其他
卢勤忠 张宜培:非法使用个人信息行为入刑的立法构思 | 河北法学202301
【作者】卢勤忠(华东政法大学刑事法学院教授);张宜培(华东政法大学刑事法学院博士研究生)
【来源】北大法宝法学期刊库《河北法学》2023年第1期(文末附本期期刊目录)。因篇幅较长,已略去原文注释。
内容提要:非法使用个人信息行为是指违反国家有关规定,使用公民个人信息,情节严重的行为。该行为通常有冒用型、擅自使用型、伪造、变造型三种客观表现形式。大数据时代背景下,将非法使用个人信息行为入刑具有正当性、必要性、可行性。《刑法》第253条之一侵犯公民个人信息罪能够囊括非法使用个人信息行为这一新类型,不宜再单独为其设置一个新罪名。在侵犯公民个人信息罪内部,宜将非法使用个人信息行为单独作为一款加以设置。在罪状方面,应当明确前置规范的范围、非法使用行为的边界以及罪量上的要求。在刑罚方面,非法使用个人信息行为的法定刑应适当高于非法提供、非法获取两种行为类型。
关键词:非法使用行为;侵犯公民个人信息罪;罪状;刑罚;立法论
目次 一、非法使用个人信息行为的概念界定及客观表现形式 二、非法使用个人信息行为的入刑证成 三、非法使用个人信息行为入刑的既有方案及其不足 四、非法使用个人信息行为入刑的具体立法构思 结语
(一)非法使用行为的概念界定
法律概念是法律规范和法律制度的建筑材料,是解决法律问题必不可少的工具。作为研究逻辑的起点,法律概念必须是明确、统一的。概念不明确的学术研究属于无的放矢,概念不统一的学术论争实为自说自话,这些现象都不利于学术的发展和进步。因此,明确非法使用行为的概念内涵是极为必要的。
对于非法使用行为,有学者称之为滥用个人信息行为,有学者称之为非法利用个人信息行为。那么,何为非法使用行为?有学者认为,非法使用行为就是指行为人将合法获取的个人信息用于违法犯罪活动的情形。对于使用非法获取的个人信息的行为则纳入到非法获取行为的范畴。该观点虽然使得非法获取行为和非法使用行为在涵摄范围上泾渭分明,而且,在非法使用行为未入刑的情形下可以发挥规制部分非法使用行为的效果,亦即将非法获取后非法使用的行为按照非法获取型侵犯公民个人信息罪定罪处罚。但该观点存在无视法益保护周延性的重大缺陷。目前学界越来越多的学者认识到,个人信息的权利属性既不是隐私权,也不是财产权,而是一种新型的权利,即个人信息权。侵犯公民个人信息罪的保护法益是作为个人信息权核心权能的个人信息自主(决)权。而在侵犯的具体法益上,非法提供行为和非法获取行为侵犯的法益是个人信息转移自主,非法使用行为侵犯的法益是个人信息使用自主。个人信息转移自主意指公民有权决定其个人信息是否发生流转,关注的是个人信息空间上的转换;个人信息使用自主是指公民有权决定其个人信息使用的时间、方式、场合、目的用途等。个人信息转移自主和个人信息使用自主属于个人信息自主权的分支权利,而且,在大数据时代,个人信息使用自主已超越个人信息转移自主成为个人信息自主权的核心权能。对于公民个人来说,行为人对个人信息使用自主的侵害要远重于对个人信息转移自主的侵害。因为个人信息的空间转换,无论流转了多少频次,只要没有现实生活中的使用行为,最终也仅是对个人信息形式上的侵害;而一旦被实际使用,则直接侵犯到信息主体的具体权益。正如学者所言,“单纯的不法流转没有直接的危害性,其危害性的直接体现是下游的信息滥用行为。”如此一来,在使用非法获取的个人信息之场合,如果认定为非法获取行为,则相当于仅评价了侵害个人信息转移自主的事实,而未评价侵害个人信息使用自主的事实,存在评价不周延的问题。
据此,笔者认为,非法使用行为,就是指行为人违反国家有关规定,使用公民个人信息,情节严重的行为。需要注意的是:第一,这里的“使用”是狭义上的意义。广义上的使用行为可以包括所有发挥个人信息功效的行为,例如,出售、交换、公开等在内的活动。因为现行刑法已经规制了非法提供等行为,所以,基于避免重复立法的要求,这里的“使用”仅指行为人利用信息承载的内容而实施的其他违法犯罪行为。第二,这里的“个人信息”,可以根据《个人信息保护法》第4条的规定加以认定,其核心特征是“可识别性”。如果是无法识别到个人的信息,则不属于“个人信息”。第三,从个人信息的私密度上讲,这里的“个人信息”既包括公开的个人信息,也包括未公开的个人信息。因为从对个人信息转移自主的侵害角度来说,无论是公开的个人信息还是未公开的个人信息,均存在被非法使用的可能,二者在法益侵害性上是一致的。第四,从个人信息的来源上讲,这里的“个人信息”既包括行为人合法获取的个人信息,也包括非法获取的个人信息。理由前文已述,此处不再赘述。
(二)非法使用行为的客观表现形式
在厘清非法使用行为概念的基础上,进一步明确非法使用行为的客观表现形式,有助于加深我们对于非法使用行为的理解与认识。根据笔者的观察,现实生活中,非法使用行为的客观表现形式主要有以下三类。
第一,冒用型。该行为是指,行为人未经信息主体同意而以信息主体的身份名义从事活动。例如,李某诉柳州市工商行政管理局一案中,第三人柳州市凯赛贸易有限公司未经原告李某同意,冒用李某的身份信息,伪造相关文件,以李某的名义设立公司。而柳州市工商行政管理局未进行严格资格审查,最终法院判决撤销柳州市工商行政管理局的错误登记行为。再如,西北工业大学某学院的600多名在校学生的信息被某公司盗用于伪造职工身份并进行虚假纳税申报。还如,如果我们认可将《刑法》第196条信用卡诈骗罪中的“信用卡”扩大解释为包括信用卡信息资料的话,那么,“冒用他人信用卡”也是典型的冒用型非法使用他人金融信息的行为。
第二,擅自使用型。一般来说,冒用行为也属于擅自使用行为。不过为了区别于前述冒用型行为,这里的擅自使用型行为,是指未经信息主体同意,私自利用信息主体的个人信息从事活动,但不包括以信息主体名义进行活动的情形。比如,郑某诉某摄影公司网络侵权一案中,某摄影公司未经郑某同意,擅自将郑某与配偶之前在本公司拍摄的亲密照片用作商业广告宣传。又如,上海市某区某房产中介公司非法收集消费者个人信息后,向消费者推销房地产。再如,2022年上海疫情防控期间,不少市民声称自己在不知情的情况下被注册为志愿者。还如,江苏某数据公司以营利为目的,擅自将中国裁判文书网、人民法院公告网上公开的有关伊某某的个人信息转载自己的公司网站上,经伊某某要求删除仍拒绝删除,被法院判定构成对个人信息权益的损害。
第三,伪造、变造型行为。该行为主要是借助当下发达的软件技术来篡改人脸等生物识别信息,将被害人的人脸信息拼接、转移到其他场景。例如,不法分子为了制作淫秽物品牟利,利用AI换脸技术将明星、公众人物的人脸“嫁接”到淫秽视频里。再如,“套路贷”案件中,行为人为了逼迫债务人归还债务,往往利用PS技术制作债务人卖淫、吸毒等图片发送给债务人及其关系人。
综上可见,非法使用行为在现实生活中存在各式各样的具体表现形式,但万变不离其宗,这些行为方式可被类型化为非法使用这一行为类型,从而为刑法规制提供了可能。
(一)正当性:非法使用行为具有严重的法益侵害性
虽然保护法益是刑法的目的,但基于刑法是最后一道防线的考虑,人们选择只将部分具有严重法益侵害性的行为作为犯罪纳入刑法规制的范畴。而且,行为的法益侵害性并非一成不变,同一行为在不同历史时期或同一时期的不同地区所受到的价值评价也存在差异。例如,我国1979年《刑法》第120条规定了伪造、倒卖计划供应票证罪,彼时,伪造、倒卖计划供应票证的行为毫无疑问对计划经济体制形成严重侵害。但后来伴随着改革开放,社会主义市场经济体制的建立,那些计划供应商品的票证已经毫无用武之地,相应地伪造、倒卖行为也就不再具有严重的法益侵害性。因此,在1997年《刑法》修订之际,立法者废除了该罪。就非法使用行为而言,其法益侵害性也有一个动态的发展过程。在互联网刚刚兴起的阶段,网络尚未全面普及,相关的应用软件也大多还未研发出来。同时,个人信息蕴含的经济价值尚未显现,人们关注更多地是因非法转移个人信息而对个人隐私权的侵犯问题。此时非法使用行为不仅较少发生,而且因受制于技术,法益侵害性的量也是极为有限的。但到了大数据时代,在网络、科技的“加持”下,非法使用行为的法益侵害性大大增加,进而带来巨大的社会危害。主要表现为以下几个方面。
其一,一些非法使用行为对公民的人身权利、生活安宁等造成严重侵害。例如,前述“AI换脸”;不法分子根据借贷时债务人提供的通讯录信息对债务人的亲属朋友进行电话、短信骚扰;日常生活中,大多数人都曾有过被电话广告推销、“垃圾”短信骚扰等令人懊恼的经历。此类行为在破坏社会管理秩序的同时,还对被害人的人身权利、生活安宁等造成严重侵害。其二,一些非法使用行为给民众的公私财产造成严重侵害。不法分子往往会为了谋取非法财产而滥用个人信息。例如,在张某侵犯公民个人信息案中,张某等人以牟利为目的,从网上下载上千万条个人信息,通过相关软件技术制作公民头像照片,用于注册新支付宝账户,从而获得支付宝公司的红包奖励,违法所得数万元。再如,频频曝光的大数据杀熟事件、电信网络诈骗、盗窃第三方支付平台账户内的财产等等其实都涉及到对个人信息的非法使用问题。其三,一些非法使用行为还会对市场经济秩序、社会秩序造成严重侵害。如不法分子利用他人的身份信息注册信用卡用于洗钱、骗取金融机构信贷,诸如此类的破坏市场经济秩序、社会秩序的非法使用行为,可谓数不胜数。其四,一些非法使用行为甚至还会危害到国家安全。比如,俄乌冲突期间,网络上出现不少假冒双方总统讲话的视频,目的就是为了扰乱对方军心。此外,非法使用行为还具有累积性、涉众性等特点。如果仅从单个被害人角度而言,有些场合中非法使用行为的危害性或许达不到刑罚处罚的程度。但现实生活中,行为人非法使用的个人信息不可能仅有一条,而是几十、几百乃至成千上万条,其中的法益侵害性不可谓不严重。这也为非法使用行为入刑提供了正当性根基。
(二)必要性:前置法规制疲软以及刑法解释论路径行不通
1.前置法规制疲软
非法使用行为具有严重的法益侵害性,不等于就必须发动刑法。因为无论是中国古代刑法中明德慎刑的思想,还是日本学者平野龙一所提的刑法谦抑性,抑或是意大利学者帕多瓦尼口中的“刑法没有特定的调整对象”,归根到底都是在说,发动刑法应“三思而后行”。只有在前置法难以有效规制的情形下才能启动。比如,《刑法修正案(十一)》(以下简称《刑修(十一)》)增设了许多新罪、轻罪。其中有些罪名增设的立法动因便是,前置法难以有效威慑危害行为的发生,而动用刑法既有的罪名不仅可能冲击罪刑法定原则,也可能背离罪刑均衡原则,因此,立法者将其纳入刑法规制的同时配置较轻的刑罚予以化解司法实践难题。以催收非法债务罪为例。在本罪增设之前,对于暴力、恐吓、骚扰等催债行为,尽管办案机关可以依据《治安管理处罚法》的相关规定进行处罚,但行政处罚力度较弱,难以对不法分子形成有力威慑;而部分办案机关以寻衅滋事罪加以规制的做法又不符合相关刑法司法解释的规定,且会导致寻衅滋事罪进一步“口袋化”,因此,立法机关增设催收非法债务罪以克服司法中的困境。
就非法使用行为而言,尽管随着近几年紧锣密鼓地立法,《网络安全法》《民法典》《数据安全法》《个人信息保护法》接连出台,一张全方位保护个人信息安全的法网已初步织成。可是,在这些前置法中,除了《个人信息保护法》之外,要么未规定非法使用行为,如《网络安全法》第44条基本上是照搬照抄了侵犯公民个人信息罪的规定,要么用抽象的原则加以规定且未配置相应的责任条款,如《民法典》第111条仅作了一些原则性的规定。或许立法者也意识到这些部门法无法有效保护个人信息,因而又出台了《个人信息保护法》这一专门性法律进行调整。诚然,《个人信息保护法》大大丰富了《民法典》中的原则性规定。比如,《个人信息保护法》第5条、第10条的规定是对《民法典》第1035条的细化。但毋庸讳言,私法领域遵循的是“谁主张,谁举证”的证明原则,单个被害人往往囿于技术障碍而无法完成搜集举证的工作,这就使得其在提起诉讼方面面临困境。而且,行政处罚难以起到遏制侵权者违法的冲动。“在侵犯个人信息的案件中,巨大经济利益与微小罚金之间形成鲜明对比,侵权者往往难以抵挡诱惑,铤而走险。换言之,低违法成本无法对侵权者形成有效威慑。”由此可见,前置法的疲软促使刑法的介入具有其必要性。
2.刑法解释论路径行不通
“如无必要,勿增实体”,即奥卡姆剃刀定律。该原理用来阐释刑法立法论和刑法解释论之间的关系是再合适不过了。一个满足需罚性的行为,只有穷尽现行刑法规定仍无力规制时,相关刑法立法才是必要的。就非法使用行为而言,尽管不少学者力图从解释论路径加以规制,但得出的结论却不尽如人意。如果以行为人利用个人信息所从事活动的法律性质为标准,非法使用行为可以分为两种情形加以分析:一种是利用个人信息实施违法活动,如擅自向信息主体发送推销短信;另一种是利用个人信息实施犯罪活动,如利用个人信息进行电信诈骗。
对于后种情形,有学者主张,可以按照目的行为的性质定罪处罚。“如果利用个人信息去实施诈骗、敲诈勒索等犯罪行为的,可以其他犯罪论处。”还有学者提出,可以通过其他罪名的预备犯、共犯加以规制。可是,这些做法皆有不足之处。其一,难以充分反映案件事实,做到全面评价。如果肯定非法使用行为侵犯了公民个人信息的使用自主,那么就应当认为,当行为人利用个人信息实施犯罪活动时,其目的行为和手段行为各自侵犯了不同的保护法益。如果仅以目的行为定罪处罚,即便能保证罪刑均衡,但也遗漏了对个人信息侵害事实的刑法评价。比如,《刑修(十一)》增设了第280条之二“冒名顶替罪”,本罪要求行为人实施了盗用或冒用他人身份信息的行为,该行为显然属于非法使用行为。按照前述学者的思路,对于行为人盗用或冒用他人身份信息的行为,以冒名顶替罪评价足矣。可是本罪被规定在“妨害社会管理秩序罪”一章中,也就意味着其保护法益是社会管理秩序而非被冒用者的人身法益,仅以该罪评价似乎并不充分、全面。其二,将对个人信息使用自主的保护寄托于其他罪名,可能无法实现法益的全面保护。例如,有观点认为,对于非法使用行为,可以通过拒不履行信息网络安全管理义务罪来规制网络服务提供者的不作为。可是,成立拒不履行信息网络安全管理义务罪,要求行为人必须是“经监管部门责令采取改正措施而拒不改正”后才能构成,这就意味着在一些非法使用的场合,拒不履行信息网络安全管理义务罪难以被适用。也正因为如此,有学者主张删除这一程序性要件。可是笔者认为,这种观点可能得不偿失或者说顾此失彼。因为虽然该观点在保护个人信息这一点上确实实现了加大保护力度的目标,但在其他方面却可能不当扩大了处罚范围。毕竟拒不履行信息网络安全管理义务罪并非仅针对用户信息这一种情形,还包括刑事案件证据、违法信息等内容。总之,删除程序性要件对于拒不履行信息网络安全管理义务罪而言是牵一发而动全身的,我们不能因小失大、顾点失面。
对于前种情形,由于目的行为只是一般的违法行为,在手段行为亦即非法使用行为未入刑的前提下,现行刑法是否能够予以规制?对此,需要再细分两种情形讨论。其一,行为人将非法获取的个人信息用于实施违法活动的,按照一些学者的观点,可通过规制非法获取行为来打击。该观点的缺陷在前文中已有论述,此处不再赘述。其二,行为人将合法获取的个人信息用于实施违法活动的,能否按照非法获取行为的规定加以规制?有论者站在解释论的视角,将“非法获取”中的“非法”扩大解释为包括“以非法利用为目的”,认为即便行为人获取个人信息的方式合法,但只要其后续使用该信息的行为不正当,就可以推定行为人此前的获取行为是带有非法利用目的的。如此一来,就可以将非法使用行为纳入“非法获取”的规制范畴。司法实践中,一些司法机关确实也是这样认定的。比如前述张某侵犯公民个人信息案中,法院采纳了公诉机关的起诉意见,认定张某等人系非法获取公民个人信息,成立侵犯公民个人信息罪。
这种解释论观点尽管在立法尚未修改的背景下能够起到打击犯罪,保护法益的社会功效,但却遭到不少学者反对。持批判态度的学者认为,按照前述解释论思路,当行为人以非法利用为目的合法获取他人个人信息,但最终并未实施非法利用行为时,也应当构成非法获取型侵犯公民个人信息罪,可是这一结论显然不当。笔者虽然也持批判立场,但不认可这种质疑逻辑。因为前述解释论者实际上是根据后续客观发生的非法使用行为逆推之前的获取行为是否合法。如果按照质疑者的假设,当行为人根本未实施非法使用行为时,也就缺少推定依据,那么,前述解释论者自然也就不会去讨论这种情形是否应罚。即便如此,前述解释论观点仍然存在逻辑自相矛盾、与客观事实不符、违背刑法学基本法理等诸多缺陷。
首先,论者一方面承认行为人在实施使用行为之前,其获取行为是合法的,另一方面又主张在行为人实施使用行为之后,其获取行为转为非法,逻辑上显然自相矛盾。其次,以电信公司发送“垃圾”短信为例。电信公司通过消费者申办手机卡、宽带等业务而合法获取其个人信息,之后利用该个人信息擅自频繁向消费者发送“垃圾”短信。后续发送“垃圾”短信的行为不仅可能因为违反双方签订的合同而构成违约,还有可能因为侵犯消费者的生活安宁权而构成侵权,甚至还可能违反《治安管理处罚法》第42条、《电信条例》第57条等规定而属于违法行为,但因此将电信公司此前获取消费者个人信息的行为评价为非法获取,显然不符合客观事实,也违背了人们的生活常识。再次,行为的性质应当以行为时作为判断时点。行为人获取个人信息的行为是否具有不法性,只取决于其在行为时是否侵害了法益。以事后其他行为来逆推事前行为的性质,即使违法判断的告知机能、提示机能丧失殆尽,也冲击了刑法的可预测性。或许有人认为,这种逆推思维是得到我国司法机关认可的,并无不当。诚然,有些刑法司法解释的规定确实反映了逆推思维的运用。比如,2018年“两高”《关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释》第6条第3款第1项规定的以行为人事后能否归还作为推定其是否具有非法占有目的的依据;再如,2017年“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息解释》)第5条第1款第1项规定的以他人是否将个人信息用于犯罪来认定行为人的出售、提供行为是否达到“情节严重”。尽管这些规定均可为前述观点提供规范上的佐证,但正如学者所言,这种事后价值倾向性评价模式严重违背了现代法治理念,让国民陷入不确定与坐立不安之中。行为人是否承担刑事责任完全取决于他人的行为,使得最终是否认定为犯罪充斥了“运气”的色彩,这明显背离了罪责自负原则。因此,将逆推思维运用到犯罪认定上并不妥当。最后,之所以会出现前述“另类”解释,主要是受结果导向观念的不良影响。结果导向是指,司法机关在认定犯罪或裁量刑罚的过程中,首先基于经验或直觉,确定案件的裁判结果,而后再按照三段论进行逻辑证成。具体到非法使用行为的场合,司法人员首先从经验或直觉上认为,这种行为应当被认定为侵犯公民个人信息罪,继而以该定罪结论为导向,去解释作为大前提的(侵犯公民个人信息罪的)刑法规范。然而,这一裁判模式很容易出现偏差,滑入类推解释的泥潭。
由此可见,解释论路径是行不通的。其深层次原因在于,现行刑法是以保护个人信息转移自主为中心而建构起来的一套规制模式。有学者称之为“外围式立法”、还有学者称其为“源头治理模式”。无论何种称谓,实质上均表明这种规制模式如今无法应对非法使用这一新类型,因此,将非法使用行为入刑具有其必要性。
(三)可行性:前置法的完善以及先行立法经验的借鉴
1.前置法的完善
毋庸置疑,相关前置法的陆续出台必然会对侵犯公民个人信息罪的理解和适用产生重大影响。例如,《民法典》第1036条规定了有关处理合法公开的个人信息行为的免责条款,这意味着刑法在认定侵犯公民个人信息罪时,需要具体审查涉案个人信息是否系合法公开的信息,这直接关系到罪与非罪的重大问题。再如,《个人信息保护法》对个人信息实行分类保护制度,其将个人信息划分为一般个人信息和敏感个人信息,并凸出对敏感个人信息的重点保护,而侵犯公民个人信息罪及相关刑法司法解释并未突出对敏感个人信息的特殊保护。这不仅无法体现侵犯一般个人信息犯罪行为和侵犯敏感个人信息犯罪行为之间法益侵害性上的差异,也会导致罪刑失衡。因此,有学者提出,未来刑法应当对敏感个人信息单独归类,予以专门保护。显而易见,刑法理应适时调整以及时回应前置法带来的变化。就非法使用行为而言,在《民法典》《个人信息保护法》等前置法中,使用行为是与获取、提供等行为相互独立、并列存在的一种行为类型。而且,《个人信息保护法》第71条还规定了准用性规则,但现行刑法中却无对应的罪刑规范。这些现状都对刑法的修改提出了急迫要求。
或许有人会认为,早在《刑法修正案(九)》修订之际,就有专家学者提出将非法使用行为入罪的立法建议,但最终未被采纳,这表明立法者实际上无意将非法使用行为纳入刑法规制的范畴。但笔者认为,今时不同往日。彼时,在“刑法先行”的规制模式下,因为缺乏前置法的过滤,很容易过度打击犯罪,所以,出于保障人权等因素的考虑,立法者在划定侵犯公民个人信息罪的犯罪圈时保持限缩、克制的立场具有合理性。而如今,在前置法业已系统完备的情形下,刑法应当将其入罪。这既是法律完备、体系协调的要求,也是打击犯罪、保护法益的需要。在非法使用行为入刑之后,整个法秩序将会形成阶梯有序的保护个人信息法网,刑法内部也会形成完整的保护个人信息链条,法秩序统一性得到最大程度地实现。
2.先行立法经验的借鉴
事实上,域外很多国家和地区均早已将非法使用行为作为一类独立的犯罪加以规定。例如,《德国刑法典》第204条规定的使用他人秘密罪;欧盟《通用数据保护条例》第6条规定了数据的处理应遵循合法性原则;美国弗罗里达州规定的“个人可识别信息的犯罪性使用”;我国香港地区2013年发布的《个人资料(隐私)条例》第35C同样规定了资料使用者违反相关规定使用资料当事人个人资料的,即构成犯罪,予以相应刑罚处罚;“澳门刑法典”第190条规定了“不当利用秘密罪”。这些先行立法经验非常值得我国参考借鉴。因为在当前“国内国际双循环”的发展格局下,个人信息数据跨境流动日趋频繁,此时将非法使用行为入刑不仅提升我国数据治理能力,更有利于积极开展国际合作,符合个人信息数据跨境流动的时代要求。个人信息数据跨境流动是指个人信息数据在位于不同国家或地区的服务器之间的数据传输现象。常见的例子如国民在网络购物平台上购买国际进口商品。这背后便涉及个人信息数据的跨境流动。个人信息数据跨境流动在提升数据价值、推动全球经济增长的同时,也蕴含着威胁国家安全、侵犯个人隐私权等诸多弊端。尽管《个人信息保护法》的出台标志着我国在提升数据治理能力方面迈出了重要一步,但缺乏刑法的保障终归是不完整的。之前被曝光的美国“棱镜门”等事件也表明,刑法参与数据跨境流动治理也是十分必要的。就非法使用行为而言,在其他国家、地区均早已将其入刑的情形下,我国更应当积极吸取有益经验,早日补齐这块“短板”。
上文已经证明刑法要想规制非法使用行为,只能采取立法的方式进行。学界大多数学者也早已敏锐洞察到这一点,进而提出了许多具有建设性的立法方案。笔者通过梳理文献,认为学者们提出的立法思路大体可以分为:增设新行为类型说和增设新罪名说。而在前种思路之内又存在一些观点上的分歧。
(一)增设新行为类型说及其不足
所谓增设新行为类型说,就是指在《刑法》第253条之一侵犯公民个人信息罪中,增设非法使用这一新行为类型,而无须在本条之外再单独设立一个新罪名。又因为本条设置了四款,除去第4款是关于单位犯罪的处罚规定外,非法使用行为到底是增设到前三款中的哪一款或是新设一款等等,学界见仁见智。
1.增设到第1款中
有学者主张,将非法使用行为增设在第1款中。理由在于:其一,非法使用行为与非法提供、非法获取行为侵害法益相同;其二,《刑法》第253条之一第一款是关于非法提供行为的规定,非法提供行为和非法使用行为的主体相同,均包括有权或无权合法取得公民个人信息的主体,而非法获取行为的主体仅限于无权合法取得公民个人信息的主体。
该观点考虑到了刑法的体系性要求,具有一定的合理性,但也存在不足。其一,说理逻辑不可靠。保护法益相同并不意味着必须要将不同的行为方式规定在同一条款之中。例如,我国刑法分则第五章“侵犯财产罪”中的大部分行为侵害的法益都是财产所有权,但这不影响立法者将它们规定在不同的条款和罪名中。其二,非法提供行为主体的范围小于非法使用行为。非法提供行为的主体仅限于有权获取个人信息的主体,而不包括无权获取个人信息的主体。因为如果行为人是将非法获取的个人信息又非法提供给他人的,直接以非法获取行为评价即可。这一点通过《个人信息解释》第11条的规定可以得到印证。
2.增设到第2款中
有学者主张,将非法使用行为增设在第2款中,同时,删除“履行职责或者提供服务”这一限定条件。理由在于:其一,根据第2款的规定,行为人在个人信息的获取方式上与非法使用情形相同,均是“合法获取”;其二,第2款设置了从重处罚的规定,这恰好满足了从严打击非法使用行为的实践需求;其三,增设在第2款中可以确保刑法条文变动的幅度较小,从而维护刑法的稳定性;其四,行为人在非履行职责或提供服务的过程中同样可以合法获取个人信息,因此,这一限定条件应被删除。
该观点考虑到了对于非法使用行为应予以从严惩治,体现了非法使用行为与非法提供、非法获取行为之间的差异,具有一定的合理性。不过,该观点存在一个严重的缺陷,即将非法使用行为场合中的“个人信息”限定为“合法获取”的个人信息,并不妥当。如前所述,非法使用行为针对的“个人信息”既包括行为人合法获取的个人信息,也包括非法获取的个人信息。该论者认为,非法获取个人信息后又非法使用的,就如同盗窃他人财物后进行销赃,后者均是前者的后续延伸行为,因此,直接对前者行为进行评价即可。换言之,对于非法使用非法获取的个人信息行为,只需要评价为非法获取行为即可。但是,论者的观点至少存在两点疑问:第一,论者既然肯定非法使用行为的法益侵害性重于非法提供、非法获取行为,进而主张从重处罚,那么也就意味着在不法程度上,非法获取行为是无法彻底充分、全面评价非法使用行为的。既然如此,在非法使用非法获取的个人信息的场合,以非法获取行为进行评价并不足够。第二,以盗窃后销赃的情形进行类比,也不恰当。盗窃后销赃的行为属于不可罚的事后行为(或者称“共罚的事后行为”)。不可罚的事后行为意指“由于后行为是完成犯罪之后,在与该犯罪相随而继续存在的违法状态中通常包含的行为,所以,是被该犯罪的构成要件所评价完毕的行为。共罚的事后行为,不受处罚”。通常认为,成立不可罚的事后行为,需要满足三个要件:一是后行为未侵害新的法益;二是后行为未引起新的损害;三是受害人必须同一。而非法获取个人信息后的非法使用行为显然并不符合不可罚的事后行为的成立要件。因为同非法获取行为相比,非法使用行为加重了法益侵害程度,引起了新的损害。如若不然,论者无法解释为何能对非法使用行为从重处罚。
需要注意的是,本文主张,行为人非法获取后又非法提供的,可以以非法获取行为评价;而行为人非法获取后又非法使用的,不可以以非法获取行为评价。底层逻辑还是在于,行为侵害的法益及其程度存在区别。非法获取行为和非法提供行为均侵害了公民个人信息的转移自主;而非法使用行为侵害了公民个人信息的使用自主。二者相比,前者的法益侵害性程度相对较轻。
3.增设到第3款中
有学者主张,将非法使用行为增设到本罪第3款中。具体表述为“非法获取、利用他人个人信息,情节严重的,依照前款的规定处罚。”
由于论者未阐释具体的论证理由,所以本文无法探知其如此构思的依据何在。单就观点而言,就存在疑问。其一,忽视了非法获取行为和非法使用行为之间的区别。即非法获取行为的主体仅限于无权获取个人信息的自然人或单位,而非法使用行为的主体则不仅包括无权获取个人信息的自然人或单位,也包括有权获取个人信息的自然人或单位。其二,将非法使用行为和非法获取行为等同视之,无视二者法益侵害性的差别。
4.重构第253条之一
有学者认为,《刑法》第253条之一的现行规定过于杂乱,条文不清且臃肿,应予以重构。论者提出,应当将现行规定的第3款合并到第1款中,同时,在第1款和第2款中同时增加“非法使用”这一新行为类型。
该观点通过对现行条款的整合,提高了法条的简洁度,但失去了法条的科学性和合理性。其一,根据论者修改之后的条款,第1款将“违反国家有关规定”和“非法”相并列,属于同义反复,不科学。诚然,我国刑法分则确有一些罪名是将“违反……规定”和“非法”同时规定于一个条款之中。比如,非法持有枪支罪。《刑法》第128条规定,“违反枪支管理规定,非法持有枪支的,处……。”不过,本条款中的“非法”并不是指“违反枪支管理规定”,而是指违反“整个法秩序”,发挥着限制入罪的功能。换言之,本条款中的“非法”具有特定的含义和功能,它与“违反枪支管理规定”的规范旨趣并不相同。可是,侵犯公民个人信息罪却不能简单模仿非法持有枪支罪的条文设计。因为根据《个人信息解释》第4条的规定,“非法获取”中的“非法”正是指“违反国家有关规定”。既然如此,就不宜再将其规定在“违反国家有关规定”之后,否则就属于同义反复。论者虽然也意识到这个问题,但他认为“这种‘重复'非但不会造成歧义,反而会使条文的意思更明确。”可是,论者似乎忽视了一个问题,如果真的如其所言,那么为何立法者在增设本条第3款时未在该款中增添“违反国家有关规定”?答案不言自明,如果增添了,就造成语义的重复,使刑法条文丧失科学性。“法律不言废语”意味着刑事立法应当尽可能地精简、准确。论者的观点看似让法条更加简洁,实际上带来了另一个“累赘”。其二,非法使用行为的主体范围不同于非法提供、非法获取行为,规定在一起并不清晰。其三,非法使用行为与非法提供、非法获取行为共用同一法定刑,难以实现罪刑均衡。论者既然承认非法使用行为的法益侵害性更大,却未对之配置相对更重的法定刑,无疑不符合罪刑均衡原则的要求。
5.新设一款
有学者认为,应当将非法使用行为单独作为一款加以规定,同时基于对非法使用行为法益侵害性的考虑,应当设置重于非法提供、非法获取行为的法定刑,并将该款作为《刑法》第253条之一第1款进行编排。具体表述为:“违反国家有关规定,利用公民个人信息,情节严重的,处五年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处五年以上十年以下有期徒刑,并处罚金。”
该观点既考虑到了非法使用行为主体的特殊性,也意识到了非法使用行为法益侵害性的不同,具有较大的合理性。不过,论者在文章中并未对该款罪状和法定刑如此设计的法理根据进行深入的剖析,让人意犹未尽。而且,由于论者的文章发表较早,没能(也不可能)结合前置法中的规定加以分析,因此,观点有待进一步完善。
(二)增设新罪名说及其不足
还有学者提出,可以增设“非法利用个人信息罪”这一新罪名,作为第253条之二。法条表述为“有义务为他人保密之人,未经授权而利用在履行职责或提供服务过程中获悉的他人个人信息的,处二年以下有期徒刑或者拘役,并处或者单处罚金”。不难看出,该论者实际上同样是将非法使用的主体限定在了合法获取个人信息的主体范围之中。
可是,这种观点值得推敲。有学者认为,三者保护法益相同,没有理由将非法利用行为排除在外,另设新罪。不过,笔者认为,该理由不具有说服力。如前所述,保护法益相同,不意味着就不能另设新罪。这种观点真正的疑问在于:其一,与前述一些观点一样,将非法使用个人信息的主体限定在有权获取个人信息的主体范围之内并不合理。其二,罪名体系不协调。“侵犯公民个人信息罪”这一罪名具有高度概括性,可以说能够包容一切侵犯公民个人信息的行为。如果认可非法使用行为同非法提供、非法获取行为一样,均是侵犯公民个人信息的行为表现形式,那么,就应当将其与后两者并列规定在侵犯公民个人信息罪之下。在未修改侵犯公民个人信息罪这一罪名的情形下,又独立设置一个新罪名,并不协调。其三,不经济。刑事立法除了要考虑公平、正义之外,经济也是一大考虑价值。在英国经济学家舒马赫看来,“如果一种活动打上不经济的烙印,那么它的存在权利就不仅受到质疑,而且遭到有力的否定了。”之所以主张增设新罪名的作法不经济,是因为其论者实际上陷入了一个误区,即将“行为入刑”和“增设新罪名”建立起了必然联系。换言之,我们主张一种行为入刑,并不意味着就必须要为这一行为专门设置了新罪名,二者之间不具有必然联系。正如有学者在批判虚开增值税专用发票罪的增设时所指出的,不能因为虚开增值税专用发票行为高发多发,就专门增设一个新罪名,行为入罪的必要性、打击犯罪的必要性以及增设罪名的必要性三者不宜混淆。因此,肯定非法使用行为入刑不等于就必须增设新罪名。在现有罪名足以囊括该行为时,增设一个新罪名就是多余、不经济的。
四非法使用个人信息行为入刑的具体立法构思
(一)罪状设计
1.前置规范的范围
在我国刑法中,行政犯所违反的前置规范范围之确立主要有五种模式:一是违反“国家规定”,如非法经营罪;二是违反“国家有关规定”,如非法采集人类遗传资源罪;三是违反“某一具体的规定”,如交通肇事罪;四是违反“法律”或者直接规定“非法”,如非法出租枪支罪;五是不对前置规范范围予以明确规定,如生产假药罪。
作为一个行政犯,非法使用行为成立犯罪当然也需要以违反相关法律法规为前提要件。但在立法模式上,应采取前述哪一种,值得思考。笔者认为,当下有关个人信息保护的规范,既有《个人信息保护法》《民法典》等法律,也有《电信和互联网用户个人信息保护规定》等部门规章,因此,采取违反“国家有关规定”这一种模式可能更契合规范现状。而且,这也与侵犯公民个人信息罪现有的两种行为类型之规定保持一致。
2.非法使用行为的边界
明确非法使用行为的边界,不单单是罪刑法定原则的要求,也是刑法谦抑性的要求,还是平衡信息主体和信息控制者二者权益关系的要求。
非法使用行为的边界有两条标准。一是非法使用行为的边界取决于“知情同意”原则。《网络安全法》第41条]、《个人信息保护法》第13条第1款确定了知情同意原则。所谓知情同意原则,是指当信息控制者对个人信息的使用是经过信息主体授权许可时,其使用行为就不属于非法使用行为。这与刑法理论上的被害人承诺原理相契合。被害人承诺正是强调,当被害人同意他人侵犯自己的法益时,可以发生阻却违法性(或阻却构成要件该当性)的效果。实践中值得研究的问题是,如何判断信息控制者的使用行为有没有超出信息主体授权许可的范围?对此,目前学界的流行观点主张引入美国学者尼森鲍姆所提出的“情境完整性”理论。该理论可以用来解决数据动态流动过程中的合规范性问题,即考察信息控制者后续使用个人信息行为的具体情境与最初收集个人信息的具体情境是否相同。简言之,就是判断后续的使用行为是否超出信息主体第一次授权时所设定的目的、范围、方法。如果没有超出或者说情境相同,那么,就不属于非法使用。这一作法在美国、欧盟等地均得到认可并推广开来。我国在将非法使用行为入刑之时也有必要强调这一点,进而确保信息数据的高效流通,充分发掘个人信息的数据价值。
二是非法使用行为的边界受制于合理使用的情形。根据《个人信息保护法》第13条第1、2款、《民法典》第1036条的规定,“合理使用”的免除民事责任。例如,在任某与冯某隐私权纠纷一案中,原告任某主张,被告冯某使用自己的曾用名提起返还原物之诉,因该案系公开审理,严重损害了自己的个人信息安全,社会影响恶劣。但法院认为,虽然冯某公开使用任某的曾用名,但冯某是为了解决与任某之间的财产纠纷而提起诉讼、主张权利,不属于非法使用任某的身份信息。本案便是典型地为了维护个人合法权益而合理使用他人信息的情形。根据法秩序统一原理,民法上合法的,刑法上不宜认定为违法。合理使用情形之所以阻却违法,在刑法理论上可通过优越利益原理加以阐释。优越利益原理是以法益侵害说为基础、用来解释该当构成要件的行为为何能够排除违法的一种理论。学界通常将优越利益原理和法益衡量原理放在一起论述。相较于法益衡量原理,优越利益原理不仅关注法益的一般价值顺序,还强调考察具体的案件事实,如所保护法益的危险程度、所侵害的法益的量和范围、侵害法益的必要性的程度等内容。在信息控制者合理使用个人信息的场合,因为其往往是为了公共利益或被害人自己的利益,从功利主义的角度出发,这种行为不具有违法性。
3.罪量上的要求
非法使用行为构成犯罪,应当具有一定的罪量要求,即非法使用行为只有达到情节严重的程度才值得动用刑罚处罚。采取情节犯的立法模式,一方面可以将刑法上的非法使用行为与前置法中的不当使用个人信息行为“拉开”距离,确保法域之间的协调衔接;另一方面也是为了使罪名富有弹性,能够囊括多样化的情形,从而通过保障法官的自由裁量权来实现司法上的公平正义。至于影响情节严重的考量因素,可以参照《个人信息解释》的规定,结合非法使用行为的特殊性,综合全案事实进行整体把握。具体包括:个人信息的类型、个人信息的数量、违法所得数额、严重后果或恶劣影响、处罚记录等。
(二)刑罚配置
在刑罚配置阶段,基于罪刑均衡原则的要求,立法者应当考虑罪刑配置的相当性、协调性。与此同时,还要考虑罪刑之流变性。其中,罪刑配置的相当性是指针对某一罪行所配置的刑罚应当与其法益侵害性和可谴责性具有等价性;罪刑配置的协调性是指针对某一罪行所配置的刑罚应当与其他罪名的刑罚相协调;罪刑之流变性是指针对某一罪行进行刑罚配置时应考虑当下人们对犯罪事实的价值判断标准之变化。
就非法使用行为的刑罚配置而言,有学者提出,可以设置“处五年以下有期徒刑或者拘役,并处或者单处罚金”和“处五年以上十年以下有期徒刑,并处罚金”两档量刑区间。笔者认为,此举可行。因为,其一,从罪刑配置的相当性、协调性角度考虑,既然非法使用行为的法益侵害性要远超于非法提供、非法获取两种行为类型,而后两者配置了“三年以下有期徒刑或者拘役,并处或者单处罚金”与“处三年以上七年以下有期徒刑,并处罚金”两档量刑区间,那么,根据我国的立法例,将五年有期徒刑作为非法使用行为的起刑点是合适的,这也符合贝卡里亚口中的“刑罚与犯罪相对称”原则。其二,从罪刑之流变性角度考虑,时下人们对个人信息的关注重点已经有之前的个人信息转移自主转变为个人信息使用自主,对侵犯后者的行为配置重于前者的法定刑,也反映出人们价值评价的变化。
与之相反的观点认为,非法使用行为的刑罚配置应当与非法提供、非法获取两种行为类型保持一致。因为尽管非法使用行为的法益侵害性重于非法提供、非法获取行为,但侵犯公民个人信息罪的两档量刑区间跨度比较大,可供司法适用者灵活选择;而且,我国其他类似罪名,如持有、使用假币罪,也都将使用行为与其他行为方式规定了相同的法定刑。诚然,这种观点维系了侵犯公民个人信息罪的现有刑罚配置,保障了刑法的稳定性。不过,笔者认为,其一,在立法论层面,刑法的稳定性价值追求应退居次位,刑法的公正性才是首要考量因素。刑法的“立改废释”或多或少都会冲击刑法的稳定性,如若不然,就难称其为立法论。其二,法定刑除了显示出国家对犯罪行为的否定评价以及对犯罪人的谴责态度之外,还蕴含着国家对罪行程度的评价。如果按照反对者的观点适用相同法定刑,不仅无法体现国家对非法使用行为将给予更重的否定性评价,也未给法官和民众提供明确的裁判指南和行为指南。我国刑法中贪污罪和受贿罪因适用相同法定刑而饱受学界诟病就是“血淋淋”的前车之鉴。其三,持有、使用假币罪难以作为有力佐证。因为假币在法律性质上属于违禁品,而个人信息本身是合法的,二者不可同日而语。换言之,持有、使用假币两种行为之所以规定在一个法条内且适用相同法定刑,是因为其不法评价重心在于假币的非法性,而在个人信息的场合,不法评价重心集中在行为方式的差异上。
此外,如果行为人非法使用的个人信息来源于自己在履行职责或提供服务过程中所获取的,也应当比照非法使用行为基本犯的规定从重处罚。这是因为与普通情形下的非法使用行为相比,行为人基于自己的职业便利,更容易获取大量的个人信息,而且,其非法使用行为也违反了职业要求,具有更大的社会危害性,所以,应从严惩处。
如果说在网络时代早期,由于个人信息的数据价值尚未彰显,使得非法使用个人信息的现象较为罕见,立法者无须予以特别关注,那么在大数据时代,个人信息的数据价值达到前所未有的高度,诱发了层出不穷的非法使用行为,亟需立法者的格外重视。另外,在前置法日趋完善的背景下,刑法积极调适、及时回应以确保法秩序的协调统一,也是理所当然之事。在非法使用行为入刑的方案上,宜将其单独作为一款增设于《刑法》第253条之一中。不过,本文对于非法使用行为入刑的探究仅是第一步。在非法使用行为入刑之后,其与相关罪行的界限和关系以及侵犯公民个人信息罪新的理解和适用都值得进一步深入研究。
《河北法学》2023年第1期目录
【专论】
1.新中国法律渊源研究变迁与启示
付子堂、代瑞婷
【名家论坛】
2.“深度伪造”法律规制的新范式与新体系
尚海涛
3.“元宇宙”时代:科技革命与未来法治
汪世荣、陈思思
4.行政协议纠纷适用仲裁解决机制研究
李慧敏、唐伟然
5.非法使用个人信息行为入刑的立法构思
卢勤忠、张宜培
6.美欧个人信息保护的国际造法竞争:现状、冲突与启示
刘笋、佘佳亮
【青年法学家】
7.论我国行政法学理论体系的变革与重构
——以主观公法权利理论引入为视角
郭胜习
8.跨国公司在国际投资中的作用及其管制研究
王爱芹、黄晓丽
【热点问题透视】
9.论依法治理民族事务的新发展
彭振、王晓晴
【博士生园地】
10.民法典自甘风险规则的解释论研究
曹巧峤、赵韶峰
《河北法学》是法学专业学术期刊,1983年8月创刊,国内外公开发行,月刊,大16开本,内文200页,期定价18元。由中共河北省委政法委主管,河北政法职业学院、河北省法学会主办。本刊为“中文核心期刊”、“CSSCI扩展版来源期刊”、中国人文社会科学核心期刊。《河北法学》读者对象为法学研究人员、政法院校师生及立法与司法实践工作者。目前所设置的栏目有:专论,名家论坛,青年法学家,热点问题透视,博士生园地,司法实践等。
-END-
责任编辑 | 张馨予
审核人员 | 张文硕 李婉秋
本文声明 | 本文章仅限学习交流使用,如遇侵权,我们会及时删除。本文章不代表北大法律信息网(北大法宝)和北京北大英华科技有限公司的法律意见或对相关法规/案件/事件等的解读。
王秀哲:“隐”与“私”流变中的信息隐私权 | 河北法学202211
张嘉鑫:论商业人脸识别中隐私权和个人信息的双重保护 | 行政与法202208
刘艳红:智慧法院场景下个人信息合规处理的规则研究 | 法学论坛202206
丁晓东:个人信息公私法融合保护的多维解读 | 法治研究202205
朱晓峰 夏爽:论个人信息侵权中的损害 | 财经法学202204
关注下方公众号,获取更多法律信息
点击「在看」,就是鼓励