本文是一篇刑法论文研究,笔者认为法律本身就有其滞后性,尤其是面对技术发展的惊人速度,更显得步履蹒跚。另外,个人信息的保护与开发是一对永恒的矛盾命题,刑法不得不在其中不断地寻找、修正价值平衡点,比如已有学者进行网络爬虫等道德中立行为的违法性探讨。①这两个问题都提醒着我们一是要有预见性地思考个人信息保护的问题,比如在《个人信息保护法》(草案)中规定被遗忘权这种新兴权利。本文也探讨了去识别化信息等未来终将面对的问题。第二个需要我们注意的就是对个人信息保护的动态性思考,法律必须密切关注现实技术的发展从而做出合理的调整,关注个人信息保护的讨论将会不断地被修正甚至推翻。笔者也将在未来持续性关注个人信息刑法保护的问题。
第一章 我国个人信息刑法保护的立法沿革
一、《刑法修正案》(七)首次规定 845306
互联网发展带动大量信息、数据传播的同时,也带来了个人信息被随意滥用、不正当收集、恶意泄露等问题,甚至影响到了公民的人身、财产安全。因此,在2009 年出台的《刑法修正案》(七)首次对个人信息非法行为做出了回应,对国家机关与其他一些接触大量个人信息的机构,如金融、医疗单位,及其工作人员出售、非法提供个人信息的行为和非法获取个人信息的行为进行了规制。
在《刑法修正案》(九)之后,侵犯公民个人信息罪引起广泛关注,2017 年,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)出台,对侵犯公民个人信息罪的各个要素进行了细化规定,对司法实践起到了有力的指导作用,也成为学界解读各个构成要件的重要资料。比如《解释》第一条对法条中的“公民个人信息”以识别性定义加举例的方式进行了界定;对犯罪的行为方式进行细化;最重要的是,《解释》对本罪的“情节严重”和“情节特别严重”规定了详细的情形,把模糊的价值判断用具体的规范落到实处。但是同时也引发了学界大量的讨论,下文的写作也将大量涉及到对《解释》的分析。
........................
二、相关指导文件的出台
《刑法修正案》(七)虽然规定了侵犯公民个人信息罪,但也在司法实践上遇到很多问题。2013 年最高院、最高检和公安部联合发布《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称《通知》),针对倒卖个人信息日益泛滥,电信诈骗、绑架敲诈、非法讨债等犯罪呈现井喷之势的严峻形势,对司法实践提出了政策指导,虽然文件是通知的形式,但也回答了一些罪名适用的具体问题,比如《通知》明确了出售、非法提供的犯罪主体包括商业、房地产业等服务业中其他企事业单位的工作人员,对司法实践中的一些困惑做了回应;还界定了公民个人信息包括能可识别信息及隐私信息,前者如姓名、有效证件号码、履历等,后者如婚姻状况、学历等。
2016 年出台的《网络安全法》,比较全面系统地规定了网络安全各个方面的问题。在第四章网络信息安全中,第四十四条规定了窃取或者其他非法获取、非法出售或非法提供个人信息的禁止行为。第四十五条规定对负有网络安全监督管理职责的部门及其工作人员提出了义务,要求其对业务行为中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法提供。这些规定也为《刑法修正案》(九)关于侵犯个人信息犯罪提供了重要参考,同时第四十五条还与《刑法修正案》(九)新增的拒不履行信息网络安全管理义务罪有关,为学界的相关讨论提供了法律资料。
....................
第二章 个人信息概述
一、个人信息的界定
(一)个人信息的定义
个人信息与我们息息相关,从字面上拆解,就是“个人”与“信息”的组合,“个人”指的是独立的自然人,排除法人和国家,也决定了个人信息与个人所知道的国家秘密、商业秘密等不同。而“信息”就意味着非实体性,是消息、数据、文字、图像等所包含的内容。日常生活中,我们对个人信息都有大致的认识,比如人们可以说出姓名、身份证号等个人信息,但若要给“个人信息”的内涵与外延进行准确界定,却不是一件易事,人们对个人信息的本质有大量不同的看法,其内涵难以达成一致。而个人信息的外延,也在不断扩张,不断突破预设的范围,从最典型的、可以直接识别主体的姓名、身份证号等信息,到现在的行动轨迹等,个人信息似乎能够包容万物,每个自然人的每一处痕迹似乎都能成为个人信息。为了明确个人信息的内容,学界和立法层面一直在进行着不断的探索。
目前,学界的主流观点是识别性,顾名思义,就是能够直接或者间接地根据个人信息识别特定个人的信息。它旨在建立“信息”与“个人”之间的强度联系,通过信息能够筛选或者匹配到特定主体,有定位功能。
而立法实践中也有大量对个人信息的界定模式。2012 年《决定》中第一条规定对“能够识别个人身份的”和“涉及个人隐私的”两种电子信息提供保护,是一种识别性与隐私性混合的模式。到了 2013 年的《电信和互联网用户个人信息保护规定》(以下简称《电信和互联网规定》)中,个人信息也有两种,一是姓名等能够单独或者与其他信息结合识别用户的信息,这就引入了个人信息中的识别性概念,另一种是用户使用服务的时间、地点等信息,①这是一种动态个人信息,规定在此处是一种提醒规范,应当归属于间接可识别性信息。同样在 2013 年,《通知》将个人信息定义为“能够识别公民个人身份”的个人信息和“涉及公民个人隐私的信息、数据资料”,将识别性信息与隐私信息并举,与上述的《决定》类似。②2016 年出台的《网络安全法》,同样采用了与《电信和互联网规定》中相同的识别性做法,保护直接与间接可识别性信息,并且以列举的方式指明了一些生活中的个人信息:如姓名等基本信息、还列举了生物识别信息。①2017 年《解释》专门针对修改后的侵犯公民个人信息罪,对公民个人信息用直接识别性和间接识别性进行了定义,也进行了列举,其中的行踪轨迹是其他法律文件中不常见的类型,《解释》根据司法实践中遇到的问题对此进行了明确规定,《解释》中的界定也是当前刑法对个人信息的权威观点。
....................
二、个人信息的权利属性
(一)个人信息权利属性的学说
立法上对个人信息的内涵外延给出了明确的规定,但这在学界依然是不够的,因为进入法律规范的保护,必须要发掘其中承载的权利属性,最新的《民法总则》第一百一十一条明确规定:“自然人的个人信息受法律保护”,依然停留在“个人信息”,没有前进到“权利”的规定,民法学界展开了个人信息权利的大量讨论。在刑法上也是如此,个人信息的权利属性同样是讨论的热点。
在学界,关于个人信息权利属性的观点主要有以下几种:
1.隐私权说
个人信息与隐私的纠缠由来已久,上文中我国关于个人信息保护的立法也显示出立法者常常将个人信息置于隐私信息之中或者将个人信息与隐私并列进行保护。早期的一些学者对于个人信息,并不承认其中存在独立的权利,而是利用对隐私权的解释,将个人信息纳入隐私权的保护范围内。在一些域外立法中,也有这样的例子,如日本的《个人信息保护法案》就是将个人信息资料作为个人隐私的部分。①但随着信息社会发展,个人信息越来越难以被隐私所包含,所以现在这种观点已经逐渐变少。
2.人格权说
有学者认为个人信息的权利属性是人格权,个人信息上存在着独立的“个人信息权”。代表性的比如民法学界的王利明教授。法律保护个人信息的目的是维护人格尊严和人格平等,由法律确认每个人对自己的个人信息享有平等、自主支配的权利,所以是一种人格权。王利明教授进一步认为,个人信息权独具内涵,可以单独成为一种具体人格权。权利内容主要包括信息主体的知情权和决定权,知情权是针对信息被收集、利用的情况,决定权是针对信息主体自我利用或者授权他人利用。①2017 年的《个人信息保护法》(草案)也是这一模式,其中第十一条规定了个人信息权的具体内容,包括信息决定、保密、查询等,信息主体对自己的个人信息享有支配、控制并排除他人侵害的权利。这一规定与具体人格权说有相同的韵味。
.............................
第三章 侵犯公民个人信息罪的法益.....................13
一、个人法益与集体法益之争.......................... 13
二、个人法益的否认....................... 15
三、集体法益的证成............................ 16
第四章 侵犯公民个人信息罪构成要件的展开 .........................22
一、个人信息范围的再审视.......................... 22
(一)个人信息分类的实践与学说 ......................... 22
(二)个人信息类型化探索.......................... 23
第四章 侵犯公民个人信息罪构成要件的展开
一、个人信息范围的再审视
在本文第一章,个人信息的界定中提到目前个人信息“识别性”定义法带来的困境,即个人信息随着信息技术手段的发展和信息的汇集,个人信息的范围将会不断突破,甚至失去“识别”的意义。为了避免这种情况的发生,并且经过上文对法益的讨论,笔者认为在刑法中,应当发挥法益的构成要件解释作用,对刑法中的个人信息分类进行再次审视。
刑法具有谦抑性,刑法中的个人信息范围要谨防扩张,导致限制数据产业自由发展,但刑法如果仅包含直接可识别信息显然过于狭窄,那么我们要做的就是重新建立个人信息的分类法则,或者进一步对间接可识别信息进行细分,选择其中足以值得刑法规制的内容。
(一)个人信息分类的实践与学说
在司法解释中,立法者已经在着手这种更进一步的分类方式,在第五条可以看出良苦用心,立法者运用本罪的入罪条件“情节严重”,对个人信息进行了分类处理,第一类是行踪轨迹、通信的具
