以下文章来源于政治与法律编辑部 ,作者陈玲
陈玲
上海社会科学院法学研究所助理研究员、法学博士
摘要:非法使用个人信息行为的刑法规制问题是当前我国刑法研究的一大热点,但“使用”含义的多重性及极具争议性尚未引起学者们的关注。在最早单独制定身份信息犯罪立法的美国,对于如何理解身份识别信息的“使用”存在宽泛解释和限缩解释之间的严重对立。考察美国加重身份盗窃犯罪的判例,可以发现检方都极力主张宽泛解释,辩方则再三强调限缩解释的必要性,而各联邦巡回上诉法院的判决之间也存在严重分歧。美国最高法院通过杜宾案明确了对“使用”应当采取限缩解释的立场,并提出了“关键所在”标准,而该判决的协同意见则提出了对这一新标准的质疑,认为只有国会立法才能从根本上解决对“使用”的界定争议问题。美国司法实践中对身份识别信息“使用”的界定争议为我国非法使用个人信息的刑法规制研究提供了借鉴。
关键词:个人信息的使用;含义多重性;宽泛解释;限缩解释;“关键所在”标准
目 次
一、“杜宾案”:“使用”界定纷争的最高关注
(一)“杜宾案”的事实与程序
(二)“杜宾案”的争议焦点:“使用”的宽泛解释和限缩解释的对立
(三)“杜宾案”的二审判决:法官内部的激烈冲突
二、既往判例:联邦上诉巡回法院对“使用”内涵的界定分歧
(一)支持宽泛解释的既往判例
(二)支持限缩解释的既往判例
三、美国最高法院判决:“使用”内涵界定的新标准
(一)正向论证:限缩解释的路径选择
(二)反向论证:宽泛解释的实质障碍
(三)协同意见:对“使用”解读的再质疑
四、借鉴启示:个人信息非法“使用”行为刑法规制的中国路径
(一)个人信息非法“使用”的表述多样性和入罪涵盖范围的差异性
(二)个人信息“非法使用”界定重心的偏移性和入罪涵盖范围上的潜在对立性
(三)个人信息非法“使用”行为刑法规制的中国路径
信息化时代,个人信息事关公民人身权益、财产权益、金融市场发展秩序乃至国家社会安全。我国《刑法》中的侵犯公民个人信息罪将非法获取、出售或提供个人信息的行为纳入规制范围,但并未涵盖非法使用这一行为类型。当前,许多学者注意到了这一刑事立法上的缺失,纷纷撰文提出,应将非法使用个人信息的行为纳入刑法规制范围。由于学者们的研究目前尚处于提出入罪化建议阶段,强调的是刑法应对个人信息的非法使用行为予以关注以及以何种方式将其纳入刑法规制,对“使用”一词词义的多样性、在本罪中的概念界定及其涵盖范围可能会引起的分歧未见多少关注和讨论。
从世界上最早制定个人信息犯罪专门刑事立法的美国来看,“使用”一词的概念界定和涵盖范围是辩护方与检控方争议的焦点以及巡回上诉法院的判决分歧所在。因此,考察美国判例中对加重身份盗窃中身份识别信息“使用”一词的概念界定和涵盖范围,有助于我们了解“使用”一词的词义复杂性和表现形式的多样性,以便我国未来立法修正和法律适用时合理界定“个人信息非法使用行为”的概念内涵,合理界定“个人信息非法使用行为”的入罪边界以及入罪模式。
一、“杜宾案”:“使用”界定纷争的最高关注
自2004年美国国会制定《身份盗窃处罚加重法(Identity Theft Penalty Enhancement Act)》(该立法被编入《美国法典》第18篇第1028A条)以来,司法实践中对如何理解该法条中的“使用他人身份识别载体”的“使用”这一术语一直存在争议。2022年6月30日,杜宾就“使用”的界定争议向美国最高法院提起上诉,同年11月10日,美国最高法院签发重审调卷令(writ of certiorari),同意就该问题进行审查,从而最大程度地引发了法学理论和实务界人士对“使用他人身份信息”中“使用”一词的概念界定和涵盖范围的关注和讨论。
(一)“杜宾案”的事实与程序
大卫•福克斯•杜宾(David Fox Dubin)是一家心理健康评估机构的执行合伙人,负责管理计费和收费工作。圣安东尼奥(San Antonio)一家青少年临时庇护所聘用该评估机构为其病人从事心理评估。他们约定,由评估机构来判断庇护所里的病人是否符合医疗补助计划(Medicaid)资格。如果评估机构认为病人可以享有医疗补助计划的医疗保险,则由评估机构就其服务费用提交医疗补助计划付款请求单;如果认为病人不享有医疗保险,则直接向庇护中心收取费用。2013年4月,庇护所让评估机构对庇护所的几位病人(其中包括本案所涉病人L)进行心理评估。评估机构派出一名执业心理医生助理对病人L进行评估。该医生助理对其进行了评估(评估时长为2.5个小时),但没有完成对其的临床访谈。
医疗补助计划规定,每一个病人每12个月只能报销一次心理评估费用。病人L在此之前的一年内已经有过一次心理评估,按照规定本次心理评估不能从医疗补助计划处得到偿付。因此,杜宾指示该医生助理延后申请报销2013年4月为病人L所作的评估费用,从而满足离其前次评估间隔12个月的报销要求。该12个月的期限要求一过,评估机构工作人员就按照杜宾的指示提交了医疗补助计划付款请求单,上面填写了病人L的姓名和医疗补助计划身份号码以及评估机构所提供服务的详情,以确定病人是否有资格享有医疗补助计划以及需要偿付的金额。该付款请求单上载明开展心理评估的时间为2013年5月30日,评估时长为3小时,评估人员为执业心理医生,总费用为338美元。
2017年,特克萨斯州医疗补助计划诈骗惩治小组(Texas’ s Medicaid Fraud Unit)发现杜宾自2011年以来一直在欺诈性地超额收取费用。随后检方向特克萨斯州西区联邦地区法院(United States District Court for the Western District of Texas)指控杜宾实施了《美国法典》第18编第1347条和第1349条项下的医保诈骗联邦犯罪。除此之外,检方还基于《美国法典》第18编第1028A(a)(1)条向杜宾提起了加重身份盗窃的指控。第1028A(a)(1)条规定,“任何人,在实施特定重罪的过程中并与该特定重罪有关地,在没有获得合法授权的情况下,以主观明知的心理状态转让、持有或使用他人的身份识别载体的,在其重罪刑罚之外,加处两年监禁刑”。检方认为,杜宾虽然有权使用病人L的姓名和医疗补助计划身份号码以提交医疗补助计划付款请求单,但他使用病人的姓名和医疗补助计划身份号码去收取超额费用是没有得到病人的允许的,因此是没有合法授权地“使用”,构成加重身份盗窃。杜宾认为,虽然其提交的付款请求单提到了病人L的姓名,但其获取病人的姓名以及提交为其提供服务的付款请求单是得到合法授权的,并且也没有就病人的身份进行任何错误陈述,因此其行为并不构成第1028A(a)(1)条所规定的“使用”。2018年10月,陪审团裁决杜宾构成医保诈骗和加重身份盗窃。杜宾提出动议,请求撤销加重身份盗窃定罪。地区法院驳回了该动议,就医保诈骗犯罪判处杜宾一年零一天监禁刑,并就加重身份盗窃犯罪,在该医保诈骗刑罚之上,加处确定刑两年监禁刑,共判处三年监禁刑。
杜宾不服该判决,就其加重身份盗窃定罪上诉至联邦第五巡回上诉法院(United States Court of Appeals for the Fifth Circuit,以下简称:第五巡回法院)。第五巡回法院组成三人合议庭审理此案,对被告人是否使用了他人的身份识别信息以及此种使用是否系没有合法授权或超越已有授权这两个问题进行认定。合议庭认定杜宾满足以上两个构罪要求,构成加重身份盗窃。由于法院内部意见不一,第五巡回法院随后以全院法官参加的方式(en banc)对该案进行了复议,再次讨论了何为第1028A(a)(1)条所规定的使用,并最终采纳了合议庭的论证理由,维持了地区法院的判决。
2022年6月30日,杜宾向美国最高法院提起上诉,要求其明确是否在特定重罪的实施过程中任何对他人姓名的提及或引用就是《美国法典》第18编第1028A(a)(1)条中规定的对他人身份识别信息的“使用”。2022年11月22日,美国最高法院同意就该问题进行审查,签发重审调卷令。2023年2月27日,美国最高法院开庭审理了此案。2023年6月8日,美国最高法院以9-0作出了“上诉人杜宾没有实施第1028A(a)(1)条所规定的与上游犯罪有关的使用病人身份识别信息的行为,撤销第五巡回法院的判决,案件发回重审”的判决。
(二)“杜宾案”的争议焦点:“使用”的宽泛解释和限缩解释的对立
从上文对“杜宾案”的事实和程序展开,我们可以看到,“杜宾案”的争议焦点就在于应当如何解读第1028A(a)(1)条中所规定的对他人身份识别信息的“使用”一词。检方对此采取了宽泛解释的立场,辩方则采取了限缩解释的立场。
1.对“使用”的宽泛解释
检方主张从法律文本的语言本身来理解该条文,“使用”一词的通常含义就是第1028A(a)(1)条所规定的“使用”的含义,无需对其进行限缩解释。法条已经对“使用”身份识别信息的行为构成加重身份盗窃犯罪作出了限定,要求必须是实施特定重罪过程中与该犯罪有关的使用,从而将加重身份盗窃犯罪的上游犯罪限缩在那些主要是与使用他人身份有关的犯罪上。在本案中,杜宾实施了医保诈骗,在付款请求单上填写了病人L的姓名和医疗补助计划身份号码,这就是对病人的身份识别信息的“使用”,如果他不使用病人L的身份识别信息,就无法实施医保诈骗这一上游犯罪。
同时,检方也认为,对第1028A(a)(1)条中的“使用”进行解释不应受到其标题“加重身份盗窃”的限制,即构成第1028A(a)(1)条意义上的“使用”行为不一定需要是身份盗窃行为,因为第1028A(a)(1)条的法条文本中也并没有使用“身份盗窃(identity theft)”这一术语。杜宾虽然没有实施人们脑海中的典型的身份盗窃行为,但其行为完全符合法条原文的描述:他“使用”了病人的姓名,该使用与医保诈骗有关,他实施诈骗的时候使用该姓名“明显”“没有得到合法授权”。就像美国最高法院对《美国法典》第18编第924(c)(1)(A)条的解释一样:该条规定适用于“任何人,在任何暴力犯罪或毒品贩卖犯罪的过程中或与暴力犯罪或毒品贩卖犯罪有关的使用或携带枪支”,其中的“使用”也不限于以“开火”这一方式对枪支予以使用。
检方还指出,对第1028A(a)(1)条中的“使用”进行的宽泛解释也是符合国会的立法本意的。只有对“使用”进行足够宽泛和广义的解释,才能很好地打击类似于杜宾这样可以合法获取他人的身份信息并使用这些身份信息在服务方式、服务时间或服务等级等方面进行欺诈的犯罪分子。同时,对第1028A(a)(1)条中的“使用”进行宽泛解释也不会导致被告人在构成上游犯罪的同时就自动构成加重身份盗窃,以医保诈骗为例,“实施医保诈骗,有许多不同的方式,它们并不都涉及在没有合法授权的情形下使用他人的身份识别信息,例如,病人自己实施的诈骗、医药公司实施的诈骗、或者医疗服务提供者实施的某些诈骗,包括在申请列入医疗补助计划医疗服务商名单时进行虚假陈述。”
2.对“使用”的限缩解释
辩方坚决反对“使用”的宽泛解读,认为动词“使用”的理解必须与立法条文中使用的词语“与特定重罪有关的”联系起来,当将这两者放在一起来理解时,立法中的“使用”就要求对他人姓名的采用(employment)与上游犯罪之间必须具有某种实质性的联系(a meaningful nexus),即被告人必须将他人的个人信息在构成“上游犯罪”的意义上加以使用(perpetuate the predicate offense)。辩方坚持,对他人个人信息的使用对上游犯罪而言必须是“手段性的(对他人个人信息的使用构成虚构事实或隐瞒真相的一部分),而不能仅仅是随附性的”。这一判断标准不能采用“条件说”(but for),而应当采用更为限制的“在身份盗窃和上游诈骗犯罪之间存在实质联系的实质诈骗要件说(nexus requirement)”,即对他人个人信息的使用,使得被害人对他人的身份产生错误认识,并基于这种错误认识处分了财产或从事了某行为。因此,杜宾主张,他的行为并不属于《美国法典》第18编第1028A(a)(1)条所规定的对他人身份识别载体的“使用”,因为他在提交虚假付款请求单时并没有对他自己以及病人的身份进行虚假陈述。
辩方强调,要对“使用”进行限缩解释,因为对“使用”的宽泛解读构成一种“典型的过度犯罪化”,被告人只要在实施上游犯罪时提及或以其他方式引用了其他任何人的身份识别信息就构成了加重身份盗窃犯罪,即被告人没有实施身份盗窃行为,却构成加重身份盗窃犯罪。这超出了国会的立法预期,是检方对其起诉裁量权的不当使用,使得非选举产生的检方加强了自身的指控和辩诉交易权力,得以用比上游犯罪更高的监禁刑去威胁被告人,迫使许多被告人与检方达成辩诉交易,就上游犯罪进行认罪,从而避免刑罚更加严重的加重身份盗窃的犯罪指控。
辩方还指出,在对“使用”一词的解读存在宽泛解释和限缩解释的对立的情况下,理应采纳限缩解释,以免对法条的明确性产生质疑,引发正当程序关切。如果按照检方对该法条的宽泛解释,检方可以专断地乃至歧视性地将其适用于落入该法条巨大的涵盖范围内的任意案件,这是对正当程序原则的破坏。同时,对该“使用”的宽泛解释使得该法条产生足够的含混而不能给予社会公众、被告人充分告知(adequate notice),从而也构成对正当程序原则的破坏。
(三)“杜宾案”的二审判决:法官内部的激烈冲突
基于对“使用”的限缩性理解,杜宾向第五巡回法院提出上诉,其主旨非常直白:我没有实施身份盗窃行为,怎么会构成值得加重处罚的加重身份盗窃犯罪呢?合议庭认为,加重身份盗窃的构成涉及两个问题:第一,被告人是否使用了身份识别载体?第二,这种使用是否没有得到合法授权以及是否超越了授权?合议庭认为,根据2014年第10版《1776年布莱克法律词典(Black’ s Law Dictionary)》,“使用”一词的平义解释就是“为达到某种目的而采用(to employ for the accomplishment of some purpose)”或“利用(to avail oneself of)”,“没有合法授权”则是指行为“违法”。因此,当杜宾以作为的方式提交载有病人L的姓名和医疗补助计划身份号码并就心理评估师等级、评估时间作出虚假陈述的付款请求单以实施医保诈骗时,“采用”了他人的姓名和身份号码,这就是在“使用”他人的身份识别信息。合议庭一共三名法官,其中詹妮弗•艾洛德(Jennifer Elrod)法官虽然同意合议庭作出的认定,但指出,这是因为巡回法院之前都是如此认定的,因此从遵循先例原则出发,必须作出此种判决,如果此前没有先例,而是在零的基础上对该立法进行解释的话,她会作出有利于杜宾的判决。
合议庭审理之后,第五巡回法院对该案再次进行了全体法官参与的复议,虽然最后采纳了合议庭对“使用”的概念认定,维持了原判,但法官们分歧非常大。九名法官在认可合议庭裁判理由的判决上签字,其中欧文(Owen)首席法官执笔协同意见,认为对第1028A(a)(1)条的理解要紧扣法条文字,而无需过多关注其标题罪名“身份盗窃”,因为法条正文中没有“身份盗窃”或“盗窃”的文字出现,因此对“使用”的解读无需限制在身份盗窃类的使用上,只要被告人的行为符合“使用”的字面意思,且便利或促使了上游犯罪的实施或者构成实施上游犯罪不可分割的一部分,就构成加重身份盗窃。在本案中,如果杜宾没有利用病人L的身份的话,就不可能实施医保诈骗,因此杜宾的行为构成加重身份盗窃,尽管其行为不符合对“身份盗窃”的通常理解。
一名法官认为,法院不应对该问题进行审查。另有八名法官对判决持异议。异议法官们批评合议庭和法院判决,不应诉诸字典来寻求对“使用”一词的解释,而罔顾美国最高法院的先例,因为“使用”一词在不同的场合有不同的用法,其含义的确定,不但来自该词本身,还来自整个法条和量刑的结构性安排。艾洛德法官在其异议意见中指出,被告人仅仅在上游诈骗犯罪中使用他人的身份并不足以构成加重身份盗窃犯罪,要构成加重身份盗窃,被告人对身份识别信息的使用必须构成对人的身份的虚假陈述。杜宾没有就病人L的身份撒谎或作出任何虚假陈述,因此不构成加重身份盗窃。艾洛德法官还进一步指出,病人L(而不是其他人)收到了一定的服务,即便这部分服务与被告人提交的付款请求单上所列的服务不完全一致,但这与被告人完全伪造病人接受服务的先例不属于同类案件。艾洛德法官将前一种对他人的身份识别信息的使用定性为对身份识别信息的附带性使用,并将后一种对他人身份识别信息的使用定性为不可或缺的使用。格拉哥•科斯达(Gregg Costa)法官在其异议意见中写道,美国最高法院之前的判决清楚无误地告诉我们,当对联邦刑事法规进行的限缩性解释也具有合理性时,法院不得对其进行涵盖范围过分扩张的解读,而只能采纳限缩性解释。而对第1028A(a)(1)条而言,一个更为合理的限缩性解读就是将其限定在普通人所理解的身份盗窃上。普通人对身份盗窃的理解,就是没有合法授权对他人身份的使用(the unauthorized use of someone’ s identity),而没有合法授权就是没有得到他人使用其身份的允许。因为杜宾得到了病人L的允许去使用其身份申请医疗补助计划付款,因此不构成身份盗窃。这种就其服务多收费的行为与完全伪造病人接受服务的事实提交医保付款请求的区别在于,病人是否同意被告人为收费之目的而使用其身份识别信息。此外,科斯达法官还对将“使用”区分为附带性使用和不可或缺性使用的观点提出了质疑,认为对他人身份的不可或缺性使用和附带性使用二者之间的界限并不清晰。
二、既往判例:联邦上诉巡回法院对“使用”内涵的界定分歧
对于第1028A(a)(1)条中“使用”的概念界定及加重身份盗窃犯罪的涵盖范围,不仅第五巡回法院内部法官们之间的意见分歧很大,各巡回法院之间的判决分歧也很大。尤其是2013年至今的这十年,巡回法院开始频繁就第1028A(a)(1)条中“使用”的精确含义产生冲突。“使用”一词本身具有多重含义,具有多种界定可能性,从最广义角度而言,可以用来表达仅仅提及某物,而从狭义角度上来理解,则需要基于其所在法条的整体规定及法条的上下文来探究立法本意。从其解读过程看,其立法含义可能是相当明确,也可能是含糊不清。部分巡回法院认为第1028A(a)(1)条虽涵盖范围宽泛但含义明确,因此无需对法条进行进一步的明晰和限定,但由于这些法院不能提供“使用”一词的明确且前后一致的界定,似乎又进一步加重了对该法条和“使用”一词的解读困境。部分巡回法院则认为,在对“使用”一词存在宽泛解释和限缩解释的现实情况下,该法条存在立法歧义的可能性,因此应当根据严格解释原则,选取对被告人有利的限缩解释,从而确立该法条立法上的明确性。巡回法院的意见分歧进一步深化了对该法条应当根据其文本采用的语言、上下文和立法意图采取宽泛解释还是限缩解释的争议。
(一)支持宽泛解释的既往判例
联邦第二、第四、第五、第八、第十一和哥伦比亚特区联邦巡回上诉法院对第1028A(a)(1)条中的“使用”采取了主要以法条本身的普通文义为依据的宽泛解释立场,将没有合法授权而在上游犯罪中涉及到他人身份识别信息的行为或利用身份识别信息以某种方式便利或推进上游犯罪的实施的行为定性为加重身份盗窃犯罪,而不管该身份是否被造假。
1.来自第四巡回法院的典型判例
2010年,第四巡回法院在United States v. Abdelshafi一案中基于文义解释方法对第1028A(a)(1)条的“使用”一词进行了广义的界定,将任何在上游犯罪中涉及他人身份识别信息的行为认定为“使用”,从而判决被告人(一家医疗运输服务公司所有人)采用病人的身份识别信息向医疗补助计划超额收取里程费的行为(多收费行为)构成加重身份盗窃。
在本案中,法院认为第1028A(a)(1)条规定明确清晰,加重身份盗窃要求对他人身份的盗窃(actual theft of another person’ s identity),而对他人身份的非法使用就是身份盗窃,同时以“没有合法授权”来对“使用”进行限制,将对他人身份的使用区分为合法使用和非法使用,只要被告人在一定程度上非法利用了他人的身份就可以适用第1028A(a)(1)条。被告人Abdelshafi辩称,他最开始得到了病人的合法授权以使用病人的身份识别信息向医疗补助计划报销费用,因此他不构成加重身份盗窃。法院认为,病人只是授权他就实际服务相对应的费用金额申请付款报销,而对其超额收费部分(操纵诊断标准而导致的费用增加)的身份使用没有授权,同时立法也并没有将对他人身份的基础使用行为和过分使用行为区分开来,而是适用于所有在主观明知状态下对这些身份识别信息的非法使用。因此,尽管被告人实际上也向病人提供了服务,但使用病人的身份提交超额收费的医疗账单就是一种非法行为。
2.来自哥伦比亚特区巡回法院的典型判例
2013年,哥伦比亚特区巡回法院在United States v. Reynolds一案中判决,被告人将合法获取的同事的数字签名,在没有得到同事同意的情况下,签在其伪造的批准增加银行借款金额的公司决议上并向银行提交该公司决议的行为,在构成银行诈骗和电信诈骗之外,还构成加重身份盗窃。法院还进一步论证,基于第1028A(a)(1)条的法条文本,被告人使用身份识别信息的行为要构成加重身份盗窃,其使用必须是为非法目的或超出了最初授权的范围,但并不要求被告人“盗窃”他人的身份,因此检方在指控被告人加重身份盗窃犯罪时也无需证明被告人“盗窃”了他人的身份,因为虽然第1028A条的标题为“加重身份盗窃”,但该法条正文并没有任何文字要求被告“盗窃”涉案“身份识别信息”。
3.来自第五巡回法院的典型判例
2016年,第五巡回法院在United States v. Mahmood一案中同样基于法条文义分析作出了类似的判决:被告人利用病人的身份识别信息进行欺诈性多收费的行为,虽然没有就身份识别信息进行任何错误陈述,但仍然构成加重身份盗窃。法院认为,第1028A条的规定非常明确,毫无歧义。从法条的文义上看,其适用于被告人合法获取病人身份识别信息后非法使用这些信息或超出病人同意范围使用这些信息的行为。这里的“使用”无需是身份盗窃意义上的“使用”,加重身份盗窃的构成并不要求对他人身份识别信息的盗窃或挪用。
4.来自第八巡回法院的典型判例
2018年,第八巡回法院在United States v. Gatwas一案中对第1028A(a)(1)条作出了类似的宽泛解释,判决被告人在其客户的扶养人福利申请表中准确填写自己子女的身份识别信息从而为其客户提交虚假申请表的行为构成加重身份盗窃。法院并不认可法条具有不明确性,因此也拒绝考虑适用有利于被告人的严格解释原则。法院认为,“使用”并不要求限定在假冒他人或挪用他人身份的范围内,因为“使用”的含义已经由“没有合法授权”一词加以限定了,同时根据第1028A(a)(1)条的文本,“在上游犯罪的实施过程中”以及“与上游犯罪有关的”的措辞也对“使用”具有一定的限定作用,因此加重身份盗窃中对他人身份识别信息的使用对上游犯罪而言不能仅仅是附带性或随附性的,而必须是实施该犯罪行为不可或缺的一部分。所以,如果被告人是在为客户提交虚报收入或虚假扣减的税务申报表时使用了客户的身份识别信息,那么就不构成加重身份盗窃,因为这种使用对于诈骗而言是附带性使用,而不是不可或缺的使用。
5.来自第十一巡回法院的典型判例
2019年,第十一巡回法院在United States v. Munksgard一案中,根据“使用”的普通文义、法条上下文和已有先例,判决被告人伪造被害人的签名并使用载有该签名的虚假合同作为申请材料的一部分去申请贷款,是一种将该签名为己所用的行为,属于对被害人身份识别信息的使用,构成加重身份盗窃。法院对被告人提出的第1028A条中的对他人身份识别信息的“使用”应当限定在行为人试图假冒他人或以他人名义(代表他人)从事某种行为以及被告人在本案中对身份识别信息的使用对于上游犯罪而言仅仅是附带性的辩护意见不予认可,认为被告人将他人的身份识别信息为己所用,并且此种对身份识别信息的使用便利或促使了银行诈骗这一上游犯罪的实施,构成加重身份盗窃。
6.来自第二巡回法院的典型案例
2021年,第二巡回法院在United States v. Wedd一案中判决被告人的行为完全符合加重身份盗窃的构成。本案中,被告人参与电信诈骗活动,在受害人不知情或没有同意的情况下通过自动订阅计算机程序利用受害人的手机电话号码为他们订阅了付费短信服务。法院同样采取了宽泛解释的立场,认定第1028A(a)(1)条中的“使用”行为不要求被告人具有假冒他人的意图。此外,第二巡回法院引用了第十一巡回法院在Munksgaard一案中的法律说理和论证部分,认为第1028A(a)(1)条中的“使用”适用于任何使用身份识别信息“便利、促使”上游犯罪实施的行为。
综上,虽然第二、第四、第五、第八、第十一和哥伦比亚巡回法院都对“使用”一词都采取了宽泛解释立场,并且认为其立法上并不存在歧义,但对第1028A(a)(1)条的理解以及行为符合加重身份盗窃的犯罪构成的具体论证理由却不尽相同。第四巡回法院认为,加重身份盗窃的构成,需要对身份进行盗窃,但任何对身份识别信息的使用(宽泛解释维度的使用)都构成身份盗窃;第五巡回法院则认为,加重身份盗窃的构成,不需要对他人身份的盗窃,因此任何对身份识别信息的使用都是第1028A(a)(1)条中的使用。此外,虽然都对“使用”进行了宽泛解释,但第二、第八和第十一巡回法院从行为本身对“使用”内涵进行了一定的限定,即“使用”适用于任何使用身份识别信息“便利、促使”上游犯罪实施的行为,以及使用不包括在上游犯罪实施过程中的附带性或随附性使用,而应该是不可或缺性的使用。另外,在解释方法上,第二、第四、第五、第八和哥伦比亚巡回法院认为第1028A(a)(1)条不存在歧义和不明确的问题,因此将其讨论限制在文义解释范围内;第十一巡回法院虽然在判决中表明了其遵从文义解释方法来解释“使用”,但也将第1028A(a)(1)条的整个文本以及上下文纳入了考量范围,来共同得出对“使用”乃至第1028A(a)(1)条的界定和解读。
(二)支持限缩解释的既往判例
与前述巡回法院的立场和判决相反,第一、第六、第七和第九巡回法院认为检方对第1028A(a)(1)条中“使用”这一立法术语的解读过于宽泛,忽视了对法条结构和上下文的综合考量,主张对刑事法律解释争议采取严格解释原则和更谦抑的解释结论,对身份识别信息的“使用”进行了限缩解释,将其限定在对他人身份的误述行为、假冒他人或身份盗窃等行为上。
1.来自第七巡回法院的典型判例
2013年,第七巡回法院在United States v. Spears一案中判决,被告人使用他人正确的身份识别信息为其伪造虚假的手枪持枪许可证的行为虽然是身份欺诈行为,但不构成加重身份盗窃。法院认为,第1028A(a)(1)条仅适用于与上游犯罪有关的身份盗窃行为,此处对身份识别信息的使用必须是对他人身份的盗窃或挪用(stolen or misappropriated)。加重身份盗窃之所以规定严厉的加重刑罚(两年监禁的确定刑),一方面在于上游犯罪的严重程度,另一方面则在于身份盗窃行为具有确切的个人受害者,即身份被盗者,也就是身份识别信息被“使用”人。通常,身份盗窃的受害人会遭受经济损失或者要经受恢复受损名誉或信用记录的不便。如果被告人对他人身份信息的“使用”并没有使得该人成为其使用行为的受害人,那么就不能说这里的使用是加重身份盗窃犯罪所涵盖的“使用”。此外,法院还强调了严格解释原则的重要性,因为立法机关要负责清晰地界定犯罪,而不是由“聪明的检察官们就含糊的语言进行即兴解释”。
2.来自第六巡回法院的典型判例
2015年,第六巡回法院在United States v. Medlock一案中,对“使用”在第1028A(a)(1)条意义上的内涵进行了限缩解释,将其限定在对身份的某个方面的错误陈述上,从而判决被告人就其提供给病人的运输服务向医保超额收费的行为不构成加重身份盗窃,因为被告人在有关病人的身份上没有弄虚作假,没有伪造病人的身份识别信息,而是在运送病人的方式和原因及其提供的服务上实施了欺诈,这符合医保诈骗的犯罪构成,但不符合加重身份盗窃的犯罪构成。法院认为,“使用”一词本身具有普通而多变的含义,正是这种多变,使得在确定其具体含义时,要考察其所在立法条文的法条结构和上下文。根据第1028A(a)(1)条的条文结构和上下文,对他人身份识别信息的“使用”应当仅限于身份上的弄虚作假(identity falsification)的行为。
3.来自第一巡回法院的典型判例
2017年,第一巡回法院在United States v. Berroa一案中,对第1028A(a)(1)条进行了类似的限缩解释,判决被告人(两名伪造执业证书的医生)向病人开具处方的行为不构成加重身份盗窃,因为他们在开具处方的时候并没有对他们自己或病人的身份进行虚假陈述,也没有使用病人的身份来冒充他们或者以他们的名义行事。法院认定,“使用”一词具有含义上的多样性,第1028A(a)(1)条在立法上存在歧义,于是采用历史解释方法,回顾了该法条的立法历史并根据国会立法相关报告对身份盗窃的列举(包括以他人名义提交虚假税务申报表和社会保障申请书等)得出结论,第1028A(a)(1)条中对他人身份识别信息的“使用”,必须具有假冒他人的意图,只限于在“代表他人(以他人名义)从事某种行为”的各种情形。法院还主张,严格解释原则能解决任何不易解决的歧义,即采取有利于被告人的解释。
4.来自第九巡回法院的典型判例
2019年,第九巡回法院在United States v. Hong一案中判决,向病人提供服务的被告人将原本不符合医疗补助计划的治疗虚假陈述为符合医疗补助计划,从而向医疗补助计划超额收取费用的行为不构成加重身份盗窃,因为被告人将病人的身份识别信息填入付款请求单时对病人的身份识别信息的陈述是准确的,没有盗窃病人的身份,而仅仅是就费用偿还的适格性进行了伪造。法院认定,被告人就其向医疗补助计划提供的服务撒了谎,但这种撒谎并没有满足身份欺诈的构成要件,因为病人的身份本身并没有对欺诈的犯罪构成(实行行为、构成要件行为)提供帮助。换言之,要构成第1028A条意义上的对他人身份识别信息的“使用”,必须就他人的身份识别信息进行错误陈述,且这种错误陈述构成上游犯罪的实行行为的一部分,从而满足身份盗窃和上游犯罪的结合,形成加重身份盗窃。
综上,对“使用”持限缩解释的巡回法院都承认“使用”一词本身含义的宽泛性,且正是基于这种宽泛性,主张在具体法条中对其的解读要联系法条标题、前后立法语言、法条结构、上下文、立法目的、立法历史等界定其确切含义,在存在歧义的情况下,要适用严格解释原则,采纳有利于被告人的限缩解释。而在限缩“使用”的路径上,虽然各巡回法院都指向“身份盗窃”意义上的使用,但在解读“身份盗窃”和“身份欺诈”的关系上亦有稍许不同理解。例如,第七巡回法院判定,行为人为其客户提供含有该客户自己身份信息的虚假证件构成身份欺诈,但不构成身份盗窃;但第九巡回法院则在互换的意义上使用身份盗窃和身份欺诈这两个术语,认为身份欺诈的标准为身份本身对欺诈的构成行为提供了帮助。
三、美国最高法院判决:“使用”内涵界定的新标准
正是看到了下级法院们对“使用”及其所在的第1028A(a)(1)条的解读和界定上的诸多分歧,美国最高法院于2022年11月10日批准了杜宾提出的重审调卷令申请,就第1028A(a)(1)条中“在上游犯罪过程中且与上游犯罪有关的对身份识别信息的使用”是否只要在上游犯罪中提及或以任何方式引用他人的身份识别信息即可还是需要构成身份盗窃意义上的“使用”这一问题进行界定。
在杜宾案之前,美国最高法院仅在2009年的Flores-Figueroa v. United States一案中就第1028A(a)(1)条的犯罪构成的主观明知要件进行过阐释,虽然并不涉及对“使用”一词的内涵界定,但也表明了对加重身份盗窃犯罪的限制适用。美国最高法院考察了法条的普通文义、立法目的、上下文等并通过文义解释、目的解释、体系解释等来解决“明知(knowingly)”的歧义问题,将第1028A(a)(1)条所涵盖的范围限定在被告人知道他们正在使用他人的身份实施上游犯罪的情形。尽管美国最高法院将立法过程看作是解释法条的非决定性因素,但其在Flores-Figueroa一案中首次提出,国会有意区分身份盗窃和身份欺诈,区分标准为是否涉及对个人身份的虚假陈述。
2023年2月27日,美国最高法院开庭审理杜宾加重身份盗窃犯罪一案,大法官们在庭审过程中都极为关注检方的宽泛解读将会带来的加重身份盗窃犯罪涵盖范围过广的问题,列举了若干日常生活中按照检方的宽泛解释会升格为加重身份盗窃的常见情形,例如饭店通过信用卡收取新鲜三文鱼的费用而实际提供的是冰冻三文鱼的行为、通过电子支付手段或向付款单位提交以客户为服务对象的付款单的其他不当收费行为、父母报税时将不符合儿童看护服务条件的本人子女当作有资质的人予以申报,等等。
2023年6月8日,美国最高法院对该案做出判决,提出了“使用”内涵界定的新标准——关键所在标准(at-the-crux text),即当被告人对他人身份识别信息的使用是构成上游犯罪的关键时,才是第1028A(a)(1)条所规定的与上游犯罪“有关的”“使用”。这将为第1028A(a)(1)条中身份识别信息的“使用”的概念纷争画上休止符,尽管其可能是暂时的,因为戈萨奇大法官(Gorsuch J.)在其协同意见中指出,美国最高法院对“使用”的界定标准并没有清晰地告诉下级法院究竟如何对第1028A(a)(1)条进行解读,如果下级法院们适用杜宾案对“使用”的新界定标准没有达到同案同判的效果或者没有基于其而发展出新的解释路径,不久之后的某天,关于“使用”的界定争议还会被上诉到美国最高法院。
(一)正向论证:限缩解释的路径选择
1.两个术语的一体解读:“与上游犯罪有关的”与“使用”
美国最高法院认为,杜宾案的焦点在于第1028A(a)(1)条的两个要件:“有关的(in relation to)”和“使用(use)”。检方对第1028A(a)(1)条所规定的加重身份盗窃犯罪的其中两个要件“与上游犯罪有关的”和“使用”进行了宽泛而孤立的解读,因此导致了其结论的宽泛性和不合理性。“使用”和“有关的”分开来都具有多重含义和不确定性。对于“使用”,美国最高法院在其以往判例中不止一次地指出,其本身具有多重含义,但各种界定中都暗含行动和执行之义。因此,对“使用”的内涵界定,除了在其一般性的概括理解之上,还要看具体的法条,要看国会立法所意欲赋予其的含义,并且不同的法条匹配不同的刑罚,不同法条中“使用”所蕴含的行为也会不同。“有关的”也是一样,如果将“有关于(relate to)”理解为延伸至其不确定性的最远端,则对所有现实情形而言,都不存在任何边界,因为“实际上,一般性的关联性无处不在”。这一术语是指某种关系或联结,但这种关系的类型、性质和程度在不同法条中具有不同的表现。正是因为这两个术语都如此具有不确定性和对法条整体的依赖性,所以第1028A(a)(1)条的内涵双倍取决于其上下文,既要将“有关的”与“使用”进行一体解读,也要将“有关的”和“使用”与整个法条的上下文进行一体解读,从而指向更限缩的解读。
2.法条标题的指向:“身份盗窃”与“使用”
美国最高法院长期以来一直主张,法条的标题和章节的标题是解决有关法条含义争议的有效工具之一。当对法条中术语的含义产生疑问时,需要借助上下文予以明确,而国会选择的标题就是其上下文所用术语之一。国会为第1028A条选择了“加重身份盗窃”作为其标题,表明身份盗窃是第1028A(a)(1)条的核心,即第1028A条是专门针对身份盗窃行为的,而不是所有只要出现了身份识别信息的欺诈行为。根据词典和法律对身份盗窃的阐释,所谓身份盗窃,就是指“使用”身份识别信息本身去欺诈他人。而标题中的“加重”也表明,国会所意欲惩处的行为是一种尤为严重的身份盗窃行为,而非日常生活中出现的所有的超额计费行为。因此,将第1028A(a)(1)条的“使用”限定为构成其上游犯罪关键所在的对身份识别信息的使用,是恰当的。
3.法条文本的指向:“转移”“持有”和“使用”
国会在第1028A(a)(1)条使用了“转移”“持有”和“使用”三个动词。美国最高法院认为,与“使用”并列的两个动词“转移”“持有”,在第1028A(a)(1)条的语境中最自然的解读包含了身份盗窃的通常含义,即(1)盗窃,(2)属于他人的,(3)身份识别信息,或(1)欺诈性地获取和使用他人的,(2)身份识别信息或证件。因为“转移”“持有”都指向通常的身份盗窃,根据同类解释原则(noscitur a sociis),“使用”一词也应当以类似方式进行解读。并且,美国最高法院认为,国会使用这三个术语是希望“让每一个术语表达一种特定的、相互不重叠的含义”。“转移”和“持有”涵盖了身份盗窃的流转和持有这两种行为方式,“使用”则填补了欺诈性使用这一方面。相反,如果对第1028A(a)(1)条的动词不作身份盗窃理解,并且身份识别信息只需便利或促使上游犯罪的发生,则“转移”“持有”这两个动词将会使得“使用”陷入“几乎”没有“任何实际功能意义”的风险境地。
(二)反向论证:宽泛解释的实质障碍
美国最高法院在判决中讨论和阐释了检方的宽泛解读会带来的其他问题,从而反向论证了对加重身份盗窃犯罪中“使用”他人身份识别信息进行限缩解释的必要性。
1.加重身份盗窃上游犯罪的宽泛性与“使用”宽泛解释的冲突
第1028A(c)条为加重身份盗窃列举了一连串的上游犯罪,几乎涵盖了所有的欺诈犯罪以及与欺诈犯罪紧密联系的犯罪,此种上游犯罪的宽泛性导致对加重身份盗窃本身的构成要件应当作一定的限制,否则不但无法体现国会将广泛的上游犯罪加重处罚的必要性以及加重处罚的上游犯罪与上游犯罪的基本犯罪之间的区分性,还会因为两种宽泛性的叠加所导致的犯罪涵盖面之广而凸显其不合理性甚至荒唐性。随着身份识别信息在支付上的普及使用,检方对加重身份盗窃法条中“使用”的宽泛解读使得大量医保诈骗、电信诈骗和邮政快递诈骗行为落入第1028A(a)(1)条的涵盖范围,且会导致日常生活中经常会出现的超额计费行为成为加重身份盗窃犯罪的大部分情形,匹配的是两年监禁刑的确定量刑,此种罪责刑上的严重不对等凸显了其解释的不合理性。美国最高法院指出,正因为第1028A(a)(1)条的加重处罚是无差别覆盖的,因此有必要对其进行限缩解释,只针对身份识别信息本身的使用是上游犯罪之所以构成犯罪的关键所在的那些行为加处两年的确定监禁刑。
2.过于宽泛的解释与立法权和检察权的冲突
美国最高法院“一直以来在评估联邦刑法的涵盖范围时保持谦抑和克制”,并且小心地避免对刑法条文中的不明确语言做出宽泛解读。因为“什么是犯罪应当由立法机关来界定,而不是由聪明的检察官通过随意对模糊的语言的解读来界定”。“如果国会意欲”涵盖如此广泛的行为,“它就会以更清晰的方式直接表达出来”,这才符合“对国会特权的限制以及立法意欲对行为划分的界限应当以普通公众可以理解的语言公之于众这一理念”。尽管检方表示检察官们在根据其宽泛解读以指控被告人时会负责任行事,但美国最高法院认为,“解释刑法法条不能基于检方会‘负责任地利用它’这一假定”,也不能“依赖检方自由裁量权去限缩某一刑事法规中高度抽象的一般性立法语言的涵盖范围”。如果认同检方的宽泛解释,检察官就可以将额外起诉两年确定刑期监禁刑的达摩之剑置于任何考虑接受审判(而非接受辩诉交易)的被告人的头顶上,因此必须对“使用”的内涵进行限定。
综上,美国最高法院从法条文本到上下文、从内容到常识对第1028A(a)(1)条进行了综合考量,认为其不应适用检方试图扩大法条涵盖范围的解释。被告人与上游犯罪“有关的”“使用”他人的身份识别载体要求该种使用是上游犯罪行为构成犯罪的关键所在,并且构成犯罪的关键所在要求它们之间不只是一种“因果”关系,比如“便利”犯罪或成为犯罪既遂的条件(but-for cause),相反在上游犯罪是欺诈犯罪的情形下,对身份识别信息的使用本身必须是欺诈性的,也就是对所涉及的人是“谁”所进行的欺诈。
(三)协同意见:对“使用”解读的再质疑
戈萨奇大法官针对前述判决发表了协同意见,认可杜宾的加重身份盗窃定罪应当被推翻,但指出检方之所以可以对第1028A(a)(1)条作出如此广泛的解读,根本的原因在于这一法条本身是不明确的,没能提供罪与非罪的界限。戈萨奇大法官认为,前述判决只是告诉了下级法院不能怎样解读该法条,但并没有告诉它们应该怎样去解读,虽然提出了“关键所在”这一标准,但没有进一步阐释“身份识别信息”什么时候可以算是一项犯罪的“关键所在”“关键因素”或在犯罪中起到了“关键作用”,并且故意回避了近因(proximate cause)或其他全新的东西是否构成恰当的判断标准这一问题。
戈萨奇大法官质疑,“关键所在”这一标准会带来新的问题,因为几乎每一起诈骗犯罪中,“身份识别信息”都对诈骗的成功起到了一定的关键作用。例如,行为人几乎不可能不严重依赖受害者的姓名就能实施邮政快递或电信网络诈骗。戈萨奇大法官进一步指出,如果按照前述判决提出的新的“关键所在”标准,从另一个角度来分析杜宾案,可以说病人的身份就是“关键因素”,是诈骗的“关键所在”:杜宾如果没有正确提供某个具体的病人的姓名和信息,就不可能成功地从保险提供者那里收取到费用;杜宾的诈骗行为直接损害了病人的利益,剥夺了其享有其他可赔付的心理服务的年度资格,因此从病人的角度来看,杜宾对其“身份识别信息”的使用也很难理解为是“附属性的”。
在戈萨奇大法官看来,什么样的对身份识别信息的“使用”值得用“加重身份盗窃”的罪名加以惩处,最终还是要通过国会立法或修法予以明确。尽管美国最高法院明确了要对第1028A(a)(1)条中的“使用”进行限缩解释,但由于其给出的如何进行限缩解释的标准并没有提供明确的指引,“使用”的界定争议还会继续存在,并且可能在不久的将来,就会再次被上诉到美国最高法院。
四、借鉴启示:个人信息非法“使用”行为刑法规制的中国路径
正如索托马约尔(Sotomayor)大法官在杜宾案庭审中指出的,第1028A条充斥着模糊和不确定性,对于什么样的行为才构成该法所规定的对他人身识别信息的“使用”存在多种解读的可能性,从而引起了司法实践中的混乱以及对法律权威的质疑。刑法概念的界定决定了行为入罪的边界。在我国学者纷纷建言要加强非法使用个人信息行为的刑法规制的当下,我们有必要关注到“使用”行为表述的多样性以及不同学者建议的非法“使用”个人信息行为入罪涵盖范围的差异性,从而结合我国刑法规制需要,将值得以刑法科处的个人信息“使用”行为纳入刑法打击范围,避免将来会出现的司法争议和理论分歧。
(一)个人信息非法“使用”的表述多样性和入罪涵盖范围的差异性
正如前文所述,我国侵犯公民个人信息罪未明确规定非法使用这一行为类型,在立法缺失的当下,学者们的研究尚处于提出入罪化建议阶段,强调的是刑法应对个人信息的非法使用行为予以关注以及以何种方式将其纳入刑法规制范围,因此对非法使用行为的表述用词未多加关注,在使用、利用、滥用等相关用语上的取舍相对比较随意,对使用一词词义本身的多样性、在本罪中的概念界定也未见多少专门讨论,致使犯罪行为拟涵盖的范围具有差异性。
在术语表达上,有的学者选择了“利用”这一表述,主张对非法利用公民个人信息行为进行主动性独立刑法规制,并通过“使用”来解释“利用”。有的学者借用《民法典》第1036条中的用词,对已公开个人信息的“处理”行为的刑事责任进行了讨论,并通过“利用”一词来具体解释“处理”的行为类型。有的学者使用“滥用”这一表述,还有的学者进一步将“滥用”解释为“不法分子加以利用”。亦有学者交替使用“使用”和“处理”,在讨论已公开个人信息的合理与非合理“使用”时,将获取、向他人提供、出售已公开个人信息的行为纳入讨论范围。有的学者则交替使用“利用”和“处理”,讨论刑法视阀下已公开个人信息的合理利用问题。
在使用行为的涵盖范围上,有的学者主张,非法利用公民个人重要信息罪所涵盖的犯罪行为包括非法使用和加工行为,并进一步将犯罪的非法利用行为(欺诈性利用、隐瞒型利用和大规模反复利用)与一般不当利用行为区分开来。有的学者将个人信息的“非法利用”行为界定为,违反“知情同意规则”的信息使用行为(未经信息权利人许可,擅自使用他人信息从事金融、科研甚至违法犯罪等活动的行为),并提出以“情景脉络”模式来弱化“知情同意规则”从而区分合理利用和非法利用,即如果对信息的利用行为没有超出权利人原先的合理预期,没有产生不可接受的风险,则无论权利人是否同意,都属于合理利用,不构成非法利用。也有的学者认为,个人信息的刑法保护应当体系化,要将个人信息的非法使用、加工等行为纳入刑法规制范围,并特别指出,要严格打击非法利用行为,不应将“为合法经营活动”规定为经营者非法获取个人信息行为的出罪条件,并将合法采集的基因信息用于定向性基因武器的研发、将用户信息用于政治或商业趋势信息的分析与发送等行为界定为危害严重的非法使用个人信息行为。
有的学者则认为,“利用”已公开个人信息进行业务拓展、商业推广,以营利方式为他人提供信息查询、整理服务等,仍可在刑法上解释为“合理处理”,而利用自然人自行对外公开的电话号码向其发送垃圾短信,一般不宜认定为刑法上的“侵害权利人重大利益”,除非与行动自由、生命身体安全、财产等存在一定联系,例如从企查查、天眼查等平台下载数据,筛选出个人信息用于实施诈骗,则应认定为诈骗罪和侵犯公民个人信息罪且数罪并罚。有的学者则将人肉搜索行为(基于个人信息的非法利用导致极为严重的人身后果、精神后果)、非法广告联盟行为(大量利用个人的使用痕迹信息、偏好信息等,通过搭建非法跨网站推广平台,进行非法牟利的行为)界定为典型的非法利用个人信息行为。还有的学者主张,非法使用个人信息行为根据其危害结果的不同可以区分为两类,一类为行为人使用与侵害结果无关的第三人的个人信息而实施侵害行为,例如利用他人身份信息注册账户用于洗钱;一类为行为人使用被害人的个人信息而实施侵害行为,例如使用获取的银行账号与密码盗窃其存款,同时将非法使用手机号码进行电话推销等行为纳入非法使用的涵盖范围内,并将利用深度伪造技术进行AI换脸或换声音的行为以及借助自动化决策技术进行大数据杀熟的行为作为典型加以分析讨论非法使用个人信息行为的社会危害性。
(二)个人信息“非法使用”界定重心的偏移性和入罪涵盖范围上的潜在对立性
学者们在界定“非法使用”时,更多的是对“非法”进行界定。例如,有学者认为,“非法使用行为就是指行为人将合法获取的个人信息用于违法犯罪活动的情形”。有学者认为,“非法使用行为就是指行为人违反国家有关规定,使用公民个人信息,情节严重的行为”。还有的学者认为,“非法使用公民个人信息行为是指不存在公共利益、突发公共卫生事件、紧急情况等法律法规规定的特定情形,使用已经掌握的他人个人信息实现其特定目的的行为”。但对“使用”的内涵本身则缺少专门的详细讨论。也有学者对“使用”的含义进行了广义和狭义上的区分,但这种广义和狭义上的区分是立足于与已有刑法规制的出售、提供个人信息行为进行区别的基础上的,例如有学者指出,广义上的使用行为可以包括所有发挥个人信息功效的行为,例如出售、交换和公开个人信息的行为;狭义上的使用行为,仅指行为人利用信息承载的内容而实施的其他违法犯罪行为,不包括非法出售和非法提供等行为;再如,有学者主张,刑法中增补的“非法使用”应限于狭义层面,即与个人信息其他处理行为如存储、加工、传输、提供以及公开相并列的行为方式,仅指个人信息处理者对个人信息的分析与利用行为。这并未真正涉及“使用”一词本身在其行为内涵上的广义和狭义取舍。
值得注意的是,虽然大多数学者并没有对“使用”本身作出详细的概念界定以及对犯罪行为的涵盖范围进行专门探究,但从其对非法使用个人信息行为的列举中,还是可以看到其概念界定的限缩或宽泛取向上的对立。例如,有的学者将非法使用行为的客观表现形式分为三类:冒用型,即行为人未经信息主体同意而以信息主体的身份名义从事活动;擅自使用型,即未经信息主体同意,私自利用信息主体的个人信息从事活动,但不包括以信息主体名义进行活动的情形;伪造、变造型行为,即借助当下发达的软件技术来篡改人脸等生物识别信息,将被害人的人脸信息拼接、转移到其他场景。可以看到,这其实是一种宽泛解释的路径,不仅包含限缩解释意义上的冒用型和伪造、变造型行为,而且包含宽泛解释意义上的擅自使用型。再如,有的学者采取宽泛解释路径,将合法采集的基因信息用于定向性基因武器的研发、将用户信息用于政治或商业趋势信息的分析与发送等行为界定为危害严重的非法使用个人信息行为;将利用公民个人信息实施电信网络诈骗行为,互联网平台利用公民个人信息进行个性化推送、数据画像、自动化决策等侵犯公民个人隐私的行为,进行价格歧视等损害消费者知情权利的行为,以及运用深度伪造技术合成虚假的他人音频、视频的行为,都纳入非法使用个人信息刑法打击的范围;主张非法使用个人信息的行为包括未经许可,伪造、变造和冒用公民个人重要信息,使用公民个人重要信息实施威胁、恐吓和挟制等行为,以及使用公民个人重要信息用于营利活动的行为,等等。
有的学者则在列举非法使用个人信息的行为方式时选择了限缩解释路径,将直接对信息主体的财产名誉、征信等方面造成严重损害或威胁的行为纳入其涵盖范围,例如“使用公民个人信息办理信用卡及在网络平台进行借贷;非法使用公民个人信息从事违法犯罪活动,给公安机关精准打击犯罪带来困难,影响正常的司法活动,同时也对信息主体产生诸如留下犯罪记录等严重影响;非法使用公民个人信息虚假注册用户、店铺等,严重损害电子商务的健康发展”。这些对公民个人信息的使用仅涉及假冒他人、以他人名义从事某种行为和身份上的弄虚作假。还有的学者指出从文义解释的角度看,“使用”是“为某种目的而运用、利用某物”,在个人信息领域,分析个人的消费记录、浏览记录后定向向其投送广告,根据个人信息在本人不知情的情况下为其办理电信、互联网、银行业务,甚至根据掌握的个人信息跟踪、骚扰等虽然都属于使用信息的范畴,但只有“具有足以造成公民人身、财产安全风险”或“造成公民人身、财产安全风险”的个人信息处理行为才值得刑法评价,从而将个人信息处理者未经同意将个人的网络购物浏览记录进行分析加工并用于商业活动,对个人进行有针对性的信息推送、商业营销等行为排除在外。
(三)个人信息非法“使用”行为刑法规制的中国路径
关于个人信息非法“使用”的应然概念界定和涵盖范围,我国和美国在个人信息犯罪立法进程、理念以及法律解释具体规则上都存在一定的差异,但美国司法判例中所形成的“限缩解释”和“宽泛解释”及其背后的理据仍然为我们提供了从身份权益角度界定个人信息非法使用刑法规制合理限度的参考思路。
1.限缩解释路径和宽泛解释路径的取舍
公民个人信息是数字社会的基础生产资源,不仅涉及信息主体的个人信息权益,而且承载着商业经营者、公共机构等信息处理者的正当使用利益。我国《个人信息保护法》第1条明确了以“保护个人信息权益”为核心,以“规范个人信息活动”和“促进个人信息合理利用”为重点的三大立法目的,兼顾了对个人信息权益、社会公共利益和商业经济活动秩序的保护,其宗旨是追求个人信息资源的自由安全流动和合理有效利用。与此同时,在数字经济迅猛发展的今天,深度挖掘与自动处理技术提升了信息处理者对个人信息的分析应用能力,个人信息被广泛应用于创新市场营销、改进产品和服务、防范安全风险、完善公共治理、深化学术研究等多种用途,在创造出更大的经济价值和社会效用的同时,也蕴含着被非法使用和侵害信息主体乃至社会秩序和国家安全的潜在风险。因此,设定能够平衡和符合各方利益的包括刑法规范在内的个人信息使用规则,就显得尤其重要。可以预见的是,非法使用的涵盖范围越广,合理利用的空间就越小,尤其是刑法规制具有相当的威慑效应,当对“使用”的界定采取宽泛解释路径时,无疑会将现在未出现但未来可能出现的某些探索性和创新性使用行为涵盖进来,从而打击和妨碍个人信息和数据利用方面的探索性和创新性活动。因此,在个人信息非法“使用”的概念界定和涵盖范围存在限缩解释路径和宽泛解释路径的同时,不妨选择限缩解释路径,以更好地平衡个人权益和社会利益,在保护个人信息的同时促进信息资源的有效利用。
2.限缩解释路径的具体展开
在深度挖掘个人信息效用和充分提升个人信息应用价值的大数据时代,如何具体限缩解释“使用”的行为内涵,以合理界定“非法使用个人信息”犯罪的涵盖范围,身份权益保护提供了一个可参考借鉴的视角。在现代社会,身份是一种自我呈现的社会镜像,非法使用他人个人信息的行为,实际上是通过利用或控制他人在社会中已经呈现的形象或作为社会主体已经凝结的权益,将欲实施的行为后果转嫁于该主体之上或借助该主体的社会存在或其社会存在中所凝结的权益提供关键帮助以实现其欲实施的行为后果,侵犯了个人信息主体的身份权益,更扰乱了基于身份识别唯一性的社会信任机制和建立在个人身份“你是你,我是我”的基础上整个经济、政治、社会运转的秩序性。
正如有的学者所指出的,“个人信息保护的对象并不是个人信息本身,而是个人在各种社会关系中身份构建的自主性和完整性”。因此,对个人信息的使用不涉及侵害个人信息主体身份构建的自主性和完整性,不侵犯个人信息主体的身份权益本身的,应当排除在非法使用个人信息刑法规制的涵盖范围之外。那么,何为“侵害个人信息主体身份构建的自主性和完整性”和“侵犯个人信息主体的身份权益”?“身份识别”是个人信息的核心要素。我国《民法典》第1034条第2款对个人信息的界定“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”以及《个人信息保护法》第4条第1款对个人信息的界定“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息(经过处理无法识别特定自然人且不能复原的)”都是围绕自然人的识别性而展开。因此,可以将其界定为妨碍和混淆个人信息主体的身份识别性的行为,即通过对他人的个人信息的使用,从而使第三人对“识别所涉及的人是谁”产生错误认识的行为,而那些不会导致对身份的正确识别产生影响的个人信息的使用行为暂时不宜包含在非法使用个人信息刑法规制的涵盖范围内。
作者:陈玲(上海社会科学院法学研究所助理研究员、法学博士)