侵犯公民个人信息罪认定的应然转向

汪恭政

(浙江工商大学法学院,杭州 310018)

一、侵犯公民个人信息罪认定的问题

众所周知,我国《刑法》第253条之一规定的侵犯公民个人信息罪是保护公民个人信息(以下简称个人信息)的关键罪名。特别是自《数据安全法》《个人信息保护法》施行以来,如何有效认定侵犯公民个人信息罪,引发高度关注。

理论上,为了更好地认定侵犯公民个人信息罪,从自然犯、法定犯的角度进行定位,或许是个不错的选择。然而,该罪到底是自然犯还是法定犯,并未形成定论。法定犯的观点认为,基于行为人构成侵犯公民个人信息罪,要求“违反国家有关规定”,所以认为“该罪名属于较为典型的‘法定犯’”。自然犯的观点却主张,“侵犯公民个人信息罪是某种程度上的‘自然犯的法定犯化’,但其根本性质仍是自然犯”。

若持自然犯乃侵犯个人法益、法定犯乃单纯违反规范或侵犯超个人法益的区分立场,侵犯公民个人信息罪的认定则面临问题。具体表现在:若认为该罪是自然犯,侵害的法益当属个人法益,那为什么《刑法》第253条之一还规定“违反国家有关规定”?若主张该罪为法定犯,行为人的不法行为势必违反了规范(“国家有关规定”),或认为侵害了超个人法益,那为什么本罪被规定在侵犯公民人身权利、民主权利罪这一章,还保护公民的个人法益?

可见,无论是将该罪定位为自然犯还是法定犯,规范违反(“违反国家有关规定”)和法益侵害的认定,无疑都是认定该罪的关键所在。本文以此为问题研究的出发点:首先,梳理该罪规范违反和法益侵害认定的传统作法,并指出各自面临的认定困境;其次,立足事实与规范,探究规范违反和法益侵害认定转向的法理基础;最后,以此为基础,完成对规范违反和法益侵害认定的具体转向,以实现对侵犯公民个人信息罪适用范围的清晰划定。

二、侵犯公民个人信息罪认定的传统路径及其困境

侵犯公民个人信息罪的传统认定,有两方面体现:在规范违反的认定方面,基于“违反国家有关规定”的存在,所以倾向于正向认定,以至于“违反国家有关规定”的性质及范围难以确定;在法益侵害的认定方面,由于法益的定位仍停留于以法益主体为区分标准,所以易导致法益侵害的认定范围不明。

(一)规范违反的正向认定及其困境

由于《刑法》第253条之一规定了“违反国家有关规定”,所以学界不少论者倾向于正向认定规范违反。也即,行为人若要构成侵犯公民个人信息罪,前提在于违反“国家有关规定”。

1.规范违反的正向认定

规范违反的正向认定,指的是从正面角度认定《刑法》第253条之一的“违反国家有关规定”。若要正向认定规范违反,有两方面的内容需要考虑。

一方面,要考虑“违反国家有关规定”的性质。为此,理论上提出了两种观点。一种是早期主张的入罪前提说。比如,有论者认为,“违反国家有关规定”乃入罪的前提条件。另一种是现今流行的构成要件要素说。例如,有学者直言,“构成侵犯公民个人信息罪,要求具备‘违反国家规定’这一构成要件要素”;又如,“违反国家有关规定”理所当然地属于该罪的构成要件要素,直接影响该罪的成立与否,是该罪认定必不可少的要素;再如,“违反国家有关规定”应是一种客观的构成要件要素。目前来看,构成要件要素说已成为多数说。

另一方面,要考虑“违反国家有关规定”的范围。目前学界的做法是将“国家有关规定”与“国家规定”的范围进行对比分析,大致形成了三类观点。其一,范围不同说认为,“‘违反国家有关规定’不同于‘违反国家规定’,前者的范围更为宽泛”;或者说,相比“国家规定”,“国家有关规定”的范围更宽,包括法律、行政法规、规章等国家层面的涉及个人信息保护的规定。其实,司法解释也认可了这种观点,根据2017年最高院、最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第2条的规定,违反法律、行政法规、部门规章有关个人信息保护的规定的,都属于“违反国家有关规定”。换句话说,将“部门规章”纳入“国家有关规定”的范围,意味着其也成为判断违法性的规范依据之一。其二,有限的范围不同说强调,“违反国家有关规定”仅限于违反法律、行政法规关于个人信息保护的规定,部门规章只有在对法律、行政法规中的规定予以明确、细化的情况下,才能与法律、行政法规一起纳入“国家有关规定”的范围。其三,范围相同说主张,“国家有关规定”与“国家规定”的范围一致。例如,“只有将‘违反国家有关规定’作与‘违反国家规定’同样理解,才能保证解释结论的合宪性”。

2.规范违反正向认定的困境

坚持规范违反的正向认定,“违反国家有关规定”的性质认定和范围确定,是绕不开的论题,因而正向认定的困境在此也就得到了集中体现。

其一,在“违反国家有关规定”的性质认定上,若要承认“违反国家有关规定”为入罪的前提或构成要件要素,那么,面临的困境有两方面体现:一来要在“国家有关规定”上查明具体的构成要件要素,但有关个人信息保护的规定相对分散,查明时不仅容易造成遗漏,也易过分依赖“国家有关规定”,进而影响《刑法》第253条之一独立评价的作用;二来若坚持“违反国家有关规定”乃入罪前提或构成要件要素,则“国家有关规定”中含有调整侵犯个人信息行为的规范目的,亦会附加到《刑法》第253条之一中来,增加该罪法益的识别难度,如此一来,亦就出现诸如有学者所认为的该罪法益还包括“保护个人信息保护法等有关信息领域行政管理秩序的目的”的内容。

其二,在“违反国家有关规定”的范围确定上,学界已出现了上述三类学说,本身就已说明了认定困境的存在。正如有学者所言,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将违反法律、行政法规、部门规章有关个人信息保护的规定认定为“违反国家有关规定”。可是,为什么部门规章不属于“国家规定”,却属于“国家有关规定”,不无疑问。或如有论者指出的那样,将“违反国家规定”改为“违反国家有关规定”,突破了《刑法》第96条的规定,意味着踏上了方法论的歧途。

(二)法益的现有定位及其困境

法益侵害认定的关键在于厘定法益,目前有关侵犯公民个人信息罪法益的厘定,仍集中于个人法益、超个人法益的定位,这种以法益主体为区分标准的定位,难以涵盖个人信息背后利益多元化的特征,以至于影响法益侵害认定范围的厘清。

1.法益的现有定位

以法益主体为区分标准,法益分为个人法益和超个人法益。侵犯公民个人信息罪的法益到底如何定位,目前学界有两类倾向。

一类倾向是将侵犯公民个人信息罪的法益定位为个人法益。具体细分为:一是隐私权说。例如,有学者将该罪纳入侵犯名誉、隐私犯罪中讨论,可以说侵犯的法益乃名誉、隐私,即对能识别公民个人身份或个人隐私的信息、数据资料构成侵犯。或说是,“侵犯个人信息行为犯罪化的价值取向是对公民隐私权的保护”。二是生活安宁说。比如,有论者直言,针对侵犯公民个人信息罪的规定,旨在保护个人生活的安全。或认为,从刑法视野中判断个人信息应以“私人生活安宁”为标准。三是人格权说。例如,有学者指出,我国理论界大多主张采取德国式的人格权保护模式,且从现实规范看,对个人信息的保护也基本采取了人格权保护模式。四是财产权说。比如,有论者强调,个人信息具有维护主体财产利益的功能,应承认主体对其享有的财产权。五是个人信息权说。该说内部有不同观点。一种观点认为,该罪属于个人法益犯罪,法益本体是个人信息权;另一种观点认为,该罪保护的法益是个人信息权中的信息自决权;还有一种观点认为,该罪保护的法益具体体现为信息专有权。

另一类倾向是将侵犯公民个人信息罪的法益定位为超个人法益。具体又分为:一是纯粹的超个人法益说。例如,有观点认为,该罪的法益“并不是公民个人的人身权利,而是社会的公共安全,具体来说是公共信息安全”。或将该罪的法益评价为社会信息管理秩序。二是具有超个人法益属性说。比如,“个人信息”不仅是个人法益,且具有超个人法益的属性,或说是“兼具人身特性、经济属性和社会属性”。

2.法益现有定位的困境

分析现有的定位发现,在个人法益说上,坚持隐私权说,意味着重视个人隐私利益的保护,毕竟这在域外也能找到适例。比如,美国确立了以隐私权统合个人信息的保护模式See Daniel J.Solove, ,Harvard University Press,2008,p.104.,就能很好地打击诸如侵犯个人私生活、公布他人秘密、盗用他人姓名或肖像等个人信息的行为。See WilliamL.Prosser,,California Law Review,1960(3),pp.383-386.但是,个人隐私与个人信息的范围并非完全等同,个人隐私重在强调个人生活信息的私密性,而个人信息并非都是如此,如个人的就学信息(包括入学毕业日期、就学学校名称、就学学历学科等信息)、职业信息(包括工作单位、工作起始时间、工作地点等信息),就不一定要求私密性。因此,若坚持隐私权说的法益定位,侵犯公民个人信息罪的认定范围缩窄无疑。也即,只有体现个人隐私权的那部分个人信息才能纳入该罪的保护范围。主张生活安宁说,旨在保护生活安宁的利益。与隐私权相比,其既有人格权的共性,又能体现对安稳生活状态的追求。诚如有论者所言,“安宁生活利益难以为隐私权所包容,应使其成为独立的法益类型”。但问题是,行为人只非法获取他人的个人信息(如姓名、电话信息),却未利用这些信息对其进行生活骚扰时,是否干扰他人的安宁生活就有疑问了。推行人格权说,虽然《宪法》第38条规定公民的人格尊严不受侵犯,但人格权乃人身权的具体类别,个人信息的人格属性体现的往往是人身利益。然而并非所有个人信息都具有人格属性,若坚持此学说,个人信息的多种属性,如兼有人格和财产属性的情形,便无法有效涵盖了。就财产权说而言,同隐私权的坚持类似,个人信息并非都代表了个人的财产利益,一味地主张财产权说,无疑不当地缩窄了《刑法》第253条之一的适用空间。主张个人信息权说,说明看到了个人信息权为新型权利的趋势,毕竟这在前置法上已得到确认(后文详述)。但在现有的界定方案中,无论是个人信息权说,还是信息自决权说,抑或是信息专有权说,对于侵犯个人信息所引发的财产、人身等法益的侵害却未给出很好的回答。

在坚持超个人法益说上,就纯粹的超个人法益说而言,侵犯个人信息的犯罪乃侵犯超个人法益的行为,恰如有论者总结的那样,个人信息的侵害已呈现“群体被侵害”的特征。既然是超个人法益,说明个人信息的被侵犯是国家安全、公共利益受损的表现。若据此推导的话,即使信息是用于识别于个人的,但由于侵犯的是超个人法益,所以个人就无权处分了。换言之,即使被害人同意处分自己的个人信息,但行为人基于侵犯了超个人法益,依然会受到侵犯公民个人信息罪的评价。正如有学者所言,“个人是否同意他人出售其个人信息”在构成要件符合性的认定上就失去了意义。就超个人法益属性说而言,此说的观点在于,不仅承认个人信息是个人法益的体现,也兼具超个人法益属性。可以说,侵犯个人信息的犯罪,不仅包括针对个人的犯罪,也涉及侵害共同利益的犯罪。相较纯粹的超个人法益说,其所引发的疑虑不但没有减少,反而增加了。具体来说,一是在个人法益与超个人法益属性的关系上,尽管有学者指出,兼具超个人法益属性,说明个人信息首先是个人法益而后才是超个人法益,二者主次关系不能颠倒。也即,个人信息以个人法益为主体附带超个人法益属性,由于不是纯粹的个人法益,被害人同意处分兼有超个人法益属性的个人信息,行为人能否阻却违法,便值得深究。二是超个人法益常关联不同的利益,如国家安全、公共利益,是否意味着不论是其中的国家安全的被侵犯,还是公共利益的被侵犯,都直接以侵犯公民个人信息罪评价?若是这样的话,是否有评价不当、罪刑失衡的嫌疑?

综上,无论是将侵犯公民个人信息罪的法益定位为个人法益,还是超个人法益,都是立足于法益主体所作的分类。坚持个人法益,虽然能应对法益的处分问题,但现有方案并未能周延地保护个人信息;主张超个人法益,尽管认识到个人信息背后国家安全、公共利益保护的必要性,但个人信息的个体性、处分性却未给出合理回答。一言以蔽之,以这种“泾渭分明”的方式定位该罪法益,实质上是由于法益侵害认定观念不足所致的,故而要走出法益定位的困境,关键在于转变认定的观念。

三、侵犯公民个人信息罪认定转向的法理基础

“目光在事实与法律规范间‘来回穿梭’是法律适用的普遍特征。”侵犯公民个人信息罪的认定,乃法律适用的具体体现,其之所以能够转向,根源在于有其转向的法理基础。

(一)规范违反认定的转向基础

就侵犯公民个人信息罪而言,规范违反的认定之所以能转向,在于“国家有关规定”和司法判决的事实中都能找到其所转向的基础。

1.规范基础:“国家有关规定”中并无构成要件要素

刑法规定“国家规定”“国家有关规定”,说明有空白刑法规范的存在。对于其性质,通常有两类观点:一类观点认为其属于犯罪的构成要件要素,在我国刑法中,此类情形占大多数。事实上,不但有部分构成要件要素被规定在空白刑法规范之中,如《刑法》第133条规定的“违反交通运输管理法规,因而发生重大事故,致人重伤、死亡或者使公私财产遭受重大损失的”情形,也有全部构成要件要素被规定在空白刑法规范之中的,如《刑法》第225条规定的“违反国家规定……有其他严重扰乱市场秩序的非法经营行为,扰乱市场秩序,情节严重的”情形。另一类观点则认为其不属于犯罪的构成要件要素。也即,犯罪的构成要件要素规定在刑法条文中,并未依托于空白刑法规范而存在。例如,《刑法》第338条规定的“违反国家规定,排放、倾倒或者处置有放射性的废物、含传染病病原体的废物、有毒物质或者其他有害物质,严重污染环境的”情形,行为要素和结果要素都规定在刑法条文而非“国家规定”之中。

就侵犯公民个人信息罪而言,“国家有关规定”中并未涉及犯罪的构成要件要素。具体体现在:一是行为要素被规定在刑法条文之中。根据《刑法》第253条之一第1款的规定,除了列明“违反国家有关规定”外,此款已明确规定了向他人出售或提供的行为要素;第2款与之类似,对将在履行职责或提供服务过程中获得的个人信息出售或提供给他人的行为予以规定。二是对象要素被规定在刑法条文之中,众所周知,个人信息乃侵犯公民个人信息罪的对象要素,梳理《刑法》第253条之一的规定发现,不论是第1款还是第2款抑或是第3款,个人信息这一对象要素都已明确规定。三是除此以外,该条第4款也对主体要素(单位)作了规定。由此可见,该罪的构成要件要素在《刑法》第253条之一中基本得以完整地规定。

反过来说,若正向认定“违反国家有关规定”,但实际情况却是“国家有关规定”中并无当需考虑的构成要件要素。具体来说:一是“国家有关规定”中有关侵犯个人信息的行为要素并未列明,而只规定“构成犯罪的,依法追究刑事责任”。比如,《网络安全法》第74条规定“违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任”。又如,《个人信息保护法》第71条规定“构成犯罪,依法追究刑事责任”。二是“国家有关规定”中的违法要素已在《刑法》第253条之一中予以明确,并无另外要考虑的构成要件要素。例如,《居民身份证法》第19条规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,构成犯罪的,依法追究刑事责任。”此条规定的“泄露”属于提供的典型情形,实质上仍是《刑法》第253条之一规定的“将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的”情形。由此看来,“国家有关规定”中并无《刑法》第253条之一未规定且须另行考虑的构成要件要素。

2.事实基础:司法判决中并未列明违反的具体条款

事实上,梳理现有的司法判决发现,法官在刑事判决书中并未对构成侵犯公民个人信息罪的被告人列明其所触犯的“国家有关规定”的具体条款。以2020年的刑事判决书为例,具体以Openlaw官网为案件检索数据库,共获得421份案由为侵犯公民个人信息罪的刑事判决书。整理这些判决书发现三类情形:一类是只说明了被告人违反了“国家有关规定”,但具体如何违反并未说明。相比其他情形,此类情形最为普遍,共涉及260份判决书,占比高达60.9%。另一类是列明了被告人违反了“国家规定”,但违反何类“国家规定”并未说明,此类情形最少,有39份判决书,占比9.2%。还有一类是未写明“违反国家有关规定”或“违反国家规定”,而是只指出被告人构成侵犯公民个人信息罪(包括《刑法》第253条之一第3款“窃取或者以其他方法非法获取公民个人信息的”情形),此类情形有122份判决书,占比29.9%。除此以外,也有论者以2016至2017年的726件案件为例,发现裁判理由中提到“违反国家规定”和“违反国家有关规定”的案件各有94件、198件,且绝大部分案件并未指明被告人所违反的“国家有关规定”的名称和条文内容。由此可以说,司法判决未列明被告人所犯“国家有关规定”或“国家规定”的具体条款,乃实践中的通常做法。甚至恰如有论者指出的那样,“几乎所有判决书从不指明被告人究竟违反哪一条‘国家有关规定’”。据此而言,虽然《刑法》第253条之一规定了“违反国家有关规定”,但实践中法官并未具体审查行为人到底触犯何类“国家有关规定”,而是倾向于依据该条本身予以独立判断。

(二)法益侵害认定的转向基础

如上所言,法益侵害认定的关键在于法益的定位。定位法益,离不开对“法”和“益”的理解。对二者的深刻认知,无疑为法益侵害认定的转向提供了基础。

1.规范基础:法益的定位须以法为据

虽然“法益的定义至今仍然没有得到成功而明确的说明”,但法益中“法”的理解无疑是定位法益绕不开的因素之一。

一是法益的界定是在整体法秩序下考虑的。通常而言,法益与法关联,若在整体法秩序下理解法益,刑法作为保障法,只是整体法秩序的个中环节,因此,法益的定位往往就要有两方面考虑。一方面,法益受到前置法的关注。刑法作为法律规范的一种,并非是保护法益的唯一依据。可以说,法益保护乃一切部门法共同担负的使命Vgl.Jakobs, - ,FS-Frisch,2013,S.81.,毕竟“立法者是为了保护一定的利益而制定法律”。换言之,法益经过了前置法的关注,不仅意味着法所保护的利益在整体法秩序下得到了广泛的认可,也为从刑法上保护创造了条件。之所以如此,恰如有论者所言,只有经过前置法调整并承认确立的法律状态的法益,才是刑法保护的目标。就个人信息而言,近来愈发受到前置法的关注,尤其是新近出台的《民法典》《网络安全法》《个人信息保护法》,都强调了对个人信息的前置保护。另一方面,法益值得刑法保护。尽管法益受到前置法的关注,但并非其所关注的法益都应纳入刑法的保护范围。刑法作为保障法,其“并不禁止可以想象到的一切法益侵害形态,而是仅禁止极为重大的侵害”。在社会发展的早期,个人信息的保护并未引起刑法的关注,但随着社会的发展,个人信息受侵害的情形渐趋普遍,特别是在信息技术的广泛运用下,隐私和个人信息的侵犯日益成为严重的问题。为了应对这些情况,2009年《刑法修正案(七)》增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪,而后在2015年《刑法修正案(九)》中整合为“侵犯公民个人信息罪”。由此可见,随着个人信息受侵害的日益严重和普遍,刑法予以积极应对,这恰恰说明了个人信息受刑法保护的必要性与重要性。

二是法益的定位经历了被法发现、被法确认的过程。由上可见,法益的定位需要在整体法秩序下考虑,但法益并非法所创造。法益实体内容的创造者不是立法者,而是社会生活,法规范只是发现而不是创造了法益。Vgl.Liszt,,ZStW6,1886,S.663.就侵犯公民个人信息罪而言,梳理现有法律发现,个人信息权被确认为本罪法益的趋势愈发清晰。起先,法所关注的焦点在于个人信息的保护。具体而言,《统计法》(2009年)第9条规定,统计机构及其人员应对在统计工作中知悉的个人信息予以保密。《居民身份证法》(2011年)第6条第3款规定,公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的个人信息,应予以保密;第13条第2款强调,有关单位及其工作人员对履行职责或提供服务中获得的居民身份证记载的个人信息,也应保密。全国人大常委会《关于加强网络信息保护的决定》(2012年)也规定,国家保护能识别公民个人身份和涉及公民个人隐私的电子信息。《消费者权益保护法》(2013年)第14条规定,消费者在购买、使用商品和接受服务时,享有个人信息依法得到保护的权利。《网络安全法》(2016年)第40条规定,网络运营者应严格保密其所收集的用户信息;第41条第2款也指出,不得收集与其提供服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。《旅游法》(2018年)第52条规定,旅游经营者应保密其在经营活动中知悉的旅游者个人信息。而后,法所关注的重心则演变为个人信息权。具体来说,《民法典》(2020年)第111条和第1034条都规定“自然人的个人信息受法律保护”,尽管未直接指出个人信息权,但将该条置于民事权利这一章(第5章),就已说明了个人信息在性质上已属于民事权利之一。而到了《个人信息保护法》,就已明确规定(第2条)“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益”。由上可见,个人信息权被法识别、被法确认为侵犯公民个人信息罪的法益已成必然趋势。

2.事实基础:个人信息的本质体现

法益侵害的认定,之所以能转向,离不开对“法益”中“益”的理解,而事实上对个人信息本质的把握恰恰为“益”的理解提供了坚实的基础。众所周知,若要把握个人信息的本质,首先则离不开对信息的认知。自维纳提出“信息就是信息,不是物质也不是能量”以来,信息引发人们的广泛关注,业已成为普遍性的科学范畴。在哲学上,信息常被界定为“是在表征、表现、外化、显示事物及其特征的意义上构成自身的存在价值的,是它所表现的事物特征的间接存在形式”。在标准化领域,国际标准化组织将其定义为“关于在特定语境下具有特定含义之客体(如事实、事件、东西、过程或思想包括理念)的知识”。可以说,无论如何界定信息,信息的两大特征都须有所体现:一是客观存在性,信息总是某种已经现实存在的东西,是标志间接存在的哲学范畴。二是客体反映性,即能表征客体(包括事物)的特征或含义。正如有论者所言,任何事物均可以在信息系统中呈现。或认为,依据倾向性,可被视为解释、权力、叙事、通信或媒介、交流、建筑、某种商品等。

相比信息,个人信息是其具体的类型。由此说来,个人信息的本质是信息客观存在性、客体反映性的具体体现。

一方面,个人信息虽与个人相关,但独立于个人而客观存在。一般而言,从两个角度就能说明个人信息的客观存在性:一个是从静态的角度看,如前所述,个人信息是基于个人日常生活、社会交往所形成的信息,是在社会主体间产生的Vgl.Thomas Giesen, ,in:Stiftung Datenschutz(Hrsg.),Zukunftderinformationelle Selbstbestimmung,ErichSchmidt,2016,S.26.,信息生成后就已区别于人而独立存在,具有客观实在性亦就理所当然了。另一个是从动态的角度看,个人信息的流动性表明了其客观存在性。个人信息有关于个人,在社会生活中,人们为了更好地从事社会交往活动,往往需要收集、存储、加工、利用、传输、提供或公开相应的个人信息,特别是随着互联网络、信息技术的不断应用,社会环绕着流动而建构起来,为现实世界和网络世界带来全新的活力。而且,世界上不少国家对个人信息的有序流动都作了明确规定,由此不仅佐证了个人信息流动的现实性,更是表明了个人信息的客观存在性。例如,欧盟《一般数据保护条例》第4条规定,个人数据可被收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他利用,或被排列、组合、限制、删除或销毁,无论此操作是否采用自动化的手段。德国《联邦数据保护法》第3条规定,个人数据除了被存储、修改、转让、封锁和删除外,还能被自动处理。韩国《个人信息保护法》第2条规定,个人信息可被收集、生成、记录、存储、保留、增值处理、编辑、检索、更正、恢复、使用、提供、披露和销毁等。

另一方面,个人信息能反映个人的生活利益。信息的客体反映性,在个人信息领域,主要体现为对个人生活利益的反映。然而,生活利益具备多样性,不同类别的个人信息能反映不同形式的生活利益。具体而言,一是个人信息能反映个人的人身利益。例如,个人的姓名、身份证号码、工作单位等信息能反映个人的人格特征和身份特征。二是个人信息能反映个人的财产利益。比如,个人的电子账户名、支付口令、个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额、个人社保金额等信息能体现个人的财产利益。若行为人侵犯了这些个人信息,就会危及了财产利益,如侵犯网络服务身份信息和密码口令,往往会危及个人的财产利益和其他合法利益。三是个人信息能反映个人的其他利益。例如,个人的社交记录、家庭住址等信息,就能反映个人的社交需求、生活安宁等利益。四是部分个人信息也能反映国家安全、公共利益。这类似有论者所言的“个人信息具有公共性和社会性”。比如,基于大数据对个人信息的处理,往往与社会结构发展、社会利益相关;又如,包括个人信息在内的信息安全已全面融入国家的个人领域,成为影响国家安全的重要因素;再如,在个人信息之上承载了公共信息安全这一公共利益。

四、侵犯公民个人信息罪认定转向的新路径

侵犯公民个人信息罪认定的具体转向,在于规范违反、法益侵害认定新路径的构建。规范违反的认定,应由正向认定转向反向认定,而法益侵害的认定,其中法益定位的转变是重点,应从以法益主体为区分标准转向法益结构的内部考察。以此为基础,完成对该罪的有效认定。

(一)规范违反的反向认定

从正向认定角度看,《刑法》第253条之一的“违反国家有关规定”,看似是对构成要件要素的表述,但从反向认定角度看,却是对违法阻却事由的提示。据此来说,若行为人向他人出售或提供个人信息,情节严重的,或者将在履行职责或提供服务过程中获得的个人信息,出售或提供给他人的,均推定行为人具有违法性。亦即,若行为人的行为虽然满足向他人出售或提供个人信息的情形,但由于符合“国家有关规定”,则阻却违法。不过,为了更好地落实反向认定,发挥违法阻却事由的提示作用,首先要厘清违法阻却事由中“法”(“国家有关规定”)的范围,而后要对违法阻却事由的类别予以明确。

1.“国家有关规定”的范围限定

从反向认定角度看,规定“违反国家有关规定”,旨在提示侵犯个人信息的情形是否有违法阻却事由。也即,违法阻却事由需要在“国家有关规定”的范围里寻找,但根据前文,有关“国家有关规定”的范围,学界目前已有范围不同说、有限的范围不同说、范围相同说三类观点。就此而言,如何厘清其范围以更好地确定违法阻却事由,至关重要。

若将“违反国家有关规定”视作违法阻却事由的提示条款,意味着行为人向他人出售或提供个人信息的行为具有该当构成要件行为的性质,只是基于存在违法阻却事由而阻却违法性。由此看来,违法性的判断应先于违法阻却事由的考虑。而违法性的判断,离不开对违法性中“法”的理解。主流观点认为,此处的“法”有两层含义:一是行为违反了刑法法规;二是行为违反了整体法秩序。前者很好理解,即违法性的判断要依赖于刑法,而后者则须考虑行为与整体法秩序的背离程度。违法性尚且要对“法”予以理解,违法阻却事由亦不能例外。

就侵犯公民个人信息罪而言,“违反国家有关规定”被规定在《刑法》第253条之一中,毫无疑问,本身已是刑法法规的一部分,故考虑的重点转向了“违反国家有关规定”与违反整体法秩序之间关系的判断,毕竟其才是限定“国家有关规定”范围的关键。换言之,“国家有关规定”的范围限定就落在了整体法秩序的判断上。而整体法秩序的判断,要求内部法规范的合宪性(无矛盾性),毕竟合宪性解释是以法秩序的统一性为出发点的,“否则法秩序之统一性就荡然无存”。基于合宪性解释发现,根据《宪法》第62条、第67条的规定,全国人大有制定基本法律的权力,全国人大常委会有部分补充、修改基本法律的权力。刑法属于基本法律,全国人大常委会以修正案方式(《刑法修正案(九)》)增设“违反国家有关规定”,显然符合宪法的规定。但问题在于,到底哪一范围内的“国家有关规定”能规定“违法阻却事由”?尽管违法阻却事由并非是成立犯罪的事项,但由于是否定犯罪的事项,无疑也与犯罪事项密切关联。根据《立法法》第8条第4项的规定,有关“犯罪和刑罚”的事项只能制定法律。据此而言,“犯罪和刑罚”的事项应只能以法律的形式存在。也即,若“犯罪和刑罚”的事项完全被规定在低于法律位阶的规范之中,那么就违背了法律专属立法的要求。但我国实际情况却是,刑罚事项(法定刑)完全被规定在刑法之中,而犯罪事项(构成要件要素)则有可能全部或部分地规定在低于法律位阶的规范里。对于全部规定的情形,显然违背了《立法法》的规定。诚如有学者所言,若犯罪的行为类型或构成要件完全由行政法规规定,意味着空白刑法规范实际上是由行政机关制定的,因而也就违反了法律保留原则。若部分犯罪事项规定在行政法规层面的规范之中,一般认为并未违反法律专属立法的要求。因为国务院“制定行政法规,发布决定和命令”是宪法赋予的职权,且其是以宪法和法律为根据的。尽管《立法法》第9条规定:“本法第八条规定的事项尚未制定法律的,全国人民代表大会及其常务委员会有权作出决定,授权国务院可以根据实际需要,对其中的部分事项先制定行政法规,但是有关犯罪和刑罚、对公民政治权利的剥夺和限制人身自由的强制措施和处罚、司法制度等事项除外。”也即,规定“犯罪和刑罚”的事项,要有法律专属立法的要求。但是,“违反国家有关规定”列入刑法之中,说明其是由全国人大常委会基于《刑法》的增改而纳入的,并未违背法律专属立法的要求。况且,“国家有关规定”事关的是否定犯罪的事项,并非犯罪事项的全部。因而,在行政法规层面规定违法阻却事由,并非不符合宪法的规定。就此而言,“国家有关规定”的范围应限定为“国家规定”,即《刑法》第96条规定的全国人大及其常委会制定的法律和决定,以及国务院制定的行政法规、规定的行政措施、发布的决定和命令。而在同时,对于前文所述的“国家有关规定”是否包括部门规章?笔者认为,不宜纳入“国家有关规定”的范围。理由在于,“国家有关规定”乃国家机关作出的规定。也即,“国家有关规定”的制定机关应代表的是国家。根据《宪法》的规定,全国人大及其常委会、国务院属于国家层面的机关。换句话说,只有这些机关制定的相关规定才是“国家有关规定”,而部委和地方机关出台的有关规定,由于存在部门性、地方性,故不属于国家层面的规定。

2.违法阻却事由的类别划分

根据前文,侵犯公民个人信息罪违法阻却事由的存在,在于有“国家有关规定”。也即,符合“国家规定”的,则阻却违法性,否则以侵犯公民个人信息罪认定。梳理有关个人信息保护的“国家规定”,发现构成违法阻却事由的,大致有以下情形。

首先,根据“国家规定”,属于法益处分的情形。具体包括:(1)基于被害人的同意。例如,《个人信息保护法》第13条第1项规定,取得个人同意的,个人信息处理者方可处理个人信息;《民法典》第1035条规定,处理个人信息的,应征得该自然人或其监护人同意;《网络安全法》第41条第1款规定,网络运营者收集、使用个人信息,要经被收集者同意,等等。(2)基于合同的需要或双方的约定。比如,《个人信息保护法》第13条第2项规定,为订立、履行个人作为一方当事人的合同所必需或按依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的,个人信息处理者方可处理个人信息;《民法典》第1035条规定,处理个人信息的,不得违反双方的约定;《网络安全法》第41条第2款规定,网络运营者不得违反双方的约定收集、使用个人信息,等等。其次,根据“国家规定”,属于法益衡量的情形。“一般而言,法令行为之所以阻却违法性,是因为制定该法令时立法者已经进行了法益衡量并作出允许该行为合法化的判断。”具体涉及:(1)基于履行法定职责或义务的需要。例如,《个人信息保护法》第13条第3项规定,为履行法定职责或法定义务所必需的,可处理该个人信息。(2)基于应对突发事件、紧急情况的需要。比如,《个人信息保护法》第13条第4项规定,为应对突发公共卫生事件,或紧急情况下为保护自然人的生命健康和财产安全所必需的,可对个人信息进行处理。(3)基于公共利益的考量。例如,《个人信息保护法》第13条第5项规定,为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息。(4)基于依法合理处理的需要。比如,《个人信息保护法》第13条第6项规定,依照本法规定在合理的范围内,对个人自行公开或已合法公开的个人信息进行处理。最后,根据“国家规定”,属于无法益侵害的情形。换句话说,受侵害的信息,已不属于个人信息,即个人信息已被处理无法识别且不能复原的情形。

除了上述三种典型情形外,多数“国家规定”已规定“法律、行政法规规定的其他情形”,但要注意的是,要判断现存生效或新施行的法律、行政法规之间是否有冲突,毕竟“只要各个法律对同一问题作了不同的规定,而当某种事实又将这些不同的法律规定联系在一起时,法律冲突便会发生”。若有冲突的,首先要判断有冲突的“国家规定”的法律位阶,若存在不同位阶的,一般优先适用高位阶的规定,如法律与行政法规有冲突的,应适用法律;若处于同一法律位阶的,则根据《立法法》第92条的规定,特别规定与一般规定不一致的,适用特别规定,新的规定与旧的规定不一致的,适用新的规定。

(二)法益结构与法益侵害的认定

侵犯公民个人信息罪法益侵害的认定转向,其中法益定位的转变是重点,应从以法益主体为区分标准转向法益结构的内部考察,来完成对不同类型的不法行为侵害法益的认定。

1.法益的双层结构

如前所述,侵犯公民个人信息罪的法益乃个人信息权,但鉴于个人信息具有客观存在性、客体反映性的双重特点,因而该罪法益在结构上呈现出层次性。

其一,该罪的法益具有权利存在层。权利存在层之所以存在,这是由个人信息的客观存在性决定的。毕竟独立于个人而客观存在的个人信息,在自由流动中充分发挥着社会和经济价值,业已成为全社会的普遍诉求,故而被法律赋权,给予应有的法律保护。权利存在层直指权利本身。通常而言,若要理解侵犯公民个人信息罪法益的权利存在层,离不开两方面内容的把握。一方面,权利存在层强调的是个人对其个人信息享有的处理权限。由于个人信息能识别、有关于个人,故而个人有权保持对其个人信息的控制并有权决定披露和使用。所以《民法典》第1035条才规定,处理个人信息的,要征得该自然人或其监护人的同意。也就是说,既然权利存在层指向的是权利,权利乃自由与控制的统一体,因而其所体现的便是个人对其个人信息支配、处理的自主性。另一方面,权利存在层指向的并非是单一权利,其本质是以知情同意为核心所构建的权利集合。知情同意,意味着他人对个人信息的有权处理,是建立在个人(信息主体)充分知情的前提下同意才可进行的。而权利集合,旨在强调处理权限的多样化,个人对他人处理其个人信息一项权限的认可,并不意味着他人也可自由行使其他权限,所以《个人信息保护法》才在“个人在个人信息处理活动中的权利”一章中对知情、决定、查阅、复制、更正、补充、删除、解释说明等具体权限分别予以规定。

其二,该罪的法益也有利益反映层。之所以存在利益反映层,此乃个人信息的客体反映性决定的。梳理前文,利益反映层的表现通常有:一是有些个人信息能反映个人的生活利益,即要么是单独反映个人的人身利益、财产利益或其他个人利益,要么是对这些生活利益的复合反映;二是有些个人信息能反映超个人的生活利益,即单独或复合反映国家安全、公共利益;三是有些个人信息既能反映个人的生活利益,也能反映国家安全或公共利益。总之,若认可侵犯公民个人信息罪法益利益反映层的存在,那么就不得不承认个人信息反映多元生活利益的事实。但是,利益反映层的存在,并不意味着个人信息直接就是人身利益、财产利益、国家安全或公共利益,这些利益往往只有经过对个人信息的直接利用才能再现的,即属于利益反映层现实化的情形。这也就是为什么《刑法》第253条之一设置的刑罚总体不高(最高有期徒刑7年)的原因。否则的话,一旦出现侵犯个人信息的不法情形,便直接视为对人身利益、财产利益、国家安全或公共利益的侵犯,那么如此设置刑罚便易导致罪刑失衡了。因此,利益反映层旨在反映生活利益,而非生活利益本身,若出现利益反映层现实化的,一般则是转化为他罪名要保护的法益(以下简称他罪法益)了。

基于以上,要准备定位侵犯公民个人信息罪的法益,其权利存在层、利益反映层的关系必须弄清。一方面,权利存在层、利益反映层是独立存在的,这是该罪法益定位的基础。通常而言,法益包括“生活利益与法的要保护性两个要素”。该罪法益权利存在层的存在,说明能识别、有关于个人的个人信息,要在流动中彰显其社会价值,就须构建并完善个人对其个人信息的处理权限,而这恰恰是法的要保护性的体现,即法重视个人对其个人信息处理权限的保护,强调个人信息的处理自主性。而利益反映层的存在,说明了生活利益的存在性,只不过相比他罪法益所表现出来的生活利益单一性而言,利益反映层反映生活利益的多元性是其特有属性。因而,权利存在层、利益保护层的独立存在,满足了法益构成的所需要素,为该罪法益的准确定位奠定了基础。另一方面,权利存在层和利益反映层是彼此制约的,这是该罪法益定位的关键。该罪法益的定位,不能仅仅限于权利存在层,也不能完全拘泥于利益反映层,二者都须成就方可完成法益的厘定。反过来讲,若个人信息反映的生活利益已全然是国家安全、公共利益,即使能识别、有关于个人,但个人处理时会危及国家安全、公共利益的话,亦就限定甚至丧失了个人对其个人信息的自主处分性,如含有国家秘密或军事秘密的个人信息,个人自由处理的权限必然受限。易言之,若只考虑权利存在层,便只看到法对个人自主处理其个人信息的要保护性,却忽视了生活利益多元化反映的事实;若只考虑利益反映层,一旦利益反映层现实化,基于他罪法益所表现出来的生活利益单一性,定然与之重叠,不利于罪名竞合的厘清。总之,侵犯公民个人信息罪的法益结构呈现层次性,既有权利存在层,亦有利益反映层,二者独立存在、彼此制约,才能完成对该罪法益的准确定位。

2.法益侵害的认定

侵犯公民个人信息罪法益侵害的认定,考察的主要是不法行为对法益的侵害。按照行为流程的不同,不法行为常分三类:一是前端不法行为,即行为人实施个人信息获取端的不法行为,包括窃取、获取、收集个人信息等;二是中端不法行为,即行为人实施个人信息利用端的不法行为,包括使用、加工、篡改、损毁个人信息等;三是后端不法行为,即行为人实施个人信息提供端的不法行为,包括出售、提供、公开个人信息等。在无违法阻却事由且符合罪量(达到情节严重)的情形下,该罪法益侵害的认定,有必要基于权利存在层、利益反映层的存在作以下认定。

第一,在前端不法行为上,若行为人只获取个人信息,根据《刑法》第253条之一的规定,其侵害了权利存在层,不论利益反映层所反映的是何种生活利益,都该当《刑法》第253条之一的构成要件,直接以侵犯公民个人信息罪定罪处罚。

第二,在中端不法行为上,若行为人利用了个人信息,由于利用行为未被纳入《刑法》第253条之一的规定中来,所以认定的重心转为是否有利益反映层现实化值得以他罪评价的情形。若行为人利用个人信息导致利益反映层现实化的,即侵犯他罪法益的,则以他罪定罪处罚。例如,行为人非法利用他人个人信息窃取其电子账户资金的,基于以利用个人信息为实行手段侵犯他罪法益(财产权)的,则以盗窃罪评价。不过,也有些利用个人信息所现实化的生活利益并非是当前刑法保护的,如行为人经个人的知情同意收集了5000人的个人信息(姓名+电话),并利用这些信息深夜拨打电话进行长期骚扰的。相比前述情形,这种利用情形的特点在于,不仅权利存在层的侵害未被规定在《刑法》第253条之一中,而且利益反映层的现实化也未受到刑法的应有保护。但是,鉴于其与前后端不法行为所造成的侵害具有相当性,因而有必要将此情形纳入该罪的评价范围。可以说,这也是对部分论者所言“对数据滥用的行为缺乏必要的规制”的积极回应。据此而言,建议在《刑法》第253条之一中增加“利用”的行为要素,同时考虑到利益反映层现实化受他罪评价的可能,建议增设“利用个人信息同时构成其他犯罪的,依照处罚较重的规定定罪处罚”的条款,以应对罪名重复评价的困境。

第三,在后端不法行为上,只要行为人实施了此类行为,意味着侵害了权利存在层,但囿于利益反映层现实化与否,所以要考虑:其一,单纯实施后端不法行为的,即不属于为他人利用个人信息犯罪提供帮助的情形,不论其如何影响利益反映层,都构成对侵犯公民个人信息罪法益的侵犯,应以该罪评价。其二,实施后端不法行为,为他人利用个人信息犯罪提供了帮助的,要结合利益反映层现实化的具体情形来判断。展开而论,若他人因利用个人信息现实化了利益反映层而被他罪评价的,就行为人而言,应在他罪(帮助犯)与本罪之间择一重罪评价;若行为人同时实施了前后端不法行为的,如既获取他人个人信息又提供给他人的,当后端不法行为不成立他罪(帮助犯)的,即前后端不法行为都只对权利存在层、利益反映层构成侵害的,则只以本罪评价。反之,若出现利益反映层现实化,符合多个构成要件的Vgl.Maurach,Gössel,Zipf,,Teil2,C.F.Müller,2014,S.659.,才考虑罪名的竞合或并罚问题。举例来说,当行为人明知他人获取个人财产信息用于诈骗犯罪,仍向其提供的,则行为人触犯了侵犯公民个人信息罪,同时由于为他人诈骗现实化的财产利益提供了犯罪帮助,因而也构成诈骗罪(帮助犯)。基于只有“提供”这一个不法行为,为了防止重复评价,则行为人应在侵犯公民个人信息罪和诈骗罪(帮助犯)之间择一重罪评价;而他人此时既有前端不法行为,又因利用个人财产信息使被害人财产利益受到侵害的,则应两罪并罚。此外,对于有学者指出的,在网上非法买卖身份证、银行卡等身份信息的黑色产业链中,个人信息的“叫卖者”为防范法律风险,会与愿意出售自身信息的公民签订“个人信息转让授权书”大量获取个人信息,而后将其转卖他人进而用于售假、诈骗的情形,关键要判断个人是否有授权权限,若有授权权限但“个人信息转让授权书”未告知再转让的情形,行为人违约转让的,则侵害了权利存在层、利益反映层。若这些公民知情同意再转让的,则“叫卖着”未侵害权利存在层,但明知他人利用这些信息进行售假、诈骗而为其提供的,则现实化了利益反映层,符合售假、诈骗犯罪规定的,应以该类犯罪(帮助犯)认定。

五、结语

社会向前发展离不开对个人信息的有效保护,而如何合理认定侵犯公民个人信息罪,始终是绕不开的论题。理论上,将侵犯公民个人信息罪定位为自然犯抑或法定犯是个不错的选择。然而,无论是将该罪定位为自然犯还是法定犯,规范违反和法益侵害的认定,无疑是关键所在。传统上,规范违反的认定,基于“违反国家有关规定”的存在,对其正向认定是主要做法;法益侵害认定的重心在于法益的定位,而有关该罪法益的定位,无论是个人法益说,还是超个人法益说,都是停留于以法益主体为区分标准的表面,并未深入法益结构内部予以探究。侵犯公民个人信息罪认定的应然转向是必然趋势。不论是规范违反的认定,还是法益侵害的认定,都有转向的事实基础和规范基础。有鉴于此,规范违反的认定,有必要由正向认定转向反向认定。“违反国家有关规定”并非是对构成要件要素的表述,而是对违法阻却事由的提示。违反“国家有关规定”的阻却事由,基于法秩序的统一性,实则是违反“国家规定”的阻却事由,其类别划分应依照“国家规定”来判断。法益侵害的认定转向,其中法益定位的转变是重点,应从以法益主体为区分标准转向法益结构的内部考察。侵犯公民个人信息罪的法益乃个人信息权,但鉴于个人信息的客观存在性和客体反映性,因而法益在结构上呈现出层次性,既有权利存在层,也有利益反映层。二者的独立存在与彼此制约,不但决定了该罪法益的准确定位,也对不同类型的不法行为侵害法益的层次认定起到很好的限定作用。