第二节 “公民个人信息”的法益属性与权利边界
从“公民个人信息”的规范性内涵来看,其经历了不断扩张的过程,而且可以预见,随着信息时代的深入和新型权益的增生,在无法明确“公民个人信息”法益属性的情况下,这种扩张和“修补”将会继续进行。不可否认,刑法扩张“公民个人信息”保护范围,是对信息时代侵犯公民个人信息犯罪的积极回应,但是,没有框架限制和原则指导的扩张亦存在有违罪刑法定原则之嫌。因此,明确侵犯公民个人信息罪的法益,厘清“公民个人信息”的刑法边界,对于“公民个人信息”的刑法保护有重要的指导意义。
一、学界关于“公民个人信息”法益属性的理论争讼
关于“公民个人信息”的法益属性,学界目前存在“隐私权说”“个人生活安宁说”“财产权、占有权说”“公共信息安全说”。基于不同的定位,对于个人信息的认定范围亦存在较大的差异,对于侵犯公民个人信息罪的打击半径和评价范围具有直接影响。因此,有必要对侵犯公民个人信息罪所保护的法益进行明确,进而明确公民个人信息的法益属性。
(一)隐私权说
该说普遍认为,侵犯公民个人信息罪所保护的是个人信息所体现的公民隐私权[13],只有属于个人隐私部分的个人信息才是刑法保护的对象[14]。此种观点明显缩小了侵犯公民个人信息罪所保护的法益范围,也极大地限缩了刑法对严重侵犯公民个人信息犯罪的打击力度,不利于公民个人信息的保护。
(二)个人生活安宁说
该说将个人信息事实上不被非法获悉的平稳状态,以及个人支配下的个人信息不被非法获悉的安宁状态作为侵犯公民个人信息罪的保护法益。代表性观点认为:“刑法视野中的公民个人信息判断应以‘私人生活安宁’为标准,即任何与公民个人相关的信息,一旦泄露,可能威胁到私人生活安宁的,都是公民个人信息。”[15]
(三)财产权、占有权说
该说一般认为,个人信息作为一种具有财产属性的特殊存在,是一种对个人信息中财产权益的占有权,强调对个人信息的本身占有。尤其是在大数据背景下,应当允许个人信息进行交易,进而以财产权对其进行保护。代表性观点将个人信息解读为公民个人对其享有的占有、使用、收益、处分的权利。[16]此种观点更多的是在刑法规定侵犯公民个人信息罪之前的观点,不符合刑法关于侵犯公民个人信息罪的立法性质,更多的是以个人信息的部分财产属性来彰显个人信息的全部,颇有以偏概全的逻辑混乱之感。
(四)公共信息安全说
该说普遍认为,只有侵犯公民个人信息的数量达到一定程度,才能进入本罪的打击半径之内,对于侵害某一单个个人信息的行为,如果借此实施了其他犯罪,完全可以以其他犯罪的预备行为进行定罪处罚。代表性观点认为,侵犯公民个人信息犯罪的法益,应当限于“公共信息安全”,本罪成立的关键在于对公共信息安全法益造成侵害,并建议将该罪名改为“侵犯公共信息安全罪”。[17]
前述观点受制于时代或者认识的限制,对侵犯公民个人信息罪保护的法益和公民个人信息的属性产生了误读,也代表了当前理论界的多样化认识。隐私权说和个人生活安宁说对公民个人信息的人身属性进行了较为切实的解读,但评价范围过窄,仅仅看到个人信息的人身属性,忽略了其人身附加属性和财产属性。财产权、占有权说是大数据时代的一种流行观点,但忽略了其人身本质属性。公共信息安全说更是违背了个人信息的人身属性,刑法将侵犯公民个人信息规定为犯罪,并将其置于侵犯公民人身权利犯罪之下,其所保护的法益绝非公共秩序或者社会利益。因此,前述观点尽管都对“公民个人信息”属性进行了较为精准的概括,但受制于现有理论知识框架的束缚,无法全面完整地将“公民个人信息”属性予以呈现,有无法回避的局限性。
此外,值得注意的是,美国法上的隐私概念经历了从保护个人私生活安宁和私生活秘密,到扩张解释“隐私”为其他个人数据的一个历程,逐步突出传统“隐私”的保护范围,不断形成了关于“信息隐私权”的概念。[18]当前,个人隐私法已经不再限于隐私的保护[19],而是涵盖了隐私之外的其他个人信息权利。从美国法上关于隐私一词的扩充演变来看,“公民个人信息”的保护程度受到重视,赋予了隐私权更大的范围。
二、刑法评价的新路径:“公民个人信息”的权利属性明确
笔者认为,“公民个人信息”兼具有人身属性、经济属性和社会属性,“公民个人信息”的多重属性,使侵犯公民个人信息犯罪具有多样性动机,进而导致侵犯公民个人信息的犯罪链条化、犯罪群特征日益明显。因此,“公民个人信息”因其特有的属性,尤其在信息时代背景下呈现出更加明显的权利特性,有必要予以特别明确、特别保护。
(一)新的权利类型提出:公民个人信息权的独立化保护趋势
“公民个人信息”的复杂权利属性,单纯将其作为隐私权,或者作为财产权保护,都具有权利属性的不周延性:一方面,如果过度强调个人信息的财产属性,将会产生侵犯个人信息犯罪被强制割裂为财产性犯罪和人身性犯罪的双重罪名,忽略了财产属性依附于身份属性的基本关系;另一方面,个人信息不同于一般的人格权或者人身性权益,在人格权之外确实承载着巨大的财产性利益。诚如德国数学家诺伯特·维纳(Norbert Wiener)所强调的:“信息就是信息,它既不是物质,也不是能量。”[20]因此,鉴于个人信息所具有的人格、财产双重属性,迫切需要当前法律体系和理论体系给予精准而全面的评价和保护。在此背景下,无论是私权研究领域,还是刑法研究领域,均出现了个人信息权的概念。比如,民法研究学者开始探索对个人信息的新保护模式,即个人信息权[21];刑法研究学者认为,侵犯公民个人信息罪的实质在于对公民信息权的保护,该罪的法益是公民的信息权益[22]。还有学者根据内容的不同,将个人信息保护进一步细分为位置数据保护、标识符匿名保护、连接关系匿名保护等,对不同类型的个人信息数据予以一体化的刑法保护。[23]
客观地讲,侵犯公民个人信息罪的立法设置和司法解释模式,兼顾了个人信息的人格属性和财产属性,没有纠结于将其作为隐私权、人格权还是财产权进行保护,而是泛化地将其多种法律属性概括性评价。此种评价模式的优势主要有二:一是财产权保护思路无法明确相关数据权利,且权属人仍然存在争议;二是隐私权保护过于狭窄,无法实现有效保护。因此,公民个人信息作为一种独立的新型权利进行刑法保护,既有信息时代、大数据时代的现实需求和时代根据,又有民法学领域的基础性探讨,既逢时,又顺势。
(二)个人信息权的法律内核:人身属性+财产属性+相关法益关联属性
个人信息权所具有的复杂属性决定了其内容的多元化。整体上讲,根据现有的法律框架和司法解释,个人信息权主要包括基于人身属性的“可识别性”身份信息,基于财产属性的财产类、账号类信息,以及与相关法益具有关联性的其他信息。
1.一般性标准:身份的“可识别性”内容
通过对我国相关立法和司法解释的解读,“可识别性”[24]成为判定某类信息是否有属于公民个人信息的重要根据,国外立法亦将“可识别性”作为判定个人信息属性的核心要素。比如,欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)将“个人数据”(personal data)界定为任何被用以识别或可能识别特定自然人(“数据主体”)的有关信息;该可识别的自然人可以被直接或间接地识别,特别是通过参照诸如姓名、身份证号、位置数据、在线身份识别标识,或者有关该自然人物理、生理、遗传、心理、经济、文化或社会身份的要素。[25]因此,身份的“可识别性”成为个人信息保护的关键,有学者将“可识别性”作为公民个人信息认定的实质标准,指出个人信息应当限于具有可识别性的个人信息,能够识别公民个体的信息,能够和具体的公民个体相对应,才可能对公民的生活安宁以及人身、财产权利造成侵害。[26]相似的观点亦指出:“出售或提供公民个人信息中‘公民个人信息’的范畴应限缩为可直接识别特定个人身份的公民个人信息。”[27]据此观点,对于停车位置、驾驶路线等生活轨迹信息,由于无法直接识别特定个人身份,不会对本罪所保护的法益造成侵害或者威胁,不具有实质违法性。
2.附属性标准:与其他人身、财产法益的关联性内容
在理论界当前普遍强调身份的“可识别性”应当成为公民个人信息保护的唯一标准时,同样不能否认的是,我国刑法对于公民个人信息的保护,除了对于具有身份“可识别性”信息之外,还有附属于其他人身、财产法益的个人信息,此类信息无论是传统的刑法立法、解释思路,还是现实的必要性,都值得刑法保护。对此,《办理侵犯公民个人信息刑事案件的解释》也给予了确认。诚如本书一直强调的,公民个人信息应当成为一种独立的信息权利益,其自身具有特殊的人身属性、财产属性:这种人身属性既具有自身的身份识别性,也具有对权利主体其他人身权益的依附性;同理,其财产属性既具有自身的财产利益,也具有对权利主体其他财产权益的依附性。
(三)值得注意的新问题:“公共信息”的“被遗忘权”与刑法保护
一般认为,公民个人信息的保护一般仅指未公开的公民信息,对于在公开和秘密中间的个人信息是否应受到保护存在较大争议。比如,对于他人已经公开的信息是否享有隐私权,在美国司法实践中存在普遍否定的态度,对于已经公开、暴露在社会中的个人信息一般不再受到隐私权保护。这种司法认定模式受到美国学界的反对。美国学界指出个人隐私权的概念使得个人信息保护受到极大的限缩,对于个人信息的保护处在要么完全公开、要么完全隐秘的两个极端状态。[28]尤其在我国当前尚未形成犯罪记录登记查询制度和前科消灭制度的情况下,犯罪人个人信息,甚至被害人个人信息曾一度作为“社会公开信息”被公众无限期、无限制地广泛传播和查询,极大地侵害了被害人的生活安宁和犯罪人的社会回归。因此,从保障人权和促进犯罪人社会回归的视角,应当允许犯罪信息在经过特定的犯罪记录查询期限之后,终止犯罪记录查询、消灭前科的同时,将犯罪信息这一曾经公开的“社会信息”予以隐私权保护,以此消灭社会公众基于犯罪事实对犯罪人形成的“贴标签效应”和“非规范性评价”。[29]