侵犯公民个人信息罪“情节严重”中信息分级保护的结构重塑

黄 陈 辰

(中国政法大学 刑事司法学院, 北京 100088)

一、 问题的提出

自《刑法修正案(九)》将“出售、非法提供公民个人信息罪”与“非法获取公民个人信息罪”合并为“侵犯公民个人信息罪”以来,该罪即成为我国刑法中规制侵犯公民个人信息类犯罪的总体性、一般性规定。根据《刑法》第253条之一的内容,违反国家有关规定,向他人出售、提供公民个人信息,或者窃取、以其他方法非法获取公民个人信息,情节严重的,构成侵犯公民个人信息罪。在本罪的适用中,“情节严重”的认定一直都是最具争议的问题之一,无论是刑法理论界还是司法实务领域,都没有形成统一的观点与结论。2017年,随着最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)出台,“情节严重”的认定标准得以明确,但与之相关的理论争议并未彻底平息。其中,《解释》第5条第1款第(三)至(五)项规定的“信息类型与数量”标准是司法实践中利用率最高的标准之一,且其以公民个人信息类型与数量作为量化的依据,将不同种类的信息划分成三个层级并设置高低有别的入罪门槛。这种分级保护的模式最能直接反映行为的危害性程度与刑法对不同类型信息的保护力度,但其亦在结构设置、内在要素的范围及排列等方面存在弊端。例如,未对直接来源于自然人生理特征且关涉其核心隐私与本质尊严的生物识别信息给予特殊保护,犯罪记录、受害经历等信息只能被划入第三层级等。因此应对当前分级保护体系进行调整与完善,以合理认定“情节严重”,进而实现对侵犯公民个人信息罪的准确适用。

二、 “情节严重”中信息分级保护现状

1. 信息分级保护的正当性与必要性

在对“公民个人信息”进行统一定义的基础上, 根据各信息的具体类型将其分为不同层级, 进而实行分级保护的模式具有其正当性与必要性。

第一,不同种类的公民个人信息在刑法保护必要性与紧迫性程度上存在差异。“在资讯时代,个人信息是海量的,仅就重要程度而言,林林总总的个人信息是不可等量齐观的”[1],而重要程度的差别主要就体现在刑法对各类信息保护的必要性与紧迫性上。例如:受道德、风俗等多重因素的影响,与性相关的信息一旦泄漏则会在隐私、名誉等方面对权利人造成严重损害,因此其更需要刑法的介入与保护;而身高体重、年龄、生日等虽也属于个人信息,但很明显相较于前者而言其泄漏通常不会导致严重后果,因此其受刑法保护的需求亦没有那么迫切。正是因为各类信息在保护必要性与紧迫性程度上存在差异,刑法也应对其作出轻重有别的反应,以适配于不同的信息类型,即对具有高保护必要性与紧迫性的信息给予高强度的特殊刑法保护,对具有低保护必要性与紧迫性的信息给予低强度的一般刑法保护,也就是所谓的分级保护模式。需要注意的是,刑法保护必要性与紧迫性的判断标准在于侵犯公民个人信息行为所导致的人身、财产等权利的损害,损害越大则对该信息的刑法保护必要性与紧迫性程度越高,反之亦然。这种损害体现在两个方面:其一,由于侵犯信息行为本身所导致的损害,例如,基因信息反映了人之为人的最本质特征,作为生命的密码,其关涉人最本源层面的尊严[2],因此对基因信息的侵犯严重损害了信息主体的人格尊严,其具有高程度的刑法保护必要性与紧迫性;其二,侵犯公民个人信息行为引起关联犯罪,后者导致人身、财产等权利损害,例如,人脸识别信息的泄漏极易导致诈骗、盗窃、侮辱等犯罪,这些犯罪严重危及信息主体及他人的人身、财产安全,因而相较于身高、体重等引起犯罪可能性较小的信息而言,人脸识别信息具有更高程度的刑法保护必要性与紧迫性。

第二,大数据时代公民个人信息具有不同的内在价值,各主体对价值需求的侧重也存在差别。个人信息承载着信息主体的个人自由和人格尊严,且其与人身、财产等基本权利相联系,因此对其进行法律保护是不言而喻的。然而随着大数据时代的到来,个人信息的内在价值开始被发掘,其逐渐成为现代社会发展的核心资源与强大动力,在政治、经济、科技、文化、医疗、娱乐等各方面发挥着不可替代的重要作用[3]。因此仅仅强调对公民个人信息的保护是不够的,还应顺应时代发展潮流,充分考虑其现实作用,实现个人信息保护与利用间的平衡。因此可以看出,在当前时代背景下,公民个人信息所内嵌的最主要的两种价值为保护与利用。根据需求主体的不同,这两种价值具体可以分为信息主体对信息隐私的保护需求、信息从业者对信息利用的商业需求、公众对个人信息的获取和利用需求、政府对个人信息的公共管理需求四类[4]。不同类型的信息所侧重的价值与需求各不相同,例如:公开信息由于其公共可获取性而反映出权利主体对其的保护需求相对较弱,某些公开信息,权利人甚至希望其能够广泛传播与流转,以实现广告宣传、商贸联系等价值,因此对该信息而言,利用价值高于保护价值;非公开信息的非公开状态反映了权利人不愿其信息为他人知晓的心态,因此对该信息应更加注重保护而非利用。正是由于公民个人信息蕴含多元的内在价值且不同种类信息所反映的价值需求有所区别,因此法律乃至刑法在介入时应充分考虑各信息间的差异,作出相应的适度反应。例如,张新宝提出“两头强化,三方平衡”的个人信息保护理论,即通过强化个人敏感隐私信息的保护和强化个人一般信息的利用,调和二者之间的需求冲突,实现信息主体、信息业者与国家三方主体间的利益平衡[5]。

第三,既有规范基础上的体系性思维。分级保护的实质在于将公民个人信息划分为不同的层级,进而对某些信息实行特殊保护。尽管我国当前法律规范中并未出现分级保护的表述,但其内容已经开始体现出对不同信息进行区分保护的趋势。例如:《个人信息保护法》第二章专设一节来规定敏感个人信息的处理规则,其在处理目的、告知内容、同意方式等方面均明显严格于对一般信息的处理;《征信业管理条例》第13条规定“采集个人信息应当经信息主体本人同意”,但紧接着第14条又强调,对于宗教信仰、基因、指纹、血型等信息,征信机构完全禁止采集;《信息安全技术——个人信息安全规范》与《信息安全技术——公共及商用服务信息系统个人信息保护指南》均区分了敏感信息与一般信息,并对前者的处理提出了更高程度的要求。“法律体系是指由一国现行的全部法律规范按照不同的法律部门分类组合而成的一个呈现体系化的有机联系的统一整体。”[6]刑事立法、司法以及学术研究应贯彻体系性的思维,使得其他法领域内的最新成果能够及时、有效地进入刑法范畴。因此,民法、行政法等前置法上对于不同信息进行区分保护的规定不仅体现在侵犯公民个人信息罪中“违反国家有关规定”这一前提要件的内容上,更是为在“情节严重”中设置分级保护提供了借鉴与参考[7]。

2. 信息分级保护的司法解释规定

如前所述,《解释》第5条第1款第(三)至(五)项规定了“情节严重”认定的“信息类型与数量”标准,该标准根据受侵害信息类型的不同将其划分为三个层级并设置了高低有别的入罪门槛,对公民个人信息进行分级保护,具体如下。

第一层级为“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的”。 这一层级入罪门槛最低, 只需50条即可构成“情节严重”, 因此仅适用于最具刑法保护必要性与紧迫性的信息类型, 即行踪轨迹信息、通信内容、征信信息、财产信息四类。 此处采取完全列举的形式将符合条件的信息类型全部列出, 构成一个封闭区间, 以此限制该层级所涉的信息范围, 不允许司法适用中再通过“等外”解释予以扩大。

第二层级为“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的”。这一层级采取概括加列举的形式对所包含的信息类型进行界定。一方面,该层级规定有“……等其他……”的表述,因此除已经列举出的四项之外,与公民人身、财产安全相关的其他信息类型也应被包含在内,但需要注意的是,并非“必然影响人身、财产安全”,而只是“可能”;另一方面,所涉其他信息类型在刑法保护必要性与紧迫性程度上应与住宿信息、通信记录、健康生理信息、交易信息具有相当性[8]。

第三层级为“非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的”。这一层级作为兜底条款,对侵犯上述两层级范围之外的其他信息类型的行为进行规制。由于该层级信息重要性程度最低,因此入罪门槛设置得最高,需要非法获取、出售或者提供5 000条以上才能构成“情节严重”。

部分学者认为,《解释》第5条第1款第(三)至(五)项将公民个人信息分为高度敏感信息、一般敏感信息和非敏感信息三类,并以此为依据分别设置入罪门槛,对其进行分级保护[9]。这样的观点具有一定的规范依据,2018年最高人民检察院颁布的《检察机关办理侵犯公民个人信息案件指引》(以下简称《指引》)认定《解释》中第一层级与第二层级信息均与公民人身、财产安全直接相关,只是重要性程度不同,且从其表述可知该《指引》认为“可能影响人身、财产安全的信息”为敏感信息,据此《解释》中第一层级与第二层级信息符合敏感信息的要求,而第三层级信息即为非敏感信息。然而笔者认为:高度敏感信息、一般敏感信息和非敏感信息是学理上对公民个人信息的分类方式之一,但刑法条文以及《解释》本身并未出现相关表述;即使《指引》中将《解释》第一层级与第二层级信息认定为敏感信息,但仍未作出进一步划分。另外,目前涉及敏感信息与非敏感信息分类的主要是民事、行政领域的规范,且各规范间对敏感信息的定义相互抵牾,不同学者的观点也各异(1)例如:《信息安全技术——个人信息安全规范》将敏感个人信息定义为“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”;而《信息安全技术——公共及商用服务信息系统个人信息保护指南》认为敏感个人信息是指“一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息”。二者对敏感个人信息的定义明显不同,其具体范围亦相互区别。,因此在敏感信息与非敏感信息本身划分尚未明晰的情况下,不宜将其引入刑法领域。是故,《解释》只是按照刑法保护必要性与紧迫性程度将公民个人信息分为三个层级,没有必要刻意将其与高度敏感信息、一般敏感信息、非敏感信息的分类一一对应。

三、 信息分级保护现状的困境与反思

《解释》第5条第1款第(三)至(五)项规定的公民个人信息分级保护模式基于不同类型信息的重要程度,依据其刑法保护必要性与紧迫性设置了高低有别的入罪门槛,有利于实现罪责刑相适应。但需要注意的是,当前信息分级保护模式的具体构造在结构设置、要素范围、排列顺序等方面仍存在着无法弥合的固有缺陷。

1. 第一层级要素范围过窄

第一层级为刑法保护必要性与紧迫性程度最高的层级,因此《解释》设置了最低的入罪门槛,仅需非法获取、出售或者提供相关信息50条以上即可构成“情节严重”。为限制处罚范围,本层级采取完全列举方式,仅包含行踪轨迹信息、通信内容、征信信息、财产信息。前述四类信息之重要程度自不待言,将其放置于第一层级也无太大争议,但除此之外还存在其他同样具有高程度刑法保护必要性与紧迫性的个人信息,侵犯此类信息的行为亦将导致人身、财产等权利的严重损害。然而由于第一层级属于封闭区间,要素范围固定,因此这些信息被排除于第一层级之外,难以体现其自身重要性,也无法实现刑法对该类信息的特殊保护。例如,基于自然人生物特征的生物识别信息具有唯一性,难以甚至无法更改[10],因此其不具备匿名化的可能,一旦泄漏或被别有用心的人掌握,便会给权利人的人身、财产安全以及人格尊严造成巨大的威胁,并且权利人无法像更换手机号码、住址那样来预防和阻断未来侵害行为的发生,故这种损害是持续的、长久的、难以根除的[11]。另外,侵犯生物识别信息行为已经造成的影响与后果具有不可逆性,若其被非法采集、提供或者滥用,给权利主体造成的损害无法弥补与修复,即使事后采取一定的补救措施,也无法完全消除已经造成的不利影响。正如伊利诺伊州最高法院在六旗公司(Six Flags)侵犯隐私案的判决中所写道的:“若生物识别特征和信息没有得到适当的保护,可能导致实质性和不可逆转的伤害。”[12]同时,生物识别技术运用广泛,生物识别信息安全关系重大,侵犯该类信息的行为会导致不同领域且危害巨大的下游犯罪,并且这些依附于生物识别信息的犯罪,其触手会随着生物识别技术的普及而深入到社会生活的方方面面,如智能支付、门禁安防、交通出行、金融认证、出入境管理等。正是由于生物识别信息所具有的上述特殊性,使其具备了与其他普通公民个人信息不同的重要性,因此侵犯生物识别信息的行为会导致权利人遭受更加严重的人身、财产安全损害,其具有更高程度的刑法保护必要性与紧迫性。但既定分级保护模式中,第一层级所涵盖的要素范围过窄,不包括生物识别信息,导致公民的人格尊严、核心隐私、人身和财产安全等一系列权益无法得到相应的保护,也使得刑法无法有效且有力地打击侵犯生物识别信息的犯罪行为。

2. 第二层级认定标准单一

第二层级采取非完全列举加概括的方式划定应适用“五百条以上”入罪标准的信息范围。需要注意的是,该层级虽通过“……等其他可能影响人身、财产安全的公民个人信息”的表述,使其包含的信息类型不局限于已经列举出的住宿信息、通信记录、健康生理信息、交易信息四类,但“可能影响人身、财产安全”标准本身过于单一,不利于该层级范围的合理界定,也难以有效实现信息分级保护的最终目的。这主要体现在,人身、财产安全的范围较窄,尤其是人身安全,其并不等同于人身权利安全,不包括人格权、身份权等全部的人身权利。根据《最高人民法院关于审理人身损害赔偿案件适用法律若干问题的解释》第1条对人身损害的规定推导,人身安全指的是生命、身体、健康安全。因此,第二层级仅包含可能影响生命、身体、健康及财产安全的公民个人信息。但这一标准过于单一,无法涵盖隐私、自由、名誉等权利,而这些权利对自然人而言同样极为重要,若将其排除于第二层级的认定标准之外,与之相关的信息类型则只能被划入第三层级,适用要求最高的入罪门槛,如此则无法实现对该类信息的特殊保护,同时也不利于刑法对侵犯该类信息行为的有效打击。例如,由于犯罪记录包含行为人的姓名、性别、年龄、犯罪事由、裁判结果等内容,且其能够单独或与其他信息相结合进而指向特定犯罪人,具有可识别性特征,因此无论从“内容构成”还是“本质要素”来看,犯罪记录均属于公民个人信息[13]。虽根据《最高人民法院关于人民法院在互联网公布裁判文书的规定》,除部分特殊情形外,裁判文书应当在互联网公开,但我国《刑事诉讼法》第286条规定了未成年人犯罪记录封存制度,即未成年人被判处五年有期徒刑以下刑罚的犯罪记录应当予以封存。因此未成年人的犯罪记录属于非公开信息,其关涉相关未成年人的隐私、名誉等重要权利。若行为人非法获取或提供该犯罪记录,不仅会导致对上述权利的严重侵害,而且将产生“标签化”“污名化”的附随效果,使相关未成年人在教育、就业、生活等方面遭受歧视,影响其顺利复归社会[14]。但犯罪记录的泄漏不会对权利人人身、财产安全产生影响,因此若按照现行分级保护模式,其只能被划归于第三层级,需达到5 000条以上才能构成“情节严重”,如此高的入罪门槛与侵犯该类信息行为所造成损害的严重程度不相适配,无法实现对犯罪记录的有效保护与对侵害行为的有力打击。除犯罪记录外,类似的与人身、财产安全无关,但涉及隐私、自由、名誉等重要权利的信息还包括受害经历、民族、种族、宗教信仰等。

3. 第三层级行为类型缺失

第三层级作为兜底条款,规定了非法获取、出售或提供《解释》第5条第1款第(三)项、第(四)项以外公民个人信息的“情节严重”认定标准,但由于《解释》第6条将为合法经营活动而非法购买、收受上述信息行为的“情节严重”标准单独规定,因此第三层级只能涵盖基于非法目的而非法获取、出售或提供上述信息的情形。《解释》第6条规定的具体认定标准包括“利用非法购买、收受的公民个人信息获利五万元以上”“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息”以及“其他情节严重的情形”,并未明示规定信息数量标准。因此为合法经营活动而非法购买、收受《解释》第5条第1款第(三)项、第(四)项以外公民个人信息的行为不仅在形式上脱离于第三层级,而且在实质上亦无法被纳入分级保护体系,导致行为类型的不完整。综合观之,第三层级乃至整个分级保护模式中行为类型的欠缺,其本质不在于为合法经营活动而非法购买、收受上述信息行为的“情节严重”标准被《解释》第6条单独规定,而在于第6条并未设置相应的信息数量标准,由此导致定罪量刑上的问题与矛盾。虽有学者认为,《解释》第6条与第5条实际上是特别规定与普通规定的关系,应当适用特别法条优于普通法条的一般原则,既然第6条未规定信息数量标准,就无需考量行为人非法购买、收受公民个人信息的条数[15]。例如,若从事合法经营活动的行为人非法购买或收受公民个人信息5 000条以上但获利未满5万元,则不符合“情节严重”的认定标准,进而不构成侵犯公民个人信息罪。但这种观点过分强调应基于目的合法性对行为人予以宽宥,而忽略了手段本身的非法性,无论行为人计划利用所获取的信息实施何种行为,其非法购买、收受的行为本身即已经侵犯作为本罪法益的个人信息权。另外,由于数量是社会危害性结果可量化的犯罪中最重要的定罪条件,通常情况下非法获取公民个人信息的数量越多,犯罪的社会危害性也就越大[16],而获利数额反映的主要是行为人的犯罪行为收益,其未必能够反映侵犯公民个人信息罪的法益侵害程度[17]。因此在行为人非法购买、收受信息数量巨大,达到千百万甚至上亿条,但由于各种原因导致其获利不足5万元的场合,若不考虑数量标准而仅关注获利数额,则该行为不构成犯罪,这显然是不合理的,也严重违背罪责刑相适应原则。

四、 “情节严重”中信息分级保护的结构调整与要素重构

由于《解释》第5条第1款第(三)至(五)项所规定的分级保护模式存在上述问题,无法对不同类型的信息作出符合其刑法保护必要性与紧迫性的合理回应,因此需对其结构与具体要素进行调整,以实现对相关犯罪的有效打击与对公民个人信息的周全保护。

1. 增加“生物识别信息”及“与性相关的信息”至第一层级

如前所述,为限制处罚范围,入罪门槛设置最低的第一层级采取了完全列举的方式,但其所列出的四类并未涵盖全部具有高程度刑法保护必要性与紧迫性的个人信息,导致无法实现对侵犯该类信息行为的严厉打击。因此应在保持第一层级完全列举形式不变的情况下,增加相应的信息类别。笔者认为,应被新增列入第一层级的公民个人信息包括“生物识别信息”及“与性相关的信息”。

生物识别信息是指面部特征、指纹、声纹、掌纹、虹膜、耳廓、个人基因等可识别自然人生理特性与行为特征的信息[18]。如前所述,生物识别信息运用广泛,且其具有唯一性与难以更改性,因此侵犯生物识别信息行为对人身、财产等权利所造成的损害是持续的、长久的、不可逆的,其具有与行踪轨迹信息、通信内容、征信信息、财产信息相当的刑法保护必要性与紧迫性,应被列入第一层级。有学者认为,由于生物识别信息具有的本体特殊性与社会特殊性,刑法应对其进行特殊保护,具体方式为将“非法获取、出售或者提供生物识别信息五条及以上”纳入为《解释》第5条第1款第(十)项规定的“其他情节严重的情形”,即将生物识别信息单独设置为第一层级,先前分级保护的三个层级顺次后延,形成5条、50条、500条、5 000条的四个数量梯度[19]。笔者认为,由于生物识别信息的特殊性,侵犯该类信息的行为毫无疑问会造成人身、财产等权利的严重损害,但其重要性程度并非一定高于第一层级原本列举的四类信息,并且根据司法实践中发生的案例,“五十条以上”的认定标准已经足以将具有严重法益侵害性的行为纳入刑法规制范围。因此,无需单独设置更低的入罪门槛,将生物识别信息直接增加至第一层级即可。

与性相关的信息包括性生活、性取向、私密照片或视频等。由于人类对性的羞耻感以及我国的文化传统,与性相关的信息属于私密性极强的个人隐私,通常只存在于亲密关系、私人对话、专业社会学调查或心理学检测等特殊信任关系之中,是绝对不得触及的核心领域,若其被他人非法获取或公开,将会严重危及个人尊严[20]。另外,近年来与性视频内容相关的霸凌事件及裸贷催债威胁事件等频频发生,表明此类与性相关的信息容易引发关联犯罪且盖然性程度较高。例如:2020年1月,网上流传一则校园暴力视频,施暴者群殴一中学女生并扒光其衣服拍摄裸照、视频,该视频被上传至网络并被转发到广东本地众多微信群,引起激烈反响[21];2017年厦门某学院一大二在校女生因裸贷之后不堪还款压力与催债骚扰,最终在宾馆自杀身亡[22]。由此可见,与性相关的信息为人格领域中的私密领域,其实质内容涉及人格尊严的核心[23],且其与关联犯罪的紧密性程度极高,对其进行侵犯的行为将造成个人尊严的严重损害,甚至还会危及信息主体的人身、财产等重要权利。因此,与性相关的信息具有高程度的刑法保护必要性与紧迫性,应将其纳入第一层级的涵盖范围。

有学者认为,应按照与公民个人隐私权关联的强弱将健康生理信息划分为“与个人隐私直接相关的健康生理信息”与“普通健康生理信息”。前者如流产记录、艾滋病、乙型肝炎、精神病病史等,刑法对其“情节严重”认定标准应从严把握,即将其划入第一层级;后者如身高、体重、血型等,刑法对其入罪标准则可以适度放宽,即将其仍放置于第二层级[24]。笔者认为,侵犯健康生理信息将会危及信息主体的人身、财产等权利,但其程度要轻于侵犯行踪轨迹信息、通信内容、征信信息、财产信息以及生物识别信息、与性相关信息所造成的损害,二者不具有相当性。另外,当前分级保护体系足以体现“与个人隐私直接相关的健康生理信息”与“普通健康生理信息”的差别,前者由于可能影响人身、财产安全而属于第二层级,后者如身高、体重等则应纳入第三层级。因此不应将健康生理信息划入第一层级。另有学者认为,由于信息主体的特殊性,14周岁以下儿童的个人信息具有高程度的刑法保护必要性与紧迫性,且其被犯罪利用的可能性极高,例如2019年,由深圳市某公司制造生产的儿童手表被曝光存在严重的安全隐患,其中有5 000多名儿童及其父母的个人详细信息和位置信息被曝光,不法分子甚至能假扮父母与孩子进行通话[25]。因此刑法应对儿童信息予以特殊保护,将其纳入第一层级。笔者认为,儿童信息需要予以特殊保护的原因在于其主体的脆弱性,而非信息本身的重要性,即由于与成年人相比,儿童心智尚未成熟,也缺乏足够的自我保护能力,因此需对其信息进行特殊保护,以实现对儿童权益的保障。但并不是所有儿童信息都是重要的,有些信息由于其自身内容与信息主体的人身、财产等权利并不相关,刑法保护的必要性与紧迫性程度较低。因此,“对于儿童的个人信息进行特殊保护的规定应在信息收集时的同意方式上予以明确体现”[26],例如《个人信息保护法》第31条规定,处理不满14周岁未成年人个人信息的,应当取得其监护人的同意,而无需将其统一规定入第一层级。

2. 将第二层级认定标准延展至“可能导致个人受到歧视”

当前分级保护模式下,第二层级的认定标准为“可能影响人身、财产安全”,意即只有可能影响生命、身体、健康及财产安全的公民个人信息才能被纳入这一层级的涵盖范围。但除人身、财产安全外,还有诸如隐私、名誉等对信息主体同样重要的权利,由于第二层级认定标准的单一,与这些权利相关的公民个人信息只能被划入第三层级,适用“五千条以上”的入罪标准。因此应对第二层级的认定标准予以扩展,以合理划定其边界,实现对与公民重要权利相关的信息的周全保护。对于扩展的范围,笔者认为应在认定标准中加入“可能导致个人受到歧视”,理由如下。其一,其他与人身、财产安全同等重要的权利有隐私权、名誉权等,与之相关的信息主要包括未公开的犯罪记录、受害经历、民族、种族、宗教信仰、网页浏览记录等。这些信息若被非法获取或公开,对信息主体造成的侵害主要在于使其遭受歧视性待遇。例如:因曾经的犯罪记录而影响求学、就业;或因为曾受性侵的经历被曝光而导致名誉受损,甚至是遭受他人的污名化歧视;或因民族、种族、宗教信仰的不同而被他人排挤、打压;抑或是运营商非法获取用户网页浏览记录,进而通过大数据分析为其提供不公平、不平等的服务,即“大数据杀熟”“算法歧视”等[27]。因此,“导致个人受到歧视”可以涵盖上述权利受损的危害后果,为从形式上简化认定标准的表述,在第二层级加入“可能导致个人受到歧视”标准即可。其二,虽本文不以高度敏感信息、一般敏感信息、非敏感信息定义第一、二、三层级,但相关规范对敏感信息的界定体现了法律对部分信息类型的特殊保护,对本文设置层级划分的标准具有借鉴意义。例如,《信息安全技术——个人信息安全规范》第3.2条规定:敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。另外,部分国际规范也以“遭受歧视”作为界定敏感信息的标准,如《联合国电子化个人数据档案规范指南》规定,可能导致歧视并带来差别化待遇的信息是敏感信息。由此可见,“导致个人遭受歧视”与人身、财产安全遭受损害具有同等的严重性,应将其作为第二层级的认定标准。另外需要注意的是,对“可能影响人身、财产安全”以及“可能导致个人受到歧视”标准的认定不应仅局限于对信息内容的判断,还应注意动态性与关联性,在具体情境中结合信息实际处理目的,综合考量侵犯某类公民个人信息的行为是否达到上述标准[28]。

如前所述,第二层级采取的是不完全列举加概括的表述形式。笔者认为,对第二层级的完善除延展认定标准外,还应增加列举的信息种类,尤其是常见的重要类型,如个人联系方式、未公开的犯罪记录、受害经历、网页浏览记录等,以合理划定第二层级的信息范围并更加明确其与第三层级之间的区分,同时亦能彰显刑法对这些信息的重视与关注。

3. 为《解释》第6条设置信息数量标准

由于《解释》第6条未设置认定“情节严重”的信息数量标准,使得为合法经营活动而非法购买、收受《解释》第5条第1款第(三)项、第(四)项规定以外公民个人信息的行为无法被纳入现行分级保护体系,造成该体系内行为类型的缺失,进而导致基于合法目的而非法获取、收受公民个人信息数量巨大但获利不足5万元的情形无法被认定为侵犯公民个人信息罪的不合理结论。因此,应为《解释》第6条设置相应的信息数量标准,以实现分级保护体系内行为类型的完整性,并解决前述定罪量刑上的问题与矛盾。虽第6条规定的认定标准中有“其他情节严重的情形”这一兜底条款,但从该条与第5条的关系以及其已经列举出的前两项标准可以看出,兜底条款很明显是为以后可能出现的新情况留下的缺口,并不包含在第5条中早已规定的信息数量标准。另外,司法解释是对刑法条文的进一步诠释,其内容应更加明确且具有可操作性,进而为司法人员提供可资参考的裁判依据,而从“其他情节严重的情形”这一表述中无法看出其包含有确切的信息数量标准。因此,笔者认为:应在《解释》第6条已有内容的基础上,规定明确的数量标准,具体设定为5万条,理由如下。其一,虽行为人非法购买、收受公民个人信息,但其毕竟主观上是为了合法的经营活动,目的具有合法性,并且这一行为在司法实践中比较常见,社会危害性较小,如非法获取他人信息进行业务拓展或者广告宣传的情形等。因此秉持刑法的谦抑性原则与宽严相济的刑事政策,应对其更加宽宥,设置较高的入罪门槛以达到限制处罚的目的。其二,《解释》第6条所涉信息为第5条第1款第(三)项、第(四)项以外的信息类型,与该款第(五)项规定的类型一致,因此考虑到第6条中行为人主观目的的合法性,为其设置的具体信息数量应多于第5条第1款第(五)项中的“五千条”;又由于当前分级保护体系中第一、二、三层级分别对应“五十条”“五百条”“五千条”的入罪门槛,呈现出10倍递增的梯度关系,因此顺次推导下去,将《解释》第6条的数量标准设置为“5万条”是相对合理的。其三,《解释》第6条第1款第(一)项规定,“利用非法购买、收受的公民个人信息获利五万元以上的”构成“情节严重”,其数额标准与第5条第1款第(七)项所规定的“违法所得五千元以上”为10倍递增关系。虽由于在是否应扣除成本方面存在区别,不应将“获利”与“违法所得”混为一谈,但毕竟其二者均通过行为人侵犯公民个人信息行为所产生的收入来衡量其行为的法益侵害程度,且考虑到形式上各层级间递增倍数的协调性,因此应将《解释》第6条的数量标准设置为5万条,以与“获利”与“违法所得”间10倍的递增关系相契合[29]。为《解释》第6条设置5万条的数量标准后,为合法经营活动而非法购买、收受《解释》第5条第1款第(三)项、第(四)项规定以外公民个人信息的行为即被纳入分级保护体系,由于其入罪门槛最高,因此应作为第四层级。第一、二层级由于所涉信息类型本身极具刑法保护必要性与紧迫性,侵犯相关信息的行为将会导致信息主体人身、财产等权利的重大损失,因此其不再按照行为目的进行具体划分,而是统一规制非法获取、出售或者提供相关信息的行为。

至此,在结合当前分级保护模式所存在的问题对其结构与具体要素进行调整之后,形成四层级的分级保护体系,即具有下列情形之一的,应当认定为《刑法》第253条之一规定的“情节严重”:①非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息、生物识别信息、与性相关的信息50条以上的;②非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息、个人联系方式、个人经历信息、网络关联信息等其他可能影响人身、财产安全或可能导致个人受到歧视的公民个人信息500条以上的;③以非法目的非法获取、出售或者提供①、②规定以外的公民个人信息5 000条以上的;④为合法经营活动而非法购买、收受①、②规定以外的公民个人信息5万条以上的。

五、 结 论

侵犯公民个人信息罪是典型的情节犯,构成该罪要求行为必须达到“情节严重”的程度,因此作为认定犯罪的决定性要素,“情节严重”的具体内涵与认定标准显得尤为重要[30]。《解释》第5条第1款第(三)至(五)项规定了公民个人信息的分级保护模式,其根据信息类型的不同设置高低有别的入罪门槛,体现了对重要信息的特殊保护。但这种保护模式在结构设置、具体要素的范围与排列等方面存在第一层级要素范围过窄、第二层级认定标准单一、第三层级行为类型欠缺的弊端,因此应予以调整与完善。具体而言,应在第一层级中增加“生物识别信息”及“与性相关的信息”;将第二层级的认定标准延展至“可能导致个人受到歧视”,并且增加列举常见的信息类型;为《解释》第6条设置“5万条以上”的信息数量标准,使其被纳入分级保护体系并作为第四层级。结构重塑之后的分级保护体系在层级划分方面更具合理性,其能够根据不同信息类型在刑法保护必要性与紧迫性上的区别作出轻重适度的刑法反应,有利于贯彻罪责刑相适应原则,并实现信息保护与利用之间的双向平衡。