黃 陳 辰

(中國政法大學 刑事司法學院, 北京 100088)

一、 問題的提出

自《刑法修正案(九)》將“出售、非法提供公民個人信息罪”與“非法獲取公民個人信息罪”合并為“侵犯公民個人信息罪”以來,該罪即成為我國刑法中規(guī)制侵犯公民個人信息類犯罪的總體性、一般性規(guī)定。根據(jù)《刑法》第253條之一的內容,違反國家有關規(guī)定,向他人出售、提供公民個人信息,或者竊取、以其他方法非法獲取公民個人信息,情節(jié)嚴重的,構成侵犯公民個人信息罪。在本罪的適用中,“情節(jié)嚴重”的認定一直都是最具爭議的問題之一,無論是刑法理論界還是司法實務領域,都沒有形成統(tǒng)一的觀點與結論。2017年,隨著最高人民法院、最高人民檢察院聯(lián)合發(fā)布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)出臺,“情節(jié)嚴重”的認定標準得以明確,但與之相關的理論爭議并未徹底平息。其中,《解釋》第5條第1款第(三)至(五)項規(guī)定的“信息類型與數(shù)量”標準是司法實踐中利用率最高的標準之一,且其以公民個人信息類型與數(shù)量作為量化的依據(jù),將不同種類的信息劃分成三個層級并設置高低有別的入罪門檻。這種分級保護的模式最能直接反映行為的危害性程度與刑法對不同類型信息的保護力度,但其亦在結構設置、內在要素的范圍及排列等方面存在弊端。例如,未對直接來源于自然人生理特征且關涉其核心隱私與本質尊嚴的生物識別信息給予特殊保護,犯罪記錄、受害經(jīng)歷等信息只能被劃入第三層級等。因此應對當前分級保護體系進行調整與完善,以合理認定“情節(jié)嚴重”,進而實現(xiàn)對侵犯公民個人信息罪的準確適用。

二、 “情節(jié)嚴重”中信息分級保護現(xiàn)狀

1. 信息分級保護的正當性與必要性

在對“公民個人信息”進行統(tǒng)一定義的基礎上, 根據(jù)各信息的具體類型將其分為不同層級, 進而實行分級保護的模式具有其正當性與必要性。

第一,不同種類的公民個人信息在刑法保護必要性與緊迫性程度上存在差異?！霸谫Y訊時代,個人信息是海量的,僅就重要程度而言,林林總總的個人信息是不可等量齊觀的”[1],而重要程度的差別主要就體現(xiàn)在刑法對各類信息保護的必要性與緊迫性上。例如:受道德、風俗等多重因素的影響,與性相關的信息一旦泄漏則會在隱私、名譽等方面對權利人造成嚴重損害,因此其更需要刑法的介入與保護;而身高體重、年齡、生日等雖也屬于個人信息,但很明顯相較于前者而言其泄漏通常不會導致嚴重后果,因此其受刑法保護的需求亦沒有那么迫切。正是因為各類信息在保護必要性與緊迫性程度上存在差異,刑法也應對其作出輕重有別的反應,以適配于不同的信息類型,即對具有高保護必要性與緊迫性的信息給予高強度的特殊刑法保護,對具有低保護必要性與緊迫性的信息給予低強度的一般刑法保護,也就是所謂的分級保護模式。需要注意的是,刑法保護必要性與緊迫性的判斷標準在于侵犯公民個人信息行為所導致的人身、財產(chǎn)等權利的損害,損害越大則對該信息的刑法保護必要性與緊迫性程度越高,反之亦然。這種損害體現(xiàn)在兩個方面:其一,由于侵犯信息行為本身所導致的損害,例如,基因信息反映了人之為人的最本質特征,作為生命的密碼,其關涉人最本源層面的尊嚴[2],因此對基因信息的侵犯嚴重損害了信息主體的人格尊嚴,其具有高程度的刑法保護必要性與緊迫性;其二,侵犯公民個人信息行為引起關聯(lián)犯罪,后者導致人身、財產(chǎn)等權利損害,例如,人臉識別信息的泄漏極易導致詐騙、盜竊、侮辱等犯罪,這些犯罪嚴重危及信息主體及他人的人身、財產(chǎn)安全,因而相較于身高、體重等引起犯罪可能性較小的信息而言,人臉識別信息具有更高程度的刑法保護必要性與緊迫性。

第二,大數(shù)據(jù)時代公民個人信息具有不同的內在價值,各主體對價值需求的側重也存在差別。個人信息承載著信息主體的個人自由和人格尊嚴,且其與人身、財產(chǎn)等基本權利相聯(lián)系,因此對其進行法律保護是不言而喻的。然而隨著大數(shù)據(jù)時代的到來,個人信息的內在價值開始被發(fā)掘,其逐漸成為現(xiàn)代社會發(fā)展的核心資源與強大動力,在政治、經(jīng)濟、科技、文化、醫(yī)療、娛樂等各方面發(fā)揮著不可替代的重要作用[3]。因此僅僅強調對公民個人信息的保護是不夠的,還應順應時代發(fā)展潮流,充分考慮其現(xiàn)實作用,實現(xiàn)個人信息保護與利用間的平衡。因此可以看出,在當前時代背景下,公民個人信息所內嵌的最主要的兩種價值為保護與利用。根據(jù)需求主體的不同,這兩種價值具體可以分為信息主體對信息隱私的保護需求、信息從業(yè)者對信息利用的商業(yè)需求、公眾對個人信息的獲取和利用需求、政府對個人信息的公共管理需求四類[4]。不同類型的信息所側重的價值與需求各不相同,例如:公開信息由于其公共可獲取性而反映出權利主體對其的保護需求相對較弱,某些公開信息,權利人甚至希望其能夠廣泛傳播與流轉,以實現(xiàn)廣告宣傳、商貿聯(lián)系等價值,因此對該信息而言,利用價值高于保護價值;非公開信息的非公開狀態(tài)反映了權利人不愿其信息為他人知曉的心態(tài),因此對該信息應更加注重保護而非利用。正是由于公民個人信息蘊含多元的內在價值且不同種類信息所反映的價值需求有所區(qū)別,因此法律乃至刑法在介入時應充分考慮各信息間的差異,作出相應的適度反應。例如,張新寶提出“兩頭強化,三方平衡”的個人信息保護理論,即通過強化個人敏感隱私信息的保護和強化個人一般信息的利用,調和二者之間的需求沖突,實現(xiàn)信息主體、信息業(yè)者與國家三方主體間的利益平衡[5]。

第三,既有規(guī)范基礎上的體系性思維。分級保護的實質在于將公民個人信息劃分為不同的層級,進而對某些信息實行特殊保護。盡管我國當前法律規(guī)范中并未出現(xiàn)分級保護的表述,但其內容已經(jīng)開始體現(xiàn)出對不同信息進行區(qū)分保護的趨勢。例如:《個人信息保護法》第二章專設一節(jié)來規(guī)定敏感個人信息的處理規(guī)則,其在處理目的、告知內容、同意方式等方面均明顯嚴格于對一般信息的處理;《征信業(yè)管理條例》第13條規(guī)定“采集個人信息應當經(jīng)信息主體本人同意”,但緊接著第14條又強調,對于宗教信仰、基因、指紋、血型等信息,征信機構完全禁止采集;《信息安全技術——個人信息安全規(guī)范》與《信息安全技術——公共及商用服務信息系統(tǒng)個人信息保護指南》均區(qū)分了敏感信息與一般信息,并對前者的處理提出了更高程度的要求?！胺审w系是指由一國現(xiàn)行的全部法律規(guī)范按照不同的法律部門分類組合而成的一個呈現(xiàn)體系化的有機聯(lián)系的統(tǒng)一整體。”[6]刑事立法、司法以及學術研究應貫徹體系性的思維,使得其他法領域內的最新成果能夠及時、有效地進入刑法范疇。因此,民法、行政法等前置法上對于不同信息進行區(qū)分保護的規(guī)定不僅體現(xiàn)在侵犯公民個人信息罪中“違反國家有關規(guī)定”這一前提要件的內容上,更是為在“情節(jié)嚴重”中設置分級保護提供了借鑒與參考[7]。

2. 信息分級保護的司法解釋規(guī)定

如前所述,《解釋》第5條第1款第(三)至(五)項規(guī)定了“情節(jié)嚴重”認定的“信息類型與數(shù)量”標準,該標準根據(jù)受侵害信息類型的不同將其劃分為三個層級并設置了高低有別的入罪門檻,對公民個人信息進行分級保護,具體如下。

第一層級為“非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產(chǎn)信息五十條以上的”。 這一層級入罪門檻最低, 只需50條即可構成“情節(jié)嚴重”, 因此僅適用于最具刑法保護必要性與緊迫性的信息類型, 即行蹤軌跡信息、通信內容、征信信息、財產(chǎn)信息四類。 此處采取完全列舉的形式將符合條件的信息類型全部列出, 構成一個封閉區(qū)間, 以此限制該層級所涉的信息范圍, 不允許司法適用中再通過“等外”解釋予以擴大。

第二層級為“非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息五百條以上的”。這一層級采取概括加列舉的形式對所包含的信息類型進行界定。一方面,該層級規(guī)定有“……等其他……”的表述,因此除已經(jīng)列舉出的四項之外,與公民人身、財產(chǎn)安全相關的其他信息類型也應被包含在內,但需要注意的是,并非“必然影響人身、財產(chǎn)安全”,而只是“可能”;另一方面,所涉其他信息類型在刑法保護必要性與緊迫性程度上應與住宿信息、通信記錄、健康生理信息、交易信息具有相當性[8]。

第三層級為“非法獲取、出售或者提供第三項、第四項規(guī)定以外的公民個人信息五千條以上的”。這一層級作為兜底條款,對侵犯上述兩層級范圍之外的其他信息類型的行為進行規(guī)制。由于該層級信息重要性程度最低,因此入罪門檻設置得最高,需要非法獲取、出售或者提供5 000條以上才能構成“情節(jié)嚴重”。

部分學者認為,《解釋》第5條第1款第(三)至(五)項將公民個人信息分為高度敏感信息、一般敏感信息和非敏感信息三類,并以此為依據(jù)分別設置入罪門檻,對其進行分級保護[9]。這樣的觀點具有一定的規(guī)范依據(jù),2018年最高人民檢察院頒布的《檢察機關辦理侵犯公民個人信息案件指引》(以下簡稱《指引》)認定《解釋》中第一層級與第二層級信息均與公民人身、財產(chǎn)安全直接相關,只是重要性程度不同,且從其表述可知該《指引》認為“可能影響人身、財產(chǎn)安全的信息”為敏感信息,據(jù)此《解釋》中第一層級與第二層級信息符合敏感信息的要求,而第三層級信息即為非敏感信息。然而筆者認為:高度敏感信息、一般敏感信息和非敏感信息是學理上對公民個人信息的分類方式之一,但刑法條文以及《解釋》本身并未出現(xiàn)相關表述;即使《指引》中將《解釋》第一層級與第二層級信息認定為敏感信息,但仍未作出進一步劃分。另外,目前涉及敏感信息與非敏感信息分類的主要是民事、行政領域的規(guī)范,且各規(guī)范間對敏感信息的定義相互抵牾,不同學者的觀點也各異(1)例如:《信息安全技術——個人信息安全規(guī)范》將敏感個人信息定義為“一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息”;而《信息安全技術——公共及商用服務信息系統(tǒng)個人信息保護指南》認為敏感個人信息是指“一旦遭到泄露或修改,會對標識的個人信息主體造成不良影響的個人信息”。二者對敏感個人信息的定義明顯不同,其具體范圍亦相互區(qū)別。,因此在敏感信息與非敏感信息本身劃分尚未明晰的情況下,不宜將其引入刑法領域。是故,《解釋》只是按照刑法保護必要性與緊迫性程度將公民個人信息分為三個層級,沒有必要刻意將其與高度敏感信息、一般敏感信息、非敏感信息的分類一一對應。

三、 信息分級保護現(xiàn)狀的困境與反思

《解釋》第5條第1款第(三)至(五)項規(guī)定的公民個人信息分級保護模式基于不同類型信息的重要程度,依據(jù)其刑法保護必要性與緊迫性設置了高低有別的入罪門檻,有利于實現(xiàn)罪責刑相適應。但需要注意的是,當前信息分級保護模式的具體構造在結構設置、要素范圍、排列順序等方面仍存在著無法彌合的固有缺陷。

1. 第一層級要素范圍過窄

第一層級為刑法保護必要性與緊迫性程度最高的層級,因此《解釋》設置了最低的入罪門檻,僅需非法獲取、出售或者提供相關信息50條以上即可構成“情節(jié)嚴重”。為限制處罰范圍,本層級采取完全列舉方式,僅包含行蹤軌跡信息、通信內容、征信信息、財產(chǎn)信息。前述四類信息之重要程度自不待言,將其放置于第一層級也無太大爭議,但除此之外還存在其他同樣具有高程度刑法保護必要性與緊迫性的個人信息,侵犯此類信息的行為亦將導致人身、財產(chǎn)等權利的嚴重損害。然而由于第一層級屬于封閉區(qū)間,要素范圍固定,因此這些信息被排除于第一層級之外,難以體現(xiàn)其自身重要性,也無法實現(xiàn)刑法對該類信息的特殊保護。例如,基于自然人生物特征的生物識別信息具有唯一性,難以甚至無法更改[10],因此其不具備匿名化的可能,一旦泄漏或被別有用心的人掌握,便會給權利人的人身、財產(chǎn)安全以及人格尊嚴造成巨大的威脅,并且權利人無法像更換手機號碼、住址那樣來預防和阻斷未來侵害行為的發(fā)生,故這種損害是持續(xù)的、長久的、難以根除的[11]。另外,侵犯生物識別信息行為已經(jīng)造成的影響與后果具有不可逆性,若其被非法采集、提供或者濫用,給權利主體造成的損害無法彌補與修復,即使事后采取一定的補救措施,也無法完全消除已經(jīng)造成的不利影響。正如伊利諾伊州最高法院在六旗公司(Six Flags)侵犯隱私案的判決中所寫道的:“若生物識別特征和信息沒有得到適當?shù)谋Ｗo,可能導致實質性和不可逆轉的傷害?！盵12]同時,生物識別技術運用廣泛,生物識別信息安全關系重大,侵犯該類信息的行為會導致不同領域且危害巨大的下游犯罪,并且這些依附于生物識別信息的犯罪,其觸手會隨著生物識別技術的普及而深入到社會生活的方方面面,如智能支付、門禁安防、交通出行、金融認證、出入境管理等。正是由于生物識別信息所具有的上述特殊性,使其具備了與其他普通公民個人信息不同的重要性,因此侵犯生物識別信息的行為會導致權利人遭受更加嚴重的人身、財產(chǎn)安全損害,其具有更高程度的刑法保護必要性與緊迫性。但既定分級保護模式中,第一層級所涵蓋的要素范圍過窄,不包括生物識別信息,導致公民的人格尊嚴、核心隱私、人身和財產(chǎn)安全等一系列權益無法得到相應的保護,也使得刑法無法有效且有力地打擊侵犯生物識別信息的犯罪行為。

2. 第二層級認定標準單一

第二層級采取非完全列舉加概括的方式劃定應適用“五百條以上”入罪標準的信息范圍。需要注意的是,該層級雖通過“……等其他可能影響人身、財產(chǎn)安全的公民個人信息”的表述,使其包含的信息類型不局限于已經(jīng)列舉出的住宿信息、通信記錄、健康生理信息、交易信息四類,但“可能影響人身、財產(chǎn)安全”標準本身過于單一,不利于該層級范圍的合理界定,也難以有效實現(xiàn)信息分級保護的最終目的。這主要體現(xiàn)在,人身、財產(chǎn)安全的范圍較窄,尤其是人身安全,其并不等同于人身權利安全,不包括人格權、身份權等全部的人身權利。根據(jù)《最高人民法院關于審理人身損害賠償案件適用法律若干問題的解釋》第1條對人身損害的規(guī)定推導,人身安全指的是生命、身體、健康安全。因此,第二層級僅包含可能影響生命、身體、健康及財產(chǎn)安全的公民個人信息。但這一標準過于單一,無法涵蓋隱私、自由、名譽等權利,而這些權利對自然人而言同樣極為重要,若將其排除于第二層級的認定標準之外,與之相關的信息類型則只能被劃入第三層級,適用要求最高的入罪門檻,如此則無法實現(xiàn)對該類信息的特殊保護,同時也不利于刑法對侵犯該類信息行為的有效打擊。例如,由于犯罪記錄包含行為人的姓名、性別、年齡、犯罪事由、裁判結果等內容,且其能夠單獨或與其他信息相結合進而指向特定犯罪人,具有可識別性特征,因此無論從“內容構成”還是“本質要素”來看,犯罪記錄均屬于公民個人信息[13]。雖根據(jù)《最高人民法院關于人民法院在互聯(lián)網(wǎng)公布裁判文書的規(guī)定》,除部分特殊情形外,裁判文書應當在互聯(lián)網(wǎng)公開,但我國《刑事訴訟法》第286條規(guī)定了未成年人犯罪記錄封存制度,即未成年人被判處五年有期徒刑以下刑罰的犯罪記錄應當予以封存。因此未成年人的犯罪記錄屬于非公開信息,其關涉相關未成年人的隱私、名譽等重要權利。若行為人非法獲取或提供該犯罪記錄,不僅會導致對上述權利的嚴重侵害,而且將產(chǎn)生“標簽化”“污名化”的附隨效果,使相關未成年人在教育、就業(yè)、生活等方面遭受歧視,影響其順利復歸社會[14]。但犯罪記錄的泄漏不會對權利人人身、財產(chǎn)安全產(chǎn)生影響,因此若按照現(xiàn)行分級保護模式,其只能被劃歸于第三層級,需達到5 000條以上才能構成“情節(jié)嚴重”,如此高的入罪門檻與侵犯該類信息行為所造成損害的嚴重程度不相適配,無法實現(xiàn)對犯罪記錄的有效保護與對侵害行為的有力打擊。除犯罪記錄外,類似的與人身、財產(chǎn)安全無關,但涉及隱私、自由、名譽等重要權利的信息還包括受害經(jīng)歷、民族、種族、宗教信仰等。

3. 第三層級行為類型缺失

第三層級作為兜底條款,規(guī)定了非法獲取、出售或提供《解釋》第5條第1款第(三)項、第(四)項以外公民個人信息的“情節(jié)嚴重”認定標準,但由于《解釋》第6條將為合法經(jīng)營活動而非法購買、收受上述信息行為的“情節(jié)嚴重”標準單獨規(guī)定,因此第三層級只能涵蓋基于非法目的而非法獲取、出售或提供上述信息的情形?！督忉尅返?條規(guī)定的具體認定標準包括“利用非法購買、收受的公民個人信息獲利五萬元以上”“曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰,又非法購買、收受公民個人信息”以及“其他情節(jié)嚴重的情形”,并未明示規(guī)定信息數(shù)量標準。因此為合法經(jīng)營活動而非法購買、收受《解釋》第5條第1款第(三)項、第(四)項以外公民個人信息的行為不僅在形式上脫離于第三層級,而且在實質上亦無法被納入分級保護體系,導致行為類型的不完整。綜合觀之,第三層級乃至整個分級保護模式中行為類型的欠缺,其本質不在于為合法經(jīng)營活動而非法購買、收受上述信息行為的“情節(jié)嚴重”標準被《解釋》第6條單獨規(guī)定,而在于第6條并未設置相應的信息數(shù)量標準,由此導致定罪量刑上的問題與矛盾。雖有學者認為,《解釋》第6條與第5條實際上是特別規(guī)定與普通規(guī)定的關系,應當適用特別法條優(yōu)于普通法條的一般原則,既然第6條未規(guī)定信息數(shù)量標準,就無需考量行為人非法購買、收受公民個人信息的條數(shù)[15]。例如,若從事合法經(jīng)營活動的行為人非法購買或收受公民個人信息5 000條以上但獲利未滿5萬元,則不符合“情節(jié)嚴重”的認定標準,進而不構成侵犯公民個人信息罪。但這種觀點過分強調應基于目的合法性對行為人予以寬宥,而忽略了手段本身的非法性,無論行為人計劃利用所獲取的信息實施何種行為,其非法購買、收受的行為本身即已經(jīng)侵犯作為本罪法益的個人信息權。另外,由于數(shù)量是社會危害性結果可量化的犯罪中最重要的定罪條件,通常情況下非法獲取公民個人信息的數(shù)量越多,犯罪的社會危害性也就越大[16],而獲利數(shù)額反映的主要是行為人的犯罪行為收益,其未必能夠反映侵犯公民個人信息罪的法益侵害程度[17]。因此在行為人非法購買、收受信息數(shù)量巨大,達到千百萬甚至上億條,但由于各種原因導致其獲利不足5萬元的場合,若不考慮數(shù)量標準而僅關注獲利數(shù)額,則該行為不構成犯罪,這顯然是不合理的,也嚴重違背罪責刑相適應原則。

四、 “情節(jié)嚴重”中信息分級保護的結構調整與要素重構

由于《解釋》第5條第1款第(三)至(五)項所規(guī)定的分級保護模式存在上述問題,無法對不同類型的信息作出符合其刑法保護必要性與緊迫性的合理回應,因此需對其結構與具體要素進行調整,以實現(xiàn)對相關犯罪的有效打擊與對公民個人信息的周全保護。

1. 增加“生物識別信息”及“與性相關的信息”至第一層級

如前所述,為限制處罰范圍,入罪門檻設置最低的第一層級采取了完全列舉的方式,但其所列出的四類并未涵蓋全部具有高程度刑法保護必要性與緊迫性的個人信息,導致無法實現(xiàn)對侵犯該類信息行為的嚴厲打擊。因此應在保持第一層級完全列舉形式不變的情況下,增加相應的信息類別。筆者認為,應被新增列入第一層級的公民個人信息包括“生物識別信息”及“與性相關的信息”。

生物識別信息是指面部特征、指紋、聲紋、掌紋、虹膜、耳廓、個人基因等可識別自然人生理特性與行為特征的信息[18]。如前所述,生物識別信息運用廣泛,且其具有唯一性與難以更改性,因此侵犯生物識別信息行為對人身、財產(chǎn)等權利所造成的損害是持續(xù)的、長久的、不可逆的,其具有與行蹤軌跡信息、通信內容、征信信息、財產(chǎn)信息相當?shù)男谭ūＷo必要性與緊迫性,應被列入第一層級。有學者認為,由于生物識別信息具有的本體特殊性與社會特殊性,刑法應對其進行特殊保護,具體方式為將“非法獲取、出售或者提供生物識別信息五條及以上”納入為《解釋》第5條第1款第(十)項規(guī)定的“其他情節(jié)嚴重的情形”,即將生物識別信息單獨設置為第一層級,先前分級保護的三個層級順次后延,形成5條、50條、500條、5 000條的四個數(shù)量梯度[19]。筆者認為,由于生物識別信息的特殊性,侵犯該類信息的行為毫無疑問會造成人身、財產(chǎn)等權利的嚴重損害,但其重要性程度并非一定高于第一層級原本列舉的四類信息,并且根據(jù)司法實踐中發(fā)生的案例,“五十條以上”的認定標準已經(jīng)足以將具有嚴重法益侵害性的行為納入刑法規(guī)制范圍。因此,無需單獨設置更低的入罪門檻,將生物識別信息直接增加至第一層級即可。

與性相關的信息包括性生活、性取向、私密照片或視頻等。由于人類對性的羞恥感以及我國的文化傳統(tǒng),與性相關的信息屬于私密性極強的個人隱私,通常只存在于親密關系、私人對話、專業(yè)社會學調查或心理學檢測等特殊信任關系之中,是絕對不得觸及的核心領域,若其被他人非法獲取或公開,將會嚴重危及個人尊嚴[20]。另外,近年來與性視頻內容相關的霸凌事件及裸貸催債威脅事件等頻頻發(fā)生,表明此類與性相關的信息容易引發(fā)關聯(lián)犯罪且蓋然性程度較高。例如:2020年1月,網(wǎng)上流傳一則校園暴力視頻,施暴者群毆一中學女生并扒光其衣服拍攝裸照、視頻,該視頻被上傳至網(wǎng)絡并被轉發(fā)到廣東本地眾多微信群,引起激烈反響[21];2017年廈門某學院一大二在校女生因裸貸之后不堪還款壓力與催債騷擾,最終在賓館自殺身亡[22]。由此可見,與性相關的信息為人格領域中的私密領域,其實質內容涉及人格尊嚴的核心[23],且其與關聯(lián)犯罪的緊密性程度極高,對其進行侵犯的行為將造成個人尊嚴的嚴重損害,甚至還會危及信息主體的人身、財產(chǎn)等重要權利。因此,與性相關的信息具有高程度的刑法保護必要性與緊迫性,應將其納入第一層級的涵蓋范圍。

有學者認為,應按照與公民個人隱私權關聯(lián)的強弱將健康生理信息劃分為“與個人隱私直接相關的健康生理信息”與“普通健康生理信息”。前者如流產(chǎn)記錄、艾滋病、乙型肝炎、精神病病史等,刑法對其“情節(jié)嚴重”認定標準應從嚴把握,即將其劃入第一層級;后者如身高、體重、血型等,刑法對其入罪標準則可以適度放寬,即將其仍放置于第二層級[24]。筆者認為,侵犯健康生理信息將會危及信息主體的人身、財產(chǎn)等權利,但其程度要輕于侵犯行蹤軌跡信息、通信內容、征信信息、財產(chǎn)信息以及生物識別信息、與性相關信息所造成的損害,二者不具有相當性。另外,當前分級保護體系足以體現(xiàn)“與個人隱私直接相關的健康生理信息”與“普通健康生理信息”的差別,前者由于可能影響人身、財產(chǎn)安全而屬于第二層級,后者如身高、體重等則應納入第三層級。因此不應將健康生理信息劃入第一層級。另有學者認為,由于信息主體的特殊性,14周歲以下兒童的個人信息具有高程度的刑法保護必要性與緊迫性,且其被犯罪利用的可能性極高,例如2019年,由深圳市某公司制造生產(chǎn)的兒童手表被曝光存在嚴重的安全隱患,其中有5 000多名兒童及其父母的個人詳細信息和位置信息被曝光,不法分子甚至能假扮父母與孩子進行通話[25]。因此刑法應對兒童信息予以特殊保護,將其納入第一層級。筆者認為,兒童信息需要予以特殊保護的原因在于其主體的脆弱性,而非信息本身的重要性,即由于與成年人相比,兒童心智尚未成熟,也缺乏足夠的自我保護能力,因此需對其信息進行特殊保護,以實現(xiàn)對兒童權益的保障。但并不是所有兒童信息都是重要的,有些信息由于其自身內容與信息主體的人身、財產(chǎn)等權利并不相關,刑法保護的必要性與緊迫性程度較低。因此,“對于兒童的個人信息進行特殊保護的規(guī)定應在信息收集時的同意方式上予以明確體現(xiàn)”[26],例如《個人信息保護法》第31條規(guī)定,處理不滿14周歲未成年人個人信息的,應當取得其監(jiān)護人的同意,而無需將其統(tǒng)一規(guī)定入第一層級。

2. 將第二層級認定標準延展至“可能導致個人受到歧視”

當前分級保護模式下,第二層級的認定標準為“可能影響人身、財產(chǎn)安全”,意即只有可能影響生命、身體、健康及財產(chǎn)安全的公民個人信息才能被納入這一層級的涵蓋范圍。但除人身、財產(chǎn)安全外,還有諸如隱私、名譽等對信息主體同樣重要的權利,由于第二層級認定標準的單一,與這些權利相關的公民個人信息只能被劃入第三層級,適用“五千條以上”的入罪標準。因此應對第二層級的認定標準予以擴展,以合理劃定其邊界,實現(xiàn)對與公民重要權利相關的信息的周全保護。對于擴展的范圍,筆者認為應在認定標準中加入“可能導致個人受到歧視”,理由如下。其一,其他與人身、財產(chǎn)安全同等重要的權利有隱私權、名譽權等,與之相關的信息主要包括未公開的犯罪記錄、受害經(jīng)歷、民族、種族、宗教信仰、網(wǎng)頁瀏覽記錄等。這些信息若被非法獲取或公開,對信息主體造成的侵害主要在于使其遭受歧視性待遇。例如:因曾經(jīng)的犯罪記錄而影響求學、就業(yè);或因為曾受性侵的經(jīng)歷被曝光而導致名譽受損,甚至是遭受他人的污名化歧視;或因民族、種族、宗教信仰的不同而被他人排擠、打壓;抑或是運營商非法獲取用戶網(wǎng)頁瀏覽記錄,進而通過大數(shù)據(jù)分析為其提供不公平、不平等的服務,即“大數(shù)據(jù)殺熟”“算法歧視”等[27]。因此,“導致個人受到歧視”可以涵蓋上述權利受損的危害后果,為從形式上簡化認定標準的表述,在第二層級加入“可能導致個人受到歧視”標準即可。其二,雖本文不以高度敏感信息、一般敏感信息、非敏感信息定義第一、二、三層級,但相關規(guī)范對敏感信息的界定體現(xiàn)了法律對部分信息類型的特殊保護,對本文設置層級劃分的標準具有借鑒意義。例如,《信息安全技術——個人信息安全規(guī)范》第3.2條規(guī)定:敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。另外,部分國際規(guī)范也以“遭受歧視”作為界定敏感信息的標準,如《聯(lián)合國電子化個人數(shù)據(jù)檔案規(guī)范指南》規(guī)定,可能導致歧視并帶來差別化待遇的信息是敏感信息。由此可見,“導致個人遭受歧視”與人身、財產(chǎn)安全遭受損害具有同等的嚴重性,應將其作為第二層級的認定標準。另外需要注意的是,對“可能影響人身、財產(chǎn)安全”以及“可能導致個人受到歧視”標準的認定不應僅局限于對信息內容的判斷,還應注意動態(tài)性與關聯(lián)性,在具體情境中結合信息實際處理目的,綜合考量侵犯某類公民個人信息的行為是否達到上述標準[28]。

如前所述,第二層級采取的是不完全列舉加概括的表述形式。筆者認為,對第二層級的完善除延展認定標準外,還應增加列舉的信息種類,尤其是常見的重要類型,如個人聯(lián)系方式、未公開的犯罪記錄、受害經(jīng)歷、網(wǎng)頁瀏覽記錄等,以合理劃定第二層級的信息范圍并更加明確其與第三層級之間的區(qū)分,同時亦能彰顯刑法對這些信息的重視與關注。

3. 為《解釋》第6條設置信息數(shù)量標準

由于《解釋》第6條未設置認定“情節(jié)嚴重”的信息數(shù)量標準,使得為合法經(jīng)營活動而非法購買、收受《解釋》第5條第1款第(三)項、第(四)項規(guī)定以外公民個人信息的行為無法被納入現(xiàn)行分級保護體系,造成該體系內行為類型的缺失,進而導致基于合法目的而非法獲取、收受公民個人信息數(shù)量巨大但獲利不足5萬元的情形無法被認定為侵犯公民個人信息罪的不合理結論。因此,應為《解釋》第6條設置相應的信息數(shù)量標準,以實現(xiàn)分級保護體系內行為類型的完整性,并解決前述定罪量刑上的問題與矛盾。雖第6條規(guī)定的認定標準中有“其他情節(jié)嚴重的情形”這一兜底條款,但從該條與第5條的關系以及其已經(jīng)列舉出的前兩項標準可以看出,兜底條款很明顯是為以后可能出現(xiàn)的新情況留下的缺口,并不包含在第5條中早已規(guī)定的信息數(shù)量標準。另外,司法解釋是對刑法條文的進一步詮釋,其內容應更加明確且具有可操作性,進而為司法人員提供可資參考的裁判依據(jù),而從“其他情節(jié)嚴重的情形”這一表述中無法看出其包含有確切的信息數(shù)量標準。因此,筆者認為:應在《解釋》第6條已有內容的基礎上,規(guī)定明確的數(shù)量標準,具體設定為5萬條,理由如下。其一,雖行為人非法購買、收受公民個人信息,但其畢竟主觀上是為了合法的經(jīng)營活動,目的具有合法性,并且這一行為在司法實踐中比較常見,社會危害性較小,如非法獲取他人信息進行業(yè)務拓展或者廣告宣傳的情形等。因此秉持刑法的謙抑性原則與寬嚴相濟的刑事政策,應對其更加寬宥,設置較高的入罪門檻以達到限制處罰的目的。其二,《解釋》第6條所涉信息為第5條第1款第(三)項、第(四)項以外的信息類型,與該款第(五)項規(guī)定的類型一致,因此考慮到第6條中行為人主觀目的的合法性,為其設置的具體信息數(shù)量應多于第5條第1款第(五)項中的“五千條”;又由于當前分級保護體系中第一、二、三層級分別對應“五十條”“五百條”“五千條”的入罪門檻,呈現(xiàn)出10倍遞增的梯度關系,因此順次推導下去,將《解釋》第6條的數(shù)量標準設置為“5萬條”是相對合理的。其三,《解釋》第6條第1款第(一)項規(guī)定,“利用非法購買、收受的公民個人信息獲利五萬元以上的”構成“情節(jié)嚴重”,其數(shù)額標準與第5條第1款第(七)項所規(guī)定的“違法所得五千元以上”為10倍遞增關系。雖由于在是否應扣除成本方面存在區(qū)別,不應將“獲利”與“違法所得”混為一談,但畢竟其二者均通過行為人侵犯公民個人信息行為所產(chǎn)生的收入來衡量其行為的法益侵害程度,且考慮到形式上各層級間遞增倍數(shù)的協(xié)調性,因此應將《解釋》第6條的數(shù)量標準設置為5萬條,以與“獲利”與“違法所得”間10倍的遞增關系相契合[29]。為《解釋》第6條設置5萬條的數(shù)量標準后,為合法經(jīng)營活動而非法購買、收受《解釋》第5條第1款第(三)項、第(四)項規(guī)定以外公民個人信息的行為即被納入分級保護體系,由于其入罪門檻最高,因此應作為第四層級。第一、二層級由于所涉信息類型本身極具刑法保護必要性與緊迫性,侵犯相關信息的行為將會導致信息主體人身、財產(chǎn)等權利的重大損失,因此其不再按照行為目的進行具體劃分,而是統(tǒng)一規(guī)制非法獲取、出售或者提供相關信息的行為。

至此,在結合當前分級保護模式所存在的問題對其結構與具體要素進行調整之后,形成四層級的分級保護體系,即具有下列情形之一的,應當認定為《刑法》第253條之一規(guī)定的“情節(jié)嚴重”:①非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產(chǎn)信息、生物識別信息、與性相關的信息50條以上的;②非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息、個人聯(lián)系方式、個人經(jīng)歷信息、網(wǎng)絡關聯(lián)信息等其他可能影響人身、財產(chǎn)安全或可能導致個人受到歧視的公民個人信息500條以上的;③以非法目的非法獲取、出售或者提供①、②規(guī)定以外的公民個人信息5 000條以上的;④為合法經(jīng)營活動而非法購買、收受①、②規(guī)定以外的公民個人信息5萬條以上的。

五、 結 論

侵犯公民個人信息罪是典型的情節(jié)犯,構成該罪要求行為必須達到“情節(jié)嚴重”的程度,因此作為認定犯罪的決定性要素,“情節(jié)嚴重”的具體內涵與認定標準顯得尤為重要[30]?！督忉尅返?條第1款第(三)至(五)項規(guī)定了公民個人信息的分級保護模式,其根據(jù)信息類型的不同設置高低有別的入罪門檻,體現(xiàn)了對重要信息的特殊保護。但這種保護模式在結構設置、具體要素的范圍與排列等方面存在第一層級要素范圍過窄、第二層級認定標準單一、第三層級行為類型欠缺的弊端,因此應予以調整與完善。具體而言,應在第一層級中增加“生物識別信息”及“與性相關的信息”;將第二層級的認定標準延展至“可能導致個人受到歧視”,并且增加列舉常見的信息類型;為《解釋》第6條設置“5萬條以上”的信息數(shù)量標準,使其被納入分級保護體系并作為第四層級。結構重塑之后的分級保護體系在層級劃分方面更具合理性,其能夠根據(jù)不同信息類型在刑法保護必要性與緊迫性上的區(qū)別作出輕重適度的刑法反應,有利于貫徹罪責刑相適應原則,并實現(xiàn)信息保護與利用之間的雙向平衡。