[摘要]伴随互联网、大数据等数字技术的广泛应用以及各种数据、信息在社会生活中的价值日渐提升,侵犯公民个人信息的违法犯罪行为也呈趋重和蔓延态势。回应有效治理侵犯公民个人信息违法犯罪现实需要的刑事治理,不仅要关注侵犯公民个人信息犯罪边界模糊、“情节严重”标准把握困难的具体问题,更应重视“技术利维坦”的困境、刑法在个人信息保护体系中的定位不明等深层次的问题。强化侵犯公民个人信息行为的刑事治理,应从破解“技术利维坦”困局、明确刑法在个人信息保护体系中最后法的地位、限缩刑法视域中“公民个人信息”范围、全面理顺“情节严重”的认定标准等方面进行研究,进而为立体化、多元参与的综合治理侵犯公民个人信息违法犯罪行为的体系构建奠定基础。
[关键词]侵犯公民个人信息犯罪;刑事治理;最后法;数字社会
互联网、大数据等数字技术的广泛应用,正在推动中国进入数字社会。由数字社会的特征决定,社会连接方式、生产组织形式以及社会生活方式都深受数字技术的影响,数字社会在带给人们巨大便捷的同时,也衍生了一系列危机和风险,其中个人信息权利被侵犯、被滥用成为严峻的社会问题。因此,如何寻求有效的对策,实现数字社会的健康有序发展与强化个人信息全面保护之间的平衡,成为法学研究和社会治理亟待解决的难题。鉴于以往的研究更多侧重于刑法框架内的保护法益分析、构成要件和罪量要素解读、入罪和出罪的分歧以及完善刑法的建议等内容,本文拟从侵犯公民个人信息犯罪的治理角度切入,尝试在梳理侵犯公民个人信息犯罪现状、分析侵犯公民个人信息犯罪的刑法应对困境的基础上,提出侵犯公民个人信息犯罪刑事治理的一己之见,希望能对数字社会背景下侵犯公民个人信息犯罪的治理有所裨益。
一 数字社会背景下侵犯公民个人信息犯罪的态势描摹
晚近一个时期以来,我国出台了一系列关于个人信息保护的立法,对个人信息犯罪的惩戒力度也不断增强,在一定程度上强化了对公民个人信息的保护,治理侵犯公民个人信息犯罪取得了明显成效。然而,伴随着数字技术的飞速发展,侵犯公民个人信息的违法犯罪也呈现出日益严峻的态势。
(一)犯罪数量的爆炸式增长
伴随我国数字化程度的提高以及数字技术与社会生活深度融合,个人信息的应用价值和商业价值日益明显,由此,各种侵犯公民个人信息的违法犯罪行为亦急剧增长。记得在一次学术会议上,一位做电信网络诈骗研究的报告人现场做即兴调查,问到近一年自己使用的手机是否接到诈骗信息时,几乎在场的参会者都举手表明接到过类似信息,而且绝大多数人表示不止一次接到类似的信息,从中可以窥见个人的身份证号码、电话号码等信息被获取、被滥用普遍存在的情况。
司法实践关于侵犯公民个人信息犯罪的判决也反映出同样的趋势。笔者以把手案例为检索平台,以“侵犯公民个人信息”“侵犯公民个人信息罪”“公民个人信息”为关键词,以2015年至2021年为时间跨度,共检索到相关案例9173起。其中2015年23起、2016年302起、2017年1151起、2018年2018起、2019年2419起、2020年2131起、2021年1129起。上述数据表明,自2015年侵犯公民个人信息罪设立以来,以2019年为分界点,此类案件数量在2015年至2019年逐年上升,至2019年达到峰值;2019年后,案件数量逐年递减。如果充分考虑到因疫情影响法院审判以及平台数据更新可能出现延后等情况,2019年后的实际案件数量可能与统计数据有一定差距。无论如何,从侵犯公民个人信息犯罪的案件整体上看,数量爆炸式增长的趋势明显,公民个人信息被大面积侵犯的情势严峻。可以预测,未来一个时间段之内,我国侵犯公民个人信息犯罪案件数量还会保持相对较高的态势。
(二)犯罪危害的立体式衍化
“数字”高度概括了数字社会最基本的特征,以数字产业化为代表的数字经济、以电子政务为代表的数字政府,以智慧城市和数字乡村为代表的数字惠民等新动态,表明“数字化”已经成为社会生产和生活的基本样态。然而,数字化的实质是海量数据、信息的汇集和挖掘,个体要在高度数字化的社会生存,公民个人信息被获取、被滥用就成为不可避免的现象。社会生活的数字化亦带来了侵犯公民个人信息犯罪危害的立体式衍化。
首先,侵犯公民个人信息犯罪的直接危害愈发明显。数字社会人们的思维和生活不可避免地受到数字逻辑的塑造,信息的快捷流转和大量分享形成了个人信息滥用的弹性空间,而大数据时代的个人信息商业化应用进一步诱使滥用他人信息的现象大量发生。换言之,人们参与社会生活、获得相应服务,不可避免地要提供相关的个人信息,由此,个人信息被获取、被使用带来的信息安全风险也随之而来。在某种意义上说,与社会的联系越深、越广,个人信息安全的风险也会随之扩展。公民个人信息在广告推送、行迹追踪、身份识别等方面的重要价值加剧了公民个人信息被侵犯、被滥用的风险。基于经济利益甚至实施定向犯罪等目的的追逐,非法获取、出售、滥用等各种侵犯公民个人信息犯罪不断滋生和蔓延,进而加剧了侵犯公民个人信息犯罪趋重的态势,严重危及超大规模公民群体的人身安全、财产安全和隐私安全。
其次,侵犯公民个人信息犯罪的间接危害渐次提升。公民个人信息应用的广泛性与潜在的经济性,不仅引发各种直接侵犯公民个人信息的犯罪,还会引发和衍生更多、更广的其他犯罪。相较于以往针对受害者数据以及电子设备使用安全实施的网络犯罪行为,侵犯公民个人信息犯罪中所涵盖的网络犯罪行为更复杂,犯罪目的更加趋于多样化。由于侵犯公民个人信息违法犯罪行为与个人信息及数据资料取得后的财产性利益紧密相关,除技术能力外,行为人还需进一步实施诈骗、恐吓等行为,从而增加了团伙犯罪的可能性以及与其他犯罪行为勾连的可能性。由此,侵犯公民个人信息犯罪在其发生过程中无疑放大了相关犯罪行为的“隐性”危害。侵犯公民个人信息犯罪就像是犯罪的源头,侵犯公民个人信息犯罪发生以后,一些不法分子利用非法获取的公民个人信息实施网络诈骗、窃取信用卡中的钱款、敲诈勒索、打击报复公职人员和证人等犯罪,进而催生和加剧其他犯罪的蔓延。
(三)犯罪行为的技术化发展
公民个人信息潜在的多元价值催生了各种侵犯公民个人信息的犯罪,而公民个人信息量大、面广,涉及内容庞杂,亦为公民个人信息的获取和深度挖掘带来诸多困难和挑战。随着信息技术的不断发展,侵犯公民个人信息犯罪的行为方式亦由最初的房产销售人员、快递寄送员、旅游公司职员等利用职务之便获取公民个人信息、通过非法进入计算机系统盗取公民个人信息以及收买公民个人信息等简单方式向智能化、技术化的方式发展。如利用网络爬虫作为从互联网空间获取数据的手段就是典型代表。“网络爬虫”借助多样技术,通过验证码的自动识别、数据解密、代理IP池、模拟浏览器访问、伪造用户代理、Java Script逆向解析等方式大肆获取个人信息并服务于特定的目的。在公民个人信息的深度挖掘方面,更是与人工智能技术、算法的改进等密切结合,从而使得公民个人信息的可识别性、精准性及应用的有效性明显提升。与此同时,互联网空间的特殊性也强化了侵犯公民个人信息违法犯罪行为的技术性。随着信息技术的发展,侵犯公民个人信息的不法分子也不断利用新兴技术丰富自身,以获得更大的不法利益。可以说,侵犯公民个人信息违法犯罪行为的技术化水平的提升,导致相关违法犯罪活动更隐蔽、更中性,从而为及时发现犯罪进而认定犯罪带来更多困难。
(四)犯罪产业的渐进式形成
鉴于公民个人信息的重要性与多重价值,当下我国在某种程度上已经形成以侵犯公民个人信息这一网络犯罪行为为中心的“黑灰色产业链”。相关犯罪产业的特点可以概括为:“产业模式”逐渐细化与“产业链条”自我分裂。“产业模式”逐渐细化表现为在侵犯公民个人信息犯罪的实施过程中,相关犯罪人员在角色扮演与承担任务中显现出单一性与专业性,在此基础上也诱发了相关产业中“黑产”与“灰产”不再彼此相融,而是边界逐渐明晰甚至构成两个彼此合作的运行部分。鉴于“灰产”在违法性是否存在及其违法性质界定上存在争议,甚至部分“灰产”距离违法的边界甚远,由此产生了司法实践中对于“黑产”的打击无法包含“灰产”的情况。而作为创造利益的“灰产”只要一直存在,其势必会以犯罪利益诱发“黑产”复燃,从而促使相关犯罪趋重。“产业链条”的自我分裂是针对侵犯公民个人信息独立的犯罪链条模式而言。随着数字时代来临,信息技术的学习与应用广泛普及,随之而来的,是具备侵犯公民个人信息能力的危险人群规模不断扩大。当前,侵犯公民个人信息犯罪已显露出产业化倾向,行为人在实施犯罪行为时已不满足于一次犯罪所获得的犯罪收益,而更多着眼于犯罪链条形成后所带来的长期收益,由此引发了行为人对产业模式的探究。这样的犯罪产业模式打造往往具备极强的可复制性,可以说,在以公民个人信息为“犯罪土壤”以及“犯罪素材”的相关犯罪产业中,产业模式一旦形成,则会在不同的“犯罪链条中”迅速地自我分裂。换言之,一条产业链的打通,就意味着一个产业群的出现,甚至本来彼此独立的犯罪团伙也会受产业化效应影响展开合作乃至合并,最终使得一个脱离常规社会秩序的黑暗地带产生。
二 公民个人信息刑法保护的困境
从一定意义上说,公民个人信息刑法保护的困境是由侵犯公民个人信息违法犯罪的特点和态所决定的。数字社会的高速发展在彰显公民个人信息重要性、商业性的同时,也引发了内容庞杂的海量信息的使用和转移,进而加剧了侵犯公民个人信息的风险,并促发侵犯公民个人信息犯罪不断趋重;各种侵犯公民个人信息违法犯罪行为的立体式衍化,编织并延长了以信息技术攻击为主的上游犯罪、以个人信息加工为主的中游犯罪和以个人信息使用为主的下游犯罪相互勾连的黑色产业链,进而引发更复杂、更严重的犯罪问题;犯罪行为的技术化发展则给侵犯公民个人信息违法犯罪的治理带来诸多挑战和难题。特别是信息技术的高速发展以及信息网络的快速普及,使得我国的相关立法一直处于滞后状态,公民个人信息的保护更是如此。所以,当侵犯公民个人信息的违法犯罪呼啸而来时,我国的立法完全处在被动应付的状态。在公民个人信息保护成为我国立法必须回应的迫切而现实的问题时,刑法挺身而出,成为被寄予厚望的治理侵犯公民个人信息违法犯罪的利器。尽管一系列保护公民个人信息的刑事立法的出台与适用,明确了强力保护公民个人信息的立场、提供了公民个人信息受到侵害后的刑法救济方案、取得了打击和震慑侵犯公民个人信息犯罪的显著成效,但由于侵犯公民个人信息犯罪量大面广、手段多样、案情复杂,公民个人信息保护的前置法律滞后以及保护公民个人信息的刑法应激性明显,侵犯公民个人信息犯罪的刑法治理面临诸多挑战,存在不少需要进一步思考和改进的问题。
(一)“技术利维坦”的难题
在信息技术广泛应用、大数据产业迅猛发展的情势下,“技术利维坦”问题也开始引起关注,在“风险社会”、风险意识的助力下,“技术利维坦”更成为我国侵犯公民个人信息犯罪治理中必须重视的问题。应该说,在强化侵犯公民个人信息犯罪治理的同时,必须充分认识“技术利维坦”带来的难题并寻求破解困局的方策。
“利维坦”源自霍布斯《利维坦》一书。“利维坦”本来是《圣经旧约》中讲到的一种怪兽的名字,霍布斯用其指代强力国家政权。此后,“政权利维坦”“算法利维坦”“数据利维坦”等概念被相继提出。梳理既往相关名词内涵的使用和演变历程,可以发现,“利维坦”通常用来指代当一种权力、事物或现象存在着不可控的潜在风险或已经呈现出肆意蔓延的征表时的情境,进而通过这一“上帝创造的恶魔”来突出所研究对象的危害性。由此“技术利维坦”与此前的相关概念保持了一以贯之的同一性。侵犯公民个人信息犯罪治理中的“技术利维坦”难题是指在侵犯公民个人信息犯罪治理语境下,因公民个人信息内涵不清以及司法机关过度搜集所引发的技术无度与无序利用,从而导致的相关犯罪治理陷入“愈治理愈泛滥”的困境。就侵犯公民个人信息罪来说,“技术利维坦”难题涉及诸多层面,其中主要表现为前端数据认定不清与后端司法过度搜集的双重困境。所谓前端数据认定不清,是指当前有关公民个人信息的内涵边界与认定范围模糊不清,很容易衍生“情节严重”这一罪量要素的虚无化与无效化以及“同案不同判”的现象。而后端司法过度搜集,是指司法机关为了相关司法活动的准确性或便利性而开展的公民个人信息搜集行为,会在无意中产生对于公民个人信息过度搜集的实际效果,进而不可避免地存在进一步诱发侵犯公民个人信息犯罪的风险。
侵犯公民个人信息的犯罪是在信息技术不断发展的背景下滋生、蔓延的智能犯罪。智能犯罪的治理,包括刑法治理,自然要引入技术治理的手段。在公民个人信息的性质判断、侵犯个人信息行为的社会危害考察特别是关乎罪量要素是否达到“情节严重”的标准确定上,对相关个人信息的关注和使用是不言而喻的。换句话说,在治理侵犯公民个人信息违法犯罪的过程中,代表国家的有关部门不可避免地收集、使用被害人、犯罪嫌疑人乃至其他个人的信息,从而引发新的、与治理侵犯公民个人信息犯罪相关联的侵犯公民个人信息的违法犯罪行为;在治理侵犯公民个人信息违法犯罪的过程中,人脸识别、行为轨迹追踪等相关技术的使用,也可能造成对相关个人信息的不当干预或过度干预。犯罪查处部门与拥有智能化数据处理技术的单位合作,也隐含着公民个人信息被进一步泄露、使用的风险。可以说,侵犯公民个人信息犯罪刑法治理过程中的“技术利维坦”难题也会在总体上影响侵犯公民个人信息犯罪的处理效果,无视“技术利维坦”的隐忧,不重视侵犯公民个人信息犯罪刑法治理时侵犯公民个人信息行为的防控,无疑会引发更多的侵犯公民个人信息行为的发生。
(二)刑法在个人信息保护体系中的定位不明
数字社会背景下,公民个人信息早已超越了原始的记录功能,而与人身安全、财产安全等重要事项密切相关,由此,信息风险也成为现实中不可忽视的普通风险。面对风险的加剧以及侵害公民个人信息行为的愈演愈烈,国家必须担负起治理风险的责任,作为打击力度最大、治理效果最明显的刑法自然被作为首选的治理手段迅速做出反应。我国治理侵犯公民个人信息违法犯罪行为的实践也表明,刑法一直走在其他法律的前面。这样一种现实也易让社会产生错觉:刑法引领着公民个人信息保护的立法,扮演着保护公民个人信息主导者的角色。
从一般意义上说,刑法是法律规范体系中的一个组成部分,其在保有自身独立性的同时,还必须注意与其他法律实现有机联系的过程中发挥自我控制的谦抑机能。也就是说,刑法在与道德规范、行政法律规范和民事法律规范相互交叉和渗透时,要尽量缩小自己的调整范围,不轻易适用刑罚方法实施强制性的抑制和限制。应该说,在社会矛盾凸显、公民个人信息风险加剧、侵犯公民个人信息行为日益猖獗的情况下,刑法挺身而出是回应社会现实的无奈之举。在相关法律规范逐渐完备的情况下,刑法是否还要站在公民个人信息保护的最前列?尽管理论上关注刑法在个人信息保护法律体系中定位问题的人不多,但对刑法在个人信息保护体系中究竟应扮演什么角色的认识是存在分歧的,刑法在保护公民个人信息方面的实际表现和理论解读也是不一致的。
刑法在个人信息保护体系中的定位不明,一方面直接影响着侵犯公民个人信息罪的立法导向和犯罪圈划定,致使刑法规制的侵犯公民个人信息行为的范围不断扩张;另一方面也会阻滞公民个人信息保护法律体系的设计和建构,其结果自然是从总体上弱化公民个人信息的保护。
(三)刑法关于个人信息保护的边界模糊
第一,个人信息的范围模糊。“公民个人信息”内涵明确,外延清晰,是刑法予其以有效保护的前提。然而,在涉猎广泛、内容繁杂、数量庞大的个人信息中,哪些是属于我国刑法所保护的“公民个人信息”,一直是理论上聚讼不休、实践中认识分歧明显的难题。
2009年,《刑法修正案(七)》增设出售、非法提供公民个人信息罪、非法获取公民个人信息罪时,受制于前置法对公民个人信息规定的空白,公民个人信息只是概括、笼统的表述,其内涵和外延都非常模糊,从而给司法实践中认定和处理相关犯罪带来不少困扰和难题。为了回应打击侵犯公民个人信息犯罪的现实需要,2011年最高人民法院、最高人民检察院联合发布的
《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《信息系统安全解释》)第1条将公民个人身份认证信息纳入刑法的保护范围。2015年,《刑法修正案(九)》将出售、非法提供公民个人信息罪和非法获取公民个人信息罪合二为一,修正为侵犯公民个人信息罪。不少学者认为,这一修改明确了对“公民个人信息”的一般化保护,进而认为其规定在第四章侵犯公民人身权利和民主权利罪中,意味着我国刑法已经赋予“公民个人信息”独立的法律属性,其涵盖范围也有了较大扩展。[7]至此,我国刑法已经将“公民个人信息”作为明确的、独立的保护对象,但“公民个人信息”的内涵和范围仍然处在模糊状态。
2016年,全国人大常委会通过的《网络安全法》第76条对“个人信息”界定为:“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《网络安全法》虽然对“个人信息”的概念做出说明,在基本意义上明确了个人信息的范围和特征,但由于个人信息的数量巨大,内容庞杂,由于“可识别性”本身的不易确定性,“公民个人信息”的理解和认定仍具有相当大的弹性。
2017年6月1日起施行的最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第1条进一步明确了“公民个人信息”的概念,指出其是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。这个定义基本上沿用了《网络安全法》中关于“公民个人信息”规定的内容,并进一步将财产状况、行踪轨迹等内容纳入公民个人信息的范围。应该说,《解释》在进一步强调“公民个人信息”的“可识别性”,进一步明确财产状况、行程轨迹信息亦属于个人信息的同时,也继承了“可识别性”不易识别的难题,刑法保护的个人信息范围模糊的问题仍然没有解决。同时,财产状况信息、行程轨迹信息对信息的“可识别性”又形成新的冲击,刑法保护的“公民个人信息”的进一步扩张也使得刑法保护的公民个人信息的边界越发难以把握。
2021年8月20日,千呼万唤的《中华人民共和国个人信息保护法》(以下简称《信息保护法》)得以颁布。该法第4条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”该法对公民个人信息的界定仍然保留着《网络安全法》中关于“公民个人信息”规定的基本内核,同时去掉了列举性的表述。在《信息保护法》出台之前,一些学者将刑法保护的公民个人信息表述不清、边界不明归咎于缺少前置法的规定,但《个人信息保护法》的出台及其对于公民个人信息的界定,显然没有解决刑法保护的公民个人信息的边界划定问题。
立法上关于公民个人信息界限不清必然引发司法实践中法律适用的乱象,从下述两个相似案件的不同处理结果中可以窥见一斑。案例1:被告人吴某通过购买、收受等方式非法获取公民个人姓名、账户账号、银行卡密码等信息。审判法院认为,这些信息属于公民个人信息中的财产信息,因此,吴某构成侵犯公民个人信息罪。案例2:被告人朱某于网络上收买、非法提供包含户主姓名、账户账号、户主身份证号码、银行卡密码、预留手机号码在内的他人信用卡信息,审判法院认定,朱某构成收买、非法提供信用卡信息罪。在上述两起案件中,被告人吴某与朱某所实施的犯罪行为从手段上来说均是“收买”,在犯罪对象上亦同是公民的信用卡信息,然而面对高度相似甚至可以说是同一的犯罪行为,两起案件的审理法院却做出了罪名截然不同的判决。案例1的审理法院认为,行为人所收买的对象是个人信息,至于户主信息、账户账号、银行卡密码等信息则是“个人信息包裹”中的内容物,因此行为人所直接侵犯的是公民个人信息安全。案例2的审理法院则认为,行为人收买的预留手机号、银行卡密码等已经直接指向信用卡信息,无需再进一步认定为公民个人信息,因此行为人所实施的行为实际上是对信用卡信息的非法提供与搜集。正如刘宪权教授对上述案例进行研究时所述,司法实践中对相关犯罪行为的处理较为混乱,出现了类似行为不同判的情形。事实上,司法实践中法律适用上的混乱,根本原因仍在于当前我国公民个人信息的内涵与边界不清。上述两个案件处理结果的不同,源于审判法院对个人信息理解上的偏差,正是由于两个审理法院对于户主信息、账户账号等信息的上位概念认识不同,导致了不同的罪名适用,并造成“同案不同判”现象的发生。正如一些学者所言:“公民个人信息”在我国的刑法保护从无到有,法律内涵不断被丰富,保护范围不断扩大,但其概念和法益属性始终以一种模糊状态置身于法律和司法解释中。“公民个人信息”是影响犯罪成立与否的基本要素,其本身边界模糊,自然会导致司法实践中对公民个人信息的认定因回应现实的需求而具有较大随意性,进而严重影响刑法对公民个人信息的保护效果。
第二,刑法规制的侵犯公民个人信息的行为边界模糊。现行刑法关于公民个人信息的保护,不仅存在个人信息本身范围模糊的问题,在哪些侵犯公民个人信息的行为需要动用刑法手段调整方面也同样存在边界模糊的问题。前面提及《刑法修正案(七)》规定了出售、非法提供公民个人信息以及非法获取公民个人信息的行为构成犯罪。尽管《刑法修正案(七)》通过“情节严重”的情节要求和行为主体的限制(犯罪主体须为国家机关或者金融、电信、交通、教育、医疗等单位工作人员)试图限制侵犯公民个人信息犯罪的范围,但法条关于侵犯公民个人信息的行为只是用了“获得”“出售”或者“非法提供”的简单表述,这种笼统的表述涵盖面很宽,特别是“获得”“出售”的实际情况复杂多样,实践中难于甄别和把握。
《刑法修正案(九)》在将罪名统合为一个“侵犯公民个人信息罪”的同时,将行为方式基本限定为“出售”或者“提供”,并对“出售”“提供”行为用“违反国家有关规定”加以限缩。但必须注意到的是,《刑法修正案(九)》出台时,国家关于公民个人信息保护的规定极其匮乏,如何解读是否“违反国家有关规定”不可避免地具有较大随意性,加之“出售”“提供”涵盖面更广,由此,刑法应该规制的侵犯公民个人信息的行为边界具有了更大的不确定性。即便是《网络安全法》,特别是《个人信息保护法》的出台为是否“违反国家有关规定”提供了一定的标准,但由于国家规定本身更多是关于公民个人信息保护的原则性规定,具体涉及某一行为是否构成犯罪的判断时,仍然存在较大的分歧。现在理论上关于滥用合法取得的公民个人信息行为是否构成犯罪的热烈讨论就是典型代表。
刑法规制的侵犯公民个人信息行为的边界模糊,实质上折射的是侵犯公民个人信息的行为罪与非罪界分困难。显然,司法实践对侵犯公民个人信息罪认定标准的差异必然影响刑法对侵犯公民个人信息罪的治理效果,进而影响刑法的权威。
(四)“情节严重”把握困难
我国刑法将“情节严重”作为侵犯公民个人信息罪的入罪门槛。如前所述,由于侵犯公民个人信息行为涉猎面广、手段多样、样态复杂,加之个人信息保护的前置法匮乏,侵犯公民个人信息犯罪在司法适用过程中出现很多问题与困难。回应实践的要求,2017年6月1日,最高人民法院、最高人民检察院联合发布的《解释》明确了“公民个人信息”的内容,解读了“违反国家有关规定”的含义,细化了“情节严重”“情节特别严重”的标准。《解释》从信息用途、信息类型、违法所得数额、违法犯罪次数,特别是涉及信息的数量等方面确定了详细的标准。毫无疑问,《解释》对司法实践中侵犯公民个人信息罪的法律适用,起到了重要的指导作用。然而,以信息类型和数量为主的“情节严重”的认定标准却遭遇着“可操作性差”的现实困难。司法实践中,涉案信息数量动辄千万甚至上亿条,而且真伪信息掺杂,给公诉机关举证带来沉重负担。侵犯公民个人信息罪之个人信息显然以真实有效信息为前提,然而在现行刑事举证责任制度下,公诉机关需要“额外”承担海量信息的筛选工作。经初步计算,10亿条信息鉴别真伪需要耗时1年半,花费百万成本。这样的结果显然不利于严厉打击侵犯公民个人信息犯罪势头,也违背了《解释》出台的初衷。从一定意义上来讲,关涉侵害公民个人信息犯罪案件的处理,隐含着“前端数据处理-中端司法认定-末端刑法裁量”的内在关系。而这其中最为关键的,即是前端数据处理与中端司法认定所组成的“上游链条”。可以说,数据处理得出的结论在很大程度上能够直接决定并影响司法认定的结果。当前,海量数据的处理与认定带给司法机关以沉重的举证负担,而海量数据的全部、及时处理在司法实践中完成难度极大,完成可行性极低。有鉴于此,《解释》第11条关于“对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外”的规定就是对该问题予以缓释。值得注意的是,这一规定虽然极大地减轻了司法机关在相关案件中的举证责任,但允许司法机关直接依据查获的公民个人信息数量对案件事实进行推定,引发的问题也是显而易见的。诚如我国学者所言,尽管《解释》的这一规定大大减轻了控方证明责任,并几乎成为司法机关办理侵犯公民个人信息等类型案件的金科玉律,但从实质来看,是将个人信息条数的证明负担转嫁至辩方。而由于辩方很难具备相应的专业技术能力来证明数据不实,更无法进一步提供证据证明海量数据的真实性,其辩解不被法院采纳,结果就是很大程度上造成审理法院定罪的事实依据不充分,审理结果受到质疑。
由此可见,当前我国侵犯公民个人信息犯罪案件审理链条中,“上游链条”的准确性与合理性正在遭遇挑战与危机,这一危机又直接冲击着《解释》关于以侵犯公民个人信息的数量作为“情节严重”标准的合理性。与此同时,推定模式的运用实际上并未将沉重的数据认定工作彻底移除出整个审理链条,也就是说,引入举证责任倒置规则也无法解决这一难题。且不说举证责任倒置规则引入的正当性、合理性都有待论证,即便可以引用举证责任倒置这一规则,问题并没有真正解决。鉴于在司法实践中辩方会在法庭审理过程中提交相应资料用以减少或推翻一定数量的涉案公民个人信息,而此部分信息的提供也就意味着数据处理工作并未真正结束,而仅仅是从“上游链条”转移到了“下游链条”而已。此外,《解释》力图全面、细致地规定“情节严重”的标准,也在一定程度上走向其反面,导致“《解释》的内容越细化、规定的越具体,就会暴露出越多的问题”的窘境。《解释》在第5条分别规定了非法获取、出售或者提供公民个人信息达到“情节严重”的数量标准后,又在该条第(六)项规定了“数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的”情况;在侵犯公民个人信息罪可能涉及的多种犯罪数额中,只将违法所得数额作为考量“情节严重与否”的因素等等。这些规定适用起来也存在很多问题,比如,将危害较小的交易信息折合成高度敏感信息的合理性何在?怎么衡量二者之间的社会危害性达到相当的程度?犯罪数额巨大,而违法所得实际数额较小时刑法如何评价?这些前提无法厘清,《解释》规定得再详细也无法实际操作。种种“情节严重”认定中存在的问题都会影响刑法治理侵犯公民个人信息犯罪的效果,都可能造成执法失衡。
三 强化侵犯公民个人信息行为刑法治理的思考
(一)破解“技术利维坦”困局
运用刑法治理侵犯公民个人信息犯罪隐含侵犯公民个人信息的风险是客观事实,然而这一风险存在的客观性并不意味着我们对此只能默认与接受。我们应该注意到风险的存在,分析风险可能发生的时段和空间,进而寻求有针对性的对策,最大限度地避免、减少侵犯公民个人信息犯罪刑法治理时发生侵犯公民个人信息的行为。笔者认为,破解侵犯公民个人信息犯罪刑法治理时的“技术利维坦”困局,最有效、最可行的方法就是强化监督约束机制,以技术监管约束技术应用。强化监督约束机制的核心是通过制定规则、严格程序、细化监督环节等方式,明确信息数据的调取者、使用者、管理者的责任。比如,在特定案件查处之前,办案人员提交可能侵犯公民个人信息的风险评估报告,对可能和容易发生侵犯公民个人信息行为的环节给予更多关注并提出规避风险的措施;在将收取、统计信息数据工作交由专门单位承办时,建立全过程、可回溯的动态监控机制等,及时发现和处理可能侵犯公民个人信息的问题,力求在将侵犯公民个人信息犯罪刑法治理时侵犯公民个人信息的风险降到最低。同时,案件审理终结后,涉及的相关个人信息也应设计归档、保存或删除制度,尽量减少因治理侵犯公民个人信息违法犯罪行为而引发的侵犯公民个人信息的风险。
(二)明确刑法在个人信息保护体系中最后法的地位
我国刑法学者普遍认为刑法具有补充性。补充性意味着刑法虽然是一个国家维护公共秩序的有力制度,但并非治疗百病的灵丹妙药。基于理性考量,刑法应是“不得已”情形下采取的最后手段,即刑法手段的使用为保护法益所必须,“只有当一般部门法不能充分保护某种合法权益时,才由刑法保护;只有当一般部门法还不足以抑止某种危害行为时,才能适用刑法”。面对迅速滋生和蔓延的侵犯公民个人信息犯罪,刑法回应社会需要,在其他保护公民个人信息的法律还不完备的情况下挺身而出,走在了治理侵犯公民个人信息行为的前头。不过,随着侵犯公民个人信息行为得到一定程度的控制,随着保护公民个人信息法律的陆续出台,刑法“临危受命”的客观情势发生了较大变化,刑法在治理侵犯公民个人信息违法犯罪的法律体系中,应该回到其“最后法”的地位。
当前,我国民法与行政法有关规定中均对个人信息权予以承认,并将其纳入相应保护范围内。再结合刑事立法中侵犯公民个人信息罪的确立,可以说,我国目前法治体系框架下,针对公民个人信息权已初步形成“民法-行政法-刑法”的保护阶梯。然而,体系的建立并非个人信息权保护的终点而是起点。因此,在认清当前我国行政立法、民事立法以及刑事立法对于个人信息权保护的缺陷与漏洞的基础上,进一步梳理、明晰三者的关系与界限就显得极为重要。从民法层面来看,我国《民法总则》关于个人信息保护的规定实为原则性规定,其意味着个人信息权作为一种公民权利正式进入我国法治体系的保护范围内。因此,尽管其在法律适用中并不具备实际操作性,但为公民个人信息保护提供了原则和基础。从行政法层面来看,当前我国行政法对于公民个人信息保护的代表为《网络安全法》。网络安全法的颁布在一定程度上弥补了此前关涉公民个人信息的法律漏洞与不足,尽管其仍存在滥用公民个人信息行为的责任规定缺位等问题,但已经较民法具备更强的操作性,可以在保护公民个人信息的法律体系中发挥更切实的作用。在民法提供公民个人信息保护的一般原则、行政法明确侵犯公民个人信息的责任与处罚的基础上,刑事立法发挥弥补公民个人信息保护的漏洞、严密公民个人信息法律保护体系的职责,由此推进我国以民法为前提、以行政法为手段、以刑法为保障的公民个人信息保护体系。
事实上,刑法在治理侵犯公民个人信息犯罪体系中回到最后法的地位,不仅仅是一种理念的提倡,更应该贯穿到刑法治理侵犯公民个人信息犯罪的实践中。具体而言,在认定侵犯公民个人信息犯罪时,要尽可能控制刑法的打击范围。下一个问题讨论的限缩刑法视域中“公民个人信息”的范围,实际上就是坚持刑法最后法地位的必然选择。限缩刑法视域中“公民个人信息”的范围后,那些没有纳入刑法调控范围的个人信息,交由行政法、民法等法律规范保护,从而形成不同法律部门相互配合、有机衔接的立体保护公民个人信息的法律体系。坚持刑法在治理侵犯公民个人信息犯罪体系中最后法的地位,应该严格依据刑法规定处理侵犯公民个人信息犯罪的案件,不宜对刑法条款做扩张解释。理论上不少学者认为,目前司法实践中合法取得公民个人信息后不当使用、滥用的现象比较突出,有些情况下其社会危害性与非法获取、出售公民个人信息的行为没有太大区别,因而应该将类似行为也纳入刑法规制范畴。也有学者主张,非法使用“已公开的信息”,也应该根据不同情况,将一部分非法使用已公开的公民个人信息的行为纳入刑法调控范围。笔者认为,应该严格依照刑法规定认定和处理侵犯公民个人信息犯罪的案件,对可能扩张刑法适用的情况采取审慎态度。从立法本意考察,非法获取、转移公民个人信息的行为直接侵害公民信息自控权,并使公众对信息安全产生恐惧和怀疑,其危害远大于对合法取得的信息非法使用的情况。因此,对合法取得个人信息后的非法使用行为,应该交由其他法律去规制。至于非法使用已公开的个人信息,即使行为人的行为构成犯罪,但此时法律所保护的法益已经不是公民的信息权,如果非法利用已公开的个人信息的行为超出行政法、民法等法律规范的保护能力,刑法也可以根据非法利用已公开的个人信息的行为手段,按照其他犯罪处理。
(三)限缩刑法视域中“公民个人信息”的范围
笔者注意到,在侵犯公民个人信息罪的理论研讨特别是对刑法视域中“公民个人信息”的理解时,许多学者都非常关注侵犯公民个人信息罪侵害的法益问题或者“公民个人信息”的权利属性问题。但与此同时,相关研究关于侵犯公民个人信息罪侵害的法益理解或者“公民个人信息”的权利属性确定与刑法视域中“公民个人信息”的范围理解之间的关系,关于侵犯公民个人信息罪侵害的法益理解或者“公民个人信息”的权利属性确定与侵犯公民个人信息罪的司法边界如何联系在一起等问题的讨论却着墨不多。不可否认,厘清侵犯公民个人信息罪侵害的法益或者“公民个人信息”的权利属性,对于正确认识“公民个人信息”的内涵,对于合理认识侵犯公民个人信息罪的本质,具有十分重要的意义。但是,对于侵犯公民个人信息罪的司法认定来说,更重要、更实际的问题是刑法视域中“公民个人信息”的范围确定问题。如果不能明确侵犯公民个人信息罪侵害的法益是合理划定刑法视域中“公民个人信息”范围的前提,不能说明侵犯公民个人信息罪侵害的法益怎样以及如何影响着刑法视域中“公民个人信息”范围的确定,就会明显减低相关研究对司法实践中具体认定侵犯公民个人信息罪的指导意义。因此,笔者拟绕过一个阶段以来刑法理论研究的热点,直接聚焦于如何明确侵犯公民个人信息罪中“个人信息”的范围。需要强调,“公民个人信息”“法律保护的公民个人信息”与“刑法保护的公民个人信息”的范围应该是不一致的。前置法关于“公民个人信息”规定的出台和不断完善,只是为侵犯公民个人信息罪行为对象的认识提供了前提和基础,而不能将前置法中“公民个人信息”与侵犯公民个人信息犯罪中的“公民个人信息”等同。也就是说,侵犯公民个人信息犯罪所指向的“公民个人信息”一定符合《个人信息保护法》所规定的“公民个人信息”的特征,并为《个人信息保护法》所规定的“公民个人信息”所涵盖,但《个人信息保护法》所规定的“公民个人信息”未必都属于刑法调控的公民个人信息。
在一定意义上说,由法律的高度概括性以及个人信息本身的复杂性所决定,“公民个人信息”无论如何都难于准确界定其内涵和外延,其边界模糊是没法改变的事实。既然法律不能界定外延清晰、边界明确的“公民个人信息”,理论上也无法划定一个适用于所有案件的“公民个人信息”的抽象概念,那么,刑法对侵犯公民个人信息犯罪的治理不是去钻如何厘清个人信息边界的牛角尖,而是应该寻求如何限缩刑法调控的公民个人信息的范围。笔者认为,衡量某一个人信息是否属于刑法调控的信息,不能离开具体情境。如一个人的电话号码无疑是个人信息,但其是否属于侵犯公民个人信息罪的行为对象,必须结合具体的案件情况。至于在司法实践中如何限缩刑法调控的公民个人信息的范围,可以借鉴《解释》关于“情节严重”解释的考量因素,从信息的类型、数量、用途、非法所得的数额等方面进行综合考虑。而根据案件实际情况进行综合考虑的过程,实际上就是对特定“公民个人信息”是否属于刑法调控的个人信息筛选的过程,就是在一般意义“公民个人信息”理解的基础上对刑法调控的个人信息范围限缩的过程。
(四)全面理顺“情节严重”的认定标准
总体来看,《解释》关于“情节严重”的解释全面、细致,尽管存在一定的瑕疵,其在刑法治理侵犯公民个人信息违法犯罪的实践中发挥了无可替代的作用则是不言而喻的。不过,《解释》是在2017年6月1日前置法匮乏的情况下生效的,距今已经五个年头。目前,《个人信息保护法》已经于2021年出台,侵犯公民个人信息违法犯罪也呈现出许多新的情况和问题。加之五年多法律适用的实践总结以及理论上相关问题的研讨,都为《解释》的全面梳理与完善提供了现实基础。对《解释》进行全面梳理应注意以下几个问题:
首先,应注意其与前置法的相关内容协调一致。在有关侵犯公民个人信息犯罪的前置法不断完备的情况下,司法解释当然要以相关法律规定为依据,而不能超越前置法的规定做扩张解释。对《解释》进行全面梳理,解释的重心还是在“情节严重”的认定标准上。笔者认为,“情节严重”应坚持“数额+情节”的解释模式,在全面考虑影响侵犯公民个人信息行为的危害程度的因素的同时,有些因素的规定要模糊化处理。比如对前文提到的侵犯公民个人信息的数量计算、同时侵犯不同类型信息的数量计算、犯罪数额和违法所得数额的兼顾等,做出原则性解释就可以,从而留有一定的弹性空间,方便司法人员在面对复杂多变的侵犯公民个人信息犯罪时,根据客观情势的发展和特定时期刑事政策调整,做出合理的判断。具体而言,在司法实践中认定“情节严重”,首先要寻求海量数据的妥善处理之策。如前所述,目前侵犯公民个人信息犯罪频发,依赖技术的瞬息迭代并不现实。举证责任倒置虽然将沉重的举证负担进行了转移,却会面对“无法可依”“操作困难”的尴尬境地。笔者认为,应从现实出发,遵循“由有效回应至全面治理”的演进路线去探寻解决海量数据问题的路径。当下对于此问题的有效回应仍需依赖于司法实践中的司法工作者本身。具体来说:其一,针对此类案件,在相关司法工作人员的选择上应首先考虑其相关教育背景与工作经历,优先派遣对于侵犯公民个人信息犯罪案件具有丰富办案经验或深度理论研究的司法工作人员。其二,各法院应对于具体司法实践中的相关经验进行总结,结合本地区的客观实际形成一套行之有效的数据认定标准,即在无法完全处理涉案数据的前提下,能否通过比例选取与抽样认定的方式实现大数据的“切片式”认定。其三,尤其要注意在相关案件的数据认定过程中设立必要的监督、审监人员,务必通过流程设置的方式将可能存在于数据处理中的人为因素消弭,从而杜绝其对后续司法适用可能造成的恶劣影响。而从长远来看,对于此问题的根本解决仍需且一定程度上来说只能通过相关智能信息技术的发展。事实上,无论对于数据的抽样设计如何合理,“切片式”取样如何精准,均无法实现对人为因素及误差的全面剔除。而若能将人工智能领域的相关技术引入海量数据的处理,则情况会发生根本性的改善甚至是解决。
其次,要注意不同类别信息的相互转化问题。解决此问题的关键在于如何进行不同类别信息间的价值判断。对于直接关涉财产性利益的信息,如不动产、银行卡信息等可以依据其所涉及的财产数额进行累加或转化。对于涉及多类型的侵犯公民个人信息犯罪案件,盲目转化或累加无益于相关案件的公正审判,应通过对所涉数据进行分类处理、集中呈现的方式对行为人的犯罪情节进行全面展现,在此基础上给予法官一定程度的自由裁量权,以此实现不同类别信息的价值累计与叠加判断。
需要指出的是,侵犯公民个人信息犯罪的刑法治理,只是社会治理侵犯公民个人信息违法犯罪行为的一部分。要实现对公民个人信息全面、有效、长久的保护,需要从整体治理的逻辑出发,统合政治、经济、文化、法律等多重因素,构建层次丰富、手段多样的立体化的侵犯公民个人信息违法犯罪多元共治的体系。在构建治理侵犯公民个人信息违法犯罪的多元共治体系时,应明确以下几点:第一,坚持刑法作为保障法、最后法的地位,审慎地衡量用刑事手段阻止侵犯公民个人信息风险的扩张与达成这一目的可能面临的风险之间的对比关系,保持适当、合理的比例。换言之,侵犯公民个人信息违法犯罪的刑事治理在发挥其积极作用的同时,必须与行政的、经济的等社会治理手段保持界限。这要求刑法在回应社会对侵犯公民个人信息违法犯罪行为重大关切的过程中,必须从刑法的最后法地位出发,注意回应内容的选择性。第二,要特别注意破解刑事治理与社会治理发展不均衡的难题,通过及时发现和解决社会问题、减少侵犯公民个人信息行为的诱发因素等举措,提升社会治理的效益,并特别关注道德等社会公共准则、行政法、民法等治理手段在治理侵犯公民个人信息违法犯罪行为中的作用。比如,在信息、网络高度发达的数字社会背景下,应大力加强网络道德和网络文化建设,引导公民树立信息权利意识,审慎、合理、自由地处置个人信息;应强化政府关于网络平台和信息市场的规制,明确国家有关部门信息调取权能的法治边界,明确政府部门、网络平台在造成个人信息泄露、滥用时的法律责任;完善公民个人信息受到侵害时的民事救济措施;在社会道德和社会公共生活准则、行政法、民法都不能有效治理侵犯公民个人信息行为而必须动用刑事手段惩罚侵犯公民个人信息犯罪时,刑法则毫不犹豫地出手。第三,必须注意刑法与行政法、民法的协调与衔接。比如,对违法收集、使用个人信息的行为,行政法、民法都有相关的处理规定,尽管规定得较为原则和笼统,但触犯相关的法律规范后,行政法、民法和刑法都可以根据情况作出相应的处理。然而,对于合法取得公民个人信息后违规、违法使用的情形,行政法、民法都缺少有效的规定,从而造成法律规制的漏洞。漏洞的存在不仅造成公民个人信息保护不力,还会给刑事治理带来较大的困扰。可见,应该统筹行政法、民法、刑法关于公民个人信息保护的规定,形成公民个人信息保护的各个法律部门相互协调、相互衔接的有机体系,真正实现对侵犯公民个人信息行为的综合治理。