sis banner sls2
欢迎光临上海市法学会!   您是第位访客 今天是
标题 内容 作者
  • 财税法学研究会
  • 法理法史研究会
  • 法学教育研究会
  • 港澳台法律研究会
  • 国际法研究会
  • 海商法研究会
  • 金融法研究会
  • 禁毒法研究会
  • 经济法学研究会
  • 劳动法研究会
  • 民法研究会
  • 农业农村法治研究会
  • 商法学研究会
  • 社会治理研究会
  • 生命法研究会
  • 诉讼法研究会
  • 外国法与比较法研究会
  • 未成年人法研究会
  • 宪法研究会
  • 消费者权益保护法研究会
  • 信息法律研究会
  • 刑法学研究会
  • 行政法学研究会
  • 银行法律实务研究中心
  • 知识产权法研究会
  • 仲裁法研究会
  • 反恐研究中心
  • 教育法学研究会
  • 航空法研究会
  • 卫生法学研究会
  • 立法学研究会
  • 法学期刊研究会
  • 法社会学研究会
  • 自贸区法治研究会
  • 竞争法研究会
  • 非公经济法治研究会
  • 人民调解法治研究会
  • 欧盟法研究会
  • 海洋法治研究会
  • 破产法研究会
  • 财富管理法治研究中心
  • 法学翻译研究会
  • 慈善法治研究会
  • 司法研究会
  • 海关法研究会
  • 环境和资源保护法研究会
  • "一带一路"法律研究会
  • 案例法学研究会
  • 互联网司法研究小组
  • 文化产业法治研究小组
  •       
当前位置: 网站首页 > 会员服务 > 会员风采

张勇丨个人信用信息法益及刑法保护:以互联网征信为视角

2019-01-17 10:35:05 字体:

内容摘要

个人信用信息兼具私权和公共属性,其法益内容既包括个人隐私权在内的人格权及其衍生的财产权,也有涉及国家和社会公共安全、利益及秩序的“超个人法益”。在互联网征信领域,法律需要合理设定征信机构、信息提供者和使用者的保护义务,实行多元化、多层次的保护,对个人信用信息侵权犯罪行为予以刑法规制。我国个人信息保护立法存在碎片化问题,需要运用体系解释方法,加强刑法体系的内外部衔接;运用利益衡量方法,对互联网征信的侵权行为进行实质判断,实现个人信用信息法益的整体刑法保护。

关键词:互联网征信 个人信用信息 超个人法益 体系解释

image.png

引言

笔者拟对互联网征信中个人信用信息的权利属性、法益内容以及侵权行为类型进行分析,从系统论角度对个人信用信息刑法保护体系问题加以探讨。

一、个人信用信息的权利属性与法益内容

“信用”一词在不同领域有不同的含义。道德上的信用作为一种美德,其核心是诚实不欺,于个人主要是指诚实人格或可信赖的品质;于社会则指普遍的信任和责任承诺。经济上的信用即市场信用,主要是指行为人在商业交易或信贷活动中迟延履行对应义务的权利或能力。笔者所指的“个人信用”,即自然人和法人履行法定或者约定义务的心理态度及其行为能力。能够评价其经济能力和履约能力的个人信息,即为“个人信用信息”。

(一)个人信用信息的内涵及其可识别性

各国立法对于个人信息的界定不尽相同,一般都以公民个体的识别性为标准。有的国家将个人信息界定为可以有效识别公民个体身份即个体属性的相关信息。有的国家则否定个人信息的个体属性,将其界定为能有效识别公民个体社会属性的相关信息。在我国立法中,个人信息的内涵呈现不断扩大的趋势。2017年3月《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第1条所界定的“公民个人信息”,在《网络安全法》所确立的“广义的可识别性”基础上又增加了“活动情况”要素;个人信息类型又加入了“账号密码”“财产状况”“行踪轨迹”三种,使得公民个人信息分为两类:个人身份认证信息和可能影响人身、财产安全的个人信息。前者要求具有广义的可识别性,后者则对可识别性没有要求。

(二)个人信用信息的人格权及财产权属性

在国外立法中,关于个人信息权利性质的归属,主要有两种进路:第一种以美国立法为代表,将个人信息归类于个人隐私的范畴,倡导以隐私权保护个人信息权;即便在当下美国,在私法领域内的隐私权被赋予了更加丰富的内涵,扩充为信息隐私权、空间隐私和自我决定的隐私。第二种以德国立法为典型,将个人信息权称为“信息自决权”。 

在国内,也有学者认为,应将个人信息权看作是一种新型权利。在权利内涵上,个人信息权是个人以其自身信息为权利客体,对其个人信息所享有的相关权利是其人格的重要组成部分。在权利性质上,个人信息权兼有人格权和财产权,现有法律构成了个人信息的法律保护框架。所谓“个人信息权”其实是理论上的概念,将个人信息作为独立法益在刑法中予以保护缺乏前置根据,对个人信息权利属性的界定,脱离不了现行法律规定。

从传统个人法益角度,刑法之所以将侵犯个人信用信息的行为犯罪化,就在于这种行为威胁或损害了个人隐私在内的人格尊严和个人信息自决的自由,以及由人格权延伸出来的财产利益。

1)个人信用信息权利主要是一种人格权,从实体层面包括隐私权、肖像权、姓名权等,整体而言超出了个人隐私权。

2)个人信用信息还具有人格权延伸出来的财产权属性,其财产利益是现代社会精神性人格利益商业化的典型。

image.png

(三)个人信用信息的“超个人法益”性质

如前所述,个人信息主要是一种人格权,一般认为,人格权是专属法益,自然不可能向财产法益那样相加重叠。然而,当侵犯个人信息超过一定数量,就会造成对个人法益叠加而成的集体法益的侵害。在信息网络社会风险因素和潜在威胁不断增大的情况下,个人信息的法益保护也出现了公共化的趋势,追求公共利益、秩序和安全的“超个人法益”就成为社会公众普遍心态和立法目标选择。

所谓“超个人法益”,是指在法益概念中与个人法益相区别的、又具有某种关联性的那部分利益,强调自身是全部个人法益的集合。在信息网络社会,个人信息关涉公民的人身财产安全,面对个人信息风险,个人自由将会被限缩,社会活动也会因为人们对个人信息泄露的不安受到影响,公众对信息网络安全的普遍信赖感值得法律保护。

在刑事立法上,也倾向于将抽象危险犯等预防性刑法条款适用于具有“超个人法益”的犯罪领域,法益功能从出罪化转变为入罪化。根据我国《刑法》第253条之一的规定,侵犯个人信息的行为必须符合“情节严重”“情节特别严重”的条件,才可构成侵犯公民个人信息罪。如果个人信息被用于违法犯罪、造成被害人死亡、重伤、精神失常或者被绑架等严重后果的,或是造成重大经济损失,此种情况下必将给公众对个人信息安全的信赖感造成重大冲击。若是认为该罪法益为个人法益,则很难将个人信息的用途以及造成后果涵射在该罪的法益范围之内。

在我国尚未颁布《个人信息保护法》的前提下,合理利用个人信息的法律规则尚未制定,这时若将该罪的法益单纯界定为个人隐私权或信息自决权,可能会过度抑制个人信息的积极利用。将侵犯公民个人信息罪的法益界定为“超个人法益”,即个人信息安全的信赖感,则为个人信息的利用预留更大的空间,也有利于保护个人信息的自决权。

近些年来,我国政府公共管理开始引入个人信用评估体系,并与互联网个人征信服务链接,个人信用信息的内涵从最初的个体履约偿债能力方面的商业信用记录等信息,扩展至社会文化领域的公共信息范围,诸如乘车逃票、欠缴水电燃气费用等个人信息也被作为社会信用评价因素。个人信用信息从最初商业信用记录等信息,发展成为明确的包括公共记录信息。

我国政府部门建立了许多含有海量公民个人信息的应用网络系统,将身份登记、视频监控、实名注册等作为公权力运行的前置依据,公民个人的行踪、言论和生活轨迹暴露在国家政府的监控之下。然而,对于政府机构不当搜集和滥用个人信息的行为缺乏应有的法律规制,信息安全与信息自由的价值选择之间产生了不均衡的问题。有学者指出,在大数据技术时代,以隐私权利及财产权等私权对个人信息进行保护和利用,难以对个人信息的使用方式、目的和效果产生有效的规制,因而应将个人数据信息作为公共物品加以治理,其目的应该是为了社会公共利益、国家和公共安全。

根据以上分析,在互联网征信领域,个人信用信息的法益可分为两部分:一是个体法益,即个体的人格权及财产权。二是公共法益,即信息网络领域的国家安全、社会公共利益及秩序,其法益结构具有多元性发展态势。

在解释论层面,个人信用信息法益的公共性主要体现在涉及个人信用信息的数量为不特定或者多数。如果将侵犯公民个人信息罪的法益认定为个人信息安全,作为公共安全的一种,无法证成侵犯公民个人信息的行为。刑法所处罚的危险,是对所保护法益的危险,仅以侵犯公民个人信息的行为,不依托于行为目的的考量,无法认定此行为对何种法益制造了危险。仅以对侵犯公民个人信息数量的巨大,不能弥合在法益侵害危险和风险之间由法益侵害目的缺失所造成的鸿沟。

“超个人法益”由于其内容过于抽象和模糊,在限制刑罚处罚方面的解释机能趋于弱化。而传统个人法益具有限制刑罚发动和处罚范围的机能;因而,刑法对传统个人法益的保护仍是主要的。对于个人信用信息的“超个人法益”,应根据其涉及的信息安全等级及其遭受不法侵害的风险程度,实行多层次、体系化的刑法保护。

image.png

二、征信主体的保护义务与侵权行为类型

个人征信是对反映个人履约能力的信息进行采集、调查、加工、使用,个人征信是以解决市场参与者的信息不对称为目的,以保证市场经济的公平和效率。个人征信体系建设必须以个人信用信息采集使用和适度开放为基础,而后者直接关系到个人权利保护。征信主体必须合法正当地采集和使用个人信用信息,承担个人信用信息权利保护的义务和责任。

(一)征信主体的个人信用信息保护义务

在个人征信法律关系中,征信主体主要包括信用信息主体、征信机构、信用信息提供者和使用者。合理设定征信主体的权利义务是平衡各方主体利益的关键。征信主体在持有、收集、存储、加工、传输、开发、利用、公开个人信用信息的过程中,应当负有保护信息主体权利的作为义务。

(二)征信中个人信用信息侵权行为类型

近年来,征信主体非法买卖、泄露与滥用个人信用信息的侵权行为泛滥,并借助于网络载体所产生的波及效应,无限放大其社会危害效应。在电子商务领域,主要存在制假售假、以次充好、虚假宣传、恶意欺诈、服务违约、恐吓威胁,以及通过恶意刷单、恶意评价等方式实现“增信”或“降信”,从而侵犯个人信用信息的行为。如旺旺贷“跑路”事件,就将网贷平台最大的流量入口百度推上风口浪尖。很多受害者投资旺旺贷的主要原因就是其有百度认证。从不同征信主体的侵权行为类型上看,可分为以下几种情况:

1个人征信机构的侵权行为

主要包括:

在信息采集环节,如果征信主体所采集的信息无法真实、全面地反映信息权利主体实际的信用状况,就会使授信者对信息主体信用状况产生错误判断;同时,征信主体可能违反《条例》等法律法规中的禁止性条款和基于合同对信息采集范围的约定,随意扩大个人信用信息的搜寻范围。

在征信系统设计环节,如果征信系统设计存在瑕疵,导致对信息数据分析错误,影响授信者对个人信用状况的判断,使被征信者无法开展信用交易活动,就对个人信用信息权造成侵害。

在信息存储环节,如果个人信用信息不及时更新、对不良信用信息不及时删除,或者未对个人信用信息采取适当的安全加密措施,被他人攻击、篡改、非法获取,就会造成对个人信用信息权的侵害。例如,“数据黑市”滋生的重要原因就在于黑客能够利用“爬虫”“撞库”等技术手段轻而易举地获取数据库,大量价格低廉的个人信息数据成为部分征信机构的隐形数据源。有的征信机构甚至雇用黑客直接对数据缓存库实施“拖库”盗取数据。还有的征信机构虽然通过正规渠道和价格获得数据接口,但在调用数据时会在“本地设备”上形成一个“缓存库”,当个人信用信息数据累积到一定程度后,就将这些“缓存库”拿去进行二次销售牟利。

2个人信用信息提供者的侵权行为

《条例》第15条规定:“信息提供者向征信机构提供个人不良信息,应当事先告知信息主体本人。但是,依照法律、行政法规规定公开的不良信息除外。”然而,在提供个人信用信息过程中,也会产生如下侵权行为:

向征信机提供错误、过时、遗漏、片面等情形的个人信用信息。征信机构最终提供的信用信息上的瑕疵,导致信息权利主体的信用评价受到贬损。

基于故意增删、修改、涂抹个人信用信息,或是虚构相关涉及征信采集方面的事项,损害他人信用。

征信行业内部工作人员非法倒卖、帮助倒卖个人信用信息牟利。诸如相关涉及征信行业部门的业务操作人员、系统维护人员等作为“内鬼”为谋取非法利益,违规利用内部信息系统查询征信报告出售盈利或串通外部人员,为其提供征信ID和密码、银行专用网络,后者用于实施其他违法犯罪或倒卖出售获利。

3个人信用信息使用者的侵权行为

信息权利主体对自己的信用信息评估情况及该情况被用作何途享有知情权。如果信息使用者未按照规定及时履行相关告知义务,就可能构成对他人信用信息权的侵害。实践中经常出现由于银行未尽责审核或者他人利用虚假的身份资料办理了贷款、信用卡后逾期不还,信息权利主体莫名被录入征信“黑名单”,导致本人无法贷款。

另外,因授权条款设置不具体、不明显导致滥用个人信用信息的现象也很常见。许多互联网银行、P2P机构在获取个人信用信息授权时采用电子形式,即信息权利主体申请贷款时在线勾选“同意”授权条款、电子规则、声明等,但并没有使用明显标志进行提示,且授权内容范围不明。如在“微粒贷”业务中,微信用户点击微信钱包中的“微粒贷”查看额度,不慎勾选了授权条款,而被“微众银行”以“贷款审批”为由向央行征信中心查询用户的信用信息,致使后者的知情同意权受到侵犯。

image.png

三、个人信用信息刑法保护的系统思维         

从系统论的角度,刑法规范是其整个法律体系的子系统,既以其自身独有的结构而具有内部封闭性,又同非刑事法律法规的交互作用而获得其自身的开放性。根据法秩序的一体性与刑法谦抑性理念,刑事违法性与行政或民事违法性具有一致性。不存在具有刑事违法性,而没有行政或民事违法性的行为;缺少行政或民事违法性的行为,也不可能具有刑事违法性。对上述个人信用信息侵权行为,除了进行形式层面的违法性判断之外,更重要的是基于系统思维对个人信息立法碎片化予以修复,对个人征信各方主体利益进行利益衡量,从而实现个人信用信息刑法保护的体系化。

(一)个人信用信息保护立法碎片化及修复

在维护信息网络安全立法思想主导下,个人信息权利的法律保护一直存在不足,缺乏相应的法律规范和制裁体系。我国尚未制定出台个人信息保护法,现行立法多是间接的、碎片化的、框架性的规定,就像堆积拼接而成的“碎片”,既不系统又不协调,层级低且效力弱。实践中存在执法部门权限职责不清,个人信息的收集处理规则不科学、不合理,作为个人信息权利保护义务主体的守法成本高,个人维权成本高昂且效率低下等问题。

对此,有论者认为,在互联网时代“必须营造一个公平正义和诚实信用的法治文化生态环境,而这个环境的建设源于多种要素的支撑和相关机制的完善”。在刑事立法方面,对于侵犯个人信息犯罪的刑法规制处于不断扩张态势,法益保护的链条不断拉长,扩大了公民个人信息保护范围和程度。

《解释》分别对“公民个人信息”“违反国家有关规定”“提供公民个人信息”“以其他方法非法获取公民个人信息”“情节严重”“情节特别严重”等作了具体规定,明确了定罪量刑的情节标准,但仍未形成对个人信息权利完整的体系化保护。如《网络安全法》第41条规定,信息收集者必须按照信息提供者同意的方式与范围使用,不得超出收集个人信息的原始目的使用,但《刑法》以及《解释》都没有对非法“使用”个人信息行为做出规定,与《网络安全法》的上述规定是相脱节的。即使“在《网络安全法》加大侵犯个人信息违法行为处罚力度、两高最新司法解释进一步扩充刑法第253条之一构成要件的背景下,行政法与刑法的界限问题、刑法自身的边界问题变得非常突出,直接影响到罪与非罪的认定。”

另外,由于缺乏严格有效的监督制约机制和良好的行业自律环境,行业组织所发挥的作用也比较有限。上述法律规制方面的漏洞,不仅难以实现个人信用信息法律保护的统一性和有机性,也不能为认定和处理侵犯个人信用信息的行为提供明确依据,由此带来了司法认定方面的困惑,查证难度和司法成本相当大。司法实践中,以侵犯公民个人信用信息罪追究刑事责任的案件并不多见,其中未经授权查询个人信息被处以行政罚款的比例最高,行政处罚内容大都是罚款,“一罚了之”,处罚理由也未披露,违法成本相当低。

从系统论的角度,个人信用信息保护的法律规范之间应当是衔接协调的。只有刑法体系内外部实行多层次的法益保护,将大量侵犯个人信息的违法行为堵截在民事、行政法律领域进行处置,才能更好地发挥刑罚的惩治和预防功效。

一方面,在刑法体系内部,涉及对侵犯公民个人信息罪及其关联罪名的体系解释问题。实际上,侵犯公民个人信息罪及其关联罪可以看作是一种罪名集合。侵犯公民个人信息罪在这个“罪群”中处于核心位置,对于衔接和协调其他罪名的罪刑关系具有着重要的纽带作用。不同罪名的构成要件之间应避免相互重叠,更不能相互冲突和矛盾;同时,准确处理相关罪名与法条竞合关系,保持刑法规范适用的统一性和协调性。

另一方面,在刑法体系外部,面对互联网征信领域日益泛滥的非法采集和使用个人信息行为,在行政法监管不到位、处罚软弱无力的情况下,有必要运用刑事法律手段进行规制。当然,作为保障法、事后法和制裁法,刑法只有在非刑事的前置法管控无效、超出其调整范围的情况下才可以介入。如果一味予以刑事打击,加大征信主体的涉罪风险,就会阻碍个人征信市场的发展,不利于互联网金融安全和社会信用保障。因而,有必要从出罪角度加以考量,避免造成征信主体权益的制度性压制。

应当看到,民法、行政法、刑法等部门立法的价值目标各有侧重,相互之间存在交叉竞合、冲突矛盾的情况在所难免。因此,对于个人信用信息权利保护的“碎片化”问题,也应当客观地看待其现实合理性,不能一概否定。

image.png

(二)个人信用信息保护的利益衡量及选择

在互联网征信领域,个人信用信息法益呈现多元化态势,个人信用信息的权利属性决定了两者之间的矛盾,本质在于两者所体现的经济法价值理念不同,前者追求秩序,后者关注自由;个人征信影响信用信息权利的保护,而对信用信息权利的保护会降低征信效率。为了防止人们逾越权利底线追求自身利益而给他人利益带来损害,法律需要确认合法利益的边界,协调不同主体利益,建立利益调节机制,既要充分保证个人隐私和人格权益不受损害,又能够保证个人征信活动的正常开展。从国外立法来看,各国已经意识到衡平征信与信用信息权利保护两者矛盾的重要性。随着互联网技术的不断发展,各国有关个人征信的法律规则也在不断作出调整,在利益冲突和协调的过程中趋同性日益凸显。

我国刑法将侵犯公民个人信息罪置于《刑法》“侵犯公民人身权利、民主权利罪”一章,作为第253条之一规定在“私自开拆、隐匿、毁弃邮件、电报罪”之后,可见刑法保护的重点是公民个人的隐私权。然而,这种隐私权保护模式已经难以适应现代社会积极利用个体信息的现实需要。

从保护个人隐私权的角度出发,必须限定征信中个人信用信息的范围;但将其完全限制在个人隐私之外显然是不现实的,只要允许个人信用信息的采集和使用,就必然存在其与个人隐私和人格权保护之间的冲突。对个人信息权利主体而言,他们很难对自身信息价值作出正确估价,很难对信息披露的风险作出评估,也不能确切地知道其个人信息最终会流向何处,或者将会被如何利用。由于信息持有者和使用者之间不平等的谈判力量,个人也无法通过与处于强势地位的征信机构进行谈判来有效保护自己的个人信息财产权利。而对于需要积累数以亿计的信用信息的征信机构而言,针对每次个人信息的使用逐一进行谈判,需要非常高的交易成本,也是难以做到的。

我国征信业尚处于初创阶段,在个人信用信息采集和使用方面,宜采取相对宽松的制度政策。基于保护社会公共利益的原则,在某些特殊情况下,可以强制公开个人信用信息,以实现个人信用信息公开的对称性和公平性。

在刑事立法和司法中,应当在坚持罪刑法定原则的基础上,运用利益衡量的原则和方法,对侵犯个人信用信息行为的社会危害性进行实质判断。有学者提出将利益分为:具体利益、群体利益、制度利益和社会公共利益,并通过利益层级进行判定。但也不能由此认为社会公共利益就一定要高于具体利益,否则就会导致国家权力的过度扩张,而使个人权利自由空间遭致压缩。

如前所述,个人信用信息所包含的法益可分为个人人格及财产权益、社会公共利益、国家安全利益。原则上,人格权益优于财产权益;财产权益之间价值高者优先;社会公共利益、国家安全利益一般优先于个人的人格及财产利益;但也要考察利益数量和规模大小从而加以判断,而不能仅将法益性质作为唯一根据。判断个人信用信息法益性质及其程度,包括个人信用信息的识别性强弱、信息数量规模、侵权行为方式和用途去向、被害人的心理感受、对国家信息安全、社会公共利益的影响等因素,需要司法机关综合加以考量。