摘 要
我国个人信息保护呈现出“刑法先行”的发展脉络,前置法的大规模增补实际是在《刑法修正案(九)》施行之后。在个人信息保护前置法丰富发展、特别是《个人信息保护法》施行的新背景下,刑法应当彻底回归二次法的角色,对标前置规定妥当调整犯罪圈。厘清侵犯公民个人信息罪与前置法的关系可以发现,相关刑法规则与前置规定交互影响,共同形成个人信息保护的完整规范体系格局。由此,应当在维持现有刑法规范与司法规则的基础上,着力于公民个人信息的范围和敏感公民个人信息的认定两个具体问题,通过对司法具体案件的妥当把握,实现侵犯公民个人信息罪犯罪圈的妥当调适。
关 键 词
刑法先行、侵犯公民个人信息罪、公民个人信息、敏感公民个人信息
在信息化时代,个人信息保护成为民众关心的利益问题之一。加强个人信息保护,需要相关部门法齐头并进,形成合力。然而,我国个人信息保护呈现出“刑法先行”的发展脉络,前置法的大规模增补实际在《刑法修正案(九)》施行之后。前置法的丰富发展,当然可以促使侵犯公民个人信息罪的适用,但也带来了如何对标前置规定调整犯罪圈的现实问题。基于此,本文对侵犯公民个人信息罪与前置法的关系加以厘清,提出在维持现有刑法规范与司法规则的基础上,着力于公民个人信息的范围和敏感公民个人信息的认定两个具体问题,通过司法具体案件之中的妥当把握,实现侵犯公民个人信息罪犯罪圈的妥当调适。
一、“刑法先行”路径下侵犯公民个人信息罪犯罪圈的调整思路
(一)“刑法先行”与前置法的丰富发展
在法律体系之中,刑法属于“二次法”,被归入保障法范围。特别是,侵犯公民个人信息罪属于行政犯的范畴,理想的状况应为“刑法后行”,即先有前置法,而后由作为保障法的刑法加以规制。然而,我国关于个人信息保护呈现出明显的“刑法先行”发展脉络:刑法远早于其他部门法设立专门的侵犯公民个人信息犯罪,而后才有对个人信息保护作出集中规定的前置法。
1.个人信息刑法保护的先行探索。
2009年2月28日起施行的《刑法修正案(七)》第7条增设《刑法》第253条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。注2015年11月1日起施行的《刑法修正案(九)》第17条对《刑法》第253条之一作了修改完善,形成统一的侵犯公民个人信息罪。
关于个人信息的刑法保护,不仅体现在刑法立法规定之中,还涉及司法规则的建构。以《刑法修正案(九)》作为分界点,主要有两大司法规则:(1)在《刑法修正案(九)》施行前,最高人民法院、最高人民检察院、公安部于2013年4月联合发布《关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字[2013]12号,以下称2013年《通知》),为公检法机关办理侵犯公民个人信息刑事案件提供了指引。(2)在《刑法修正案(九)》施行后,最高人民法院、最高人民检察院于2017年5月联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释[2017]10号,以下称2017年《解释》),对侵犯公民个人信息罪的定罪量刑标准和有关法律适用问题作了系统规定。
2.个人信息保护前置法的丰富发展。
个人信息保护的前置法不应狭义理解为《个人信息保护法》,也不应理解为《网络安全法》《民法典》《个人信息保护法》等涉及个人信息保护的三部主干法,而是包括所有涉及个人信息保护的前置法律规范。具体而言,立法机关通过制定《关于加强网络信息保护的决定》(以下称2012年《决定》)、《网络安全法》、《电子商务法》和《关于修改〈中华人民共和国消费者权益保护法〉的决定》(以下称2013年《消法修改决定》)等,确立了个人信息保护的主要规则;通过编撰《民法典》,将个人信息受法律保护作为一项重要民事权利作出规定。注然而,“上述立法的一个普遍缺陷是不系统、不成体系,基本概念不明确,一些重要的制度缺位,甚至相互之间脱节,导致法律实施的效果受到影响”。注基于此,在上述法律基础上制定个人信息保护的专门法律,以增强法律规范的系统性、针对性和可操作性,就尤为必要。作为个人信息保护的专门法律,《个人信息保护法》于2021年8月20日通过,自2021年11月1日起施行。至此,个人信息保护的完整前置法体系得以形成。
个人信息保护前置法形成的时间跨度达十年之久,各部法律的制定时间差异较大,但诸如《网络安全法》《民法典》《个人信息保护法》等主要规范的制定时间不仅远晚于《刑法修正案(七)》,亦晚于《刑法修正案(九)》。所谓“刑法先行”,也主要是在此意义上而言。
(二)个人信息保护前置法与刑法的交互影响
个人信息保护呈现出“刑法先行”的发展脉络,并不意味着侵犯公民个人信息罪的规则形成完全与前置法无涉;实际情况恰恰是,相关刑法规则与前置规定交互影响,共同形成个人信息保护的完整规范体系。
1.前置规则对刑法的影响。
如前所述,“刑法先行”系针对个人信息保护的主要规范而言,但并非所有的前置规定形成都晚于刑法规则。2012年《决定》、2013年《消法修改决定》等前置法就在《刑法修正案(九)》之前,对相关刑法规则的形成实际施加了影响。特别是,作为现行主要刑事司法规则的2017年《解释》制定之时,对网络安全领域个人信息保护作出集中规定的《网络安全法》已于2016年11月7日通过,自2017年6月1日起施行。故而,《网络安全法》关于个人信息的规定更是对2017年《解释》产生了直接影响。例如,2017年《解释》第3条第2款对合法收集公民个人信息后非法提供行为的认定,所作出的“经过处理无法识别特定个人且不能复原的除外”但书规定,就是考虑与《网络安全法》第42条第1款“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”规定的衔接。
2.刑法规则对前置法的影响。
从个人信息保护前置法体系的发展来看,缘于“刑法先行”的发展路径,同时期或者后续制定的前置法明显受到了刑法规则的影响。申言之,侵犯公民个人信息罪的相关规则并非简单依附前置法,而是在接受前置法影响的同时亦反向影响前置法的发展。其中,最为明显的是数据分级分类保护的制度设计,最早就来源于2017年《解释》。2017年《解释》第5条将个人信息划分为高度敏感个人信息、一般敏感个人信息和其他个人信息,并根据敏感程度设置差异化的定罪量刑标准。这一制度设计在此前《网络安全法》之中未见踪影,但在此后《个人信息保护法》之中出现对敏感个人信息的专节规定。对此,合理的解释应当是《个人信息保护法》的相关制度设计受到了2017年《解释》的影响。
(三)《个人信息保护法》与犯罪圈的调整思路
作为个人信息保护的基本法,《个人信息保护法》完整构建了个人信息保护原则和个人信息处理规则,系统明确了个人信息处理活动之中的权利义务边界,标志着个人信息保护前置规定的健全。在《个人信息保护法》业已施行的背景之下,刑法应当彻底回归二次法的角色,适应前置法对犯罪圈作出调整,已是共识。但是,对于实现上述调整的具体路径尚有不同主张。目前看来,有不少观点主张重构侵犯公民个人信息罪适用的规则,包括刑法规范和司法规则。注本文不赞成上述观点,认为在《个人信息保护法》施行后,侵犯公民个人信息罪的刑法规范和司法规则宜继续沿用。主要考虑如下:
其一,《个人信息保护法》是个人信息保护的基本法,但并未完全“凭空而生”。相反,《个人信息保护法》的相关规则,恰恰是建立在此前个人信息保护相关法律的基础之上。可以说,“从《网络安全法》到《电子商务法》,再到《数据安全法》,以及结合《民法典》关于公民个人信息的保护规定,贯穿刑法、民法和行政法的公民个人信息法律体系已基本搭建完毕”。注《个人信息保护法》虽然是个人信息保护规则的“集大成者”,但相关主要制度实际脱胎于上述规范。例如,以“告知—同意”为核心的个人信息处理规则,并非《个人信息保护法》的首创,而是在《网络安全法》之中业已形成。如前所述,“刑法先行”并非指个人信息保护所有前置规定都晚于刑法规则。实际上,诸如“告知—同意”等个人信息保护基本规则的形成,几乎与《刑法修正案(九)》完善侵犯个人信息犯罪的规定同步进行,至少在2017年《解释》之中业已得到充分体现。换言之,虽然个人信息保护前置法构建与刑法相比具有一定的滞后性,但主要规则实际已经在侵犯公民个人信息罪的刑法规范和司法规则之中得到体现。在此背景之下,《个人信息保护法》的施行并不必然会得出侵犯公民个人信息罪适用规则须作重构的结论。
其二,侵犯公民个人信息罪属于行政犯,以“违反国家有关规定”为前提要件。这就决定了将相关行为认定为犯罪,主要依据前置法的规定。申言之,侵犯公民个人信息罪犯罪圈的大小,特别是行为性质判断,受制于前置法:只要相关行为没有违反前置规定,无论如何都不应构成侵犯公民个人信息罪。可以说,空白罪状的立法模式,使侵犯公民个人信息罪犯罪圈适应前置法进行伸缩适用成为可能,可以在不对刑法规范和司法规则作出修改的情况下实现犯罪圈重置。基于此,《个人信息保护法》即使对个人信息保护规则作出调整,那么在刑法适用之中也可以直接依从相关前置规定,而无须对《刑法》第253条之一和2017年《解释》的规定作出调整。
可以佐证上述判断的是,长期以来涉公开个人信息案件的定性存在较大争议,恰恰不在于刑法规则本身,而在于前置规定不明。对于公开的个人信息,由于信息已经处于公开状况,获取无须征得同意,对此应无疑义;但是,在获取相关公开信息后进而提供的行为,是否需要取得“二次授权”(即在获取相关信息后,提供相关信息需要告知同意),则存在较大争议。由于《网络安全法》未对所涉规则作出明确,导致实践之中对相关案件的定性不明。而《民法典》《个人信息保护法》否定了“二次授权”的规则。《个人信息保护法》第13条第1款规定:“符合下列情形之一的,个人信息处理者方可处理个人信息:……(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息……”第27条规定:“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外……”在《民法典》《个人信息保护法》明确相关规则后,刑事司法自然应当对常态情况下的涉公开信息案件作出罪处理。具体而言,在处理相关刑事案件时,对于未征得自然人同意而获取、提供公开的个人信息的案件,只要行为人的获取、提供行为处于“合理”限度之内,除证明该自然人明确拒绝或者相关获取、提供行为侵害了该自然人的重大利益外,应当认为相关获取、提供行为属于合法行为,不属于“违反国家有关规定”获取、提供公民个人信息的行为,更不应当认定为侵犯公民个人信息罪。注所涉犯罪圈实现调整,但刑法规范和司法规则未作修改,恰恰是通过适用前置规定得以实现。
其三,法秩序统一原理并不排斥刑法的独立性,更不是要求刑法对前置规定亦步亦趋。“所谓法秩序的统一性,是指由宪法、刑法、民法等多个法领域构成的法秩序之间互不矛盾,更为准确地说,在这些个别的法领域之间不应作出相互矛盾、冲突的解释。”注显然,法秩序统一原理并不是要求刑法及其适用规则与前置规定的完全一致性,更不是要求照搬前置规定。如后所述,刑法判断应当坚持一定的独立性,在前置规定的基础上再行限制入罪范围,如敏感个人信息的范围和再分级规则,这既是刑法谦抑原则的要求,也没有违背法秩序的统一性。
综上所述,本文主张在《个人信息保护法》施行后维持刑法规范和司法规则不变,将犯罪圈的调整寄希望于具体案件之中妥当适用既有规则加以实现。在这一过程之中,关键在于个人信息的认定和敏感个人信息的把握两个方面。注基于此,下文将围绕这两个问题集中展开讨论。
二、侵犯公民个人信息罪中公民个人信息的范围厘清
对于侵犯公民个人信息罪的对象“公民个人信息”,2017年《解释》第1条作了明确界定。与《个人信息保护法》第4条关于“个人信息”的界定对比来看,二者在具体表述上确实存在明显差异。对此,有观点提出,二者“对侵犯公民个人信息罪中个人信息的范围、特征以及识别对象的表述均存在不同”,主张“司法解释理应做出一定程度的修正”。注基于此,在《个人信息保护法》施行的背景之下,需要对侵犯公民个人信息罪的对象“公民个人信息”的范围再作厘清,以回应其究竟与前置法相关界定有无实质差异,是否需要直接采用前置法相关界定等问题。
(一)刑法上公民个人信息与前置法的关联
1.刑法上公民个人信息界定的演变历程
《刑法修正案(七)》《刑法修正案(九)》一直采用“公民个人信息”的概念。注而“个人信息”的表述,直至《网络安全法》才普遍采用,而这已在《刑法修正案(九)》施行之后。当然,“公民个人信息”与“个人信息”两个概念实际可以互换使用,并无差异。对于“公民个人信息”的界定,细究可以发现,随着前置界定的调整发生了明显变化。具体而言:
(1)“身份识别信息+个人隐私信息”的模式。对于“公民个人信息”的界定,最早由2013年《通知》作出,即“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。这一界定采取“身份识别信息+个人隐私信息”的模式,明显受到了2012年《决定》第1条第1款“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”的影响。
(2)“身份识别信息+活动情况信息”的模式。2017年《解释》第1条规定:“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”虽然有观点认为“这种刑事司法取向,即使是在2016年网络安全法颁布之后,也没有大的调整”,注但细究可以发现,2017年《解释》关于个人信息的界定与2013年《通知》有明显不同。2017年《解释》对公民个人信息的界定采取了“身份识别信息+活动情况信息”的模式。
应该说,上述调整既受到了前置法的影响,但又没有完全依附前置法。《网络安全法》第76条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”显然,《网络安全法》将个人信息界定为“能够识别自然人个人身份的各种信息”,但“使用的是广义的身份识别信息的概念,即既包括狭义的身份识别信息(能够识别出特定自然人身份的信息),也包括体现特定自然人活动情况的信息”。注实践中最为明显的例子是,行踪轨迹信息难以纳入狭义的身份识别信息的范畴,但亦不能认为其不在《网络安全法》关于“个人信息”的界定范围之内,故合理的解释只能是,《网络安全法》在广义上使用“身份识别信息”的概念,可以将一切识别自然人个人身份的信息包括在内,自然也就包括具有可识别性的自然人活动情况信息。基于方便司法实务操作的考虑,2017年《解释》将公民个人信息明确界定为“身份识别信息+活动情况信息”。
2.刑法上公民个人信息界定与前置规定的对比
由于“刑法先行”的发展路径,2017年《解释》关于“公民个人信息”的界定早于大部分前置规定,使刑法界定与前置规定未能保持一致。虽然2017年《解释》之后关于个人信息的前置界定有所调整,但在本文看来,二者之间并无实质差异,在范围上不存在明显不同。
形式上观之,前置法关于个人信息的界定也不完全一致。《民法典》第1034条第2款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”而《个人信息保护法》第4条第1款规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”显然,前者采用“识别说”,强调个人信息的可识别性;后者采用“关联说”,强调个人信息与自然人的关联性。但是,二者只是从不同角度对个人信息的可识别性加以表述,并无实质差异。如果有关信息只是与自然人有关,但尚未达到可以识别自然人的程度,也不能认定为个人信息。极端的例子是,“匿名化处理后的信息”当然也与自然人有关,但由于其达不到可识别性的程度,故被排除在个人信息的范围之外。正是基于此,《个人信息保护法》强调为“与已识别或者可识别的自然人”有关的各种信息,仍然将落脚点定位为“识别”。以此推论,应当认为《民法典》《个人信息保护法》关于个人信息的界定实质一致,均强调个人信息的核心特征在于可识别性。
关于刑法上公民个人信息的界定是否坚持了可识别性的特征,存在不同认识。肯定说认为:“侵犯公民个人信息罪的相关司法解释和民法典、网络安全法以及审议中的个人信息保护法所采用的个人信息概念并不完全相同,但是,也都坚持信息的可识别性特征。”注否定说则认为刑法上个人信息的概念舍弃了可识别性的要求。注本文赞成肯定说的基本立场,认为主张刑法扩充个人信息概念,甚至将不具有可识别性的信息纳入其中的说法不能成立。实际上,关键不在于是否具有可识别性,而是如何理解可识别性的问题。如前所述,2017年《解释》关于个人信息界定所提及的“身份识别信息”“活动情况信息”均以可识别性为核心特征。但是,对可识别性不能限制解释为单独可识别性,因为按照单独可识别性的要求,个人信息的范围极其有限。否定说所列举的“账号密码”不具有可识别性,就是将可识别性等同为单独可识别性,将个人信息理解为狭义的身份识别信息。按照这一逻辑推演,个人信息的范围实际上只包括身份证号码、生物识别信息等少数信息在内。总而言之,将可识别性作为刑法上公民个人信息的核心特征应属无疑,司法实践之中需要进一步探讨的是可识别性的具体把握问题,特别是部分关联信息的范围,以此妥当认定公民个人信息。
综上所述,2017年《解释》关于个人信息的界定与前置规定虽然表述不同,但无实质差异。可以说,要求修改2017年《解释》关于个人信息界定的主张既不合理,也无必要。需要强调的是,法秩序统一原理重在强调刑法规则与前置规定在逻辑上的一致性,而并非要求在概念表述上完全保持一致。而且,前置法之间的表述也存在差异,要求刑法规则完全遵从前置规定,又会带来究竟应当采用何种前置法的现实问题。
(二)部分关联信息的认定
对刑法上的公民个人信息,应当坚持可识别性的特征。但是,可识别性是一个相对的概念,难以准确划定明确的界限。与前置法关于个人信息的界定一致,2017年《解释》第1条没有将公民个人信息限制为单独识别信息,而是将可以“与其他信息结合”达到可识别程度的部分关联信息包括在内。大数据时代,理论上而言,任何信息与其他足够多的信息相结合都可以识别特定自然人身份或者反映特定自然人的活动情况。基于此,必须为公民个人信息之中的部分关联信息划定界限。换言之,公民个人信息之中的部分关联信息有范围限制,可识别性有程度要求,实践中应作妥当把握,避免不当认定。
本文主张,在司法适用中具体判断部分关联信息是否可以认定为“公民个人信息”,可以从信息本身的重要程度、需要结合的其他信息的比例、行为人主观目的等三个方面加以判断。具体而言:
(1)信息本身的重要程度。如果涉案的信息与人身安全、财产安全密切相关,敏感程度较高,则对于此类信息认定是否属于公民个人信息,可以采取相对从宽的标准。
(2)需要结合的其他信息的比例。如果涉案信息本身与特定自然人的身份、活动情况关联程度高,需要结合的其他信息相对较少,则认定为公民个人信息的可能性较大;反之,如果需要结合的其他信息过多,则认定为公民个人信息的可能性较小。
(3)行为人主观目的。如果行为人主观上获取涉案信息并不需要识别特定自然人身份或者反映特定自然人活动情况,则此类信息原则上不宜认定为公民个人信息。
在当前司法实践之中,争论较为激烈的问题是单独手机号码是否属于公民个人信息的范畴。如前所述,如果不对部分关联程度作出一定限定,则单独手机号码亦可以被认定为公民个人信息。但是,鉴于手机号码尚不属于敏感个人信息的范畴,对于部分关联性的认定应当坚持相对较高的标准,而不宜过度泛化。对于带有识别标签的手机号码,如申请过网络贷款的手机号码注、有炒股意向的手机号码注等,尚且可以纳入公民个人信息的范畴。但是,对于仅包含手机号码(也可能是“手机号码+通话时间”)的信息,由于可识别程度极低,原则上不宜纳入公民个人信息的范畴。此种情形之下获取的手机号码,需要达到可识别程度,需要结合的其他信息远远超过手机号码本身;而且,涉案行为人实际上也不具有识别特定自然人的主观目的,即不关心手机号码背后的主体身份。对此,可能会有观点以手机实名制为由提出不同意见,但实际上手机号背后不一定对应特定自然人,因为还存在为数不少的物联网卡、黑卡。故而,不能主张每张手机号背后都可以对应特定的自然人。
与之相关的问题是去标识化的判断。对此,2017年《解释》第1条关于“公民个人信息”的界定虽然没有明确将“经过处理无法识别特定个人且不能复原”的信息排除在外,但一方面可以通过其对“可识别性”的界定作出当然推论,另一方面在第3条关于非法“提供”公民个人信息的规定之中有所提及。需要强调,这是平衡个人信息保护与数据产业、数字经济发展之间关系的重要制度安排,应当引起重视。注需要注意的是,与部分关联信息的认定相关,去标识化实际上也是一个相对的概念。大数据时代,技术上而言不存在真正的不可识别,因为数据处理之后通过与其他数据拼接,自然还存在可识别的问题。故而,“个人信息经过处理后能否识别特定个人是一个相对的概念,对其的判断需要考虑国民的认同”。注实际上,不仅要考虑国民的认同,更要考虑技术的水平和可操作性。基于此,应然取向是就个人信息去标识化出台专门的国家标准,只要达到所规定的标准,即可认定为去标识化,以此确保刑法上公民个人信息范围认定得妥当。
三、侵犯公民个人信息罪中敏感公民个人信息的具体认定
如前所述,信息分级分类保护思想最早体现在2017年《解释》之中,进而影响了此后制定的《个人信息保护法》。《个人信息保护法》在第2章设专节“敏感个人信息的处理规则”,以突出对敏感个人信息的保护。但是,刑法关于敏感个人信息的范围及分级与前置法存在明显差异,如何对待这一差异,并以此为基点妥当处理刑法上敏感公民个人信息的具体认定问题,亟须作进一步探究。
(一)刑法上敏感公民个人信息判定的必要独立性
《个人信息保护法》第28条第1款规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”据此,前置法上敏感个人信息包括三类信息:
(1)一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害的个人信息;
(2)一旦泄露或者非法使用,容易导致自然人的人身、财产安全受到危害的个人信息;
(3)不满14周岁未成年人的个人信息。
2017年《解释》第5条第1款虽然没有明确给“敏感个人信息”下定义,但第4项“等其他可能影响人身、财产安全的公民个人信息”的表述,实际将刑法上敏感个人信息的核心特征规定为“可能影响人身、财产安全”。由此可以发现,刑法上敏感个人信息实际限于“影响人身、财产安全”的个人信息,范围明显较窄,与前置法上敏感个人信息的第二类型相当。此外,与前置法关于个人信息的两分法有所不同,刑法对敏感个人信息进一步区分为高度敏感个人信息和一般敏感个人信息:前者为行踪轨迹信息、通信内容、征信信息、财产信息;后者为住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息。
对于上述差异,目前有观点主张刑法应适应前置规定,但具体调整方案有异:有观点持刑法修正与司法解释修改并进的模式,注也有观点持司法解释修改的模式注。本文不赞成上述观点,主张维持刑法上敏感个人信息的现有规定不变,坚持刑法判断的必要独立性。
第一,基于刑法的规范目的,刑法应当对前置规定保持一定的选择性。刑法与前置法对敏感个人信息的规范目的存在较大差异,决定了对敏感个人信息的范围可以而且应当不一致,刑法不应完全从属于前置法,不应对前置规定“照单全收”。《个人信息保护法》划定敏感个人信息的范围,旨在对所涉信息设置特定处理规则,以实施更为严格的保护。而刑法设置敏感个人信息,主要是考虑到所涉信息涉及人身、财产法益,非法获取、提供所涉信息,不仅侵犯个人信息权益,还可能影响人身、财产安全。而且,后者更是刑法对敏感个人信息设置更为严厉的刑事处罚的主要依据所在。基于此,刑法上敏感个人信息的范围完全可以窄于前置法设置的敏感个人信息的范围,将部分敏感性相对较弱、特别是不涉及人身、财产安全的信息排除在外。以不满14周岁未成年人的个人信息为例,《个人信息保护法》将其设置为敏感个人信息,主要在于信息主体“在生理上和心理上尚不成熟,认知能力和控制自己行为的能力都较弱”。不满14周岁未成年人信息的范围较宽,但只有涉及人身财产安全的,才符合刑法上敏感个人信息的保护目的,适宜纳入其中。又如影响人格尊严的个人信息,《个人信息保护法》基于人格尊严予以特殊保护当然必要,但与刑法设置敏感个人信息侧重保护人身财产安全的目的有所不同。
第二,根据罪责刑相适应原则的要求,刑法对敏感个人信息的范围也应当作出适当的限制。对此,有观点认为“对于侵犯公民生物识别信息和侵犯不满14周岁未成年人的个人信息的行为,认定‘情节严重’的标准都应该为‘50条以上’”。注作此处理,将导致刑法上的归责过于严苛,而且与前置法处罚措施的充分运用也不协调。《个人信息保护法》在《网络安全法》等法律的基础上,完善并强化了对包括非法获取、提供在内的违法处理个人信息行为的行政处罚。其中,第66条对违法处理个人信息最高设置了“没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款”的处罚措施。基于行刑有序衔接的需要,在《个人信息保护法》施行后,刑法应当为行政处罚留有一定空间,防止对个人信息处理活动的规范和个人信息权益的保护片面依靠刑法手段,以形成行政处罚与刑事处罚“齐头并用”的良好局面。而刑法上敏感个人信息的范围小于前置规定,恰恰是为行政处罚措施的充分运用保留必要的空间。
第三,对于司法实践之中出现的刑法上敏感个人信息认定问题,应当通过具体案件的妥当处理加以解决。有论者将当前刑事司法实践中对敏感个人信息认定的难题,归因于2017年《解释》对个人信息的细分,主张“直接采用个人信息保护法的方案将个人信息区分为敏感信息和一般信息两种”。注应当指出的是,与前置规定不同,刑法对敏感个人信息再行区分为高度敏感个人信息和一般敏感个人信息,实际更加符合精准惩治犯罪的要求。而且,刑事案件具体处理之中出现的问题,恰恰说明厘清这一问题的必要性,似不能据此得出就应当取消刑法上独立判断的结论。如果直接采用前置法关于个人信息的规定,一方面,可能致使敏感个人信息的范围过大,导致刑法适用的泛化,挤压行政处罚的空间;另一方面,前置法上关于各类敏感个人信息的认定同样会存在争议,在欠缺统一规定的前提下亦会有不同主张。对此,适当的方案是维持刑法上的现行规定不变,但应在具体案件处理之中厘清敏感个人信息认定的有关问题。
(二)刑法上敏感公民个人信息的具体认定
具体案件之中,敏感个人信息的认定涉及具体判断,具有一定的伸缩度。在当前司法实践之中,个别案件存在对敏感个人信息的认定过于简单化的倾向,只要相关信息涉及敏感信息,即径行认定为敏感个人信息。基于妥当平衡个人信息保护与数字经济发展需要的考虑,本文主张对刑法上敏感个人信息的具体认定应当持限制立场:
(1)敏感个人信息的认定应当坚持实质判断,不应仅在形式上判断是否含有敏感内容,而应实质判断所涉信息是否涉及人身、财产安全。有必要强调的是,对于侵犯公民敏感个人信息的行为之所以设置不同于一般公民个人信息的入罪标准,就在于敏感个人信息多涉及人身安全和财产安全,其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。这是认定敏感公民个人信息时应当考量的关键因素。
(2)对敏感个人信息、特别是高度敏感个人信息的认定应当作慎重判断,原则上要避免涉相关信息的案件成为侵犯公民个人信息罪的常态。
顺带提及的是,具体案件之中还可以辅之以信息交易价格作为判定的参考。从司法实践来看,一般公民个人信息的价格相对较低,甚至不会按条计价;而敏感公民个人信息价格一般较高,通常按条计价。特别是,行踪轨迹信息等高度敏感个人信息交易价格更高。注因此。实践中不妨以信息的交易价格情况作为参考,以妥当判定敏感个人信息的范围。
例如,广义上而言,涉及轨迹的信息范围较宽。对于行踪轨迹信息,原则上应当把握为能够实时反映相关人员的轨迹状况的信息。通常而言,非实时的行踪轨迹信息对人身财产安全的影响相对较低,认定为一般信息更为妥当。诸如火车票信息,当然可以根据火车票载明的信息判断出他人的行踪情况,但相关轨迹信息并非实时信息,宜排除在行踪轨迹信息的范围之外。
又如,对于房产信息的判定亦应坚持涉及财产安全的实质标准。具体案件之中,行为人将利用职务便利掌握的交纳住房维修基金等相关信息(包含房屋地址、面积及购买人姓名、电话等)予以出售,后相关信息被倒卖获利和用于装修公司的推销活动。注对此,二审法院针对抗诉机关主张“房产属于财产,房产信息应为财产信息,本案所涉信息应属于财产信息”的抗诉理由,提出“虽然本案的信息涉及房产面积,但没有涉及房产的交易价格、交易方式、资金来源、贷款情况、共有人情况、房产抵押、担保情况等涉及房屋财产属性的内容,不足以反映特定人的财产状况”,并不会直接影响财产安全,不应纳入“财产信息”的范畴。
四、结语
遵从法秩序统一原理,并不意味着刑法要取消自主判断。特别是法秩序统一原理强调法律规范之间的阶梯性,要求刑法为前置法相关处罚措施的适用留有一定空间。基于此,在《个人信息保护法》施行之后,对侵犯公民信息罪犯罪圈的微调虽是必然,但不宜通过刑法修正或者司法解释修改的路径,而应当立足于司法适用之中具体案件的妥当把握。由此,侵犯公民个人信息罪中公民个人信息的范围厘清和敏感公民个人信息认定即为两个关键,应当通过妥当把握该两个问题,对刑法适用范围作出妥当调整,实现《个人信息保护法》所主张的平衡个人信息保护与数字经济发展的立法旨趣在刑事领域得到切实贯彻。