个人信息非法利用行为刑法规制的困惑及消解策略

  侵犯公民个人信息罪对信息权人的实质侵害来自“利用行为”而非“获取与传播行为”,建议通过立法划定个人信息非法利用行为的入罪机制与出罪路径,明确定分止争的标准。


  《中华人民共和国刑法》第二百五十三条之一规定的侵犯公民个人信息罪,对“履职或提供服务过程中非法获取个人信息行为”“窃取或者以其他方法非法获取个人信息行为(非法获取个人信息行为)”及“出售或非法提供个人信息行为(非法传播个人信息行为)”加以规制。这种以“源头治理模式”为范式的个人信息保护路径则可能忽略对“个人信息非法利用行为”的规范。

  数字经济时代,个人信息非法利用行为呈现出独立性、直接性、精准性等特点,这使得该行为的法益侵害性可能远高于“非法获取、传播个人信息行为”。实际上,侵犯公民个人信息罪对信息权人的实质侵害来自“利用行为”而非“获取与传播行为”,但当前立法罔顾本罪目的行为,有本末倒置之嫌,建议通过立法划定个人信息非法利用行为的入罪机制与出罪路径,明确定分止争的标准。


  个人信息非法利用行为刑法规制面临的困惑

  实质违法性的阙如。实践中,较之个人信息非法获取、传播行为,个人信息非法利用行为可能直接侵害公民合法利益。但“源头治理模式”下对“利用行为”的规制相对阙如,并未为本罪提供实质违法性来源,仅从形式违法性上对非法获取及传播行为进行规制。具体而言,个人信息犯罪过度前移设罪使其构成要素简化,与拟阻止的严重后果脱离规范联系。换句话说,非法获取及传播个人信息的行为由于其法益的抽象与泛化,应被视为“危险犯”类型,而“危险犯”所侵害的法益应在个人法益中找到支撑,否则,就会因失去具体抓手而造成刑罚无限扩张。基于此,在个人信息犯罪规制中,对“单纯收集、传播但并未实质利用个人信息的行为”进行处罚,的确存在因实质违法性阙如而导致刑罚正当化不足的问题。

  评价体系的不周延。对前端犯罪行为的打击有助于阻断“危险流”的持续流动,最终切断法益侵害危险发生。但从个人信息犯罪的流向来看,犯罪生态链条最终均指向末端。换句话说,末端行为(个人信息非法利用行为),才是前端行为的诱发因素与最终目的。从这个角度考量,当前,侵犯公民个人信息罪的立法模式忽略了诱因,仅以防范非法转移个人信息为入罪逻辑,使得个人信息犯罪刑法评价体系不周延。

  数字经济时代,个人信息犯罪“产业链条化”“链条去中心化”“链条节点化”特征同时出现。从自然意义上的行为模式来看,个人信息犯罪链条可以被具象化为“先获取、再传播、最后利用”的行为递进模式;从规范意义上法益侵害的本质来看,该犯罪链条可以被抽象化为“从形式侵害行为到实质侵害行为”的法益侵害程度递进模式。但问题在于,无论基于自然意义或规范意义上犯罪链条的理性切割,当前,刑法对个人信息犯罪行为的规制都因缺乏最后环节,而无法完整地评价侵害个人信息行为的全部类型,呈现出评价体系不周延的情况。

  法益保护机能的虚化。刑法追求的实质理性在于“自由保障机能”与“法益保护机能”的统一。需要注意的是,当过分强调犯罪人权益保障时,可能会出现漠视被害人权益的问题。这种思维在个人信息犯罪规制中表现为对非法利用行为本身所造成的法益侵害的漠视,仅以对其他犯罪的规制向被害人供给宣誓性的道义慰藉。比如,采用人工智能换脸等技术手段实施的传播淫秽物品的行为,由于获取的生物识别信息(人脸信息)无法满足构成侵犯公民个人信息罪的“整体评价要素”要求,所以仅能以传播淫秽物品罪对行为人的行为进行处罚。但基于朴素的道义观念,该行为中被害人更关注的是自己的生物识别信息被滥用,而非传播淫秽物品行为本身。基于此,在“AI换脸”类淫秽视频传播案件中,由于对罪刑法定原则的坚守,刑法在“自由保障机能”与“法益保护机能”产生价值位阶冲突时,可能会过分强调前者而忽视后者,从而导致法益保护机能虚化。


  个人信息非法利用行为刑法规制的完善路径

  罪名设置:以“合设模式”设置个人信息非法利用行为。“合设模式”入罪路径是在不增设新罪名的基础上,以刑法修正案的形式将个人信息非法利用行为纳入已有罪名中去。原因在于:其一,从刑法用语逻辑的角度看,“非法利用”并未超出刑法第二百五十三条之一所使用的“侵犯”一词的语义边界,因此,这类行为具有纳入该规定规制的可能。其二,从法益侵害性质的角度看,非法利用行为与前端流转行为之间具有法益侵害性质上的本源性与同一性,无分开立法的必要。作为侵犯个人信息的行为类型,“非法获取行为”“非法传播行为”及“非法利用行为”对民众利益的侵害并无实质差异,其侵犯内容都是个人法益视阈下的人格权法益。如果侵犯法益的性质相同,且社会危害程度相当,基于立法技术的考虑,应采取“合设模式”。其三,从刑法体系构建角度看,“合设模式”下不设置新罪的路径保障刑法体系的稳定,避免设置新罪名而带来的条文编排的复杂化。因此,为实现刑法体系构建的科学性,将“非法利用行为”作为刑法第二百五十三条之一下的“款”纳入刑法规制范围的路径具有合理性。

  罪状表述:“叙明罪状”路径下非法利用行为的类型化构建。个人信息相关权利应被视为自然权利,即人生而为人便享有的权利,是人格权的组成部分。基于此,刑法第二百五十三条之一所规定的侵犯公民个人信息罪应被视为自然犯。但个人信息权利与传统的生命权、健康权等人格权利不同,在风险理论视域下,个人信息权利虽属于人的基本权利内容,但其内在价值与伴随风险必须承载科学技术的迭代更新才能得以彰显。因此,虽将非法利用个人信息行为视为自然犯罪是对刑法人权保障原则的坚守,有利于对个人信息相关权利进行良性保护,但由于其“自然犯的法定犯化”,使得非法利用个人信息行为不宜采用“简单罪状”的立法模式。基于此,应在“叙明罪状”范式下,构建个人信息非法利用行为的入罪路径,将利用行为类分为“竞合型利用行为”“冒用型利用行为”“伪造、变造型利用行为”,并在条款排列时依次列明。

  罪数考量:以“本来的数罪”为原则。当前,学界对侵犯个人信息罪罪数问题的探讨,主要聚焦于“非法流转行为”与相关犯罪之间罪数问题的认定,以及个人信息犯罪内部同时实施了获取、传播与利用个人信息行为时,行为如何定性的问题。实际上,最高人民法院、最高人民检察院、公安部联合发布的《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》(以下简称《意见》)为个人信息非法利用行为“罪数问题”的判断提供了路径。《意见》第三条第(二)项规定,“使用非法获取的公民个人信息,实施电信网络诈骗犯罪行为,构成数罪的,应当依法予以并罚”。《意见》中的表述承认了利用非法获取的个人信息实施电信网络诈骗的行为构成侵犯公民个人信息罪的可能,为个人信息利用行为入罪留下空间的同时,也为上下游犯罪中罪数问题的判断提供了“本来的数罪”的处理思路。

  本文为山东省哲学社会科学规划项目“智慧社会语境下侵犯个人信息行为的入罪机制与出罪路径”(项目编号:23DFXJ01)的阶段性研究成果。

  (作者单位:临沂大学法学院)