三、我国侵犯个人信息犯罪立法的理性反思
虽然各界对于刑法将侵犯个人信息行为入罪都普遍持赞同和欢迎的态度,但是对侵犯个人信息行为犯罪化的具体规定仍然存在一些争议:第一,认为侵犯个人信息犯罪主体范围的规定不合理,主张扩大侵犯个人信息犯罪主体的范围{13};第二,认为个人信息的范围不明确,要求统一个人信息的内涵和外延的界定{14};第三,认为犯罪客观方面的规定有待进一步优化,要求健全“前置法”,并将“人肉搜索”等行为入罪{15}。
虽然上述的各种质疑有其积极、科学的一面,但笔者认为论者欠缺对立法意图和根据的理性反思:
首先,从现实来看,虽然对该罪的犯罪主体进行限制似乎有失公允,然而刑法规定的合理性是勿庸置疑的。不像国家机关等单位的工作人员有诸多“前置法”的保护个人信息具体义务的规定,[5]其他组织和人员对公民个人信息的保护义务往往没有“前置法”的明确规定,其义务主要散见于《宪法》和《民法通则》等法律中的原则性规定。这些规定既不健全,也没有形成体系,因而很难说“前置法”对这些主体侵害行为的调整是无效的。同时,在现实中非特殊主体以外的其他人员侵犯个人信息的行为并不是时常发生,或者虽然数量较多但是欠缺刑罚追诉的可操作性,对其适用刑罚的成本较高,可行性较低。根据犯罪圈设定的“必要且最小”的要求,并结合我国当前的实际情况,除国家机关、金融、电信、交通、教育、医疗等之外的其他单位及其工作人员,还不宜纳入犯罪圈范围。等到时机成熟以后,可以通过刑法立法解释或者司法解释的形式,根据需要适当扩大侵犯个人信息犯罪的主体范围。
其次,“个人信息”范围的界定和立法者立法时的价值取向密切相关,不能主观臆断。如前文所述,在个人信息上附载着人格权、隐私权、财产权甚至公共利益等多重权益,因而立法者在制定个人信息保护的法律时就必须选择是以何种权益的保护为主,亦即对立法价值取向予以预设。[6]众所周知,立法者在立法时的价值取向影响甚至决定着法律条文的解读与适用。在《刑法修正案(七)》将侵犯个人信息行为入罪之时,立法者将该类犯罪的两个罪名放在《刑法》第253条之一进行规制,体现着对个人隐私权保护的价值追求。既然侵犯个人信息行为犯罪化的价值取向是对公民隐私权的保护,那么《刑法修正案(七)》所规定的两个犯罪中“个人信息”的范围就比较容易界定了,即并非所有的个人信息都是刑法调整的对象,只有个人信息中体现着个人隐私权的那一部分信息才属于刑法保障的范围。[7]当然,《刑法修正案(七)》的这一规定是否合理,还需要在实践中进一步检验。