“公民个人信息”的权利属性与刑法保护思路
“公民个人信息”的权利属性与刑法保护思路
作者
简介
于志刚,中国政法大学副校长,教育部长江学者特聘教授,国家“万人计划”哲学社会科学领军人才,中宣部文化名家暨“四个一批”人才,第六届全国十大杰出青年法学家,全国青联常委、法律界别主任委员,刑法学二级教授,博士生导师。
当前公民个人信息泄漏井喷,国家机器强势介入,立法与司法举措不断。但也存在令人遗憾的问题,如当前仅从事实层面规定公民个人信息的内涵与外延,缺乏规范层面的宏观思考,对公民个人信息的权利属性,即公民个人信息应当属于人格权,还是财产权,还是一种独立权利避而不谈。《民法总则》第111条仅规定公民个人信息受法律保护却未明确其性质,而权利属性的不同则会导致保护机制的差异,最终影响公民个人信息能否被切实维护。因此,如何界定“公民个人信息”的权利属性以更全面地保障公民对其个人信息所享有的权利、刑法在此之中应当发挥何种作用,就成为亟待思考和解决的问题。
一、“公民个人信息”概念的法律扩张
随着社会信息化进程的加快,信息的潜在价值被不断挖掘,法律要保护的信息类型在不断增加。越来越多的个人信息纳入到“公民个人信息”中,梳理其概念在法律中的扩张历程,有助于厘清“公民个人信息”保护的立法和司法脉络。
(一)《关于加强网络信息保护的决定》、《关于依法惩处侵害公民个人信息犯罪活动的通知》:狭义的可识别性+隐私性
《决定》作为我国首部关于个人网络信息保护的专门立法,对个人信息保护做了框架性的规定,并对信息的收集、利用、泄露等事项做了专门立法。其中第1条就规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。紧接着,《通知》规定:“公民个人信息包括……等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”
(二)《网络安全法》:广义的可识别性
《网络安全法》第76条第5项规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。”这一定义相较于《决定》和《通知》中对于公民个人信息的的定义,最显著的标志有两个:一是删去了隐私信息,“隐私性”不再是公民个人信息的要素;二是由“能够单独识别”扩大到了“能够单独或者与其他信息结合识别”,“可识别性”从狭义变为了广义,除了能够单独识别的“直接型可识别信息”,还包括能够与其他信息结合识别的“间接型可识别信息”。
(三)《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》:形式上的广义可识别性+活动情况,实质上的个人身份信息+可能影响人身、财产安全的个人信息
《解释》第1条规定:“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”其中引人注目的,一是在个人信息概念的定义上,在《网络安全法》所确立的“广义的可识别性”这一单一要素基础上又增加了“活动情况”要素,个人信息的概念进一步被扩张;二是在个人信息类型的列举上,除了一直以来被公认的“姓名”、“身份证件号码”、“通信通讯联系方式”、“住址”之外,又加入了“账号密码”、“财产状况”、“行踪轨迹”三种类型的个人信息。“行踪轨迹”可以认为是对个人信息概念中新增的“活动情况”的回应与细化,而“账号密码”、“财产状况”则难以解释。一方面,对于“财产状况”型信息而言,严格意义上说,其并不具有“可识别性”,因该信息难以识别特定自然人身份。将其认定为属于“能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况”的信息,是有疑问的。另一方面,对于“账号密码”型信息来说,属于“间接型可识别信息”,行为人通过非法获取他人的“账号密码”后,往往不会关注“账号密码”属于何人,对于他们来说,获取的唯一目的就是取得背后的财产。即便能够获悉特定自然人的身份,行为人也丝毫不关心。这两项虽然看似是在保护个人信息,但无论从立法目的还是可能取得的效果来看,已经突破了个人信息的概念,实际是在为保护“账号密码”、“财产状况”背后的财产权目的而服务。“活动情况”和“行踪轨迹”也是同样道理,行为人获取这些信息主要是为了尾随被害人,进而图财害命。因此,通过规定“账号密码”、“财产状况”对可能的财产犯罪进行打击,通过规定“活动情况”和“行踪轨迹”对可能的人身犯罪进行制裁。表面上通过定义的方式增加了“活动情况”信息,实际上还通过列举的方式增加了“账号秘密”信息和“财产状况”信息。再结合该《解释》第5条第1款对于“情节严重”的认定标准,最终使得实际的公民个人信息概念包括两类:个人身份认证信息和可能影响人身、财产安全的个人信息,前者要求具有广义的可识别性,后者对可识别性没有要求。
二、“公民个人信息”定位的法律塑造
关于“公民个人信息”的构成,立法和司法都只停留在事实层面,依靠的是实践的归纳与经验的累积,却缺乏对于公民个人信息的顶层设计。信息化时代的“公民个人信息”虽然首先是作为一连串的数据出现,但它更是公民的一项权利,是公民对自身的个人信息享有使用与不受侵犯的权利。也只有当其成为公民的权利时,法律包括刑法在内才会对其加以保护。对于整个国家来说,如果不从顶层设计出发,不优先考虑公民个人信息的法律定位,确立其权利性质,那么法律体系不仅将无从建立,甚至已经确立的规则也会被一时的现实所动摇而处于摇摆境地。
(一)“公民个人信息”在国家信息法律体系的定位
从宏观上看,公民个人信息应当是与国家秘密、军事秘密、商业秘密等一样,属于我国信息法律体系的重要组成部分。国家层面的国家秘密、军事秘密和军事情报,旨在保护涉及到国家利益等重大关切的信息;个人层面的公民个人信息则是为了维护公民对自身信息的合法权利,也为了顺应信息化时代公民个人对自身信息的合理使用。在现有法律框架下,《消费者权益保护法》《网络安全法》《民法总则》和《刑法》,构成了个人信息的法律保护框架。
(二)“公民个人信息”在个人信息网格中的定位
对于公民个人信息的权利性质的解读,可以归纳为三条进路,财产权,人格权,隐私权。“财产权说”,主张公民对其个人信息的商业价值所拥有的权利是一种新型财产权,即“信息财产权”。财产权说的缺陷在于,如果单纯把个人信息权作为一种财产权,则会过于强调其商业价值,反倒忽略了对公民个人信息的保护,而这点应当是个人信息法律制度的首要目标,而且对于绝大多数公民来说这也是最现实的需求。“人格权说”认为,个人信息权是一项新型的具体人格权格权。从权利内涵的特性出发,认为个人信息权以人格利益为保护对象,信息主体对于自身信息具有控制与支配的权利属性,具有特定的权利内涵。具体人格权说的不足在于,自然人的人格权具有专属性、不可交易性,即便能产生经济价值,但也不能作为财产予以对待,否则便会贬损自然人的人格意义。隐私权说主张,公民个人信息权应当属于隐私权,受到侵犯时应当通过隐私权的途径寻求救济。我国法律一直是采取的“隐私权”模式,将个人信息作为“个人隐私”加以保护的,并且将其与“国家秘密”和“商业秘密”并列规定。隐私权说的缺陷在于,隐私权强调的是对于公民个人隐私的保护,侧重于消极防御,而这难以涵盖现代社会中大量存在的公民积极地使用自身信息参与各种活动的现实。
(三)新的进路:作为一种新型权利的个人信息权
个人信息权提出的必要性有四:一是,回应不断扩张的公民个人信息概念。二是,补强信息法律体系薄弱一环。三是,合理界定公民个人信息权利属性。四是,顺应国际趋势与输出法律规则。就个人信息权的法律构造而言,首先,在权利内涵上,个人信息权是个人以其自身信息为权利客体,对其自身信息所享有的与信息有关的权利。个人信息附属于一个人的人格,是其人格的重要组成部分。其次,在权利内容上,包括积极使用并许可他人使用的权利和消极防御他人侵害的权利。在大数据时代,对于个人信息的态度,应当从单一的“保护”转变为“保护”与“利用”并重。最后,在权利性质上,个人信息权兼有人格权和财产权。
三、“公民个人信息”保护的刑法思路
权利属性的不同会导致保护机制的差异,最终影响到公民个人信息能否被切实维护。由于此前我国对公民个人信息的保护实质上采取的是隐私权的保护模式,随着公民个人信息概念的不断扩张,公民个人信息权理论的提出,刑法对公民个人信息的保护也需要及时跟进作出调整。
(一)当前刑法的保护思路——建立在隐私权保护模式的基础上
当前刑法的保护思路是建立在隐私权保护模式基础上的。一是,在保护模式上采取“隐私权”的保护模式。对于侵犯公民个人信息罪,立法者将其规定在了《刑法》“侵犯公民人身权利、民主权利罪”一章,置于第253条“私自开拆、隐匿、毁弃邮件、电报罪”之后,作为第253条之一。根据体系解释可以得出,立法者将这里的“公民个人信息”与“邮件、电报”并列,认为侵犯公民个人信息的行为主要危害的是公民个人的隐私信息。此外,由于之前一直忽视了对公民个人信息积极利用的一面,而是片面强调对其消极予以保护,所以所谓的公民个人信息概念一直与隐私信息概念纠缠不清,这也导致了刑法在保护时偏重对隐私信息的保护。二是,在保护策略上强调“刑先民后”。由于此前刑法对公民个人信息采取的是隐私权保护模式,没能对公民个人信息提供全面的保护。而其他法律又迟迟未能跟进对公民个人信息的保护,于是,强调谦抑性、最后手段原则的刑法被推到了台前,独立承担起对公民个人信息的保护。三是,在罪名适用上强化侵犯公民个人信息罪的地位。从《刑法修正案(七)》到《刑法修正案(九)》的变化不只是简单的罪名相加,而是对于公民个人信息保护的一次全面强化。侵害主体范围得到了扩大。此外,还增设了从重处罚情节。《解释》又对侵犯公民个人信息罪作了解释性的规定,分别对“公民个人信息”“违反国家有关规定”“提供公民个人信息”“以其他方法非法获取公民个人信息”“情节严重”“情节特别严重”等关键词做了细致解读。
(二)当前思路存在的问题——难以适应公民个人信息的时代发展
当前刑法保护模式存在的问题具有多方面原因:其一,隐私权模式的固有缺陷。其强调的是对于公民个人隐私的保护,难以涵盖现代社会中大量存在的公民积极地使用自身信息参与各种活动的现实。其二,“刑先民后”的保护思路弊端重重。如果没有其他法律提供一般性的保护,单单依靠刑法对于已经上升到犯罪程度的行为处以刑罚制裁,不仅由于刑法的最后手段原则使得在公民权利受到侵害时难以提供及时的救济,而且单纯的刑罚制裁也不能使被侵害人的损失得到弥补。其三,侵犯公民个人信息罪的捉襟见肘。侵犯公民个人信息罪被规定在《刑法》“侵犯公民人身权利、民主权利罪”一章,可见侵犯公民个人信息罪保护的客体在于公民的人格隐私利益。然而,随着法律对公民个人信息的类型增加,公民个人信息的概念逐步扩张,此时,还有可能涉及对公民人身、财产的侵犯。
(三)刑法保护的完善思路——以个人信息权为基础改造侵犯公民个人信息罪
刑法对公民个人信息的保护在不断扩张。一方面,通过立法的手段扩大了侵犯公民个人信息罪的行为主体,另一方面,通过司法手段扩大侵犯公民个人信息罪中保护的信息类别。为了顺应公民个人信息的发展变化,以及更全面地保护公民个人信息,需要进一步完善刑法的保护思路。首先,在底层根基上以个人信息权为基础确立个人信息权的保护模式。采取公民个人信息权模式,既能容纳越来越多的个人信息类型,又能为将来公民个人信息的合理利用提供潜在的理论基础,还能合理调和公民个人信息所具有的人格属性和财产属性的一面。只有当公民个人信息界定为个人新信息保护权时,不断被扩张的公民个人信息概念与类型才能被解释得通,才能被纳入到法律的保护之中,公民个人信息所保护的人格一面与财产一面才能被统一进来,最终才能对公民个人信息进行全面的保护。其次,在外部协调上采取“民先刑后”、“民紧刑松”的保护思路。《民法总则》第111条的“公民个人信息受法律保护”和《刑法》第253条之一的“侵犯公民个人信息罪”,共同构成了我国保护公民个人信息的核心条款。今后需要考虑和采取“刑民并进”、“刑民并重”的方式,最好是采用“民先刑后”、“民紧刑松”的方式,形成法律合力,全面保护公民个人信息。最后,在核心罪名上对侵犯公民个人信息罪进行重新定位。我国刑法对公民个人信息的保护,可以概括为两类:一类是保护个人身份认证信息的典型侵犯公民个人信息罪,另一类是通过对可能涉及公民人身、财产的信息进行保护进而保护公民人身、财产的信息,这本质上是一种预备行为实行化。
四、余论
最高司法机关之所以不断制定文件对“公民个人信息”概念进行扩张,表面看是司法在积极回应社会现实需求,实则是在亡羊补牢。
(一)问题的表象:立法与司法的不同步
虽然就总的趋势来说立法和司法都在加大对“公民个人信息”的保护力度,但二者实际上是走了两条不同的道路,并且始终未能同步。具体说来,对于“公民个人信息”,立法采取的是始终如一的扩张态势,司法则有反复,虽然近来不断对“公民个人信息”概念进行扩张,但由于最开始的《通知》过于限缩立法上的“公民个人信息”概念,将其仅仅界定为“狭义的可识别性+隐私性”,即便后来的《解释》在此基础上进行增容,包括了“广义可识别性+活动情况”,但仍然与刑法规定的“公民个人信息”可能的含义相去甚远。于是,这就造成了立法上规定保护“公民个人信息”,但司法上却一直将公民的个人信息限定为特定类型的信息进行保护。尽管司法之后逐步扩大“公民个人信息”的保护范围,但由于一开始对“公民个人信息”概念限定过严、界定过窄,致使对于“公民个人信息”的保护仍然呈现出“退三步进两步”的尴尬局面。
(二)问题的根源:司法在重压之下显得过于保守
上述这种立法与司法不同步的局面之所以会形成,问题不在于立法规定过宽,而在于司法限定过窄。而司法之所以最初将“公民个人信息”限定在一个较小的范围内,是由于司法在面临众多压力时显得过于保守。一方面,“双层格局”下司法背负着过多的责任与压力。法律意识到需要保护公民的个人信息,但由于社会数据化进程的加快,各种之前不被关注的个人信息所具有的潜在价值被逐渐挖掘,由以往单纯的、没有意义的“碎片”变为了对主体自身具有重要价值的“信息”,越来越多的个人信息需要被纳入到法律的保护之中。“公民个人信息”的迅猛发展使得其内容不断增加,“公民个人信息”的概念一直处于变动之中。但是,由于法律,尤其是规定犯罪与刑罚的刑法,需要保持相当程度的稳定性,如果在法律之中规定“公民个人信息”的概念,其稳定性势必会受到冲击,最终的结果必定是二者的冲突,或者为了追求法律的稳定性而牺牲对公民个人信息的保护,或者为了保障公民的个人信息安全而放弃对法律稳定性的坚持。在这种情况下,单靠立法的途径是难以解决的。于是,借助司法的功能,立法与司法互相配合,这便形成了一种“双层格局”:立法“搭框架”,“明确”又“笼统”地规定保护公民个人信息;司法“内部装修”,逐渐探索需要保护的信息类型,扩张“公民个人信息”的概念。另一方面,司法的过于保守,过大地限缩了“公民个人信息”概念。在这样的“双层格局”中,司法实际上是“被迫”代行立法之职,承担着更多的责任,面临着更多的压力,通过总结实践中不断遇到的新问题,提炼与归纳新的公民个人信息类型,来一步步探索“公民个人信息”的保护范围,并适时地规定在司法解释之中用以指导今后的实践。但是,由于我国对“公民个人信息”的保护才刚刚起步,各种理论未能厘清,各种制度尚未建立,再加上其他部门法迟迟未能对“公民个人信息”作出规定,使其只能孤军奋战。此外,由于刑法的谦抑性,使得必须要保持相当程度的克制。因此,司法解释最开始是较为谨慎的。当然,随着信息化程度的加深,社会数据化进程的加快,尤其是大数据时代的来临,我们有理由相信司法会不断扩张“公民个人信息”概念,直至与立法相契合,并满足社会现实需求。但不可否认的是,正是司法最开始的过于保守,才使得后续需要不断弥补。当然,这种保守也是相对的,相比于立法与现实需求是保守的,但相对于其他裹足不前的部门法来说则是超前的。因此,对于司法的一系列努力,不应当批评,但也不值得喝彩。
(原文刊载于《浙江社会科学》2017年第10期。为方便阅读,以上内容为作者主要观点摘录。)