1. 引言
2021年1月1日《中华人民共和国民法典》出台,同年的6月10日与11月1日通过了《中华人民共和国数据安全法》与《中华人民共和国个人信息保护法》(以下简称《数据安全法》与《个人信息保护法》),三个法律的内容中将数据安全与个人信息保护提到了前所未有的高度。在民法典颁布后,个人信息被学者们划分为私密信息与个人信息;在《个人信息保护法》出台后,个人信息同样被划分为了敏感个人信息与一般个人信息,那么刑民行三者对于私密信息、敏感个人信息与一般个人信息三者需要怎样划分责任承担范围是值得讨论的问题。并且,刑民行三个部门法之间保护个人信息的侧重点各不相同,并且在对于“个人信息”的范围界定上相互间存在分歧,这也导致刑法上认定侵犯公民个人信息罪的法益的不明确以及处罚范围过宽的种种问题。本文拟从法益的角度出发,通过对侵犯公民个人信息罪的法益及犯罪对象进行界定,明确刑民、刑行界限。
2. 侵犯公民个人信息罪的法益之界定
2.1. 当前主要学说之观点
侵犯公民个人信息罪的法益在《民法典》与《个人信息保护法》出台前后学者对于本罪法益有不同见解。关于本罪的法益学界主要存在个人法益说(隐私权说、个人安宁说)、超个人法益说(社会公共信息安全说)、折衷说(个人信息权说)三个大类:
1) 个人法益说:持个人法益说观点的学者大抵认为刑法在本罪上的法益应当参照前置法,也就是《个人信息保护法》或者《民法典》保护的内容,本罪保护的法益绝不是社会秩序或者公共利益 [1],个人法益说的发展主要来源于美国,通过由“隐私、心灵安宁”——“隐私权 + 个人信息保护”——“个人隐私与个人信息控制论”三个阶段 [2],展现了个人信息的私法保护的演进,在我国个人信息的私法保护主要集中于《民法典》中关于隐私与个人信息保护中,但是我国的民法典仅采用的是上述模式的中间阶段,即“隐私权 + 个人信息保护”,而对于个人信息的控制在《个人信息保护法》中得以实现;个人法益说在我国还有“个人生活安宁说”的分支主张“刑法视野中的公民个人信息判断应以‘私人生活安宁’为标准,即任何与公民个人相关的信息,一旦泄露,可能威胁到私人生活安宁的,都是公民个人信息 [3]。”
2) 超个人法益说:超个人法益说又有学者称为“社会公共信息安全说”持社会公共信息安全说的学者一般认为,本罪侵害的法益是社会公共个人信息的安全以及个人信息被不当滥用。其核心关键点在于对于社会秩序与公共利益以及社会信用造成的不可逆的损害。主要观点在于:“个人信息的深度伪造、滥用,对社会信用的损害可能是颠覆性的 [4]。”社会公共信息安全说的优势在于其指明了滥用个人信息带来的严重后果,但是完全没有涉及个人信息分类后对于不同类型的个人信息的分类讨论,导致本罪的法益变为了单纯的社会法益,事实上是一种避重就轻的论述,回避了对于个人信息的个人属性的讨论,并且本说要求达到影响社会秩序的法益侵害程度会导致一些严重的侵犯个人的信息的行为得不到刑法处置,例如:侵犯他人性隐私的行为,情节严重的,虽然没有侵犯社会秩序或者社会信用,但是,假如为他人的下游犯罪提供数据帮的助应当认为也需要进行刑法规制。近年,有学者对社会共信息安全说进行了进一步具体化,其认为:本罪法益保护的是公民个人信息的流转状态 [5],认为个人信息权说中的信息专有权本质上是一种集体法益,有学者反驳这一观点,认为本罪保护的是个人法益。笔者赞同集体法益的观点,应当认为是否为集体法益应当是由权利主体的复合性决定的。因此,其认为本罪法益应当认为是由刑民行三者共同构建出一种符合社会共同利益的安全状态。笔者认为这种学说可以认为是修正的社会公共安全说与纯粹的公共安全说相区别。
3) 折衷说:折衷说又称“个人信息权说”,持个人信息权说的学者认为,本罪在大数据时代下法益应当从陈旧的纯粹保护社会法益或者个人隐私权的前置法根据中解脱开来。支持本说的学者认为“公民个人信息”需要根据前置法确定其权利性质与属性,并对其进行分类,并且在“知情同意”的条件下体现个人信息的控制权。个人信息权学说下的个人信息控制说的观点是:“本罪的法益是公民个人信息权,包括公民个人信息不被不正当收集、采集的权利,不被不正当扩散的权利,以及不被滥用的权利 [6]。”体现出信息主体对于个人信息的自由的控制;个人信息占有说的学者认为:“个人信息是一种一般人格权体现了信息主体对于个人信息的控制与占有。”而个人信息权财产说的学者主张:“个人信息权利并非一般人格权,个人信息的开发与财产化是必然趋势 [7]。”;更多的学者认为个人信息权是一种“集合人格、财产与其他权益”综合的“结合体”,是一种特别法益。个人信息财产说或者个人信息占有说有些学者对于两说的批判在于:对于个人信息性质的分类将会导致私密信息的认定与保护的落空。例如著名的“开房局长案”,黄某、缪某将被害人个人开房记录以文字加图片的形式,以“永嘉惊现开房局长”为标题发到网上,引起大量转载和关注,被害人因此卧轨自杀。被告被法院以非法获取公民个人信息罪论处。开房记录是本案的犯罪对象,如果按照当下的标准,涉案的开房记录只有人格价值没有经济和公共属性,属于隐私而不属于个人信息,不能以侵犯公民个人信息罪处罚。在这种解释标准的影响下,实践中大量的私密信息侵害案件,都只能以其他罪名处理。私密信息的刑法保护,从侵犯公民个人信息罪的直接保护模式,转变为多罪名分散保护的间接保护模式,但这种间接保护模式存在诸多弊端。将私密信息排除于公民个人信息的通说解释结论,是造成私密信息间接保护模式困局的根本原因 [8]。在私密信息被排除出公民个人信息之前,侵犯公民个人信息罪是刑法保护私密信息的主要手段。
2.2. 观点评析及本文之主张
对于个人法益说的否定:个人法益说的缺陷在于,如果刑法完全按照前置法所规定的保护范围来确定刑法的范围,将会导致刑法与前置法失去侵害程度上的分别,换言之,刑法保护的是严重侵害国家社会与个人法益的行为,而民法与行政法主要规制的是一般轻微违法行为与平等主体之间的纠纷。采取个人法益说似乎将所有个人信息都纳入了刑法保护,无法有效区分民法行政法保护与刑法保护的界限。
对于纯粹的社会公共信息安全说的否定:应当认为纯粹的社会公共信息安全说缺陷在于其没有说明社会信息安全的公共秩序与个人信息侵犯行为之间的关系,而造成了逻辑混乱问题。
对于个人信息权说的批判:个人信息权说的优势在于,其明确了个人信息保护的前置法依据,但是个人信息权说的缺陷在于,个人信息权说过度区分了个人信息的分类导致处罚界限的不明确以及司法实践中对于本罪个人信息数量认定以及用途认定产生极大混乱的问题,并且应当认为从本罪刑法条文规定的行为模式上来看,本罪防范的危险并不来源于获取行为本身而在于其作用于其他犯罪的帮助的危险。并且个人信息权说的问题还在于混淆了犯罪对象与保护法益的概念。个人信息权说认为本罪的对象就是本罪保护的法益,其实不然,例如:盗窃林木这一“犯罪行为的实质并不在于侵害了作为某种物质关系的林木,而在于侵害了林木的国家神经——所有权本身 [9] ”。所以从刑法的角度上来看,个人信息权说对于研究个人信息从财产性还是人格性的分类的方向是错误的,重点应该聚焦于其在社会中被滥用而产生的危险的大小,以其作为成立本罪的标准,即应当从破坏个人信息安全流动的角度(法益)来界定个人信息的敏感度,以及何种信息值得刑法保护,而不是通过个人信息的敏感程度的分类来确定法益的范围。
本文之主张:对于本罪的法益的内涵,笔者赞同修正的社会公共信息安全说,应当认为本罪保护的法益是一种集体法益,设置本罪是为了保护个人信息的一种正常流转状态,从构成要件的角度上来说,这种流转状态不仅仅限于获取的手段还涉及具体使用的方式。修正说的优势在于明晰了这种集体法益与个人法益之间的关系,本罪虽然归属侵犯公民人身权利与民主权利一章,但是在本罪中侵犯个人法益的行为只是一种表象,真正应当保护的是一种数据市场内个人信息安全流动的状态,属于集体法益还原为个人法益。亦即,需要惩罚的不单单只是提供、出售、非法获取的行为,而是惩罚行为人对个人信息正常运转背后秩序的破坏而造成的严重的人身与民主权利的风险。所以笔者认为对于侵犯本罪法益打击范围以外的个人信息,应当在民法与行政法内确定责任分配问题。
3. 刑民交叉视野下侵犯公民个人信息罪犯罪对象范围之界定
《民法典》第1034条将公民个人信息分为个人信息与私密信息,而从《个人信息保护法》的规定中来看,《民法典》中的一般个人信息就是指敏感个人信息。“私密信息”从民法典的条文来看,应当认为私密信息隐私的一种表现形式,是一种有权不被他人知晓的信息。而个人敏感信息的概念是与个人一般信息相对的概念,即个人敏感信息的重点在于其“敏感性”;从功能角度来看,个人信息资料权与隐私权也有重大的差别,后者的保护重心在于防止隐私公开或泄露,而不在于利用。隐私权的内容更多是一种消极的防御,即在受到侵害时寻求救济或者排除妨碍而个人信息资料权则包含更新、更正等内容 [10]。从二者的权利性质上来说,个人对于自身信息资料的权利应当作为一项独立的具体人格权对待而不能完全为隐私权所涵盖。学界对于私密信息与敏感个人信息的区分也有三说:交叉重合说、完全覆盖说与完全区分说:交叉重合说认为,敏感个人信息与私密信息又重叠部分也有相互独立的部分;完全覆盖说认为民法中的私密信息包含在隐私中,而敏感个人信息包含私密信息中 [11]。当然也有学者认为是敏感个人信息完全覆盖私密信息 [12]。还有学者认为两者是等同的;独立区分说,认为敏感个人信息与私密信息并无交集,独立区分说的立足点在于敏感信息是纯粹的财产性属性而无人格性属性,而隐私或者说私密信息则是与之相反 [13]。但是笔者认为无论怎么分类,从刑法的角度来看,还是应当注重其对于法益的实质侵害。
需要讨论的是,民法典中对于私密信息做了特殊规定,即第1034条第三款,对于私密信息按照隐私权的相关规定进行参照。那么从法益的角度来看刑民交叉问题存在于对于私密信息的泄露是否会影响到正常的个人信息流转状态,或者说,私密信息的滥用、泄露、获取是否会导致对于集体法益的损害。
3.1. 民法上的“个人信息”的泄露是否侵害本罪法益
案例一:郭兵与杭州野生动物世界服务合同纠纷即“人脸识别纠纷第一案” [14]。本案中郭兵购买杭州野生动物世界双人年卡,留存相关个人身份信息,并录入指纹和拍照。后野生动物世界将年卡入园方式由指纹识别调整为人脸识别,并要求郭兵进行人脸激活,双方协商未果,遂引发纠纷。
案例二:徐某等6人侵犯公民个人信息案——行业“内鬼”利用非法获取的公民个人信息激活手机“白卡”用于电信网络诈骗犯罪 [15] 一案,本案中被告人徐某、郑某合谋在杭州市、湖州市、诸暨市等地非法从事手机卡“养卡”活动。即先由郑某利用担任手机卡代理商的便利,申领未实名验证的手机卡(又称“白卡”);再以每张卡人民币35元至40元的价格交由职业开卡人马某辉;马某辉通过在江苏省的劳务公司员工时某华、耿某军等人,以办理“健康码”、核实健康信息等为由,非法采集劳务公司务工人员身份证信息及人脸识别信息,对“白卡”进行注册和实名认证。为规避通信公司对外省开卡的限制,时某华、耿某军利用郑某工号和密码登录内部业务软件,将手机卡开卡位置修改为浙江省。此外,马某辉还单独从赵某处购买公民个人信息400余条用于激活“白卡”。
如果采取当下的通说个人信息权说,应当认为杭州野生动物园同样未经当事人郭兵同意就采集了其个人信息,并且通过一般个人信息与人脸识别信息能结合认定其特定自然人身份,并且从办理年卡的人处获取的生物识别信息的数量必然已经达到了《办理信息案件的解释》这一司法解释中第5条规定的数量,但是为何不按照侵犯公民个人信息罪进行处罚?个人信息权说的赞成者可能认为,其他被采集人脸数据的游客是在知情同意的情况下授权动物园采集个人信息的,其个人信息支配权并没有被侵犯,所以不构成本罪。但是笔者认为按照这种思路,因一人起诉动物园认为侵犯支配权,而不认定为侵犯公民个人信息罪,那么一群人被侵犯个人信息的支配权就构成本罪?这种思路是错误的,从个人信息权说的角度应当认为只要侵犯了本罪的法益,即主体对于个人信息的支配权就应当以本罪定罪,而非根据人数多少或者个人信息的数量来进行区分罪与非罪。
采取个人法益说也存在如何处理集体法益的问题,例如,性隐私、宗教信仰自由等都是个人隐私,获取其到达一定数量,实务中并不按照本罪处罚,而是根据民法典隐私权的条文进行救济。
采取修正的社会公共信息安全说,则能很好地解决这个问题,修正的社会公共信息安全说认为,案例一与案例二的区别在于将公民个人信息用于一般的生活中时,或者说正常的商业用途之中时,并不能认为这是对于个人信息正常流转状态的打破,有学者指出“数据是这个时代的生产要素” [16],可见在商业活动中一般的数据流动是进行数据交换所必然发生。但是,这种正常数据交易一旦运用于犯罪的过程中时,就会导致这种集体利益或者公共利益与公共数据安全的秩序被破坏,从而导致公民的人身、财产权利遭受被侵害的风险。对于个人信息,现下有学者主张,界定民法上的个人信息需要依靠“场景理论”,应当摆脱全有或者全无的理论,在实际情况中判断获取的个人信息是否是敏感个人信息,需要结合目的、用途、获取途径、环境因素综合考量 [17] 这与社会公共信息安全说的对于侵害集体法益的整体判断是不谋而合的。应当认为,正常的商业目的使用个人信息的行为并不属于犯罪行为的范畴之中,并未打破个人信息的正常流转状态,被其他学说非难的“可能会造成信息泄露”笔者认为数据在流转过程中固然是存在风险的,但是不能因为存在风险就对所有会引发风险的行为都认定为犯罪。从案例一与案例二中不难发现,从修正的社会公共信息安全说可以很好地界分刑民问题。
3.2. 民法上私密信息的泄露是否侵害本罪法益
案例一:王某与张某、北京凌云互动信息技术有限公司、海南天涯在线网络科技有限公司侵犯名誉权纠纷系列案 [18],本案中网站擅自将当事人的姓名、家庭住址、婚外情等信息予以公布,从而使当事人的生活受到严重影响。
案例二:庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案 [19],本案庞理鹏委托其助理鲁超通过北京趣拿信息技术有限公司(以下简称趣拿公司)运营的去哪儿网购买中国东方航空股份有限公司(以下简称东航公司)机票,其后收到诈骗短信,短信内容中显示有庞理鹏航班的起飞时间、降落时间、机场名称、航班号。
从本罪法益为个人信息权说的角度来看:按照个人信息权说下的财产权说认为,案例一中的私密信息由于不具有财产价值,所以不应当进行刑法规制,而案例二中的航班信息具有一定的经济财产属性,所以需要进行刑法规制;从个人信息占有说、支配说与综合说的角度来看,上述两个案例都构成侵犯公民个人信息罪,因为都对于当事人自由支配信息的公开权进行了侵害。从案例一与案例二后果的严重程度上来分析,私密信息的泄露,造成当事人自杀的严重后果从刑法目的的立场上来说肯定应当予以保护,财产说在这一点上有明显缺陷。而占有说、支配说与综合说没有办法区分刑民交叉的问题,上述个人信息的区分中已经说道,不再赘述。
如果案件采取修正的社会公共信息安全的法益侵害说的角度来看,应当认为案例一中的行为构成对于个人法益的影响,但是对于集体法益的危害性并不严重,并不足以进行刑法规制,而是在民事领域参照侵权责任法进行补偿损失、赔礼道歉、数据删除等,而案例二中应当认为中国东方航空公司也不构成侵犯公民个人信息罪,因为,虽然其获取了庞某的个人信息,但是只作为商业信息进行合理使用,从法益侵害的角度来看并未打破个人信息的正常流转,从侵犯个人信息犯罪的法益角度诈骗的责任并不能归责与航空公司,但是其具有监督者的职责,笔者认为这里可以追究其对于信息保密义务的违反所应当承担一定的责任。
从客观性的视角出发:应当认为民法上的规定的个人信息是一种较为客观的信息,是法律规定的信息 [20]。因为从民法典的叙述中可以看出,隐私权的表述是较为主观的,什么是“隐私”可能每个人有不同的界定;美国对于侵犯私密信息的认定适用的一个共同必要前提条件是存在“损害”。实际损害是否成立,要求原告证明其受法律保护的利益遭受了具体特定的实际侵害或迫切的侵害威胁,而不得仅基于推测或假设 [21]。可见美国对于私密信息的保护也需要建立在客观法益侵害事实的前提下。宁园学者认为侵害行为的基准是“权益侵害的风险为基准”,这里对于侵害的标准还是回到了对于侵害公民个人信息罪法益的讨论中,所以采取何种学说决定了刑民的界分问题。
由上述两个案例可见,从法益侵害的角度对于私密信息的泄露,都应当认定其没有到达打破正常的个人信息流转的状态。即对于私密信息的泄露,尤其是民法上规定的隐私权,笔者认为,虽然造成了严重的后果,但是其对于社会秩序或者公共利益的侵犯并不显著,只是对于个人生活的一种特别侵害,完全可以通过侵权责任编进行救济。还有学者提出:私密信息与非私密信息的区分仅仅在平等民事主体的侵权纠纷之中有意义 [22],笔者认为,这种观点应当是合理的,私密信息无论从客观程度上还是人格属性的危害性的角度来说,其没有达到刑法法益保护的高度,更多发挥作用的在其民法中的具体人格权保护。
4. 刑行交叉视野下侵犯公民个人信息罪犯罪对象范围之界定
《个人信息保护法》第四条:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。并且特别规定了敏感个人信息的范围。应当认为相较于一般个人信息,敏感个人信息的对于自然人的人格尊严,人身、财产安全遭到侵害的风险更加严重。《办理信息案件的解释》第一条也规定的“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”可见在刑法与行政法之中在敏感个人信息的认定上是一致的:应当认为,对于敏感个人信息需要进行个人信息保护。
但是问题在于,第一,具体是依据《个人信息保护法》还是《刑法》及其司法解释进行规范存在不同对象与不同范围的界定之区别。并且《个人信息保护法》出台后,对于敏感个人信息又进行了新的列举,如:未成年人的个人信息,宗教信仰、医疗健康信息等,这些是否需要纳入刑法的“个人信息”范畴需要结合侵犯公民个人信息罪的法益进行分析。第二,对于侵犯一般个人信息的行为(其中又分为单纯侵犯一般个人信息与同时侵犯一般个人信息与敏感个人信息的情况)是否违反本罪法益,还存在理论的模糊与混同而导致定罪不明确的问题。
4.1. 对于侵犯《个人信息保护法》中的敏感个人信息是否侵害本罪法益
笔者认为,《个人信息保护法》第二十八明确规定了:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,这在内容上与刑法保护的目的是一致的,而刑法保护的行为规范效力与法益保护有有一些区别,有学者指出:关于作为保护客体的法益的理论,要求我们必须精确地说明,值得处罚的损害性侵害或危险究竟存在于何处。如果某种规定只保护特定的秩序,而不去避免具体的损害,那这些规定在刑法中就没有任何地位。它们实际上属于所谓的违反秩序法,这种法律并不把刑罚作为其制裁手段 [23]。换言之刑法的法益必须说明侵犯敏感个人信息的行为危险性具体在什么地方才是重点,《个人信息保护法》相较于《办理信息案件的解释》在敏感个人信息的界定上做到了说明为何敏感个人信息需要进行规制的法益侵害的风险的原因,所以笔者认为刑法在敏感个人信息的范围认定上应当完全按照《个人信息保护法》进行解释。有学者的观点认为:应当将一般个人信息原则上进行行政规制,只有在严重侵犯他人人身,财产权时才对其进行刑事制裁。不应当将个人信息的分类在刑法上进行过度划分,这样的弊端是显而易见的,其将会导致过多的性质的交叉,而导致财产信息和交易信息难以辨明,关于住址信息与住宿信息纠缠不清,关于行踪轨迹信息和手机位置信息高度重合 [24]。从而导致涉及敏感个人信息与一般个人信息与重要信息多要素的案件中,罪与非罪意见不一的窘境,笔者十分赞同这种观点,从修正的社会公共信息安全说的角度来看,敏感个人信息下进行过度划分其实是一种偏离刑法规制目的的一种无用之举,只会徒增实务中的分歧,还是应当回到法益视野中,通过其是否对于个人信息正常流转的破坏进行罪与非罪的认定。
4.2. 对于涉及侵犯一般公民个人信息是否侵害本罪法益
问题在于,《办理信息案件的解释》第六条规定了除第五条外的个人信息,笔者认为这里就是对于一般公民个人信息的提示,第六条第一款与第二款认为从数量以及牟利数额的角度对一般公民个人信息进行认定,这就会导致认定犯罪的标准不是实质的法益侵害而是“以量定罪”,只要属于个人信息,只要达到数量就按侵犯公民个人信息罪定罪处罚,有学者指出我国的在“数量”上的标准一般采取“形式认定”与“综合认定”两种方法,这里的综合认定并不是结合目的用途或者其他因素,是指在涉案人员众多时并不以每一人员的逐一询问为前提,而是综合分析在案各类证据对相关犯罪事实进行认定。上述“形式认定”与“综合认定”所带来的问题亦显而易见,即其所认定的犯罪事实存在着与客观事实不符的可能,进而造成对行为人的明显不利 [25]。并且实务中,单独侵犯一般公民个人信息的案例是极少数,即使存在单纯侵犯公民一般个人信息的,例如单纯获取他人姓名达到5000的行为,并不会对个人信息的正常流转造成破坏,不应当以刑法定罪处罚。问题在于实务中大量的案件都是同时存在数种公民一般个人信息,其结合后整体变为了敏感个人信息,这对于个人信息的认定,不仅从数额还从性质上产生了一定的认定阻碍。
案例一:张英杰、吕冬冬等侵犯公民个人信息罪一案中:被告人张英杰、吕冬冬、袁渊、崔龙龙、段林煜在公司工作期间收受了多个小区的公民个人信息,段林煜一人违法所得600元。法院将信息分为了财产信息与其他个人信息。一审未区分认定,二审虽然区分认定,并认为房源信息不是财产信息而是交易信息,最后还是认定上述几人侵犯公民个人信息罪。
案例二:柯某侵犯公民个人信息案 [26]:本案中2016年1月起,柯某开始运营“房利帮”网站并开发同名手机APP,以对外售卖上海市二手房租售房源信息为主营业务。运营期间,柯某对网站会员上传真实业主房源信息进行现金激励,吸引掌握该类信息的房产中介人员(另案处理)注册会员并向网站提供信息,有偿获取了大量包含房屋门牌号码及业主姓名、电话等非公开内容的业主房源信息。自2016年1月至案发,柯某通过运营“房利帮”网站共非法获取业主房源信息30余万条,以会员套餐方式出售获利达人民币150余万元。
案例三:江苏省无锡市人民检察院督促保护学生个人信息行政公益诉讼案:本案2016年7月,甲培训机构总经理孟某购买中小学在校学生个人信息23万余条,并将上述信息用于其培训机构电话招生。2018年7月,孟某向王某出售、向乙培训机构总经理方某提供上述信息。甲乙两培训机构均无办学许可证,而上述信息多为格式统一、内容全面、精确度高的整个学校或整个班级的信息,内容包括学校、学生姓名、入学年份、班级、学号、邮寄地址及父母姓名、联系方式等。本案最终对于甲乙培训机构的处罚是:对甲机构的孟某以侵犯公民个人信息罪定罪,对甲机构列入失信名单,对乙机构撤销方某职务,变更负责人并取得办学许可证。
从上述案例一与案例二中,两个案件的共同点是,案件中收受的房源信息中既包含公民一般个人信息(业主姓名、房屋门牌号、小区名称),并且经过组合就变为了敏感个人信息。但是两个案例的不同之处在于,对于为了扩大正常业务经营而进行非法收受公民个人信息的(案例一)与纯粹通过虚假的软件骗取公民个人信息以牟利的(案例二),两者从行为的性质,以及法益侵害的程度,还包括对于下游犯罪的帮助与帮助的风险都是不同的。应当认为案例一相较于案例二,案例一的一般个人信息的泄露仍在公司的可控范围内,并且从实际经营的角度,如果没有这些信息,建筑装饰公司很难开展业务,或者说在业务过程中必然会获取这些个人信息,从修正的社会公共信息安全说的角度,本案行为人的行为并没有破坏个人信息正常流转的模式,其使用用途,目的都是较为合理的。
但是,上述案例在获取个人信息的“知情同意”的原则上有违背之嫌,有学者认为告知同意原则的实际效果一直遭到质疑,这主要是由于信息技术和商业模式的发展对“实质性告知同意”产生了障碍 [27],这是我国技术模式的制约;也有学者认为在侵犯公民个人信息罪的认定中,无论是非法获取、非法提供还是非法出售行为,其行为“非法”性的认定关键在于相关行为未获得个人的知情同意 [28],充分体现信息自决权;也有学者认为事实上该规则深陷传统财产规则的桎梏,过分强调个人对信息的控制,而忽视了信息的流通与利用 [29]。
笔者认为,从修正说的角度来看个人的知情同意确实是影响本罪法益的一个重要因素,但不是决定因素。例如在公开个人信息中的处理,有学者指出我国《民法典》与《个人信息保护法》之所以允许处理者无需取得个人同意即可合理处理公开的个人信息,根本原因还是为了实现对个人信息权益保护与合理行为自由维护之间的协调与平衡 [30],其强调合理行为作为免责事由的正当性与合理性;又比如发生为了社会公共利益不得不公开个人信息的情况下,例如为了治理疫情,公开病人的小区的地址,这是为了公共利益使用信息的行为,其中就没有知情同意之余地,此时知情同意就变得无所适用了,这也是个人信息权说无法解释的一些问题。笔者认为,案例一中,可以追究当事人以及建筑装饰公司的行政责任,而案例二中的柯某,其设立APP的初衷就是通过获取个人信息牟利,并且从其牟利的行为,和获取的牟利的数额,和网站会员上传真实业主房源信息进行现金激励的行为完全是一种主动打破个人信息正常运营模式的行为,是一种对于个人信息的不当使用,所以相较于案例一,柯某更应当以侵犯公民个人信息罪定罪处罚,其符合本罪对于侵害法益的要求。
对比案例一与案例三,案例三中从处罚的方式来看,国家采取了“刑行并行”的解决方式,即对于公司中的个人以刑法处置,而对于公司采取行政处罚的方式进行责令整改或者约谈的方式进行行政处罚。
笔者认为这种处罚方式有可取之处,但是问题在于,刑法对于本罪条文的第四款规定了单位犯罪的处罚,那么行政法规,即个人信息保护法与刑法在对于单位的处罚上就产生了衔接不协调的问题。笔者认为虽然两个案例都涉及到了公民的一般个人信息,但是应当认为公司或者机构在行政法上与刑法上的承担责任的侧重是不同的,在行政法上责任主体主要由于其资格不符合行政的要件而需要进行行政规制,其侧重点在于网信办的监督过失与企业的监督过失,而刑法处罚的单位犯罪则是侧重于对于单位作为犯罪主体,即追究单位作为侵害法益的主体对于个人信息侵犯行为的故意的责任,两者在处罚的维度上是截然不同的,当然最终的目的还是殊途同归,即对于更好地规范个人信息的使用。行政法从主体资格规范行为主体,而刑法聚焦于主体的具体犯罪行为,所以笔者认为“刑行并行”的模式应当是一种趋势,当然有学者认为这是一种重复处罚的现象,笔者在查阅北大法宝司法案例数据库中,多数涉及单位的行政案件多对于单位是一种批评教育,或者撤销职位,而刑法上对于单位犯罪多以罚金的形式进行处罚,笔者认为两者的分工是值肯定的,即案例三的做法较为妥当,使得教育与惩罚很好地结合。
5. 结论
本文在《个人信息保护法》出台后,试从法益的角度,分析刑法第253条之一与行政法与民法之间对于个人信息这一犯罪对象的区分。笔者认为当下我国数据市场的运作尚处于起步阶段,对于个人信息的刑法保护不宜过于严苛,必须注重个人信息作为数据流动的生产力发展潜能,并且在我国现下数据合规与大数据战略逐步践行的视野下,个人信息在民法与行政法规的概念中将会继续扩张,这是一个不可阻挡的大趋势,所以民法与行政法规在应对不断出现的新型数据上也是任重而道远,采取修正的社会公共信息安全说显然更有利于我国个人信息保护的发展,摆脱信息过度分类的泥沼。为了应对新时代下的数据规制发展应当注重行政法规对于获取个人信息的主体以及个人信息处理者的高度注意义务以及完备的主体资格,以做到降低信息泄露的风险,在事前对于个人信息正常流转进行保障,做到行政法作为前置法的保障功能;而民法方面对于私密信息的认定需要结合客观性进行是否涉及法益侵害的事实综合考量;同时刑法方面,在罪刑法定以及刑法谦抑的原则下对侵犯法益的行为进行严惩。结合刑民行三者才能全方位地保护公民的个人信息安全。
致 谢
在笔者撰写本文时感谢我的导师刘崇亮教授与张继红老师在论文的格式以及内容上对于我不断地帮助,每每当我遇到困惑时能够为我答疑解惑,感谢两位老师的细心指导。本文与其说是笔者的文章,不如说是两位老师思维的碰撞,笔者只是一个记录者、整理者。在此望两位老师保重身体,也再次谢谢两位老师的指导。