<output id="5zixi"></output>
<output id="5zixi"><legend id="5zixi"></legend></output>
<p id="5zixi"><del id="5zixi"><div id="5zixi"></div></del></p>

<tr id="5zixi"><label id="5zixi"></label></tr>
<p id="5zixi"></p>
  • <tr id="5zixi"><label id="5zixi"></label></tr><td id="5zixi"><ruby id="5zixi"></ruby></td><acronym id="5zixi"><meter id="5zixi"></meter></acronym><object id="5zixi"><strong id="5zixi"><address id="5zixi"></address></strong></object>
    個人信息嵌套保護模式的提出與構造
    2021/10/12 8:36:12  點擊率[1784]  評論[0]
    【法寶引證碼】
      【學科類別】刑法學
      【出處】《中國政法大學學報》2021年第5期
      【寫作時間】2021年
      【中文摘要】個人信息并行保護的傳統模式,過于強調各部門法之間的獨立性而忽略了其統一性,導致刑法過早地介入個人信息領域,違背了刑法謙抑性理念并造成部門法之間的規則沖突。根據個人信息的雙重屬性及其社會屬性從屬于個人屬性的理論定位,應當跳出傳統并行保護模式的方法論誤區,走向基于法秩序統一性原理的嵌套保護模式。個人信息嵌套保護模式的構造,需妥善處理兩組關系:一是在一般立法與專門立法之間,將一般立法即《民法典》確立的一般規則嵌入至《個人信息保護法》中,確立個人信息保護的合法性基礎;二是在前置法與刑法之間,將前置法規則嵌入至刑法侵犯公民個人信息罪的定性評價中,劃定個人信息犯罪的合理性邊界。
      【中文關鍵字】個人信息;嵌套保護;并行保護;法秩序統一性
      【全文】

        引言
       
        網絡技術的迭代升級既極大地促進了交互的便捷性,又增加了個人信息“無處不在又難以知情預測”的泛在(ubiquitous)泄露風險。[1]與之相適應,世界各國紛紛從立法層面加強個人信息保護規則構建,逐漸形成了一般立法與專門立法相配合、私法與公法相協同的規范體系。我國個人信息保護立法同樣進入了活躍化時期:在民法上,2017年3月15日通過的《中華人民共和國民法總則》(以下簡稱《民法總則》)第111條將個人信息確認為民事權利(益),并進一步寫入了《中華人民共和國民法典》(以下簡稱《民法典》)總則編。在刑法上,2009年2月28日通過的《中華人民共和國刑法修正案(七)》(以下簡稱《修(七)》)增設了出售、非法提供、非法獲取公民個人信息罪,并在2015年8月29日通過的《中華人民共和國刑法修正案(九)》(以下簡稱《修(九)》)中進行了優化擴容,形成了侵犯公民個人信息罪。2021年8月20日十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》),這標志著個人信息保護專門立法已經到來。
       
        隨著民法、刑法以及專門立法的相繼確立,個人信息保護立法從碎片化走向了體系化,而當諸法來臨之際,另一個非常重要的問題將擺在我們面前,即如何協調好個人信息保護的一般立法與專門立法、私法與公法之間的復雜關系?尤其是,我國個人信息保護立法采取先刑事后民事、先一般立法后專門立法的路徑,這與通常情況下民事立法與專門立法先行的做法存在明顯不同。如何在兼顧不同部門法共性與差異的基礎上協調彼此之間的關系,成為了個人信息保護“良法善治”目標實現的不可回避的重要問題。
       
        一、個人信息保護的傳統模式及其困境
       
        (一)個人信息保護的傳統模式:并行保護
       
        回顧我國個人信息保護發展史,首先關注個人信息保護的是刑法,其次才是民法,而專門立法即《個人信息保護法》則于近期才正式通過。個人信息保護刑事立法和一般立法先行的做法,有助于在各部門法內部優先確立比較詳盡的個人信息保護規則,也保持了各部門法內容的相對獨立性,這種個人信息保護模式可稱之為并行保護模式。然而,在并行保護模式下,各部門法之間呈現獨立性有余而關聯性不足的特征,具體規則設計拘于各自的部門法理和制度安排而脫逸了整體法秩序,進而導致立法銜接和司法適用同時受阻。
       
        在立法上,刑法為“保護公民個人信息不被泄露”,以及防止因個人信息泄露“對公民的人身、財產安全、個人隱私以及正常的工作和生活、工作構成嚴重威脅”[2],早在2009年《修(七)》就率先將特定領域嚴重侵犯個人信息的行為犯罪化。而在民法領域,直到2017年《民法總則》才明確規定了個人信息概念,民法與刑法之間存在8年的立法差距,刑法對個人信息的保護整體上走在民法前列。個人信息保護刑事立法先行的路徑,導致刑法最初就與民法產生了脫節。在早期,由于民法中個人信息保護規則闕如,刑法為有效保護個人信息而獨立創設了個人信息犯罪判斷標準,盡管后來民法補足了個人信息保護規則,但在民法規則欠缺的8年時間里,刑法有關個人信息犯罪的立法完全順著其自身邏輯,換言之,刑法關于個人信息犯罪判斷標準實際上位于民法之外,而不是以民法為依據。2015年《修(九)》對原《刑法》第253條之一的條文進行補充,增加了一般主體出售、非法提供公民個人信息的犯罪作為第1款,將原第1款中“違反國家規定”改為“違反國家有關規定”并新增了加重處罰情節后作為第2款,原第2款和第3款相應地調整為第3款和第4款,最終形成了侵犯公民個人信息罪。這一修改乃是基于刑法領域出現了打擊侵犯個人信息上游犯罪、黑色產業鏈等新情況、新需要,[3]從而將個人信息犯罪的犯罪圈進行了明顯擴張,而并未考慮這種刑法擴張對民法調整范圍的不當壓縮,以及對刑法保障法原理的挑戰。也因此,即便民法后續增加了對個人信息保護的規定,也無法對既定的個人信息犯罪刑事立法產生實體制約,因為后者早在前者誕生之前已經產生并完善。至于專門性立法,雖然《個人信息保護法》已經通過,但是在該法尚未通過的相當長一段時間內,民法與刑法能否適用個人信息知情同意原則、個人信息合理使用制度等未正式通過的規范?若直接適用,則作出的相關裁判具有法官造法嫌疑。反之,若不能加以適用,則涉及到知情同意原則、個人信息合理使用等情形時又應該如何處理?由此可見,刑事先行的立法路徑和專門性立法滯后,造成了立法銜接的困難重重。
       
        在司法上,前置法的不足以及刑法的相對完善,使得司法實踐在面臨個人信息違法犯罪時,更傾向于從形式上對照侵犯公民個人信息罪的構成要件,而不是結合前置法實質地考量違法性、有責性等,容易形成入罪思維。基于刑法關于個人信息犯罪的規定,通過總結司法實踐經驗,最高人民法院、最高人民檢察院于2017年5月8日發布了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《個人信息刑事解釋》),這一司法解釋正是在民法沒有規定個人信息概念的前提下頒布的,其完全遵循著刑法邏輯。而在《民法典》規定個人信息概念之后,該司法解釋中的某些規定與民法中有關個人信息保護的規定形成了抵牾。例如,《個人信息刑事解釋》第5條規定,“非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上”即屬于侵犯公民個人信息“情節嚴重”,構成侵犯公民個人信息罪,這被民法學者認為是刑法提前介入了民事領域。[4]從具體的司法判決來看,筆者以“個人信息”作為關鍵詞在“中國裁判文書網”進行檢索,經過初步篩選之后發現,當前涉及刑事個人信息犯罪的文書共有34866份,涉及民事個人信息侵權的文書則只有13336份,[5]刑事文書遠遠多于民事文書。這一方面由于侵犯公民個人信息行為涉眾較多,受害人一般難以提起民事訴訟,加之2017年以前民法并未規定個人信息概念,個人信息民事保護的司法關注度相對較低;另一方面也體現了司法實務過多依賴于刑法來規制侵犯公民個人信息行為,由此導致個人信息保護司法裁判數量上的“刑民倒掛”,這也從側面印證了刑法在個人信息保護領域形成的入罪思維。
       
        上述立法銜接問題和司法適用困境共同折射出,傳統的個人信息并行保護模式過度強調民法、刑法等部門法的獨立性,而忽視了整體法秩序的統一性。為彌補個人信息民法保護的實效性闕如,刑法則頻繁地提前介入時點,在民法尚未明確個人信息屬性之前,率先規定了個人信息犯罪,這導致整體法秩序功能紊亂,造成合法行為與非法行為、民事違法與刑事犯罪的邊界更加趨于模糊。
       
        (二)并行保護模式下的法理疑問與規則沖突
       
        面對泛在的個人信息泄露風險以及日趨嚴重的個人信息失范行為,通過刑法將其中性質惡劣或情節嚴重的行為犯罪化,當然有其合理性。在前置法以及專門性立法有所欠缺的前提下,優先通過刑法加以打擊,或許有助于快速遏制失范行為,然而,過于強調刑法與其他部門法獨立的個人信息并行保護模式,還蘊含著法治隱憂。
       
        一方面,刑法對個人信息保護的前置化與早期化聚集成一股強大的力量沖擊著刑法謙抑主義,此時的刑法已經脫離了“最后保障法”的應然定位,而在實然上成為了“在先社會管理法”,刑法充當了維護個人信息管理秩序的功能。《刑法》第253條之一侵犯公民個人信息罪的成立要求違反“國家有關規定”,而關于何為“國家有關規定”,根據《刑法》第96條的規定,是指“全國人民代表大會及其常務委員會制定的法律和決定,國務院制定的行政法規、規定的行政措施、發布的決定和命令”,即法律和行政法規。然而,2017年的《個人信息刑事解釋》第2條卻對侵犯公民個人信息罪中的“國家有關規定”進行了擴張,只要“違反法律、行政法規、部門規章有關公民個人信息保護的規定的”,都屬于該罪中的違反“國家有關規定”,顯然,該解釋將原本不屬于《刑法》第96條規定的部門規章納入了“國家有關規定”之范疇。在個人信息保護領域,部門規章大量存在,對個人信息的保護更為寬泛,對“國家有關規定”進行擴張性解釋,也導致刑事犯罪圈的明顯擴張。然而,由于“部門規章不屬于我國《刑法》第96條中的‘國家規定’,司法解釋卻直接將其與法律、行政法規等同視之”,這顯然背離了罪刑法定原則。[6]司法解釋的擴張,直接效果是使刑法對個人信息保護的前置化與早期化,由此,侵犯公民個人信息罪的成立不再由個人信息是否被實質侵犯所決定,而是取決于法律、行政法律、部門規章的具體規定,刑法也被泛化為維護個人信息管理秩序的“社會管理法”。
       
        另一方面,在前置法沒有規定之前,刑法的提前介入可能造成犯罪邊界的不確定性,此種不確定性蘊含極強的法治破壞力,由此形成的個人信息法益將隨著利益的泛化而失控,并可能演化為前置法與刑法之間的規則沖突。例如,在刑法規定侵犯公民個人信息罪之后,由于民法并未規定個人信息,理論上對個人信息的法益屬性定位問題形成了個人法益說與超個人法益說之爭。不少刑法學者認為,侵犯公民個人信息罪的保護法益乃是“公共信息安全”[7]“國家和社會公共安全、利益及秩序”[8]等超個人法益,并且只要損害了公共信息安全或者社會秩序的,都構成侵犯公民個人信息罪。超個人法益具有高度不確定性,它的確立“使法益危殆化的法益關聯性行為的規制提至具體危險發生之前的階段”[9],從而實質地消解了刑法謙抑性的限縮犯罪圈功能。歷史總是鏡鑒,超個人法益源于集體主義(Kollektivismus),它強調個人對集體的服從,即“個人只有作為公民共同體的部分才具有價值”[10],在此觀念之下的超個人法益不僅獨立于個人法益,還被賦予更高的必要保護性。當超個人法益脫離個人法益而獨立存在時,其容易憑借公共利益或社會秩序“強勢性”裹挾個人法益,從而在法益衡量中,總是會得出超個人法益優先于個人法益而得到保護的結論。具體到侵犯公民個人信息罪中,如果認為本罪的保護法益是超個人法益,則意味著即使經過信息主體授權或同意使用個人信息,只要被認為損害了公共利益或社會秩序等超個人法益,也應當作為犯罪處理,這無疑與個人信息保護的知情同意原則相抵牾。況且,侵犯公民個人信息罪位于《刑法》分則第四章,該章節的具體罪名所指向的都是個人法益,為何單單侵犯公民個人信息罪的保護法益是超個人法益,這是上述論者所無法回答的問題。直到2017年《民法總則》第111條將個人信息確認為民事權利,并由2020年《民法典》將個人信息歸入人格權編之后,刑法中有關侵犯公民個人信息罪的法益屬性之爭才得以平息,個人信息的個人法益屬性最終確立。[11]不過,即使民法將個人信息確認為個人法益,也這并不意味著個人信息保護的民刑規則沖突已經得到解決,相反,這些規則沖突還需要與《個人信息保護法》的相關規定進行協調,以及在理論上不斷進行教義學調適。
       
        總之,個人信息保護的傳統模式即并行保護模式,著重強調各部門法的獨立性,這雖然有助于塑造部門法之內的保護規則,但是,個人信息保護不僅需要單個部門法內部的規則構造,還需要各個部門法之間的有序銜接。并行保護模式對法秩序統一性的忽視,在法理上有違刑法謙抑性原則,在規則構造上存在民刑沖突。在《個人信息保護法》頒布施行的背景下,有必要對并行保護模式的不足進行體系性反思,結合個人信息的雙重屬性特質及其規范意義,塑造更為契合個人信息保護需求的嵌套保護模式。
       
        二、個人信息嵌套保護模式的法理支撐
       
        (一)法秩序統一性與嵌套保護的合法性基礎
       
        整體法秩序是以一定規則排列憲法、民法、行政法、刑法等部門法而形成的體系化規范脈絡,“一個法秩序,本來,應當是一個統一的體系。一國的法秩序,在其內部,根據民法、刑法等不同,按照各自不同的原理而形成獨立的法領域”[12]。簡而言之,法秩序應是一個無矛盾而相統籌的規范體系。雖然私法和公法“有著不同的規范構造和制度安排,但是兩者具有相同的價值理念,即保護公民的合法權益”[13],因此,法秩序統一性允許部門法之間存在差異,但這種差異并不意味著沖突,規則之間的沖突應當盡可能消除。基于法秩序統一性原理,個人信息保護模式應從并行保護走向嵌套保護,嵌套保護既尊重了部門法之間的差異性,又兼顧了其統一性。
       
        一方面,各部門法分屬不同領域,彼此相互補充,這是規則嵌套的邏輯前提。由于法秩序是由多個法規范構成的,而在很多情況下,一種權利或者利益可能會受到多個法規范的調整,這就需要對法規范的統轄領域進行分配與權衡。在民法中,“私人請求權的求償委諸被害者,但并非處之以刑罰,而是使結果回復到法律所保障的狀態”,而在刑法中,“為維護公家利益(無論是倫理上或者功利上的利益),而對違反客觀規范者球場,其方式是由國家機構里的機關對嫌犯科以刑罰”。[14]換言之,民事責任的核心是損害填補,刑事責任的核心是為了維護國家利益或實現國家刑罰權,兩者存在天然差異。例如,對于非法收集公民個人信息的行為,民法上的做法一般是要求侵權人對相關信息進行銷毀即可,通常只有在造成實際損害的情況下,才要求承擔賠償責任。但對于刑法而言,銷毀非法獲取的個人信息并不能當然否定犯罪成立。因為刑法上的法益不具有可恢復性,非法收集公民個人信息的行為,已經侵犯了刑法中的個人信息法益,只要非法收集公民個人信息達到法定數量的,即使該信息沒有實際傳播,未對個人信息安全造成實質損害,也不能夠排除其犯罪性。法在橫向構造上,具有各自獨特之處,民法的損害填補、行政法的行為規制與刑法的犯罪處罰之間具有相對獨立性,由此形成的差異使得各部門法之間有了相對獨立而又彼此互補的可能性,這種互補需要彼此規則的滲入和調適,是一種嵌套模式。
       
        另一方面,法秩序具有先后的適用順位關系,這是嵌套的重要路徑。具體到個人信息保護領域,這種嵌套至少體現在兩個方面:一是在靜態層面,刑法雖然率先通過了侵犯公民個人信息罪,但犯罪的認定依然要尊重個人信息的私法屬性,遵循民法的基本原則。例如,《個人信息刑事解釋》第3條第2款規定,“未經被收集者同意,將合法收集的公民個人信息向他人提供的”,即合法收集的公民個人信息要想合法使用,必須經過被收集者即信息主體同意,這體現了刑法將個人信息被收集者這一私主體置于重要地位,是對民法中合法私益保護的尊重。二是在動態層面,刑法對個人信息的保護曾走在了民法前列,但當《民法典》以及《個人信息保護法》相繼頒布之后,刑法中侵犯公民個人信息罪認定也應當根據上述法律的變動而做出調整,不能夠形成“刑民倒掛”。例如,《刑法》第253條之一將非法獲取公民個人信息行為規定為犯罪,而非法獲取公民個人信息的確定,需要結合民法的規定來判斷。由于現實中存在大量公開的個人信息,如微信、網絡論壇等,對于這些公開的個人信息,根據《民法典》第1036條規定,只要不是自然人明確反對或者損害自然人利益的,原則上處理這些公開的個人信息都不構成對個人信息權的侵犯。具體言之,不使用這些信息而僅將個人信息收集起來供個人使用,一般不構成對個人信息權的侵犯,不構成民事侵權。既如此,這種行為在刑法上也不屬于侵犯公民個人信息罪。這意味著,民法有關個人信息的規定是刑法判斷侵犯公民個人信息罪的重要依據,將民法嵌入刑法,意味著在對相關行為進行定性時,應先判斷是否侵犯了民法上的個人信息權,再判斷該行為是否構成侵犯公民個人信息罪,從而防止過度犯罪化。
       
        法秩序統一性為個人信息嵌套保護提供了合法性基礎。個人信息保護存在兩對基本范疇,分別是一般立法與專門立法、前置法與刑法,規則嵌套由于涉及到兩個或者兩個以上法規范,必須明確嵌套的基本邏輯。在一般立法與專門立法之間,一般立法為個人信息保護提供了方向性指引,專門立法則是對個人信息保護的具體細化,根據兩者之間的邏輯關系,應當將一般立法嵌入專門立法中,具體而言,就是要將《民法典》的規定嵌入《個人信息保護法》中。在前置法與刑法之間,民法等前置法通常是優先于刑法適用,只有在前置法無法進行有效規制時,才能夠動用刑法。
       
        (二)個人信息屬性與嵌套保護的合理性依據
       
        學理上,有關個人信息的基本屬性之爭已達成普遍共識,即個人信息兼具個人和社會雙重屬性。[15]但更進一步的問題,即個人信息雙重屬性中的個人屬性與社會屬性之間究竟存在何種關系,卻未能予以釋明。由于個人信息最初是通過隱私權涵攝保護的,[16]因而早期理論多將個人信息作為私法益。然而,個人信息的社會屬性卻接近于公法益的特質,由此產生的問題是,作為私法益的個人信息如何具備了公法益的某些特性,這就需要探明個人信息的個人屬性與社會屬性之間的關系。
       
        應當看到,個人屬性是個人信息的內在特質,是伴隨個人信息的誕生而自始存在的,不受任何法律預設、制度變更所影響。社會屬性則是為了體現個人信息的流通價值或財產價值而通過規范發展出來的,在兩者之間,社會屬性應從屬于個人屬性,或者說個人信息的社會屬性源于其個人屬性,在同等條件下,個人信息的個人屬性應當優先于社會屬性而得到保護。理由在于:
       
        首先,社會屬性的實現以不侵害個人屬性為前提,個人信息的流通共享不能損害信息主體的合法權益。《民法典》將個人信息定位為民事權益,并具體規定在人格權編,體現了個人信息的基本屬性為人格性,這是典型的私屬性。民法雖然允許個人信息共享,但是為了保障共享的有序性,特別是不能損害信息主體私人利益,設置了很多限制性條件。在具體規則設計上,《民法典》從私權的視角設置個人信息的有序共享規則,如《民法典》第1035條規定了個人信息處理需遵循合法、正當、必要原則,只有同時符合“征得該自然人或者其監護人同意”“公開處理信息”“明示處理信息的目的、方式和范圍”“不違反法律、行政法規的規定和雙方的約定”4個條件時,個人信息處理才是被允許的。對個人信息處理的限制,顯然是為了保護個人信息的私益屬性,其內在邏輯是,個人信息標識了個人身份,隨意使用可能會導致個人利益受損,否則單純為了個人信息的流通共享,完全不需要設置任何限制。從《民法典》第1036條的規定來看,無論在何種情況下使用個人信息,即便使用公開的個人信息、為了科學研究使用個人信息等,也不能損害信息主體的私人利益,這些規則都是為了保護個人信息的個人屬性。據此而論,為了個人信息流通共享而損害個人利益的,應當被禁止,即個人信息的個人屬性優于社會屬性。
       
        其次,社會屬性系從個人屬性中推導而出,內含個人屬性成分,可謂之多數個人屬性之集合。對于個人信息而言,單純的社會屬性沒有任何意義,因為無效的個人信息同樣能夠流通共享,但由于失去了與個人的關聯性,自然也失去了實體價值。個人信息的社會屬性之所以存在,是因為其流通的過程中,能夠標識個人身份、財產等情況,即具有可識別性,此種個人屬性在信息流通共享中轉化為社會價值或經濟價值。不具有個人屬性的信息,并非實質意義上個人信息,無論如何流通都難以產生社會價值,其隨意使用也不可能構成對個人信息權的侵犯。在此意義上說,個人信息的社會屬性,也可以還原為多數人的個人利益。個人信息的個人屬性是其社會屬性得以存在的重要基礎,社會屬性不是目的,而是實現個人屬性內在價值的一種手段。在刑法中,個人信息的個人屬性和超個人屬性,大致對應于理論上關于個人信息是個人法益還是超個人法益之爭,正如前文分析,刑法中侵犯公民個人信息罪的保護法益應當被視為個人法益,這也從側面印證了個人信息的社會屬性源于個人屬性,社會屬性可以還原成多數信息主體的個人利益。
       
        最后,只有以個人屬性為中心,才能精準確定個人信息保護的合理邊界。因為“在社會交往中,個人非常容易被他人所影響或被集體意見所裹挾而喪失獨立性,因此需要法律對此特別保護”[17],個人信息保護規則設計也著眼于此。民法設計個人信息保護規則,都以尊重信息主體本人意志為前提,即使在信息化時代,個人信息成為了稀缺資源,立法在這個問題上也從未讓步,沒有削減對信息主體合法權益的保護。因為一旦放開了個人信息使用,在公共利益的裹挾之下很容易造成對個人信息權的侵犯,導致個人信息保護的目標落空,刑法將嚴重侵犯個人信息犯罪的行為入罪,也正是著眼于此。刑法并不反對個人信息共享,但共享應遵循一定的規則,如中性使用公開信息、經同意使用個人信息或者為了信息主體利益而使用個人信息,等等。因此在現代社會,不論是私法還是公法,在個人信息保護上都強調有序共享,共享體現了個人信息社會屬性的實現方式,有序則構成了對個人信息使用的規則性制約,共享必須在規則的指引下有序展開。在任何情況下,個人信息流通價值的實現是以不損害個人屬性為前提的,這也構成了民法、刑法等對個人信息保護的合理性邊界。
       
        總之,個人信息從并行保護模式走向嵌套保護模式有著充分的法理支撐和現實依據。基于法秩序統一性原理,探明一般立法與專門立法、前置法與刑法之間的邏輯關系,有助于消解部門法之間規則沖突,為個人信息保護確立合法性基礎。根據個人信息的雙重屬性以及社會屬性從屬于個人屬性的理論定位,個人屬性在個人信息中居于核心地位,社會屬性的價值實現必須以此為前提。
       
        三、個人信息嵌套保護模式的規則構造
       
        (一)一般立法嵌入專門立法:個人信息保護的基準確立
       
        《民法典》對個人信息保護作出一般規定,乃是個人信息保護的一般立法;《個人信息保護法》對個人信息保護作出詳盡而具體的規定,是個人信息保護的專門立法。一般立法嵌入專門立法,是為了避免專門立法在制定和適用時與一般立法產生沖突。為此,下文將以《民法典》關于個人信息保護的規定和《個人信息保護法》為藍本進行對照分析。
       
        《民法典》涉及個人信息保護的共有7個條文,分別是《民法典》第111條,第1034—1039條。其中,第111條主要確認了個人信息的民事權利(益)性質,對于《個人信息保護法》而言,并無實質影響。《民法典》第1034條共有3款,前兩款分別規定了個人信息概念及其保護范圍,并無實質性爭議。值得關注的是第3款,即“個人信息中的私密信息,適用有關隱私權的規定”,這在《個人信息保護法》中并未規定。《民法典》在個人信息中區分了私密信息與非私密信息,進而對私密信息適用隱私權保護規則,是為了更好地保護這類信息,也符合個人信息權與隱私權的關系定位,因為個人信息中的私密信息也屬于隱私信息,且隱私信息保護規則更為周密。《個人信息保護法》雖然未作出類似規定,但基于一般立法與專門立法的關系,在處理個人信息中的私密信息時,應當適用有關隱私保護的規則。《民法典》第1035條大致對應于《個人信息保護法》第13條和第17條,以上條文還對《民法典》規定的“公開處理信息的規則”和“明示處理信息的目的、方式和范圍”進行了細化。要求使用者公開和明示顯然是為了更好地保護個人信息權,同時也并沒有實質地阻礙個人信息流通價值的實現。第1036條規定了個人信息合理使用而不承擔民事責任的情形,與《個人信息保護法》第13條的部分規定以及第18條對應,但存在細微差別,即在公開信息處理方面,《民法典》規定了在自然人明確拒絕或者處理該信息侵害其重大利益的情況下應禁止使用,而《個人信息保護法》并未規定此種情形。在具體適用《個人信息保護法》時,宜參照《民法典》將自然人明確拒絕及信息使用可能侵害自然人重大利益作為禁止處理公開信息的理據,從而在個人信息合理使用規則上與民法保持整體一致。至于《民法典》第1037條、1038條和1039條的規定,在《個人信息保護法》中都能找到相對應的條文,且后者規定得更加詳盡。
       
        以上將《民法典》和《個人信息保護法》進行了對照梳理,發現《個人信息保護法》與《民法典》相比還存在不同之處,并建議未來適用《個人信息保護法》宜參照完善。基于一般立法與專門立法之間的關系,《個人信息保護法》在內容上較之《民法典》應當更為細致和完備,在具體適用時,不能與《民法典》產生柔性或剛性沖突。例如,前述《民法典》第1034條第3款關于“個人信息中的私密信息,適用有關隱私權的規定”,該規則并未體現在《個人信息保護法》中,而《個人信息保護法》在適用時如果不考慮該規定,則可能會造成柔性沖突,即對個人信息中的私密信息,根據《民法典》第1034條第3款的規定,應當適用隱私權的規定,但根據《個人信息保護法》的規定,卻又適用個人信息保護的一般規定,這顯然不合理。因此,將《民法典》的有關規定嵌入至《個人信息保護法》,有助于消除兩法沖突、促進法法銜接。
       
        (二)前置法嵌入刑法:個人信息犯罪的雙重違法性還原
       
        侵犯公民個人信息罪在構成要件上雖然要求“違反國家規定”,但如前所述,本罪的保護法益系個人法益,因而在性質上屬于自然犯。自然犯是“寓惡于己”或體現“自體惡”的犯罪,其違法性判斷主要取決于法益侵害性有無及其程度,刑法規定本罪成立要“違反國家規定”,并不影響其自然犯性質,因為刑法中大量自然犯成立都要以前置法為依據。如《刑法》分則第四章侵犯公民人身權利、民主權利罪以及第五章侵犯財產罪的認定,需要參考前置民法的規定。沒有民法對生命權、身體權、物權、債權等人身、財產權利的規定,刑法就難以準確判斷何種行為侵犯了人身法益、財產法益,進而難以明確刑法邊界。個人信息保護的立法和司法實踐表明,欠缺民法等前置法對個人信息保護的規定,刑法很容易通過超個人法益而將刑事犯罪圈擴大化,使原本的民事糾紛作為刑事犯罪處理。將《民法典》與《個人信息保護法》等前置法規則嵌入到刑法中,有助于根據《刑法》第253條之一的指引尋找合適的“國家有關規定”,準確甄別何種行為實質地侵犯了個人信息法益,還原了個人信息犯罪的雙重違法性判斷,有效地鞏固了刑法保障法地位。
       
        首先,《民法典》在總則編第111條將個人信息確認為民事權益,將之納入到分則人格權編之范疇,并確立了個人信息“知情同意規則”,這為刑法從個人法益角度推導出“承諾規則”并展開侵犯公民個人信息罪的合理認定提供了方向指引。前述表明,個人信息的社會屬性源于個人屬性,對應到刑法中,就是侵犯公民個人信息罪的核心法益為個人法益,其超個人法益性不過是多數個人法益之集合。對于個人法益而言,法益持有人擁有放棄該法益的處分權,根據具體情況不同,可以產生“阻卻構成要件承諾”(Eine tatbestandsausschlie?ende Einwillingung)與“阻卻違法性承諾”(Rechtfertigende Einwillingung)的規范效果。[18]由此形成刑法保護個人信息的第一個規則,即“承諾規則”,據此,得到承諾而使用個人信息不構成對個人信息法益的實質侵犯。[19]刑法根據侵犯公民個人信息罪的保護法益為個人法益的實質特性,發展出了“承諾規則”以后,在定性時需考慮到,經過明示或默示承諾使用個人信息的行為不違法。這一“承諾規則”與民法上個人信息保護中的“知情同意規則”[20]具有內在一致性:民法通過將個人信息確立為個人權益推導出了“知情同意規則”,刑法通過將個人信息確立為個人法益推導出了“承諾規則”,體現了民法與刑法在個人信息保護上的共通性。
       
        其次,在整體法秩序中,刑法處于保障法地位,其有兩層含義:一是“只有在其他手段如習慣道德上的制裁、地域社會中的非正式的控制或者民事上的控制不充分的時候,才能使用刑法”[21],此為刑法處罰合理性之前提。二是即使民法、行政法等前置法無法進行有效的規制,刑法也沒有必要不折不扣地予以處罰,此為刑法處罰必要性之限定。“按照刑法謙抑原則的要求,刑法在個人信息保護上甚至僅僅發揮次要作用。”[22]在民法尚未規定個人信息保護規則之前,刑法率先規定個人信息犯罪,在某種意義上是合理的。因為侵犯公民個人信息行為大多為了經濟利益,而經過活動滲透著功利計算或利弊權衡,刑罰的適用在此處尚有不少的威懾性。然而,經濟活動原本應由民法先行調整的,刑法在無民法規定前提下介入,難以確立處罰的合理性標準,也可能壓縮未來民法的調整空間。民法等前置法要求個人信息具有可識別性的實質特征,這就要求侵犯公民個人信息罪的合理認定,需要排除重復的個人信息、無效的個人信息等。重復的個人信息通過技術手段能夠較好排除,但無效的個人信息在《個人信息刑事解釋》中卻并未規定具體的排除規則。司法實踐中,由于涉案信息較多,對所有信息進行逐一排查比對的成本過高、難度較大,因而實踐中更傾向于采取隨機抽象調查方法。例如,在王某涉嫌侵犯公民個人信息罪一案中,由于涉及信息數量多達319814條,為了快速認定犯罪事實,法院便隨機抽查了20條,確認為有效個人信息之后,便“推定”其余所有的信息都是有效的個人信息。[23]然而,隨機抽樣方法固然較為便捷,但它并不準確,不能保證所有的涉案信息都是有效的個人信息。有效性審查是根據個人信息可識別性的本質特征所得出的當然要求,司法實踐為了節省資源而采取隨機抽樣方法,其實是一種不利于行為人的推定,這既不符合民法等前置法要求,也違背了刑法謙抑性理念。事實上,刑法提前介入個人信息保護,在一定程度上源于民法等前置法無法跟上個人信息泛在泄露的網絡時代發展需要,為了應對增長迅速且變型多樣的個人信息領域失范行為,刑法作為最具威懾力和短期效益最高的手段,自然成為了優先考慮對象,刑法由此替代了民法、行政法等發揮著保護個人信息安全的作用,在此限度內,刑法的謙抑性及其保障法地位被放棄了。然而,既然個人信息保護問題的根源在于民法等的實效性闕如,那么應當變動的是民法的規則而非刑法的內容,刑法的提前介入欠缺合理性。基于此,刑法在立法上應適度克制犯罪化立法,在司法上應強化對侵犯公民個人信息罪入罪標準的實質認定,全面排除重復的、無效的等個人信息,通過前置法規則限縮刑法的介入。
       
        最后,將前置法嵌入刑法,意味著在進行刑事違法判斷時,應先以前置法為標準實質地判斷行為是否侵犯了個人信息權,再確定某種行為究竟只是違反了民法,還是可能涉嫌刑事犯罪,防止將民事糾紛刑事化。《民法典》第1033—1039條對個人信息的獲取、收集、使用規則進行了較為細致的規定,這些規則背后蘊含的個人信息保護理念,對刑法認定侵犯公民個人信息罪具有重要影響。根據《民法典》1037條的規定,“在該自然人或者其監護人同意的范圍內實施的行為”“處理該自然人自行公開的或者其他已經合法公開的信息,但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外”“為維護公共利益或者該自然人合法權益,合理實施的其他行為”三種情形下,即使未經過信息主體的“同意”,也不能認定為對個人信息權的實質侵犯,即不屬于民法上的違法行為。根據法秩序統一性原理,將這些規則轉換到刑法的話語之下,表明了這些行為并未實質地侵犯個人信息法益。以“處理該自然人自行公開的或者其他已經合法公開的信息”為例。一般而言,在互聯網等渠道上公開的個人信息,由于并未設置任何保護屏障或技術保護措施,因而只要獲取、使用公開信息的行為是中性的,如為了科學研究而獲取、使用個人信息,不構成對個人信息權的實質侵犯,自然也不構成侵犯公民個人信息罪。然而,如果“將多個關聯性信息結合起來后,提升了信息的敏感度或可識別性”,則會“增加了個人人身、財產受侵害的風險”,[24]此時若進行傳播便很可能侵害信息主體的重大利益,應當被禁止。民法中規定的處理個人信息但排除違法性的情形,對刑法認定侵犯公民個人信息罪具有實質影響。如果在侵犯公民個人信息罪認定時不考慮這些前置法中的違法排除規定,而只看到行為人未經“同意”而使用他人公開信息,就容易得出該行為人違背了個人信息的“承諾規則”,直接認定其構成犯罪。最終結論往往是,民法上合法的行為,在刑法上卻構成犯罪,形成了實體上的“刑民倒掛”。這種懲罰因不符合法秩序統一性原理和個人信息雙重屬性定位而不適當,“不適當的懲罰,即或者根本不應當的懲罰……是對刑法的一種傷害”[25]。基于法秩序統一性原理,前置法中規定了大量的個人信息保護規則,這些規則明確了個人信息合理使用的邊界,對于刑法侵犯公民個人信息罪而言,其規范意義是:只有違反前置法的行為,才有可能在刑法中成立侵犯公民個人信息罪;如果某種行為沒有違反前置法,則該行為無論如何也不能夠認定為侵犯公民個人信息罪,這也正是《民法典》規定個人信息權益以及《個人信息保護法》相關規定嵌入刑法犯罪評價之中對侵犯公民個人信息罪雙重違法性判斷還原的體現。
       
        綜上分析,個人信息保護的不同部門法之間并非獨立化的并行關系,而是彼此有序統一的嵌套關系。在一般立法與專門立法之間,作為一般立法的《民法典》規定了個人信息保護的原則、理念及制度,將其嵌入至《個人信息保護法》中,有助于確立個人信息保護的合法基準。在前置法與刑法之間,將前置法規則嵌入至刑法侵犯公民個人信息罪實質認定中,還原了個人信息犯罪的雙重違法性判斷,同時有了前置法做支撐,刑法的保障法地位也得以穩固。
       
        結語
       
        面對個人信息泛在泄露風險以及由此導致的失范行為顯著增多,個人信息傳統并行保護模式的弊端暴露無遺:過于強調部門法獨立性而導致的法理疑問和規則沖突,以及刑法早期化對刑法謙抑性的沖突,都將個人信息保護帶入了歧途,并使之拘于形式而消于實質。個人信息保護應跳出碎片化的并行邏輯而從整體法秩序視角進行全面審視,在此體系化的嵌套邏輯之下,個人信息保護的合法性基礎、個人信息犯罪的合理性邊界等問題,都可以透過微觀部門法的調適而得到妥善解決,實現部門法之間的有序銜接。一般立法與專門立法、前置法與刑法的嵌套,是基于法秩序統一性原理而做出的合理選擇,前者體現了私法內的統一性,后者道明了私法與刑法的統一性,二者之結合又共同為個人信息保護的制度構建提供自洽的理論基礎、做出周密的體系安排。

      【作者簡介】
      夏偉(1992—),男,安徽合肥人,法學博士,中國政法大學刑事司法學院講師,司法改革研究中心研究員,主要研究方向為刑法學、刑民交叉理論。
      【注釋】
      *本文為2020年度國家社科基金青年項目“個人信息有序共享的刑民一體化保護研究”(項目編號:20CFX027)的階段性成果。
      [1]Strahilevitz, Lior Jacob, Reputation Nation: Law in an era of Ubiquitous Personal Information , Social Science Electronic Publishing, 2008, pp.1667-1668.
      [2]全國人大常委會法制工作委員會刑法室編:《中華人民共和國刑法條文說明、立法理由及相關規定》,北京大學出版社2009年版,第253頁。
      [3]臧鐵偉、李壽偉主編:《中華人民共和國刑法修正案(九)條文說明、立法理由及相關規定》,北京大學出版社2015年版,第125—127頁。
      [4]鄭旭:《侵犯公民個人信息罪的述與評——以〈關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋〉為視角》,載《法律適用》2018年第7期,第32—33頁。
      [5]檢索日期為2020年10月28日。
      [6]胡江:《侵犯公民個人信息罪中“違反國家有關規定”的限縮解釋——兼對侵犯個人信息刑事案件法律適用司法解釋第2條之質疑》,載《政治與法律》2017年第11期,第39頁。
      [7]王肅之:《被害人教義學核心原則的發展——基于侵犯公民個人信息罪法益的反思》,載《政治與法律》2017年第10期,第27頁。
      [8]張勇:《個人信用信息法益及刑法保護:以互聯網征信為視角》,載《東方法學》2019年第1期,第58頁。
      [9]嘉門優「法益論の現代的意義(二·完)——環境刑法を題材にして」法雑第51巻1號(2004年)106頁以下。
      [10]約阿希姆·福格爾:《納粹主義對刑法的影響》,喻海松譯,載陳興良主編:《刑事法評論(第26卷)》,法律出版社2010年版,第300頁。
      [11]劉艷紅:《侵犯公民個人信息罪法益:個人法益及新型權利之確證——以〈個人信息保護法(草案)〉為視角之分析》,載《中國刑事法雜志》2019年第5期,第22—24頁。
      [12]曾根威彥:《刑法學基礎》,黎宏譯,法律出版社2005年版,第212頁。
      [13]夏偉:《信用權保護規則的刑民一體化構造》,載《現代法學》2020年第4期,第175頁。
      [14]韋伯:《法律社會學》,康樂、簡惠美譯,廣西師范大學出版社2005年版,第12頁。
      [15]張新寶:《從隱私到個人信息:利益再衡量的理論與制度安排》,載《中國法學》2015年第3期,第40—42頁。
      [16]Watanabe Tamaki, “Special feature : How to manage your personal information? Private data base on scientific information”, The Journal of Information Science and Technology Association , Vol.45, No.1(1995), pp.31—32.
      [17]謝遠揚:《信息論視角下個人信息的價值——兼對隱私權保護模式的檢討》,載《清華法學》2015年第3期,第106頁。
      [18]陳志龍:《法益持有者之法益保護放棄處分權》,載《臺大法學論叢》1989年第1期,第209頁。
      [19]林紘一郎「個人データ保護の法益と方法の再検討:実體論から関係論へ」情報通信學會誌第31巻2號(2013年)86頁以下。
      [20]陸青:《個人信息保護中“同意”規則的規范構造》,載《武漢大學學報(哲學社會科學版)》2019年第5期,第119頁。
      [21]平野龍一:《刑法的基礎》,黎宏譯,中國人民大學出版社2016年版,第90—91頁。
      [22]陳璐:《個人信息刑法保護之界限研究》,載《河南大學學報(社會科學版)》2018年第3期,第73頁。
      [23]參見鶴山市人民法院(2018)粵0784刑初120號刑事判決書。
      [24]劉艷紅:《公共空間運用大規模監控的法理邏輯及限度——基于個人信息有序共享之視角》,載《法學論壇》2020年第2期,第14頁。
      [25]努德·哈孔森:《立法者的科學:大衛·休謨與亞當·斯密的自然法理學》,趙立巖譯,浙江大學出版社2010年版,第153頁。

      本網站文章僅代表作者個人觀點,不代表本網站的觀點與看法。
      轉載請注明出自北大法律信息網
    0
    北大法律信息網
    www.chinalawinfo.com
    法律動態
    網站簡介
    合作意向
    網站地圖
    隱私政策
    版權聲明
    北大法寶
    www.pkulaw.cn
    法寶動態
    法寶優勢
    經典客戶
    免費試用
    產品服務
    專業定制
    購買指南
    郵件訂閱
    法律會刊
    北大英華
    www.pkulaw.com
    英華簡介
    主要業務
    產品列表
    英華網站
    聯系我們
    用戶反饋
    返回頂部
    二維碼
    不要添了,我高潮了视频