1. 问题的提出
2019年4月8日凌晨,陕西省渭南市澄城县发生一起针对微信号的抢劫案,犯罪嫌疑人樊某伙同刘某等四人在网吧内寻找独自上网的未成年人,并将其带到事先停在网吧门口的白色轿车内,樊某持刀威胁其交出微信账号及密码,该未成年人因反抗而被樊某所持弹簧刀捅伤 [1]。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)指出,账号密码属于刑法中的公民个人信息,由于采用暴力殴打、持刀威胁或者其他足以压制被害人反抗的方法符合“抢劫”的行为内涵,因此使用暴力、胁迫或者其他方法非法获取微信账号及密码的行为可以被定义为抢劫公民个人信息行为。
抢劫公民个人信息行为具有高度的法益侵害性,有必要以刑法规制此类行为。问题在于,侵犯公民个人信息罪中没有“抢劫”这一行为类型,刑法也并未单独规定抢劫公民个人信息罪。在现行刑法的框架下,如果将此类行为认定为侵犯公民个人信息罪,需要明确抢劫是否属于《刑法》第253条之一所规定的“其他方法”;如果认定为抢劫罪,则需要判断微信账号及密码是否属于刑法意义上的“财物”,并加以综合分析;如果不存在能够适用的罪名,能否将该行为进行拆解后通过类型化思维分别加以认定。在实践中出现此类行为而刑法规范不甚明确的情况下,如何进行罪名的选择显得尤为重要。
2. 侵犯公民个人信息罪的失灵
我国刑法采用例示项与兜底项结合的方法,将侵犯公民个人信息的多种行为方式系统性地规定为《刑法》第253条之一的侵犯公民个人信息罪。对于抢劫公民个人信息行为应当先判断能否适用个人信息类犯罪的总体性规定,即侵犯公民个人信息罪。要认定抢劫是否属于“其他方法”,就需要先明确本罪保护的法益,否则会由于解释者自身价值取向不同而将原本不符合兜底项的行为纳入本罪的处罚范围 [2],从而使本罪具有“口袋罪”倾向。
2.1. 本罪保护的法益为公民个人信息权
法益是刑法理论的核心,对法益性质的理解直接影响刑法理论对该罪的合理解释 [3]。目前学界关于侵犯公民个人信息罪的法益属性众说纷纭,总体而言存在两种对立观点,即个人法益说与超个人法益说。
个人法益说认为,本罪涉及到个人的信息安全与生活安宁,主要有以下几种代表观点:第一,隐私权说,认为只有姓名、电话等涉及到个人隐私的相关信息才能成为本罪的保护对象 [4],持隐私权说的学者居多。第二,个人生活安宁说,提出任何泄露后可能威胁到公民个人生活安宁的信息都应该被纳入本罪的保护范围 [5]。第三,公民个人尊严与个人自由说,认为应当从实质违法性的角度出发,对侵犯个人尊严与个人自由的行为予以处罚 [6]。第四,个人信息权说,认为本罪侵犯的是个人信息权,既包括个人隐私不受侵犯的权利,又包括限制他人非法收集、转让和出售他人信息的权利 [7]。这一学说为当下大多数学者所赞成。
超个人法益说认为,公民个人信息关系到国家安全以及社会公共利益,不仅仅限于个人的信息安全 [8]。其中代表性观点为社会新型管理秩序说,认为侵害单个人的信息不属于本罪的处罚对象,只有当侵害足够多人的信息以至于危害公共信息安全时,才能以本罪论处 [9]。这一观点延续了传统的刑法保护模式,将公民个人信息依附于社会法益进行保护。
笔者认为,本罪保护的法益为个人信息权,一方面公民基于自由而享有排除他人侵害的权利,另一方面公民依法对自己的个人信息享有支配以获取利益的权利 [10]。首先,从侵犯公民个人信息罪所处的法条位置可以认定本罪侵犯的是个人法益。本罪位于刑法第四章侵犯公民人身权利、民主权利罪中,我国刑法将侵害相同类型法益的罪名规定在同一章节内,因此本罪侵害的法益为与个人相关的人身民主权利。刑法将生命、身体、自由、生活的安宁以及名誉和信用、财产作为刑法上的保护法益 [11],这些法益就是刑法中的个人法益。
其次,将本罪的法益认定为个人信息权全面保护了公民的人格利益与财产利益。持个人法益说的观点中,无论是个人生活安宁还是个人尊严,本质上均与隐私权相关,因此可以将个人法益说分为隐私权说与个人信息权说两种对立学说。网络时代下数据本身蕴涵着财产属性,个人信息作为数据不仅具有保护公民隐私的价值,而且具备一定的财产价值 [12]。而隐私权属于单纯的人格权,并不包括财产权利的内容,个人信息的内涵与个人隐私存在部分重合,但超出了隐私信息的范围。因此,侵犯公民个人信息罪保护的法益为作为综合性权利的个人信息权。
2.2. 适用本罪遗漏评价了对人身法益的侵害
抢劫公民个人信息行为侵犯了双重法益:一方面,抢劫公民个人信息的行为属于对个人信息的非法获取,侵犯了公民依法对个人信息享有支配以及防止他人干预的权利,严重侵害了个人信息权;另一方面,由于行为人使用暴力、胁迫或者其他手段强行夺取被害人的个人信息,在非法获取个人信息的同时也对被害人的生命安全产生了威胁。在樊某抢劫个人信息一案中,樊某等人将被害人带入白色轿车内持刀威胁其交出微信账号和密码,首先,行为人使用非法手段获取账号密码,侵犯了被害人的个人信息权;其次,面对车内密闭空间以及行为人持刀威胁的情况,被害人为未成年人,此时处于不敢反抗、不能反抗的境地,因此樊某等人的行为也威胁到被害人的生命安全。如果以侵犯公民个人信息罪对樊某等人的行为进行评价,仅仅处罚了对被害人个人信息权的侵害,并没有评价对于人身权利的侵犯。
有观点提出,《解释》第5条所规定的情节特别严重的情形包括“致被害人重伤、死亡”,而侵犯公民个人信息罪中对应的法定刑为三年以上七年以下有期徒刑,可以对抢劫这种具有更高法益侵害性的行为判处更重的刑罚来弥补处罚的漏洞。这种观点有一定局限性,首先,抢劫罪的法定刑远高于侵犯公民个人信息罪的法定刑,无论抢劫的对象为个人信息或是一般意义上的财物,都使用了暴力、胁迫等手段,若仅因为对象的不同而对抢劫行为判处的刑罚相差过大,会导致罪刑失衡。其次,即便承认对抢劫公民个人信息行为判处更重的刑罚,这种方法仅仅从量刑的角度避免罪刑失衡,并不能弥补对生命安全法益评价不周全的问题。因此,抢劫公民个人信息行为具有更高的法益侵害性,适用侵犯公民个人信息罪遗漏了对人身法益的评价。
2.3. 抢劫与窃取等方法不具有相当性
本罪规定的行为方式为“窃取或者以其他方法非法获取”,为了认定抢劫是否属于“其他方法”,应当采用同类解释规则加以限制性解释。同类解释规则在例示项与兜底项之间发挥着穿针引线的功能 [2],目的就是提炼出例示项的共性,从而判断新的行为方式是否与例示项在刑法规范意义上具有相当性。
首先,“非法获取”指获取的状态非法。如果认为只要手段具有非法性即可,那么例如购买、获赠等以合法手段获取个人信息的行为就不能成为本罪的评价对象,也就无法对此类侵犯公民个人信息的行为予以刑事处罚。因此,这里的“非法获取”并非指行为手段本身的非法,而是指获取个人信息的状态非法 [13],即违反法律、行政法规以及部门规章的规定而获取个人信息的行为。因而,不能因为抢劫这一行为本身是非法的就认定其属于“其他方法”。
其次,抢劫与“窃取”不具有相当性。“窃取”是指以非法占有为目的,以平和的手段秘密获取公民个人信息,其中重要的特征在于“窃取”并不危害人身权利。根据同类解释规则,若将抢劫认定为“其他方法”,则需要具备对人的非暴力性,然而抢劫公民个人信息的行为明显对人使用了暴力、胁迫等方法,尽管同样侵害了个人信息权,但同时严重威胁了公民的人身安全,因此抢劫与“窃取”不具有相当性,不属于“其他方法”。另外,《解释》的规定也印证了这一结论,其中第4条明确提出,购买、收受、交换等方式属于“其他方法”,这些方法与“窃取”具有相当性,并不包含对人使用暴力的情形。
2.4. 入罪标准与抢劫行为不相匹配
我国刑法将“情节严重”规定为侵犯公民个人信息罪的入罪标准,如果没有达到情节严重的要求则认定为一般的违法行为,无需动用刑法进行评价 [14]。《解释》第5条根据不同类型的个人信息设定不同的入罪门槛,同时将信息用途、违法所得数额、行为主体身份以及有无违法犯罪记录等作为定量要素。但这些认定标准均根据信息本身的类型、数量等要素来判断是否属于情节严重,并没有对抢劫这一行为对被害人人身、财产造成的威胁进行评价,由此一来会导致定罪判断上的失衡 [15]。例如甲利用电子技术窃取微信账号及密码五千条,乙持刀抢劫合法持有他人信息的丙,并获取到四千条微信账号密码信息,根据《解释》的规定,甲窃取五千条微信账号密码已经达到入罪门槛,属于情节严重的情形,甲的行为构成侵犯公民个人信息罪;乙同样是非法获取微信账号及密码,但并未达到五千条的入罪门槛,由此得出乙不构成犯罪的结论,这样的定罪思路忽略了抢劫行为对被害人生命安全的严重威胁,具有较高法益侵害性的行为反而不构成犯罪,从而导致罪刑的失衡。
综上所述,抢劫无法被解释为“其他方法”,侵犯公民个人信息罪也无法全面评价抢劫公民个人信息的行为。
3. 抢劫罪的排除
由于侵犯公民个人信息罪遗漏评价了生命安全法益,因而可以进一步寻找是否有其他罪名能与侵犯公民个人信息罪产生竞合。《刑法》第263条规定,抢劫罪是以暴力、胁迫或者其他方法劫取公私财物的行为。抢劫公民个人信息与抢劫罪的行为方式相同,而抢劫罪保护的法益包括财产权与被害人的生命安全,能否以抢劫罪来规制抢劫公民个人信息行为的关键在于判断公民个人信息是否属于刑法意义上的“财物”。
3.1. 刑法中的虚拟财产具有财物属性
我国学者通常将虚拟财产分为三类:第一类是包括微信账号、网络游戏账号在内的账号类虚拟财产;第二类是包括网络游戏装备在内的物品类虚拟财产;第三类是货币类虚拟财产,例如Q币等 [16]。由此可见,微信账号属于账号类虚拟财产。如果能以刑法中对传统财产的保护方式对账号类虚拟财产加以保护,那么抢劫账号密码的行为可适用抢劫罪。
1) 虚拟财产的理论定位
坚持民刑相一致原则的前提下,虚拟财产作为无体物可以被解释为刑法上的财物。我国民法将虚拟财产认定为财物是没有争议的,而刑法立法并没有相关规定,因而只要论证在虚拟财产的属性上坚持民刑一致原则,就可以得出虚拟财产属于刑法上的财物的结论。
首先,刑法虽然具有独立性,但为了维持法律体系的稳定性,刑法用语的含义原则上与前置法保持一致,如果刑法中某一用语与其他法律所规定的含义不同,立法会作出明文规定。例如,信用卡在金融法与刑法中的内涵大相径庭,刑法中信用卡的概念是广义的,包括不具有透支功能的借记卡;然而在金融法中信用卡仅限于狭义的信用卡,不包括借记卡。由于我国刑法并未对虚拟财产是否属于财物作出特别规定,因此在坚持民刑相一致原则的前提下,将虚拟财产解释为刑法上的财物并没有突破财物的语义边界。
其次,将虚拟财产解释为刑法上的财物不属于类推解释。如果认为在刑法上将无体物认定为物属于类推解释,应当证明我国民法将无体物解释为物属于类推。我国民法典中,物权的客体指所有动产与不动产,并没有限制为有体物,并且我国法律语境下的物本身就是一个抽象的概念,因此将无体物解释为民法中的物并没有法律障碍,进而将虚拟财产认定为刑法上的财物并未违反罪刑法定原则。日本法律与我国不同,日本民法典认为无体物不属于法律上之物 [17],如果日本刑法将无体物解释为财物则属于类推解释。
2) 虚拟财产具有独立的财产价值
虚拟财产作为一种以电磁数据为载体的信息,其存在方式的非实体性与价值的独立性并不冲突,虚拟财产不仅具备使用价值,而且可以通过一定的运算方式转变为现实财产而具备交换价值 [18]。
马克思劳动价值论指出,价值是凝结在商品中无差别的人类劳动 [19]。个人信息具有客观存在性,从内在的事实到外在的显化表达,这一过程本身包含了个人所付出的劳动。个人信息是在日常生活中产生的,例如朋友圈的更新、电子手表监测运动状况与身体健康指标等都凝结了人类劳动,具有相应的交换价值。尤其是随着支付宝、微信等第三方支付平台的兴起,现实与虚拟的财产之间的边界日益模糊,虚拟财产的接受程度与流通程度日益提高,其交换价值日益彰显。
虚拟财产对于网络的依附性是一些学者否定其成为财产犯罪保护法益的理由。有观点认为,虚拟财产是通过运行程序而显现在电脑屏幕上的影像,其不具备现实的财产属性 [20]。然而,正如电力不可单独存在,必须依附于电线等载体,当线路通电时,电力的价值并不等同于电线的价值 [21],不能因为电力依附于电线存在而否定电力的独立价值。同样,不能因为虚拟财产依附于网络存在而否定虚拟财产的独立价值,否则虚拟财产就不具备客观存在性。
3) 作为财产犯罪对象的虚拟财产具备排他支配性
首先,权利人需单独占有财物且不受他人干预。侵犯财产类犯罪的重要特征在于行为人打破了权利人对财物的控制,这种控制直观的体现为权利人的占有状态 [22],即权利人对财物的单独占有,占有状态一旦被打破,权利人随即丧失对财物的控制,因而造成财产损失。如果某一事物自始至终无法为权利人所占有,就不存在对占有状态的破坏,无法构成相应的财产犯罪。
其次,这种排他的占有状态必须是可以被打破的,具体表现为行为人获取财物的同时,权利人丧失对财物的占有。如果某物具有极强的个人属性,无法实现权利归属上的转移,那么行为人无法造成对占有状态的侵犯,不符合侵犯财产类犯罪的构成要件。
3.2. 账号类虚拟财产不属于抢劫罪中的“财物”
虚拟财产作为侵犯财产类犯罪的对象必须具备独立的财产价值以及可以被排他支配,因此判断账号类虚拟财产是否属于抢劫罪中的“财物”应当从以上两个特征入手。
1) 账号类虚拟财产具备独立的财产价值
《解释》为了回应司法实践中不断涌现的“公民个人信息”类型,对公民个人信息的种类进行限制性的纵向扩张,即增加了“活动轨迹”型信息以及“账号密码”型信息,以便尽可能地以列举的形式明确公民个人信息的范围。通过规定“活动轨迹”型信息对可能发生的人身类犯罪予以打击,通过规定“账号密码”型信息对可能发生的财产犯罪进行制裁。行为人使用非法手段获取他人的账号密码后,关注的更多是如何取得账号密码后的财产 [23],或者将账号进行倒卖用于电信诈骗。微信账号存在的时间越久,朋友圈与交易流水越多,其中凝结的人类劳动就越多,相应的交换价值也越大。有观点认为,作为抢劫罪犯罪对象的财物既需要有交换价值,又需要达到一定程度,单个账号的价值极其轻微 [24],个人信息的价值建立在对一定规模的信息进行分析、利用之上。然而,单个账号的价值不仅在于身份认证,而且在于实现功能与享受服务,因此无法否认账号类虚拟财产独立的财产价值。
2) 账号类虚拟财产无法被排他支配
首先,权利人对账号类虚拟财产只有使用权,没有所有权。以微信账号为例,《腾讯微信软件许可及服务协议》明确规定,微信账号的所有权归腾讯公司所有,用户只有使用权,且其他人不得以赠与、租用或转卖等形式侵犯该用户对微信账号的使用权;如果用户违规使用微信账号,腾讯公司有权收回账号的使用权。由此可见,账号密码本质上是具有价值属性且可共享的电磁数据,用户对与个人身份联系如此紧密的微信账号也无法实现有效的排他占有。
其次,即便获取账号及密码,权利人也并未丧失账号的使用权。同一微信账号可在多个移动终端同时登陆,并可实现信息的同步,即便行为人已获取权利人的密码,权利人仍然可以采取冻结账号或者找回密码的方式阻止账号使用权的转移。抢劫罪中的“财物”要求行为人获取财物的同时破坏权利人的占有状态,而樊某抢劫微信账号密码案中,只要樊某不修改登录密码,权利人享有对微信账号的使用权,不符合抢劫罪的构成要件。
实践中,存在因抢劫网游账号密码而被判处抢劫罪的案例。安徽省滁州市琅琊区人民法院在蔡伟光抢劫网游账号案 [25] 的判决书中指出,蔡伟光以非法占有为目的,使用胁迫手段劫取他人网络虚拟财产,该财产具有确定的财产属性和价值,可被人管理、支配和利用,可视为“其他财产”。这一判决肯定了账号类虚拟财产具备独立的财产价值,然而网游账号密码无法实现排他占有,不属于抢劫罪中的“财物”。况且,抢劫罪为财产犯罪中的重罪,如果行为人采取的暴力手段并未导致被害人轻伤,而且劫取的账号密码不属于财物,以抢劫罪认定会导致定罪偏颇与量刑畸重。
4. 采用类型化思维选择罪名适用
类型化思维是指以整体性眼光,按照类型的逻辑特征对不同种类的行为加以分类,在此基础上进行判断与推理,从而建构理论体系的思维方式 [26]。类型化思维相较于概念思维更加灵活,具有合法性与合理性。如前所述,抢劫公民个人信息行为无法适用侵犯公民个人信息罪与抢劫罪,因此可以将该行为拆解,划分为不同种类的具体情形,从而在现行刑法中寻找对应的罪名加以适用。
4.1. 抢劫不具备排他支配性的虚拟财产的行为
作为财产犯罪客体的财物应当具备排他支配性,即具有不可复制性,否则行为人无法取得对财物的占有,权利人不会遭受财产损失。虚拟财产所具备的可复制性成为否定其作为财产犯罪客体的重要依据,正如德国学者指出:“在刑法上,由于存在这种易被复制性,在盗窃数据或信息的行为中缺少占有要素。” [27] 这一理论也解释了使用不正当手段获取、使用或披露商业秘密的行为未被认定为盗窃罪,而是单独规定为侵犯商业秘密罪的原因。例如,客户资料、数据库信息等商业秘密具有可复制性,行为人胁迫手段抢劫商业秘密会给权利人造成重大的经济损失,此时行为人构成侵犯商业秘密罪。
4.2. 抢劫个人信息现实载体的行为
信息依赖于一定的载体而存在,例如记载运动轨迹与身体数据的智能手表、写满文字的纸张或书本等。行为人以抢劫现实载体的方式获取个人信息时,如果该载体属于刑法上的财物,此时行为人构成抢劫罪。这种规制路径实际上与一般的抢劫罪无异,将个人信息依附于传统意义上的财物加以保护,然而在规范层面抢劫公民个人信息的行为仍然不构成犯罪。现行刑法没有单独规定抢劫公民个人信息罪的前提下,以惩处抢劫载体的方式实现对抢劫公民个人信息行为的规制,是合理的选择。
4.3. 抢劫个人信息导致被害人轻伤的行为
抢劫公民个人信息行为使用了暴力、胁迫等足以压制被害人反抗的方法,在行为人使用暴力劫取个人信息的过程中,可能会造成被害人伤亡的后果。此时,根据行为人主观故意的不同,应当分别认定为故意伤害罪和故意杀人罪。这一规制路径同样没有直接评价抢劫个人信息的行为本身,属于现行刑法框架下的权宜之计。
4.4. 强拿硬要破坏社会秩序的行为
如果行为人随意殴打他人或者采用追逐、拦截、辱骂、恐吓等方式非法获取公民个人信息,在满足情节恶劣或者导致公共场所秩序严重混乱的情况下,该行为构成寻衅滋事罪。寻衅滋事罪因具有口袋化倾向而被学界诟病,如果不正当的适用本罪会导致犯罪圈的扩大,不仅会侵犯公民的合法权益,而且违反罪刑法定原则的要求。然而,如果切实满足本罪的构成要件,则应当以本罪论处。在樊某抢劫微信账号密码一案中,樊某等人先后持刀威胁十八名中学生,强拿硬要微信账号及密码,符合拦截、恐吓的行为类型,严重破坏社会秩序,最终被当地检察机关以寻衅滋事罪提起公诉。
即便以类型化思维拆解抢劫个人信息行为并分别进行分析,仍然存在现行刑法所无法解释的困境,例如对商业秘密之外的不具备排他支配性的个人信息如何规制以及如何破解对抢劫个人信息行为的附随打击进路等问题。实践中,抢劫个人信息的案件较少,在现行刑法的框架内能作出合理反映,但随着对个人信息保护力度的不断加强,必要时应当考虑对刑法进行修改从而实现对个人信息的全面保护。
5. 结语
网络时代背景下的个人信息越来越显现出其内在价值,随着《民法典》与《个人信息保护法》的出台,相关法律法规对个人信息的保护也进入了新阶段。我国刑法更是将侵犯公民个人信息的行为入罪,但行为方式仅限于非法提供与对人非暴力性的非法获取。面对实践中出现的抢劫公民个人信息的行为,由于抢劫属于暴力手段,加之侵犯公民个人信息罪无法对生命安全法益周全保护,因此无法适用侵犯公民个人信息罪。账号类虚拟财产虽然具备独立的财产价值,但由于无法被排他支配而不属于侵犯财产类犯罪的对象。另外,抢劫公民个人信息行为通常伴随着下游犯罪:如果行为人对个人信息进行倒卖,达到情节严重的要求则构成侵犯公民个人信息罪;如果利用个人信息实施电信诈骗,使被害人基于认识错误而处分财产,应当以诈骗罪论处。在现行刑法框架下采用类型化思维将抢劫公民个人信息行为加以拆分并分别分析,有一定合理性,然而当实践中出现大量类似案件,且有必要对刑法进行修改时,应当考虑增设抢劫公民个人信息罪以完善个人信息刑法保护的罪名体系。