再次,在犯罪客观要件方面,《刑法修正案(七)》对侵犯个人信息犯罪的规定的确存在着前文中所提到的缺陷。从我国当前的立法现状来看,有关个人信息保护的完备法律体系尚未建立起来,各种现有规定或者过于原则、抽象,或者片面、零乱,缺乏可操作性和执行性。这种立法现状往往会产生严重问题:一方面,造成刑法规定的执行效果不理想而降低刑法威信;另一方面,由于“前置法”和刑法之间缺乏衔接,会产生对侵权行为“要么不追究、要追究就上刑罚”的不合理结果,与刑法介入社会生活的“最后性”或者“迫不得已性”相违背。所以,正如众多学者所呼吁的那样,我国应当借鉴国外的通行做法,尽快建立一套完备的个人信息保障法律体系,颁布我国的《个人信息保护法》来统一规范收集、处理和利用个人信息的行为。就学者们提出的进一步周延侵犯个人信息犯罪行为方式的意见,[8]笔者认为至少在当前并不具备将这些行为犯罪化的条件。虽然正如众多论者所言,“人肉搜索”等非法获取和使用个人信息的行为危害巨大,具备了行为入罪的基本条件;但是,就犯罪圈设定的整体标准而言,这些行为显然不具备入罪的“迫不得已性”以及适用刑罚的必要性和可行性[9]的要求,对其暂不入罪情有可原。如果在我国有关个人信息保护的“前置法”体系建立健全之后,仍不能通过非刑罚措施进行有效规制,方可对这些行为的犯罪化进行重新评估。
四、我国个人信息刑法保护立法的未来展望
根据前文的分析,我国对侵犯个人信息行为的犯罪化基本上顺应了社会的发展和对该行为的危害性进行抑制的需求,符合犯罪圈设定的理性标准。但是,以发展的眼光和“苛求”尽善尽美的考量出发,笔者依然需要对个人信息的刑法保护规定提出立法上的展望。
(一)根据需要适当地扩大犯罪主体的范围
在现实生活中,诸如中介、法律服务等机构及其工作人员乃至网络用户的侵犯个人信息行为可能会造成严重危害后果,在具体情境下也会大量出现。对此,从长远来看,适当扩大本罪的犯罪主体范围是不可避免的。但是,笔者认为这并不是否定《刑法修正案(七)》对犯罪主体规定之合理性的理由。因为《刑法修正案(七)》对该罪是一个开放性的规定,当入罪的需要产生之后,仍然存在着在不修改法律现有规定的前提下而对其他一般主体的侵害行为予以犯罪化处理的余地。
根据日本著名学者大谷实的见解,犯罪化包括立法上的犯罪化和刑罚法规解释适用上的犯罪化{16}。前者的含义勿需解释;后者亦即司法上的犯罪化,是指“在适用刑法时,将迄今为止没有适用刑法作为犯罪处理的行为,通过新的解释将其作为犯,罪处理”{17},“没有伸缩性的概念,就没有裁量的空间,不足以实现正义。……概言之,具有伸缩性的抽象性、一般性规定,不仅使司法上的犯罪化完全成为可能,而且能够使司法上的犯罪化没有超过刑法的抽象性、一般性概念的约束。”{17}《刑法修正案(七)》规定,“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处3年以下有期徒刑或者拘役,并处或者单处罚金。”可见,有关该罪犯罪主体的规定就是一个类型性、伸缩性的概念描述。随着其他主体侵犯个人信息行为的增多和社会危害性的增强,特别是随着调整这些主体个人信息保护义务规范的健全和完善,在必要和可行的情况下,立法者或者司法者可以随时通过颁布立法解释和司法解释的形式,对侵犯个人信息犯罪的主体要件进行填充,视情况将非特定主体纳入刑法视野,以满足刑事调整的需求。