The Understanding and Review of the Criminal Infringements of Personal Information and Relevant Judicial Interpretations
Abstract:This paper focusing on the background of big data technology,u-sing the methods of historical analysis,horizontal country comparison,with the whole idea of the problem definition,the reasons for the problem and the problem solutions,comprehensively investigates personal information's criminal law protec-tion under the background of big data technology.This paper holding the dialecti-cal vision to understand the problem of personal information protection,highlights that the object of personal information protection should be“identifiable”rather than“relevant”;existing judicial interpretation and other provisions should coordi-nate and balance the relationships between personal information's business value,the rights of individual privacy and the right of public knowing;the criminal law protection should make a distinction between personal rights and property rights ac-cording to nature of personal information.Finally,this article proposes to improve the personal information's crime law protection from the following three aspects:adding personal information crime into the personal rights crime;adding violation behavior upon personal information commercial property into the crime of infringing property;adding the abuse of personal information into the crime of obstruction of social management.
Key words:personal information,criminal infringements of personal informa-tion,the right of public knowing.
2017年5月9日,最高人民法院和最高人民检察院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《司法解释》),对《刑法》第253条的实际适用提供了明确的依据,具有指导意义。但是,由于个人信息的保护并不仅仅是一个简单的法律问题,它还涉及诸如公众的知情权、舆论监督等诸多因素,同时与信息技术密切相关。因此,无论是包括刑法在内的立法,还是该司法解释应该会存在一些值得进一步改进和完善的地方。本文主要从个人信息的定义入手,对《刑法》第253条侵犯个人信息犯罪以及两高的司法解释作出分析,最后从公众知情权与个人信息保护平衡的角度对未来立法的修改提出建议。
一、个人信息的定义
《司法解释》第1条:“刑法第253条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信联系方式、住址、账号密码、财产状况、行踪轨迹等。”
上述规定对个人信息的界定不符合学术界对个人信息的一般理解,尤其是它把反映自然人活动情况的各种信息也纳入到个人信息的范畴,混淆“个人信息”和“与个人有关的信息”,不当地扩大了个人信息的范围。理论上,个人信息只能是能够识别出某一特定自然人身份的信息,“身份的可识别性”是个人信息概念的核心。而“反映自然人活动情况的各种信息”则属于“与人有关的信息”,它并不强调“可识别性”,而是强调“关联性”。因此,该解释把个人信息界定为身份识别信息和反映个人活动情况的各种信息的做法不符合理论上一般对个人信息的理解和界定,不当地扩大了个人信息的范围。
值得注意的是,虽然理论上将个人信息界定为“据此能够直接或间接识别出某一特定自然人身份的信息或信息的组合”[36]基本上没有太大的争议,但是,实际上在某个特定情形下判断某些数据或信息是不是个人信息时往往容易出现偏差。这是因为能否识别往往是与识别的主体、识别的技术或手段有关的,这就是个人信息定义中“识别”的相对性。
所谓识别的相对性,是指作为识别的主体,他/她之前是否对被识别人熟悉或认识;对于一个之前熟悉或认识的人来说,一看到某些信息(如照片或声音)就可以直接识别出某个特定的人,或者将其与某个特定的自然人联系在一起;而同样的信息,如果之前不熟悉或不认识的,可能就不会据此识别出某个特定的自然人,或者不会将该信息与某个特定的自然人联系起来。另外,利用人眼识别不出来的,可以利用计算机或人工智能技术识别出来;在大数据技术出现之后,信息识别可能不会存在问题了。
尤其值得注意的是,在互联网背景下,个人信息是碎片化(以数据形式)存在的,它是由N个数据片断组合而成的,N个片断的组合在一起(整体)才是某个人的个人信息,那么即使是N-1个片断的,也不是完整的,由于不能识别出特定自然人,也就不是个人信息。个人信息是能够直接或间接识别出一个人的信息或信息的组合,所以,任何不能识别出特定自然人身份的N-M就不是个人信息。同时,个人信息在网络环境下也是动态存在的,即在不同的使用网络(购物、浏览网页等)条件下每个人的个人信息是不尽相同的。因此,在此次司法解释的条文中,所涉及的财务信息、账号、行为轨迹等内容,如果仅仅是这些“信息”(准确地讲,应该被称作“数据”)本身,由于它们不能识别出特定自然人,所以根本不是个人信息;如果是除了这些数据之外还有其他诸如身份证号码、姓名等信息的话,这些信息组合在一起可以构成某“个人”的财务信息或者行为轨迹。
现在商家通过互联网所收集的消费者的消费偏好等数据,尽管被公众称为个人信息,实际上并非学术讨论中的个人信息,只能认定为与个人有关的数据。对于商家而言,其并不关心消费者是谁,其真正关心的是消费者的消费偏好,因为消费偏好有利于其进行针对性的营销。
值得注意的是,在大数据技术出现之前,我们界定个人信息不仅具有重大的理论意义,还具有重要的现实意义。但是,在大数据时代背景下,对个人信息下定义也就仅仅具有理论意义了,其现实意义已经所剩无几了。这是因为,只要有足够多的数据,就一定能够识别出特定的自然人。这就意味着在大数据时代的今天,乃至未来,我们之前关注个人信息的识别性特征已经失去了意义,即我们的理论和立法更应该关注对个人信息的利用环节,而不是收集和加工环节。换言之,收集、加工或处理的目的就是利用,而这些难以发现和规范的收集、加工或处理阶段只是利用前的过程,利用才是目的;也只有利用才会对主体构成伤害或消极影响。因此,在大数据背景下,立法更应该关注的是对数据的利用,而不应是利用前的收集和提供环节。
二、侵犯个人信息犯罪的现状及其分析
《刑法》第253条之一规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处3年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处3年以上7年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第1款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
自该规定颁布以来,全国进入法院的有关案件和判刑的人数分别是1464件和2112人。[37]这些数字说明现行有关个人信息法律保护制度的实施效果很差,缺乏可操作性。实际上,与天文数量级别的所谓个人信息泄露数字相比,这些案件数量几乎可以忽略不计。我们每个人都会遇到很多次所谓的个人信息泄露,从升学、找工作,再到买房、租房等都会遇到个人信息泄露的问题,比如,我们每天都会接到很多垃圾短信和骚扰电话。但事实上,这些个人信息泄露问题几乎没有被公安发现,没有被作为刑事案件立案、侦查和起诉到法院。因为实践中,对于受害人个人的报案,公安机关往往既不立案也不给予答复。除非出现引起社会的强烈关注的事件,否则公安机关一般是不会主动介入此类案件。这点可以从既有的案例中得到印证。因此,《司法解释》的出台,虽然显示出政府严肃处理个人信息犯罪的立场,但仅仅凭借《司法解释》是无法改变这种现状的,如何真正将案件纳入司法程序值得进一步思考。
1.“提供”与“出售”
针对《刑法》第253条之一,从逻辑和语义上看,立法者试图把“提供”和“出售”区别开来,说明二者确实是有区别的。实际上,出售是以营利为目的的行为,而提供则不是基于营利目的。
《司法解释》第3条第1款规定:“向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第253条之一规定的‘提供公民个人信息’。”显然,《司法解释》的这条规定忽略了很多基于知情权和舆论监督目的在网络上公开严重违法、违纪行为人的有关个人信息的正当性、合理性和必要性。如果将这条解释付诸实施的话,可能会影响社会公众在网络上公开政府官员违法违纪的相关信息,不利于我国反腐倡廉政策以及国民的检举揭发权利的实现,这无异于向贪官污吏提供法律上的庇护伞。据此,网络上所谓的“人肉搜索”行为就是违反刑法的行为,很可能被作为犯罪来追究刑事责任。
从刑法理论上讲,行为人的主观目的不仅会影响行为的性质认定,而且也会对刑事责任的适用产生影响。从行为的目的上看,如果仅仅是提供行为,其目的又具有合理性,比如向媒体采访者、或者应当事人的同学、朋友索要提供电话号码以便采访、联系需要,那么,即使未征得当事人的同意,也不具有可责性,更谈不上可罚性。从罚金刑适用的理念来看,其主要是针对财产性犯罪的。因此,即使要对提供行为定罪,也不能适用罚金,而对于出售行为,则可以适用罚金刑。显然,《司法解释》未做上述区分的做法是值得商榷的。
2.以其他方法非法获取公民个人信息
《司法解释》第4条规定:“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第253条之一第3款规定的‘以其他方法非法获取公民个人信息’。”
实践中,互联网企业可能会利用合同条款分享其所收集到的个人数据,还有在企业的合并、分立等都会涉及数据的“收受”“交换”。在互联网企业领域,通过格式合同条款或者隐私政策条款对用户数据(可能包含个人信息)的分享做出规定较为常见。一般而言,用户不会关注格式合同条款内容,其同意和知情实际上不具有真实意义。正因为如此,互联网企业倾向于通过合同条款对分享用户的个人信息(数据)进行规定。按照上述司法解释,互联网企业之间对基于格式合同获取的个人信息(数据)相互分享行为是可能会由此受到调整,而被认定为“以其他方法非法获取公民个人信息”的行为。这不仅对互联网产业的发展是一个极大的打击,也会对我国大数据战略的实施带来法律障碍。未来该《司法解释》如何在互联网环境下适用,值得关注。
3.侵犯个人信息犯罪与利用个人信息实施诈骗罪、盗窃罪等罪之间的竞合
现实中,对于那些明知他人利用这些个人信息实施诸如诈骗、盗窃、绑架等犯罪而仍然出售个人信息的,究竟应该如何适用刑法是一个值得思考的问题。从刑法理论上看,它属于一个行为、两个目的、触犯两个法条,两个罪名,属于想象的竞合犯。因此,应该按照从一重罪处罚。对于那些在非法获取个人信息后又实施诈骗、绑架、盗窃等行为的犯罪嫌疑人,按照刑法理论上的牵连犯[38]处理,从一重罪论处。
此外,对于其他的非法提供或出售个人信息行为的,被他人购买或获得后实施诈骗、绑架、盗窃等犯罪的,二者之间看似有关联,即所谓的“没有提供(出售)个人信息给嫌疑人,嫌疑人则无法实施犯罪,受害人也不会因此遭受诈骗、盗窃、绑架等”。上述推论貌似合理,尤其是在特定的案件中,似乎更具有说服力,但这种所谓的关联只是一种臆想,在具体案例上是一种巧合。本文之所以认定上述推论是一种臆想,主要在于其逻辑上存在问题。理论上,受害人能否受骗、被盗或被绑架,除了加害人(利用其个人信息)外,还与受害人本人的安全防范意识、法律对诈骗罪处罚的轻重等因素有关。对于安全观念和防范意识强的人,即使是精准诈骗,亦难以得逞,而对于安全观念和防范意识弱的人,即使非精准诈骗,亦可能得逞。另外,如果刑法对诈骗罪、盗窃罪等量刑层级也可能会影响犯罪目的的实现。简言之,某种诈骗、盗窃、绑架等犯罪行为是否得逞,除了与加害人一方(利用个人信息实施加害行为)的因素有关外,还与被害人一方(安全防范意识等)、刑法对诈骗罪、盗窃罪等犯罪的处罚轻重有关。所以,犯罪结果的实现可能是多因一果的过程,不能忽略其中被害人一方的(安全防范意识等)因素以及刑法对有关犯罪量刑的规范,以偏概全;否则,不利于预防和减少犯罪行为的发生。毕竟,加强受害人的安全防范意识教育是防止和减少此类犯罪的重要因素;刑法对诈骗罪、盗窃罪等有关犯罪的规范也会影响所谓的“利用个人信息实施精准犯罪”的实施与否。
4.违反国家有关规定
《司法解释》第2条规定:“违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第253条之一规定的‘违反国家有关规定’。”
本文认为,将“部门规章”也视为“违反国家规定”的做法存在以下问题:其一,违反了《刑法》第96条的规定。按照《刑法》第96条之规定,“本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。”从第253条之一来看,其字面上“违反国家有关规定”,而非“违反国家规定”,即《刑法》第253条之一多出了“有关”二字。理论上,“国家有关规定”和“国家规定”应该是没有区别的。这里,《司法解释》第2条规定“法律、行政法规”是没有问题的,但将部门规章纳入其中可能有越权解释之嫌。其二,法理上,“罪刑法定”是现代国家刑罚的基本原则。这里的“法”定主义,只能做狭义理解,而不能做广义上理解。如果将违反部门规章的做法视为犯罪行为,无异于部门规章可以设定刑罚,而这有悖于“罪刑法定”原则。其三,我国目前关于个人信息保护的部门规章有几十个,可能上百,不同部门规章之间相互冲突的现象并不罕见。因此,如果以部门规章作为适用刑法犯罪的依据,必定违背法律规范的统一性原则。基于上述理由,《司法解释》第2条的规定既不合理,又不合法,属于越权解释。
5.衍生讨论
首先,把侵害个人信息犯罪放在侵害人身权利、民主权利一章中规定,同时又设置了罚金刑,这说明了对该罪的定位存在问题。一方面,个人信息买卖本身足以说明个人信息具有商业价值,其商业价值理应被视为财产,而不应将其纳入人身权的范畴。另一方面,刑法条文对此类侵害行为设置了财产刑的罚金又与其将个人信息视为侵犯人身权的认定存在矛盾。
其次,一般而言,所谓的侵犯个人信息行为(非法公开、获取、买卖行为)本身对受害人所造成的直接损害远不及轻伤、侮辱诽谤,而刑法将侮辱、诽谤作为自诉案件对待,却将所谓的侵犯个人信息犯罪纳入到公诉案件中。这似乎说明个人信息犯罪还涉及国家和社会公共利益?这一问题上,立法者和司法解释并未作出清晰的回应。
三、公众知情权与个人信息保护
《司法解释》第5条规定:“非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第253条之一规定的‘情节严重’:……(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上的;(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息5000条以上的……”
显然,这种解释一定程度上可能侵害社会公众的知情权、舆论监督权。因为在民主法治社会里,政治人物的健康状况、财产信息、住宿信息和交易信息都可能攸关权力滥用与腐败,他们的行为应该接受社会公众的舆论监督,社会公众也有权知悉其有关信息。公众人物由于从社会公众的关注中获得利益,因此社会公众对其健康状况、财产信息、交易信息等享有知情权。对于某些违法行为人,尤其是已被判定有罪的人,社会公众享有某种程度的知情权也具有一定的正当性。反之,如果按照上述司法解释处理,社会公众的知情权、舆论监督权将受到极大的限制,不利于监督权力滥用和预防腐败。
此外,该解释中将行踪轨迹信息、通信内容、征信信息、财产信息与住宿信息、通信记录、健康生理信息、交易信息等区别,这一区分的实际意义并不大。从数量上看,似乎行踪轨迹信息、通信内容、征信信息、财产信息要远比住宿信息、通信记录、健康生理信息、交易信息更加重要,前者“50条”即可构成“情节严重”,而后者需要“500条”,然而我们并不清楚重要性的衡量标准。但是,即使被划分在同一类中,各个信息的泄露后带来的社会效果不尽相同。比如,财产信息,尤其是官员、公众人物的财产信息攸关公众的知情权和舆论监督权,《司法解释》显然并未从这方面进行考量。至于征信信息,它对于构建诚信社会具有重要意义,把征信信息作为重要的个人信息,不利于制约失信人,不利于构建诚信社会。
四、未来立法的修改与完善问题
从《刑七修正案》(2009年)开始设立个人信息犯罪条款以来的立法、司法实践和侵犯个人信息的现状来看,信息非法泄露、买卖和提供行为几乎无处不在、无时不有。但是,作为公诉案件,公安机关却很少主动立案侦查;个人很少报案,即使有报案的,公安机关也基本上不予理会。日常生活中,垃圾信息和骚扰电话盛行不减,身份假冒和滥用问题十分猖獗。
这充分说明我们的立法导向出现问题:立法的重点本应放在打击对个人信息的非法利用方面,而不是所谓的泄露和非法获取、提供等行为。首先,因为我们从出生开始,上学、求职、单位考核、购物、购房、购票、使用各种服务等几乎都需要提供我们的个人信息。我们的这些个人信息与社会经济文化等活动密切相关,或者说,社会经济文化等活动离不开对我们个人信息的使用。这样,我们的个人信息已经几乎无处不在。因此,如果真的发生了所谓的泄露或者非法获取、提供等问题,我们无从获知信息泄露渠道,也无从获知信息交易过程。即使我们怀疑某机构泄露个人信息,事实上对个体自然人而言,要证明该机构存在非法获取、提供等行为非常困难。其次,对个人信息的使用还攸关公众的知情权和舆论监督等公共利益,因为基于知情权和舆论监督等宪法权利的行使需要对个人信息的披露和使用。因此,不加区分地要求对个人信息的保密和禁止披露或公开是极端个人主义观念,无视社会利益和公共利益的需要,因私废公,实不足取。最后,除了极少数攸关名誉或尊严的个人信息外,公开和披露信息本身并不会造成损害,真正造成损害的只是后续的滥用行为。据此而言,立法应该区分两类不同性质的个人信息,并分别采取不同的规制方法,即对于那些攸关名誉或尊严的个人信息需要保密,防止泄露和公开、传播;而对于那些与名誉或尊严本身并无直接关系的个人信息,公开个人信息本身并不会造成名誉或尊严的损害,损害的是后续的滥用行为。据此,本文认为未来立法改革方向不是要求对个人信息的保密和禁止公开,而是如何有效地防治对个人信息的滥用。否则,个人信息保护问题只能是越走越远;不仅无法解决“安全”问题,还可能忽视滥用问题。这可能导致立法缺乏可操作性,从而导致《刑法》第253条之一实践效果不佳。
实际上,上述立法观念如果正确的话,那么它所对应的时代背景应该是互联网还未出现,仅有少数企业和单位有大型计算机的时代。然而,在网络无处不在、无时不有的今天,只要上网,收集、加工和存储数据对个人信息的利用即不可避免。加上我们从出生到上学、求职、购物等无数次向无数个不同的主体提供过我们的个人信息了,因此,我们事实上根本不知道我们的这些个人信息被存储于何处,更不会知道何时被何人“分享”和加工了。由此,立法的观念也应该转变,即由原来的不加区分地对所有个人信息皆适用所谓的“知情同意、防止泄露”原则转变为区分两类不同性质的个人信息并分别采取不同的规制方法,即只对那些公开即会对名誉或尊严造成损害的个人信息才要求保密,而对那些与名誉或尊严本身无直接关系的个人信息则主要是如何防治滥用问题(诸如发送垃圾信息、拨打骚扰电话、身份假冒和滥用等对个人信息的滥用),而不是再坚守原来的“知情同意、防止泄露”的(技术)过时原则。[39]
之所以会出现上述立法导向的偏差问题,实际上是错误地照搬欧盟立法的结果。欧盟个人信息保护立法是建立在隐私(权)和基本人权的基础之上的。在欧盟立法上,1995年的《个人数据保护指令》规定,个人对其个人信息享有包括收集知情同意权、进入(存储个人信息库的)权、查询权、修改权、删除权等在内的个人信息权;2016年通过的数据保护一般条例则又增加了所谓的被遗忘权、可携带权。从立法渊源上看,欧盟立法的基本原则和主要内容源于20世纪60年代末、70年代初美国的“公平信息实践原则(Fair Information Practice Principles)”[40]。在那个仅有少数大公司和政府部门才拥有大型计算机的时代里,“个人信息权”是可以实现的;但是在网络无处不在、信息收集无时不有的移动互联时代,源于20世纪美国立法的欧盟立法早已经过时,即这种立法在技术上无法实现,或实现的成本巨大,在经济上是无效的,比如所谓的删除权,即使信息被删除了,在技术上仍然是可以恢复的,因此没有实际意义。另外,欧盟立法在实践中不具有可操作性,由于极端追求个人隐私保护,而忽略抑制了个人信息价值的充分发挥,不利于互联网产业的发展。从数据上看,全球十大主要的互联网企业[41]没有一家是来自于欧盟,也充分印证这一论点。
基于上述分析,未来立法在理论上应该区分两类不同性质的个人信息并分别采取不同的规制方法,即对于那些直接攸关名誉或尊严的个人信息(法律上的隐私)需要保密,禁止非法刺探、搜集、传播和滥用;对于那些与名誉或尊严无直接关系的个人信息,立法规制的重心在于防止滥用;同时,立法应该确立个人信息商业价值的独立法律地位,未经允许,擅自出售他人个人信息的行为视为一种独立的财产侵权行为。
五、结论
未来刑法有关个人信息犯罪的规定应该作如下完善:
一是应该在侵犯人身权利罪一章中增加侵犯隐私罪,即禁止非法刺探、搜集、公开或传播他人隐私(即不考虑到后续的滥用行为,公开这些信息本身就会对主体的名誉或尊严造成消极影响的个人信息),违者将视为犯罪。同时考虑到侵犯隐私罪所侵害的主要是个人(人格)利益,因此建议把侵犯隐私罪作为自诉案件处理。当然,这里的隐私不是目前学术界所讨论的“隐私”,而是借鉴我国传统阴私观念而来的,是指与公共利益和社会利益无关,同时又直接攸关名誉或尊严的个人信息,它包括但不限于裸照、性生活信息等。
二是把侵犯个人信息商业价值的行为(即非法出售个人信息行为)纳入到侵犯财产罪中予以规范。具体而言,就是在现行《刑法》第五章“侵犯财产罪”中增加一条“侵犯个人信息财产罪”,把那些未经许可擅自对个人信息进行商业化利用的行为(比如未经授权擅自利用他人的肖像、姓名、声音等个人信息进行商业化利用的行为)、非法出售个人信息的行为(仅仅规范非法出售个人信息行为,而无需规范购买或获取行为)、对他人隐私进行商业化利用的行为[42]等纳入到其中予以规范。考虑到非法侵害个人信息财产(权)罪在本质上属于侵害个人财产权益的犯罪,因此可以比照现行《刑法》第270条的侵占罪对侵害个人信息财产(权益)作为自诉案件处理。
三是在现行《刑法》第六章妨害社会管理秩序罪中增加一章“个人信息滥用罪”囊括有关发送垃圾信息罪、骚扰电话罪、身份假冒和滥用罪等罪名。[43]
由此,个人信息保护所面临的问题才能得以真正的解决。