侵犯公民个人信息罪中的“外围”立法与解释进路
陈文昊
摘要:侵犯公民个人信息罪没有将“非法利用公民个人信息”这一核心行为纳入犯罪圈,而是通过刑法对非法获取和泄露个人信息的行为进行规制。这种立法模式称为“外围规制”,它旨在实现刑事立法的妥当性与效率。“外围规制”是一种立法技术,这种立法模式避免了对“非法利用个人信息”行为定型化的弊端,而是通过截断信息的传递减少对公民个人信息的侵犯,符合司法功利主义和司法便利主义的要求。但是,在对侵犯公民个人信息罪进行解释的过程中,应当以“非法利用”为解释的核心与落脚点,将“非法”理解为“以非法利用的目的”,从而将合法取得非法利用信息的行为纳入到本罪的调整范围中。另外,应当采用吸收犯的原理妥善地处理本罪与其他罪名的罪数关系。
关键词:侵犯公民个人信息罪;外围规制;实质解释
中图分类号:D924.1文献标识码:A文章编号:1673-8268(2018)03-0036-08
一、问题的提出
劳东燕教授关于风险社会与风险刑法有这样的一段描述:“似乎只是在一激灵间,有关风险社会的话语在中国就变得铺天盖地,风险刑法的话题也顺理成章地成为我国刑法学界热门的研究主题之一。”[1]继食品领域、交通领域、医疗领域被“风险社会”牢牢锁定之后,公民个人信息安全也成为笼罩着重重阴霾的重灾区。2014年3月以来,“携程网信息安全门事件”2014年3月,乌云漏洞平台发布消息,由于携程系统存在技术漏洞,泄露了包括用户姓名、身份证号等个人信息以及银行卡类别、银行卡卡号、银行卡CVV码等银行卡信息,这意味着他人可以很轻松地在网上盗刷银行卡。、“小米800万用户数据泄露事件”2014年5月14日,网络安全平台乌云网爆出小米论坛存在用户资料泄露,泄露涉及800万小米论坛注册用户,并建议用户修改密码。随后,小米公司相关负责人确认,数据泄露事件确有发生。、“徐玉玉事件”2016年8月21日,徐玉玉因被诈骗电话骗走上大学的费用9 900元,伤心欲绝,郁结于心,最终导致死亡。本案中徐玉玉的身份信息被泄露,才导致犯罪分子成功实施诈骗。等,都一再敲响了保护公民个人信息安全的警钟。
我国《刑法》中“侵犯公民个人信息罪”的行为形态包括出售、提供和非法获取三种,却没有将非法使用个人信息的行为纳入到刑法中加以调整。很多学者认为,对于非法使用个人信息的行为,也应当单独成立犯罪。其主要理由包括以下几点。
第一,未经同意对公民个人信息进行非法利用的行为本身具有法益侵害性。美國总统罗斯福于1941年在美国国会大厦发表演说时提出了著名的四大自由,后来“免于愚昧无知的自由”被视为第五大自由。进入信息社会后,有学者提出五大自由之外的第六大自由,即“免于被倾倒信息垃圾的自由”[2]。毫无疑问,非法利用公民个人信息的行为,无论是用于商业推广、商业宣传,还是用于实施其他的犯罪活动,都对公民的安宁权、健康权、隐私权造成了严重的侵害。事实上,我们之所以认为出售、提供和非法获取个人信息的行为具有法益侵害性,还是因为忌惮这些个人信息会遭到非法利用,会给个人生活造成种种困扰,而单独来看,出售、提供和非法获取个人信息的行为如果脱离了非法利用信息的行为是不具有任何意义的。正是基于这一点,有些学者认为非法利用公民个人信息具有更高的法益侵害性,应当受到刑法调整。
第二,考察国外刑事立法经验和我国《刑法》中类似的罪名,存在将非法利用公民个人信息的行为纳入到刑法进行调整的现象。《德国刑法典》除设置了第二百零二a条“探知数据罪”之外,还在第二百零四条将“利用他人的秘密”这种行为规定为犯罪原文是:依第二百零三条的规定有义务为他人保密之人,未经授权而利用他人秘密,尤其是利用企业或商业秘密的,处2年以下自由刑或罚金刑。(参见徐久生,庄敬华:《德国刑法典》,中国方正出版社2004年版,第106页),从这一点来看,德国刑法对于个人信息的保护涉及到了信息非法利用这一核心环节,因此在保护程度上似乎更高。再看我国《刑法》第二百一十九条侵犯商业秘密罪中的行为结构包括三类:以不正当手段获取、披露和使用。可以认为,有偿披露的行为基本可以等同于“出售”,无偿披露的行为基本可以等同于“提供”,因此,与侵犯个人信息罪相比而言,构成侵犯商业秘密罪的手段还多出了“使用”这种行为。由此可见,无论是《德国刑法典》,还是我国《刑法》中与侵犯公民个人信息罪相类似的侵犯商业秘密罪,都将“非法利用”这一不法行为纳入犯罪圈当中进行调整,这些都可以作为我国立法调整的参考。
第三,如果不将“非法利用”行为入罪,则可能造成处罚漏洞。例如,在2008年底曝光的“西电卡门事件”中,西安电子科技大学财务处在未经学生同意之情况下,非法利用学校掌握的学生身份证号、学生家庭地址等个人信息,给上万名学生集体办理了“中国工商银行牡丹运动圆梦学生卡”。对于此案,有学者认为,由于刑法只是将违法性较为明显的“出售”和“非法提供”行为确定为犯罪,因此不宜将其他行为纳入犯罪圈内加以调整[3]。与之相对,也有学者认为,类似于“西电卡门事件”中对公民个人信息非法利用的行为具有较高的法益侵害性,如果在立法上不将非法利用公民个人信息的行为规定为犯罪,就无法对这种行为进行规制。
笔者认为,综合考虑以上三个理由,确实可以得出非法利用公民个人信息的行为具有较高的处罚性的结论,但是这并不代表在立法层面增设“非法利用公民个人信息罪”是唯一的解决进路。正如张明楷教授指出的:“与其在得出非正义的解释结论后批判立法,不如合理运用解释方法得出正义的解释结论;与其怀疑刑法规范本身,不如怀疑自己的解释能力与解释结论。”[4]当实践中出现了问题,需要刑法快速做出反应的时候,修改立法不是解决问题的唯一途径,通过合理解释调整犯罪圈的大小也许是更有效、更节省司法成本的方案。相反,如果说学者动辄批判刑法、建议修改是放弃学者的解释使命,那么立法者动辄修改刑法更是“以身作则”地轻视自己先前所立之法[5],因此,从解释论的角度入手也未尝不是一套可行的方案。
在侵犯个人信息犯罪的问题上,使用公民个人信息的行为没有单独入罪,“只是意味着不能仅仅因为使用公民个人信息的行为非法而认定其具有刑事违法性,并不意味着不能依据相关行为的刑事违法程度予以刑事惩治”[6]181。在对这一话题进行分析时,笔者认为,对现有立法的评价和应对现有问题的解释进路是需要探讨的核心。因此,本文分为两大部分进行:第一,对现有侵犯公民个人信息犯罪立法模式的剖析;第二,对现有问题通过解释论解决的可行性思考。
二、“外围规制”的立法模式评析
侵犯公民个人信息相关的犯罪反映的是我国刑法中存在的这样一种现象,即在某些特定的领域之内,作为核心的行为不受刑法处罚,但是与此有关“外围”的行为被广泛规定为犯罪,笔者将这种立法现象与立法技巧称为“外围规制”。侵犯公民个人信息的相关罪名中就体现了“外围规制”的痕迹,作为核心的“非法利用”行为没有被纳入犯罪圈调整,而与之有紧密联系的“非法获取”“出售”和“提供”这些行为被规定为犯罪。
(一)“外围规制”基于罪名设置的合理性
“外围规制”最为典型的是与吸毒相关的犯罪,毫无疑问,这类犯罪的核心行为是吸食毒品的行为,而其他与毒品有关的走私、贩卖、运输、制造、持有、包庇、窝藏、引诱、强迫、容留等行为都是由吸食行为引申而来的。但是,在犯罪化的问题上,恰恰是这些“外围性”的行为被规定为犯罪,而单纯的吸毒行为不受刑事处罚。正因为如此,有学者将引诱、教唆、欺骗、强迫、容留他人吸毒,非法提供麻醉药品、精神药品的行为统一界定为“帮助毒品消费罪”[7]。至于吸毒非犯罪化的原因,学界存在众多争论,认为吸毒入罪不具有妥当性的主要理由包括以下两点:第一,吸毒具有“自损”的性质,基于被害人承诺的法理,欠缺值得保护的法益[8]26-27;第二,人格缺陷是导致吸毒的因素之一,毒品对吸毒成瘾者人格影响较大,而法律无法干涉人格的危险性,吸毒成瘾是一种疾病范畴,法律不是万能的,因此不可能去调整。基于这些原因,法律不宜直接将吸毒的行为纳入到犯罪圈中加以调整,但是,作为遏制毒品流通的手段,走私、贩卖、运输毒品被规定为犯罪;作为打击毒品源头的手段,非法种植毒品原植物的行为、生产和买卖制毒物品的行为、制造毒品的行为一律被定罪处罚;作为防止他人沾染毒品的手段,引诱、强迫、容留吸毒的行为被纳入刑法调整。刑法不直接处罚吸毒的核心行为,却把目光牢牢锁定在与吸毒有关的处于“外围”的行为之上,这样就如同破坏了吸毒行为得以生存的土壤,截断了吸毒行为上游的水源,旨在从“周边”减少吸毒行为的发生。
再比如,卖淫、嫖娼类的犯罪也属于我国刑法中一种典型的“外围规制”。在卖淫、嫖娼類犯罪的语境之下,作为核心的卖淫、嫖娼行为本身并不构成犯罪,但是与之相关的行为,包括组织、强迫、引诱、容留、介绍卖淫罪等,都被纳入犯罪圈中加以调整,可谓法网严密,鲜明地体现了“外围规制”这一立法特色。卖淫、嫖娼行为之所以没有被犯罪化,基于入罪合理性的原因是因为卖淫行为本身就是成年男女之间自愿的性交易行为,与第三人无直接的利害关系,从国际刑法理论来看,这类“无被害人犯罪”的非犯罪化俨然成为明确的趋势和走向[9]。正是基于这一点,我国的立法者采取了“外围规制”这一立法技术,将与卖淫、嫖娼相关的一系列行为作为犯罪加以调整,实际上是从“周边”扼杀卖淫、嫖娼行为赖以滋生的环境,间接对卖淫、嫖娼行为实施打击。
由此可见,“外围规制”的立法现象之所以存在,其中一个原因是基于某些理由,处于一个特定领域中的核心行为不宜被直接认定为犯罪,而需要通过规制与之相关的行为来间接减少这种行为的发生。在这种情况下,“外围规制”的作用在于在一定程度上保证刑事立法的妥当性,吸毒类犯罪和卖淫、嫖娼类犯罪就是典型的例子。
(二)“外围规制”基于司法成本与效率的考量
“效率”是现代司法体系中一个重要的概念,刑法的经济学理论关注社会控制的成本,这种成本包括威慑和阻止危害行为所需支付的全部费用[10]。正如有学者指出的:“当糟糕的事情发生时,它的花费会大大增加,法律尽力要完成这样一件任务——就是尽量减少处理这样一些问题的成本。”[11]因此,当一个社会动用其资源对犯罪进行治理时,要力求做到以最小的社会成本获得最大的社会治理收益。有学者将司法成本的构成划分为以下几项:维持一个庞大司法机关系统正常运行的开支、培养一批高素质的司法队伍的开支、必要的配备和经费[12]。但是在笔者看来,除了以上这些固定成本之外,在进行一个立法决策的过程中最应当考察的是在执法过程中的代价问题。
很多对社会有害的行为本身在证据搜集上需要付出较高的成本,例如有学者针对吸毒行为不入刑的原因准确地指出:“因为毒品全部被吸食灭失,行为人究竟吸食了多少毒品的主要依据就在于其口供,是非常不稳定的。”[8]28即使能够查明行为人吸食毒品的数量,也需要花费巨大的社会成本,这对于司法资源在一定程度上是一种浪费。但是,如果我们换一种思路,从毒品的源头以及流转的过程中侧面规制毒品犯罪,那么根据查获的实际数量来确定毒品犯罪的罪量就相对简单了。基于这一点,在我国《刑法》中,立法者通过“外围规制”的方法使得司法成本减低,因为在走私、贩卖、运输、制造毒品过程中截获的数量在证据层面都是相对容易证明的。
如下文所述,之所以在侵犯公民个人信息的刑事立法中采用了“外围规制”的立法技巧,也是充分考虑到了司法成本与效率的问题。三、侵犯公民个人信息犯罪采用“外围规制”的分析为了更好地分析立法者在侵犯公民个人信息犯罪的问题上采用了“外围规制”的原因,本文先通过实证调查对侵犯公民个人信息犯罪的特点进行归纳,并在此基础上考察采用这一立法模式的合理性。
(一)侵犯公民个人信息犯罪的实证调查与样本分析
本文在中国裁判文书网上随机选取53篇裁判文书,这些案件中的行为人均触犯了侵犯公民个人信息罪,且判决作出的时间在2017年以后。其中有些案件发生于《刑法修正案(九)》施行以前,根据《刑法》第十二条的规定,应依据《刑法修正案(八)》定罪处罚,因此在罪名认定上不是《刑法修正案(九)》之后的“侵犯公民个人信息罪”,而是《刑法修正案(九)》之前的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。但由于在行为界定上没有差别,因此为了简化分析,还是使用“侵犯公民个人信息罪”这一罪名。通过对53篇裁判文书样本进行分析,可以得出以下结论。
第一,案件涉及罪名庞杂繁多,且最终以“侵犯公民个人信息罪”论处的案件占比不高。分析可知,调查的大多数样本中以“侵犯公民个人信息罪”之外的罪名论处的情况居多。经过统计,53例样本案例中,单独以诈骗罪、信用卡诈骗罪论处的共17例;单独以计算机信息系统犯罪计算机信息系统犯罪包括:破坏计算机信息系统罪、非法控制计算机信息系统罪或者非法获取计算机信息系统数据罪。论处的共6例;单独以破坏广播电视设施、公用电信设施罪论处的共4例;单独以侵犯公民个人信息罪论处的共11例;单独以其他罪名论处的共6例具体指:(2017)皖1881刑初17号傅鹏伟、曹传刚行贿案;(2016)冀1022刑初230号孙凤元、胡耀银非法拘禁案;(2017)陕0802刑初80号朱某某、黄某某犯窃取信用卡信息案;(2017)陕0503刑初32号赵某犯买卖居民身份证案;(2017)鲁1728刑初41号滕昭星、楼望疆引诱、容留、介绍卖淫案;(2017)皖1102刑初89号李某某非法出售答案案。;认定为两个以上罪名数罪并罚的共9例;两个以上的罪名中包含“侵犯公民个人信息罪”的共3例。
图1触犯”侵犯公民个人信息罪“案件罪名认定统计图
不难发现,此类案件涉及的罪名繁多,既包括诈骗罪、敲诈勒索罪等财产犯罪,又包括计算机信息系统犯罪、买卖居民身份证罪等妨害社会管理秩序的犯罪,还包括非法拘禁等人身犯罪。同时,此类案件涉及的领域庞杂,既包括对传统财产领域的保护,又涉及互联网、计算机、信用卡等新兴技术领域中的法益保护问题。另外,分析样本可知,行为触犯“侵犯个人信息罪”而最终单独以该罪论处的案件在比例上仅有20.75%,最终认定的罪名中出现“侵犯个人信息罪”的案件在样本中占26.42%。这表明,“侵犯公民个人信息罪”在司法实践的运用中具有“依附性”的特征,它往往是作为其他更为严重的犯罪中的某個环节出现的,正如有学者指出的,很多情况下,侵害个人信息的行为虽未独立成罪,但继续实施其他行为,可能构成犯罪[13]。
第二,“侵犯个人信息”的方式呈现出“多样化”的形态,并贯穿整个信息利用链条。在调查的样本中,一类案件中行为人单纯购买个人信息,但尚未运用于任何活动参见(2017)沪0115刑初613号孙某某侵犯公民个人信息案;(2017)冀0183刑初15号刘某非法获取公民个人信息案。;另一类案件中行为人仅仅将利用职务之便获取的个人信息出售或提供给他人参见(2017)浙0225刑初8号匡美良、刘裴出售、非法提供公民个人信息案。;更多的情况则是涉及到信息的非法利用,而利用的方式也是复杂多样。有的行为人利用个人信息与信息的所有者取得联系,进行产品推销和广告活动参见(2017)粤0303刑初238号蔡某、王某侵犯公民个人信息案。;有的行为人利用个人信息为其他不能提供身份证的客户开办需要提供个人信息的业务,以此谋取利益参见(2017)粤2071刑初708号王宇怀非法获取公民个人信息案。;还有一些行为人利用个人信息进行诸如诈骗、敲诈勒索等其他犯罪活动参见(2017)豫0823刑初604号陈国胜诈骗案。。可以说,“非法利用个人信息”的方式多样,难以给出一个完整的定型。
(二)侵犯公民个人信息犯罪的立法模式体现了效率原则
回到立法的问题,立法者在“侵犯公民个人信息犯罪”的设置上也必然考虑到了司法功利性的因素。毫无疑问,在对公民个人信息进行刑法保护的过程中,处于核心且对公民生活造成最大困扰的是非法利用公民个人信息的行为。它作为直接对公民隐私法益造成侵害的实行行为,在可罚性程度以及法益侵害性上绝对高于非法获取、提供、出售公民个人信息这些处于“周边”的行为,这一点笔者在上文中已经做了详尽的论述。既然如此,立法者为何没有将非法利用公民个人信息的行为直接规定为犯罪呢?在笔者看来,其中一个核心的要素在于,非法利用公民个人信息的行为在外延上太过庞杂,在形态上太过多样,不仅涉及诸多其他犯罪,在立法上难以给出明确的界定,而且容易造成取证过程中的大量司法成本浪费。
有学者列举了非法使用个人数据的几种行为形态:一是利用获取的具有身份识别性的公民个人信息、数据资料实施可能构成诈骗罪、虚假广告罪的犯罪活动;二是将获取的具有身份识别性的公民个人信息、数据资料用于未经接收方许可的商业推销、广告宣传活动;三是利用获取的具有隐私性的公民个人信息实施敲诈勒索等犯罪活动[14]。毫无疑问,伴随数字社会的不断深化,个人信息在整个社会中的作用与用途只会不断被强化,“利用”一词的外延也会不断扩张,正如有学者指出的,数字革命使得企业和政府的监控更加容易,让企业更富有效率、充满活力。例如,企业从个人敲击键盘中就可以获知其浏览过的在线商店[15]。
不难发现,利用个人信息的方式多种多样,导致了对“利用”一词的解读也是见仁见智。例如,在上网的时候,有些网页广告会根据个人浏览记录推断出浏览者的喜好进行推送,这种现象在网络上很常见,至于到了何种程度才能达到“非法利用个人信息”的程度,在界限上并不好把握。贝卡里亚曾指出:“不幸者最凶狠的刽子手是法律的捉摸不定。”[16]正是基于这一点,早在古典刑法时期,“明确性”就是刑事立法追求的一个重要方向。“确定的罪刑法定是指国民能够预测国家刑罚权发动可能性的明确程度,让一般人看明白,显示其昭谕功能。”[17]尽量减少高度概括条款的使用,可以更好地维护罪刑法定原则的底线与藩篱。
正是因为对“非法利用公民个人信息”行为的“定型化”在操作上有较大的难度,我国《刑法》采用了“外围规制”的立法技术。它没有直接将“非法利用公民个人信息”纳入犯罪圈加以调整,而是限制了信息流通的两个重要环节,即“获取”与“泄露”。纵览公民个人信息的刑法保护历史不难发现,1997年《刑法》一开始并没有设置有关个人信息保护的罪名,《刑法修正案(五)》在第一百七十七条后增加了第一百七十七条之一,将“窃取、收买或者非法提供他人信用卡信息资料”的行为规定为犯罪,打开了保护个人信息法益的先河;《刑法修正案(七)》第二百五十三条后增加一条,作为第二百五十三条之一,形成了出售、非法提供公民个人信息罪,以及非法获取公民个人信息罪,但是将出售、提供公民个人信息罪的主体限定在特定单位的工作人员[18];《刑法修正案(九)》取消了出售、提供公民个人信息罪的主体限制,将罪名统一为“侵犯公民个人信息罪”。可以看到,我国在保护公民个人信息的立法进程中,立法者的着眼点始终是放在对公民个人信息的“获取”“出售”与“非法提供”这三个行为上的,其要旨在于通过切断信息的流动,间接减少非法利用个人信息的行为对公民造成的困扰。这无疑是一个事半功倍的做法,因为这样的做法减去了对“非法利用”行为定型的必要性,也避免了文义理解差异导致对法律“明确性”的削弱,同时又可以应对不断激增的对于信息的新的利用方式。简单来说,只要切断了信息传播的途径,就相当于设置了防止相关犯罪延烧的防火带,由此可见,我国对于侵犯公民个人信息犯罪的刑事立法方式符合司法功利原则的要求。四、以“非法利用”行为为核心的解释准则如上文所述,应对侵犯公民个人信息的问题,在立法层面上采用“外围规制”的技巧符合功利原则的要求。但是,这并不意味着“非法利用”行为无法纳入刑法的视野进行规制。虽然在刑法文本中没有设置“非法利用公民个人信息罪”这一罪名,但作为侵犯公民个人信息的核心行为,在解释论上应当以“非法利用”作为基准与核心。具体而言,可以分为以下几种情况进行讨论。
第一,如果行为人以窃取、收买或其他方法非法获取公民个人信息之后又加以利用的,应当对非法获取行为适用侵犯公民个人信息罪。在这种情况下,可以直接从信息来源上对行为进行定罪,而不必具体考察“非法利用”的方式以及性质[6]182。
第二,如果行为人非法使用所掌握的公民个人信息实施诈骗、敲诈勒索等其他犯罪行为的,可以单独构成诈骗罪、敲诈勒索罪等其他罪名。后来构成的罪名与侵犯公民个人信息犯罪的关系如何处理,则涉及罪数问题,下文将进行详细分析。但是无论如何,如果行为人后续的利用行为触犯独立罪名,就已经被纳入了刑法犯罪圈的调整范围之内,不会产生处罚漏洞的问题。
第三,值得讨论的情况是,行为人取得公民个人信息的方式从形式上看合法,且在非法利用个人信息的过程中也没有涉及其他犯罪,应当如何处理?这种情况所对应的典型案例就是上文提到的“西电卡门事件”,在本案中,学校搜集学生身份证号、学生家庭地址等个人信息的方式从表面上来看是合法的,为学生办理“中国工商银行牡丹运动圆梦学生卡”的行为在刑法中也不存在专门对应的罪名,在这种情况下,是否就意味着学校的行为无法纳入刑法的范畴进行调整呢?这是下文着重讨论的问题。
(一)“合法”获取,非法利用行为的可罚性分析
非法利用公民个人信息的行为作为侵害公民个人隐私权的核心行为,在法益侵害程度上绝不亚于非法获取或传播的行为,并且正是非法利用行为本身给被害公民造成了直接的困扰。但是,正如上文所述,限于立法技术和司法功利性的考虑,立法者无法将所有的非法利用公民个人信息的行为一一列举到条文当中,只能采取更为经济的手段,对获取行为进行规定。这就表明,解释者需要将“非法利用”的行为“还原”为解释论的重点,在对非法侵犯公民信息罪构成要件的解释当中想办法将此类情况解释到本罪的构成要件当中。
在技术上,实质解释论为这一方案提供了有力的根据。实际上,任何一个用语都可能有两种以上的含义,对任何一个法条都可能作两种以上的解释,如果没有解释方向与目的,就不可能对构成要件作解释[19]。正如白建军教授指出的“坚硬的理论,弹性的规则”[20],刑法条文的解释必须要服务于社会治理需要。在公民个人信息保障不力、被非法利用的行为猖獗的情况下,司法者可以考虑通过对条文语词的解读,将这种情况也纳入“非法获取公民个人信息”的犯罪圈当中,这就需要对“非法”的含义进行深层而非表面的解读。具体来说,可以将“非法获取”中“非法”的含义进行扩张理解。
(二)入罪进路:“非法获取”中“非法”含义扩张
实际上,考察侵犯公民个人信息罪的条文表述不难发现,“非法获取公民个人信息”中的“非法”具有较高的解释弹性,可以结合立法目的进行解读。2017年《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第二条将“出售或者提供公民个人信息”中的“违反国家有关规定”界定为“违反法律、行政法规、部门规章有关公民个人信息保护的规定”,这显然是一种基于形式立场的解释。与之相对,处于法益保护目的的需要, “非法获取公民个人信息”中的“非法”可以进行实质解释形式解释论以陈兴良教授为代表,实质解释论以张明楷教授为代表,两者争论的核心在于形式判断与实质判断之间的位阶问题。(参见张明楷:《实质解释论的再提倡》,《中国法学》2010年第4期,第49-69页;陈兴良:《形式解释论的再宣示》,《中国法学》2010年第4期,第27-48页)。
实际上,如果将“非法”作为“获取”的修饰词来看,由于学校获取学生个人信息的方式完全符合法定的程序和要求,因此上文“西电卡门事件”中的行为就不能被纳入到“非法获取公民个人信息”这一罪名当中加以调整;但是,如果将“非法”当作“以非法利用的目的”来理解,那么即使学校搜集学生个人信息的方式符合相关规定的要求,但只要学校在对信息加以利用的過程中不符合正当的利用方式,就可以推定其在搜集信息的过程中带有“非法利用信息的目的”,对此就可以通过非法获取公民个人信息罪加以处罚。如果将“非法”从原本的客观的、形式的构成要件要素转化为主观的、实质的构成要件要素,并且通过事后非法利用信息的行为对行为人搜集信息时的非法利用意思进行推定,那么就可以打破现有理论框架中形式上“合法”搜集个人信息行为无法定罪的处罚漏洞。
将“非法”理解为“以非法使用为目的”,本质上是一种实质解释,这种解释可以在解释论层面扩大侵犯公民个人信息罪的外延。根据这一解释,只要行为人以非法使用的目的获取了公民信息,不论获取本身是否符合规范,都可以在实质上评价为“非法获取”的行为范式,纳入到侵犯公民个人信息罪的调整范围。这一解释技巧背后的理念在于,以“非法利用”为解释的基点,将“非法”所修辞的对象由“获取”转向“非法利用”,就可以将非法利用公民个人信息的行为纳入到犯罪圈当中进行调整。因此,即使不将“非法利用公民个人信息”这一行为通过立法纳入犯罪圈进行调整,也完全可以通过解释论将这种行为入罪。
(三)非法获取与非法利用的罪数处理
在涉及侵犯公民个人信息的相关罪名上,除了要解决入罪与出罪的关系,还要解决的问题是罪数关系。这一问题的由来在于,如果将“非法获取信息”中的“非法”理解为“以非法使用为目的”,那么可能涉及的问题就是,既然以非法利用信息的目的获取信息已经构成侵犯公民个人信息罪,那么在事后利用行为单独构成犯罪的情况下,是否需要数罪并罚?对于这一问题,可以分为四种情况进行处理。
第一,如果行为人以窃取、收买或其他方法非法获取公民个人信息,之后加以利用,但是没有触犯其他罪名的,直接认定为侵犯公民个人信息罪。因为侵犯公民个人信息罪的结构中已经包含了窃取、收买或其他方法非法获取公民个人信息的行为范式。
第二,如果行为人以窃取、收买或其他方法非法获取公民个人信息,非法使用所掌握公民个人信息,实施诈骗、敲诈勒索等其他犯罪行为的,应当依据诈骗罪、敲诈勒索罪等其他犯罪论处。如上文所述,由于侵犯公民个人信息罪容易涉及其他相关罪名,且在法定刑配置上本来就比较低。因此,基于罪名之间吸收关系的原理,在非法利用行为本身构成其他犯罪的情况下,可以直接根据行为所触犯的诈骗罪、敲诈勒索罪等其他罪名论处在实证调查中,如果行为人同时触犯符合侵犯公民个人信息罪和诈骗罪的要件,最终一般直接以诈骗定罪。。
第三,如果行为人以表面合法的方式采集了公民的个人信息,但是从事后的非法利用行为推定行为人在搜集信息的过程中具有非法利用的目的,那么符合上文经过修正的侵犯公民个人信息罪的构成要件,单独成立侵犯公民个人信息罪。
第四,如果行为人以表面合法的方式采集了公民的个人信息,而事后的利用行为触犯了其他犯罪,例如诈骗罪、敲诈勒索罪等等,可以反推行为人搜集信息时候的非法利用目的,因此也符合侵犯公民个人信息罪的构成要件。在罪数处理上,侵犯公民个人信息罪的手段行为被事后的利用行为所吸收,认定为利用行为触犯的犯罪即可。
总结而言,非法获取行为与非法利用行为之间本身具有手段与目的行为的关系,侵犯的法益要么相同,要么休戚相关。因此,如果行为人同时具有非法获取行为与非法利用的行为,且后者单独构成犯罪,那么获取个人信息的行为被吸收,直接以后面成立的罪名认定犯罪。而如果后面的利用行为不构成其他犯罪,则根据本文采取的修正后的侵犯公民个人信息罪的构成要件,成立侵犯公民个人信息罪,这一处理使得部分获取公民个人信息的处罚漏洞得以填补。
五、反思与结语
侵犯公民个人信息罪在设置上体现了高超的立法技巧,立法者不直接将非法利用公民个人信息的行为规定为犯罪,而是从信息流通的角度入手,对“获取”和“泄露”(包括出售和提供)这两个行为进行了刑事规制,这是一种符合功利性的立法技术,可以在最大限度上降低司法成本。但是另一方面,在解释论层面,“利用”可以作为解释的核心与落脚点,通过对法条中语词的解释可以将单纯利用个人信息的行为纳入到犯罪圈当中加以调整。
“外围规制”的立法技术可以运用于刑法领域内的诸多方面。例如,在考虑将一些与个人私密性物品有关的行为入罪时,可以通过刑法对物品的流通过程进行锁定,将流通行为纳入到犯罪圈调整,因为这样可以在最大限度上节约司法成本,符合司法功利原则的要求。例如,我国《刑法》将制作、贩卖、传播淫秽物品均规定为犯罪,但是不包括持有和观看淫秽物品的行为,因为持有和观看淫秽物品的行为不仅在入罪的合理性上有待商榷,而且在取证上需要付出较高的司法成本。
在司法的过程中,司法公正与司法效率是起决定作用的两大因素,这两大因素决定了立法者与解释者在履行各自职责的时候采用怎样的方式和技巧,这些都值得我们在创设和解释法律条文的时候仔细推敲和反复斟酌,如此才能距离正义更近一步。
参考文献:
[1]劳东燕.风险社会与变动中的刑法理论[J].中外法学,2014(1):70.
[2]周海洋.出售、非法提供公民个人信息罪和非法获取公民个人信息罪的理解与适用[J].中国审判,2010(1):80-82.
[3]王作富.刑法分则实务研究[M]. 5版.北京:中国方正出版社,2013:857.
[4]张明楷.刑法分则的解释原理:上[M].2版. 北京:中国人民大学出版社,2011:3.
[5]车浩.从间接正犯到直接正犯——评《刑法修正案(七)》关于内幕交易罪的修改[J].政法论坛,2009(3):136.
[6]喻海松.侵犯公民个人信息罪司法适用探微[J].中国应用法学,2017(4).
[7]赵秉志,于志刚.毒品犯罪[M]. 北京:中国人民公安大学出版社,2003:85.
[8]王园.吸毒行为应否犯罪化的理性思考[J].云南大学学报(法学版),2014(4).
[9]彭勃.“无被害人犯罪”研究——以刑法谦抑性为视角[J].法商研究,2006(1):51.
[10]冯玉军.法经济学[M]. 北京:中国人民大学出版社,2013:288.
[11]沃德·法恩斯沃斯.高手:解决法律难题的31种思维技巧[M].丁芝华,译.北京:法律出版社,2016:219.
[12]游劝荣.司法成本及其节约与控制[J].福州大学学报(哲学社会科学版),2006(3):72-73.
[13]吴苌弘.个人信息的刑法保护研究[M]. 上海:上海社会科学院出版社,2014:115-116.
[14]王建权.非法使用个人信息的刑事责任问题[J].开封教育学院学报,2017(4):255.
[15]ABRAMS M E.新兴数字经济时代的隐私、安全与经济增长[M]//温珍奎,译.周汉华.个人信息保护前沿问题研究.北京:法律出版社,2006:9-11.
[16]切萨雷·贝卡里亚.论犯罪与刑罚[M].黄风,译.北京:中国大百科全书出版社,1993:6.
[17]周光权.刑法总论[M]. 北京:中国人民大学出版社,2016:35.
[18]赵秉志.刑法修正案最新理解適用[M].北京:中国法制出版社,2009:122.
[19]张明楷.实质解释论的再提倡[J].中国法学,2010(4):49.
[20]白建军.坚硬的理论,弹性的规则——罪刑法定研究[J].北京大学学报(哲学社会科学版),2008(6):29.
Abstract:Crime of infringing on citizens personal information doesnt take the act of using personal information into the crime circle. It instead regulates the act of getting personal information and leaking information illegally. This mode of legislation is called “peripheral regulation”, which focuses on the appropriateness and efficiency of criminal legislation. This legislation mode avoids the finalization of the act of using personal information, but reduces the violation to personal information through blocking information transmission, which conforms to the principle of judicial utility. However, in the process of explanation of crime of infringing on citizens personal information, “using” is the core of the explanation, “illegal” should be comprehended as “with the intend of using illegally”, which takes the act of using information legally into the criminal circle. In addition, we should adapt the principle of incorporate crime to cope with its relationship of crime quantity to other crimes.
Keywords:crime of infringing on citizens personal information; peripheral regulation; substantial explanation
(编辑:刘仲秋)
摘要:侵犯公民个人信息罪没有将“非法利用公民个人信息”这一核心行为纳入犯罪圈,而是通过刑法对非法获取和泄露个人信息的行为进行规制。这种立法模式称为“外围规制”,它旨在实现刑事立法的妥当性与效率。“外围规制”是一种立法技术,这种立法模式避免了对“非法利用个人信息”行为定型化的弊端,而是通过截断信息的传递减少对公民个人信息的侵犯,符合司法功利主义和司法便利主义的要求。但是,在对侵犯公民个人信息罪进行解释的过程中,应当以“非法利用”为解释的核心与落脚点,将“非法”理解为“以非法利用的目的”,从而将合法取得非法利用信息的行为纳入到本罪的调整范围中。另外,应当采用吸收犯的原理妥善地处理本罪与其他罪名的罪数关系。
关键词:侵犯公民个人信息罪;外围规制;实质解释
中图分类号:D924.1文献标识码:A文章编号:1673-8268(2018)03-0036-08
一、问题的提出
劳东燕教授关于风险社会与风险刑法有这样的一段描述:“似乎只是在一激灵间,有关风险社会的话语在中国就变得铺天盖地,风险刑法的话题也顺理成章地成为我国刑法学界热门的研究主题之一。”[1]继食品领域、交通领域、医疗领域被“风险社会”牢牢锁定之后,公民个人信息安全也成为笼罩着重重阴霾的重灾区。2014年3月以来,“携程网信息安全门事件”2014年3月,乌云漏洞平台发布消息,由于携程系统存在技术漏洞,泄露了包括用户姓名、身份证号等个人信息以及银行卡类别、银行卡卡号、银行卡CVV码等银行卡信息,这意味着他人可以很轻松地在网上盗刷银行卡。、“小米800万用户数据泄露事件”2014年5月14日,网络安全平台乌云网爆出小米论坛存在用户资料泄露,泄露涉及800万小米论坛注册用户,并建议用户修改密码。随后,小米公司相关负责人确认,数据泄露事件确有发生。、“徐玉玉事件”2016年8月21日,徐玉玉因被诈骗电话骗走上大学的费用9 900元,伤心欲绝,郁结于心,最终导致死亡。本案中徐玉玉的身份信息被泄露,才导致犯罪分子成功实施诈骗。等,都一再敲响了保护公民个人信息安全的警钟。
我国《刑法》中“侵犯公民个人信息罪”的行为形态包括出售、提供和非法获取三种,却没有将非法使用个人信息的行为纳入到刑法中加以调整。很多学者认为,对于非法使用个人信息的行为,也应当单独成立犯罪。其主要理由包括以下几点。
第一,未经同意对公民个人信息进行非法利用的行为本身具有法益侵害性。美國总统罗斯福于1941年在美国国会大厦发表演说时提出了著名的四大自由,后来“免于愚昧无知的自由”被视为第五大自由。进入信息社会后,有学者提出五大自由之外的第六大自由,即“免于被倾倒信息垃圾的自由”[2]。毫无疑问,非法利用公民个人信息的行为,无论是用于商业推广、商业宣传,还是用于实施其他的犯罪活动,都对公民的安宁权、健康权、隐私权造成了严重的侵害。事实上,我们之所以认为出售、提供和非法获取个人信息的行为具有法益侵害性,还是因为忌惮这些个人信息会遭到非法利用,会给个人生活造成种种困扰,而单独来看,出售、提供和非法获取个人信息的行为如果脱离了非法利用信息的行为是不具有任何意义的。正是基于这一点,有些学者认为非法利用公民个人信息具有更高的法益侵害性,应当受到刑法调整。
第二,考察国外刑事立法经验和我国《刑法》中类似的罪名,存在将非法利用公民个人信息的行为纳入到刑法进行调整的现象。《德国刑法典》除设置了第二百零二a条“探知数据罪”之外,还在第二百零四条将“利用他人的秘密”这种行为规定为犯罪原文是:依第二百零三条的规定有义务为他人保密之人,未经授权而利用他人秘密,尤其是利用企业或商业秘密的,处2年以下自由刑或罚金刑。(参见徐久生,庄敬华:《德国刑法典》,中国方正出版社2004年版,第106页),从这一点来看,德国刑法对于个人信息的保护涉及到了信息非法利用这一核心环节,因此在保护程度上似乎更高。再看我国《刑法》第二百一十九条侵犯商业秘密罪中的行为结构包括三类:以不正当手段获取、披露和使用。可以认为,有偿披露的行为基本可以等同于“出售”,无偿披露的行为基本可以等同于“提供”,因此,与侵犯个人信息罪相比而言,构成侵犯商业秘密罪的手段还多出了“使用”这种行为。由此可见,无论是《德国刑法典》,还是我国《刑法》中与侵犯公民个人信息罪相类似的侵犯商业秘密罪,都将“非法利用”这一不法行为纳入犯罪圈当中进行调整,这些都可以作为我国立法调整的参考。
第三,如果不将“非法利用”行为入罪,则可能造成处罚漏洞。例如,在2008年底曝光的“西电卡门事件”中,西安电子科技大学财务处在未经学生同意之情况下,非法利用学校掌握的学生身份证号、学生家庭地址等个人信息,给上万名学生集体办理了“中国工商银行牡丹运动圆梦学生卡”。对于此案,有学者认为,由于刑法只是将违法性较为明显的“出售”和“非法提供”行为确定为犯罪,因此不宜将其他行为纳入犯罪圈内加以调整[3]。与之相对,也有学者认为,类似于“西电卡门事件”中对公民个人信息非法利用的行为具有较高的法益侵害性,如果在立法上不将非法利用公民个人信息的行为规定为犯罪,就无法对这种行为进行规制。
笔者认为,综合考虑以上三个理由,确实可以得出非法利用公民个人信息的行为具有较高的处罚性的结论,但是这并不代表在立法层面增设“非法利用公民个人信息罪”是唯一的解决进路。正如张明楷教授指出的:“与其在得出非正义的解释结论后批判立法,不如合理运用解释方法得出正义的解释结论;与其怀疑刑法规范本身,不如怀疑自己的解释能力与解释结论。”[4]当实践中出现了问题,需要刑法快速做出反应的时候,修改立法不是解决问题的唯一途径,通过合理解释调整犯罪圈的大小也许是更有效、更节省司法成本的方案。相反,如果说学者动辄批判刑法、建议修改是放弃学者的解释使命,那么立法者动辄修改刑法更是“以身作则”地轻视自己先前所立之法[5],因此,从解释论的角度入手也未尝不是一套可行的方案。
在侵犯个人信息犯罪的问题上,使用公民个人信息的行为没有单独入罪,“只是意味着不能仅仅因为使用公民个人信息的行为非法而认定其具有刑事违法性,并不意味着不能依据相关行为的刑事违法程度予以刑事惩治”[6]181。在对这一话题进行分析时,笔者认为,对现有立法的评价和应对现有问题的解释进路是需要探讨的核心。因此,本文分为两大部分进行:第一,对现有侵犯公民个人信息犯罪立法模式的剖析;第二,对现有问题通过解释论解决的可行性思考。
二、“外围规制”的立法模式评析
侵犯公民个人信息相关的犯罪反映的是我国刑法中存在的这样一种现象,即在某些特定的领域之内,作为核心的行为不受刑法处罚,但是与此有关“外围”的行为被广泛规定为犯罪,笔者将这种立法现象与立法技巧称为“外围规制”。侵犯公民个人信息的相关罪名中就体现了“外围规制”的痕迹,作为核心的“非法利用”行为没有被纳入犯罪圈调整,而与之有紧密联系的“非法获取”“出售”和“提供”这些行为被规定为犯罪。
(一)“外围规制”基于罪名设置的合理性
“外围规制”最为典型的是与吸毒相关的犯罪,毫无疑问,这类犯罪的核心行为是吸食毒品的行为,而其他与毒品有关的走私、贩卖、运输、制造、持有、包庇、窝藏、引诱、强迫、容留等行为都是由吸食行为引申而来的。但是,在犯罪化的问题上,恰恰是这些“外围性”的行为被规定为犯罪,而单纯的吸毒行为不受刑事处罚。正因为如此,有学者将引诱、教唆、欺骗、强迫、容留他人吸毒,非法提供麻醉药品、精神药品的行为统一界定为“帮助毒品消费罪”[7]。至于吸毒非犯罪化的原因,学界存在众多争论,认为吸毒入罪不具有妥当性的主要理由包括以下两点:第一,吸毒具有“自损”的性质,基于被害人承诺的法理,欠缺值得保护的法益[8]26-27;第二,人格缺陷是导致吸毒的因素之一,毒品对吸毒成瘾者人格影响较大,而法律无法干涉人格的危险性,吸毒成瘾是一种疾病范畴,法律不是万能的,因此不可能去调整。基于这些原因,法律不宜直接将吸毒的行为纳入到犯罪圈中加以调整,但是,作为遏制毒品流通的手段,走私、贩卖、运输毒品被规定为犯罪;作为打击毒品源头的手段,非法种植毒品原植物的行为、生产和买卖制毒物品的行为、制造毒品的行为一律被定罪处罚;作为防止他人沾染毒品的手段,引诱、强迫、容留吸毒的行为被纳入刑法调整。刑法不直接处罚吸毒的核心行为,却把目光牢牢锁定在与吸毒有关的处于“外围”的行为之上,这样就如同破坏了吸毒行为得以生存的土壤,截断了吸毒行为上游的水源,旨在从“周边”减少吸毒行为的发生。
再比如,卖淫、嫖娼类的犯罪也属于我国刑法中一种典型的“外围规制”。在卖淫、嫖娼類犯罪的语境之下,作为核心的卖淫、嫖娼行为本身并不构成犯罪,但是与之相关的行为,包括组织、强迫、引诱、容留、介绍卖淫罪等,都被纳入犯罪圈中加以调整,可谓法网严密,鲜明地体现了“外围规制”这一立法特色。卖淫、嫖娼行为之所以没有被犯罪化,基于入罪合理性的原因是因为卖淫行为本身就是成年男女之间自愿的性交易行为,与第三人无直接的利害关系,从国际刑法理论来看,这类“无被害人犯罪”的非犯罪化俨然成为明确的趋势和走向[9]。正是基于这一点,我国的立法者采取了“外围规制”这一立法技术,将与卖淫、嫖娼相关的一系列行为作为犯罪加以调整,实际上是从“周边”扼杀卖淫、嫖娼行为赖以滋生的环境,间接对卖淫、嫖娼行为实施打击。
由此可见,“外围规制”的立法现象之所以存在,其中一个原因是基于某些理由,处于一个特定领域中的核心行为不宜被直接认定为犯罪,而需要通过规制与之相关的行为来间接减少这种行为的发生。在这种情况下,“外围规制”的作用在于在一定程度上保证刑事立法的妥当性,吸毒类犯罪和卖淫、嫖娼类犯罪就是典型的例子。
(二)“外围规制”基于司法成本与效率的考量
“效率”是现代司法体系中一个重要的概念,刑法的经济学理论关注社会控制的成本,这种成本包括威慑和阻止危害行为所需支付的全部费用[10]。正如有学者指出的:“当糟糕的事情发生时,它的花费会大大增加,法律尽力要完成这样一件任务——就是尽量减少处理这样一些问题的成本。”[11]因此,当一个社会动用其资源对犯罪进行治理时,要力求做到以最小的社会成本获得最大的社会治理收益。有学者将司法成本的构成划分为以下几项:维持一个庞大司法机关系统正常运行的开支、培养一批高素质的司法队伍的开支、必要的配备和经费[12]。但是在笔者看来,除了以上这些固定成本之外,在进行一个立法决策的过程中最应当考察的是在执法过程中的代价问题。
很多对社会有害的行为本身在证据搜集上需要付出较高的成本,例如有学者针对吸毒行为不入刑的原因准确地指出:“因为毒品全部被吸食灭失,行为人究竟吸食了多少毒品的主要依据就在于其口供,是非常不稳定的。”[8]28即使能够查明行为人吸食毒品的数量,也需要花费巨大的社会成本,这对于司法资源在一定程度上是一种浪费。但是,如果我们换一种思路,从毒品的源头以及流转的过程中侧面规制毒品犯罪,那么根据查获的实际数量来确定毒品犯罪的罪量就相对简单了。基于这一点,在我国《刑法》中,立法者通过“外围规制”的方法使得司法成本减低,因为在走私、贩卖、运输、制造毒品过程中截获的数量在证据层面都是相对容易证明的。
如下文所述,之所以在侵犯公民个人信息的刑事立法中采用了“外围规制”的立法技巧,也是充分考虑到了司法成本与效率的问题。三、侵犯公民个人信息犯罪采用“外围规制”的分析为了更好地分析立法者在侵犯公民个人信息犯罪的问题上采用了“外围规制”的原因,本文先通过实证调查对侵犯公民个人信息犯罪的特点进行归纳,并在此基础上考察采用这一立法模式的合理性。
(一)侵犯公民个人信息犯罪的实证调查与样本分析
本文在中国裁判文书网上随机选取53篇裁判文书,这些案件中的行为人均触犯了侵犯公民个人信息罪,且判决作出的时间在2017年以后。其中有些案件发生于《刑法修正案(九)》施行以前,根据《刑法》第十二条的规定,应依据《刑法修正案(八)》定罪处罚,因此在罪名认定上不是《刑法修正案(九)》之后的“侵犯公民个人信息罪”,而是《刑法修正案(九)》之前的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。但由于在行为界定上没有差别,因此为了简化分析,还是使用“侵犯公民个人信息罪”这一罪名。通过对53篇裁判文书样本进行分析,可以得出以下结论。
第一,案件涉及罪名庞杂繁多,且最终以“侵犯公民个人信息罪”论处的案件占比不高。分析可知,调查的大多数样本中以“侵犯公民个人信息罪”之外的罪名论处的情况居多。经过统计,53例样本案例中,单独以诈骗罪、信用卡诈骗罪论处的共17例;单独以计算机信息系统犯罪计算机信息系统犯罪包括:破坏计算机信息系统罪、非法控制计算机信息系统罪或者非法获取计算机信息系统数据罪。论处的共6例;单独以破坏广播电视设施、公用电信设施罪论处的共4例;单独以侵犯公民个人信息罪论处的共11例;单独以其他罪名论处的共6例具体指:(2017)皖1881刑初17号傅鹏伟、曹传刚行贿案;(2016)冀1022刑初230号孙凤元、胡耀银非法拘禁案;(2017)陕0802刑初80号朱某某、黄某某犯窃取信用卡信息案;(2017)陕0503刑初32号赵某犯买卖居民身份证案;(2017)鲁1728刑初41号滕昭星、楼望疆引诱、容留、介绍卖淫案;(2017)皖1102刑初89号李某某非法出售答案案。;认定为两个以上罪名数罪并罚的共9例;两个以上的罪名中包含“侵犯公民个人信息罪”的共3例。
图1触犯”侵犯公民个人信息罪“案件罪名认定统计图
不难发现,此类案件涉及的罪名繁多,既包括诈骗罪、敲诈勒索罪等财产犯罪,又包括计算机信息系统犯罪、买卖居民身份证罪等妨害社会管理秩序的犯罪,还包括非法拘禁等人身犯罪。同时,此类案件涉及的领域庞杂,既包括对传统财产领域的保护,又涉及互联网、计算机、信用卡等新兴技术领域中的法益保护问题。另外,分析样本可知,行为触犯“侵犯个人信息罪”而最终单独以该罪论处的案件在比例上仅有20.75%,最终认定的罪名中出现“侵犯个人信息罪”的案件在样本中占26.42%。这表明,“侵犯公民个人信息罪”在司法实践的运用中具有“依附性”的特征,它往往是作为其他更为严重的犯罪中的某個环节出现的,正如有学者指出的,很多情况下,侵害个人信息的行为虽未独立成罪,但继续实施其他行为,可能构成犯罪[13]。
第二,“侵犯个人信息”的方式呈现出“多样化”的形态,并贯穿整个信息利用链条。在调查的样本中,一类案件中行为人单纯购买个人信息,但尚未运用于任何活动参见(2017)沪0115刑初613号孙某某侵犯公民个人信息案;(2017)冀0183刑初15号刘某非法获取公民个人信息案。;另一类案件中行为人仅仅将利用职务之便获取的个人信息出售或提供给他人参见(2017)浙0225刑初8号匡美良、刘裴出售、非法提供公民个人信息案。;更多的情况则是涉及到信息的非法利用,而利用的方式也是复杂多样。有的行为人利用个人信息与信息的所有者取得联系,进行产品推销和广告活动参见(2017)粤0303刑初238号蔡某、王某侵犯公民个人信息案。;有的行为人利用个人信息为其他不能提供身份证的客户开办需要提供个人信息的业务,以此谋取利益参见(2017)粤2071刑初708号王宇怀非法获取公民个人信息案。;还有一些行为人利用个人信息进行诸如诈骗、敲诈勒索等其他犯罪活动参见(2017)豫0823刑初604号陈国胜诈骗案。。可以说,“非法利用个人信息”的方式多样,难以给出一个完整的定型。
(二)侵犯公民个人信息犯罪的立法模式体现了效率原则
回到立法的问题,立法者在“侵犯公民个人信息犯罪”的设置上也必然考虑到了司法功利性的因素。毫无疑问,在对公民个人信息进行刑法保护的过程中,处于核心且对公民生活造成最大困扰的是非法利用公民个人信息的行为。它作为直接对公民隐私法益造成侵害的实行行为,在可罚性程度以及法益侵害性上绝对高于非法获取、提供、出售公民个人信息这些处于“周边”的行为,这一点笔者在上文中已经做了详尽的论述。既然如此,立法者为何没有将非法利用公民个人信息的行为直接规定为犯罪呢?在笔者看来,其中一个核心的要素在于,非法利用公民个人信息的行为在外延上太过庞杂,在形态上太过多样,不仅涉及诸多其他犯罪,在立法上难以给出明确的界定,而且容易造成取证过程中的大量司法成本浪费。
有学者列举了非法使用个人数据的几种行为形态:一是利用获取的具有身份识别性的公民个人信息、数据资料实施可能构成诈骗罪、虚假广告罪的犯罪活动;二是将获取的具有身份识别性的公民个人信息、数据资料用于未经接收方许可的商业推销、广告宣传活动;三是利用获取的具有隐私性的公民个人信息实施敲诈勒索等犯罪活动[14]。毫无疑问,伴随数字社会的不断深化,个人信息在整个社会中的作用与用途只会不断被强化,“利用”一词的外延也会不断扩张,正如有学者指出的,数字革命使得企业和政府的监控更加容易,让企业更富有效率、充满活力。例如,企业从个人敲击键盘中就可以获知其浏览过的在线商店[15]。
不难发现,利用个人信息的方式多种多样,导致了对“利用”一词的解读也是见仁见智。例如,在上网的时候,有些网页广告会根据个人浏览记录推断出浏览者的喜好进行推送,这种现象在网络上很常见,至于到了何种程度才能达到“非法利用个人信息”的程度,在界限上并不好把握。贝卡里亚曾指出:“不幸者最凶狠的刽子手是法律的捉摸不定。”[16]正是基于这一点,早在古典刑法时期,“明确性”就是刑事立法追求的一个重要方向。“确定的罪刑法定是指国民能够预测国家刑罚权发动可能性的明确程度,让一般人看明白,显示其昭谕功能。”[17]尽量减少高度概括条款的使用,可以更好地维护罪刑法定原则的底线与藩篱。
正是因为对“非法利用公民个人信息”行为的“定型化”在操作上有较大的难度,我国《刑法》采用了“外围规制”的立法技术。它没有直接将“非法利用公民个人信息”纳入犯罪圈加以调整,而是限制了信息流通的两个重要环节,即“获取”与“泄露”。纵览公民个人信息的刑法保护历史不难发现,1997年《刑法》一开始并没有设置有关个人信息保护的罪名,《刑法修正案(五)》在第一百七十七条后增加了第一百七十七条之一,将“窃取、收买或者非法提供他人信用卡信息资料”的行为规定为犯罪,打开了保护个人信息法益的先河;《刑法修正案(七)》第二百五十三条后增加一条,作为第二百五十三条之一,形成了出售、非法提供公民个人信息罪,以及非法获取公民个人信息罪,但是将出售、提供公民个人信息罪的主体限定在特定单位的工作人员[18];《刑法修正案(九)》取消了出售、提供公民个人信息罪的主体限制,将罪名统一为“侵犯公民个人信息罪”。可以看到,我国在保护公民个人信息的立法进程中,立法者的着眼点始终是放在对公民个人信息的“获取”“出售”与“非法提供”这三个行为上的,其要旨在于通过切断信息的流动,间接减少非法利用个人信息的行为对公民造成的困扰。这无疑是一个事半功倍的做法,因为这样的做法减去了对“非法利用”行为定型的必要性,也避免了文义理解差异导致对法律“明确性”的削弱,同时又可以应对不断激增的对于信息的新的利用方式。简单来说,只要切断了信息传播的途径,就相当于设置了防止相关犯罪延烧的防火带,由此可见,我国对于侵犯公民个人信息犯罪的刑事立法方式符合司法功利原则的要求。四、以“非法利用”行为为核心的解释准则如上文所述,应对侵犯公民个人信息的问题,在立法层面上采用“外围规制”的技巧符合功利原则的要求。但是,这并不意味着“非法利用”行为无法纳入刑法的视野进行规制。虽然在刑法文本中没有设置“非法利用公民个人信息罪”这一罪名,但作为侵犯公民个人信息的核心行为,在解释论上应当以“非法利用”作为基准与核心。具体而言,可以分为以下几种情况进行讨论。
第一,如果行为人以窃取、收买或其他方法非法获取公民个人信息之后又加以利用的,应当对非法获取行为适用侵犯公民个人信息罪。在这种情况下,可以直接从信息来源上对行为进行定罪,而不必具体考察“非法利用”的方式以及性质[6]182。
第二,如果行为人非法使用所掌握的公民个人信息实施诈骗、敲诈勒索等其他犯罪行为的,可以单独构成诈骗罪、敲诈勒索罪等其他罪名。后来构成的罪名与侵犯公民个人信息犯罪的关系如何处理,则涉及罪数问题,下文将进行详细分析。但是无论如何,如果行为人后续的利用行为触犯独立罪名,就已经被纳入了刑法犯罪圈的调整范围之内,不会产生处罚漏洞的问题。
第三,值得讨论的情况是,行为人取得公民个人信息的方式从形式上看合法,且在非法利用个人信息的过程中也没有涉及其他犯罪,应当如何处理?这种情况所对应的典型案例就是上文提到的“西电卡门事件”,在本案中,学校搜集学生身份证号、学生家庭地址等个人信息的方式从表面上来看是合法的,为学生办理“中国工商银行牡丹运动圆梦学生卡”的行为在刑法中也不存在专门对应的罪名,在这种情况下,是否就意味着学校的行为无法纳入刑法的范畴进行调整呢?这是下文着重讨论的问题。
(一)“合法”获取,非法利用行为的可罚性分析
非法利用公民个人信息的行为作为侵害公民个人隐私权的核心行为,在法益侵害程度上绝不亚于非法获取或传播的行为,并且正是非法利用行为本身给被害公民造成了直接的困扰。但是,正如上文所述,限于立法技术和司法功利性的考虑,立法者无法将所有的非法利用公民个人信息的行为一一列举到条文当中,只能采取更为经济的手段,对获取行为进行规定。这就表明,解释者需要将“非法利用”的行为“还原”为解释论的重点,在对非法侵犯公民信息罪构成要件的解释当中想办法将此类情况解释到本罪的构成要件当中。
在技术上,实质解释论为这一方案提供了有力的根据。实际上,任何一个用语都可能有两种以上的含义,对任何一个法条都可能作两种以上的解释,如果没有解释方向与目的,就不可能对构成要件作解释[19]。正如白建军教授指出的“坚硬的理论,弹性的规则”[20],刑法条文的解释必须要服务于社会治理需要。在公民个人信息保障不力、被非法利用的行为猖獗的情况下,司法者可以考虑通过对条文语词的解读,将这种情况也纳入“非法获取公民个人信息”的犯罪圈当中,这就需要对“非法”的含义进行深层而非表面的解读。具体来说,可以将“非法获取”中“非法”的含义进行扩张理解。
(二)入罪进路:“非法获取”中“非法”含义扩张
实际上,考察侵犯公民个人信息罪的条文表述不难发现,“非法获取公民个人信息”中的“非法”具有较高的解释弹性,可以结合立法目的进行解读。2017年《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第二条将“出售或者提供公民个人信息”中的“违反国家有关规定”界定为“违反法律、行政法规、部门规章有关公民个人信息保护的规定”,这显然是一种基于形式立场的解释。与之相对,处于法益保护目的的需要, “非法获取公民个人信息”中的“非法”可以进行实质解释形式解释论以陈兴良教授为代表,实质解释论以张明楷教授为代表,两者争论的核心在于形式判断与实质判断之间的位阶问题。(参见张明楷:《实质解释论的再提倡》,《中国法学》2010年第4期,第49-69页;陈兴良:《形式解释论的再宣示》,《中国法学》2010年第4期,第27-48页)。
实际上,如果将“非法”作为“获取”的修饰词来看,由于学校获取学生个人信息的方式完全符合法定的程序和要求,因此上文“西电卡门事件”中的行为就不能被纳入到“非法获取公民个人信息”这一罪名当中加以调整;但是,如果将“非法”当作“以非法利用的目的”来理解,那么即使学校搜集学生个人信息的方式符合相关规定的要求,但只要学校在对信息加以利用的過程中不符合正当的利用方式,就可以推定其在搜集信息的过程中带有“非法利用信息的目的”,对此就可以通过非法获取公民个人信息罪加以处罚。如果将“非法”从原本的客观的、形式的构成要件要素转化为主观的、实质的构成要件要素,并且通过事后非法利用信息的行为对行为人搜集信息时的非法利用意思进行推定,那么就可以打破现有理论框架中形式上“合法”搜集个人信息行为无法定罪的处罚漏洞。
将“非法”理解为“以非法使用为目的”,本质上是一种实质解释,这种解释可以在解释论层面扩大侵犯公民个人信息罪的外延。根据这一解释,只要行为人以非法使用的目的获取了公民信息,不论获取本身是否符合规范,都可以在实质上评价为“非法获取”的行为范式,纳入到侵犯公民个人信息罪的调整范围。这一解释技巧背后的理念在于,以“非法利用”为解释的基点,将“非法”所修辞的对象由“获取”转向“非法利用”,就可以将非法利用公民个人信息的行为纳入到犯罪圈当中进行调整。因此,即使不将“非法利用公民个人信息”这一行为通过立法纳入犯罪圈进行调整,也完全可以通过解释论将这种行为入罪。
(三)非法获取与非法利用的罪数处理
在涉及侵犯公民个人信息的相关罪名上,除了要解决入罪与出罪的关系,还要解决的问题是罪数关系。这一问题的由来在于,如果将“非法获取信息”中的“非法”理解为“以非法使用为目的”,那么可能涉及的问题就是,既然以非法利用信息的目的获取信息已经构成侵犯公民个人信息罪,那么在事后利用行为单独构成犯罪的情况下,是否需要数罪并罚?对于这一问题,可以分为四种情况进行处理。
第一,如果行为人以窃取、收买或其他方法非法获取公民个人信息,之后加以利用,但是没有触犯其他罪名的,直接认定为侵犯公民个人信息罪。因为侵犯公民个人信息罪的结构中已经包含了窃取、收买或其他方法非法获取公民个人信息的行为范式。
第二,如果行为人以窃取、收买或其他方法非法获取公民个人信息,非法使用所掌握公民个人信息,实施诈骗、敲诈勒索等其他犯罪行为的,应当依据诈骗罪、敲诈勒索罪等其他犯罪论处。如上文所述,由于侵犯公民个人信息罪容易涉及其他相关罪名,且在法定刑配置上本来就比较低。因此,基于罪名之间吸收关系的原理,在非法利用行为本身构成其他犯罪的情况下,可以直接根据行为所触犯的诈骗罪、敲诈勒索罪等其他罪名论处在实证调查中,如果行为人同时触犯符合侵犯公民个人信息罪和诈骗罪的要件,最终一般直接以诈骗定罪。。
第三,如果行为人以表面合法的方式采集了公民的个人信息,但是从事后的非法利用行为推定行为人在搜集信息的过程中具有非法利用的目的,那么符合上文经过修正的侵犯公民个人信息罪的构成要件,单独成立侵犯公民个人信息罪。
第四,如果行为人以表面合法的方式采集了公民的个人信息,而事后的利用行为触犯了其他犯罪,例如诈骗罪、敲诈勒索罪等等,可以反推行为人搜集信息时候的非法利用目的,因此也符合侵犯公民个人信息罪的构成要件。在罪数处理上,侵犯公民个人信息罪的手段行为被事后的利用行为所吸收,认定为利用行为触犯的犯罪即可。
总结而言,非法获取行为与非法利用行为之间本身具有手段与目的行为的关系,侵犯的法益要么相同,要么休戚相关。因此,如果行为人同时具有非法获取行为与非法利用的行为,且后者单独构成犯罪,那么获取个人信息的行为被吸收,直接以后面成立的罪名认定犯罪。而如果后面的利用行为不构成其他犯罪,则根据本文采取的修正后的侵犯公民个人信息罪的构成要件,成立侵犯公民个人信息罪,这一处理使得部分获取公民个人信息的处罚漏洞得以填补。
五、反思与结语
侵犯公民个人信息罪在设置上体现了高超的立法技巧,立法者不直接将非法利用公民个人信息的行为规定为犯罪,而是从信息流通的角度入手,对“获取”和“泄露”(包括出售和提供)这两个行为进行了刑事规制,这是一种符合功利性的立法技术,可以在最大限度上降低司法成本。但是另一方面,在解释论层面,“利用”可以作为解释的核心与落脚点,通过对法条中语词的解释可以将单纯利用个人信息的行为纳入到犯罪圈当中加以调整。
“外围规制”的立法技术可以运用于刑法领域内的诸多方面。例如,在考虑将一些与个人私密性物品有关的行为入罪时,可以通过刑法对物品的流通过程进行锁定,将流通行为纳入到犯罪圈调整,因为这样可以在最大限度上节约司法成本,符合司法功利原则的要求。例如,我国《刑法》将制作、贩卖、传播淫秽物品均规定为犯罪,但是不包括持有和观看淫秽物品的行为,因为持有和观看淫秽物品的行为不仅在入罪的合理性上有待商榷,而且在取证上需要付出较高的司法成本。
在司法的过程中,司法公正与司法效率是起决定作用的两大因素,这两大因素决定了立法者与解释者在履行各自职责的时候采用怎样的方式和技巧,这些都值得我们在创设和解释法律条文的时候仔细推敲和反复斟酌,如此才能距离正义更近一步。
参考文献:
[1]劳东燕.风险社会与变动中的刑法理论[J].中外法学,2014(1):70.
[2]周海洋.出售、非法提供公民个人信息罪和非法获取公民个人信息罪的理解与适用[J].中国审判,2010(1):80-82.
[3]王作富.刑法分则实务研究[M]. 5版.北京:中国方正出版社,2013:857.
[4]张明楷.刑法分则的解释原理:上[M].2版. 北京:中国人民大学出版社,2011:3.
[5]车浩.从间接正犯到直接正犯——评《刑法修正案(七)》关于内幕交易罪的修改[J].政法论坛,2009(3):136.
[6]喻海松.侵犯公民个人信息罪司法适用探微[J].中国应用法学,2017(4).
[7]赵秉志,于志刚.毒品犯罪[M]. 北京:中国人民公安大学出版社,2003:85.
[8]王园.吸毒行为应否犯罪化的理性思考[J].云南大学学报(法学版),2014(4).
[9]彭勃.“无被害人犯罪”研究——以刑法谦抑性为视角[J].法商研究,2006(1):51.
[10]冯玉军.法经济学[M]. 北京:中国人民大学出版社,2013:288.
[11]沃德·法恩斯沃斯.高手:解决法律难题的31种思维技巧[M].丁芝华,译.北京:法律出版社,2016:219.
[12]游劝荣.司法成本及其节约与控制[J].福州大学学报(哲学社会科学版),2006(3):72-73.
[13]吴苌弘.个人信息的刑法保护研究[M]. 上海:上海社会科学院出版社,2014:115-116.
[14]王建权.非法使用个人信息的刑事责任问题[J].开封教育学院学报,2017(4):255.
[15]ABRAMS M E.新兴数字经济时代的隐私、安全与经济增长[M]//温珍奎,译.周汉华.个人信息保护前沿问题研究.北京:法律出版社,2006:9-11.
[16]切萨雷·贝卡里亚.论犯罪与刑罚[M].黄风,译.北京:中国大百科全书出版社,1993:6.
[17]周光权.刑法总论[M]. 北京:中国人民大学出版社,2016:35.
[18]赵秉志.刑法修正案最新理解適用[M].北京:中国法制出版社,2009:122.
[19]张明楷.实质解释论的再提倡[J].中国法学,2010(4):49.
[20]白建军.坚硬的理论,弹性的规则——罪刑法定研究[J].北京大学学报(哲学社会科学版),2008(6):29.
Abstract:Crime of infringing on citizens personal information doesnt take the act of using personal information into the crime circle. It instead regulates the act of getting personal information and leaking information illegally. This mode of legislation is called “peripheral regulation”, which focuses on the appropriateness and efficiency of criminal legislation. This legislation mode avoids the finalization of the act of using personal information, but reduces the violation to personal information through blocking information transmission, which conforms to the principle of judicial utility. However, in the process of explanation of crime of infringing on citizens personal information, “using” is the core of the explanation, “illegal” should be comprehended as “with the intend of using illegally”, which takes the act of using information legally into the criminal circle. In addition, we should adapt the principle of incorporate crime to cope with its relationship of crime quantity to other crimes.
Keywords:crime of infringing on citizens personal information; peripheral regulation; substantial explanation
(编辑:刘仲秋)
