作者 | 杨楠(法学博士,北京理工大学法学院助理教授)
来源 |《法学家》2023年第3期“视点”栏目。
因篇幅较长,已略去原文注释。
目录
一、侵犯公民个人信息罪“为合法经营”的理论误区与实践困境
二、侵犯公民个人信息罪“为合法经营”的规范本质与体系定位
三、侵犯公民个人信息罪“为合法经营”的规范适用路径
结论
2017年6月1日最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)对为合法经营而非法获取公民个人信息的行为规定了特殊的定罪量刑标准。根据《解释》,非法获取非敏感个人信息用于合法经营且所涉信息未被进一步扩散的,不法行为法益侵害不大,即使构成犯罪也无须提升量刑档,由此贯彻宽严相济的刑事政策,保障刑法的“最后手段”性。然而,这一规定是否得以有效适用,轻罪轻罚、罪刑均衡的初衷能否实现,就值得我们深入检省。
一、侵犯公民个人信息罪“为合法经营”的理论误区与实践困境
(一)“为合法经营”的功能含混
“为合法经营活动”是适用《解释》第6条的前提之一。有学者指出,作为一种目的性表述, “为合法经营活动”是区分行为人罪过程度及社会危害程度的表征,是定罪量刑的依据;根据司法解释的价值取向并运用体系解释方法可以认为,其本质上属于主观超过要素的目的,是“短缩的二行为犯”;但特殊之处在于,此处的目的是一种呈现反向态势的合法目的。可见,该观点将“为合法经营”作为判断侵犯公民个人信息罪成立与否的要素之一。在“张某某侵犯公民个人信息案”中,被告人为拓展贷款业务,非法获取包括姓名、楼号和面积、联系方式等财产信息以及包括姓名、身份证号、贷款记录等交易信息,并将财产信息提供给他人。在本案中,法官没有将被告人为拓展贷款业务而非法购买的个人信息作为不法判断的依据。本案审判长还曾撰文指出,被告人非法获取企业法定代表人信息是为了推销贷款业务,属于合法经营活动,法益影响程度极低,不必纳入刑法调整范畴。为合法经营而交换一般个人信息的,对行为人非法获取一般个人信息的行为不予评价,获取信息的数量不作为定罪依据。同样地,在“刘某、张某等侵犯公民个人信息案”中,刘某、张某共同非法向他人提供个人信息;朱某某等在合法经营活动中收受个人信息。辩护人提出,合法经营以及从事外呼业务的营收额,不应用于定罪量刑。法官对此予以采纳。
当然,也有学者持不同意见。有人认为,为合法经营而非法获取个人信息的行为与出售、提供个人信息的行为不同,应坚持宽严相济的刑事政策,在量刑上予以贯彻。也有观点指出,该罪不是目的犯,特定目的和动机至多作为量刑情节,《解释》第6条超越刑法规定限缩了本罪的构成要件。在“吴某某等侵犯公民个人信息案”中,吴某某将包含纳税人名称、法定代表人姓名、电话号码等涉及个人信息的企业数据出售给他人获利,法院认定其构成侵犯公民个人信息罪。但在量刑时指出,行为人因合法经营而购买个人信息,并有坦白、积极退赃等情节和悔罪表现,决定从轻处罚并适用缓刑。此外,在“周某、付某某等侵犯公民个人信息案”中,付某某指使他人向周某购买大量个人信息,检察机关指控其构成侵犯公民个人信息罪。法院认定,被告人在实施犯罪行为时均有正当工作,基本都以开展业务为初衷,所获信息未进一步传播,故对其酌情从轻处罚。在“黄某某侵犯公民个人信息案”中,黄某某通过购买、讨要等方式非法获取多位业主的姓名、电话、房号等信息后,将其中一部分提供给他人。被告人以信息用于合法经营为由主张适用缓刑,法院对此也予以采纳。在本案中,被告人非法获取的信息中存在敏感信息,部分不法获取的信息也被非法出售,并不满足适用《解释》第6条的前提。但是,“为合法经营”却被作为了量刑情节,对行为人酌情从轻处罚。
至此不免疑问,“为合法经营”究竟在侵犯公民个人信息罪的认定中发挥何种机能,是用于判断不法的构成要件要素,还是量刑要素?该问题不仅对具体案件的认定意义重大,还关乎刑法释义学体系的圆通自洽,而法律体系化也对形成稳定的法律秩序、塑造共同体的整体意识尤为关键。
(二)有关情节架空特殊条款
在为合法经营而非法获取个人信息的情况下,《解释》出于宽大处理的考虑为此设定了特殊条款。然而,司法实践中往往排除对该特殊条款的适用,具体如下:
第一,怠于解释兜底条款。《解释》第6条的“情节严重”中,除了获利数额达到法定标准、受过行政处罚之外,还有“其他情节严重的情形”这一兜底条款。根据同类解释原理,“其他情节严重的情形”应与“利用非法购买、收受的公民个人信息获利五万元以上”“因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚又非法购买、收受公民个人信息”在不法上相当。在“胡某某等侵犯公民个人信息案”中,被告人为合法经营而非法获取个人信息12万余条供内部销售业务所用,且未向他人提供。法官认定该行为满足《解释》第6条第1款第3项中的“其他情节严重的情形”。然而,一些案件明明具备适用特殊规定的条件,却因信息数量达到《解释》第5条第2款的规定,转而适用该一般条款。在“盛某侵犯公民个人信息案”中,检察机关指控被告人在网上非法获取个人信息5万余条,构成侵犯公民个人信息罪。辩护人以信息数量不准确以及非法获取是为合法经营为由,主张不满足“情节特别严重”,但一审法院对此不予支持。在二审中,法官认为一审法院适用法律有误,所涉信息不是“财产信息”,应根据《解释》第6条认定为“情节严重”,遂改判。其实,《解释》第5条与第6条属于一般与特殊的关系,在发生竞合的情况下应优先适用特殊规定。本案一审法官怠于解释“其他严重情节”而径行适用《解释》第5条第2款,不仅使“为合法经营”这一特殊规定被架空,而且加重了被告人的刑事责任,这失之合理。
第二,不当扩张信息类型。适用《解释》第6条的另一个条件是,所涉个人信息属于《解释》第5条第1款第3、4项以外的非敏感个人信息。该款第3项罗列了包括行踪轨迹、通信内容、征信信息和财产信息在内的四类个人信息,内容明确具体;然而第4项却采用“归纳+演绎”的方式框定信息类型,呈现出开放性。而且,“可能影响人身、财产安全的公民个人信息”几乎可以将所有个人信息纳入其中。这是因为,个人信息具有可识别性和关联性;刑法所保护的个人信息是,能识别特定自然人或与特定自然人有关的,影响其人身法益和财产法益(多为附随法益)的信息。这样一来,《解释》第6条与第5条第1款第4项就不存在实质性区分了。信息的可识别性还可分为直接识别性与间接识别性。随着数据科技的发展,只要保证数据量充足,即使关联微弱的信息也存在结合其他信息识别出特定自然人的可能。这便导致,数字技术越发达,个人信息的外延就越宽泛,可能影响人身和财产安全的信息也就越多,而《解释》第6条的适用范围也就越逼仄。在“余某等侵犯公民个人信息案”中,一审法院认定余某以其他方法非法获取公民个人信息,向他人出售、提供公民个人信息,情节特别严重;沈某向他人提供公民个人信息,情节严重,二人均构成侵犯公民个人信息罪。对此,上诉人认为,所涉信息应认定为普通个人信息,根据司法解释不构成犯罪。法官指出,房号、业主姓名、电话号码、家庭住址等信息与“住宿信息、通信信息、健康生理信息、交易信息”具有同等重要性,应认定为其他可能影响人身、财产安全的公民个人信息。对此也不免有疑问,本案所述的“同等重要性”是如何体现的?意指某一具体信息与有关信息重要性等同,还是所涉信息结合起来与所载明信息的重要性等同?若肯认前者,那本案所涉的哪一项信息与规定中的信息的重要性相对应?如果肯认后者,是否可以认为,几乎任何案件中的所涉信息结合起来均可能与前述信息同等重要?若如此,《解释》第6条是否还存在可得适用的空间?
对上述问题的误读还会进一步导致,对不同案件中同类信息的法律属性产生截然相反的认定结论。例如,在“张某甲等侵犯公民个人信息案”中,被告人购买了包含姓名、手机号等个人信息9万余条,用于从事电话推广业务。之后,张某将部分信息出售给徐某,其中包含姓名、手机号等个人信息6万条。对其为合法经营而非法购买个人信息的行为,法院认定构成侵犯公民个人信息罪,情节严重。可见,法官并未将姓名和电话号码等信息作为可能影响人身、财产安全的个人信息,而前述的“余某等侵犯公民个人信息案”却不然。这一方面表明,以特定信息类型为依据,判断相关信息是否可能影响人身安全和财产安全这一标准实际操作性不强,另一方面也佐证了《解释》第5条第1款第4项的开放性和包容性足以将绝大多数信息纳入其项下。但是,这对第6条的适用而言、对为合法经营非法获取公民个人信息行为的宽宥而言,无疑是灾难。
第三,关于受过处罚又再犯的特别规定形同虚设。《解释》第6条中规定的一种“情节严重”是“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买或收受公民个人信息的”。有观点认为,这一规定仅规制非法购买、收受公民个人信息的行为,与《解释》第5条第1款第9项存在区别。然而,本文认为,二者似乎不存在实质性差异。无论非法获取信息的目的为何、无论所涉信息类型如何、也无论行为人获取信息之后是否非法提供,只要存在《解释》规定的违法犯罪前科又非法获取个人信息的,就构成本罪,也满足“情节严重”,对应的罪刑阶段也一致。因此,在上述情况下,对“为合法经营”而非法获取个人信息行为的宽宥空间就仅在于不升档量刑,入罪门槛并未降低。此外,司法实践中往往对“因……受过处罚”做扩大解释,将非法获取个人信息而用于实施其他犯罪的案件也作为上述情形处理。例如,在“雷某、罗某某等侵犯公民个人信息案”中,检察机关认为,被告人罗某某非法获取公民个人信息之后又将其中的一部分出售给他人,情节特别严重,构成侵犯公民个人信息罪。被告人辩称,其购买信息是为商品推销,属于合法经营行为。法官虽然对被告人合法经营的事实予以确认,但同时指出罗某某曾低价购买和窃取物运单侵犯公民个人信息、骗取他人钱财,曾被判诈骗罪。依照《解释》第6条第1款第2项,构成侵犯公民个人信息罪。如果依上述逻辑,“曾因侵犯公民个人信息受过刑事处罚”就包含如下情形:其一,行为人存在侵犯公民个人信息的一般违法行为,尚不够入罪条件,所涉个人信息被用于其他违法犯罪的;其二,行为人先前所涉案件中的不法获取、使用或提供行为构成侵犯公民信息罪,但数个不法行为存在牵连或者吸收关系,最终以其他犯罪定罪处刑的;其三,行为人曾因不法获取、使用或提供公民个人信息被判处侵犯公民个人信息罪,可能是一罪也可能是数罪并罚。对于后两种情况并无异议,但如果将第一种情形也解释为“因侵犯公民个人信息受过刑事处罚”的话,只要被告人先前所涉案件中存在侵犯公民个人信息这一情节都会被认定为因侵犯公民个人信息受过刑事处罚,这显然超越了文字的基本意涵,也脱逸出了公民的合理预期。
在积极主义刑法观的导向下,刑法积极参与社会治理成为立法和司法的信条。“为合法经营”这一特殊规定功能上的含混招致了其与构成要件、目的犯等理论相冲突的后果;定罪情节与量刑情节的混同还引发了规范评价失准的危险;司法实践中怠于解释兜底条款、不当扩张特殊规定适用前提、误读行为人违法犯罪前科,使《解释》中的特别规定形同虚设……总之,对为合法经营而非法获取个人信息行为的认定还存在诸多问题,这也使本不畅通的从宽处罚路径愈加逼仄。
二、侵犯公民个人信息罪“为合法经营”的规范本质与体系定位
上述理论误区与实践困境看似归属于不同范畴,但其症结指向“为合法经营”的释义学本质。刑法中的犯罪情节包括定罪情节和量刑情节,前者是具有犯罪成立意义的事实情况,后者则是在已经成立犯罪的前提下,法院裁量时据以决定量刑轻重或免于刑罚的各种情况。若某情节已被定为犯罪成立条件,就只能是犯罪成立要素,其关涉犯罪的有无;量刑情节反映犯罪的轻重和作案人的再犯可能性。那么,“为合法经营”究竟是定罪情节还是量刑情节?若属前者,其影响不法还是责任?若属后者,其影响责任刑还是预防刑?只有明确“为合法经营”的规范本质,才能从根本上纾解这些问题。
(一)“为合法经营”不属于定罪情节
通常情况下,定罪情节包括犯罪主体、不法行为和结果、主观故意或过失等有关不法和责任的事实。首先,“为合法经营”不是构成要件之要素。不法是指,行为符合构成要件且不具有违法阻却事由。只有通过对构成要件符合性以及有无正当事由这两个步骤的审查,才能做出判断。因此,不法要素要么是用以塑造特定犯罪观念形象的构成要件要素,要么是用以阻却违法性的正当事由。“刑法分则中有关犯罪的直接规定是构成要件解释的出发点”,然而,我国《刑法》中关于合法或正当的表述均是描述不法行为所侵害的客体。例如《刑法》第92条“公民私人所有财产的范围”中的“合法收入”、第223条串通投标罪中的“合法利益”等。《刑法》第253条的侵犯公民个人信息罪未对“合法经营”作出规定,甚至整部刑法典中也不存在有关为正当目的而实施不法行为的表述。因此,侵犯公民个人信息罪中的“为合法经营”不是基本的构成要件要素。此外,目的犯论所主张的,“为合法经营”属于“开放”的构成要件要素这一观点也不尽合理。首先,目的犯是以特定目的作为主观构成要件要素的犯罪,属于特殊不法内容的主观不法要素,以合法目的征表主观不法不合逻辑。而且短缩的二行为犯是将复行为犯缩短为单行为犯,将未完成的二行为犯作为追求第二个行为的目的犯予以规制的。以传播淫秽物品牟利罪为例,仅实施传播淫秽物品的行为无法直接牟利,只有在交易后才可获得不法利益,该罪中实际包含传播和牟利两个不法行为。而“为合法经营”非法获取个人信息的,仅具有非法获取这一个不法行为,不存在“二行为犯”的前提,也没有可以“短缩”的空间。此外,2018年11月9日最高人民检察院颁布的《检察机关办理侵犯公民个人信息案件指引》指出,对“为合法经营”的证明应“综合全案证据认定,但主要应当由犯罪嫌疑人一方提供相关证据”。最高人民法院研究室有关专家也赞同该观点。构成要件是分配证明责任的根据,对于符合犯罪本体要件的事实,应由控方承担举证责任和说服责任;也即是说,根据当事人主义,对于该当构成要件的事实,控方应承担整体的举证责任,对于妨碍犯罪成立的事实至少由被告人一方提出主张并加以证明。上述有关举证责任的规定,同样表明“为合法经营”不属于构成要件要素。
其次,“为合法经营”用以证明消极不法的观点同样值得推敲。在“吴某等侵犯公民个人信息案”中,一审法院认定被告人非法出售简历和简历账号并获利,构成侵犯公民个人信息罪。吴某在上诉中提出,囤积是让利顾客的行业现象,属于合法经营行为,没有违反国家有关规定。二审法院援引2012年12月28日全国人大常委会《关于加强网络信息保护的决定》和2013年9月1日工信部《电信和互联网用户个人信息保护规定》指出,被告人违背“合法、正当、必要原则”,属于非法经营。可见,本案的焦点在于,出售简历信息、囤积账号的行为是否属于“合法经营”,是否违反国家有关规定。暂且不论该行为的合法性与否,单就辩护意见与法官的阐释就可以看出,其认为“合法经营”与“违反国家有关规定”是互斥的。在刑法中,大量行政犯均以违反行政法、经济法等法律为前提。其中的“违反”至少包括两种情形:一是在刑法典具体规定了构成要件行为时,行政犯以违反行政法、经济法等法律的一般禁止性规定为前提;二是在刑法典没有具体规定构成要件行为时,行政犯以违反行政法、经济法等法律中的具体禁止性规定为前提。对于侵犯公民个人信息罪中“违反国家有关规定”的机能,学理上存在填补构成要件要素、提示违法阻却事由以及兼具上述两种功能等观点。若遵循上述逻辑,“合法经营”也相应地发挥阻却构成要件符合性的机能或阻却违法性的机能或上述二者兼有。然而,本案中的“合法经营”与《解释》中的“为合法经营”不尽相同。辩方和法官所争议的经营行为是被告人出售个人信息的行为,而与违反国家有关规定对应的合法经营行为则关涉获取和使用个人信息是否为法所禁止、是否经由信息主体知情同意的问题。《解释》中的“为合法经营”往往表现为“服务客户”和“精准营销”等业务行为,并不直接指向特定个人信息,而是行为人在获取信息的基础上进一步实施的处理行为(或意图)。其次,二者的规范依据不同。判断信息获取和使用行为合法性的依据是有关个人信息保护的法律和行政法规,与个人信息保护无关的规范、位阶较低的规范均不得作为判断依据。然而,认定《解释》中所涉经营行为合法性与否的规范依据较之更广,几乎可以覆盖生产经营活动的方方面面。从规范层级上看,认定《解释》中的“合法经营”时,所依据的规范不应仅限于法律和行政法规,行政规章、规范性法律文件等均可作为判断依据(《解释》第2条)。所以,《解释》中的“为合法经营”往往是对所获信息用途的界定,它与信息的获取和使用行为无直接关系,二者是不同层面的问题;即使为了精准营销或者提升服务质量等合法经营目的,也不可能阻却信息获取或使用行为的违法本质。
最后,“为合法经营”也不是犯罪成立意义上的责任要素。“刑罚高度个人化的本质遵循犯罪行为高度个人化的本质,也就是所谓的罪责原则。”“没有任何例外能证明对罪责原则的违反是正当的。”犯罪成立意义上责任的基础是具有辨认、控制能力的人,具有接受法律规范的要求,实施合法行为的可能性却不接受法律规范的要求,实施符合构成要件的不法行为;其基本要素由刑法直接或间接规定,表明行为人对受保护法益的漠视。反观前述的“为合法经营”,该正当目的既未被刑法明确规定,也无法从规范保护目的中推导出来,还不存在危殆法益的可能,不属于积极的责任要素。另一方面,“为合法经营”中的“经营”,是行为人从事与个人信息处理无关的其他事务,无论行为性质如何,既不涉及禁止错误的问题,也与违法性认识可能性无关;在本罪中,“为合法经营”与期待可能性等要素无法勾连从而阻却责任,也不属于犯罪成立意义上的消极责任要素。
(二)“为合法经营”属于量刑情节
作为刑罚裁量时应考虑的事实因素,量刑情节只能在已经成立犯罪时发挥作用,反映犯罪轻重或作案人再犯可能性。根据情节与报应和预防的关系,量刑情节可分为表明责任轻重的责任刑情节(如犯罪有无之外的有害后果)和表明特殊预防必要性的预防刑情节(如自首、累犯)。在古典的责任论中,不法是客观的、责任是主观的,随着新古典体系中“非难可能性”等理论的引入,责任逐渐呈现出去主观化的征兆,规范意涵日益凸显。目的理性体系在“答责性”中引入预防必要性理论,雅科布斯(Günther Jakobs)在“功能责任论”中同样主张责任的确定应以积极的一般预防为标准。自此,责任原则已不单纯是判断犯罪成立的依据,还参与到了量刑体系中。可见,犯罪审查方案中只论“有无”的(元语言性质的)“有责性”与责任刑中可论以“轻重”的(对象语言性质的)“责任”存在区别,前者是以行为的非难可能性为基础的对行为人否定性质的“有无”评价;而后者则充当刑罚裁量的基础(如《德国刑法典》第46条),责任的量同时反映犯罪的严重程度,具体的刑罚量也要与之相关联。禁止刑罚超过责任限度,即使预防必要性大,也不得超过责任刑确定的上限。
既然“为合法经营”属于犯罪成立之后的量刑问题,那还应理清其属于何种量刑情节以及如何在量刑中发挥作用。当作案人的主观目的已作为犯罪成立要素时,不能再将其作为影响责任刑的情节;而当其不对犯罪成立发挥作用时,为了防止因“动机卑劣”之故而导致责任刑上限升高,人们往往将其作为影响预防刑的情节。然而,当犯罪成立之外的特定目的或动机值得宽恕时,也表明作案人非难可能性降低,仅将其视为影响预防刑情节对被告人不利。在侵犯公民个人信息罪中,“为合法经营”确属正当的、值得宽宥的动机,表明对作案人的可责难度降低,“责任”的降低应促成责任刑的减少。将“为合法经营”作为量刑情节,可以降低责任刑的下限,进而能划定一较低的宣告刑;若仅将其作为影响预防刑的要素,所确定的宣告刑幅度就会被抬高,即使作案人特殊预防必要性不大可从轻处罚,也只能接受一较高的宣告刑作为基础,如此则不利于被告人。值得说明的是,“为合法经营”作为主观条件只是一种底线宣示,无论是否客观地存在合法营业的事实,均不会影响其作为影响责任刑情节的属性。对于上述结论,在其他规范中也可以找到旁证。2017年6年27日最高人民法院、最高人民检察院《关于办理扰乱无线电通讯管理秩序等刑事案件适用法律若干问题的解释》第8条中的“初犯”和“确有悔罪表现”属于特殊预防必要性降低的事由,如果将“为合法经营”同样视为影响预防刑的情节,则只能得出在法定“情节严重”的量刑幅度内从轻量刑的结论。而只有将其作为影响责任刑的情节,才有可能突破罪刑阶段的下限,认定为情节轻微,予以不起诉或免除刑事处罚。此外,在量刑基准问题上一直存在“点的理论”和“幅的理论”之争,“点的理论”因只能计算出近似值、无法为量刑提供精确的基准、主要取决于法官的个人判断而饱受诟病。在德国,“幅的理论”一直被联邦法院判例以及学理所认同,但是,该理论所强调的、只有在与罪行相适应的惩罚范围内才能实现预防的这一要义似乎正被动摇,因为近来的判例法希望在选择惩罚范围时考虑到至少是非常接近于预防的情况;同时,在量刑中平衡不同刑罚目的间的冲突这一主张,也并没有完全得以实现。对于预防刑可否突破责任刑的下限这一问题,不仅“点的理论”和“幅的理论”存在分歧,而且“幅的理论”内部也聚讼难休。以“为合法经营”对不法行为人的非难可能性减小为由将其作为降低责任刑的情节,不仅避免了上述争议对量刑带来的不确定性影响,还有利于实现罪刑均衡。
“数字时代的数据保护和有关人格权案件的特点是,无论在事实上抑或法律上都很难作出权衡。”“为合法经营”所涉及的理论误区和实务困境有其深层次的原因,只有触及其规范属性才能将问题从表象推向实质。“为合法经营”与侵犯公民个人信息罪的成立无关,之所以常见于对犯罪成立问题的判断,是因为“为合法经营”与其他要件一并作为特殊规定中“情节严重”的适用条件而已。加之“情节严重”又属于本罪的构成要件要素,“为合法经营”往往与侵犯公民个人信息罪的成立问题交织在一起,甚至会误认为前者是后者的充分条件。事实上,“为合法经营”只是一种量刑情节,它在完成对犯罪成立与否的判断之后对刑罚裁量发挥作用。作为正当且值得宽恕的动机或事实,作案人为合法经营活动而非法获取个人信息的,应予较轻的责难,属于降低责任刑的情节。那么,作为降低责任刑情节的“为合法经营”又该如何诠释前述种种问题呢?
三、侵犯公民个人信息罪“为合法经营”的规范适用路径
将“为合法经营”作为侵犯公民个人信息罪的减轻责任刑情节,对司法适用具有指导意义。它不仅可以准确诠释“为合法经营”的规范意涵,还能消弭该特殊条款被虚置的困境。
(一)“为合法经营”的规范意涵
对于何为“合法经营”,学界存在不同意见。一种观点认为,有证据证明经营者将非法购买、收受的个人信息用于合法业务,而不用于实施侵害公民人身、财产的违法犯罪,就可认定为合法经营。另一种观点则主张,只要不存在刑法中的“非法经营”行为,就属于“合法经营”;“合法经营”应以“不违反国家规定”且不“严重扰乱社会秩序”为前提,过度限缩“合法经营”的范围既与该条款设立之初衷相矛盾,也与“宽严相济”刑事政策相背离。本文认为,第二种观点的消极判断路径更为可取,一方面,经营行为属于民事行为,而民事行为遵循“法不禁止即可为”的原则。虽然个人信息的合法用途多为商业营销,但也不乏其他正当用途。在“伍某某等侵犯公民个人信息案”中,法院认定被告人与他人交换个人信息是为了建立业务关系,属于“为合法经营”。如果根据第一种观点,则难以找到具体的规范依据,但将其排除在“合法经营”之外,又会背离“法秩序统一性”原理。另一方面,刑法的最后手段性要求使用刑罚惩罚犯罪人时应保持审慎,适度扩张“合法经营”的范围可以在一定程度上影响责任刑并降低宣告刑,这更有利于被告人。
然而,司法实践中对“合法经营”的认定往往出现偏差。在“侯某某侵犯公民个人信息案”中,被告人侯某某将部分购买的个人信息出售并获利。辩护人提出,被告人购买个人信息是用于合法经营活动,而法院却以其购买信息时没有工作且存在出售行为为由,不支持该辩护意见。本案中有两个问题值得商榷:一是仅凭被告人购买信息时没有工作能否排除“为合法经营”之可能,二是只出售了部分非法获取的信息,能否对全案排除适用特殊规定。首先,“为合法经营”不仅体现在主观方面,也包括客观事实。因此,能合理推定非法获取信息在主观上是为了从事合法经营活动或者客观上未将所获信息用于不法活动的,均属于“为合法经营”。如果作案人获取信息时意欲非法使用或主观动机不明确,但客观上未用于不法活动的,也应以实际用途为准,谨防片面依赖主观视角。在本案中,侯某某获取信息时没有工作这一事实,只能证明其当时没有实际的经营业务,仅凭此据无法推定其主观上存在非法使用的意图;而客观上,本案所涉的大部分信息并未被使用,所获的100余万条信息中只有1万余条被非法出售,因此,应以所涉信息被使用的情况分别判断。其次,以获取信息的用途区分定罪量刑标准的前提是该信息已被使用。在行为人仅持有信息而未使用的情况下,以不属于合法使用而径行适用《解释》第5条,会导致持有信息的刑事责任较之合法使用信息更重、持有信息与非法使用信息的刑事责任等同的后果。“作为反对和谴责不法行为的刑罚,只有其在产生合理社会利益的限度内被运用时,才能被证明具有合理性。”然而,本案中正存在这一问题。被告人仅将所获信息的很小一部分出售,其余90余万条都还存储于设备之中,但法官却一应排除适用《解释》第6条,这难言合理。因此,应对非法获取并出售的行为适用《解释》第5条,对其余的90余万条适用《解释》第6条,如此才能实现刑法规范评价的完整和充分性。而本案也从另一个侧面证明了,以经营行为符合法律规定来判断“合法经营”的路径容易导致罪刑不均衡。
对于经营活动超出工商登记范围是否属于“合法经营”这一问题,理论和实务上也存在分歧。有观点认为,认定合法经营应参照非法经营罪。“非法经营”一般分为违反市场秩序的经营行为和违反市场准入秩序的经营行为,而非法经营罪仅规制违反市场准入法律制度、未经许可擅自经营的行为。但是,根据2019年8月8日国家市场监督管理总局颁布的《企业法人登记管理条例施行细则》第60条之规定,超出核准登记的经营范围或者经营方式从事经营活动同样属于违法行为。对此,司法实务中存在不同意见。在“王某某侵犯公民个人信息案”中,针对王某某的行为能否适用《解释》第6条的问题,法官指出,被告人本人供述其收集信息是为了企业培训,但云盘内大量信息与其所述的经营内容以及名下公司的经营范围不相关,结合云盘内信息类别、被告人对其云盘内信息的熟知程度、被告人曾因非法获取个人信息被判处刑罚的事实,对被告人的辩解不予认定。在本案中,被告人使用个人信息不在公司的业务范围之内,因此,法官认定其不属于合法经营活动。本文认为,后一种观点更为合理。一方面,民商法等私法中的“经营”多为授权性规范,反映私法自治的理念;而公法中的“经营”多冠以“违法”“非法”“不得”“禁止”等否定词,属于禁止性规范,体现为国家公权力的介入。《解释》第6条其实是私法范畴中的“经营”,以禁止性规范中的概念解释授权性规范中概念的做法难免纰缪。另一方面,超越工商登记范围从事经营活动违反了市场秩序,也是法所不允许的。将非法获取的个人信息用于从事规范所禁止的经营活动时,行为人的责任刑不会降低,不存在可被宽宥的空间。如果仍将违法行为作为降低责任刑的情节,不仅违背量刑责任的原理,也不符合公民的朴素正义观。因此,只要存在将非法获取的信息用于法律规范所禁止从事经营业务的情况下,无论这种经营行为扰乱了市场秩序还是破坏了市场准入制度,均不可以适用特殊条款。
“法秩序统一原理指导下的规范完善和教义学解释成为解决行刑衔接问题的基本对策。”以公法中的“非法经营”判断非法获取个人信息中“合法经营”的路径较为可取。由于《解释》第6条中的经营行为属于民事行为,只要行为人的经营业务不违反国家禁止性规范即可。“虽然对个人信息应服务于人类社会的发展……但这却不意味着可以不加限制地使用,而必须在考虑其社会功能的基础之上,以相当性原则为指导并与其他基本权利进行平衡。”“非法经营”不仅包括非法经营罪中的违反市场准入制度从事经营业务,违反市场经济秩序从事生产经营的也应属之。在司法实践中,“合法经营”既能是主观上的动机和意图,也可以是客观事实,只要合理推定非法获取信息的行为在主观上是为了从事合法经营活动或者客观上未将所获信息用于不法活动,则均可将之认定为“为合法经营”。同时,将所获的个人信息部分用于非法经营的,不宜对全案排除适用特殊规定,而应分别定罪量刑;对信息用途的区分以信息被使用为前提,举重以明轻,在信息仅被行为人非法获取后持有,且满足其他条件的情形下,可以适用《解释》第6条之规定。
(二)“为合法经营”特别规定的适用路径
“为合法经营”是侵犯公民个人信息罪的酌定降低责任刑情节,不宜严格限制对特殊条款的适用,可以适度扩张“情节严重”的外延。有学者认为,正当目的不应在定罪量刑中发挥作用过大,因为《解释》第6条与第5条规定的不法行为对法益的侵害或危险等同,不应区别对待,《解释》第6条的特殊标准本不应存在。本文认为,该观点也值得推敲。根据《解释》第6条,适用特殊标准的前提不仅包括“合法经营”,还存在对信息类型的限制以及未再向他人提供的事实,这些因素共同致使不法以及行为人的可非难性降低,而这也才使适用特殊的定罪量刑标准成为可能。这种差异化的定罪量刑标准并不必然推出在不区分目的的情况下将获取个人信息的行为等同对待并适用统一的定罪量刑标准的结论,而应将“为合法经营”这一正当意图不加区分地作为侵犯公民个人信息罪降低责任刑的情节。这一路径从有利于被告人的立场出发,在采取行为功利主义的同时也关照了规则功利主义,还贯彻了“宽严相济”的刑事政策,具备实质合理性。
针对司法实践中怠于解释《解释》第6条第3项“其他严重情节”而导致对满足特殊条件的案件适用普通条款的现状,本文主张应根据同类解释原理将情节严重程度相当的事实纳入其中。在前述“盛某侵犯公民个人信息案”中,虽然不法行为同时满足《解释》第5条第2款中的“情节特别严重”,但仍应适用特殊条款。当然,也有观点认为,《解释》在规定了目的要素不同情况下的入罪标准却没有规定相应的法定刑升格标准,这样无法根据罪量来分别适用不同幅度的刑罚,也势必导致罪刑失衡。“为合法经营”的确不可能单独发挥降低可谴责性及量刑幅度的作用,但需要注意的是《解释》中关于“情节严重”的一般条款和特殊条款之间不止“目的要素不同”的区分,其犯罪客体与不法行为之间均存在较大差异。该观点忽略了特殊条款的适用条件,其立论的前提不周延。另外,根据《解释》第6条第1款之规定,利用非法购买、收受的公民个人信息获利5万元以上的属于“情节严重”,这与《解释》第5条第2款第3项的规定相对应,其属于该条第1款第7项的10倍以上数量。而本案中5万余条公民个人信息同样与《解释》第5条第2款第3项相对应,属于该条第1款第5项的10倍以上数量,可以被纳入《解释》第6条的“情节严重”之中。
同时,应对“可能影响人身、财产安全的个人信息”作严格解释,防止通过不当扩张信息类型而排除对特殊条款的适用。在前述“余某等侵犯公民个人信息案”和“张某等侵犯公民个人信息案”中,法官对姓名和电话号码等个人信息是否会影响人身、财产安全存在不同认识。《解释》第5条第1款第4项中罗列的个人信息直接影响行为人的人身利益和财产权益,既具有直接识别性也无须借助其他信息辅助证明其对个人安全的危害。根据同类原理,被纳入该条中的个人信息不仅对特定自然人的识别程度高,而且能直接对信息主体的人身和财产安全造成侵害。上述案件中所涉的姓名和电话号码,很难直接影响特定自然人的人身和财产安全,通常只能与其他信息结合,共同造成上述危害结果,不属于《解释》第5条第4款中的信息类型,理应适用特殊规定。而“A公司、赵某等侵犯公民个人信息案”中对信息属性的判断就更为合理。检察机关指控被告人非法获取公民个人信息,情节特别严重,构成侵犯公民个人信息罪。辩护人以所获信息不可能影响人身、财产安全为由主张适用特殊规定。法官认为,本案所涉信息包括公民姓名、电话、房号等,该部分信息实际包括了小区名称、业主姓名、楼幢、楼层、门牌号、手机号等信息。从功能性角度评价,“房号”通常理解为长期、固定的住宿地,此类信息的泄露会对公民的人身、财产造成安全隐患,故涉案房号信息应认定为可能影响公民人身、财产安全的个人信息。可见,针对涉案信息法律属性的争议,法官不仅阐明了哪一信息可能对公民的人身或财产安全造成危害,还阐明了该信息的危害程度与《解释》中的哪一类信息的危害性相当,这种逻辑严密的说理可以有效防止特殊条款被虚置。还值得注意的是,并非所涉信息在《解释》第5条第1款第4项之列就绝对排除适用特殊条款,而应综合全案,在实质上判断所涉信息是否会对公民的人身、财产安全造成危害。
由于《解释》第6条第1款第2项的内容被第5条第1款第9项所包含,而“情节严重”又是侵犯公民个人信息罪的构成要件要素,因此,这一特殊规定对行为人的宽宥仅在于,对本属于“情节特别严重”的不法行为作“情节严重”处理而不升档量刑。也即是说,并没有以存在可宽宥事由为据降低“为合法经营”而非法获取公民个人信息行为的入罪标准,这同样会导致罪刑不均衡。首先,即使行为人因侵犯公民个人信息受过刑罚或两年以内受过行政处罚,其非法获取个人信息后“为合法经营”也使得责任刑降低,而所获信息为普通信息以及获取后未再度扩散同样使不法行为的法益侵害性降低,理应予以宽宥。当下的刑法并非被作为最后手段,而被奉为首要手段;通过刑法实现法益保护的诉求日增,以强化刑事法治来维护安全的治理模式与法治国精神不符,这也将导致刑法的瓦解。如果无视信息使用的正当性、所获信息对人的可识别性与重要程度、获取之后有无二次流转等关键情节,在入罪上采用相同标准的话,不难想象,有违法或犯罪前科的人宁愿为非法处理而非法获取经济价值更大的征信、财产和行踪轨迹等敏感信息,以相同的违法成本换取更大的不法利益。其次,行为人曾因侵犯公民个人信息受过刑罚和行政处罚表明其具有再犯可能,属于影响预防刑的情节。预防刑的确定必须以责任刑为基准,而根据《解释》规定却是由于行为人特殊预防必要性大而决定不降低责任刑,这也不合理。根据量刑理论,预防刑要素只影响量刑而不影响定罪,《解释》误读了预防刑要素的功能。在规范现行有效的情况下,可以通过适度调高《解释》第6条第1款中行为人曾涉侵犯公民个人信息违法、犯罪行为的次数,或者缩短不法行为发生的时间间隔,将责任刑和预防刑的关系校准到合理轨道上。此外,对这一情节也应作严格解释,否则为了处罚行为人,任何涉及个人信息的案件都会被纳入“因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚”的范围之中,使本应被降低的入罪门槛反而被抬高。“在国家治理现代化背景下,应对安全刑法予以及时反思并合理控制,着力削弱刑法的工具主义属性,以实现中国式法治现代化所要求的尊重保障人权的时代要求。”在前述“雷某、罗某某等侵犯公民个人信息案”中,罗某某曾购买或窃取物运单上的个人信息实施诈骗行为并被判处诈骗罪的事实,不能作为“曾因侵犯公民个人信息受到刑事处罚”的情形。只有行为人曾经直接因非法处理个人信息受到刑罚或行政处罚,并且满足“情节严重”而应受刑法非难时,才可能实现特殊预防的目的。
“为合法经营”不仅在《解释》第6条中发挥降低责任刑的功能,而且在不法行为无法适用该特殊条款的情况下也当然属于基本量刑情节。在前述“周某、付某某等侵犯公民个人信息案”和“黄某某侵犯公民个人信息案”中,被告人均不满足适用《解释》第6条的条件,但法官却在适用《解释》第5条定罪量刑标准的基础上又以行为人获取信息是为合法经营活动而从轻量刑。因此,行为人非法获取个人信息“为合法经营”的,在满足其他条件的情况下应当适用特殊规定;在因信息类型不符合要求或信息被再度扩散而无法适用特殊规定时,行为人同样值得宽宥,应综合全案适当减轻其责任刑。但是,在适用特殊规定时,不宜在《解释》第6条的基础上以“为合法经营”为由再度降低责任刑,以避免因同一事实受到法的双重肯定评价而致使量刑畸轻。
综上,侵犯公民个人信息罪中的“合法经营”不仅可以是主观上的动机或意图,也可能是客观事实。若作案人获取信息时欲将其作非法使用或主观动机不明确,但客观上未用于不法活动的,一般应根据客观情况进行认定,从而避免对主观视角的片面依赖。同时,只要不存在刑法和行政法中的“非法经营”行为,就可认定为“合法经营”。为防止侵犯公民个人信息罪“情节严重”的特殊规定被虚置,应对“影响公民人身、财产安全的信息”作严格解释,防止通过不当扩张信息类型限缩特殊规定的适用范围;同时,应根据同类原理诠释“其他严重情节”,避免为加重被告人刑事责任而认定其构成“情节特别严重”;此外,还应适当提高行为人的前科数量或缩短前科时间间隔,理顺责任刑与预防刑的关系。当行为人获取个人信息为合法经营时,即使不满足其他条件而无法适用《解释》第6条,也可以降低其责任刑。
结论
“数据保护刑法是反应性立法(reaktiven Gesetzgebung)的产物,它是一种在未考虑数据和个人信息是否值得保护的基础上而制定法规的现象。”因此,在网络数字与信息科技融合发展的今天,如何平衡数据使用与数据安全之间的关系,是刑事法治需要慎重思考的时代命题。中国法治现代化以追求良法善治为目标,需要通过民刑共治新模式实现向犯罪之治的现代化治理目标转型。对于个人信息的刑法保护而言,应继续强化民事、行政法律规范,谨防刑法越位。“法官的活动必须在……立法机构划定的战略范围内,在小的、相对无争议的、或多或少能达成共识的领域内推行法政策。”因此,行为人为合法经营活动而非法获取个人信息的,不宜将“为合法经营”作为构成侵犯公民个人信息罪的该当要素,否则有违背罪刑法定主义之虞。“为合法经营”应被视为一种降低责任刑的情节、一种正当且值得宽恕的事实,表明行为人的非难可能性减小。同时,为保证“为合法经营”的特殊规定不被虚置,应以信息是否具有直接识别性以及是否可以独立影响公民的人身和财产安全为标准,严格界定“影响公民人身、财产安全的信息”之外延;通过诠释“其他严重情节”,合理扩张特殊规定的适用范围;调整前科数量和前科间隔时间,实现罪刑均衡。唯此,才符合侵犯公民个人信息罪的规范目的,并通过平衡自由与安全之间的关系,策励数字时代国家治理体系和治理能力的提升。
本文原载《法学家》2023年第3期,转自《法学家》、中外刑事法前沿公众号。
