个人信息保护与刑法干预的正当性——兼评《刑法修正案(七)》第七条,本文主要内容关键词为:刑法论文,修正案论文,个人信息论文,第七条论文,正当性论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
[中图分类号]D914[文献标识码]A[文章编号]1009-2692(2009)02-0084-04
个人在日常生活中或社会生活中,均有其不愿为他人知悉的个人信息。个人信息遭受他人无端侵害,以致泄露于众,则个人信誉及其隐私权将遭受减损,导致精神痛苦不堪。“艳照门”事件,虽然当事人行为有失检点,但他人泄露行为值得鄙视与憎恶,同时给当事人造成了极大精神伤害。更有甚者利用非法手段获取他人个人信息,进行非法活动,给当事人经济安全带来损害与威胁。为了保护个人信息或者生活中私域不被他人非法侵扰,《刑法修正案》(七)将个人信息纳入刑法的视域之内。
一、刑罚正当化根据:侵害原理·道德主义·家长主义
刑罚从本质上说是一种“恶害”,是对犯罪“恶”的反动。为了避免刑罚权的无端发动,刑罚权应建立在正当性根基之上。其中,侵害原理、道德主义与家长主义为刑罚权的合理发动提供了正当化的前提。作为社会控制工具,刑法具有保护法益的机能。法益是指为刑法所保护但为犯罪行为所侵害的社会生活利益。19世纪英国思想家J·S密勒提出“侵害原理”(harm-to-others principle),即“没有侵害就没有刑罚”作为刑法干涉的基础。密勒在《自由论》中主张“对于文明社会的任何成员,能够违反其意志而行使国家权力的唯一目的,就是防止其他成员受到侵害。”犯罪只有侵害法益或者有侵害法益的危险,才为刑法所禁绝。一般而言,侵害法益的犯罪行为往往在伦理上被视为恶性的行为,如杀人、盗窃、抢劫等犯罪呈现伦理上的恶性的同时,还伴随着法益侵害结果的发生。因此,刑法强制他人不实施伤害别人的恶行,这是容易被人们所认可的。
但是,有些行为如卖淫等行为,仅仅违反伦理道德,并非侵害特定法益的行为,即无被害人的行为是否成为犯罪,确实成为问题。侵害原理无法解释刑法对之进行干预的缘由,只能从道德主义的见底寻求刑法干涉的正当性根据。道德主义强调在社会生活的各国方面,要维持社会伦理的立场,其中,认为刑法目的在于强制性推行伦理自身的立场被称为“唤起道德主义”,[1]这种见解,从刑法的任务在于维持社会伦理的立场出发,认为刑法具有形成道德的机能,只要是为成立社会所需要,对于不道德的行为,就可以仅仅以不道德为由,将其作为犯罪加以处罚。道德主义可以分为出于强制道德目的而实施的国家介入的积极道德主义,也有国家介入在不违反“个人尊严”(尊重个人)理念的限度之内的消极道德主义。消极的道德主义作为保证刑法介入的正当性的制约性原理,在重视个人权利、自由的价值的现代社会中发挥着重要作用。
在没有侵害他人,而是侵害本人的场合下,为了保护该人的利益,国家也要进行必要的干涉,这就需要家长主义(Parernalism,父权家长主义)的介入。在家长主义之中,存在着积极的家长主义和消极的家长主义之分,前者认为,为了创造性地产出平均主义以上的利益,就要将伦理的堕落看作为“自己对自身所进行的侵害”,国家就要以改善伦理为目的,强制性地介入(伦理的家长主义);后者认为,在如果放任不管的话,连社会生活所必不可少的平均生活利益都难以确保的场合,例外地允许国家进行介入。家长主义又区分为“强烈的家长主义”与“缓和的家长主义”,前者认为,即便是具有完全判断能力的人,对于被干涉者的完全自由的选择、行动,也要进行介入;后者认为,只能对判断能力不充分的人不完全自由的选择和行为进行干预。总之,侵害原理、道德主义、家长主义为刑法介入社会生活提供了理论性的支撑,其中,侵害原理是侵害他人法益的犯罪进行规制提供理论根据;道德主义为没有特定被害人的行为加以刑法干预提供正当根据;家长主义为自己为被害人行为而为刑法介入提供了理论基础。需要指出的是,对某些行为既违反侵害法益又违背伦理道德,侵害原理与道德主义一同被刑法介入提供了正当化的根据。
二、信息安全性:个人信息保护的价值诉求
美国著名社会心理学家马斯洛认为,人类价值体系存在两类不同的需要:一类是沿生物谱系上升方向逐渐变弱的本能或冲动,称为低级需要和生理需要;另一类是随生物进化而逐渐显现的潜能或需要,称为高级需要。马斯洛将人类需求划分为五级:生理的需要、安全的需要、感情的需要、尊重的需要、自我实现的需要。其中,安全上的需要是人类要求保障自身安全、摆脱事业和丧失财产威胁、避免职业病的侵袭、接触严酷的监督等方面的需要。马斯洛认为,整个有机体是一个追求安全的机制,人的感受器官、效应器官、智能和其他能量主要是寻求安全的工具,甚至可以把科学和人生观都看成是满足安全需要的一部分。
随着文明社会的演进,尤其是信息社会的到来,信息给国家、社会与个人带来巨大的价值与利益,与此同时,信息成为犯罪行为侵害的对象,因此,现代刑法将信息作为保护对象或保护客体。信息通常以非物质载体形式加以体现,如国家秘密、情报、商业秘密、个人信息等加以体现。刑法对国家、社会信息的保护规定较为细密:为了保护国家信息安全,规定了为境外窃取、刺探、收买、非法提供国家秘密、情报罪、非法获取国家秘密罪、非法持有国家绝密、机密文件、资料、物品罪、非法侵入计算机信息系统罪、故意(或过失泄露国家秘密罪;为了保护军事信息安全,刑法规定了非法获取军事秘密罪、为境外窃取、刺探、收买、非法提供军事秘密罪、故意(或过失)泄露军事秘密罪;为了保护社会信息,刑法规定了泄露内幕信息罪、侵犯商业秘密罪等。秘密与信息有着密切的关系:秘密往往以信息为载体,如根据《刑法》第219条规定:“本法所称商业秘密,是指不为公众所知悉,能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息。”但是,信息不一定都是秘密。在我国法律制度中,个人信息保护制度较为匮乏,我国刑法中对公民个人信息保护更是严重缺失。只是为了保障金融管理秩序,《刑法修正案(五)》在刑法第一百七十七条增加了一条款规定了妨害信用卡管理罪,即“窃取、收买或者非法提供他人信用卡信息资料的,依照前款规定处罚。银行或者其他金融机构的工作人员利用职务上的便利,犯前款罪的,从重处罚”。这是个人信息保护在刑法中第一次体现,但是,这也仅仅作为维护信用卡管理秩序所附带追求的法律效果。
随着信息化时代的到来,加上现代传播媒介的发达,再加职业规范意识的淡薄,公民个人信息往往被他人侵害,因此,迫切需要刑法对个人信息作出全面的、直接的保护。为此,刑事立法及时作出了立法上的回应,《刑法修正案(七)》首次直接将个人信息保护纳入刑法范畴之内。全国人大常委会法制工作委员会主任李适时在《关于〈中华人民共和国刑法修正案(七)(草案)〉的说明》中指出:“近些年,一些国家机关和电信、金融等单位在履行公务或提供服务活动中获得的公民个人信息被非法泄露的情况时有发生,对公民的人身、财产安全和个人隐私构成严重威胁。对这类侵害公民权益情节严重的行为,应当追究刑事责任。”一些国家机关和电信、金融等单位在履行公务或提供服务活动中获得的公民个人信息被非法泄露,对公民的人身、财产安全和个人隐私构成严重威胁,特别是以受害者无法控制网络信息传播的速度和范围进行泄露与传播,更无法知晓侵权者,因此,遏止这类侵权行为单靠民事途径追究是远远不够的。尤其是非法传播关涉他人隐私的个人信息而致使受害者精神失常、导致自杀或报复社会等严重后果的行为,必须追究其刑事责任。
三、理性化限定:个人信息刑法保护的制度设计
(一)保护对象:个人信息范围的框定
由于我国尚未出台《个人信息保护法》,关于个人信息的内涵与外延处于模糊状态。尽管《刑法修正案(七)》将个人信息纳入刑法保护的范畴之内,但是,该法条的实际操作缺乏前提性的基础。因此,我们应对个人信息内涵与外延作出了较为明确的界定,便于司法操作。有学者主张将个人信息通过技术与标准区分为“个人一般信息”与“个人敏感信”。1981年,欧洲理事会通过的《有关个人数据自动化处理的个人保护协定》中最早将个人信息(数据)划分为一般的个人数据与特别类型的个人数据。该《协定》第6条规定:“除非国内法已提供了适当的保护措施,禁止对揭示以下内容的个人数据进行自动化处理:人种、政治主张、宗教或其他信仰以及与健康或性生活有关的个人数据。与刑事判决有关的个人数据,也不应当被自动化处理。”这种划分在其后1995年欧盟通过的《个人数据保护指南》中被沿用下来,也成为了欧盟各国制定个人信息保护立法的基本指南。《个人数据保护指南》第8条第1款规定:“各成员国应禁止处理显示种族或民族起源、政治观点、宗教或哲学信仰和工会资格的数据,并禁止对有关健康和性生活有关的数据进行处理。”《保加利亚个人数据保护法》则将“特别个人数据”归结为:涉及种族、政治观点、宗教哲学信仰、参加政治团体、商会、宗教、哲学、政治或劳工组织的情况以及涉及健康状况、性生活的个人数据。《冰岛有关个人数据的保护法》将“个人敏感数据”概括为以下五个方面:(1)揭示个人的人种或种族、肤色、政治立场、宗教信仰以及其他信仰的数据;(2)揭示个人是否是犯罪嫌疑人、被告或罪犯的数据;(3)健康数据:包括基因数据、揭示任何药品或酒精的医疗或非医疗用途的数据;(4)有关性生活的数据;(5)有关工会成员资格的数据。
在我国,《个人信息保护法》专家建议稿中没有对“个人敏感信息”作出具体规定。该专家组认为,“尽管在我国确实有必要加强对某些敏感个人信息的保护(如传染病人、艾滋病患者),但是,在个人信息保护法中不宜采用敏感个人信息概念。其理由:(1)域外立法中的敏感信息概念含义非常广泛,包括了政治权利、宗教信仰、结社自由、健康、性生活与司法公正等许多方面。在我国,由于国情的不同……,如果采用含义广泛的敏感个人信息概念,会导致个人信息保护法与我国宪法和根本政治制度的冲突。(2)对于我国实际生活中各个方面收集个人信息过多,甚至收集直接涉及类似个人健康、医疗信息的问题,完全可以通过单行立法来解决,没有必要一定要在个人信息保护法中规定敏感个人信息……(3)不采用敏感个人信息概念,在域外立法中也是一种比较常见的选择。”我们认为,由于人们对个人信息重要性感受有所不同,“个人信息”是否为“敏感”信息判断标准不同,个人信息保护的初衷在于:保护个人信息安全。如果对个人信息进行划分,则不利于个人信息的全面保护。因此,我们建议在将来《个人信息保护法》中只对个人信息作概念上的阐述,无须对个人信息进行分类。
同时,对个人信息的保护不能绝对化,应当兼顾“权利保护”与“自由流动”之间的和谐与平衡。欧盟的“数据保护指令”要求各成员国,“必须在遵守隐私的基本价值和尊重信息在国家间自由流动两者之间达至平衡。”在信息社会的语境下,作为社会成员个人享受发达的信息带来的便捷、充分了解他人和社会的信息的情况下时,自己不得不作出一定的牺牲,这是社会发展的必要前提。著名信息法学者周汉华教授认为,“个人已经公开的信息还具有‘战略性资源’的作用,其自由流动具有重要的基础性意义。如果对个人信息的保护走入极端,势必使每一个人都成为一座座‘信息孤岛’,全社会成为一盘散沙。”因此,个人信息保护应具有针对性,只有对公民个人信息安全造成侵害,情节严重的行为才能用刑罚手段加以规制。《刑法修正案(七)》对侵害个人信息行为的惩处同样秉持上述旨趣,即国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,才能追究相关单位或者个人刑事责任。
(二)行为方式:合理规定侵害个人信息的手段
有些国家或者地区刑法典对侵害个人信息犯罪的行为方式作出相应的规定,如《芬兰刑法典》第38章第9条规定了数据保护犯罪,即凡故意地或重大过失地1.违反《私人数据法案》关于目的限制、处理的一般前提、数据的必要性和完整性、敏感数据、鉴定码或为特殊目的处理私人数据方面的规定,或者违反关于处理私人数据处理的明确规定而处理私人数据的,2.通过提供虚假或误导性信息阻止或企图阻止主体使用其调查权利,或3.违反《私人数据法案》第5章的规定,传递数据给欧盟或欧洲经济区以外的国家,且因此侵犯了数据主体的隐私,或给其造成其他的损失或重大的不便,以数据保护罪论处,处以罚金或1年以下的监禁。又如我国台湾地区刑法典中第316条“泄露业务上知悉他人秘密罪”仅仅规定行为方式为“泄露”。1984年英国《数据保护法》对私人数据保护作出较为详尽的规定:(1)任何人不得掌握私人数据,但是,有关数据使用者或者经营电脑社的数据使用者当时得到登记许可的除外。(2)有关获得登记许可的人,不得实施下列行为:(a)不得掌握除登记种类以外的任何形式的个人数据;(b)不得将其掌握的或使用的经登记许可的个人数据用于登记目的以外的其他任何目的;(c)不得从登记许可的渠道以外的其他渠道获得此类个人数据或者此类个人数据所包含的信息;(d)不得向登记许可范围之外的其他人泄露其掌握的此类个人数据;(e)不得直接或间接地将其掌握的此类个人数据传递给予登记许可限定或规定不相同的联合王国之外的任何国家或地区。违反上述规定,知道或有理由相信泄露个人数据违反上述款项,而诱使他人向自己泄露个人数据的,构成犯罪。同时将诱使他人向自己泄露的个人数据出卖的,构成犯罪。另外,将已经“诱使”他人向自己泄露的数据或者后续诱使他人向自己泄露的数据提供出卖的,构成犯罪。做广告公示有个人数据正在或可以出售的行为,属于提供个人数据以供出卖的行为。出卖或者提供出卖的有关个人数据,包括从个人数据中抽取或者提炼出的信息。我国《刑法修正案(七)》将侵犯个人信息犯罪的行为规定为:“违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人。”以及“窃取、收买或者以其他方法非法获取上述信息”的行为。将侵犯个人信息的行为界定为出售、非法提供以及非法获取,较为合理,这是考虑到侵犯个人信息的危害的现实性与紧迫性。对于非法持有个人信息的行为,鉴于侵害行为非现实性,同时考虑到刑罚谦抑性,我们认为,不宜将非法持有个人信息入罪化。
关于“人肉搜索”是否入刑?目前,学界与实务界见仁见智,说法不一。所谓的“人肉搜索”,是网民利用一些网站的搜索功能,不断变换输入关键词来搜索目标,或通过一些较受欢迎的网络论坛来交换信息,从被搜索的目标对象入手,搜查其本人及朋友的博客、论坛等,从而找出搜索目标的所在地、工作、背景、详细身份资料等。“人肉搜索”从诞生之日起,便游走在法律和道德的中间地带。“人肉搜索”已经超出了道德谴责的范畴,严重侵害了公民的基本权益。保护公民个人信息安全,是否需要追究网络“人肉搜索”者的刑事责任。支持者认为,应将“人肉搜索”纳入刑法规制的范围之内。理由在于:“人肉搜索”泄露公民姓名、家庭住址、个人电话等基本信息,已经超出了道德谴责的范畴,同样是严重侵犯公民基本权益的行为,其造成的危害甚至比出售公民个人信息更为严重,应将“人肉搜索”行为在刑法中予以规范。反对者认为不应将其纳入刑法抗制范围之内。理由在于:第一,“人肉搜索”行为仅仅只是发动网友搜集某一个人的个人信息,只不过是收集个人信息资料途径有所不同,并没有触犯刑法。第二,从刑法谦抑性出发,在没有穷尽其他救济方式以前,不宜用刑罚手段加以规制。如果收集个人信息侵犯他人的隐私权,可以通过民事途径加以救济。如果收集个人信息侵犯公民名誉的,情节严重的,可以以诽谤罪追究当事人刑事责任。如果通过个人信息侵犯公民财产权的,可以以财产犯罪追究刑事责任。第三,在个人信息保护法立法起草工作尚未完成的情况下,个人信息的保护范围难以得到明确界定,将“人肉搜索”纳入刑法目前来说还不成熟。正如陈兴良教授所言,“刑法是一种不得已的恶。用之得当,个人与社会两受其益;用之不当,个人与社会两受其害。因此,对于刑法之可能的扩张和滥用,必须保持足够的警惕。不得已的恶只能不得已而用之,此乃用刑之道也。”[2]诚然,“人肉搜索”给当事人带来不便甚至伤害,但是,为了避免“情绪刑法”的种种弊端,对“人肉搜索”是否入刑应持谨慎态度。如果将“人肉搜索”入罪的话,可能有助于保护个人信息安全,但是,在价值多元化的社会中,极易导致窒息公民社会活动,进而影响文明社会的演进。正如有论者指出,“人肉搜索”入罪前应考虑三个前提,其一,刑法打击什么样的“人肉搜索”?其二,如何区分“人肉搜索”中正当舆论监督与侵犯隐私权呢?其三,对“人肉搜索”侵犯隐私权的行为如何追究也值得考虑。[3]或许只有较为圆满地解决前提性条件,才能考虑“人肉搜索”入罪问题。
(三)主体范围:犯罪主体应限定特定人员
根据《英国1984年数据保护法》的规定,任何人因故意或轻率违反相关规定,则可以构成犯罪。同时该法规定,与电脑服务社经营者提供的服务相关的被服务者的个人数据,除非得到被服务者的许可,不得被电脑服务社经营者披露。故意或轻率违反上述规定的,构成犯罪。可见,在英国,任何人因违反《1984年数据保护法》的规定,均有可能构成犯罪。我国台湾地区刑法典316条规定了“泄露业务上知悉他人秘密罪”:“医师、药师、药商、助产士、心理师、宗教师、律师、辩护人、公证人、会计师或其业务上佐理人,或曾任此等职务之人,无故泄露因业务知悉或持有他人秘密者,处一年以下有期徒刑、拘役或五万元以下罚金。”可见,泄露业务上知悉他人秘密罪的主体为特定主体。我国《刑法修正案(七)》也将侵犯个人信息犯罪的主体划分为两类主体,即特殊主体与一般主体,特殊主体为国家机关或者金融、电信、交通、教育、医疗等单位的工作人员。但是,对于窃取、收买或者以其他方法非法获取上述信息,并不要求行为人具有上述特定身份。
(四)告诉方式:以自诉为原则,公诉为辅助
关于本罪的追诉方式,各国情况有所不同,有的以公诉为主,如英国《1984年数据保护法》规定,“除非通过注册员或者检察长或者经过检察长同意,本法规定的犯罪均不能被提起诉讼程序。”有的以自诉为主,如《芬兰刑法典》第38章第10条规定:1.如果保密罪或秘密侵犯罪的对象是与个人或经济的状况或个人事务相关的信息,公诉人不应对该行为提出指控,除非受害方已经为提起诉讼而告发,或犯罪人在公共邮政或电信机构中实施犯罪,或涉及非常重要的公共利益而要求提起指控。3.公诉人应该在对犯罪对象是个人数据文件的保密罪……或者数据保护罪提出指控之前听审数据保护的调查员。在听审该案时,法庭将为数据保护调查员提供被听审的机会。我国台湾地区刑法典第319条规定,泄露义务上知悉他人秘密罪“须告诉乃论”。我国《刑法修正案(七)》将侵犯个人信息犯罪追诉方式规定为公诉。考虑侵犯个人信息的犯罪是侵害个人法益的行为,为了尊重被害人自由决定权,我们认为,国家刑罚权不宜主动介入,不应主动追诉,应将此罪追诉方式规定为自诉方式,便于被害人自己决定是否对行为人侵害其个人信息的行为进行追诉,这样也有助于社会矛盾的解决,有助于和谐社会的建构。
标签:人肉搜索论文; 个人信息保护法论文; 刑法修正案论文; 公民权利论文; 信息安全论文; 法律论文; 犯罪主体论文; 刑法理论论文; 正当程序论文;