刘德良:刑法侵犯个人信息犯罪及其司法解释的理解与检讨
Published Time:2017-06-02 View:4815
5月9号两高发布了关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释,这对刑法第253条的实际适用提供了明确的依据,具有指导意义。但是,由于个人信息的保护并不仅仅是一个简单的法律问题,它还涉及到诸如公众的知情权、舆论监督等诸多因素,同时也与信息技术密切相关,因此,无论是包括刑法在内的立法,还是该司法解释应该会存在一些值得进一步改进和完善的地方。本文是作者在亚太网络法律研究中心组织的《新发侵犯个人信息犯罪及其司法解释的理解与检讨》沙龙上的发言整理而来,以求教于大方。
-
在大数据背景下,如何准确理解个人信息?
司法解释第一条对个人信息的界定不符合学术界对个人信息的一般理解,尤其是它把反映自然人活动情况的各种信息也纳入到个人信息的范畴,混淆“个人信息”和“与个人有关的信息”,不当地扩大了个人信息的范围。按照解释第一条的规定,“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。理论上讲,个人信息只能是能够识别出某一特定自然人身份的信息,“身份的可识别性”是个人信息概念的核心。而“反映自然人活动情况的各种信息”则属于“与人有关的信息”,它并不强调“可识别性”,而是强调“关联性”。因此,该解释把个人信息界定为身份识别信息和反映个人活动情况的各种信息的做法不符合理论上一般对个人信息的理解和界定,不当地扩大了个人信息的范围。
值得注意的是,虽然理论上将个人信息界定为“据此能够直接或间接识别出某一特定自然人身份的信息或信息的组合”基本上没有太大的争议,但是,实际上在某个特定情形下判断某些数据或信息是不是个人信息时往往容易出现偏差。这是因为能否识别出来往往是与识别的主体、识别的技术或手段有关的,这就是个人信息定义中“识别”的相对性。
所谓识别的相对性,是指作为识别的主体,他/她之前是否对被识别人熟悉或认识;对于一个之前熟悉或认识的人来说,一看到某些信息(如照片或声音)就可以直接识别出某个特定的人,或者将其与某个特定的自然人联系在一起;而同样的信息,如果之前不熟悉或不认识的,可能就不会据此识别出某个特定的自然人,或者不会将该信息与某个特定的自然人联系起来。另外,利用人眼识别不出来的,可以利用计算机或人工智能技术识别出来;在大数据技术之前,识别不出来的话,那么在大数据背景下可能就没有问题了。
尤其值得注意的是,在互联网背景下,个人信息是碎片化(以数据形式)存在的,它是由N个数据片断组合而成的,N个片断的组合在一起(整体)才是某个人的个人信息,那么即使是N -1个片断的,也不是完整的,由于不能识别出特定自然人,也就不是个人信息了。同时,个人信息在网络环境下也是动态存在的,即在不同的使用网络(购物、浏览网页等)条件下每个人的个人信息是不尽相同的。因此,在此次司法解释的条文中,所涉及到的财务信息、账号、行为轨迹等内容,如果仅仅是这些“信息”(准确地讲,应该被称作“数据”)本身,由于它们不能识别出特定自然人,所以根本不是个人信息;如果是除了这些数据之外还有其他诸如身份证号码、姓名等信息的话,这些信息组合在一起可以构成某个人的财务信息或者行为轨迹。
现在商家通过互联网所收集的消费者的消费偏好等数据,(这些被大部分人称作个人信息,)实际上并不是个人信息,最多只能算是与个人有关的数据。在商家眼里,其实,它并不关心某个消费者是张三,还是李四;他只关心他们有何种偏好即可,这样便于它做有针对性的营销。个人信息是能够直接或间接识别出一个人的信息或信息的组合,所以,任何不能识别出特定自然人身份的N-M(M<N)个数据由于其不足以识别出某一自然人,故而是不能称之为(某一用户或消费者的)个人信息。实际上,商家知道“某一用户的”行为偏好数据对买卖双方都是有好处的,节省了双方交易的成本。我们很多人(从欧盟立法和判例那里学来的)反对商家利用诸如cookie之类的技术收集用户数据的行为,认为这是对个人隐私的侵犯。这种观点实际上是对个人信息认识上的误解,这种观点把一个本来不是问题的问题(伪问题)炒作成为了真问题!因此,商家收集的没有经过精细化处理的数据,并不会特定精准的指向谁,只是数据而已并非个人信息。
值得注意的是,在大数据技术出现之前,我们界定个人信息不仅具有重大的理论意义,还具有重要的现实意义。但是,在大数据时代背景下,对个人信息下定义也就仅仅具有理论意义了,其现实意义已经所剩无几了。这是因为,只要有足够多的数据,就一定能够识别出特定的自然人。这就意味着在大数据时代的今天,乃至未来,我们之前关注个人信息的识别性特征已经失去了意义,即我们的理论和立法更应该关注对个人信息的利用环节,而不是收集和加工环节。换言之,收集、加工或处理的目的就是利用,而这些难以发现和规范的收集、加工或处理阶段只是利用前的过程,利用才是目的;也只有利用才会对主体构成伤害或消极影响。因此,在大数据背景下,立法更应该关注的是对数据的利用,而不应该是利用前的环节了。
2、刑法第253条自2009年颁布以来,全国进入法院的有关案件和判刑的人数分别是1464件和2112人。这些数字和个人信息保护的现实对比说明了什么?为何会如此?
这些数字说明了现行有关个人信息法律保护制度的实施效果很差,缺乏可操作性。实际上,与天文数量级别的所谓个人信息泄露数字相比,这些数字几乎可以忽略不计。我们每个人都会遇到很多次所谓的个人信息泄露,从升学、找工作,再到买房、租房等都会遇到所谓的个人信息泄露问题,我们每天都会接到很多垃圾短信和骚扰电话。但我们这些个人信息泄露问题几乎没有被公安发现,没有被作为刑事案件立案、侦查和起诉到法院。为什么呢,因为我们没有人会到公安机关去报案;我们为什么没有人愿意去报案呢,是因为我们个人去报案时公安机关十有八九会以没有什么危害或者以我们的(证明信息泄露的出处)证据不足为由而拒绝受理(本人2年前曾经报过案,由于提供了基本的证据线索,所以公安机关做了笔录,不过到现在既未立案,也未给予答复)。而实际上,如果没有引起社会的强烈关注或没有出现人命关天的事件时,公安机关一般是不会主动介入的。这也可以从既有的案例中得到印证。因此,仅仅凭借司法解释是无法改变这种现状的,毕竟司法解释的适用前提是案件进入司法程序。
3、是否应该区分“提供”与“出售”行为?行为人的主观目的是否影响对行为的性质认定?
在我看来,从逻辑和语义上看,既然解释要把“提供”和“出售”区别开来,说明二者确实是有区别的。实际上,出售是以营利为目的的行为,而提供则不是基于营利目的。司法解释第三条却规定向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。 显然,司法解释的这条规定忽略了很多基于知情权和舆论监督目的在网络上公开那些严重违法、违纪行为人的有关个人信息的正当性、合理性和必要性。如果将这条解释付诸实施的话,就没有人敢在网络上公开那些贪官污吏的违法违纪行为了;我们的反腐倡廉政策、国民的检举揭发权利就在很大程度上变成一句空话了;其实施后果无异于为那些贪官污吏提供法律上的庇护伞。因此,一般人认为,以后网络上所谓的“人肉搜索”行为是违反刑法的行为,可以构成犯罪。
另外,从刑法理论上讲,行为人的主观目的不仅会影响到对行为的性质认定,而且也会对刑事责任的具体适用产生影响。从行为的目的上看,如果仅仅是提供行为,其目的又具有合理性,比如向媒体采访者、或者应当事人的同学、朋友索要提供电话号码以便采访、联系需要,那么,即使未征得当事人的同意,也不具有可责性,更谈不上可罚性。从罚金刑适用的理念来看,它主要是针对财产性犯罪的,因此,即使要对提供行为定罪,也不能适用罚金,而对于出售行为,则可以适用罚金刑。显然,司法解释未做上述区分的做法是值得商榷的。
4、侵犯个人信息犯罪与利用个人信息实施诈骗罪、盗窃罪等有关犯罪之间是否存在竞合问题?如果存在,又当如何适用法律?
在现实中,对于那些明知他人利用这些个人信息实施诸如诈骗、盗窃、绑架等犯罪而仍然出售个人信息的,究竟应该如何适用刑法是一个值得思考的问题。从刑法理论上看,它是属于一个行为、两个目的、触犯两个法条,两个罪名,属于想象的竞合犯,因此,应该按照一罪从重处罚。对于那些自己非法获取个人信息后又实施诈骗、绑架、盗窃等犯罪的,按照刑法理论上的所谓牵连犯对待,(即出于一个犯罪目的,实施数个犯罪行为,数个行为之间存在手段与目的或者原因与结果的牵连关系,分别触犯数个罪名的犯罪状态)从一重罪论处。
而对于其他的非法提供或出售个人信息行为的,被他人购买或获得后实施诈骗、绑架、盗窃等犯罪的,二者之间看似有关联,即所谓的“没有提供(出售)个人信息给嫌疑人,就不会被嫌疑人用来实施犯罪,受害人也不会因此遭受到诈骗、盗窃、绑架的”。这种推论貌似合理,尤其是在特定的案件中,似乎更具有说服力,但其实这种所谓的关联只是一种臆想,在具体案例上是一种巧合。之所以说该推论是一种臆想,是因为它经不起推敲:从逻辑上讲,受害人能否受骗、被盗或被绑架,除了加害人(利用其个人信息)外,还与受害人本人的安全防范意识、法律对诈骗罪处罚的轻重等因素有关。对于安全观念和防范意识强的人来说,即使是所谓的精准诈骗,也很难以得逞;而对于安全观念和防范意识弱的人来说,即使不是精准的诈骗,也很可能得逞。如果刑法对诈骗罪、盗窃罪等苛以严责的话,那么诈骗分子很可能就会放弃诈骗伙盗窃念头。简言之,某种诈骗、盗窃、绑架等犯罪行为是否得逞,除了与加害人一方(利用个人信息实施加害行为)的因素有关外,还与被害人一方(安全防范意识等)、刑法对诈骗罪、盗窃罪等犯罪的处罚轻重有关。所以,不能忽略其中被害人一方的(安全防范意识等)因素以及刑法的其他有关犯罪的规范,以偏概全;否则,不利于预防和减少犯罪行为的发生,毕竟,加强受害人的安全防范意识教育是防止和减少此类犯罪的重要因素;刑法对诈骗罪、盗窃罪等有关犯罪的规范也会影响所谓的“利用个人信息实施精准犯罪”的实施与否。
5、互联网企业利用合同条款分享其所收集到的个人数据以及企业的合并、分立等都会涉及到所谓的“收受”、“交换”,这些情形能否适用该解释?
司法解释第四条规定,违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
在互联网企业领域,通过格式合同条款或者所谓的隐私政策条款对于收集的用户数据(有些甚至就是个人信息)的分享做出规定是惯例。一般情况下,用户实际上根本没有机会看到这些条款,所谓的同意和知情实际上是一句空话。在此情况下,互联网企业通过合同条款分享用户的个人信息(数据)比较盛行。按照司法解释的规定,互联网企业之间对基于格式合同获取的个人信息(数据)相互分享行为是否属于该条规定?如果属于,这不仅对互联网产业的发展是一个极大的打击,也会对大数据大数据战略的实施带来法律障碍。
6、基于公众的知情权和舆论监督,在网络上披露公众人物、政治人物乃至违法者的个人信息也应该适用该解释?
司法解释第五条规定,非法获取、出售或者提供行踪轨迹信息、征信信息、财产信息、住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息属于刑法第二百五十三条之一规定。显然,这种解释忽略了社会公众的知情权、舆论监督权,因为在民主法治社会里,政治人物的健康状况、财产信息、住宿信息和交易信息都可能攸关权力滥用与腐败,因此他们的行为应该接受社会公众的舆论监督,社会公众也有权知悉其有关信息。公众人物由于从社会公众的关注中获得利益,因此社会公众对其健康状况、财产信息、交易信息等享有知情权。对于某些违法行为人,尤其是对于一些被判定有罪的人,社会公众享有某种程度的知情权也具有一定的正当性。反之,如果放任了司法解释的这种做法,社会公众的知情权、舆论监督权将受到极大的限制,不利于监督权力滥用和预防腐败。
7、该解释将行踪轨迹信息、通信内容、征信信息、财产信息与住宿信息、通信记录、健康生理信息、交易信息等区别对待的依据何在?
根据解释第五条之(三)规定,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的。按照这种规定,似乎行踪轨迹信息、通信内容、征信信息、财产信息要远比住宿信息、通信记录、健康生理信息、交易信息更加重要。不知道司法解释的制定者为何做出如此规定,其重要性区分的标准是什么?财产信息,尤其是官员、公众人物的财产信息攸关公众的知情权和舆论监督权,司法解释做如此规定显然没有考虑到这些。至于征信信息,它对于构建诚信社会具有重要意义,把征信信息作为重要的需要保密的个人信息,也是不利于制约失信人,不利于构建诚信社会。
8、该解释第2条将“行政法规、部门规章”也视为“违反国家规定”并将其入罪的合理性与合法性?
解释第二条将“行政法规、部门规章”也视为“违反国家规定”的做法也是有问题的,理由主要有三个:一是它违反了刑法第96条的规定。按照刑法第96条之规定,本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。从第253条的规定来看,它是以“违反国家有关规定,”而不是“违反国家规定”,即刑法第53条多出了“有关”二字。从字面上讲,“国家有关规定”和“国家规定”应该是没有区别的,因此,以此为依据根据所做的司法解释第二条显然扩大了刑法第96条的规定,属于越权解释。二,从法理上讲,“刑罚法定主义”是现代国家刑罚的基本原则。这里的“法”定主意,只能做狭义理解,而不能做广义上理解。如果将违反部门规章的做法视为犯罪行为,无异于部门规章可以设定刑罚,而这有悖于“刑罚法定主义”原则。三是我国目前关于个人信息保护的部门规章有几十个(有人统计过百),这些不同部门的规章之间的规定相互冲突的现象并不罕见。因此,如果以部门规章作为适用刑法犯罪的依据,必定违背法律规范的统一性原则。基于上述理由,司法解释第二条的规定既不合理,又不合法,属于越权解释。
9、从本次司法解释看未来立法的修改与完善问题
从刑七修正案(2009年)开始设立个人信息犯罪条款以来的立法、司法实践和侵犯个人信息的实际状况来看,所谓的个人信息的非法泄露、买卖和提供行为几乎无处不在、无时不有,但作为公诉案件,公安机关很少主动发现和立案侦查;个人很少报案,即使有报案的,公安机关也基本上(认为危害很小而)不予理会。而垃圾信息和骚扰电话盛行不减, 身份假冒和滥用问题却十分猖獗。这说明了我们的立法导向出现了问题:本应该将立法的重点本应放在打击对个人信息的非法利用方面,而不是所谓的泄露和非法获取、提供等行为。一方面,因为我们从出生开始,上学、求职、单位考核、购物、购房、购票、使用各种服务等几乎都需要提供我们的个人信息。这本身就说明了我们的这些个人信息与社会经济文化等活动密切相关,或者说,社会经济文化等活动离不开对我们个人信息的使用。这样,我们的个人信息已经存在在于无数个地方了(几乎无处不在),因此,如果真的发生了所谓的泄露和和非法获取、提供等问题,我们也根本无法知道究竟是从哪个渠道泄露出去的,也不知道究竟发生过多少次买卖了。即使是我们高度怀疑是哪个地方泄露了我们的个人信息,事实上我们也几乎不可能证明是由哪个机构或个人泄露或提供了我们的个人信息。另一方面,对个人信息的使用还攸关公众的知情权和舆论监督等公共利益,因此,基于知情权和舆论监督等宪法权利的行使又需要对个人信息的披露和使用。因此,不加区分地要求对个人信息的保密和禁止披露或公开是极端个人主义观念,无视社会利益和公共利益的需要,因私废公,实不足取。最后,除了极少数(攸关名誉或尊严的)个人信息外,公开和披露信息本身并不会造成损害,造成损害的只是后续的滥用行为。因此,立法应该区分两类不同性质的个人信息,并分别采取不同的规制方法,即对于那些直接攸关名誉或尊严的个人信息才需要保密,防止泄露和公开、传播;而对于那些与名誉或尊严本身并无直接关系的个人信息,公开(这些个人信息)本身并不会造成名誉或尊严的损害,损害的是后续的滥用行为,因此,立法努力的方向(不是要求保密和禁止公开,而)是如何有效地防治对个人信息的滥用。否则,努力的方向错了,只能是越走越远;不仅解决不了所谓的“安全”问题,而且还会忽视了滥用问题。这种立法由于缺乏可操作性,而导致效率极低。这就是为何刑法第253条试试效果极差的根源。实际上,这种立法如果有效的话,其所对应的时代应该是互联网还未出现、仅有少数企业和单位有计算机的时代。而在网络无处不在、无时不有的今天,只要上网,收集、加工和存储数据(信息)就不可避免,由此立法的观念也应该转变,即由原来的不加区分地对所有个人信息皆适用所谓的“知情同意、防止泄露”原则转变为区分两类不同性质的个人信息并分别采取不同的规制方法,即只对那些公开即会对名誉或尊严造成损害的个人信息才要求保密,而对那些与名誉或尊严本身无直接关系的个人信息则主要是如何防治滥用问题(诸如发送垃圾信息、拨打骚扰电话、身份假冒和滥用等对个人信息的滥用),而不是再坚守原来的“知情同意、防止泄露”的(技术)过时原则。
之所以会出现上述立法导向的偏差问题,实际上是错误地照搬欧盟立法的结果。
欧盟个人信息保护立法是建立在把个人信息当作隐私(权)和基本人权的基础之上的。在欧盟立法上,95年的个人数据保护指令规定个人对其个人信息享有包括收集知情同意权、进入(存储个人信息库的)权、查询权、修改权、删除权等在内的个人信息权(被翻译为个人信息自决权、个人信息权);2016年通过的数据保护一般条例则又增加了所谓的被遗忘权、可携带权。从立法渊源上看,欧盟立法的基本原则和主要内容源于上个世纪六十年代末、七十年代初美国的“公平信息实践原则(Fair Information Practice Principles)”。在那个仅有少数大公司和政府部门才拥有大型计算机的时代里,所谓的个人信息权是可以实现的;但是在网络无处不在、信息收集无时不有的移动互联网时代,源于上世纪美国立法的欧盟立法早已经技术过时了,即这种立法在技术上无法实现,或实现的成本巨大,在经济上是无效的,比如所谓的删除权,即使信息被删除了,在技术上仍然是可以恢复的。另外,欧盟立法不仅在技术上过时了,不具有可操作性,而且由于追求极端个人主义的隐私观,因而忽略抑制了个人信息价值的充分发挥,不利于车的发展。欧盟互联网企业发展的现实(全球十大主要的互联网企业没有一家是来自于欧盟的)也印证了说明这一点。
另外,现行刑法第253条的有关规定还存在两个方面的问题:
首先,把侵害个人信息犯罪放在侵害人身权利、民主权利一章中规定,同时又设置了罚金刑;这说明了立法的理论认识存在问题。一方面,个人信息买卖的实践本身足以说明个人信息具有商业价值,其商业价值应该被视为财产,而不应该被视为人身权的范畴。另一方面,刑法条文对此类侵害行为设置了财产刑的罚金又与其将个人信息视为侵犯人身权的认定存在矛盾。其次,一般来说,所谓的侵犯个人信息行为(非法公开、获取、买卖行为)本身对受害人所造成的直接损害远不及轻伤、侮辱诽谤,而刑法却将侮辱、诽谤作为自诉案件对待,而却将所谓的侵犯个人信息犯罪纳入到公诉案件中。难道侵犯个人信息犯罪还涉及到国家和社会公共利益?
基于上述分析,未来立法在理论上应该区分两类不同性质的个人信息并分别采取不同的规制方法,即对于那些直接攸关名誉或尊严的个人信息(法律上的隐私)需要保密,禁止非法刺探、搜集、传播和滥用;对于那些予名誉或尊严无直接关系的个人信息,立法规制的重心在于防止滥用;同时,立法应该确立个人信息商业价值的独立法律地位,未经允许,擅自出售他人个人信息的行为视为一种独立的财产侵权行为。
根据上述分析,未来刑法有关个人信息犯罪的规定应该作如下完善:一是应该在侵犯人身权利罪一章中增加侵犯隐私罪,即禁止非法刺探、搜集、传播他人隐私,违者将视为犯罪。同时考虑到侵犯隐私罪所侵害的主要是个人(人格)利益,因此把侵犯隐私罪作为自诉案件处理。当然,这里的隐私不是目前学术界所谓的隐私,而是借鉴我国传统阴私观念而来的,是指与公共利益和社会利益无关,同时又直接攸关名誉或尊严的个人信息,它包括但不限于裸照、性生活信息等。二是把侵犯个人信息商业价值的行为(即非法出售个人信息行为)纳入到侵犯财产罪中予以规范。具体而言,就是在现行刑法第五章“侵犯财产罪”中增加一条“侵犯个人信息财产罪”,把那些未经许可擅自对个人信息进行商业化利用的行为(比如未经授权擅自利用他人的肖像、姓名、声音等个人信息进行商业化利用的行为)、非法出售个人信息的行为(仅仅规范非法出售个人信息行为,而无需规范购买或获取行为)纳入到其中予以规范。考虑到非法侵害个人信息财产(权)罪在本质上属于侵害个人财产权益的犯罪,因此可以比照现行刑法第270条的侵占罪对侵害个人信息财产(权)作为自诉案件处理。三是在现行刑法第六章妨害社会管理秩序罪中增加一章“个人信息滥用罪”囊括有关发送垃圾信息罪、骚扰电话罪、身份假冒和滥用罪等罪名。这样,我们目前所担心的个人信息保护问题都可以得到真正的解决。