公民個人信息刑法保護問題研究

陳 祺

一、公民個人信息刑法保護的歷史沿革

在刑法領(lǐng)域，最早涉及個人信息保護的是《刑法修正案(五)》，增設了“竊取、收買、非法提供信用卡信息罪”(刑法第一百七十七條之一第二款)，“信用卡信息資料”屬于個人信息，所以對信用卡信息資料的保護也證實該罪的設立是刑法保護公民個人信息的開端。

隨著信息技術(shù)的發(fā)展，為了應對侵害公民個人信息的相關(guān)犯罪，《刑法修正案(七)》(以下簡稱刑修七)明確規(guī)定出售、非法提供公民個人信息罪和非法獲取公民個人信息罪(刑法第二百五十三條之一)，打擊特定工作人員違反國家規(guī)定，出售、非法提供或非法獲取公民個人信息的行為。這一修訂是刑法保護公民個人信息的明確舉措，彌補了刑法的缺陷，為我國公民個人信息安全提供了刑法保障。但由于當時立法的“應急性”，還存在不符合主體條件的該類犯罪，對社會安定造成侵害[1]。

此后，《刑法修正案(九)》(以下簡稱刑修九)進一步修正，將上述兩罪整合為“侵犯公民個人信息罪”一罪，并將犯罪主體從特殊主體轉(zhuǎn)變?yōu)槠胀ㄖ黧w，刪除“非法提供”中的“非法”，擴大打擊范圍?！缎绦蘧拧返某雠_，表明個人信息保護在我國刑法中步入一個較為成熟的階段，但關(guān)于公民個人信息范圍的判定卻并未給出刑法層面的指導。

2017年5月，兩高發(fā)布侵犯公民個人信息刑事案件的司法解釋，對該罪的法律適用等問題作了全面、系統(tǒng)的規(guī)定，意在降低入罪門檻，嚴懲侵犯公民個人信息犯罪。該解釋第一條對“公民個人信息”的概念做出明確規(guī)定，以便對該類犯罪進行刑事制裁時能更好地把握侵犯公民個人信息的范圍。

刑法作為我國法律體系中最嚴厲的法律，刑法條文不斷地修改完善體現(xiàn)出刑法在打擊侵犯個人信息類案件上的力度不斷增強，范圍逐步明確，但仍存在不足。

二、公民個人信息刑法保護的實踐困境

(一)侵犯已公開信息的入罪標準不明確

我國刑法關(guān)于公民個人信息的規(guī)定不以是否屬于隱私為區(qū)分標準，所以存在侵犯已公開的公民個人信息也構(gòu)成犯罪的情況，已公開公民個人信息是指經(jīng)合法途徑公開、他人可進行檢索和查看的個人信息，不包含非法公開的情況。當前已公開信息主要分為公民自行公開和其他已經(jīng)合法公開的信息。公民自行公開的信息一般由信息主體主動公開，出于商業(yè)發(fā)展、求職或交友等目的[2]。而其他已經(jīng)合法公開的信息主要為依公權(quán)力強制公開的個人信息，如國家企業(yè)信用信息公示系統(tǒng)對企業(yè)相關(guān)信息進行公示，以及中國執(zhí)行信息公開網(wǎng)將失信被執(zhí)行人的相關(guān)信息曝光等情況。

實踐中涉及侵犯已公開個人信息的案例很多，蘇州中院和北京四中院曾對受理的案情相仿的兩起案件做出相反的判決。兩案中被告將涉及原告?zhèn)€人信息的裁判文書從裁判文書網(wǎng)轉(zhuǎn)載到自己運營的提供裁判文書查詢服務的網(wǎng)站。兩案原告認為這種轉(zhuǎn)載行為作為二次公開侵犯了其個人信息權(quán)益，訴至法院。被告轉(zhuǎn)載涉及原告?zhèn)€人信息的裁判文書的行為，是否侵犯原告的個人信息相關(guān)權(quán)益，兩個法院對此產(chǎn)生分歧。蘇州中院認為被告的行為有悖于原告作為信息主體對已公開信息進行傳播控制的意思表示，對原告造成重大利益影響，侵犯了原告的個人信息權(quán)益(1)伊某與蘇州貝爾塔數(shù)據(jù)技術(shù)有限公司人格權(quán)糾紛案，(2019)蘇05民終4745號。https://mp.weixin.qq.com/s/hc_EcjeNndLNQ-YjxoTkuA。而北京四中院則認為被告轉(zhuǎn)載和使用的裁判文書信息來源于權(quán)威司法機構(gòu)，是公開可見的，無需個人授權(quán)，被告的行為不構(gòu)成對原告?zhèn)€人信息的侵權(quán)，判決駁回起訴(2)梁某與北京匯法正信科技有限公司網(wǎng)絡侵權(quán)責任糾紛案，(2021)京04民終71號。https://mp.weixin.qq.com/s/TNhm6gtcKSARoCE0yc3eoA。

兩家法院的判決體現(xiàn)了各自側(cè)重的價值理念，但也說明侵犯已公開個人信息的入罪標準不明確，這一問題亟待解決。

(二)前置性規(guī)定不明

《刑修七》侵犯個人信息罪名的前置性規(guī)定為“違反國家規(guī)定”，《刑修九》修改為“違反國家有關(guān)規(guī)定”，但并未指出具體的法律法規(guī)?！缎绦蘧拧分詫η爸眯砸?guī)定做了修改，是因為當時對公民個人信息保護針對性最強的前置法《個人信息保護法》還未出臺，為了保護公民個人信息，打擊犯罪行為，需要根據(jù)其他有關(guān)規(guī)范判斷該罪成立的前置性條件[3]。對比刑法總則，司法解釋將“部門規(guī)章”納入其中，擴大了前置法的范圍，這在一定意義上擴大了該罪的打擊范圍，增強了對公民個人信息的保護，但是這種任意擴張前置法的行為導致了刑法司法解釋與刑法總則中的解釋性規(guī)定產(chǎn)生沖突。

(三)入罪的行為方式不全面

《刑修七》規(guī)定侵犯公民個人信息罪的三種方式：出售、非法提供和非法獲取，《刑修九》在此基礎(chǔ)上，將該罪的行為方式更改為出售、提供和非法獲取。但實踐中侵犯公民個人信息的行為方式復雜多樣，遠不止法條規(guī)定的這三種，行為人對信息進行其他操作，如非法使用、篡改、披露等。由于刑法未對其他處理個人信息的行為方式加以規(guī)制，在這些行為對公民或社會造成危害后，無法適用侵犯公民個人信息罪的罪名。如用民法、行政法等法律進行制裁，則不能使其得到應有的處罰[4]。針對這類情況，當前刑事案件中主要采取吸收處理，即行為人的行為觸犯到其他罪名，就依該罪論處。但這種方式存在弊端，判處他罪不僅沒有使侵犯公民個人信息的行為得到評價，還具有局限性，不適用于所有場景。如行為人從網(wǎng)站上合法獲取公民的個人信息，將這些信息用于其他刑事犯罪，這里獲取個人信息的行為是合法的，但是獲取之后的使用行為具有違法性，在使用行為未構(gòu)成其他犯罪的情況下，應當如何處理？

鑒于實踐中存在的大量獲取個人信息后使用信息的行為，構(gòu)建全面的侵犯公民個人信息的入罪行為方式具有必要性。

三、公民個人信息刑法保護的完善路徑

(一)明確侵犯已公開信息的入罪標準

為了更好地保障公民個人信息權(quán)益，明確侵犯已公開個人信息的入罪標準，本文借鑒德國數(shù)據(jù)立法中的“一般可訪問性”概念，從對信息的可訪問性，即客觀外在角度分析侵犯公民已公開個人信息是否構(gòu)成犯罪。從“一般可訪問性”概念引申到日常生活中對個人信息的訪問，即判斷已公開信息的客觀開放程度[5]。

對于公民自行公開的個人信息，不論信息的開放程度如何，信息主體都享有充分的信息自主權(quán)，處理這類信息是否構(gòu)成侵犯公民個人信息罪，首先需要考慮是否違反該罪的前置性規(guī)定?！秱€人信息保護法》第十三條、第二十七條，《民法典》第一千零三十六條對處理個人信息規(guī)定了“在合理范圍內(nèi)”的限制條件，即對于公民自行公開的個人信息，不論是否設置了觀看權(quán)限，處理該信息都需要取得信息主體的同意，且保證該處理行為不侵害其重大利益，在滿足上述條件后，“在合理范圍內(nèi)”對信息進行處理。這里的“合理范圍”應理解為不對信息主體的利益造成損害，不與信息主體主動公開個人信息的目的相違背，如果超出“合理范圍”，對信息主體的權(quán)益存在造成危害的風險，達到了刑法之規(guī)定，則構(gòu)成侵犯公民個人信息罪[6]。

其他依據(jù)法律法規(guī)等強制公開的公民個人信息，這類信息無論信息主體同意與否都會被公開，公開是為了社會治理等公共目的。如果信息的開放程度是完全開放，即客觀上沒有任何限制，任何人都能查閱該信息，對于該類信息的處理，原則上符合《司法解釋》第三條第二項、《個人信息保護法》第二十七條和《民法典》第一千零三十六條第二項規(guī)定的免責條件。上文兩個案例中，被告方把裁判文書網(wǎng)上的文書轉(zhuǎn)載到自己運營的網(wǎng)站，供用戶查閱，用戶無論是選擇在中國裁判文書網(wǎng)的平臺上獲取信息，還是從居間者那里獲取信息，信息內(nèi)容不變，行為性質(zhì)也沒有變化，所以沒有必要對該類行為進行刑法制裁。但是，如果信息主體明確拒絕，或者對信息的處理侵犯了權(quán)利人的重大利益，免責規(guī)范就不再適用，對已公開個人信息的處理可能會受到刑事制裁。其他合法公開的個人信息中開放程度為限制開放的個人信息，查閱該類已公開信息具有限制條件，需要滿足特定資格或者擁有權(quán)限的人員才能訪問該信息，比如需要向特定機關(guān)申請后才能查閱的信息。這類已公開信息不是直接向社會公開，而是滿足條件之后才能訪問。因此，對這類已公開信息的處理在不滿足刑法及其前置性規(guī)定的條件下，可以受到刑法處罰[7]。

(二)明確前置性規(guī)定的具體適用

當前我國還未明確刑法司法解釋的效力，所以當司法解釋與刑法規(guī)定產(chǎn)生沖突時，如何判斷二者之間的適用關(guān)系成了爭議焦點。有觀點認為，刑法司法解釋應當認定為與其解釋的刑法條文具有同樣的效力，這樣可以增強司法解釋的效力，同時也解決了司法解釋與刑法的適用沖突問題。劉憲權(quán)教授認為這種觀點在私法領(lǐng)域可以適用，但是在刑法領(lǐng)域，如果賦予刑法司法解釋與刑法同樣的效力，會導致罪刑法定原則的突破[8]。還有觀點認為司法解釋是依附于刑法而存在的，沒有刑法就沒有刑法司法解釋，所以司法解釋不具有獨立性，只能在刑法適用過程中提供“解釋”功能。這種觀點也具有明顯的缺陷，司法解釋不僅對刑法條文做字面上的闡釋，還對刑法起著更新、補充和解釋作用。此外，刑法司法解釋在司法人員處理案件過程中也起著重要作用。所以，司法解釋并不是完全依附于刑法的，其本身也具有一定的獨立性。這就要求二者產(chǎn)生適用沖突時，需要立法對司法解釋的效力作出明確規(guī)定。在立法還未規(guī)定這一問題時，如何化解適用沖突，筆者認為，該罪前置性規(guī)定中“違反國家有關(guān)規(guī)定”的范圍應適用司法解釋中的內(nèi)容。

我國刑法司法解釋是由最高司法機關(guān)作出的，具有法律效力，且具有一定的獨立性，司法解釋的適用是為了維護刑法規(guī)范的統(tǒng)一性。司法解釋在刑法設置了侵犯公民個人信息罪之后出臺，對該罪在適用問題上起著補充說明的作用，從規(guī)范適用的角度考慮，優(yōu)先適用司法解釋中該罪的前置性規(guī)定更具合理性。此外，我國對個人信息保護立法起步較晚，對該類犯罪的立法需求與當前立法現(xiàn)狀不匹配，如果僅將法律、行政法規(guī)作為該罪的前置性規(guī)定，那么生活中很多涉案行為可能會因不滿足前置性規(guī)定而不能受到刑法處罰。所以此處的“違反國家規(guī)定”按照司法解釋中的內(nèi)容來理解，更能從刑法意義上實現(xiàn)打擊侵犯公民個人信息罪的目的，最大限度保護公民的個人信息權(quán)益。

(三)完善侵犯公民個人信息的行為類型

2015以來，我國互聯(lián)網(wǎng)發(fā)展呈現(xiàn)繁榮的態(tài)勢，4G網(wǎng)絡、“互聯(lián)網(wǎng)+”等不僅對經(jīng)濟和社會產(chǎn)生巨大影響，也為犯罪提供了新的技術(shù)手段。實踐中除了非法獲取公民個人信息直接謀取利益外，更多的是獲取個人信息后利用該信息實施其他犯罪，如詐騙罪、信用卡詐騙罪等。這表明，在實際犯罪中，大量侵犯公民個人信息類犯罪以獲取加非法使用個人信息的形態(tài)呈現(xiàn)。按照當前刑法規(guī)定，非法獲取公民個人信息可能會受到刑法制裁，而同樣情況下非法使用該信息的行為卻不作為該罪的行為方式不能以該罪名進行規(guī)制。非法使用甚至比非法獲取信息的行為更易造成嚴重后果和危害，將非法使用排除在該罪的行為方式之外，從刑法原理上看，具有很大的不合理性[9]。而且隨著技術(shù)水平不斷提高，如2017年興起的深度偽造技術(shù)，侵犯公民個人信息的方式變得更加多樣和復雜。如果沿用之前法條中規(guī)定的三種信息處理方式來規(guī)制侵犯公民個人信息的行為，那么刑法就沒有隨著社會發(fā)展和立法需求及時更新，就不能最大限度起到保護公民個人信息的作用。

此外，《刑修九》出臺時，我國在個人信息保護方面的立法還未完善，侵犯公民個人信息罪的前置法還存在很大空缺，但隨著《民法典》《個人信息保護法》《數(shù)據(jù)安全法》等法律法規(guī)的出臺，我國在個人信息保護方面逐漸形成了多層次、多領(lǐng)域的法律保護體系。相比于刑法，前置法對于個人信息的處理規(guī)定了更多方式，前置法中規(guī)定的使用、泄露、篡改等行為都屬于違法行為，雖然這些違法行為不都構(gòu)成犯罪，但在違法程度上相當。將非法使用行為也作為侵犯公民個人信息罪的行為方式之一，有助于擴大刑法的打擊面，使刑法與前置法相銜接，因此，應將非法使用行為也納入侵犯公民個人信息罪中[10]。

四、結(jié)語

刑法對個人信息的保護是發(fā)展要求，也是個人信息權(quán)益的合理訴求。隨著《民法典》《個人信息保護法》等法律法規(guī)的出臺，公民個人信息刑法保護也逐步完善，但在實際應用中還存在問題。需要明確已公開信息的入罪標準，針對不同類型的公開信息做不同處理。當刑法總則與司法解釋產(chǎn)生沖突時，侵犯公民個人信息罪的前置性規(guī)定應優(yōu)先適用司法解釋中的內(nèi)容，把部門規(guī)章也作為該罪的前置法，從刑法意義上實現(xiàn)立法目的。完善非法使用作為該罪的行為方式，以便更好地保障公民個人信息權(quán)益，促進社會健康發(fā)展。