民法典、个人信息保护法如何助力刑法完善侵犯公民个人信息罪的出罪机制?
在法秩序统一原理下,民法典、个人信息保护法除了为刑法提供适用标准、划定犯罪圈以外,还有一个极为重要的功能是提供出罪事由。以获取已公开个人信息案为例来讨论这个问题:如获取已在公共网络上公开的企业登记信息、征信信息等,并出售或提供给他人的情形是否定罪、如何出罪,在实务上历来都有争议。
不改变信息公开的目的或者用途可以阻却侵犯公民个人信息罪的成立
对实务中那种一概认为“有罪”或者“无罪”的观点均进行了反驳,认为应当基于法秩序统一原理,对已公开的个人信息进行目的或用途的检验,提出处理本类案件的合理主张应当是:获取、提供已公开的个人信息但改变信息公开的目的或者用途的,可能成立侵犯公民个人信息罪。反过来说,获取、提供已公开的个人信息但是没有改变原来的目的或者用途的,不成立侵犯公民个人信息罪。
此时需要特别关注前置法的相关规定。如民法典第一千零三十六条强调,如果行为系对已公开的个人信息进行不合理处理的,仍然应当承担侵权责任。换言之,民法典允许对已公开的个人信息进行合理的处理,法律只是对于那些“不合理地处理”已公开的个人信息的行为持反对态度。民法典的这一态度在个人信息保护法中也得到了贯彻。在此基础上,具体阐述了可以定罪与不宜定罪的情形:
1.处理已公开的个人信息可以定罪的情形:第一,明显违背已公开个人信息的公开目的的。第二,明显改变已公开个人信息的用途的。第三,利用已公开个人信息实施可能危及公民人身或财产安全的违法犯罪行为的。例如,互联网公司工作人员将其在工作中获取的个人已公开信息出售给体检机构,以便于后者拓展客源的;再比如,通过公开征信系统获得他人手机号之后对个人进行追踪定位的,使他人的生命、身体陷入危险。进一步认为,即便否认这些个人信息属于个人隐私,或系依法注册登记而被公开,也不能阻却违法性。
2.处理已公开的个人信息应当出罪的情形:第一,针对已公开的个人信息仅实施单纯获取或爬取、持有等行为的。由于行为人还没有将该信息予以批量出售、提供,很难判断他人后来对于该信息的使用目的是否与个人公开其信息时相同,也无法确定信息的用途是否被改变,难以得出行为人侵害被害人法益处分自由的唯一结论。第二,获取、提供他人已公开的个人信息的目的是帮助行为人拓展业务的情形。如企业注册登记或者将其信息在征信系统中收录,其目的是为了企业自身发展。行为人处理企业公开信息中包含的个人信息,如果与该企业的经营发展目的相一致的,应当认定该处理信息行为具有合理性。第三,获取、提供他人已公开的个人信息的目的是为企业发展提供贷款等金融支撑的情形。企业的发展需要使用支付、结算器械,向企业推销此类产品不违背企业设立的目的。
刑法应该直接采用个人信息保护法对个人信息的分类方案
为具体把握侵犯公民个人信息罪的犯罪对象,采取了特征归纳的方法,提炼出以下三个标准对个人信息进行界定:
1.具有可识别性。个人信息必须与自然人相关联,而且与特定自然人相关联,同时具有识别性,即通过该信息已识别或者可识别特定自然人。那种经过匿名化处理后无法识别特定个人且不能复原的信息,虽然也可能反映自然人的活动情况,但与特定的自然人无直接关联,不属于公民个人信息的范畴。
2.属于有效的信息。信息必须有效,这是定罪时不能忽略的硬性要求。对于信息没有进行匿名化处理,但行为人为获取高额经济利益,提供重复信息以增加信息数量的,或者信息经多次流转,行为人获得的信息重复量大的,或信息明显虚假、无效(例如,手机号仅有10个数字,仅有座机号)的,这些信息由于其不能对应到具体公民,不属于本罪的个人信息。
3.对某些信息突显与个人行动自由的关联性,弱化可识别性。例如公民的行踪轨迹等信息,由于与特定个人的行动自由、生命身体安全有紧密关联,根据两高2017年发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,侵犯该等信息的入罪标准非常低。对于这类信息,在与特定个人的行动自由、生命身体安全有紧密关联的意义上,具备广义的可识别性特征即可。
关于个人信息的外延,刑法上的认识确实和其他部门法之间存在细微差别,不同部门法的规范目的不同,在概念使用上有所不同,这是非常正常的现象。但是,这丝毫不意味着刑法上的判断可以抛开民法典、网络安全法乃至个人信息保护法“另搞一套”。此外,还认为,未来应该考虑在刑法上抛弃对于个人信息种类进行细分的思路,直接采用个人信息保护法的方案将个人信息区分为敏感信息和一般信息两种。对于一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息进行严格保护,规定相对较低的定罪数量标准。对于除此之外的一般信息,规定相对较高的定罪数量标准,同时在行为人处理一般信息实施违法犯罪行为的对其数罪并罚,以防止轻纵犯罪人。
民法典、个人信息保护法为划定侵犯公民个人信息罪的入罪边界起到了何种作用?
这一问题涉及实体上刑法与民法之间的联系,理论上已经基本能够达成共识,即立足于法秩序统一原理,在存在前置法规定的情况下,民事违法与刑事违法之间是包容关系,具体到个人信息犯罪中,民法典、个人信息保护法为侵犯公民个人信息罪划定了最大的入罪边界。
法秩序统一原理下民法典、个人信息保护法为个人信息犯罪划定了最大边界
深入解读了法秩序统一性原理,认为这一原理要求在处理某一件事情时,所有的规范秩序不能相互矛盾。而要遵循法秩序的统一性,绝对不能偏离的规则是:在民商法上合法的行为,不可能成为刑法上的犯罪。反过来说,唯有民商法所要反对的行为,才有可能成为犯罪行为。在刑法与民法规范的保护目的相一致的场合,刑法应当绝对从属于民法,这是法秩序统一性的当然要求。换言之,在民事违法不存在时,应当断然否定待处理案件中行为的犯罪性;行为具有民事违法性时,也只不过是为定罪提供了“底线支撑”。总之,如果某一个行为的选择在民商法上有争议,甚至该行为被民商法所允许或容忍,就可能成为出罪理由。
但是,也旗帜鲜明地反对那种“前置法定性、刑事法定量”的主张,其认为前置法无法为犯罪认定提供“质”的根据。在处理刑民交叉案件时,应当重点考察前置法和刑法的规范目的是否一致:如果二者的规范目标不一致,前置法的违法性判断对于刑法判断不具有制约性,刑法的判断具有相对独立性;如果二者的规范目标一致,前置法上违法的行为,在刑法上也具有违法性,但这不是刑法从属于前置法的结果,而是刑法和民商法、行政法等在法秩序统一性的统摄之下,两种违法性判断所得出的结论相同而已,前置法上的违法性判断不能替代刑法上的判断。将前置法与刑法生动地比喻为“烟”与“火”,烟雾之下未必真有火,只是起到提示司法人员的作用而已。
具体到侵犯公民个人信息罪当中,由于本罪的成立以违反国家有关规定为前提,那么,民法典、网络安全法以及个人信息保护法等前置法关于个人信息外延的规定对于定罪就会产生影响,这是法秩序统一性原理的内在要求。对于本罪的成立而言,民法典、网络安全法乃至个人信息保护法对于个人信息外延的框定,为定罪提供支撑,同时成为刑法保护个人信息的最大边界。当然,由于刑法的构成要件设计上存在缩小处罚范围的政策考虑,也由于刑法主要在与公民人身、财产权利相关联的意义上把握个人信息,因此,前置法上的违法行为中只有极小部分最终被作为本罪处理,刑法上必须做相对独立的违法性判断。
民法典、个人信息保护法对侵犯公民个人信息罪犯罪对象的认定有什么影响?
刑法没有对“个人信息”进行界定,在此之前,刑法一般是参照林林总总的法律法规或者司法解释来界定其犯罪对象,如网络安全法、两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、身份证法、消费者权益保护法等。那么,民法典、个人信息保护法出台之后,应当如何理解侵犯公民个人信息罪的犯罪对象呢?对这个问题的回答分为以下两个层次:1.了解民法典、个人信息保护法对个人信息的界定;2.从刑法的角度对个人信息进行界定并明确民法规定的借鉴意义。上海律师