正文
基于此,在上述法律基础上制定个人信息保护的专门法律,以增强法律规范的系统性、针对性和可操作性,就尤为必要。作为个人信息保护的专门法律,《个人信息保护法》于2021年8月20日通过,自2021年11月1日起施行。至此,个人信息保护的完整前置法体系得以形成。
个人信息保护前置法形成的时间跨度达十年之久,各部法律的制定时间差异较大,但诸如《网络安全法》《民法典》《个人信息保护法》等主要规范的制定时间不仅远晚于《刑法修正案(七)》,亦晚于《刑法修正案(九)》。所谓“刑法先行”,也主要是在此意义上而言。
(二)个人信息保护前置法与刑法的交互影响
个人信息保护呈现出“刑法先行”的发展脉络,并不意味着侵犯公民个人信息罪的规则形成完全与前置法无涉;实际情况恰恰是,相关刑法规则与前置规定交互影响,共同形成个人信息保护的完整规范体系。
1. 前置规则对刑法的影响。如前所述,“刑法先行”系针对个人信息保护的主要规范而言,但并非所有的前置规定形成都晚于刑法规则。2012年《决定》、2013年《消法修改决定》等前置法就在《刑法修正案(九)》之前,对相关刑法规则的形成实际施加了影响。特别是,作为现行主要刑事司法规则的2017年《解释》制定之时,对网络安全领域个人信息保护作出集中规定的《网络安全法》已于2016年11月7日通过,自2017年6月1日起施行。
故而,《网络安全法》关于个人信息的规定更是对2017年《解释》产生了直接影响。例如,2017年《解释》第3条第2款对合法收集公民个人信息后非法提供行为的认定,所作出的“经过处理无法识别特定个人且不能复原的除外”但书规定,就是考虑与《网络安全法》第42条第1款“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”规定的衔接。
2. 刑法规则对前置法的影响。从个人信息保护前置法体系的发展来看,缘于“刑法先行”的发展路径,同时期或者后续制定的前置法明显受到了刑法规则的影响。申言之,侵犯公民个人信息罪的相关规则并非简单依附前置法,而是在接受前置法影响的同时亦反向影响前置法的发展。其中,最为明显的是数据分级分类保护的制度设计,最早就来源于2017年《解释》。2017年《解释》第5条将个人信息划分为高度敏感个人信息、一般敏感个人信息和其他个人信息,并根据敏感程度设置差异化的定罪量刑标准。这一制度设计在此前《网络安全法》之中未见踪影,但在此后《个人信息保护法》之中出现对敏感个人信息的专节规定。对此,合理的解释应当是《个人信息保护法》的相关制度设计受到了2017年《解释》的影响。
(三)《个人信息保护法》与犯罪圈的调整思路
作为个人信息保护的基本法,《个人信息保护法》完整构建了个人信息保护原则和个人信息处理规则,系统明确了个人信息处理活动之中的权利义务边界,标志着个人信息保护前置规定的健全。在《个人信息保护法》业已施行的背景之下,刑法应当彻底回归二次法的角色,适应前置法对犯罪圈作出调整,已是共识。但是,对于实现上述调整的具体路径尚有不同主张。目前看来,有不少观点主张重构侵犯公民个人信息罪适用的规则,包括刑法规范和司法规则。本文不赞成上述观点,认为在《个人信息保护法》施行后,侵犯公民个人信息罪的刑法规范和司法规则宜继续沿用。主要考虑如下:
其一,《个人信息保护法》是个人信息保护的基本法,但并未完全“凭空而生”。相反,《个人信息保护法》的相关规则,恰恰是建立在此前个人信息保护相关法律的基础之上。可以说,“从《网络安全法》到《电子商务法》,再到《数据安全法》,以及结合《民法典》关于公民个人信息的保护规定,贯穿刑法、民法和行政法的公民个人信息法律体系已基本搭建完毕”。《个人信息保护法》虽然是个人信息保护规则的“集大成者”,但相关主要制度实际脱胎于上述规范。例如,以“告知—同意”为核心的个人信息处理规则,并非《个人信息保护法》的首创,而是在《网络安全法》之中业已形成。
如前所述,“刑法先行”并非指个人信息保护所有前置规定都晚于刑法规则。实际上,诸如“告知—同意”等个人信息保护基本规则的形成,几乎与《刑法修正案(九)》完善侵犯个人信息犯罪的规定同步进行,至少在2017年《解释》之中业已得到充分体现。换言之,虽然个人信息保护前置法构建与刑法相比具有一定的滞后性,但主要规则实际已经在侵犯公民个人信息罪的刑法规范和司法规则之中得到体现。在此背景之下,《个人信息保护法》的施行并不必然会得出侵犯公民个人信息罪适用规则须作重构的结论。
其二,侵犯公民个人信息罪属于行政犯,以“违反国家有关规定”为前提要件。这就决定了将相关行为认定为犯罪,主要依据前置法的规定。申言之,侵犯公民个人信息罪犯罪圈的大小,特别是行为性质判断,受制于前置法:只要相关行为没有违反前置规定,无论如何都不应构成侵犯公民个人信息罪。可以说,空白罪状的立法模式,使侵犯公民个人信息罪犯罪圈适应前置法进行伸缩适用成为可能,可以在不对刑法规范和司法规则作出修改的情况下实现犯罪圈重置。基于此,《个人信息保护法》即使对个人信息保护规则作出调整,那么在刑法适用之中也可以直接依从相关前置规定,而无须对《刑法》第253条之一和2017年《解释》的规定作出调整。
可以佐证上述判断的是,长期以来涉公开个人信息案件的定性存在较大争议,恰恰不在于刑法规则本身,而在于前置规定不明。对于公开的个人信息,由于信息已经处于公开状况,获取无须征得同意,对此应无疑义;但是,在获取相关公开信息后进而提供的行为,是否需要取得“二次授权”(即在获取相关信息后,提供相关信息需要告知同意),则存在较大争议。
由于《网络安全法》未对所涉规则作出明确,导致实践之中对相关案件的定性不明。而《民法典》《个人信息保护法》否定了“二次授权”的规则。《个人信息保护法》第13条第1款规定:“符合下列情形之一的,个人信息处理者方可处理个人信息:……(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息……”第27条规定:“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外……”在《民法典》《个人信息保护法》明确相关规则后,刑事司法自然应当对常态情况下的涉公开信息案件作出罪处理。
具体而言,在处理相关刑事案件时,对于未征得自然人同意而获取、提供公开的个人信息的案件,只要行为人的获取、提供行为处于“合理”限度之内,除证明该自然人明确拒绝或者相关获取、提供行为侵害了该自然人的重大利益外,应当认为相关获取、提供行为属于合法行为,不属于“违反国家有关规定”获取、提供公民个人信息的行为,更不应当认定为侵犯公民个人信息罪。所涉犯罪圈实现调整,但刑法规范和司法规则未作修改,恰恰是通过适用前置规定得以实现。
其三,法秩序统一原理并不排斥刑法的独立性,更不是要求刑法对前置规定亦步亦趋。“所谓法秩序的统一性,是指由宪法、刑法、民法等多个法领域构成的法秩序之间互不矛盾,更为准确地说,在这些个别的法领域之间不应作出相互矛盾、冲突的解释。”显然,法秩序统一原理并不是要求刑法及其适用规则与前置规定的完全一致性,更不是要求照搬前置规定。如后所述,刑法判断应当坚持一定的独立性,在前置规定的基础上再行限制入罪范围,如敏感个人信息的范围和再分级规则,这既是刑法谦抑原则的要求,也没有违背法秩序的统一性。
综上所述,本文主张在《个人信息保护法》施行后维持刑法规范和司法规则不变,将犯罪圈的调整寄希望于具体案件之中妥当适用既有规则加以实现。在这一过程之中,关键在于个人信息的认定和敏感个人信息的把握两个方面。基于此,下文将围绕这两个问题集中展开讨论。
对于侵犯公民个人信息罪的对象“公民个人信息”,2017年《解释》第1条作了明确界定。与《个人信息保护法》第4条关于“个人信息”的界定对比来看,二者在具体表述上确实存在明显差异。对此,有观点提出,二者“对侵犯公民个人信息罪中个人信息的范围、特征以及识别对象的表述均存在不同”,主张“司法解释理应做出一定程度的修正”。基于此,在《个人信息保护法》施行的背景之下,需要对侵犯公民个人信息罪的对象“公民个人信息”的范围再作厘清,以回应其究竟与前置法相关界定有无实质差异,是否需要直接采用前置法相关界定等问题。
(一)刑法上公民个人信息与前置法的关联
1. 刑法上公民个人信息界定的演变历程
《刑法修正案(七)》《刑法修正案(九)》一直采用“公民个人信息”的概念。而“个人信息”的表述,直至《网络安全法》才普遍采用,而这已在《刑法修正案(九)》施行之后。当然,“公民个人信息”与“个人信息”两个概念实际可以互换使用,并无差异。对于“公民个人信息”的界定,细究可以发现,随着前置界定的调整发生了明显变化。具体而言:
(1)“身份识别信息+个人隐私信息”的模式。对于“公民个人信息”的界定,最早由2013年《通知》作出,即“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。这一界定采取“身份识别信息+个人隐私信息”的模式,明显受到了2012年《决定》第1条第1款“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”的影响。
