大数据背景下侵犯公民个人信息犯罪研究*
詹星**
随着科技和网络的迅速发展,公民的个人信息承载了越多越多的内容和利益。如今,公民个人信息中的身份信息既是一种实现便捷舒适生活的生活工具,又是在网络大数据背景下特别容易被犯罪分子用以实施犯罪的犯罪工具。这导致侵犯公民个人信息的犯罪呈爆发式增长。
两高在2017年5月份联合发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下简称《侵犯个人信息问题解释》。《侵犯个人信息问题解释》对《刑法》第二百五十三条之一规定的“侵犯公民个人信息罪”在司法实践中的具体适用作出了详细的规定,一定程度上增加了法官在司法实践中的可操作性,也对一些模棱两可的问题起到了一定的定分止争的作用。自《侵犯个人信息问题解释》发布,已经过去三年之多,尽管不少争议问题已经由于该解释的发布而逐渐得到解决,但由于实际情况的复杂性以及该解释的不全面不充分性,所以部分问题仍存在很大争议,而且同案不同判的现象也经常出现。本文拟结合《侵犯个人信息问题解释》发布后司法实践中仍存在的问题,对侵犯公民个人信息罪的入罪边界进行深入探讨。
一、公民个人信息的范围
一般认为,公民个人信息的构成要素有二:实质要素和形式要素。前者指个人信息可以直接或间接识别到本人,后者指个人信息必须得以固定和可以处理。[1]不管是我国法律还是域外法律,大多都将前者作为个人信息的判断标准之一,也即“识别性”。例如,我国早在2012年12月份就出台了《关于加强网络信息保护的决定》,其中规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。该决定虽然没有明确提出“个人信息”这一概念,但本质上已打算将普通的电子信息和可识别个人身份的电子信息予以区分,对具有识别性的电子信息进行特殊保护。2016年11月份,《网络安全法》正式出台,其首次在法律层面对“个人信息”做了明确定义。[2]该定义采取的是“识别说”标准。域外法律,如欧盟及其绝大多数成员国也都明确采用了“识别说”来定义“个人信息”,如2018年欧盟出台的《通用数据保护条例》(GDPR)第4条规定,个人数据是指任何已识别或可识别的自然人相关的信息。[3]由此可见,信息能否被识别是判断其是否为公民个人信息的重要标准。
(一)进行间接识别应以合理的方式进行
在识别的过程中,比较重要的是识别方式的问题。识别方式通常分为直接识别和间接识别。“姓名+电话号码”这种个人信息属于能够直接识别到个人的信息;而如果只有“姓名+所读小学”,因为其匹配的个体可能为两个或两个以上,识别结果不够精准,所以不属于能够直接识别的信息。至于其是否属于能够间接识别个人的信息,得看是否可以根据姓名和所读小学信息,再结合其他特征信息,如相貌、身高,来识别到具体的一个人。如果可以,则“姓名+小学信息”属于可间接识别的个人信息。能够进行直接识别的信息一般不存在争议,存在模糊界限的是能够间接识别的信息。
间接识别通常需要借助其他信息进行辅助识别,由此产生一个问题:如果有足够的精力和时间,任何细小的看似微不足道的信息,都可以通过联结其他信息的方式把具体个人定位出来。比如,看似不重要的个人饮食偏好,在单独被不法分子获取时,不能起到直接或间接识别到个人的作用。但如果再加上性别,体重,年龄,所在城市,消费记录等信息,则可能可以间接识别到具体的个人。此时需要解决的问题是,如何判断某个信息是否属于间接信息。该问题也被称为“识别的可能性问题”。虽然在大数据时代可能仅仅凭众多琐碎信息进行对比分析后就识别到具体个人,但间接识别必须考虑成本、数据处理技术。[4]因此本文认为,在识别的可能性问题上,应强调以合理的方式进行。某信息在通过合理途径分析对比后若可以间接识别到个人则属于间接信息,反之则不是。合理方式是指社会一般人通过简单的搜索或询问,即可识别到具体个人。倘若需要花费巨大精力,且动用很大的权限,如某信息需要在公安局工作的朋友在公安内部系统查询后才能匹配到具体个人的,则该信息不属于可以间接识别的公民个人信息,因为其识别途径并不合理。
笔者在这里并不同意欧盟工作组在识别的可能性问题上提出的采用“所有可能合理使用的手段”来识别信息是否为个人信息。欧盟工作组认为,为确定自然人是否可识别,应考虑所有可能使用的合理手段。为确定手段是否合理,应考虑所有客观因素,如识别成本,识别耗时,以及识别所需要使用到的技术等。[5]尽管根据识别成本和识别耗时等因素来判断识别手段是否合理的标准具有一定说服力,但笔者认为,不应当耗尽所有合理手段来判断自然人是否识别,以确认某信息是否属于间接识别的信息。因为不同行为人所处地位不同,所以不同行为人所具有的合理手段并不相同;如果不区分行为主体的具体情况,机械地认定合理手段的与否,将会导致间接识别的个人信息的范围被不合理地扩大。例如,对于相同的“姓名+所读班级+考试成绩”的个人信息,被校长用来识别具体学生与被其他班级同学用来识别同学所耗费的成本和时间精力是不一样的。因此如果该类个人信息被校长所侵犯,则该组信息大多数属于间接识别的个人信息。因为校长的权限很大,其只要在其权限范围之内耗费合理的精力即可查询到具体的学生。但如果该类个人信息被同校同学所侵犯,该组信息一般不属于间接识别的个人信息,因为其可能需要耗费巨大的时间精力成本才能查询到具体的同学。
(二)进行间接识别需注意被识别主体的差异性
由上可知,合理手段的判断与否还跟侵犯公民个人信息的行为主体有关,因此判断手段合理与否时应考虑犯罪者所在领域的具体情况。申言之,如果某犯罪者所在平行领域的一般人根据某信息,花费合理的时间和精力后仍不能识别到具体个人,则该信息在行为人这里不属于间接识别的公民个人信息。不能因为某手段在其他人的领域里面属于合理手段,就推定该信息在行为人这里也能通过该合理手段被识别。因此,某信息是否属于可以间接识别的个人信息的重要标准是,判断行为人所在平行领域的一般人能否使用合理手段对该个人信息进行识别。如果使用合理手段后可以识别到具体个人,则为间接识别的个人信息。反之则不是。
在【李悦锋、龚文超等人侵犯公民个人信息案】中[6],法院认为被告人出售的电话号码信息属于个人信息,但被出售的信息中大部分只有电话号码,只有少部分备注有名字。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定,该法院认为本案公民个人的电话号码虽无法单独识别公民个人身份,但在手机号码实名制的大环境下,其本身能够与特定自然人直接关联,且结合其他信息能够识别公民个人身份,符合解释中对公民个人信息范围的规定,属于公民个人信息。本文并不同意这一观点。因为尽管在当前环境下手机号码已经实名制,但手机号码背后所对应的公民身份只有有权限的行政机关才能获取,对于诸如被告人李悦锋、龚文超等普通民众,其出售、提供仅具有电话号码的信息,并不会侵犯到公民的个人信息权。所以,本文认为在对信息进行间接识别时,必须考虑主体的差异性。如果不考虑主体的差异性,那么将会无限地扩大侵犯公民个人信息的犯罪圈。
二、对侵犯公民个人信息罪情节严重的理解
侵犯公民个人信息罪在定罪量刑上采用了“情节犯”的模式。由此带来的最大问题是认定情节严重标准的模糊性和不统一性。为指导司法实践,最高法、最高检、公安部等部门先后针对侵犯公民个人信息罪情节严重的认定作出了相应的解释。例如《侵犯个人信息问题解释》在第五条和第六条中对情节严重和情节特别严重的情形进行了详细规定,但在具体标准的认定过程中,该司法解释仍存在难以指导力度不足的问题。
(一)“出售或提供行程轨迹被他人用于犯罪”这一情节属于构成要件要素
对于《侵犯公民个人信息问题解释》第五条第一款规定的“出售或提供行程轨迹被他人用于犯罪”,是否需要行为人对他人的犯罪事实有所认知才构成犯罪,司法解释未明确予以规定。司法实践中通常做法是不要求行为人对他人购买公民个人信息的用途有所认知。如在【包芳停侵犯公民个人信息案】[7]中,辩护人提出,包芳停向陈某出售个人信息时并不知道陈某购买个人信息的用途,陈某将该信息用于犯罪的情形不应作为包芳停的量刑依据。但法院认为,“出售公民个人行踪轨迹信息被他人用于犯罪”并不要求出售信息者明知公民个人信息的用途,包芳停仍构成侵犯公民个人信息罪。
对于这一问题,理论界存在诸多争议。“被他人用于犯罪”在刑法理论上称为“第三方介入因素”。对于“第三方介入因素”在刑法阶层体系中的地位,存在“构成要件要素说”、“客观处罚条件说”。前者的代表性观点是张明楷教授借用日本刑法中的“主观超过要素”而创造出来的“客观超过要素”理论。按照张教授的观点,“第三方介入因素”仍属于“构成要件要素”,因此构成犯罪需要行为人对“第三方介入因素”有所认识,但不要求具有明确的故意或过失,只需具备认识可能性即可。[8]主张后者观点的代表性学者是周光权教授,周教授认为,内在的客观处罚条件是将行为所产生的法益危害提升到刑法所预设的可罚性事实的过渡条件。[9]客观处罚条件大多数表现为一种危害结果,且其与之前的犯罪行为之间并不是毫无联系,该种结果通常是之前犯罪行为的可能性结果之一。但是,客观处罚条件是否出现,行为人很难明确掌握,因为这取决于诸多偶然因素。因此对于客观处罚条件,不要求行为人对其具有明确的认知,只要求其对这种可能性结果具有“极有可能发生”的高度模糊性认知即可。
具体到侵犯公民个人信息罪,对“被他人用于犯罪”这一事实犯罪行为人应当具备怎样的认识,本文认为应当从本罪所保护的法益出发。对于本罪所保护的法益,学界存在两种观点,“个人法益说”和“超个人法益说”。“个人法益说”又可以具体分为“隐私权说”[10]、“隐私权加其他权利说”[11]和“公民个人生活安宁说”[12]等学说。超个人法益说则认为,公民个人信息不仅与个人信息安全和生活安宁息息相关,而且还关系到社会公共利益、国家安全,因此公民个人信息不仅是一种个人法益,而且具有超个人法益的性质。[13]本罪所保护的法益究竟是“个人法益”还是“超个人法益”这一争论直到现在学界仍未达成共识。但本文认为,这一问题并不影响本文所讨论的“是否要求行为人对公民个人信息被他人用于犯罪这一事实具有明确认知”这一问题的结论。因为不管是将公民个人信息权理解为何种法益,只要行为人实施了侵犯公民个人信息的行为,即会侵犯本罪的法益。因为即使是“超个人法益”,其也是“个人法益”,也即公民个人信息首先是个人法益,然后才具有超个人法益属性。[14]所以即使行为人提供公民个人信息给其他人,他人没有用于犯罪,行为人也侵犯了本罪所保护的法益。
那么,司法解释在这里为什么还要特定规定只有这些信息被他人用于犯罪,才构成侵犯公民个人信息罪的情节严重呢?理由是,存在部分侵犯公民个人信息行为其在量上未达到值得刑法处罚的标准。比如某行为人向他人提供行踪轨迹信息40条,在定量标准上未达情节严重所规定的“50条”,此时需要结合该行为的性质,也即该行为是否为他人的犯罪事实提供了便利条件,来从行为的性质上判断是否构成情节严重。因此,本文认为,出售或提供行程信息被他人用于犯罪,属于构成要件要素,只有具备该构成要件要素,侵犯公民个人信息的行为才值得刑法处罚。
(二)行为人需要对公民信息“被他人用于犯罪”有所认知,但无须认识到具体的犯罪后果
对于该构成要件要素,需要行为人认识到其所提供的公民个人信息可能“被他人用于犯罪”的基础事实。但这里不要求行为人对他人利用该信息所产生的具体犯罪后果有所认知。因为“被他人用于犯罪”仅仅是表征行为人侵犯公民个人信息严重的程度一种方式,其并不是行为人侵犯公民个人信息的直接后果。我国刑法只要求行为人对犯罪结果具有故意或过失,因此“被他人用于犯罪”所产生的后果行为人不再需要有所认识,行为人只需要预见到他人可能会将其所提供或出售的信息用于犯罪即可。[15]例如,行为人知道他人可能会将其所提供或出售的公民个人信息用以网络诈骗,但实际上,他人没有将该些信息用于网络诈骗,而是用于非法索债。此时并不影响侵犯公民个人信息罪情节严重的成立。因为他人确实已经将该些信息用于犯罪,只不过犯罪的具体方式不同。但需要注意的是,倘若他人获取信息后没有将其用于犯罪,则不能认定情节严重的成立。因为行为人此时的违法行为的可罚性并未达到值得刑法处罚的程度,缺少了“他人用于犯罪”这一条件对行为可罚性的加攻。
三、对非法利用公民个人信息行为的规制
根据《刑法》第二百五十三条之一的规定,侵犯公民个人信息的行为类型可分为向他人提供型和自己获取型。按照现行刑法的规定,非法使用公民个人信息的行为实际上并不构成犯罪。在《刑法修正案(九)草案》的立法过程中,其实早有专家建议借鉴国外立法,将非法使用公民个人信息的行为予以犯罪化,但最终该意见未被采纳。[16]之所以没有将非法使用的行为纳入刑法的打击范围,是因为在非法利用行为大量出现并类型化之前,一般认为打击侵犯个人信息犯罪是法益保护前置化的一种表现,因此打击重点在于处于犯罪链前端的非法提供和非法获取行为。[17]但司法实践中,实际上还存着仅仅非法使用公民个人信息的情形。特别是在侵犯公民个人信息犯罪产业链越来越精细化的背景下,非法获取和非法使用公民个人信息的主体完全可能是截然不同的主体。但按照现行刑法的规定,很难将这种仅仅非法使用公民个人信息的行为纳入刑法的评价范围。
针对非法使用公民个人信息的行为应该如何进行评价,有观点认为应“按照现在的其他犯罪进行处理”。该论者认为,单纯使用公民个人信息的行为虽然没有入罪,但如果该使用行为涉及其他犯罪,可按照其他犯罪进行处理。如行为人所使用的公民个人信息系窃取或以其他方式获取的,则可以对获取行为按照侵犯公民个人信息罪处理。[18]笔者认为该种观点欠妥,因为在现实中完全可能出现某主体具有权限合法获取公民个人信息,然后将这些信息进行违规使用的。如某电商平台卖家因其顾客量巨大,其手上掌握着许多买家的收获地址和收货电话。之后该卖家不顾买家反对,一直往买家的手机发送推销短信甚至发送内容为索要买家好评的骚扰短信。这些行为不仅违反了电商平台的规章制度[19],给顾客的生活安宁造成了巨大的困扰。而且实际上已经侵犯公民的个人信息权,因为不管将公民的个人信息权理解为隐私权,还是理解为生活安宁,抑或是人格尊严和个人自由,这种违背他人意志强行推销或索要好评的行为,都侵犯了公民的个人信息权。又比如现实中还会发生一些公民在网络平台借贷留下的信息被平台私自用来办理多张异地信用卡,以及被用来在多家其他平台进行借款。总而言之,这些行为的法益侵害性其实已经可以和非法提供、窃取他人个人信息行为的法益侵害性相提并论。[20]但细究现行刑法会发现,并没有相关法律条文对该种行为进行规制,因此急需增设专门的“非法使用公民个人信息罪”。
---------------------------------
* 本文系广东省人民检察院2020年检察理论研究课题《网络大数据视角下侵害公民个人信息刑事犯罪问题研究》(GDJC202036)的阶段性研究成果。
** 广东省惠州市人民检察院副检察长。
[1] 参见齐爱民:《个人信息保护法研究》,载《河北法学》2008年第4期。
[2] 个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
[3] 参见欧盟《通用数据保护条例》(GDPR),https://gdpr-info.eu/art-4-gdpr/,最后访问日期:2020年10月8日。
[4] See Article 29 Data Protection Working Party.Opinion 4/2007 on the concept of personal data,01248/07/ENWP136.
[5] 参见欧盟《通用数据保护条例》(GDPR)的立法说明第二十六条,https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC,最后访问日期:2020年10月8日。
[6] 参见广东省惠州市人民法院(2020)粤1322刑初133号刑事判决书。
[7] 参见广东省惠州市人民法院(2020)新01刑终97号刑事判决书。
[8] 参见张明楷:《刑法学》(第五版),法律出版社2016年版,第261-262页。
[9] 参见周光权:《论内在的客观处罚条件》,载《法学研究》2010年第6期,第123页。
[10] 参见张明楷:《刑法学》(第五版),法律出版社2016年版,第921页。
[11] 陈兴良教授认为,本罪所保护的法益是自由、安全和隐私权。参见陈兴良:《刑法学》(第三版),复旦大学出版社2016年版,第256页。刘艳红教授认为,本罪所保护的法益包括隐私不受侵犯的权利,也包括公民的隐私自决权。参见刘艳红主编:《刑法学(下)》(第二版),北京大学出版社2016年版,第254页。
[12] 参见胡胜:《侵犯公民个人信息罪的犯罪对象》,载《人民司法》2015年第7期,第40页。
[13] 参见曲新久:《论侵犯公民个人信息犯罪的超个人法益属性》,载《人民检察》2015年第11期。
[14] 同上。
[15] 参见陈少青:《罪量与可罚性》,载《中国刑事法杂志》2017年第1期。
[16] 参见喻海松:《刑法的扩张——〈刑法修正案(九)〉及新近刑法立法解释司法适用解读》,人民法院出版社2015年版,第148页。
[17] 参见王肃之:《侵犯公民个人信息罪行为体系的完善》,载《河北法学》2017年第7期。
[18] 参见喻海松:《侵犯公民个人信息罪司法适用探微》,载《中国应用法学》2017年第4期。
[19] 以天猫电商平台为例,天猫平台在《滥发其他信息的规则解读》的第十一条中明确规定,引导好评等营销类操作是违规的。参见《滥发其他信息的规则解读》,https://rule.tmall.com/tdetail-11000265.htm?spm=a311a.9588098.0.0,最后访问日期:2020年10月8日。
[20] 参见刘仁文:《论非法使用公民个人信息行为的入罪》,载《法学论坛》2019年第6期。
大数据背景下侵犯公民个人信息犯罪研究*
詹星**
随着科技和网络的迅速发展,公民的个人信息承载了越多越多的内容和利益。如今,公民个人信息中的身份信息既是一种实现便捷舒适生活的生活工具,又是在网络大数据背景下特别容易被犯罪分子用以实施犯罪的犯罪工具。这导致侵犯公民个人信息的犯罪呈爆发式增长。
两高在2017年5月份联合发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下简称《侵犯个人信息问题解释》。《侵犯个人信息问题解释》对《刑法》第二百五十三条之一规定的“侵犯公民个人信息罪”在司法实践中的具体适用作出了详细的规定,一定程度上增加了法官在司法实践中的可操作性,也对一些模棱两可的问题起到了一定的定分止争的作用。自《侵犯个人信息问题解释》发布,已经过去三年之多,尽管不少争议问题已经由于该解释的发布而逐渐得到解决,但由于实际情况的复杂性以及该解释的不全面不充分性,所以部分问题仍存在很大争议,而且同案不同判的现象也经常出现。本文拟结合《侵犯个人信息问题解释》发布后司法实践中仍存在的问题,对侵犯公民个人信息罪的入罪边界进行深入探讨。
一、公民个人信息的范围
一般认为,公民个人信息的构成要素有二:实质要素和形式要素。前者指个人信息可以直接或间接识别到本人,后者指个人信息必须得以固定和可以处理。[1]不管是我国法律还是域外法律,大多都将前者作为个人信息的判断标准之一,也即“识别性”。例如,我国早在2012年12月份就出台了《关于加强网络信息保护的决定》,其中规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。该决定虽然没有明确提出“个人信息”这一概念,但本质上已打算将普通的电子信息和可识别个人身份的电子信息予以区分,对具有识别性的电子信息进行特殊保护。2016年11月份,《网络安全法》正式出台,其首次在法律层面对“个人信息”做了明确定义。[2]该定义采取的是“识别说”标准。域外法律,如欧盟及其绝大多数成员国也都明确采用了“识别说”来定义“个人信息”,如2018年欧盟出台的《通用数据保护条例》(GDPR)第4条规定,个人数据是指任何已识别或可识别的自然人相关的信息。[3]由此可见,信息能否被识别是判断其是否为公民个人信息的重要标准。
(一)进行间接识别应以合理的方式进行
在识别的过程中,比较重要的是识别方式的问题。识别方式通常分为直接识别和间接识别。“姓名+电话号码”这种个人信息属于能够直接识别到个人的信息;而如果只有“姓名+所读小学”,因为其匹配的个体可能为两个或两个以上,识别结果不够精准,所以不属于能够直接识别的信息。至于其是否属于能够间接识别个人的信息,得看是否可以根据姓名和所读小学信息,再结合其他特征信息,如相貌、身高,来识别到具体的一个人。如果可以,则“姓名+小学信息”属于可间接识别的个人信息。能够进行直接识别的信息一般不存在争议,存在模糊界限的是能够间接识别的信息。
间接识别通常需要借助其他信息进行辅助识别,由此产生一个问题:如果有足够的精力和时间,任何细小的看似微不足道的信息,都可以通过联结其他信息的方式把具体个人定位出来。比如,看似不重要的个人饮食偏好,在单独被不法分子获取时,不能起到直接或间接识别到个人的作用。但如果再加上性别,体重,年龄,所在城市,消费记录等信息,则可能可以间接识别到具体的个人。此时需要解决的问题是,如何判断某个信息是否属于间接信息。该问题也被称为“识别的可能性问题”。虽然在大数据时代可能仅仅凭众多琐碎信息进行对比分析后就识别到具体个人,但间接识别必须考虑成本、数据处理技术。[4]因此本文认为,在识别的可能性问题上,应强调以合理的方式进行。某信息在通过合理途径分析对比后若可以间接识别到个人则属于间接信息,反之则不是。合理方式是指社会一般人通过简单的搜索或询问,即可识别到具体个人。倘若需要花费巨大精力,且动用很大的权限,如某信息需要在公安局工作的朋友在公安内部系统查询后才能匹配到具体个人的,则该信息不属于可以间接识别的公民个人信息,因为其识别途径并不合理。
笔者在这里并不同意欧盟工作组在识别的可能性问题上提出的采用“所有可能合理使用的手段”来识别信息是否为个人信息。欧盟工作组认为,为确定自然人是否可识别,应考虑所有可能使用的合理手段。为确定手段是否合理,应考虑所有客观因素,如识别成本,识别耗时,以及识别所需要使用到的技术等。[5]尽管根据识别成本和识别耗时等因素来判断识别手段是否合理的标准具有一定说服力,但笔者认为,不应当耗尽所有合理手段来判断自然人是否识别,以确认某信息是否属于间接识别的信息。因为不同行为人所处地位不同,所以不同行为人所具有的合理手段并不相同;如果不区分行为主体的具体情况,机械地认定合理手段的与否,将会导致间接识别的个人信息的范围被不合理地扩大。例如,对于相同的“姓名+所读班级+考试成绩”的个人信息,被校长用来识别具体学生与被其他班级同学用来识别同学所耗费的成本和时间精力是不一样的。因此如果该类个人信息被校长所侵犯,则该组信息大多数属于间接识别的个人信息。因为校长的权限很大,其只要在其权限范围之内耗费合理的精力即可查询到具体的学生。但如果该类个人信息被同校同学所侵犯,该组信息一般不属于间接识别的个人信息,因为其可能需要耗费巨大的时间精力成本才能查询到具体的同学。
(二)进行间接识别需注意被识别主体的差异性
由上可知,合理手段的判断与否还跟侵犯公民个人信息的行为主体有关,因此判断手段合理与否时应考虑犯罪者所在领域的具体情况。申言之,如果某犯罪者所在平行领域的一般人根据某信息,花费合理的时间和精力后仍不能识别到具体个人,则该信息在行为人这里不属于间接识别的公民个人信息。不能因为某手段在其他人的领域里面属于合理手段,就推定该信息在行为人这里也能通过该合理手段被识别。因此,某信息是否属于可以间接识别的个人信息的重要标准是,判断行为人所在平行领域的一般人能否使用合理手段对该个人信息进行识别。如果使用合理手段后可以识别到具体个人,则为间接识别的个人信息。反之则不是。
在【李悦锋、龚文超等人侵犯公民个人信息案】中[6],法院认为被告人出售的电话号码信息属于个人信息,但被出售的信息中大部分只有电话号码,只有少部分备注有名字。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定,该法院认为本案公民个人的电话号码虽无法单独识别公民个人身份,但在手机号码实名制的大环境下,其本身能够与特定自然人直接关联,且结合其他信息能够识别公民个人身份,符合解释中对公民个人信息范围的规定,属于公民个人信息。本文并不同意这一观点。因为尽管在当前环境下手机号码已经实名制,但手机号码背后所对应的公民身份只有有权限的行政机关才能获取,对于诸如被告人李悦锋、龚文超等普通民众,其出售、提供仅具有电话号码的信息,并不会侵犯到公民的个人信息权。所以,本文认为在对信息进行间接识别时,必须考虑主体的差异性。如果不考虑主体的差异性,那么将会无限地扩大侵犯公民个人信息的犯罪圈。
二、对侵犯公民个人信息罪情节严重的理解
侵犯公民个人信息罪在定罪量刑上采用了“情节犯”的模式。由此带来的最大问题是认定情节严重标准的模糊性和不统一性。为指导司法实践,最高法、最高检、公安部等部门先后针对侵犯公民个人信息罪情节严重的认定作出了相应的解释。例如《侵犯个人信息问题解释》在第五条和第六条中对情节严重和情节特别严重的情形进行了详细规定,但在具体标准的认定过程中,该司法解释仍存在难以指导力度不足的问题。
(一)“出售或提供行程轨迹被他人用于犯罪”这一情节属于构成要件要素
对于《侵犯公民个人信息问题解释》第五条第一款规定的“出售或提供行程轨迹被他人用于犯罪”,是否需要行为人对他人的犯罪事实有所认知才构成犯罪,司法解释未明确予以规定。司法实践中通常做法是不要求行为人对他人购买公民个人信息的用途有所认知。如在【包芳停侵犯公民个人信息案】[7]中,辩护人提出,包芳停向陈某出售个人信息时并不知道陈某购买个人信息的用途,陈某将该信息用于犯罪的情形不应作为包芳停的量刑依据。但法院认为,“出售公民个人行踪轨迹信息被他人用于犯罪”并不要求出售信息者明知公民个人信息的用途,包芳停仍构成侵犯公民个人信息罪。
对于这一问题,理论界存在诸多争议。“被他人用于犯罪”在刑法理论上称为“第三方介入因素”。对于“第三方介入因素”在刑法阶层体系中的地位,存在“构成要件要素说”、“客观处罚条件说”。前者的代表性观点是张明楷教授借用日本刑法中的“主观超过要素”而创造出来的“客观超过要素”理论。按照张教授的观点,“第三方介入因素”仍属于“构成要件要素”,因此构成犯罪需要行为人对“第三方介入因素”有所认识,但不要求具有明确的故意或过失,只需具备认识可能性即可。[8]主张后者观点的代表性学者是周光权教授,周教授认为,内在的客观处罚条件是将行为所产生的法益危害提升到刑法所预设的可罚性事实的过渡条件。[9]客观处罚条件大多数表现为一种危害结果,且其与之前的犯罪行为之间并不是毫无联系,该种结果通常是之前犯罪行为的可能性结果之一。但是,客观处罚条件是否出现,行为人很难明确掌握,因为这取决于诸多偶然因素。因此对于客观处罚条件,不要求行为人对其具有明确的认知,只要求其对这种可能性结果具有“极有可能发生”的高度模糊性认知即可。
具体到侵犯公民个人信息罪,对“被他人用于犯罪”这一事实犯罪行为人应当具备怎样的认识,本文认为应当从本罪所保护的法益出发。对于本罪所保护的法益,学界存在两种观点,“个人法益说”和“超个人法益说”。“个人法益说”又可以具体分为“隐私权说”[10]、“隐私权加其他权利说”[11]和“公民个人生活安宁说”[12]等学说。超个人法益说则认为,公民个人信息不仅与个人信息安全和生活安宁息息相关,而且还关系到社会公共利益、国家安全,因此公民个人信息不仅是一种个人法益,而且具有超个人法益的性质。[13]本罪所保护的法益究竟是“个人法益”还是“超个人法益”这一争论直到现在学界仍未达成共识。但本文认为,这一问题并不影响本文所讨论的“是否要求行为人对公民个人信息被他人用于犯罪这一事实具有明确认知”这一问题的结论。因为不管是将公民个人信息权理解为何种法益,只要行为人实施了侵犯公民个人信息的行为,即会侵犯本罪的法益。因为即使是“超个人法益”,其也是“个人法益”,也即公民个人信息首先是个人法益,然后才具有超个人法益属性。[14]所以即使行为人提供公民个人信息给其他人,他人没有用于犯罪,行为人也侵犯了本罪所保护的法益。
那么,司法解释在这里为什么还要特定规定只有这些信息被他人用于犯罪,才构成侵犯公民个人信息罪的情节严重呢?理由是,存在部分侵犯公民个人信息行为其在量上未达到值得刑法处罚的标准。比如某行为人向他人提供行踪轨迹信息40条,在定量标准上未达情节严重所规定的“50条”,此时需要结合该行为的性质,也即该行为是否为他人的犯罪事实提供了便利条件,来从行为的性质上判断是否构成情节严重。因此,本文认为,出售或提供行程信息被他人用于犯罪,属于构成要件要素,只有具备该构成要件要素,侵犯公民个人信息的行为才值得刑法处罚。
(二)行为人需要对公民信息“被他人用于犯罪”有所认知,但无须认识到具体的犯罪后果
对于该构成要件要素,需要行为人认识到其所提供的公民个人信息可能“被他人用于犯罪”的基础事实。但这里不要求行为人对他人利用该信息所产生的具体犯罪后果有所认知。因为“被他人用于犯罪”仅仅是表征行为人侵犯公民个人信息严重的程度一种方式,其并不是行为人侵犯公民个人信息的直接后果。我国刑法只要求行为人对犯罪结果具有故意或过失,因此“被他人用于犯罪”所产生的后果行为人不再需要有所认识,行为人只需要预见到他人可能会将其所提供或出售的信息用于犯罪即可。[15]例如,行为人知道他人可能会将其所提供或出售的公民个人信息用以网络诈骗,但实际上,他人没有将该些信息用于网络诈骗,而是用于非法索债。此时并不影响侵犯公民个人信息罪情节严重的成立。因为他人确实已经将该些信息用于犯罪,只不过犯罪的具体方式不同。但需要注意的是,倘若他人获取信息后没有将其用于犯罪,则不能认定情节严重的成立。因为行为人此时的违法行为的可罚性并未达到值得刑法处罚的程度,缺少了“他人用于犯罪”这一条件对行为可罚性的加攻。
三、对非法利用公民个人信息行为的规制
根据《刑法》第二百五十三条之一的规定,侵犯公民个人信息的行为类型可分为向他人提供型和自己获取型。按照现行刑法的规定,非法使用公民个人信息的行为实际上并不构成犯罪。在《刑法修正案(九)草案》的立法过程中,其实早有专家建议借鉴国外立法,将非法使用公民个人信息的行为予以犯罪化,但最终该意见未被采纳。[16]之所以没有将非法使用的行为纳入刑法的打击范围,是因为在非法利用行为大量出现并类型化之前,一般认为打击侵犯个人信息犯罪是法益保护前置化的一种表现,因此打击重点在于处于犯罪链前端的非法提供和非法获取行为。[17]但司法实践中,实际上还存着仅仅非法使用公民个人信息的情形。特别是在侵犯公民个人信息犯罪产业链越来越精细化的背景下,非法获取和非法使用公民个人信息的主体完全可能是截然不同的主体。但按照现行刑法的规定,很难将这种仅仅非法使用公民个人信息的行为纳入刑法的评价范围。
针对非法使用公民个人信息的行为应该如何进行评价,有观点认为应“按照现在的其他犯罪进行处理”。该论者认为,单纯使用公民个人信息的行为虽然没有入罪,但如果该使用行为涉及其他犯罪,可按照其他犯罪进行处理。如行为人所使用的公民个人信息系窃取或以其他方式获取的,则可以对获取行为按照侵犯公民个人信息罪处理。[18]笔者认为该种观点欠妥,因为在现实中完全可能出现某主体具有权限合法获取公民个人信息,然后将这些信息进行违规使用的。如某电商平台卖家因其顾客量巨大,其手上掌握着许多买家的收获地址和收货电话。之后该卖家不顾买家反对,一直往买家的手机发送推销短信甚至发送内容为索要买家好评的骚扰短信。这些行为不仅违反了电商平台的规章制度[19],给顾客的生活安宁造成了巨大的困扰。而且实际上已经侵犯公民的个人信息权,因为不管将公民的个人信息权理解为隐私权,还是理解为生活安宁,抑或是人格尊严和个人自由,这种违背他人意志强行推销或索要好评的行为,都侵犯了公民的个人信息权。又比如现实中还会发生一些公民在网络平台借贷留下的信息被平台私自用来办理多张异地信用卡,以及被用来在多家其他平台进行借款。总而言之,这些行为的法益侵害性其实已经可以和非法提供、窃取他人个人信息行为的法益侵害性相提并论。[20]但细究现行刑法会发现,并没有相关法律条文对该种行为进行规制,因此急需增设专门的“非法使用公民个人信息罪”。
---------------------------------
* 本文系广东省人民检察院2020年检察理论研究课题《网络大数据视角下侵害公民个人信息刑事犯罪问题研究》(GDJC202036)的阶段性研究成果。
** 广东省惠州市人民检察院副检察长。
[1] 参见齐爱民:《个人信息保护法研究》,载《河北法学》2008年第4期。
[2] 个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
[3] 参见欧盟《通用数据保护条例》(GDPR),https://gdpr-info.eu/art-4-gdpr/,最后访问日期:2020年10月8日。
[4] See Article 29 Data Protection Working Party.Opinion 4/2007 on the concept of personal data,01248/07/ENWP136.
[5] 参见欧盟《通用数据保护条例》(GDPR)的立法说明第二十六条,https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC,最后访问日期:2020年10月8日。
[6] 参见广东省惠州市人民法院(2020)粤1322刑初133号刑事判决书。
[7] 参见广东省惠州市人民法院(2020)新01刑终97号刑事判决书。
[8] 参见张明楷:《刑法学》(第五版),法律出版社2016年版,第261-262页。
[9] 参见周光权:《论内在的客观处罚条件》,载《法学研究》2010年第6期,第123页。
[10] 参见张明楷:《刑法学》(第五版),法律出版社2016年版,第921页。
[11] 陈兴良教授认为,本罪所保护的法益是自由、安全和隐私权。参见陈兴良:《刑法学》(第三版),复旦大学出版社2016年版,第256页。刘艳红教授认为,本罪所保护的法益包括隐私不受侵犯的权利,也包括公民的隐私自决权。参见刘艳红主编:《刑法学(下)》(第二版),北京大学出版社2016年版,第254页。
[12] 参见胡胜:《侵犯公民个人信息罪的犯罪对象》,载《人民司法》2015年第7期,第40页。
[13] 参见曲新久:《论侵犯公民个人信息犯罪的超个人法益属性》,载《人民检察》2015年第11期。
[14] 同上。
[15] 参见陈少青:《罪量与可罚性》,载《中国刑事法杂志》2017年第1期。
[16] 参见喻海松:《刑法的扩张——〈刑法修正案(九)〉及新近刑法立法解释司法适用解读》,人民法院出版社2015年版,第148页。
[17] 参见王肃之:《侵犯公民个人信息罪行为体系的完善》,载《河北法学》2017年第7期。
[18] 参见喻海松:《侵犯公民个人信息罪司法适用探微》,载《中国应用法学》2017年第4期。
[19] 以天猫电商平台为例,天猫平台在《滥发其他信息的规则解读》的第十一条中明确规定,引导好评等营销类操作是违规的。参见《滥发其他信息的规则解读》,https://rule.tmall.com/tdetail-11000265.htm?spm=a311a.9588098.0.0,最后访问日期:2020年10月8日。
[20] 参见刘仁文:《论非法使用公民个人信息行为的入罪》,载《法学论坛》2019年第6期。
版权所有:惠州市人民检察院
地址:惠州市惠城区三新南路10号 邮编:516003 电话:0752-12309(检察服务热线)
未经本网书面授权,请勿转载、摘编或建立镜像,否则视为侵权。
备案序号:京ICP备10217144号-1
技术支持:正义网
