【摘要】數(shù)字經(jīng)濟是未來經(jīng)濟發(fā)展的重要方向,依賴于互聯(lián)網(wǎng)和大數(shù)據(jù)技術,而這些技術又離不開個人信息的應用。明確數(shù)字時代個人信息保護的法律邊界對于維護公民權(quán)益、促進數(shù)字經(jīng)濟發(fā)展乃至全球數(shù)字治理都具有深遠意義?,F(xiàn)階段,公民個人信息的保護存在法律規(guī)范不統(tǒng)一、法律程序缺乏轉(zhuǎn)化銜接路徑、在先的判決效力互認存在掣肘等情形。因此,需明確侵犯公民個人信息的入罪邊界以區(qū)分侵權(quán)與犯罪,優(yōu)化公民個人信息保護的法律程序轉(zhuǎn)化機制,確立侵犯公民個人信息案件在先判決事實認定的既判力規(guī)則。
【關鍵詞】數(shù)字時代 公民個人信息 法律邊界
【中圖分類號】D920.4 【文獻標識碼】A
【DOI】10.16619/j.cnki.rmltxsqy.2023.22.013
隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算等信息技術的廣泛應用,各類利用網(wǎng)絡侵害公民個人信息的違法犯罪日益增多,亟需引起重視,加強治理。在數(shù)字時代,侵害公民個人信息的行為更具隱蔽性與欺騙性,侵害公民個人信息的違法行為、犯罪行為與正常社會活動相互交織,刑民交叉現(xiàn)象較為普遍。2021年,《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)施行,是我國第一部個人信息保護方面的專門法律。在此之前,對于公民個人信息的保護條款散見于《中華人民共和國刑法》(以下簡稱《刑法》)、《中華人民共和國民法典》(以下簡稱《民法典》)等法律法規(guī)或司法解釋中。雖然《個人信息保護法》為個人信息保護提供了明確的規(guī)則指引,但還存在公民個人信息保護的刑民邊界不清等問題,本該雙線并行的私法和公法雙重保護與個人信息保護的實踐需求相去甚遠。刑事與民事兩大法律體系在個案法律適用中存在重疊、交叉或空白的情形,公民個人信息保護法律體系亟待完善。
問題的提出:公民個人信息保護的刑民邊界不清
公民個人信息保護的法律規(guī)范缺乏統(tǒng)一。刑民法律均基于各自的規(guī)范目的與調(diào)整領域作出規(guī)定,囿于立法重點、規(guī)制對象等因素的不同,對公民個人信息保護的法律規(guī)范并不統(tǒng)一。我國立法體系是先通過《刑法》設立了侵犯公民個人信息罪,后續(xù)才制定《民法典》《個人信息保護法》對公民個人信息加以保護。一是根據(jù)法秩序統(tǒng)一性原理,同一行為在刑事與民事法律規(guī)范均予以規(guī)制的情況下,民事侵權(quán)與刑事犯罪之間應為包容關系,所有的犯罪行為均可被侵權(quán)行為涵蓋?!缎谭ā芬?guī)定了侵犯公民個人信息罪“情節(jié)嚴重”的入罪標準,《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《個人信息司法解釋》)則進一步規(guī)定了達到“情節(jié)嚴重”的信息條數(shù)等。然而,一方面,個人信息的真實性核查困難、“條”數(shù)統(tǒng)計困難導致實踐中刑事案件認定困難;另一方面,《民法典》《個人信息保護法》出臺后,民法中侵犯個人信息的認定規(guī)則是否適用于刑事案件還有待明確。同理,不同性質(zhì)、不同適用范圍、不同情節(jié)的認定亦會導致個人信息保護刑民法律界分的標準不明,引發(fā)裁判尺度不一的問題。二是公民個人信息保護的法益基礎不同,直觀地體現(xiàn)在保護模式的選擇上。刑法領域采用的是“公共利益”保護模式,即傳統(tǒng)的司法實踐及學說理論并未將個人信息作為獨立法益予以設定,多通過附屬于國家法益、社會法益的形式加以保護。而民法領域采用的是“人身權(quán)”保護模式?!睹穹ǖ洹飞?,我國的個人信息保護以刑法規(guī)制為主,呈現(xiàn)出“刑先民后”的鮮明特點。[1]《民法典》實施后,才正式將個人信息權(quán)益予以專章保護。期間雖偶有《中華人民共和國網(wǎng)絡安全法》等專門立法,但在個人信息方面缺少完整的請求權(quán)基礎,保護范圍及力度狹窄且薄弱,諸多個人信息侵權(quán)案件僅能以名譽權(quán)或隱私權(quán)等侵權(quán)路徑進行救濟。
公民個人信息保護法律程序缺乏轉(zhuǎn)化銜接路徑。侵犯公民個人信息刑事與民事案件在實體上認定“同一法律關系”存在困難?!蹲罡呷嗣穹ㄔ宏P于在審理經(jīng)濟糾紛案件中涉及經(jīng)濟犯罪嫌疑若干問題的規(guī)定》明確以“同一事實”“同一法律關系”作為區(qū)分刑民交叉案件的標準,即刑事案件、民商事案件分屬不同法律關系的,刑事、民商事并行審理;屬于同一法律關系的,先刑后民。但從司法實踐來看,各地法院對“同一法律關系”的認定標準不一,個案的處理方式亦存在較大差異。民事案件審理中發(fā)現(xiàn)行為人涉嫌構(gòu)成刑事犯罪時,法院雖可依職權(quán)向公安機關移送案件,但刑事與民事案件對“同一法律關系”的認定標準、證明標準、舉證責任乃至當事人與訴訟重心均有顯著不同,導致辦案機關對案件的認定存在理解不一、判定迥異的情形。
侵犯公民個人信息案件在先的判決效力互認存在掣肘。侵犯公民個人信息案件程序之間的銜接,至少包括以下兩種情形:一是刑事案件訴訟程序終結(jié)后,一些當事人又向法院提起民事訴訟主張損害賠償。二是民事訴訟終結(jié)后,個別當事人不滿足于訴訟結(jié)果,轉(zhuǎn)而借助于刑事訴訟程序。基于法秩序統(tǒng)一性原理,刑事訴訟與民事訴訟所認定的事實應在最大程度上保持一致,但受制于刑事與民事法律在立法目的、證明規(guī)則等方面的不同,刑民交叉案件中,民事訴訟與刑事訴訟對同一案件事實的認定往往存在差異,這就產(chǎn)生在先的判決效力認定問題,即在先的民事或刑事判決是否對在后的刑事或民事訴訟產(chǎn)生約束力。此外,即使刑事判決已認定行為人構(gòu)成侵犯公民個人信息罪,鑒于刑事判決缺乏被害人信息的相關表述,民事法官也難以掌握其承辦民事案件與刑事案件的關聯(lián)性。
邊界厘定的基礎:法律保護中“個人信息”的界定
法律保護中的“個人信息”屬性是一種獨立的新型權(quán)利?!秱€人信息保護法》并未對個人信息類型進行列舉,也未區(qū)分一般信息與私密信息,而是選擇了敏感信息這一概念。在具體應用領域,面臨著如何對各類個人信息逐一識別的問題。對于“公民個人信息”的性質(zhì),將其視為一種新型權(quán)利類型較為可取。大數(shù)據(jù)時代下的公民個人信息兼具人身屬性、經(jīng)濟屬性和社會屬性,且涉及個人信息保護與商業(yè)利用間的平衡,二者不可偏廢。一方面,如果作為單純的財產(chǎn)權(quán)進行保護,則將侵犯個人信息犯罪強制割裂為財產(chǎn)性犯罪和人身性犯罪雙重罪名,忽略財產(chǎn)屬性依附于身份屬性的基本關系;另一方面,若單純將其作為人身權(quán),則忽略了個人信息不同于一般的人格權(quán)之外的巨大財產(chǎn)性利益。故建議將其視為一種獨立的新型民事權(quán)利,不僅可擺脫傳統(tǒng)隱私權(quán)保護模式的束縛,而且兼顧了個人信息的財產(chǎn)價值。個人信息的多重權(quán)利屬性決定著其重心在于權(quán)利的認定上,《民法典》所規(guī)定的刪除權(quán)等多種權(quán)能也只有統(tǒng)一在個人信息權(quán)內(nèi)才可得自洽。因此,將公民在個人信息上的權(quán)益屬性認定為新型的權(quán)利類型,可以在貫徹可識別性原則的同時,對公民個人信息進行全面保護。更為重要的是,這種安排不與刑法理論或?qū)崉諞_突。在《刑法》“侵犯公民人身權(quán)利、民主權(quán)利罪”章節(jié)中規(guī)定,侵犯公民個人信息罪的法益為人格權(quán)。理論上,以人格權(quán)為具體權(quán)屬對其進行解釋具有可行性,罪名體例也無需重新調(diào)整。
法律保護中的“個人信息”應以“可識別性”為認定原則。個人信息之所以需要得到保護,在于其上附著的特定個體的身份、財產(chǎn)等相關利益,故個人信息最重要的特征應為“可識別性”。對于《個人信息保護法》與《民法典》的關系,有學者描述道:“民法典是‘太陽’,而單行法則構(gòu)成圍繞‘太陽’公轉(zhuǎn)的‘行星’;‘行星’根據(jù)‘太陽’所投射的‘光芒’來進行解釋。”[2]因此,在《個人信息保護法》生效的前提下,民事程序需以該法為基礎對個人信息進行統(tǒng)一認定,刑法也因法秩序統(tǒng)一性原理而同樣需要堅持可識別性原則。其一,相關立法文件對個人信息的定義,均應要求單獨或結(jié)合識別出自然人的身份或反映自然人活動情況,認定的本質(zhì)要求具有可識別性。其二,在刑事司法實踐中,行為人所侵犯的個人信息也表現(xiàn)為多種信息的組合,刑事入罪也要求個人信息以可識別性為認定標準,與民事規(guī)范并不存在根本性差異。
法律保護中的“個人信息”界定應兼具動態(tài)靈活性。豐富的內(nèi)涵固然有助于全面的保護,但過于開放的概念也會誘發(fā)個人信息在個案認定上的困難。大數(shù)據(jù)時代,自動收集、大數(shù)據(jù)共享等技術革新極大地拓寬了個人信息的范圍,行蹤軌跡、生物識別信息等新類型層出不窮,許多以往看似不具可識別性的信息,都存在了識別的可能,個人信息原本清晰的邊界愈發(fā)模糊。甚至許多已“脫敏”的信息在高度聚集時,也存在再度識別出用戶的可能性,即“再識別”。因此,對“個人信息”的界定是動態(tài)且高度依賴于具體場景的,僅機械適用“概括+列舉”方式的靜態(tài)類型化識別并不符合實際。對于僅侵犯了電話號碼、購物信息等單一信息的,應當遵循《個人信息保護法》“保護個人信息人身利益與財產(chǎn)利益”的規(guī)范目的,對涉案信息進行限縮解釋,從而避免無限關聯(lián)情形下的動輒得咎。當然,動態(tài)界定個人信息仍要以“可識別性”作為判定標準,強調(diào)個案個別處理也并非對“可識別性”的否認,只是對其適用提出了更高要求,目的在于更好衡平個人信息的保護與利用。同時,亦建議在今后立法中,合理界定個人信息的范疇,如民法中個人信息的范疇應包括所有刑法規(guī)定的個人信息內(nèi)容,刑法規(guī)制的個人信息范疇應作為民事個人信息部分中的重要內(nèi)容。
完善路徑:構(gòu)建公民個人信息法律保護的實體銜接與程序轉(zhuǎn)化機制
明確侵犯公民個人信息的入罪邊界以區(qū)分侵權(quán)與犯罪。尋求個人信息刑民保護的“黃金分割線”,即區(qū)分個人信息侵權(quán)行為與犯罪行為“質(zhì)變”的分割線比較困難。結(jié)合法秩序統(tǒng)一性原理,關鍵在于明確入罪邊界。對比刑法的原則性規(guī)定,《個人信息司法解釋》從個人信息的種類和敏感度來分級劃定起刑點、確定入罪邊界,并從信息類型+數(shù)量、違法所得數(shù)額、獲取信息的目的和用途、行為主體的特殊身份及前科情況五方面來衡量“情節(jié)嚴重”和“情節(jié)特別嚴重”。基于刑法的謙抑性,刑事規(guī)范對個人信息的認定應比民事規(guī)范更為嚴格,刑事案件對公民個人信息的認定應適度限縮。實踐中,存在多個信息結(jié)合才能識別特定自然人的情形,值得注意的是,當被告人侵犯海量公民個人信息時,逐一核實個人信息是否具有可識別性及信息真?zhèn)渭炔滑F(xiàn)實也無必要。在程序上可引入鑒定程序、必要的抽樣規(guī)則或者推定規(guī)則,將個人信息的條數(shù)確認交由鑒定機構(gòu)核實;如果無法啟動鑒定程序,公訴機關也需結(jié)合必要的抽樣檢測,并允許被告人提出反駁,如其有明確證據(jù)證明部分個人信息不具有可識別性,則應將此部分信息從總數(shù)中剔除。此外,建議將非法使用公民個人信息的行為納入刑事規(guī)制范圍。非法使用個人信息行為數(shù)量眾多、影響廣泛、危害極大。根據(jù)法秩序統(tǒng)一原理,非法使用個人信息行為的入罪需與相關民事規(guī)范對該行為的違法性判斷保持一致。同時,非法使用個人信息應保持同類罪名刑罰體系及入罪標準的統(tǒng)一性,如設置“情節(jié)嚴重”入罪標準及法定刑升格標準,繼續(xù)沿用“情節(jié)加數(shù)額”定量標準??紤]到非法使用信息對公民人身、財產(chǎn)權(quán)益的危害性、關聯(lián)性,建議將類型化、常態(tài)化的非法使用行為入罪。[3]法定刑升格情形可以依照行為類型、危害后果、侵害對象、持續(xù)時間等綜合加以判定,如人肉搜索導致他人自殺或者精神失常的;將公民個人信息用于犯罪活動的;修改他人個人信息,造成嚴重后果等。[4]
優(yōu)化公民個人信息保護的法律程序轉(zhuǎn)化機制。人民法院在審理公民個人信息侵權(quán)案件時,若出現(xiàn)《個人信息司法解釋》第五條列舉的情形,依據(jù)刑法規(guī)定的侵犯公民個人信息罪入罪標準,則涉及民事案件向刑事案件的轉(zhuǎn)化問題;反之,在最初作為刑事案件予以處理的情形下,如果處理該刑事案件的公安機關、檢察機關或人民法院認為案件沒有達到情節(jié)嚴重的入罪標準,進而無法適用《個人信息司法解釋》第五條的規(guī)定,則該刑事案件就出現(xiàn)了向民事案件轉(zhuǎn)化的空間。如果在偵查或?qū)彶槠鹪V階段發(fā)現(xiàn)案件不構(gòu)成刑事犯罪,辦案機關應向受害方書面告知相關情況,受害方可自行提起民事訴訟。值得注意的是,檢察機關如在辦理案件過程中發(fā)現(xiàn)相關案件雖然不構(gòu)成刑事犯罪,但侵犯公民個人信息眾多,其可依據(jù)《個人信息保護法》主動提起民事公益訴訟,此既有利于充分保障不特定被害人的個人信息權(quán)益,還有利于規(guī)制侵權(quán)人,維護社會公共權(quán)益。
確立侵犯公民個人信息案件在先判決事實認定的既判力規(guī)則。侵犯公民個人信息案件中先判決事實認定的既判力規(guī)則應當包含兩個層面:其一,鑒于刑事訴訟的證明標準高于民事訴訟證明標準,且刑民法律關系及救濟路徑存在顯著不同,故原則上,在先的民事判決不應對在后的刑事訴訟產(chǎn)生既判力。如原告向某人提起民事訴訟敗訴后,檢察機關向同一人提起與原民事訴訟事實相同或者基本相同的刑事訴訟,此情形中,原告通過高度蓋然性證明標準尚不足以獲勝,同樣的基礎在排除合理懷疑的刑事證明標準下更不可能滿足,此時,先判決的民事訴訟對刑事訴訟具有既判力阻卻。其二,在先的刑事判決原則上對在后的民事判決產(chǎn)生既判力。有罪的刑事判決對案件事實的認定對民事程序形成拘束力,如認定被告人實施的某項侵犯公民個人信息行為構(gòu)成犯罪,若被害人就同一案件事實針對被告人提起民事賠償之訴,則無需對侵權(quán)行為再行證明。但也有例外,依據(jù)《中華人民共和國刑事訴訟法》第二百條規(guī)定,人民法院對案件審理后作出無罪判決的情況主要有兩大類,一類是法定無罪,一類是證據(jù)不足的無罪。基于前一種情形作出的無罪判決對民事程序不應具有拘束力。就后一種無罪判決而言,證據(jù)不足不予定罪與民事訴訟中高度蓋然性的標準并無排斥,故在先的刑事判決不能對在后的民事判決產(chǎn)生既判力。
(本文系教育部人文社會科學研究青年基金項目“公正司法視域下罰金刑自由裁量的邊界與程序控制研究”和中國政法大學青年教師學術創(chuàng)新團隊支持計劃資助項目的階段性成果,項目編號分別為:23YJC820051、21CXTD01)
注釋
[1]于沖:《侵犯公民個人信息罪中“公民個人信息”的法益屬性與入罪邊界》,《政治與法律》,2018年第4期。
[2]石佳友:《個人信息保護法與民法典如何銜接協(xié)調(diào)》,《人民論壇》,2021年第2期。
[3]李川:《個人信息犯罪的規(guī)制困境與對策完善——從大數(shù)據(jù)環(huán)境下濫用信息問題切入》,《中國刑事法雜志》,2019年第5期。
[4]肖雅菁、郭旨龍:《刑民銜接視角下侵犯公民個人信息罪的規(guī)范重構(gòu)》,《江西師范大學學報(哲學社會科學版)》,2021年第5期。
責 編/肖晗題