【学术前沿】冀洋 | 法益自决权与侵犯公民个人信息罪的司法边界

摘要：

信息社会制造了高度的犯罪风险,侵犯公民个人信息罪成为规制网络信息活动的常用罪名,但应注意前置法体系不发达、网络准则不健全背景下的刑法过度介入。侵犯公民个人信息罪属于个人法益犯罪,法益本体是个人信息权,它是《民法总则》第111条规定的具体人格权,通过赋予其超个人属性的方式实现入罪扩张解释,与法益论发展趋势相背。公民个人有权积极利用其个人信息,"同意"构筑了信息自由与刑法介入之间的分界,在被害人教义学上类比身体、生命法益而否认个人信息法益自决权的理由并不充分。侵犯公民个人信息罪特有的"违反国家有关规定"在司法实践中存在被虚置的现象,为此,应在整体法秩序内厘清该要素的内容与地位,当前置法上缺少限制信息自决权的"国家有关规定"时,应排斥对"经同意后出售他人个人信息"行为的入罪化。

关键词：个人信息; 超个人法益; 自决权; 权利人同意; 整体法秩序;

一

问题的提出

我国近十多年来对信息类犯罪给予了前所未有的刑法投入，《刑法》第253条之一逐渐成为规制网络信息活动的常用罪名。以往，侵犯公民个人信息罪是在权利人不知情的情况下将个人信息提供给第三人，如今，经同意后出售他人个人信息作为一种新型案例出现在电商领域。以电子商铺的有偿转让为典型：注册人利用自己的身份信息注册店铺账户，然后把注册的店铺自愿有偿出让给店铺“收购者”。原出卖人同意收购者将上述店铺有偿转让给第三人使用，甚至与之签订转让授权书，但交易中并不进行店主信息变更。这种情形给电商平台经营者带来极大的管理难度，也可能为电商领域内的销售伪劣产品等违法行为提供可乘之机，因而出现了用刑罚惩处贩卖者的声音，侵犯公民个人信息罪成为首选罪名(以下称“有罪论”)。

有罪论之所以不顾个人信息主体的处分意思，根源在于认为：侵犯公民个人信息犯罪的法益并不是公民个人的人身权利，而是公共信息安全。相应地，本罪的违法性不再取决于该个人，出售他人个人信息的行为不因信息主体之同意而阻却犯罪的成立。

有罪论引发了三大疑问：其一，《刑法》第253条之一规定的行为对象是公民个人信息，为何犯罪客体成为社会秩序法益？其二，刑法作为“保障法”是否可以不顾前置法的评价，拥有超脱于其它法秩序的独立标准？公民对个人信息法益的承诺在多大范围内可以受到容认，进而影响行为违法性的判断？其三，如何正确看待《刑法》第253条之一中的“违反国家有关规定”，本罪的成立是否需要指明“限制公民个人信息处分权”的相关规定？这些问题并非局限于某个案例本身，而是对合理解释侵犯公民个人信息罪的构成要件、科学划定本罪的司法边界具有整体意义。

二

侵犯公民个人信息罪的法益识别：“超个人属性”之否定

欲探究侵犯公民个人信息罪的适用边界，需要首先明确本罪之法益究竟是个人法益还是超个人法益。本文认为，有罪论将个人信息首先归入所谓的社会法益范畴，实则无视了个人与超个人之间的紧张关系，存在本末倒置之嫌。

以法益理论的发展为鉴，更有助于认识这一点。在法益概念的发源地，对“超个人法益”的推崇突出地表现在二战时期，彼时学者“过度强调民族共同体思想”，认为“对刑法有价值的应当是，向显在的民族共同体生活中的具体秩序挺进”。最终，一个以民族集体为主体的超个人法益成为德意志帝国刑法的首要辩护工具。经此之后，一些有识之士纷纷主张：国家的目的在于保障个人，超个人法益“只有在能够回溯至个人利益的情况下才具有刑法上的可保护性”。对“超个人”的不断强化，甚至将纯个人法益强行赋予超个人属性，这正是一条被摒弃的“回头路”，绝不能将本已个体化的法益再次抽象化。

本罪的法益虽然来源自一般性的人格尊严或人身自由，但如今它已从中分离出来成为独立的个人信息权。个人信息权的分立得益于《民法总则》的确认，“个人信息权”之性质是具有绝对私人属性的具体人格权。个人信息指向信息主体，能够显现出个人的生活轨迹，勾勒出个人人格形象，作为信息主体人格的外在标志，形成个人信息化形象。所以，个人对自己信息形象具有一种控制权，且因很多个人信息(如生物识别信息)并非基于财产利用之目的而不能被界定为财产权，与隐私权中的私密信息也不重合。

总之，个人信息权与生命权、健康权、身体权、名誉权等一样，都属于《民法总则》确立的一项私人之具体人格权，若将故意杀人、故意伤害、非法拘禁、诽谤等视为侵犯个人法益的犯罪，则侵犯公民个人信息罪并不因“个人信息数量之庞大”而成为侵犯超个人法益的犯罪。

三

信息自决与出售公民个人信息的违法性判断

所谓“自决”是指个人从自由发展目的出发，对自己生活范围内事务的自我决定。承认侵犯公民个人信息罪属于个人法益犯罪，从哲学到解释学的一个可能结论是，权利人在其个人信息法益范围内享有完全或部分行动自由。

(一)信息自决中“同意”的功能指向

个人对自己的生活和身份拥有一定程度的自治和自决，德国较早在宪法实践中确立了个人信息法益上的自决权。1982年德国联邦议院决定进行人口普查，联邦宪法法院于1983年12月作出判决，在这项判决中，法院从德国基本法第1条第1款和第2条第1款两个规定中联合派生出“个人权利源于自决”的原则。

作为法益自决权的宪法实践，信息自决中的同意最初是为保护个人信息法益而构建的一种防御权。我国虽没有此方面的宪法案例，但《关于加强网络信息保护的决定》第2条也已明确提出“合法、正当、必要的原则”。

信息自决还具有权利行使的积极权能，即同意对个人信息的积极使用，并不再局限于个人与国家之间而是扩大至个人与一切公私实体。同意权的积极权能从属于“人格权从消极防御向积极利用转变的保护趋势”，欧盟GDPR、德国《联邦数据保护法》均制定了积极的同意权规则。

我国全国人大常委会《关于加强网络信息保护的决定》第2条以及《网络安全法》第22条、第41条均把经被收集者同意、当事人约定、向用户明示并取得同意等作为个人信息保护的重要规则。2014年最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条提出，“经自然人书面同意且在约定范围内公开个人信息”不承担侵权责任。

(二)权利人同意与出售他人个人信息的违法阻却

在“经同意后倒卖他人电子商铺”案件中，“同意”是一个权利人意思表示真实且明示的批准他人有偿使用个人信息的合同行为，这种法益自决行为产生的意思自治阻却相关行为的违法性。

1.经信息权利人同意的使用行为不当然无效

我国《民法总则》已经删除了“以合法形式掩盖非法目的”之规定，创新性地设立了“虚假的意思表示”，所谓“以合法形式掩盖非法目的”只能根据现行的民事法律行为规则进行理解，而不能将之作为主张行为无效的“口袋化”事由。

贩卖或购买电子商铺者若具有利用网店从事诈骗、销售假冒伪劣商品等非法目的，此时完全不属于“以合法形式掩盖非法目的”，因为这仅仅是订立合同的一方当事人单方面的非法目的，主动出卖个人信息者与购买个人信息者之间不存在“通谋的虚伪表示”，此时的同意既不符合《合同法》第52条，也不符合《民法总则》第146条，若无其他无效事由，则应属有效合同。

2. 信息权利人同意成立适格的“被害人承诺”

作为自决权内容的“权利人同意”在刑法教义学上被称为“被害人承诺”，它在犯罪论体系上具有阻却违法性进而阻却构成要件符合性的功能。关于对被害人承诺的禁止，有学者认为：“个体同时也是社会的一员、国家的一员，个人生命的存在以及身体的完整性当然亦包括人作为个体应具有的人格与自由对于国家与社会也是重要的法益”。也即，用超个人限制个人。当无法讲清楚有罪之理由时，直接搬出共同体作为挡箭牌似乎一切问题都可迎刃而解，这种逻辑仅仅是一种比喻性的说辞。将个人信息视为超个人法益进而像对待生命那样彻底否定权利人之承诺，不应受被害人教义学所承认。《刑法》第253条之一涉及的“被害人承诺”只能与自由、财产、名誉犯罪相较，不能与杀人罪、伤害罪等量齐观，得权利人承诺的出售个人信息的行为不具有侵犯公民个人信息罪的违法性。

四

整体法秩序下“违反国家有关规定”的适用逻辑

“违反国家有关规定”是本罪成立的必要条件，根据罪刑法定原则，若要否认个人信息权利人的承诺，进而认定经同意后的贩卖行为成立本罪，则必须要指出行为人违反了哪一条“禁止同意出售个人信息”的国家有关规定，以坚持法秩序的统一性。

(一)违反国家有关规定无足轻重？——基于本罪判例的考察

从有罪论以及司法判决中可以发现，理论和实务上已经遗忘了对“违反国家有关规定”的说明义务，这种怠于找法的裁判习惯导致本要素被虚置。总体而言，判例的态度主要有四种表现：(1)几乎所有判决书从不指明被告人究竟违反哪一条“国家有关规定”；(2)有的司法人员在同一案件中还交叉混用“违反国家有关规定”和“违反国家规定”；(3)有判决书中只出现“违反国家规定”，而没有提及《刑法》第253条之一明文规定的“违反国家有关规定”；(4)有的判决书中全然不提“违反国家有关规定”，甚至连“违反国家规定”也消失。显然，司法人员忽视了“违反国家有关规定”的内容、性质及其司法功能，仅仅依靠“违反国家有关规定”之外的构成要件要素来论证犯罪之成立，并没有完成违法性判断的任务。

(二)限制信息自决权的“国家有关规定”之理解 

本文认为，限制信息自决权的“国家有关规定”之范围应当与《刑法》第96条完全一致，2017年《关于办理侵犯公民个人信息刑事案件适用若干问题的解释》违背了法体系的统一，也是造成“有罪论”无视本要素的重要原因。

“国家有关规定”中的“有关”是一个没有实意的虚词，它只是意味着与特定事项有关(相关)，并没有扩张或限缩国家规定的能力。例如，学校有关部门不会超出该学校部门、刑法有关规定不会超出刑法规定、联合国有关机构不会超出联合国机构之范围。(国家)规定与(国家)有关规定是同义反复而已，其发布主体仍然是《刑法》第96条明文规定的能够代表国家的机关，即全国人民代表大会及其常务委员会、国务院。《刑法》第253条之一中的“有关”，只是与个人信息保护有相关性的国家规定而不包括国家规定之外的部门规章。 

司法人员在判决书中存在混用“国家有关规定”和“国家规定”、以“国家规定”取代“国家有关规定”等现象。这充分说明，2017年《解释》将一个刑法典总则已经作出明文规定的旧概念当作一个新概念予以解释，违背汉语语法习惯、违背生活经验、违背《刑法》第96条之要求。

立基于整体法秩序视野，笔者还要强调的是，刑法之外的民法、网络安全法等其他前置法规范对理解“国家有关规定”、对于筛查“信息自决权禁令”也有助益。例如，《民法总则》第153条、《合同法》第52条合同无效事由中的“法律、行政法规”是出自于全国人大及其常委会、国务院的规定，违反部门规章的合同不当然无效。《网络安全法》、《电子商务法》等个人信息保护的前置法中均没有规定“部门规章”，因而从整体法秩序的角度看，“国家有关规定”也只应出自全国人大及其常委会、国务院这一层级，不包括国务院之下的部委等。

本文案例中的网店交易流程缺少的只是实名信息变更，国家互联网信息办公室发布的《互联网用户账号名称管理规定》第5条提出了“后台实名、前台自愿”的原则，但这一所谓的“网络实名制”规范性文件并不构成对个人信息自决权的限制，在主体和内容上不满足“违反国家有关规定”之要素。店铺转让时未进行实名信息变更只是违背电商平台经营者单方面向用户发布的管理规则，这尚处于合同法调整范围，平台经营者可以按照约定对违约的电子商铺采取限制登录、下架商品、删除店铺等监管措施，且这种措施更为直接、有效，不能为了平台方自我管理的简便化而将责任推给刑法、炮制犯罪行为。

结语

刑法教义学的一条历史经验是：“应当尽可能精确地形塑整体法益，并且通过个人法益实现它们的功能化”。侵犯公民个人信息罪的法益是个人信息权，它是归属于个人的具体人格权，具有完全私人属性。个人信息主体同意他人使用个人信息的行为不构成行政违法，反而是行使个人法益自决权的行为，经承诺的个人信息出售行为也因之具有正当化事由，权利人的“同意”构筑了刑法介入的司法边界。更重要的是，《刑法》第253条之一明文规定了“违反国家有关规定”这一入罪前提，若权利人的承诺没有被“国家有关规定”所限制，那么在法秩序统一框架内经同意的出售行为便不具有侵犯公民个人信息罪的违法性。毕竟，刑法不是市场经济的宏观调控法，也不是急公好义的社会管理法，侵犯公民个人信息罪更不是维护某一商业主体利益或其格式条款的恰当工具，它不专为哪一市场参与者服务。

作者简介：冀洋，东南大学法学院讲师。

文章原载：《中国法学》，2019年04期。

本期编辑：司雨。

本期审校：孙晖。

转载本文请注明原文作者和出处。

欢迎学界实务界同仁投稿“刑法界”，作品请发至xingfajie@163.com，本公号将择优推送。