府和数据平台的数据权力,“要防范和化解的主要是计算机与网络技术带来的风险”。〔36〕例如,在数据堂公司侵犯公民个人信息一案中,涉案的数据堂公司在 8 个月内日均传输公民个人信息 1 亿 3 千万余条,累计传输数据压缩后高达 4000GB 左右。〔37〕有关责任人分别被追究侵犯公民个人信息罪的刑事责任。〔38〕
2.权利特征不同
首先,私法上的个人信息权具有“先在性”,即私法上的个人信息权先于法律规定而存在,不受法律规定与否、承认与否的影响。公法上的个人信息权具有“法定性”,即公法上的个人信息权必须由法律明文设立。〔39〕公法设立个人信息权的方式主要有两种:一是正面规定个人所拥有的权能;二是反面规定政府和数据平台等数据权力(data power)所应负的义务。例如,全国人大常委会 2021 年 4 月公布的《中华人民共和国个人信息保护法(草案二次审议稿)》第四章规定了“个人在个人信息处理活动中的权利”,第五章规定了“个人信息处理者的义务”。这两章分别从正反两个方面设立了公法上的个人信息权。再如,《网络安全法》第 41 条、第 42 条从反面规定了网络运营者保护个人信息的义务,第 43 条从正面规定了个人对其信息拥有的删除权和更正权。另外,我国刑法第 253 条之一中“违反国家有关规定”的表述实际上也证明了刑法采取的是公法法益观,而不是私法法益观。《刑法修正案(九)》(草案一次审议稿)把侵犯公民个人信息罪的前提条件设置为“未经公民本人同意”。很显然,《刑法修正案(九)》(草案一次审议稿)采用的是私法法益观,是否经过公民本人同意是决定行为是否构成犯罪的关键。但是,正式通过的《刑法修正案(九)》把“未经公民本人同意”修改为“违反国家有关规定”。“违反国家有关规定”的表述,表明只要行为人没有违反国家有关规定,即使未经公民同意,也可能不构成犯罪。这显然是一种公法法益观。进一步来说,如果认为侵犯公民个人信息罪保护的是私法上的信息权,立法上就不可能规定 “违反国家有关规定”。正如我国刑法关于侵犯私法法益的强奸罪、侮辱罪、诽谤罪、侵犯通信自由罪的规定中,没有也不可能有“违反国家有关规定”的要素。例如,奸淫行为是否构成强奸罪,关键在于是否有妇女的同意,而不可能考虑是否违反国家相关规定。
其次,权利的行使方式不同。私法上的个人信息权以对信息的占有和控制为权利行使的前提,一旦失去对信息的占有和控制,权利就难以实现。而且,私法上的个人信息权是一种消极的事后救济权,权利针对的主要是其他自然人。因此,对私法上个人信息权的侵犯以造成实际损害为要件,并由权利人承担侵权行为和侵权结果的举证责任。但是,公法上的个人信息权不以对个人信息的占有和控制为行使前提,也不以发生实际的损害结果为救济要件。而且,公法上的个人信息权是一种积极的事前防御权。〔40〕从侵犯公民个人信息罪的司法实践来看,本罪的成立并不以个人失去对其信息的控制为前提,也不以造成实践损害后果为条件,而是以信息类型、信息数量、违法所得等情节为标准。所以,本罪并不是为了保护私法权利的行使,而是为了规制信息处理行为,防范数据处理行为对个人信息的风险。
(二)个人信息权原本就是公法权利
如前所述,我国“个人信息自决权”的概念直接来源于德国 1983 年第二人口普查案的宪法判决。在 1983 年的第二人口普查中,德国政府除了统计人口总数以及收集基本个人信息(姓名、住址、性别、婚姻状况、宗教隶属等)之外,还要求公民在问卷中填写他们的收入来源、职业、兼职、教育背景、工作时间、交通方式等事项。于是,一些个人直接提起宪法诉讼。德国联邦宪法法院根据《基本法》第 1 条第 1 款(“人的尊严不受侵犯”)以及第 2 条第 1 款(“人人享有人格自由发展的权利”)判定本次人口普查违宪,并提出了“个人信息自决权”的概念。〔41〕可见,“信息自决权”原本就是由宪法法院提出的公法上的概念,其目的是限制国家公权力,其依据是宪法上的人格权。换言之,“信息自决权”是“宪法人格权” 在个人信息领域中的具体表现。然而,我国学者却直接把“信息自决权”定性为私法上的权利,并进一步把这种私法上的信息自决权作为侵犯公民个人信息罪的保护法益。这可能存在对信息自决权的误解,至少是存在论证不足的问题。
在我国,可以证成存在公法上的个人信息权,但不足以证成私法上的个人信息权。从宪法角度来看,我国宪法第 33 条规定了“国家尊重和保障人权”,第 38 条规定了“中华人民共和国公民的人格尊严不受侵犯”。我国宪法中的“人格尊严”可以扩张解释为类似于德国宪法中的人格权,从而为宪法上的个人信息权提供基础。〔42〕从行政法角度来看,我国网络安全法第 41 条、42 条规定了网络运营者处理个人信息时应负的义务,第 43 条规定了个人的相关权利。这种宪法和行政法上的个人信息权主要是为了限制政府和网络平台等数据权力对公民个人信息的侵犯,而不是为了限制其他自然人对个人信息的侵犯。所以,无法从公法上的个人信息权直接推导出私法上的个人信息权。
从私法上来看,虽然我国民法典第 1034 条规定了“自然人的个人信息受法律保护”,但是,该规定“并未确立一项私法权利,而是宪法上信息保护国家义务在具体法律中的规范表述”。〔43〕再如,我国民法典第 1035 条移植了《网络安全法》第 41 条的规定,要求处理个人信息时遵守合法、正当、必要原则,并明确了相应的处理条件。但问题是《网络安全法》第 41 条的义务主体是网络运营者,属于特殊主体。而《民法典》第 1035 条却将特殊主体扩张为一般主体,“结果就会非常荒谬,与生活常识不符”。例如,在家庭生活和朋友聚会中收集、存储他人信息并不受《民法典》的限制。出现这一问题的“深层次根源在于权利定性错位,将一项新型公法权利简单归入传统民事权利范畴,忽略了个人信息保护与人格权两项权利的本质差别”。〔44〕即使是在德国,能否从宪法上的信息自决权推导出私法上的信息自决权,理论与实务中都存在分歧和争议。Nipperdey 法官首次提出宪法上的一般人格权同时就是民法上一般人格权的观点,引发了整个侵权法体系的震动。但是,拉伦茨等多数学者旗帜鲜明地反对从宪法上一般人格权引出私法上一般人格权。〔45〕实际上,“认为欧洲确立了民法上的个人信息权的观点,其实属于对域外经验的误读”。〔46〕“欧盟并未创设一种私法上的个人信息权或个人数据权”。〔47〕“当代各国普遍将个人信息权界定为新型公法权利,为数据控制者规定广泛的法律义务”。〔48〕
(三)公法上个人信息权不是超个人法益
关于侵犯公民个人信息罪的保护法益,我国存在个人私法法益观与超个人法益观之间的争论。本文主张侵犯公民个人信息罪的保护法益不是私法上的个人信息自决权,而是公法上的个人信息受保护权。但个人信息受保护权,并非超个人法益,而仍然属于个人法益。正如我国刑法分则第四章所规定的“民主权利”属于个人的公法权利,但绝不是超个人法益。持超个人法益观的学者认为,“侵犯公民个人信息罪的法益并不是个人的人身权利,而是社会的公共安全,具体来说是信息公共安全”。〔49〕因为个人信息不仅事关个人的信息安全与生活安宁,而且关系到社会公共利益、国家利益乃至信息主权。〔50〕或者认为,本罪的法益“是具备实质权利内涵的集体法益,具体为信息专有权,也就是法定主体对于所占有个人信息的处分权限”。〔51〕但是,认为侵犯公民个人信息罪旨在保护超个人法益的观点值得商榷。
首先,这种观点在法益理论上倾向于集体法益一元论。“集体法益一元论”是与“个人法益一元论”相对而言的。个人法益一元论坚持古典法治国理念,认为国家的任务在于保障个人自由,因此,刑法中的所有法益都是个人法益。超个人法益只有在其能够被还原为个人法益时,才具有正当性。集体法益一元论采取社会国理念,认为国家的任务在于维护社会秩序,因此刑法中的所有法益都是社会法益。“法益一直都是整体法益(Rechtsgut der Gesamtheit),不是个人法益”,“刑法只用于服务整体的利益,与整体相对,个人利益如萤火不可与日月争辉,小到可以忽略”。〔52〕按照集体法益一元论,刑法保护个人法益只是刑法保护集体法益的映射效果。但是,刑法学界通说认为刑法既要维护社会秩序,更要保障个人自由。因此,个人法益与集体法益同时存在于刑法中,两者之间存在此消彼长的紧张关系,尤其需要警惕集体法益的扩张性潜能。〔53〕
其次,侵犯公民个人信息罪的法益不是信息公共安全。刑法中的公共安全具有特定的含义,公共安全属于国家法益和个人法益之间的社会法益。这里的“公共”即“公众”,是指不特定人或者多数人;这里的“安全”仅限于生命安全、身体健康安全以及重大财产安全, “不能增扩或者缩小”。〔54〕而侵犯公民个人信息罪的犯罪对象并不局限于“不特定人或者多数人”,完全可能是特定个人或者少数人。同时,公共安全的内容并不包括信息安全,虽然侵犯公民个人信息的行为可能会导致他人的人身、财产受到损害。但是对人身、财产的损害往往是下游信息利用行为的犯罪结果,单纯的提供或者获取个人信息的行为无论如何不会侵犯人身、财产的安全。因此,认为信息安全属于公共安全,并以之作为侵犯公民个人信息罪法益的观点,是对公共安全概念的误解。
从安全角度来看,现代的信息安全主要是计算机数据安全。虽然从信息论的角度来看,信息与计算机数据不具有同一性,信息是内容,计算机数据是载体,信息既可以用计算机数据作为载体,也可以采用其他载体。从非洲人的鼓、希腊人的烽火、埃及的象形文字、印度的贝叶书、西亚的羊皮纸,到近代印刷品,都曾被作为信息的载体。〔55〕但是,网络时代的信息安全主要体现为计算机数据安全,因此“个人信息”与“个人数据”这两个概念基本上具有同一含义,也可以互换使用。例如,欧盟《通用数据保护条例》(GDPR)第 4 条规定, “个人数据(personal data)是指与已识别或者可识别的自然人(数据主体)相关的任何信息(information)”。〔56〕随着用户对个人数据控制权的减少和服务商控制权的增大,“人们时常担心由此产生的数据安全(保密性、完整性、可用性)问题”。〔57〕但是,各国立法都没有把数据安全作为侵犯个人信息犯罪的法益,而是将其作为计算机犯罪的保护法益。例如,欧盟《网络犯罪公约》第 1 节第 1 目规定了侵犯计算机数据保密性、完整性、可用性的 5 个犯罪:非法侵入罪、非法拦截罪、数据干扰罪、系统干扰罪、设备滥用罪。〔58〕同样地,我国刑法第 285 条和第 286 条规定的计算机犯罪保护的法益也是数据安全。
再次,侵犯公民个人信息罪的保护法益不是网络平台对所占信息的专有处分权。网络时代,网络平台确实占有海量的个人数据。例如,Facebook 上每一个月新增 20 亿张以上的照片。〔59〕但这些网络平台所占有的个人数据究竟属于谁,是一个很有争议的问题。〔60〕断定网络平台对于其所占信息享有专有权的判断,缺乏法律依据。云计算时代网络平台上的个人信息主要包括两类:第一类是用户上传到云上的信息,这类信息产生于云服务之外;第二类是用户在使用云服务的过程中产生,并存储在云上的信息。总的来说,“云服务商极少对产生于云服务之外或由用户产生于云上的内容主张权利。但是,服务商普遍对数据完整性、保密性等安全负有责任”。〔61〕
三、公法法益观下侵犯公民个人信息罪的重新解释
根据本文所提倡的公法法益观,侵犯公民个人信息罪的法益是公法上的个人信息受保护权,而不是私法上的个人信息自决权。这种法益观的变化将直接影响本罪构成要件符合性和违法性的判断。既然侵犯公民个人信息罪的法益是个人信息受保护权,那么不同类型的个人信息就应该受到不同程度的保护,而不是一律同等对待。基于同样的道理,既然侵犯公民个人信息罪的法益不是私法上的信息自决权,那么就需要反思个人同意在犯罪构成中的地位。
(一)行为对象的领域化区分
法益与犯罪对象紧密相关,不同的法益观会直接影响犯罪对象的认定。私法法益观认为所有的个人信息都具有同等重要性,刑法同等保护所有的个人信息。公法法益观认为个人信息分属不同领域,不同领域中的个人信息具有不同的重要性,刑法对不同领域中的个人信息采取不同的保护立场。那么,如何把个人信息进行领域化区分呢?对此,可以借鉴前述德国的“领域理论”(Sphärentheorie)。
领域理论按照私密性程度的高低把个人活动划分为三个领域:最核心层的隐私领域(Intimsphäre)、中间层的私人领域(Privatsphäre)、最外层的社会领域(Sozialsphäre)。〔62〕最核心层的隐私领域属于个人生活的最内层,该领域中个人活动的私密性最高,社会性最低;该领域中的活动不会侵犯他人的权利、宪法秩序和道德法则,不应该受到限制。〔63〕中间层的私人领域的私密性低于隐私领域,社会性高于隐私领域,因此,国家公权力可以基于比例原则和公共利益原则对该领域进行干涉。〔64〕最外层的社会领域包含了与社会紧密相连的利益,而几乎没有私密性。例如,与追查犯罪或者防疫相关的个人信息,就属于该领域。〔65〕可见,从最核心层的隐私领域到中间层的私人领域,再到最外层的社会领域,个人信息的私密性逐渐降低而社会性依次增加。领域理论的要义在于区别对待个人信息,协调个人信息的私人性与社会性、信息控制与信息共享之间的平衡关系。我国有学者提出个人信息保护 “两头强化、三方平衡”的构想,即强化个人私密信息的保护,强化个人一般信息的利用,协调信息主体利益、信息处理者利益、社会公共利益三方的平衡。〔66〕该构想正是领域理论的具体体现。
实际上,我国司法实践也接受了领域理论的合理内涵。《侵犯公民个人信息罪解释》根据个人信息的不同类型,分别规定了不同的立案标准。第一类信息是个人行踪轨迹信息、通信内容、征信信息、财产信息,非法获取或者提供该类信息 50 条即可构成犯罪;第二类是个人住宿信息、通信记录、健康生理信息、交易信息等可能影响人身、财产安全的个人信息,非法获取或者提供该类信息 500 条构成犯罪;第三类是其他个人信息,非法获取或者提供 5000 条构成犯罪。很明显,这三类个人信息的私密性依次递减,社会性依次递增。第一类信息处于个人最核心层的隐私领域,属于隐私权的保护客体。具体来说,行踪轨迹信息属于私密空间信息,通信内容属于私密活动信息,征信信息和财产信息属于其他私密信息。由于这类信息私密性最强,法律保护最为严格,因此,司法解释明文列举四种信息,不允许司法适用再予以扩张。〔67〕德国宪法法院也严格限制个人核心隐私领域的范围,“宪法法院至今仅承认极少数事项属于核心领域”。〔68〕第二类信息处于中间层的私人领域,其私密性有所降低,社会性有所增加。司法解释对该类信息采取“明文列举+兜底概括”的规定方式,即在明文列举四种信息之外,另行规定“其他可能影响人身、财产安全的公民个人信息”。第三类信息属于最外层的社会领域,信息的私密性最低,社会性最高。司法解释对该类信息没有列举,而是采取开放性规定。可见,我国司法解释和司法实践采取的是公法法益观,不同领域的个人信息在侵犯公民个人信息罪构成要件符合性判断中具有不同的意义。
既然个人信息的领域化区分直接影响罪与非罪的认定,那么如何确定个人信息所属的具体领域,就成了司法实践的重点和难点。例如,个人使用百度搜索“减肥、丰胸、人工流产” 三个关键词而形成的搜索记录,是否属于个人信息,如果属于个人信息的话,属于哪一领域的个人信息?司法实践对此分歧严重。一审判决认定该信息属于个人隐私的范围。〔69〕准此,则该搜索记录至少处于中间层的私人领域,甚至可能处于最核心层的隐私领域。但是,二审判决认为这些搜索记录不属于个人信息。〔70〕再如,cookie 信息是否属于公民个人信息,司法实践也存在很大分歧。
一般来说,个人信息的领域化区分应立足于具体场景。“脱离具体场景谈论隐私权益或个人信息权益,不但无法为权益提供有效保护,还有可能引发过度保护或保护不足的弊端”。〔71〕例如,保险业务员为了推销车险,向他人购买了 400 条公民个人车辆信息,包括姓名、联系方式、车型、车牌号等。如果认为车辆信息属于“财产信息”,那么行为就会构成犯罪;如果认为车辆信息属于“其他可能影响人身、财产安全的公民个人信息”,那么行为就不会构成犯罪,因为该案中被告人购买的信息未达到 500 条。因此,本案不能从抽象的概念来认定其是否构成犯罪,而应该根据具体场景,即行为人使用车辆信息的场景来判断。由于行为人使用车辆信息是用来推销车险,而不是为了侵犯财产,所以在这种场景下应以 500 条作为立案标准。〔72〕有的学者进一步指出,场景判断需要考虑的因素包括信息的关联性程度、信息的重要性程度、行为人的主观目的等。〔73〕
(二)同意效果的相对化
对于“同意”在侵犯公民个人信息罪中的地位,我国司法实践存在两种完全相反的立场,两种立场反映了两种不同的法益观。第一种立场把是否获得个人的同意或授权作为行为是否构成犯罪的决定性标准。不仅获取或者提供他人的非公开信息需要取得个人的“原始授权”,而且获取或者提供他人的公开信息需要取得个人的“二次授权”。这种立场可以称为“同意决定论”,其背后的法益观是私法意义的个人信息自决权。第二种立场认为个人的同意与否不影响本罪的成立。这种立场可以称为“同意否定论”,反映了集体法益观的要求。但是,我国司法实践中的“同意决定论”与“同意否定论”都值得商榷,本文坚持公法法益观,倡导“同意相对论”。
1.同意决定论的反思
对于个人非公开信息,同意决定论要求“原始授权”,具有较大的合理性。但是,对于个人公开信息,同意决定论要求“二次授权”,则存在过度犯罪化的嫌疑。我国司法实践中出现大量以未取得“二次授权”为由而认定侵犯公民个人信息罪成立的判决。例如,在徐国成等侵犯公民个人信息案中,被告人通过国家企业信息公示系统收集企业法人的手机号码等个人信息,并未经他人同意就公布在自己开设的“企查查”网站上供人查询。法院判决认定被告人构成侵犯公民个人信息罪。〔74〕在范海林等侵犯公民个人信息案中,被告人利用“爬虫”软件从“天眼查”等网站上获取企业法人的联系方式等信息,整理成 excel 表格后出售给网友,该出售行为未经个人同意。其行为被法院认定为侵犯公民个人信息罪。〔75〕在赵海军等侵犯公民个人信息案中,行为人未经被收集人同意,将网络公开的工商企业登记信息出售给他人,被认定为侵犯公民个人信息罪。〔76〕在柯学成侵犯公民个人信息案中,被告人直接从房产中介门店收购房源等个人信息,未经个人同意便把这些信息在其创建的“房利帮” 网站和 APP 上打包出售,被认定为侵犯公民个人信息罪。〔77〕在这些案件中,法院判决都非常重视个人的“知情同意”,要求行为人获取或者提供已经公开的个人信息也应该获得个人的“二次授权”。例如,有的承办法官认为,个人同意其信息在国家企业信息公示系统中进行公开,并不意味着同意其他人收集和出售这些信息。〔78〕还有的承办法官认为,房东同意将其房产信息挂牌至中介门店,并不意味着同意把该信息在网上公开。〔79〕
但是,这种过度犯罪化的做法值得反思。首先,从规范论角度看,要求处理个人公开信息仍需获得“二次授权”的做法,违反了法秩序的统一性原则。法秩序统一性原则要求对同一部门法的内部规范进行体系性解释,对不同部门法之间的规范进行一致性解释,以消解部门法内外规范之间的矛盾。虽然我国民法典第 1038 条规定“未经自然人同意,不得向他人非法提供其个人信息”。《侵犯公民个人信息罪解释》第 3 条也规定,未经被收集人同意,将合法收集的公民个人信息向他人提供的,仍然属于侵犯公民个人信息罪中的“提供公民个人信息”。但是,对这两条规范中的“同意”,应该作体系解释。依据《民法典》第 1036 条的规定,处理自然人自行公开或者其他合法公开的信息无需承担民事责任,除非该自然人明确拒绝或者该处理行为侵害其重大利益。从《民法典》第 1036 条与第 1038 条之间的关系来看,第 1038 条中的“未经自然人同意,不得向他人非法提供其个人信息”是针对他人未公开信息而言的;对于他人的公开信息,直接适用第 1036 条,无需承担民事责任。因此,应该认为我国民法典第 1036 条明确否定了“二次授权”规则。〔80〕基于同样的道理,对《侵犯公民个人信息罪解释》第 3 条也应该作限制适用,即该条只适用于提供未公开个人信息的场合。如果是将合法收集的个人公开信息提供给他人,即使未经被收集人同意,也不应该构成犯罪。
其次,从法益论角度看,上述判决采取私法法益观,把个人信息权理解为私法权利,缺乏对个人信息权公法属性的理解。私法法益观把个人信息权理解为绝对的排他权,个人对其信息,不论是公开信息还是未公共信息,不论是私密信息还是非私密信息,都具有同意与否的权利。这种看法存在两个缺陷。一是未理解信息领域的复杂性。按照前述的领域理论,个人信息领域从核心到外围可以分为三层:最核心层的私密信息、中间层的私人信息、最外层的个人公开信息。个人对其核心层的私密信息拥有绝对的自决权,私密信息的每一次处理都需要获得自然人的同意或授权;处理最外层的个人公开信息则无需再获得二次授权;处理中间层的私人信息则需要根据具体的情景来判定是否需要获得自然人的同意或授权。二是忽略了个人信息的合理使用制度。如果个人信息权属于私法权利,则不存在合理使用的可能,就像对妇女的性自主权不存在合理使用的问题一样。但如果个人信息权属于公法权利,那么该权利就要受到合理使用制度的限制。例如,新闻报道和舆论监督的行为、维护公共利益的行为都可能会对个人信息权形成制约,而无需取得自然人的同意。〔81〕
2.同意否定论的反思
第二种立场认为,即使经过个人同意,获取或者提供个人信息的行为也会构成犯罪。在宋慧娟等侵犯公民个人信息案中,被告人宋慧娟等人收购他人实名注册的淘宝店铺信息(包括店主个人信息、支付宝账号、银行卡信息等),然后将这些淘宝店铺信息卖给被告人邓光明,邓光明再把这些淘宝店铺信息在网上销售牟利。淘宝店铺的注册人对于宋慧娟、邓光明等人收购、出售包括个人信息在内的淘宝店铺知情并同意。但是法院判决被告人的行为构成侵犯公民个人信息罪,理由是“本罪名侵犯的客体不仅仅是公民个人的人身权利和民主自由权利,还包括社会管理秩序,故即使被出卖个人信息的注册人是同意的,且有获得对价,仍侵犯了本罪的客体”。〔82〕可见,与前述认为本罪保护法益是私法上信息权的判决完全相反,该判决认为本罪的法益不是个人法益,而是超个人法益。如前所述,断定本罪法益属于超个人法益的观点值得商榷。因此,基于超个人法益观的上述判决结论也值得商榷。
3.同意相对论的提倡
本文认为侵犯公民个人信息罪的保护法益既不是私法上的个人信息自决权,也不是超个人的集体法益,而是公法上的个人信息受保护权。按照本文所提倡的公法法益观,经过个人同意的行为当然不可能成立犯罪,因为个人的同意意味着其放弃了个人信息受保护的权利。〔83〕未经个人同意的行为是否构成犯罪,需要具体分析。具体来说,未经个人同意,获取或者提供其核心领域私密信息的行为,成立犯罪;未经个人同意,获取或者提供最外层领域公开信息的行为,不成立犯罪;未经个人同意,获取或者提供中间层私人信息的行为是否构成犯罪,要看该行为是否符合合理使用规则,只有未经同意又不符合合理使用规则的行为才成立犯罪。
四、结论
侵犯公民个人信息罪的法益不是超个人法益,而是个人法益,但也不是个人法益中的私法法益,而是个人法益中的公法法益。应该按照从私法权利回归公法权利的逻辑重构侵犯公民个人信息罪的法益观,并重新解释本罪的构成要件符合性和违法性。
个人信息并非个人私有信息,个人对其信息并不拥有排他性的支配权,个人无法像支配其性自主权一样支配其个人信息。私法上个人信息权与公法上个人信息权,虽然都是个人的信息权,但两者在规范目的、权利特征、法律依据等方面都存在很大差异。公法上的个人信息权的涵义是“个人信息受保护权”,而不是排他性的“个人信息自决权”。即使采取“个人信息自决权”的概念,也应该回归其原本的公法属性。
个人信息既具有私密性,也具有社会性。根据私密性的逐渐降低和社会性的逐渐升高,个人信息分属三个不同领域:最核心层的隐私领域、中间层的私人领域、最外层的社会领域。最核心层的隐私领域属于个人生活的最内层,该领域中个人活动的私密性最高,社会性最低;中间层的私人领域的私密性低于隐私领域,社会性高于隐私领域;最外层的社会领域包含了与社会紧密相连的利益,而几乎没有私密性。
作为侵犯公民个人信息罪的行为对象,不同领域中的个人信息,具有不同的构成要件该当性判断和违法性判断的基础。我国司法实践实际上采取了领域理论,不同领域中个人信息的定罪标准不同。同时,不同领域中的个人信息具有不同的违法阻却事由。例如,未经个人同意,获取或者提供其核心领域私密信息的行为,成立犯罪;未经个人同意,获取或者提供最外层领域公开信息的行为,不成立犯罪;未经个人同意,获取或者提供中间层私人信息的行为是否构成犯罪,要看该行为是否符合合理使用规则,只有未经同意又不符合合理使用规则的行为才成立犯罪。