一、现状探究:信息类别的认定差异与“情节严重”的自由裁断
本文对S市辖区内所有法院自《刑法修正案(七)》颁布后至2015年4月30日期间审理的侵害公民个人信息类案件进行了梳理和统计,其中一审案件共142件,涉案人数278人,出售、非法提供公民个人信息犯罪17件,非法获取公民个人信息犯罪125件。在这142起案件中,法官在对个人信息类型的认定和在“情节严重”的判断上存在明显的差异。
(一)个人信息类别的认定种类繁多
图表1:个人信息类别的司法认定情况
从上表可以看出,法官对公民个人信息的认定错综复杂,跨类繁多。在信息类型上,既有身份信息、财产信息、交易信息,还有行踪信息、通话信息、教育信息等,几乎囊括了个人生活的各个方面。在没有对公民个人信息下一个准确定义前,法官们只能凭借自身的经验和社会的一般评价进行规范的构成要件要素的判断,而这也是造成目前公民个人信息认定混乱的主要原因。
(二)“情节严重”的判断弹性较大
图表2:“情节严重”的司法认定情况
从上表反映的情况来看,司法实践中对“情节严重”的判断主要集中在信息数量、信息类型、营利数额等六个方面。不仅考量范围不全面,而且在这六种情形当中也存在认定上的差异。例如在信息数量这一情节中,认定的标准就存在较大的不同,既有以万为单位认定侵害公民个人信息数量巨大,情节严重的;也有以几十条个人信息认定行为人构成犯罪的。
二、路径探索:个人信息的刑法认定
(一)国内外研究现状
(二)刑法认定的基础:个人信息的识别性
而在识别性与隐私性之中,本文倾向于将识别性作为认定个人信息的核心属性。理由在于:第一,相对于识别性而言,隐私性并没有一个符合社会一般标准的定义,是否属于个人私密领域,是需要通过权利人的主观感受来进行辨认和定夺的。同样类别的个人信息,有的人认为属于隐私,而另外的人却并不介意公开。以隐私性作为个人信息的核心属性并不能做到有效甄别和区分。第二,个人隐私与个人信息并不完全等同,部分个人信息虽然可以公开,但仍然应当在法律的保护范围内。法律对个人信息的保护不仅仅是对于个人隐私的保护,更重要的是对社会秩序的保护,保障社会个人免受因信息泄露而可能遭受的危害。第三,信息泄露的危害在于获取信息者能够通过信息锁定特定的个人,并通过信息反映的特定个人的具体情况,进行有针对性的侵害行为甚至犯罪行为。保护公民个人信息本质上就是为了保障根据个人信息所识别出来的每一个具体个人享有的免受侵害而正常生活的权利。因此,以识别性作为个人信息的核心属性,能够合理地涵盖刑法所应保护的范围,从而有效、精确地打击犯罪,保护公民合法权益。
(三)刑法认定的路径:构建不同类型个人信息效力等级的计算框架
1.划定个人信息识别效力等级
2.构建个人信息识别效力计算框架
在划定的个人信息识别效力等级中,属于第一层级的唯一性信息识别效力最高,如指纹、DNA等生物性信息属于先天个人专属信息,以目前医学角度来看,每个人的DNA结构都各不相同,能够直接锁定特定的个人。与此相类似,身份证号等标识性信息属于后天个人专属信息,是国家为了进行有效地识别和区分个人而设立的信息,其本身存在的功能即是个体识别,也具有最高识别效力。因此,属于该第一层级的信息是以点对点的形式对应独立的个人,故其单独存在也达到了可识别性的标准。
属于第三层级的为共享性信息,此类信息因由部分群体共享,所以每一信息所识别的都是对应的群体,例如职业、学校等信息所包含的个体繁多,很难识别单独的个人。属于该第三层级的信息所对应的群体可以用圆的形式予以表达,而无论多少圆的交叉,其所共同涵盖的区域只是不断缩小范围而无法成为独立的点。因此,属于第三层级的信息即使数量众多,也无法达到可识别性的标准。
当三个层级的信息互有存在时,需要考虑的是后两个层级的信息组合如何达到可识别的标准的问题,即存在一条有效性信息和多条共享性信息时是否符合标准。同样以图形的形式予以模拟,当存在一条有效性信息和一条共享性信息时,此时线段和圆的交叉的结果可能存在一个点,也可能为两个点。例如当个人信息包含姓名和单位时,一般情形下足以准确地识别个人(此时即交叉结果为一个点),但不排除同一单位同姓名的人存在(此时即交叉结果为两个点)。当存在一条有效性信息和两条共享性信息时,此时线段和圆的交叉的结果可能有唯一点(即线段通过两圆切面)。因此,当不同层级信息混杂时,至少需要一条有效性信息和两条共享性信息才符合可识别性标准。当然,此处借助图形模拟分析是为了方便和直观,司法实践中对于不同层级信息混杂的,仍然需要在此基础上结合具体信息种类予以最后认定。
3.最终认定路径和体系
综上,公民个人信息的具体认定路径包括:第一步,按照效力等级将个人信息予以分类;第二步,将不同等级的个人信息予以组合;第三步,将组合后个人信息按照计算标准予以认定;第四步,确定最终是否构成公民个人信息。
三、标准构建:“情节严重”的规范框架
根据《刑法》第二百五十三条之一的规定,本罪只有在对公民个人信息的侵害达到某种严重程度时才构成犯罪,情节是否严重是判断行为人是否构成犯罪的标准。目前理论界对本罪情节严重的判断标准主要有:三因素说、四因素说、五因素说等。这些观点从信息数量、行为次数等多个方面对影响情节严重的要素进行了不同程度的列举,但单独分析每一个观点,我们可以看到无论是几因素说,其对情节严重的因素考量都没有在一个完整的逻辑框架下进行分析和论证,其在列举上都缺乏周延性。例如从图表2所列举的6种情形来看,上述观点对获取信息的类型、获取手段等情节都没有进行考量,而且在各种情节的具体认定标准上也没有进行探讨并给出适用建议。
本文赞同张明楷教授的观点,“情节严重”作为一种概括性的定罪情节,其内涵与外延应当从犯罪的客体、客观方面、主体、主观方面等多角度予以考察。要具体考量影响定罪的情节,并不能单纯地从个罪的角度出发,仍应当回到犯罪构成的逻辑框架当中,以之为基础和角度对个罪进行全方面的考察。在这样一个整体逻辑框架下进行要素考量,能够较为全面地考察影响定罪的各项因素,从而避免遗漏。
(一)不同类别信息的差异标准构建
侵害公民个人信息罪的犯罪客体是公民的个人信息权,犯罪对象即是公民的个人信息。因此,在客体因素方面,对情节严重的认定结合图表2所反映的情况主要考量侵害公民个人信息的数量和类型两个方面。
2.个人信息的类型。在同等识别效力下,个人信息依照其敏感程度的不同而划分为不同的类型。无论是个人一般信息还是隐私信息,都可能成为被侵害的对象。信息的敏感程度不同,所属的权重就不同,天平两端重量的倾斜不仅取决于砝码的数量,也取决于砝码的质量。如果犯罪行为侵害的是个人敏感信息,即使数量较少其对社会的危害并不一定比数量较多的普通信息更轻。在敏感程度上,按照信息类别从高到低划分为:个人隐私信息>个人金融信息>个人身份信息。
综上,本文认为,侵害个人身份等普通信息的应以五千条作为情节严重的标准,侵害个人金融信息的应以二千五百条作为情节严重的标准,侵害个人隐私信息的应以一千条作为情节严重