随着《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)等个人信息保护领域法律法规的出台,刑法学界关于侵犯公民个人信息罪的讨论进入新阶段,沿着“从法益到构成要件”的经典教义学路径纵深发展。展开来说,以往学者对侵犯公民个人信息罪的研究始终以保护法益为核心,围绕个人信息权说、信息专有权说、个人信息受保护权说、社会信赖说、社会管理秩序说、公共信息安全乃至国家安全说等等聚讼难已。而在当下,个人信息保护的刑法研究逐渐转向了对细节问题的讨论,包括前置法规、信息分类、告知同意、出罪事由、司法解释规定、具体案件类型等等。
可是,目前的研究似乎尚未认真对待这样一个问题:侵犯公民个人信息罪是自然犯还是法定犯?这是一个事关本罪基本性质的重大问题。一方面,对这一问题的回答取决于学者对个人信息本质属性的认识,以及对个人信息法律保护模式的立场选择:是应当把个人信息视为个人可以自由处分的法益,通过个人同意与否来控制信息处理的合法性(自然犯论),还是应该避免个人对其信息自我负责,转而通过施加合规义务的方式督促信息处理者负责(法定犯论)?这涉及刑法教义学背后的价值观问题。“价值观为我们提供明确的终点以及抵达终点的途径”,解决方案的成效在根本上就取决于此。另一方面,理论界对法定犯的研究已经如火如荼,对法定犯与自然犯在空白规范、保护法益、结果归责、违法性、出罪事由、主观要件等诸多领域存在明显区别已有共识。因此,将侵犯公民个人信息罪的基本性质界定为自然犯或法定犯,将会直接影响对其诸多层面构造的解读,进而影响构成要件的解释和司法实践的适用。
眼下刑法学界将侵犯公民个人信息罪的研究推进至新的阶段,其背景是多数学说未经反思地接受了本罪的自然犯属性(以下简称“自然犯论”)。颇具影响力的观点指出,侵犯公民个人信息罪是自然犯,应坚守个人法益立场而抛弃超个人法益说。作为自然犯的侵犯公民个人信息罪直接侵犯个人权利,这种权利是个人的生命健康权、人身自由权、财产权等的特殊体现。
法定犯与自然犯的主要区别在于三个方面:(1)与自刑法诞生以来即已存在、拥有相当程度稳定性的自然犯不同,法定犯与特定时代的社会需求紧密相关,因而具有较强的变易性。(2)法定犯缺乏伦理违反性而只是被法律规定为犯罪,故法定犯并非主要以公民个人的权益为保护对象,而是往往把某些派生性的社会利益、制度利益也纳入保护范围。(3)法定犯均以违反前置行政法律法规为必要成立要件,具有行政从属性。在这一框架中解读侵犯公民个人信息罪的基本性质,我们就必须处理三个关键问题:其一,个人信息是否在历来的社会变迁中一直保持大致相同的内涵,因而现代法律无须为个人信息提供一种新的保护模式?其二,侵犯公民个人信息罪的保护法益是否仅限于信息主体的个人权益,而不具有更重要的、脱离于个人的集体法益面向?其三,本罪的“国家有关规定”是否只是自然犯的违法提示或出罪事由,而非作为法定犯标志的前置法律法规?其内涵是否主要是信息主体的知情同意?
本文试图对这三个问题给出回答。本文认为,侵犯公民个人信息罪是法定犯而非自然犯。这一判断并非只有语词概念上的意义,因为它与人们对个人信息本质的认识、对个人信息法律保护立场的选择直接相关。毋宁说,只有正确把握侵犯公民个人信息罪的法定犯意涵,公平而有效的个人信息刑法保护才可能成为现实。
自然犯和法定犯的经典定义源于罗马法对自体恶和禁止恶的犯罪分类。前者先于制定法而存在,与其是否被制定法所禁止无关;与此相反,法定犯的恶则依赖于它在实定法上被禁止。后来,意大利犯罪学家加罗法洛以此为根据,认为自然犯的实质要素是对公众基本道德情感的侵犯;与此相对,并非侵犯基本道德情感,而只是与特定国家、特定环境有关的犯罪是法定犯。
由此,在论述形式上的前置法规和实质上的保护法益两个标准之前,侵犯公民个人信息罪的自然犯与法定犯属性之争首先无法回避的是社会变迁的标准。本部分所要回答的是这样的疑问:无论将个人信息定义为“属于个人的信息”还是“关于个人的信息”,个人信息自人类社会诞生以来就存在,并且在社会生活的日常交往中一直发挥举足轻重的作用。同样的,侵犯个人信息的行为亦自古以来有之,具有相当程度的稳定性,那么该行为为什么不是自然犯?或者说,个人信息何以被视作在现代国家和现代社会出现之后才存在的法定犯的保护对象?在本文看来,个人信息以及侵犯个人信息的行为确有可能自人类诞生以来、先于制定法出现时就已存在,正如传统的暴力犯罪、财产犯罪等其他自然犯一样。但是,随着社会的发展变迁,个人信息的内涵和形式也持续经历了“古今之变”。自人类起源就已产生的个人信息与当下的个人信息具有完全异质的内涵属性,二者不可同日而语。也正因如此,只有现代社会甚至后现代社会的法律才会对个人信息提供保护。
(一)从古代国家到现代国家:个人信息的“诞生”
在政治的维度,个人—国家的分界线是伴随现代国家的诞生而显现,在此之前,个人(私人)领域和国家(公共)领域之间并无明显区隔,个人信息的重要性亦无从谈起。法国学者贡斯当在比较西方古代国家和现代国家之后得出结论:“古代人的目标是在有共同祖国的公民中间分享社会权力:这就是他们所称谓的自由。而现代人的目标则是享受有保障的私人快乐;他们把对这些私人快乐的制度保障称作自由”;“在古代人那里,个人在公共事务中几乎永远是主权者,但在所有私人关系中却都是奴隶。……与此相对比,在现代人中,个人在其私人生活中是独立的”。这是西方古代国家的特点,至于古代中国,在家族主义和阶级观念、儒家伦常和法家秩序的多重加持之下,个人领域亦无容身之所。既然没有私人领域的存在,一切事物都逃脱不出国家权力的笼罩,个体就不可能取得关于个人信息的自由和权利,国家也无必要通过法律保护个人信息。
在社会的维度,个人信息在机械团结的传统社会中无足轻重,只有在现代社会中才可能成为人们关注的对象。传统社会的团结建立在个人相似性的基础之上,集体人格完全吸纳了个人人格。“个人意识不仅完全依赖于集体类型,它的运动也完全追随于集体运动……如果这种社会团结越来越发达,那么个人也就越来越不属于自己;他简直成为了社会所支配的物。”在这种情况下,个体丧失个性和差异而完全泯灭于集体,表征个人独特性的个人信息尚未被社会所建构出来。反之,现代社会的团结立基于社会成员的差异性和相互分工所带来的紧密依赖,专业分工和职业分化使个人拥有独立的自我意识,法律也从强调压制转而注重协调社会成员之间差异产生的冲突。社会成员的个性独立和分殊才导致个人信息概念的茁生成为可能,这是因为,为了维持有机团结社会的稳定及个体间的相互依赖,理性的法律规范必须维护个人之间的差异。
在文化的维度,现代的人文主义和启蒙思想极大地张扬了人的主体性,人为了维护其自主人格和自由意志,有权控制自己的信息。现代性伴随着“人类中心论”而到来,人在与神、自然的三角竞力关系中逐渐胜出,人的意志、选择和感受代替了上帝成为一切意义和权威的源头。而作为人的存在、思考和表达之呈现的个人信息势必得到关注。在这样的背景下,关于个人信息形成了两种哲学基础:洛克传统强调个人信息不受干预的消极面向,主张私人生活摆脱公共之眼的注视;康德传统则强调自我表达、自我发展的积极面向,注重公民之人格和身份的自由发展。两大传统在晚近以来汇聚为控制范式,也就是将个人信息重构为个人对自我边界的控制,并落实于现代法律尤其是个人信息的告知同意原则之中。
个人信息与其说是自古以来客观存在的对象,不如说是人类社会观念的建构物,这种建构物迟至现代国家出现之后才浮现。在现代以前,私人领地融于政治国家,个人意识附着集体意志,人的主体性尚未彰显,个人信息亦无所依凭。只有经历从古代国家到现代国家的历史转型,个人信息才真正“诞生”。这一点是明显不同于传统的暴力犯罪、财产犯罪等典型自然犯的——因为出于维持政权稳定和社会安宁的需要,古代法律很早就开始保护人的生命、健康和财产,相关概念从一开始就被建构出来。总之,“个人信息及侵犯个人信息的行为自古即已存在”不足以证成侵犯公民个人信息罪的自然犯属性,个人信息的“古今之变”毋宁更说明了本罪浓厚的法定犯特征。
(二)从现代社会到信息社会:个人信息的“变异”
个人信息随着现代国家的诞生而被赋予了个人自由与权利的全新内涵,但确切来说,彼时个人信息的内涵还停留在“隐私权”的层面,与当下的个人信息概念仍有较大区别。要进一步阐明本罪的法定犯属性,还需论及的理由是,伴随着从现代社会到后现代信息社会的转型,个人信息的内涵与形式再次历经根本转变。也只有信息社会到来之后,侵犯公民个人信息的行为才会被法律视为严重的犯罪来处理。
信息社会因应科技革命而降临,呈现出与以往线下的现代社会完全不同的崭新社会形态:在政治领域,信息科技可能深刻改变人类社会的统治形式和治理结构,如果说21世纪之前是国家威胁自由,那么21世纪是代码威胁自由。在经济领域,信息商业活动深刻改变人类经济形式,使信息产业逐渐超越了农业和制造业。在文化领域,信息社会改变了人的交往媒介和沟通方式,出现虚拟化、符号化等特点,甚至可能开启全新的“元宇宙”。总体而言,信息社会拥有独特的社会结构和社会文化,以及与之前线下社会迥异的思维方式和行为模式,“信息社会不是通讯手段更先进、信息传播更迅速、人际交往更便捷的社会,而是借助信息技术人为建构的另一个社会”。
在信息社会中,个人信息的内涵与形式发生重大“变异”,与线下现代社会中的个人信息产生了本质区别。前文提到个人信息是现代社会中人们观念的“建构物”,而在信息社会中,信息与社会的关系甚至发生了彻底的翻转:是信息建构了社会,也是信息成就了人。其一,在社会功能的维度上,充当公域与私域之界线的个人信息为现代社会的互动沟通和系统运作提供了基础性支撑。个人信息在社会沟通中形成,正常的社会互动反过来又通过个人信息得到确证。其二,在社会价值的维度上,个人信息蕴含着作为公民基本权利的人格尊严,因此以人格尊严为最高价值追求的现代社会只有基于个人信息的存在才得以构成。其三,在信息与人关系的维度上,媒介是人的感知的延伸,而个人信息成为人的存在的延伸,这意味着信息社会不仅造就社会结构的变更,也带来人类生存方式的改变:在古代社会,个人信息“不属于人”;在线下现代社会,个人信息以一种客体的方式“属于人”;而在信息社会,个人信息作为人的尊严与人的存在方式“就是人本身(的一部分)”。综上所述,正是在信息和社会相互塑造、信息与个人相互构成的意义上,我们可以说,信息成了一种媒介,只有透过这种媒介,各种社会沟通才得以转译,新的沟通和新的社会关系才得以生成。
也正是在信息社会,世界各国才开始普遍制定保护个人信息的法律规范。不同于以往仅通过侵权诉讼来保护隐私,个人信息的保护可以针对具有持续性不平等信息收集能力的主体,并且依赖公私法交融的法律保护模式。美国的《公平信息实践准则》诞生于1973年,确立了处理个人数据的基本原则;欧洲议会则在1980年通过了《保护自动化处理个人数据公约》,欧盟《一般数据保护条例》在2018年生效。我国法律对个人信息的保护始于2009年,《刑法修正案(七)》在刑法中新增第253条之一出售、非法提供公民个人信息罪和非法获取公民个人信息罪;2012年全国人大常委会颁布了《关于加强网络信息保护的决定》;此后,刑法领域的一系列司法解释和以《民法典》《个人信息保护法》为首的个人信息保护前置法相继出台,个人信息保护的完整法律体系才得以形成。
综上所述,个人信息从前现代、现代到后现代历经了“诞生”与“变异”,当前信息社会的个人信息具有与以往完全不同的内涵与形式,并因此而获得了全面完整的法律保护。这足以说明,在自然犯与法定犯的第一个区分标准即社会变迁的视野下,侵犯公民个人信息罪毫无疑问应被划归入法定犯的阵营。
如果说在信息社会中信息作为一种媒介而存在,那么在此时个人信息背后所承载的就不仅仅是个人权益,而更重要的是使得社会交往能够正常运行的那些社会利益、集体利益。这意味着,法律难以对个人信息按自然犯的方式来提供保护。由此,我们便有必要将目光转向自然犯与法定犯之区分的第二个标准,即侵犯公民个人信息罪之保护法益。
(一)个人信息的复杂性与法益界定的困难
尽管个人信息在信息社会中承担着社会沟通之媒介的功能,但支持本罪之自然犯属性的学者仍然试图从公民个人权利中寻找本罪的保护法益。自然犯论者对侵犯公民个人信息罪保护法益的论述方式基本上分属两种进路。第一种是工具论进路,又可称为“危险犯说”,其主要观点是认为刑法保护公民个人信息的实质是保护公民的人身权利和财产权利,故侵犯公民个人信息罪是危险犯。易言之,个人信息是作为公民人身和财产权利的安全屏障而存在,对个人信息的提前保护是刑法保护公民人身和财产权利的工具和手段。第二种是本体论进路,也可称作“实害犯说”,该说认为公民个人信息本身就是一种值得保护的权益,故侵犯公民个人信息罪是实害犯。实害犯说内部又可分为两大阵营,即“支配权说”与“基本权说”。前者来自民法学的物权范式,重视信息主体对个人信息的控制、支配和自我决定,“个人信息自决权”法益就是这一范式的典型体现;后者则源于公法学的基本权利范式,注重国家对公民个人信息权的积极保护义务,其主要内容是规制个人信息收集和处理行为。
我国司法实务的基本立场也可大致被归入上述进路。例如,有的法官主张本罪的保护法益是公民的财产安全和人身安全(危险犯说),有的法官则认为是公民的信息自决权(实害犯说的支配权说),还有法官持人格尊严的立场(实害犯说的基本权说)。由此可以判断,将侵犯公民个人信息罪的保护法益界定为个人法益的自然犯论是我国刑法理论界和实务界的通说。但是,自然犯论的法益观或者忽视了信息内含的人格尊严意义,或者抵触人格权与个人信息的基本属性,抑或没有顾及个人信息对社会交往的构成性功能,其共性问题是难以从根本上把握个人信息的复杂性。
首先,危险犯说将个人信息视为保护公民其他人身和财产权利的工具或屏障,没有考虑到个人信息本身所蕴含的人格尊严意义。《民法典》将个人信息保护规定在人格权编,该编第990条第2款规定,除前款规定的人格权外,自然人享有基于人身自由、人格尊严产生的其他人格权益。位于人格权编第六章的个人信息显然被涵盖于第990条的一般规定之下,因而个人信息本身在我国实定法上已然具有人格尊严的依据。从比较法的角度看,影响整个欧盟的个人数据立法的欧洲委员会《保护自动化处理个人数据公约》之宗旨,即是通过设立个人数据保护权以保护个人尊严和基本人权。我国学者指出,个人信息所承载和反映的最直接客体就是个人人格。假设一下,如果没有社会性关联和“人格应被尊重”的需求,那么个人信息对于鲁滨逊式生存的个人而言是没有保护价值的。因此,仅将个人信息视为其他人身和财产权利的保护屏障或工具的看法,实在低估了个人信息本身带有的人格尊严内涵。
其次,实害犯说中的支配权说错误地把物权保护范式移用到人格尊严和个人信息上,这种挪用既违背了人格权的基本属性,也可能阻碍信息的自由流通。对于人格权而言,拉伦茨早已指出,人格不能成为支配权的客体,人格权不是一种支配权,“人身权根据他的实质是一种受尊重的权利,一种人身不可侵犯的权利”。实际上,人格权支配权说产生于奉行财产中心主义的近代民法,而以人格保护为中心的现代民法应把人格权作为“受尊重权”来对待。对于个人信息来说,信息从古至今都以流动和分享为基本价值,从非洲的鼓点、人类文字的产生,到电报与电话的发明,人类不断产生对信息存储和传输的新需求。如今,信息和数据的互惠分享是互联网赖以生存的基础生态规则,除了隐私信息外,个人信息具有很强的流通属性和公共价值。如果赋予人们对信息的排他性支配权,“将导致人们日常交往的失效和社会运转的失灵,导致打听他人信息也属违法的结果”。
最后,虽然实害犯说中的基本权说是一种更可取的个人信息保护模式,但仍然难以摆脱自然犯论的固有缺陷,即无法完整描绘个人信息的复杂权益结构,尤其是其中无法还原为个人法益的超个人面向。基本权说认识到支配权思维的局限,将人格权及个人信息权构建为权利人对他人所负有的指向性义务的控制,个人信息权的核心是个人能否信任信息处理环境的公平与安全,以及能否有效防御他人可能的人格干预,从而可以自由参与社会生活,实现人格的自由发展。从物权支配范式到基本权利范式的转变更好地契合了个人信息的人格权属性。不过,既有法益学说仍未全面揭示个人信息所承载的复杂权益结构。如下文所述,个人信息不仅具有信息主体的基本权利属性,还有信息流通的公共权益面向,以及作为社会交往的构成要素而存在。因此,有必要引入利益衡量研究中的利益层次结构理论,对个人信息蕴含的当事人利益、制度利益以及法治国的基础利益展开进一步剖析,才能准确定位本罪的保护法益。
(二)个人信息的利益层次结构
刑法中的利益衡量不可避免,在法定犯领域更如是,因为法定犯就是立法者对现代社会中新出现的利益和风险进行分配的产物。刑法中至少有三种不同层次的利益需要考虑:当事人利益意指被告人和被害人的利益;制度利益是由相关的法律规定聚合在一起共同追求的立法目的;法治国的基础利益则包含构成法治国根本的公平、正义等价值观,主要通过宪法所尊重和维护的基本价值来体现。在个人信息之上,同样可以发现这三个层次的利益结构。
在当事人利益的维度,个人信息体现着信息主体的基本权利和其他主体的系列权益。信息主体的基本权利主要是指信息主体的人格尊严,也就是每个人与生俱来所拥有的“人格尊严应受尊重”的权利,以确保其个人信息能够以被尊重的方式来对待,从而实现人格的自由发展。而其他主体的系列权益产生于信息的自由流通属性,因为许多个人信息往往在产生之时就是与其他主体共享的,而这种信息共享对会对公共利益作出贡献。个人信息反映出其他主体的系列权益包括但不限于:(1)财产权。例如,一些个人信息对企业而言意味着巨大的经济利益,如果法律提供对企业数据的保护,企业就有充分的意愿投入数据经济的运营。(2)知识产权。知识产权本身就是一种有意义的信息创造结果,而且个人信息在网络空间的传播摆脱了传统物质载体的限制,增加了知识产权受侵害的风险。(3)言论自由和监督权。我国《宪法》第35条规定公民享有言论自由,言论自由不仅保障传递者的自由,也保障接受者的自由,因此言论自由内在地含有公民对信息的知情权,这同时也是《宪法》第41条公民监督权的组成部分。就个人信息而言,我国的行政法规赋予了公民对行政机关负责人信息和公司股东信息的知情权。
在制度利益的维度,《个人信息保护法》第1条列举了法律保护个人信息的两大目的:一方面保护个人信息权益,另一方面规范个人信息处理活动、促进个人信息合理利用。可见,个人信息所对应的制度利益同时包括保护个人信息权和促进个人信息利用,且根据表述顺序的文义解释,立法者在价值取向上把前者放在更重要的位置上。法律的解释者必须尊重立法者事先确定的、固定在制度利益中的立法目的与价值判断,所以,那些认为个人信息属于公共物品而不具有权利内涵的观点,就违背了立法者对个人信息作出的制度利益安排。
在法治国基础利益的维度,保证公民拥有最小限度的私人领域是法治国之自由价值的体现,而以“可识别性”为标准的个人信息恰恰就在现代社会扮演着界分公共领域和私人领域的“边界”角色,因而是社会交往的构成要素。为了更好地理解这一点,可以想象将社会分成生活世界和系统两个部分,前者指我们与他人共同生活于其中的平凡世界,是非正式的、非政治化和非市场化的社会生活领域,人们在其中自主安排、相互交往、促成共识;后者则是在人们的工具理性行为(追求权力与金钱)中沉淀而成的社会结构,包括政治系统和经济系统两个子系统,其功能在于实现权力和金钱的再生产。生活世界又可以区分为私人领域和公共领域,人们在私人领域中行使私人自主,可以自我决定从事私人领域的任何事务,而无须担心自己的身份或事务为他人所知;人们在公共领域中张扬公共自主,通过自由结社、参与公共事务、公开发表意见,达致自我成就和自我实现。由此观之,保护以“可识别性”为标准的个人信息,其实就是维护私人领域和公共领域的分界线,在实质上同时保障了私人自主和公共自主。这是因为私人自主和公共自主是同源构成的:当个人信息被任意侵犯,信息监控的恐慌在“全景敞视社会”中肆意蔓延,私人领域即不复存在;失去了私人自主的人们在公共空间噤若寒蝉,意味着公共领域随之崩塌。生活世界两大领域的消解,最终结果是生活世界被系统殖民化,造成社会的分裂(相互理解的减少)、失范(社会纽带的断裂)、异化(无助感的增加)、道德沦丧和社会动荡。
综上所述,个人信息不仅承载着信息主体的基本权利和其他主体的系列权益,而且反映了立法者预设在实定法之中的制度利益,还在法治国基础利益的意义上充当社会交往的构成要素,发挥着支撑生活世界的不可或缺的功能。针对侵犯公民个人信息罪保护法益,必须考虑到个人信息的复杂权益结构,结合本罪在刑法分则中的章节位置以及刑法在个人信息保护法律体系中的地位,作出妥当的学理阐释。
(三)侵犯公民个人信息罪的保护法益
界定侵犯公民个人信息罪的保护法益,除了要联系个人信息的利益层次结构,还应当注意两点:其一,本罪位于刑法分则第四章(侵犯公民人身权利、民主权利罪章)中,这决定了本罪法益一定包含信息主体个人的基本权利。而信息主体之外其他主体的系列权益,则由刑法分则的经济秩序犯罪、知识产权犯罪、财产犯罪、计算机犯罪与数据犯罪提供保护,并非侵犯公民个人信息罪的关注对象。其二,在由《个人信息保护法》《数据安全法》《网络安全法》《民法典》等组成的个人信息法律保护体系中,刑法充任“次级规范”和最后保障法,只负责将最严重的侵犯个人信息权、危及法治国之社会交往的行为纳入处罚范围。因而,促进信息的合理利用主要是其他前置部门法的任务,不是刑法首要考虑的问题。据此,可以得出本罪保护法益的个人与超个人双重面向。
信息主体的个人信息权是本罪的保护法益之一,代表着本罪法益的个人面向。个人信息权本质上是人格尊严权中一部分内容的具体化,其主要内容是通过规制信息收集、处理者的行为,让信息主体享有人格尊严以被尊重的方式对待的权利。在宪法的视野下考察,立法者在刑法中设立本罪,是国家履行基本权利积极保护义务的体现,即通过制度性保障来制止一切公私主体对公民基本权利的侵害。
社会交往的正常运转是本罪的保护法益之二,彰显着本罪法益的超个人面向。如前所述,个人信息作为社会交往的构成要素而存在,充当着公共领域和私人领域的分界线,是生活世界抵御系统入侵的重要支柱,对于社会交往的正常运行而言不可或缺。在本文看来,这一法益是无法还原为个人法益的集体法益,甚至可以说是累积犯的法益,在法益的层次为侵犯公民个人信息罪的法定犯属性提供了证据。
首先,作为社会交往构成要素的个人信息无法还原为公民个人的权利或利益。我国刑法学界通说曾流行法益一元论,认为国家法益、社会法益等都能够还原为个人法益,也必须能还原为个人法益。但是,这种停留在刑法古典主义时代的认知,与法定犯时代不相适应。随着所谓后现代社会或风险社会的到来,个人自由愈发依赖国家与社会的保障,国家也有宪法义务去维护个人行使自由的前提性条件,也就是各种社会制度的正常运行。这种前提条件或制度运行虽然与个人权益有关,却不可能还原为若干个人权益的加总,它们包括“一个正常行使职责的司法机构,一个没有贪污和贿赂的公家机关,一个未受损的货币,一个健全的赋税体系和一个未受破坏的环境”等等。按照法益二元论,应将所有法益分为个人法益和集体法益(又称超个人法益)。集体法益具有非排他性、不可拆分性、非物质性的特点,刑法分则第二章危害公共安全罪的保护法益(公共法益)是若干个人法益的总和,本质上仍属于个人法益,因而并非集体法益。如前文所述,个人信息作为公域和私域的分界线支撑着社会交往的正常运行,这种法治国基础利益就是一种典型的集体法益:一个安全宁静、无人侵扰的私人领域,一个健康开放、充分民主的公共领域,以及一个由二者共同组成的、个人在其中自由发展的生活世界,是所有社会成员共同享有的宝贵资源。它不可由某个或某些主体独占,也不是各个主体利益的加和,更不以物质性的表现形式而存在,却是人人赖以生存的社会中不可或缺的制度性条件。
其次,虽然社会交往的正常运行作为集体法益而无法分解或还原为个人法益,但其与个人法益之间具有牢固的“目的性关联”,与宪法统摄下的整体法秩序相融贯。也就是说,虽然侵犯集体法益的犯罪行为未必会对任何公民的个人法益产生影响(如造成实害或危险),但刑法保护集体法益的最终目的仍然在于保护个人法益。正如学者指出,还原并不是指可以将集体法益拆分给个人,即使使用“还原”这一概念,也只需要采取目的还原论:立法论上不以保护个人法益为目的的集体法益就不是刑法的保护法益,解释论上对于集体法益应朝着为了保护个人法益的方向去理解。个人信息保护亦然。虽然社会交往的正常运行本质上体现于“主体间”的自由交往以及公域与私域的“主体间”界分之中,但这并不妨碍法律保护这一集体法益的最终目标是维护每个“主体”的基本权利,如人格尊严、平等权、精神自由、政治权利等等。毕竟构成现代宪法之本质的价值是个人尊严的原理,法益虽然“先于刑法”却“后于宪法”而存在,只有基本权利和宪法原则才能为法益赋予正当性。
再次,虽然侵犯公民个人信息罪在信息主体的个人信息权这一法益面向上是实害犯,但在社会交往的正常运转这一集体法益面向上,本罪是抽象危险犯中的累积犯。所谓累积犯,是指个别的构成要件行为不足以对法益造成实害或具体危险(只具有抽象危险),只有同种类的行为大量累积后才可能对法益造成实害或具体危险。虽然个人信息是作为社会交往的构成要素而存在,但侵犯公民个人信息的单个行为只涉及数量有限的个人信息,还不足以对社会交往的正常运行构成实害或具体危险,只有当此类行为大量累积,才有可能形成噤若寒蝉、人人自危的“监控社会”和“全景敞视社会”,危及社会交往的正常运行。需要说明的是,本文主张侵犯公民个人信息罪同时保护个人法益和集体法益,这并不是什么罕见的情形。事实上,同时保护个人法益和集体法益的犯罪在我国刑法分则中大量存在。例如,盗伐林木罪不仅破坏了国家的环境资源,而且同时侵害了国家、集体或他人的所有权。假币犯罪不仅侵犯了货币的公共信用,也同时直接损害了不知情接收假币者的财产法益。又如,非法吸收公众存款罪、欺诈发行证券罪和擅自发行股票、公司、企业债券罪等金融犯罪虽然都存在直接的被害人,但也不可否认其保护法益包括金融市场秩序,这种集体法益是金融市场运作机制的组成部分,由金融系统运作的客观需要推导而来,具有主体间性、非排他性、不可拆分性的特点。还如,学者主张对数据犯罪的不同法益进行区分与识别,将其中数据挖掘、利用等衍生出的人身、财产属性利益识别为个人法益,而将涉及数据保存、流转、管理安全的利益识别为集体法益。在上述例子中,这些犯罪完全可能对于个人法益而言是实害犯或具体危险犯,而对集体法益而言则成为抽象危险犯或累积犯。
最后,侵犯公民个人信息罪法益的超个人面向证成了本罪的法定犯属性。自然犯从刑法诞生之日就已经存在,法定犯则迟至现代行政国家和行政法产生以后才问世。我国公法学者指出,随着现代政府职能急遽扩张,行政法调整范围愈发广泛,遍及市场监管、税务、海关、金融规制、环境保护等行政领域。行政成为国家权力的中心,以积极主动的姿态全方位介入社会各个领域。刑法中的法定犯以违反前置行政法律法规为构成要件之一,本质上是刑法对行政法之规制目标的最后保障。因此,法定犯的保护法益不可避免地与行政法的规范目的相关联。行政法对各个社会领域的行政调整有时候直接指向公民的个人权益,但在其他情况下是为了确保国家机构、社会制度的正常运作,因而与保护公民个人权益之间只具有目的性关联。法定犯遂与集体法益产生联系。可以认为,保护集体法益的犯罪基本上都是法定犯。例如,《刑法修正案(十一)》增设的非法采集人类遗传资源、走私人类遗传资源材料罪,非法猎捕、收购、运输、出售陆生野生动物罪,破坏自然保护地罪,《刑法修正案(九)》增设的使用虚假身份证件、盗用身份证件罪,拒不履行信息网络安全管理义务罪,《刑法修正案(七)》增设的利用未公开信息交易罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪,都是保护集体法益的法定犯。考虑到侵犯公民个人信息罪保护法益中含有集体法益的重要面向,故应当将本罪界定为法定犯。
既然作为法定犯的侵犯公民个人信息罪拥有集体法益的面向,那么被害人同意就并不能阻却本罪的违法性。换言之,被害人对其个人信息被处理的知情同意无法作为本罪的违法阻却事由而存在。那么,为什么有些情况下知情同意又可以使个人信息的处理行为合法化呢?这是因为在某些情况下,行为人获得被害人同意相当于履行了国家对个人信息处理者所施加的合规义务,从而阻却了“违反国家有关规定”这一构成要件要素的成立。因此,有必要进一步考察自然犯和法定犯之分的第三个标准,即侵犯公民个人信息罪中“违反国家有关规定”的性质。
(一)“违反国家有关规定”指向法定犯的前置法规
为了避免与自然犯的理论逻辑发生冲突,支持本罪自然犯属性的多数学者往往努力淡化侵犯公民个人信息罪的“违反国家有关规定”要素,从而消解这一标示法定犯属性的形式特征。这种淡化的做法主要通过如下三种方式进行:第一,反对《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第2条将“法律、行政法规、部门规章”纳入“国家有关规定”,而是对该要素进行限缩解释,认为“国家有关规定”只能包含刑法第96条所规定的法律和行政法规。更有学者取消“违反国家有关规定”的构成要件要素地位,主张其仅具有违法性提示功能,进而在解释论上彻底删除了法定犯特有的前置法规和行政从属性。第二,不承认“违反国家有关规定”具有法定犯之前置法规的积极构成功能,而只认可它的消极出罪功能。例如有学者认为,侵犯公民个人信息罪的“违反国家有关规定”是自然犯的刑罚收缩事由或违法阻却事由,不宜理解为积极的入罪要素。近年来,还有学者尝试结合上述两种路径,认为“国家有关规定”在作为构成要件要素时不宜包含部门规章,但部门规章中的规定可以成为侵犯公民个人信息罪的违法阻却事由。第三,突出个人信息主体的同意对本罪成立与否的重要性,也即强化本罪的自然犯色彩。学者们主张,只要信息的收集或处理征得了信息主体的授权或同意,就必须排除违法性;只要有个人的同意,个人就须对后续风险及其现实化结果自我答责。而且,在信息时代还应当弱化信息主体同意的条件,以信息主体的默示同意为原则。即使有学者承认“告知同意原则不是万能的”,也仍然坚持“在个人和信息处理者的不对等关系中,权利人同意是一个最好的制约性权利”。
然而,企图淡化“违反国家有关规定”这一具有法定犯色彩的构成要件要素,强调信息主体同意在违法阻却中的首要地位,恐怕无法实现对信息主体个人权利的有效保护,在根本上选择了错误的思维出发点,也割裂了刑法与个人信息保护法律体系之间的联系。
首先,告知同意的现实困境已是老生常谈的问题。有学者指出,告知同意制度存在结构性问题,包括告知文件信息过载、个人信息聚合效应、用户缺乏选择空间、个人同意质量堪忧等。“大数据时代,告知与许可这个经过了考验并且可信赖的基石,要么太狭隘,限制了大数据潜在价值的挖掘,要么就太空泛而无法真正地保护个人隐私。”问题的根源在于,告知同意制度立基于平等民事主体之间“私人自治”的理念,但现实的困境是,作为信息主体的个人常常不得不面对作为信息收集和处理者的政府、企业等“数据权力”的侵扰。仅对后者施加负担极其轻微的告知义务,根本无助于保障个人知情权的落实。当同意变得唾手可得,法律对个人信息的保护屏障也就形同虚设。总而言之,在力量对比悬殊的不平等关系面前,如此的法律保护制度根本无能为力。在这样的大背景下,倘若刑法学者仍然将告知同意视为阻却侵犯公民个人信息罪的“万能钥匙”,甚至以“未经个人同意”取代“违反国家有关规定”,则无异于主动放弃了个人信息保护的刑法防线,由此形成一种吊诡局面:自然犯论者通常强调个人信息权或信息主体人身权利、财产权利的重要性,但自然犯论者提供的解释方案导致这些个人权益难以得到法律的有效保障。
其次,自然犯论者担忧“国家有关规定”束缚了信息收集和处理者利用公民个人信息的自由空间,因而设法限缩“国家有关规定”涵盖的法律法规范围、取消“国家有关规定”对犯罪的积极构成功能。但是,这种思维方式可能在起点设定上就出了问题。只要承认个人信息关涉每个公民的基本权利,那么对于限制基本权利的行为应当遵循如下的审查步骤:基本权利的保护范围—对基本权利的限制—对基本权利限制的限制。“数据权力”对公民个人信息的收集和处理行为,本质上是对基本权利的限制。对何种个人信息权的限制在何种程度上是允许的,是个人信息保护的法律体系首先关注的问题。换言之,围绕“国家有关规定”的思考应当是在尊重个人信息权的前提下,探究“法律可以容许哪些个人信息、以何种方式、被何种主体收集和处理”以及“什么层级的法律才能容许个人信息被其他主体收集和处理”。根据基本权利的法律保留原则,这个问题的答案是:只有全国人大及其常委会制定的法律才能限制公民个人信息权。然而,自然犯论者或是对“国家有关规定”的范围进行限缩解释,或是剥夺“违反国家有关规定”的积极构成功能而仅保留消极出罪功能,其背后的思维方式是在“尊重”个人信息处理者收集与处理个人信息行为的前提下,探讨“法律可以禁止信息处理者在收集、处理个人信息过程中的何种不当行为”以及“什么层级的法律才能禁止他们收集和处理个人信息”。上述两种思考路径看似是在探讨同一个问题,但实际上选择了截然相反的起点和方向:前者是以个人信息保护为起点,并适当对个人信息权作出限制;后者则是以信息处理者的利益为起点,并适当作出“对个人信息权的限制的限制”。由此一来,“法律保护个人信息权”蜕化为“法律保护信息收集、处理行为”,打着“个人信息保护”的旗号实则为其他主体收集、处理信息提供了方便,最终结果自然与初始目标背道而驰。
最后,“违反国家有关规定”要素连接着刑法和《个人信息保护法》《数据安全法》《网络安全法》《民法典》等多部个人信息保护领域的法律法规,体现着刑法在个人信息保护法律体系中“最后手段性”的角色。自然犯论者为了论证侵犯公民个人信息罪的自然犯属性,宁愿否认“违反国家有关规定”是法定犯的前置法规,切断这座沟通刑法与其他前置法规的重要桥梁,结局是让刑法沦为个人信息保护法律体系之外的一座“孤岛”。
有学者认为,法定犯的前置法规属于“刑罚扩张事由”,所以这种立法是错误的。这其实是立足于自然犯时代的观察结论。20世纪以来,社会生活复杂性的急剧增加孕生了实质化的行政法治,行政法不得不开始介入调整产品责任、海关缉私、企业管理、金融秩序、财政税收、社会治安等生活领域。社会变迁决定了行政法的扩张,而法定犯实则是作为保障法的刑法因应行政法演变的产物。20世纪晚期,随着全球化与风险社会的到来,刑法必须提前介入以规制与管控的风险,以自然犯为本体的刑法逐渐被以法定犯为重心的刑法所取代,人们必须“正视法定犯时代的到来”。既然法定犯的立法无可避免,那么立足于法定犯时代来观察,前置法规其实是法定犯之行政从属性的体现,是成立犯罪的必要条件之一,起着限制而非扩张处罚范围的效果。有学者又主张,应视侵犯公民个人信息罪的“违反国家有关规定”为“刑罚收缩事由”,故部门规章皆可作为本罪的违法阻却依据。然而,这种做法实际上消解了刑法作为保障法的功能定位,与法定犯的立法目标互相抵触。例如,2016年施行的部门规章《旅行社条例实施细则》第49条第1款第1项规定,旅行社及其委派的导游人员、领队人员在经营、服务中有权要求旅游者如实提供旅游所必需的个人信息。本项看似赋予了旅行社及相关人员收集旅游者个人信息的权利,但合法收集与处理旅行者个人信息的前提是,旅行社及相关人员不仅需要遵守本细则其他条款规定的法定义务(如根据第50条第3款,旅行社不得向其他经营者或者个人,泄露旅游者因签订旅游合同提供的个人信息;超过保存期限的旅游者个人信息资料,应当妥善销毁),而且必须遵守《个人信息保护法》等其他上位法规范设立的法定义务(如依据《个人信息保护法》第6条,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息)。因此,当然不能认为只要个人信息处理者遵守了相关部门规章的规定即可阻却收集与处理行为在刑法上的违法性,否则将架空刑法对《个人信息保护法》等前置法规的保障功能,使“前置法—保障法”的个人信息保护法律体系遭受冲击。
因此,侵犯公民个人信息罪的“违反国家有关规定”指向的是法定犯的前置法规。既然如此,信息主体的知情同意就仅仅是相关前置法规所规定的内容之一而已。易言之,既不能直接从“获得同意”中得出阻却违法的结论,也不能直接从“未获同意”推导出“违反国家有关规定”的判断。在马莉、廖朝彬等侵犯公民个人信息案中,被告人廖朝彬代办处理车辆违章需要查询车辆违章信息,被告人马莉(时任协警)遂与廖朝彬约定,由廖朝彬提供需要查询的车辆,由马莉通过派出所内网查询车辆违章信息,廖朝彬按条支付报酬。被告人一审被判处侵犯公民个人信息罪。上诉人马莉认为,其向他人提供的车辆信息是案涉信息所对应的车主自愿的、同意的,并且是在车主的配合下才能完成的,故不构成本罪。上诉人是以获得了信息主体的知情同意为由,主张其不符合本罪中的“违反国家有关规定”要件。可是,《数据安全法》第38条明确规定,国家机关对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。被告人马莉在公安机关的内部网络查询并出售个人信息,纵使获得了信息主体的同意,仍然违反了法律对国家机关及其工作人员施加的个人信息保护义务。该条文无疑属于个人信息法律保护体系的组成部分,其规范目的是通过对信息处理者施加合规义务的方式以保护公民个人信息。当被告人的这一违法行为达到侵犯公民个人信息罪的入罪标准时,作为保障法的刑法就应当适时发动,而绝不允许以知情同意为由,轻易撤销刑法对前置法规的二次保障。本案法院正确指出,查询公民个人信息应当按照相关的法律规定进行,任何组织和个人均无权泄露公民个人信息。审理者的言下之意就是,即使得到信息主体的知情同意,信息处理行为仍然可能构成违法犯罪。
(二)“违反国家有关规定”的核心内容是违反信息处理者的合规义务
侵犯公民个人信息罪的“国家有关规定”是法定犯的前置法规,且不以告知同意为主要内容。进一步考察,为了与整体法秩序视野下的个人信息法律保护框架相适应,“国家有关规定”的核心内容应当是信息处理者的合规义务。
由大数据、人工智能、物联网所驱动的第四次工业革命悄然来临。正是在这样的“大数据时代”,由于数据二次利用的潜在价值被深入挖掘,所有数据都变成了有价值的,公民才陷入个人信息不断被侵扰的境地,才迫切呼唤着法律保护的回应。学者指出,第四次工业革命给全世界带来了三大迫在眉睫的挑战,即公平分配效益、合理管控风险、确保以人为本。公民个人信息保护问题的本质,就是如何分配和防范相伴新技术而来的个人信息受侵害风险的问题。以告知同意为核心的传统法律保护框架实际上更多地把这一风险分配给信息主体承担,只要作为被害人的信息主体知情同意,就要对损害结果自我答责。然而,这样的风险分配机制既不公平,也缺乏效率。其一,公民个人信息受侵害风险是基于信息处理者的决策和行为而产生,后者才是真正制造风险的主体,应该为自己制造的风险负责。其二,以政府和企业为代表的信息处理者在个人信息利用上获得了相对其他主体更大的收益,因而理所应当对自己的行为负责。其三,信息处理者相比个人而言掌握更好的技术和资源,能更有效地保护他们收集与处理的个人信息。其四,只有信息处理者知道他们会如何利用个人信息,因此也只有他们知道如何最好地保护个人信息。其五,信息处理者还在一定程度上拥有保护个人信息的激励,即避免商业秘密的泄露。所以,个人信息保护的主要义务人应当是信息收集、处理者而不是信息主体,个人信息法律保护框架应当以信息处理者的合规义务为核心,而不是信息主体的知情同意。
宪法位于整体法秩序的金字塔顶端,在个人信息领域同样统领着个人信息的法律保护框架,信息处理者的合规义务在宪法视角下源于个人信息权之客观价值秩序功能所对应的国家保护义务。作为基本权利的个人信息权拥有主观权利和客观价值秩序两大功能,前者是个人要求国家作为或者不作为的请求,后者则意味着国家有义务在一切可能性下促进基本权利的实现。个人信息权之主观权利维度的主要内容是防御权功能,即维护个人免受国家权力对个人信息的恣意干涉。可以认为,以告知同意为核心的传统法律保护框架其实是将视野限缩于个人信息的防御权功能一隅,国家除了在未经同意时不得侵犯公民的个人信息权之外,无须履行其他积极的个人信息保护义务。然而,这种做法既忽视了基本权利的客观价值秩序功能,也无视了个人信息作为社会交往之构成要素的集体法益面向。在个人信息的客观价值秩序维度上,国家必须建立各种制度、组织、程序、规范,甚至介入私主体之间的关系,以积极促进个人信息权的实现、维护社会交往的正常运行。如前所述,虽然集体法益保护的最终目的仍然是保护个人法益,但个人信息保护的根本目标不在于实现信息主体对个人信息的绝对性、排他性支配与控制,而在于确保个人信息能够以合乎人格尊严的方式被收集和处理,确保个人信息处理不逾越人格尊严底线。因此,个人信息权可以从我国《宪法》第38条“中华人民共和国公民的人格尊严不受侵犯”中寻得实定法支撑,而《个人信息保护法》《数据安全法》等法律法规就是国家对《宪法》上个人信息积极保护义务的落实,落实方式的重要组成部分就是对个人信息处理者施加合规义务,为个人信息基本权利和社会交往正常运转提供制度保障和组织保障。
事实上,在我国现行有效的规范体系中,个人信息法律保护框架已经围绕信息处理者的合规义务而展开构建。例如,《个人信息保护法》对个人信息处理者在各方面的合规义务作出了规定,其中第13—27条及第51—59条是个人信息处理者的一般义务(包括企业内部的合规义务),第28—32条是处理敏感个人信息的义务,第33—37条是国家机关处理个人信息的特别义务。《数据安全法》第21—36条规定了国家和其他数据处理者的数据安全保护义务,第38条还特别规定国家机关对在履行职责中知悉的个人信息的保密义务。《网络安全法》第40—45条对网络运营者施加了建立健全用户信息保护制度的义务,贯穿个人信息的收集、使用、处理、提供、保存等各个环节之中。除了上述法律之外,与信息处理者合规义务相关的行政法规、部门规章更是不计其数。
根据法秩序统一性原理,侵犯公民个人信息罪的“违反国家有关规定”连接前置法规和刑法,将犯罪构成要件的一部分委托给前置法规来补充规定,故其核心内容同样是违反信息处理者的合规义务。因此,司法人员在审查侵犯公民个人信息罪的构成要件时,对“违反国家有关规定”这一要素应着重审查信息收集、处理者是否违反了前置法规所设定的诸种义务,或者是否符合前置法规免除相关义务的情形。在柯某侵犯公民个人信息案中,被告人柯某创建“房某”网站,主要通过从房产中介人员处有偿获取本市二手房出租、出售房源信息,或者安排公司员工从微信群、其他网站等获取部分房源信息,并安排话务员冒充“中原地产”“我爱我家”等房产中介人员,套取房东准确房源地址、联系电话,将汇总房源信息以会员套餐方式提供给“房某”网站会员付费查询使用,柯某以此获利。柯某的辩护人辩称,涉案房源信系社会公开信息,对于房东主动向社会公开的房源信息不宜对收集后出售或者提供的行为要求二次授权,故不应认为柯某出售或者提供公民个人信息的行为“违反国家有关规定”。法院在论证“违反国家有关规定”这一要件时着重指出,《网络安全法》第41条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。第44条规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。对于房产中介上传的未经房东授权的房源信息,若想合法获取使用,应当明确告知信息权利人并经权利人的明示同意及二次授权,但本案被告人柯某并没有获取权利人的明示同意及二次授权,故被告人柯某的行为属于《网络安全法》第44条规定的非法获取个人信息行为。在本案中,审理者准确指明被告人具体违反的是何种法律对信息处理者施加的何种义务,确保了罪刑法定原则在法定犯“违反国家有关规定”要素中的实现,值得肯定。
而周某亮侵犯公民个人信息案则涉及前置法规免除信息处理者相关义务的情形。被告人周某亮从事广告业务推广工作。为扩大潜在客户量,周某亮利用QQ群向他人发送及接收企业法人信息共计71292条。一审法院认为,被告人周某亮违反国家规定,非法获取、提供公民个人信息共计71292条,情节特别严重,其行为已构成侵犯公民个人信息罪,判处有期徒刑3年,并处罚金40000元。周某亮提出上诉,认为原审法院认定周某亮侵犯公民个人信息数量有误,其发送的32616条信息中很多系公开的企业法定代表人信息,应当从周某亮侵犯公民个人信息的数量中予以排除。本案审理者在论证“违反国家有关规定”要件时明确指出,《企业信息公示暂行条例》规定企业的相关信息(如企业年度报告、出资情况等)应当向社会公示,《民法典》1036条第1款第2项和《个人信息保护法》第13条第1款第6项规定,个人信息处理者可以合理处理个人自行公开或者其他已经合法公开的个人信息。因此,周某亮向他人发送的32616条信息中部分属于法定代表人信息,可以通过互联网检索查询,应当予以排除。法院最终改判上诉人周某亮犯侵犯公民个人信息罪,判处有期徒刑1年,并处罚金10000元。在本案中,个人信息处理者的部分信息处理合规义务被前置法规免除,所以阻却了“违反国家有关规定”这一要素的成立。上述两个案件从正反两个角度说明,“违反国家有关规定”的核心内容是违反信息处理者的合规义务。
论述至此,可以为被害人同意与侵犯公民个人信息罪之间的关系给出一般性说明。由于本罪的保护法益含有集体法益的面向,因而信息主体的知情同意无法成为阻却违法性的被害人承诺。至于信息主体的同意能否成为本罪的构成要件阻却事由,端赖于在具体个案中,“违反国家有关规定”所指示的信息处理者的合规义务是否能因同意而被取消。一般来说,《个人信息处理法》《网络安全法》等法律法规对个人信息处理者施加了诸多一般性的合规义务,仅凭信息主体的同意不可能取消所有义务。即便《个人信息保护法》第13条第1款第1项规定个人信息处理者只有取得个人的同意方可处理个人信息,《民法典》第1036条第1款第1项规定在信息主体或其监护人同意的范围内合理处理个人信息不承担民事责任,也只是意味着个人同意是合法处理个人信息的其中一种情形的必要条件而已,除此之外信息处理者还必须满足“合理处理”的条件,也就是必须履行法律规定的其他合规义务。总而言之,由于侵犯公民个人信息罪的法定犯属性,信息主体的知情同意一般既无法成为本罪的违法阻却事由,也不足以直接阻却本罪的构成要件。其中的根本原因显然在于,在个人信息保护模式的选择上,对信息处理者施加合规义务远比让信息主体自主决定、自负其责更加公平和有效。
依目前学界针对自然犯与法定犯有较大共识的三个区分标准——社会变迁、保护法益、前置法规,本文论证了侵犯公民个人信息罪的法定犯属性。第一,个人信息及侵犯个人信息的行为虽然看似在人类社会的初期、现代法律产生以前就已存在,但其本质内涵已然发生过深刻的古今变迁。在社会变迁的大背景下不难发现,如今法律对个人信息的保护是晚近以来信息社会的产物。第二,侵犯公民个人信息罪的保护法益不只是个人法益,而是兼具个人法益和超个人法益的双重面向,即信息主体的个人信息权和作为社会交往之构成要素的个人信息。实际上,同时保护个人法益和集体法益的犯罪在我国刑法中并不罕见,它们都无疑属于法定犯而非自然犯。第三,本罪构成要件中的“违反国家有关规定”指向的是法定犯特有的前置法律法规,其核心内容是个人信息处理者违反了法律法规所施加的信息处理合规义务,信息主体的知情同意只是前置法规规定的诸种义务之一。侵犯公民个人信息罪的法定犯属性因而也得到证成。
强调侵犯公民个人信息罪之法定犯属性的意义何在?将本罪界定为法定犯,意味着冲破自然犯论用单一个人法益解读个人信息的理论迷雾,观察到个人信息所承载的复杂权益结构,尤其是其中无法还原为个人法益的集体法益内容,从而意识到个人信息对社会交往的建构作用。对个人信息本质属性的该种认识又决定了对个人信息采取的应然保护模式,是通过国家法律对个人信息处理者施加信息处理合规义务,而不是完全交由信息主体自我决定与自负其责,故而应当采取公私法结合的法律保护框架。更重要的是,由于法定犯在刑法教义学体系上具有诸多与自然犯相异的构造,所以只有明确本罪的法定犯定位,才能更为准确有效地展开关于本罪各项成立要件(包括注意义务、实行行为、结果归责、违法性、主观要件)的研究,进而使本罪真正实现保护个人信息的正义结果。
最后需要说明的是,由于本文的论证目标是要证立侵犯公民个人信息罪的法定犯属性,一方面,对个人信息刑法保护的探讨必须放在整体法律保护框架下进行,另一方面,刑法上自然犯和法定犯概念之重要区别之一即体现在社会变迁的维度上,因此,本文援引了一些刑法教义学以外的知识资源。从这个意义上说,本文所做的工作只是关于侵犯公民个人信息罪乃至法定犯之基础理论研究的“前奏”或“前言”。陈兴良教授曾说,刑法教义学是更多的是以自然犯为对象而形成的,无论是行为理论还是归因与归责理论,都是如此。随着法定犯在刑法中数量不断增加、地位不断提高,亟待发展法定犯的刑法教义学原理。以这份“前言”为开端,深入开展以侵犯公民个人信息罪为代表的法定犯的基础理论研究——其核心是法定犯的不法和归责理论研究,才是笔者的真实用意所在。