《個人信息保護法》背景下侵犯公民個人信息罪的規(guī)范重構

徐博強,陳玉倫

(1吉林財經(jīng)大學，吉林 長春 130107；2長春市軌道交通集團有限公司，吉林 長春 130000)

我國首部關于個人信息保護的綜合性立法——《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)，于2021年11月1日頒布實施。該法明確了個人信息保護的相關規(guī)則以及各有關主體的權利義務，妥善處理個人信息權利的民法保護和行政監(jiān)管兩大核心內(nèi)容；既立足我國現(xiàn)實，吸收了《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《民法》《刑法》等部門法的立法實踐，又兼采域外先進經(jīng)驗，與國際接軌。[1]至此，貫穿民法、行政法與刑法等多個部門法的個人信息保護法律體系已構建完畢。《個人信息保護法》在這一體系中處于核心地位，理清它與其他部門法的關系就成為當下亟待解決的重要問題。本文著眼于《個人信息保護法》與《刑法》的規(guī)范銜接，從法秩序統(tǒng)一原則出發(fā)，對侵犯公民個人信息罪的相關內(nèi)容予以重構，以期對司法實踐有所助益。

一、個人信息的刑法保護歷程

2003年，我國相關部門開啟對《個人信息保護法》的起草工作。但由于一系列復雜的原因，《個人信息保護法》遲遲未能出臺，反而在刑事法領域率先開啟了個人信息的保護進程。

2009年《刑法修正案(七)》增設了出售、非法提供公民個人信息罪與非法獲取公民個人信息罪，這是我國刑法中首次設立與個人信息直接相關的罪名。自此，個人信息成為獨立的刑法保護對象，此舉具有開創(chuàng)意義。而此時民事法律尚未對個人信息進行獨立的保護，僅將其納入隱私權保護的范疇。上述兩罪名規(guī)制的主體范圍與行為方式范圍均較窄，保護力度有限，在治理侵犯公民個人信息犯罪的現(xiàn)實需求面前顯得捉襟見肘。面對洶涌而來的犯罪浪潮，立法者加快了立法完善的步伐。[2]

2015年《刑法修正案(九)》將上述兩個罪名合并為侵犯公民個人信息罪，將主體擴展為一般主體；明確了“違反國家有關規(guī)定”作為本罪的前置性規(guī)定；擴充了本罪的行為方式；提高了法定刑幅度。此項規(guī)定擴張了刑事法網(wǎng)，加大了對侵犯公民個人犯罪行為的懲治力度，回應了社會關切?！缎谭ㄐ拚?九)》施行兩年之后，有關個人信息法律保護的其他部門法律規(guī)范才陸續(xù)出臺：2017年6月1日起施行的《網(wǎng)絡安全法》，明確了網(wǎng)絡運營商對個人信息維護的職責；2017年7月1日起施行的《民法總則》，規(guī)定“自然人的個人信息受法律保護”；2021年1月1日起施行的《民法典》，在“人格權”編中確立了個人信息權；2021年9月1日起施行的《數(shù)據(jù)安全法》，進一步強化了個人信息的法律保護。2021年11月1日起施行的《個人信息保護法》，賦予信息主體對個人信息的控制權，增加了處理者的義務，賦予國家有關部門信息監(jiān)管的職權。該法既為公民的個人信息權益提供了充分的保障，又為信息處理行為提供了全面的指引。

通過上述梳理可以發(fā)現(xiàn)，我國關于個人信息保護的立法實踐體現(xiàn)出“先刑后民”的特點。事實上，這種立法模式僅是為了應對嚴峻的侵害公民個人信息的犯罪態(tài)勢而采取的無奈之舉。

二、侵犯公民個人信息罪與《個人信息保護法》的銜接問題

《刑法》第二百五十三條中的侵犯公民個人信息罪是個人信息刑法保護的主要法律依據(jù)，而本罪是法定犯，“違反國家有關規(guī)定”是前提條件?！秱€人信息保護法》作為個人信息保護體系中的核心，其頒布與實施必然引發(fā)法律體系內(nèi)部各部門法的銜接問題。

(一)民事權利與刑法法益的銜接問題

侵犯公民個人信息罪保護法益的內(nèi)涵，是有關本罪的諸多爭議中的一大熱點。圍繞這一問題，目前學界提出的學說大體可分為私法益、公法益和復合法益三類，具體觀點則多達十余種。這種狀況的出現(xiàn)歸根結底是由民事法律基礎的缺失造成的。對于一項新興權利，理應先由民事法律確認其權利屬性、權利內(nèi)容與保護邊界，構建、塑造新的秩序類型；而刑法作為最后法、保障法，其本身并不創(chuàng)造新的權利與新的社會秩序，只是對民法、行政法等前置性法律規(guī)范所確立的權利與秩序的再次確認。前置法律制度與理論基礎供給不足而刑法先行，會導致刑法中的罪刑設置缺乏宏觀思考，缺乏個人信息保護的底層邏輯支撐。[3]在《民法典》《個人信息保護法》等前置法律逐步完善的同時，侵犯公民個人信息罪勢必要進行相應調整。

(二)基礎概念的銜接問題

對“個人信息”這一基礎性概念的統(tǒng)一界定，是兩法銜接的關鍵問題。刑法典中并未明確界定“個人信息”的概念。2017年，最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息案件若干問題的解釋》(以下簡稱《解釋》)將個人信息定義為“以電子或其他方式記載的能夠單獨或與其他信息結合識別特定自然人身份或者反映特定自然人情況的各種信息”，其核心在于可識別性與關聯(lián)性?！秱€人信息保護法》第4條將個人信息定義為“以電子或其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名處理的信息”。可見，二者不僅表述有所差異，概念涵蓋的范圍與側重點也不盡相同。

此外，《個人信息保護法》與《解釋》對個人信息都采取了分類保護的方式，但分類方法存在差異?！秱€人信息保護法》將個人信息區(qū)分為一般個人信息與個人敏感信息兩類，并在本法第二十八條采取“概括+列舉”的方式對個人敏感信息予以界定。而《解釋》中的劃分標準并不明確，不同類別信息之間存在交叉與重合。因此，刑法中的罪刑規(guī)定應與《個人信息保護法》中的個人信息分類密切配合，以破解兩法銜接的困局。

(三)違法處理個人行為方式的銜接問題

《刑法》第二百五十三條確定的侵犯公民個人信息罪的行為方式包括非法獲取與提供兩種，而《個人信息保護法》第四條第二款所列的個人信息處理包括收集、存儲、使用、傳輸、提供、公開、刪除等?！督忉尅返谌龡l、第四條明確了“非法”與“提供”可以涵蓋“公開”與“收集”。但是，“存儲”是否可以評價為“獲取”，“傳輸”是否能夠評價為“提供”，還需進一步解釋。

從《個人信息保護法》所列的個人信息處理行為來看，該法致力于個人信息的生命周期保護。而從侵犯公民個人信息罪的行為方式——非法獲取、提供來看，本罪僅側重打擊個人信息的非法流轉，對公民個人信息的保護并不周延。[4]與單純的不法流轉相比，合法獲取個人信息后續(xù)的信息濫用行為才具有更大的社會危害性。如利用人臉、聲音等生物識別信息，通過深度偽造技術合成虛假的視頻、音頻，不僅嚴重侵犯個人的肖像權、名譽權等人格權，甚至可能危及人身安全。

非法濫用個人信息行為刑法規(guī)制的缺位，導致司法實踐中的一系列困惑與爭議。在作為前置法的《個人信息保護法》已經(jīng)作出詳盡規(guī)定的情況下，刑事立法也應適時調整。

三、侵犯公民個人信息罪的規(guī)范構建

《民法典》《個人信息保護法》等前置性法律頒布之后，刑法的歷史使命已經(jīng)完成，理應恪守其謙抑性的基本立場，主動迎合前置規(guī)范，以調整與之相沖突的內(nèi)容，發(fā)揮其后位保障作用。同時，根據(jù)法秩序統(tǒng)一原則，刑事立法與司法解釋在基本原則、價值目標、條文規(guī)范上均應與前置法律保持體系統(tǒng)一、秩序統(tǒng)一，以實現(xiàn)民、行、刑協(xié)同共治，更好地保護公民個人信息，維護國家數(shù)據(jù)安全，促進數(shù)據(jù)合理流動。

(一)保護法益的銜接

個人信息具有多元屬性，既事關信息主體的人身、財產(chǎn)、人格利益，又關乎國家數(shù)據(jù)安全、公共事業(yè)發(fā)展，承載重大公共利益。有學者據(jù)此提出侵犯公民個人信息罪的法益為公共利益、超個人法益等。要準確界定侵犯公民個人信息罪的保護法益，當然要將《民法典》《個人信息保護法》等前置法律中的相關規(guī)定以及相關民法理論作為首要考量因素。

從《民法典》第一千零三十七條之規(guī)定來看，個人信息權的權能包括查閱、復制、提出異議、更正、刪除等，其核心在于信息主體對其信息的控制與決定。《個人信息保護法》中的相應內(nèi)容與《民法典》之規(guī)定相一致且更為細化，明確了信息主體對其信息具有知情、決定、保密、查閱、復制、可攜帶、刪除、補充、更正等權能。二者均以個人權益為視角，強調公民人格權益的保護?！秱€人信息保護法》確認了信息主體的知情同意為判定信息處理行為正當性與否的關鍵性條件。縱觀該法的全部條文，以“個人同意”為前提條件的規(guī)則有30處之多，實質上是對信息主體自我決定權的確認與維護。而個人信息的刑法保護也應在此基礎上展開，將侵犯公民個人信息罪的保護法益界定為個人的信息自決權。

在對個人信息的刑法保護中追求個人利益與公共利益的平衡，而侵犯公民個人信息罪的保護法益是個人法益，這二者并不矛盾。個人信息承載著個人的人格與財產(chǎn)利益，也涉及公共利益與國家安全，無法采用單一模式的保護。事實上，人類的社會屬性決定了個人信息具有公共利益屬性，只要個體處于社會交往之中，其個人信息勢必會被統(tǒng)一收集、利用以加強社會聯(lián)系。近年來侵犯個人信息的刑事案件無不涉及海量個人信息，造成的損害都是群體性的，且往往并不關聯(lián)到具體被害人。這更加印證了當今個人信息的刑法保護必須實現(xiàn)個人屬性與公共屬性的平衡。[5]

(二)個人信息概念的部門法統(tǒng)一

《解釋》與《個人信息保護法》在個人信息定義上的差異主要有兩方面。從個人信息的核心特征來看，《解釋》認為個人信息包括“能夠反映自然人活動情況的各種信息”，其核心在于能單獨識別或者與其他信息結合識別，識別對象為“自然人身份”。而《個人信息保護法》所界定的個人信息的特點僅指向“可識別性”，識別對象為“自然人”。

不同的部門法規(guī)制的側重點不同，且二者對個人信息的范圍與內(nèi)容的界定在本質上具有同一性。那么，這種差異是否不足為怪，可以忽略不計？在筆者看來，仍然有必要調整《解釋》中有關個人信息的概念表述，使之與《個人信息保護法》保持一致。首先，通過比對可以發(fā)現(xiàn)，《解釋》對個人信息的范圍界定已經(jīng)超出了《個人信息保護法》。從刑法與其他部門法的關系來看，刑法僅將嚴重違反前置性法律規(guī)范的一小部分行為規(guī)定為犯罪予以懲治。因而刑法中劃定的犯罪圈應當小于前置法限定的違法行為范疇。如果是相反的，就會出現(xiàn)民事、行政合法而刑事違法的尷尬局面。其次，從法益屬性來說，《解釋》將賬號密碼、聯(lián)系方式等與自然人相關聯(lián)的數(shù)據(jù)也界定為個人信息，納入侵犯公民個人信息罪的保護框架。這顯然將個人數(shù)據(jù)與個人信息相混同，是先刑后民、前置法缺位導致的后果。目前，我國已通過《網(wǎng)絡安全法》《數(shù)據(jù)安全法》以及《個人信息保護法》建立起數(shù)據(jù)與信息的二元保護模式。據(jù)此，刑法也應將兩種法益相區(qū)分，將個人數(shù)據(jù)從侵犯公民個人信息罪中的“個人信息”剝離出去。綜上，有必要對公民個人信息的概念進行限縮性解釋。[6]

對個人信息的分類方面，《解釋》存在一定的不合理之處。例如疫情防控期間各地普遍使用的“健康碼”，就是一種囊括個人身份、健康狀況、行蹤軌跡等多種類別的高度集成化個人信息。對這種融合度較高的個人信息，依據(jù)《解釋》很難實現(xiàn)對其精準歸類認定，容易產(chǎn)生分歧。對人臉、指紋、虹膜等生物識別信息，《解釋》則沒有明確分類標準，無法實現(xiàn)對其更高層級的保護。而《個人信息保護法》將個人信息分為一般個人信息與個人敏感信息的劃分方法，比較科學合理，且歸納性強，應被《解釋》采納。如此既能實現(xiàn)刑法與前置法的流暢銜接，也能在刑法層面對不同類型信息實現(xiàn)不同力度的保護。

(三)行為方式的調整

自個人信息被納入刑法保護對象以來，在行為方式上始終側重于懲治個人信息的非法流轉。但在大數(shù)據(jù)與人工智能時代，此種立法觀念顯然已經(jīng)無法滿足公民個人信息安全的保護需求。信息獲取與提供的最終目的在于使用。刑法僅僅規(guī)制非法獲取、非法提供這些流轉行為，實際上是一種預防性規(guī)制，很難觸及個人信息的使用范疇，進而難以從根本上發(fā)揮個人信息的法益保護作用。[7]在《個人信息保護法》《民法典》已經(jīng)確定個人信息的全周期保護的原則之下，刑事立法觀念也應及時轉變，對個人信息保護的側重點由流轉控制轉向信息的使用規(guī)制。具體而言，可以從以下兩個方面進行考量。

一是增設行為類型，將“非法使用”行為入刑，以實現(xiàn)與《民法典》《個人信息保護法》《網(wǎng)絡安全法》的協(xié)調一致、有效銜接。首先，“非法使用”應限于“合法獲取、非法濫用”。行為人如果在非法獲取個人信息后又非法使用，則非法獲取的行為可以包容評價后續(xù)的“非法使用”；正如盜竊他人財物后又私藏、銷贓的行為，前者可以包容評價后者。[8]因此，對非法使用行為的規(guī)制應限于“合法獲取、非法使用”。在罪狀設置上，第二百五十三條之一第二款為本罪從重情形，即“行為人將其在履行職責過程中合法獲取的信息提供給他人”。這實質上與“非法濫用”行為有一定的重合之處。考慮到刑法條文之間的體系性，可將非法濫用行為歸入本款，表述為：“將合法獲取的公民個人信息非法使用的，在履行職責、提供服務的過程中將獲得的公民個人信息出售或者提供給他人的，依照前款規(guī)定從重處罰?！?/p>

二是細化“情節(jié)嚴重”的入罪標準及法定刑升格標準。本罪為情節(jié)犯，“情節(jié)嚴重”為入罪標準，“情節(jié)特別嚴重”為法定刑升格標準。《解釋》第五條、第六條分別將非法獲取和出售及非法提供個人信息的“情節(jié)嚴重”細化為十項情形，包括個人信息的類型、數(shù)量、違法所得數(shù)額等；“情節(jié)特別嚴重”則包括數(shù)量、數(shù)額、造成重大經(jīng)濟損失、造成惡劣社會影響等。對此，非法濫用個人信息行為可沿用上述入罪標準，與“非法獲取”與“出售及非法提供”行為保持統(tǒng)一，不存在障礙。另外，非法濫用個人信息的行為往往會對公民人身安全、財產(chǎn)利益甚至社會公共利益造成更為嚴重惡劣的后果，因此需要對濫用信息造成的危害性后果進行類型化規(guī)定[9]。

四、結語

《個人信息保護法》的頒布實施，標志著我國對個人信息的保護已構建起完備的法律體系?！秱€人信息保護法》是這一體系的核心與基干，其他部門法均應與之保持協(xié)調統(tǒng)一。作為最后法、保障法的刑法，也應對侵犯公民個人信息罪的罪刑規(guī)范進行調適。需著力化解兩法條文之間的矛盾與沖突，對刑事立法與司法解釋中的規(guī)范缺失及不周延之處適時進行調整，以實現(xiàn)對個人信息保護與國家數(shù)據(jù)安全的平衡，在刑民銜接、刑行銜接的一體化防范理念之下打造高效、協(xié)同的個人信息保護體系。