金泽刚 王振华

摘要：在全面深化改革的时代背景下，保持金融信贷行业平稳发展、实现债权有效救济，对于维护社会整体和谐与稳定具有积极意义，但债权人及其辅助人（主要是债务催收机构）并不因此而天然具有私自获取、处理和使用债务人个人信息的权利，实质的刑法观念也不能为此类行为奠定合法性基础。比较来看，即便是在信息技术高度发展的网络社会，公民个人信息的获取、处理和使用必须征得权利人同意也依旧是世界各国立法的基本立场。结合这一现实，在我国当前从严保护公民个人信息的立法趋势下，合法性是债权救济过程中必须要遵守的首要原则，打击“老赖”需要社会各方面的配合与共同努力。

关键词：债权救济;个人信息保护;实质刑法观批判

中图分类号：D923.3 文献标识码：A 文章编号：1009-3060（2019）06-0101-13

法理学科学所关注的乃是实在法，或严格意义上的法律，而不考虑这些法律的善或恶。

——约翰·奥斯丁

一、问题的提出

根据上海财经大学高等研究院“中国宏观经济形势分析与预测”课题组2017年12月完成的一份课题报告，2017年我国经济在一些总量指标上呈现出向好的态势，工业企业利润回升，价格基本平稳，完成全年经济增长目标无碍。但是，经济发展不平衡不充分的问题依然严峻，金融系统结构性问题依旧存在，银行体系防范系统风险的能力在减弱。在债务方面，尽管之前地方政府和企业负债率较高的局面得到了较大幅度改善，但作为社会基本单元的个人家庭的负债比率却仍旧居高不下。另外，从央行发布的《2018年第二季度支付体系运行总体情况》中公布的数据来看，我国银行卡信贷的规模在持续扩大，但截至2018年第二季度末的信用卡逾期半年未偿信贷总额756.67亿元，环比增长6.35%，占信用卡应偿信贷余额的1.21%。通过这两组数据不难发现，虽然当前我国经济整体发展形势较好，但是银行业务，尤其是金融信贷业务却潜藏着巨大的危机和隐患——信贷业务的发展规模在持续扩大，但还款情况却不容乐观，如何把借贷出去的资金按期、如数收回成为摆在银行等金融机构面前最大的难题——债权救济问题由此产生并日益受到关注且至今热度不减。

本来，“欠债还钱，天经地义”是我国早已存在并为社会公众所广泛认同和践行的道义信条，如《唐律疏议·杂律》中就设置了“负债违契不偿”的罪名，当债务额没有达到价值三十匹绢帛的，超过了还债期限二十天以上的，最高刑罚可以判处杖责六十，如果债务额超过了价值一百匹绢帛的，则最多可杖责一百，这一制度也为后来明清时期的法律所沿袭。我国现行《合同法》第206条规定，“借款人应当按照约定的期限返还借款”。这些立法都说明按期、如数返还借款本金和利息是债务人的法定义务。但是，近年来随着我国物质生产水平的提高和经济的快速发展，由其所带来的“唯利至上”负面效应使这一传统观念逐渐错位，甚至被颠覆殆尽。在“债权一债务”关系中，本处弱势的债务人地位变相提升，演绎出“债务奴役债权”的奇怪现象，社会中具有偿还能力、但千方百计逃避到期债务的“老赖”不断增多，有些债务人甚至不把人民法院的生效判决放在眼里，想尽各种办法转移、隐瞒个人财产，阻碍司法執行，造成了极为恶劣的社会影响。“哪里有需要，哪里就有供给”，面对债权实现和救济过程中的重重困难，再考虑到通过民事诉讼、刑事诉讼等公权力救济方式来维护自身权益时严格的程序性、较长的周期性和较高的执行难度，部分债权人（既包括自然人，也包括银行等金融机构）就转而选择通过更为高效和经济的私力救济方式——债务催收机构——来维护自身的合法权益。

所谓债务催收，是指“在债务人出现逾期不能还款或构成违约的情形下，债权人以其自身名义或委托第三方债务催收者以债权人名义对未清偿款项进行收取的活动”。当今美国是用法律手段来规范职业债务催收行为较为先进的国家之一，该国在1977年就制定了《公平债务催收法》（“Fair DebtCollection Practices Act”），2010年又以《多德一弗兰克华尔街与消费者保护法案》的制定为契机，对该部法律的部分内容作了与债务催收行业最新发展相匹配、相适应的调整。根据美国某研究机构的一份调查报告，2013年美国的债务催收行业规模已达552亿美元，专门从事债务催收行业的从业人员约13.6万人，除去这些从业人员的收益，催收机构已累计帮助债权人收回了近449亿美元的债务。从债务催收行业在我国的发展现状来看，据不完全统计，目前在我国以催收债务作为主要经营项目的单位或者机构已有上千家，相关从业人员也已达到二三十万人。债务催收机构接受合法债权人的委托，在充分尊重债务人合法权益的前提下，通过商谈、沟通、劝导等非诉讼方式，在法律允许的界限内向债务人催要到期债务，对于化解不良资产累积风险，防范系统性金融风险，以及增加就业岗位和政府税收具有一定的积极意义。

但是，由于债务催收行业在我国尚属新生事物，国家还没有出台统一的法律法规，相关的行业规章也付之阙如，使得债务催收机构在我国虽属客观存在，但始终缺乏必要、有效的监管。作为一种市场主体，追逐经济利益是该种机构的本质特征，但也正是这一特点，使得债务催收行业在我国的发展过程中出现了严重的异化。曾在社会中引起广泛关注、造成极其恶劣影响的校园贷、培训贷、现金贷、“裸条”等事件背后，均隐藏着不当的债务催收行为。债务催收机构为了满足客户需求、尽快收回欠款，多数会选择通过各种途径获取债务人的身份证信息、电话号码、银行卡信息、家庭住址、工作单位等个人信息，然后再“有针对性”地实施各种催收行为。这种缺乏必要监管、稍显粗放甚至潜藏违法犯罪危机的工作方式，给债务人及其近亲属、朋友的个人信息保护、生活安宁与债权救济之间造成了紧张的对立关系，甚至引发群体事件和恶性暴力事件（如山东于欢案）。债务催收机构不当、无序的催收行为，“一头是直接暴力的极端化，另一头是慢性冷暴力的普遍化，不仅包括毁损门窗、非法拘禁、擅自公开资料等侵犯财产权与人身权益的行为，而且包括骚扰、跟踪等方式，不分时间、地点、场合地影响债务人正常的学习工作生活”，在使“债权人利益得以实现的同时，令债务人的权益却遭到一定程度的损害，严重影响了社会、经济的有序运行”。因此，如何规范化地实施催收行为，尤其是在保护债务人个人信息安全和救济债权之间实现平衡，就成为影响债务催收行业在我国继续存在和发展的关键要素。

还需指出的是，鉴于债务催收行业在维护社会稳定方面的积极效果，我国有学者指出，“债权人为实现债权获取恶意逃债的债务人的个人信息，具有实质合理性”，进而主张在公权力救济受阻、来不及或者不经济的情况下，应该允许债权人和债权辅助人在适当性原则的限制下获取债务人的个人信息以实现债权。换言之，该学者认为，为了保护合法债权，可以在一定程度上允许债权人及其辅助人（本文以下所称债权辅助人均指债务催收机构）私自获取债务人的个人信息。但本文认为，当前“老赖”的大量存在，确实是影响我国社会和谐的不稳定因素之一，让一部分债权人通过私力救济的方式维护自身的合法权益具有一定的合理性和必要性。但是，随着计算机、信息网络和移动互联网技术的不断发展，人类社会的信息化、数据化程度不断加深，大数据开启了一次重大的时代转型，这种变革力量从技术领域扩展到社会的各个层面，延伸到生活的各个角落。如何在保护个人信息、数据安全与实现社会发展之间找到平衡的问题在近几年受到了广泛的关注。尤其是进入“风险社会”以后，每个公民对安全威胁的切身感受都愈发强烈，与个人相关的信息和数据安全成为当代公民个人安全的新内涵，保护公民个人信息安全成为国家治理的新课题。在这样的时代背景下，如果允许债权人及其辅助人为了救济债权，可以通过多种方式私自获取债务人的个人信息，无疑会给我国公民个人信息保护现状又一沉重的打击。因此，下文将在与此种观点进行商榷的基础上，提出本文认为合理的债权人及其辅助人为了救济债权该如何获取、处理和使用债务人个人信息的可行方案。

二、允许债权人及其辅助人私自获取债务人个人信息

不具有合理性与合法性

目前，我国还未出台统一的债务催收法，债务催收行业还处于摸索阶段，市场准入门槛较低，部分从业人员素质较差，“除了少数催收机构通过工商部门登记注册外，大量机构以‘地下组织的形式存在，在互联网、报纸等媒体上以‘金融服务外包“法律咨询“债务追索等名义刊登广告信息，达到招揽业务的目的。同时，在人员组成方面十分复杂，部分催收人员系社会闲杂人员，并不具备从业所需的基本素质”，而且“催收机构主要通过电话、短信、信函、外访等方式提醒债务人及时还款。但是在实际操作中，部分催收机构为提高催收成功率而借助‘软暴力或‘硬暴力手段，通过不问断的短信及电话对债务人进行骚扰，甚至采用威胁恐吓、盯梢跟踪、扣押贵重物品、非法限制人身自由等手段逼迫债务人偿还欠款，严重影响了债务人的正常工作和生活，侵害了债务人合法权益”。由于监管法律的缺位，现阶段我国并不具有全面赋予债务催收行业以合法性的现实基础，而且该行业中部分从业人员不当的催收行为，已经严重影响了债务人及相关第三人正常的生活和工作秩序。在这样的现实背景下，如果再允许其私自获取债务人的个人信息，债务催收行业无疑会更加乱象丛生、难以监管。换言之，考虑到目前我国公民个人信息保护不力的局面。和债务催收行业的发展现状，允许债权人及其辅助人私自获取、处理和使用债务人的个人信息并不具有相当的合理性，也违背了近年来我国全面保护公民个人信息的立法趋势。另外，从理论上看，赞成债权人及其辅助人有权获取、处理和使用债务人个人信息的学者，对这一观点的论证似乎也并不充分，详言之如下。

1.允许债权人及其辅助人私自获取债务人个人信息与我国的立法发展相违背

经梳理，我国目前关于公民个人信息保护的规定散布于30余部法律法规、部门规章和司法解释当中。尽管存在法律位阶和用语表述上的不同，但这些规范性文件都对公民个人信息采取了严格保护的态度，其中又以民法和刑法两大部门法律最为典型。

（1）从民事法律的规定来看，最新颁布的《中华人民共和国民法总则》（以下简称《民法总则》）第111条规定，自然人的个人信息受法律的严格保护。在我国还未颁行统一的公民个人信息保护法的背景下，《民法总则》的规定无疑具有普遍的指导意义。该条的立法理由在于“突出强调个人信息的绝对安全，任何组织和个人不得非法搜集、使用、加工、传输、买卖、提供或公开，即使合法取得也要保证信息安全”。可见，立法者通过该法条所确立的基本原则在于，公民的个人信息是其个人的一项基本权益，任何个人和组织都必须加以尊重、不得侵犯。如确有正当理由，需要使用其他公民的个人信息，基本的前提在于“依法取得”，即获取人必须具有法定的资质（条件、资格）、具有法定的理由、通过法定的程序来取得，并且要保证被获取之公民个人信息的绝对安全和按照法律规定或事先约定的目的、用途和范围来使用。“民法以人为本位，以人的尊严为其伦理基础……最近数十年来，人口集中，交通便捷，媒体、网络传播广泛、普遍、深入，新科技器材如窃听器、远距离照相机、录影机、录像机、针孔摄像机等，使人格有随时遭受侵害的危险”，个人信息不受侵犯作为公民人格权的重要组成部分，《民法总则》为获取、处理和使用他人个人信息设置了严格的条件，“从严保护”是《民法总则》对待公民个人信息的基本态度。既然个人信息安全是公民的一项重要权益，那么就其内容而言，至少应该包含以下一些方面：信息保有、信息决定、信息知情、信息更正、信息锁定和个人信息保护，其中最重要的方属公民个人信息的保有权益，即“权益主体对于个人信息完全由自己保有，他人不得非法占有”。而對于该项权益的一般义务主体而言（即权益人之外的其他任何民事主体，包括自然人、法人和非法人组织），非经权益主体允许，均不得收集、使用、加工、传输他人个人信息，也不得非法买卖、提供或者公开他人个人信息，违反该义务的，应该承担相应的民事责任。

（2）从刑事法律的规定来看，我国最早在2009年就增设了专门保护公民个人信息的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个罪名。应该说，这两个罪名设立以后，使一大批出售、非法提供、非法获取公民个人信息的行为受到了刑罚处罚，有效保护了公民的个人信息安全。但是，经过几年的实践检验，这两个罪名也存在着一些亟待解决的问题，如：用语有重复之嫌（国家机关以及电信、金融、交通、教育、医疗等单位工作人员将在履行公务或者提供服务过程中获得的公民个人信息予以出售或者非法提供给他人已是非法行为，后面再说非法提供，就有立法重复之嫌），犯罪主体过于狭窄（随着科技的进步，人们生活范围的拓展，越来越多的单位有机会获取到公民的个人信息，如果再将本罪的主体进行列举式限制就明显滞后于时代发展的步伐），等。最为关键的是，“将出售、非法提供和非法获取公民个人信息的行为都规定为犯罪，确实可以规制大部分利用公民个人信息牟利的不法行为，但是，窃取或者以其他方法获取公民个人信息的行为，行为本身已经属于非法，如果再加上情节严重进行限制犯罪圈，将会使刑法对被害人的保护功能减弱，也不利于打击非法获取公民个人信息的行为”。于是，2015年《刑法修正案（九）》又对《刑法》第253条之一作出修改完善，如将“违反国家规定”修改为“违反国家有关规定”、扩大了本罪的主体范围、提升法定刑配置水平等。修改后，出售、非法提供公民个人信息罪和非法获取公民个人信息罪被整合为侵犯公民个人信息罪。2017年最高人民法院和最高人民检察院又联合出台《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，对侵犯公民个人信息罪在司法适用过程中可能出现的疑难问题的妥善解决给出了指导性意见。不难看出，从《刑法修正案（九）》开始，立法者总体上是朝着扩大犯罪圈，加大打击、处罚力度两个方向对侵犯公民个人信息罪进行修改完善的。自新法施行以来，侵犯公民个人信息的犯罪行为受到了各级公检法机关的高度关注，发案率、发案数均增长较快。据不完全统计，2015年11月至2016年12月，全国法院新收侵犯公民个人信息刑事案件（含出售、非法提供公民个人信息，非法获取公民个人信息刑事案件）495件，审结464件，生效判决人数697人。“从重、从严”处罚成为我国刑事立法和司法对待侵犯公民个人信息犯罪的基本立场。

从上述立法动态来看，严格保护是我国基本法律对待公民个人信息的核心思想，如果允许债权人及其辅助人在债权救济的场合下可以私自获取、处理和使用债务人的个人信息，无疑是给这一基本原则设置例外，是对我国法律发展潮流的一种背反。而且，从各地规范债务催收机构行为的法律法规的内容来看，多数是要求进一步规范银行等金融机构参与“现金贷”业务，如：上海监管部门出台的《关于规范在沪银行业金融机构与第三方平台合作信贷业务的通知（征求意见稿）》中就明确规定不良资产催收不得外包是以后监管的重点;深圳市互金协会发布的《网络借贷信息中介机构催收行为规范（征求意见稿）》提出了十条禁令，包括一天内联系借款人不得超过三次、严禁侮辱借款人、严禁向借款人和担保人以外的第三方进行催收、严禁在8：00-21：00之外的非正常时间段进行催收等等。国家法律对公民个人信息的严格保护和地方性法规、规章对债务催收行业的严格监管，使赞成债权人及其辅助人有权私自获取、处理和使用债务人个人信息的理论主张步履维艰。

2.实质刑法观不能作为债权人及其辅助人私自获取债务人个人信息的出罪依据

支持债权人及其辅助人有权私自获取、处理和使用债务人个人信息的学者认为，“一个行为究竟是合法还是非法，应当以实质的法益侵害作为判断标准，不能因是否有制定法的规定而有所不同”，这是一种典型的实质刑法观念。这种刑法观念的基本主张是，“刑法应建立以形式的、定型的犯罪论体系为前提，以实质可罚性为内容的实质犯罪论体系……应该强调形式上的罪刑法定原则是不充分的，构成要件符合性的判断，是从实质上判定是否存在达到值得科处刑罚的法益侵害。因此，对刑罚法规和构成要件的解释应该从这种实质角度进行”，即在判断出罪与入罪时，要以实质的法益侵害（社会危害）为标准，在特殊情形下，某种行为虽然处于构成要件用语的含义范围之内，但如果不具有实质的处罚必要性（法益侵害性和社会危害性），就应该做无罪处理。应该说，实质刑法观和形式刑法观作为我国刑法学理论中两种激烈对立的学说观点，其各自的基本主张、理论依据和优缺点，经过双方阵营多位学者的深入阐述，为众所知，本文在此也无意对此展开评述。但是，将实质刑法观念作为债权人及其辅助人有权私自获取、处理和使用债务人个人信息的理论依据时，至少存在以下一些不妥当之处而难以实现自洽：

（1）首先需要明确的是，无论是形式解释论还是实质解释论，都是对成立犯罪必须具备的条件（犯罪论）的一种解释方法。既然是对犯罪论的解释论，自然离不开对罪刑规范各本条所规定之构成要件的理解角度和解释方法。实质的刑法观念就此主张，“在刑罚法规的解释特别是构成要件的解释上，应当从处罚的合理性和必要性出发，换句话说，应当从当罚性这一实质的观点出发。按照这种观点，刑法是行为规范，但更应当是以法官为主体的裁判规范，是导入了实质的当罚性判断的裁判规范”。换言之，即便某行为表面上完全符合了罪刑条文规定的构成要件，但如果（法官认为）该行为不具有实质的当罚性，就应该作出罪解释。但问题是，在当前社会急剧发展变化的背景下（尤其是信息网络技术高度繁荣给传统刑法理论带来的强大冲击），构成要件的科学、合理解释本就存在相当的难度，如果在行为落入构成要件用语的含义范围之内时，再以不具有严重的社会危害性或者法益侵害性为理由做无罪处理，又如何能保证做到恰到好处（即犯罪圈的边界该如何确定且保持相对稳定）？如何来保证用以称量、区分“当罚”和“不当罚”的实质解释不会出现错误，并且不会因人而异（即如何保证法官不会出现判断错误且不同法官之间不会作出不同的判断）？具体而言，当债权人或债务催收机构为了追索欠款而私自获取、处理和使用债务人的个人信息时，鉴于不同案件具体情形的差异，如何提出或者构建一套行之有效且放之四海而皆准的出罪判断机制？尤其是当涉及民间借贷的问题时，如果债权人及其辅助人以私自获取债务人个人信息的方式追索债务，考虑到其不可避免的盲目性、自发性、逐利性与隐蔽性特点，加之法律漏洞和一些长期积累的问题，将大概率导致“民间借贷纠纷日益突出，甚至引发群体恶性事件，对国家金融安全造成冲擊，成为影响社会稳定的重要因素”。抛开罪刑条文的规定，形而上地判断某种行为的社会危害性和法益侵害性，得出的结论恐怕是见仁见智，并不是一种有效、可行的刑事归责思路，可能也有违背罪刑法定原则之嫌。

（2）实质的刑法观念主张，“要透过‘法律明文规定为犯罪行为的形式，致力于对刑法构成要件从实质合理角度进行解释，对于法虽有明文规定但规定本身不尽合理的构成要件，通过实质的刑法解释限制其适用，从而实现刑法处罚范围的合理化，充分实现罪刑法定的人权保障机能”。这种观念看似契合了当下所谓法益保护和人权保护的双重诉求，也就是除了法无明文规定不为罪的共同诉求外，还多了一层保护网——法虽有明文规定，也要看法益侵害是否达到了应受刑法处罚的程度。但问题恰恰也就出现在这里——这种严格的、忽视立法者意图的、偏主观的刑法解释方法，可能会产生新的变数和不休的争议。我国的立法者虽是一个集体，但却不能说人多就没有共识，也不能说人少就一定能更好地把握刑法的目的。通过上文所述的我国近来的立法趋势不难看出，对公民个人信息的绝对严格保护是立法者的共识，而部分持实质刑法观念的学者非要在债权救济的场合下给这一法律保护网开一道口子、设置例外情形，无疑是希冀通过司法者（理论学者）的智慧来对法律条文进行目的解释，但谁又能绝对保证这种解释比立法者的原意更科学、更加接近公平和正义？以我国出现的一起真实案件为例：

被告人刘傲鹏利用在重庆市公安局某分局某派出所继续担任文职工作的便利，多次秘密使用正式民警的数字证书，在公安网上查询大量公民个人信息，提供或者出售给他人。某日，被告人刘傲鹏又秘密使用民警数字证书查询李某2的家庭住址、家庭成员、名下车辆等信息，并将上述信息提供给冉某（刘的好友）用于追债。后冉某雇佣高某等人（某“金融服务外包”公司工作人员）利用冉某在刘傲鹏处获取的信息将李某2非法拘禁。最终，人民法院认为被告人刘傲鹏犯侵犯公民个人信息罪，判处有期徒刑五年，并处罚金八万元。[参见（2017）渝05刑终1044号判决书]

这是一起典型的通过非法途径获取个人信息，对债务人进行人身定位后索取到期债务的案件。如果按照支持者的观点，在此案件中，辩护人完全可以“被告人并非是为了牟利而获取公民个人信息，而是为了帮助合法债权人向债务人催讨钱款，被告人犯罪情节较轻，社会危害性不大”为理由，建议法院对刘傲鹏从轻处罚或不处罚，但是这样的结论恐怕不会有人愿意接受。“法律必须被信仰，否则它将形同虚设”，立法活动毕竟是在比较公开的运作模式下进行的，有较为科学和严格的立法程序，参与立法的机构和人员也相对比较不容易出现违背民意的情况。反之，“如果一味强调利用法律解释弥补法律缺陷，则缺陷所导致的麻烦可能暂时被掩盖，但由于法律解释发生在个案中，往往是对个人或者小众利益的直接触碰。一旦对结局不满，民众的怨愤和行动可能个人化或者地域性群化……”。也许目前我国针对债权保护的相关立法体系还不完备，打击“老赖”还不够有效和彻底，但解决这些难题的思路在于完善相关立法、改善司法效果，使得司法机关、相关行政机关对债权人的保护有法可依，公权力行使更加规范，对“老赖”相关权利的剥夺也于法有据，而不是为了实现债权保护的目的而忽略手段和方式的合法性（即允许债权人及其辅助人私自获取债务人的个人信息）。与其费尽心机寻找个案适用的法律解释结论，还不如选择相信既定法律之科学性和权威性，继而从宏观上研究法律完善的可行路径，而不是“头痛医头、脚痛医脚”式的就事论事。

（3）由于持实质刑法观的学者普遍承认罪刑法定原则具有形式和实质两个侧面，进而也就认为这两个侧面会不可避免地存在冲突，其中一个明显的冲突就是“法与情”这一永恒的矛盾体，即我国古人在《别本刑统赋解》所说的“法有限，情无穷”之矛盾——“先王立法置条，皆备犯事之情也。然人之情无穷，而法之意有限，以有限之法御无穷之情，则法之不及人情也”——这一矛盾在债权救济的场合中表现得尤为明显。“欠债还钱，天经地义”，在传统的“债权一债务”结构中，债权人无疑处于道德的制高点，债权人追索债务的行为只要没有明显超出必要的限度，都能够得到社会中大多数人的理解和支持，尤其是在当前“老賴”泛滥、债权实现愈发困难的社会背景下，债权人无疑更容易掌握舆论风向。为了救济合法债权，获取一些债务人的个人信息似乎也属情理之中，如果将此类行为作为犯罪处理，司法活动就显得过于呆板、不近乎人情。但是，在法治已成为当前世界各国共同选择的国家治理模式的背景下，如果还要考虑“法外容情”，可能并不是一种足够理性的选择，甚至可能带来更多的疑难问题。比如，法外所容之“情”具体是指什么类型的“情”？是将所有类型的“情”都考虑在内，还是只考虑其中的一部分？如果答案是前者，将导致法律的虚无，将会是整个法治体系的坍塌（因为在面对疑难问题时，根本不需要考虑法律的规定，以“情”出罪即可）;如果答案是后者，谁又能为法所容之“情”划定范围？在债权救济的场合可以考虑“法外容情”，那么在涉及家庭伦理关系的违法、犯罪行为时要不要考虑“法外容情”？可见，将形式上符合了刑法文字表述的行为通过实质的犯罪论和解释论进行出罪处理的想法和企图，并不具有实际的可操作性。“罪刑法定原则是在成文法的这一局限的基础上，不得已而作出的一种价值选择：即使牺牲实质合理性也要坚守形式合理性。”又或许可以认为，罪刑法定原则本就不存在形式和实质两个侧面，只要是符合了构成要件文字表述的行为，就是刑法要处罚的犯罪行为。“对于犯罪最强有力的约束力量不是刑罚的严酷性，而是刑罚的必定性”，对于该当了《刑法》第253条之一侵犯公民个人信息罪构成要件的行为，无论是出于追索债务的目的，还是出于单纯的牟利等其他任何种类的目的，都是刑罚要处罚的犯罪行为（当然，在宣告刑的裁量上可能存在差异）。“法治定力是中国特色社会主义现代化的核心定力之一，体现为党和人民对中国特色社会主义法治道路的自信和厉行法治、奉法强国的坚定信念”，在新时代背景下，依法治国原则已有了新的内涵和要求，但厉行法治始终是强国富民的根本保障，为实定法划定例外需慎之又慎。

3.债权救济不宜作为超法规的违法阻却事由

有学者认为，考虑到债权人及其辅助人私自获取债务人个人信息是出于保护自身合法权益的目的，与刑法中探讨的自救行为理论具有某种程度上的一致性和相似性，因而结合超法规的违法阻却事由，法理可以认为该种行为具有正当化依据。但本文认为，债权人及其辅助人为救济债权而私自获取、处理和使用债务人个人信息的行为，既不属于严格意义上的自救行为，债权救济也不能作为超法规的违法阻却事由。

（1）按照一般的理解，所谓自救行为，是指“法益受到侵害的人，根据自己的力量恢复自己权益的行为”。如自行车的主人在马路上从盗窃犯手中夺回自己数天之前丢失的自行车，债权人在机场将一直赖账、准备外逃的债务人扣押起来，等等。多数学者认为，自救行为要排除其社会危害性，必须具备法益侵害的现实性、时不可待性和方法的妥当性等条件，其中最主要的是“时不可待性”这一条件。该条件要求，“自我救助的时机就在眼前，稍纵即逝而无暇等待法律救助，或者通过必要的法律程序仍然明显恢复受到侵害的法益”。如在上文所举的两个案例当中，受害人如果不当场抢回被盗的自行车、不把即将外逃的“老赖”扣押起来，被侵害的权利短期内将难以得到恢复和保全。因此，“紧迫性”应成为自救行为合法化的最主要条件。而在债权救济的场合中，一方面，权利的保护还远远没有达到如果不私自获取、处理和使用债务人个人信息短期内就难以恢复的紧迫程度，权利人拥有充足的时间来向公权力机关寻求帮助（虽然目前我国法院生效裁判的执行效果不尽理想，但司法机关已经在着手改变这一现状，并取得了较为长足的进步，未来的发展也尽可期待）;另一方面，债务催收公司等辅助机构也可以在法律允许的范围内，发挥自身的专业优势，通过与债务人积极沟通、协商、谈判等方式来索要债款，而不是必须采取非法购买、获取债务人身份证信息、银行卡信息、财产状况、家庭及工作地址等个人信息，对债务人实行骚扰、人身定位乃至非法拘禁的方式。如果再考虑到私力救济方式潜藏的不确定、报复性和救济手段、方式、程度上的难控制性，还是不应该全面承认债权人及其辅助人有私自获取债务人个人信息的权利。另外，从债权人要求债务人归还欠款的请求权基础来看，除存在有效的合同外，还有着：①债务人必须违反义务，即他必须满足给付障碍的客观事实构成;②债务人对于该义务违反必须是可归责的;③债权人因此而受有损害等一系列的限制条件。在这些条件中，债务人是否具有客观的给付障碍，债务人对于义务违反是否具有免责事由，债权人是否因迟延给付而受有损失等，都需要结合现行法律的规定进行规范判断，在这些问题尚存争议之时就直接赋予债权人及其辅助人私自获取、处理和使用债务人个人信息的权利恐怕并不符合法治精神。概言之，由于不符合“紧迫性”的条件，债权人及其辅助人私自获取、处理和使用债务人个人信息的行为不能适用自救行为的法理予以正当化。

（2）根据目前逐渐占据我国刑法理论通说的阶层犯罪理论，犯罪的认定需要遵循构成要件符合性、违法性和有责性三个依次递进的阶段，一般而言，如果某种行为该当了罪刑条文规定的构成要件，就推定其具有违法性（构成要件的违法推定机能）。但是，在存在违法阻却事由的场合下，即使某行为该当了特定的构成要件，也会导致刑法上的禁止被解除、违法性丧失。按照有无刑法典的明文规定，又可将违法阻却事由分为法定的违法阻却事由和超法规的违法阻却事由。我国现行《刑法》显然没有规定债权人及其辅助人私自获取、处理和使用债务人个人信息的行为可以阻却违法，那么能否将其作为超法规的违法阻却事由呢？从大陆法系国家立法和判例所表达的立场来看，要想成为超法规的违法阻却事由，“必须把该行为的具体状况等诸般情况考虑在内，从全体法秩序的视角出发判断是否应该容许该行为”，具体而言包括目的的正当性、手段的相当性、法益的衡量和必要性、紧急性（补充性）四个主要的判断依据。就债权人及其辅助人私自获取、处理和使用债务人个人信息的行为而言，目的的正当性无疑可以得到肯定（为了实现债权），紧急性（补充性）的条件经上文的分析可知该行为并不完全满足。关于手段正当性的要求，显然是一种实质的判断，需要根据国民的规范意识，即“为了实现这样的目的，允许实施达到何种程度的行为”加以整体把握。不过从“欠债还钱”这一深入人心的传统观念来看，允许债权人获取一些债务人的个人基本信息，似乎也在情理之中。就法益衡量的要求来看，其能否作为超法规违法阻却事由判断的标准之一本就存在争议。原因在于，如果侧重于法益的权利和利益属性，该标准似乎切实可行。但是在一些实质的违法性阻却成为问题的案件中，这一要件几乎不起作用——在诸如债务人个人信息保护和债权人的债权（个人财产安全）之间，孰高孰低很难进行抽象的比较，实际上这一要件更多的只是起到了宏观指导的作用。结论是，由于债权救济并不满足成为超法规违法阻却事由的全部条件，因此债权人及其辅助人私自获取、处理和使用债务人个人信息的行为就不能适用该法理来解除违法性。

三、債务人个人信息严格保护前提下的债权救济

论述至此，本文的基本立场已然明了，即是主张出于救济债权目的而私自获取、处理和使用债务人个人信息的行为不能被合法化。但这种观点可能招致的批判是，难道债权人的合法权益就不被保护了吗？难道债务催收行业在我国就不能存在和发展了吗？答案当然是否定的——债权人的合法债权必须保护，债务催收行业在我国也具有存在和发展的基础和现实需要。但这二者的前提都在于依法进行，必须按照法律规定的方式寻求债权保护、谋求企业发展。如何在法律的框架内实现债权人权利保护和债务人个人信息安全之间的相互协调，就成为最后一个需要解决的问题。对此，本文的基本观点是，域外立法对公民个人信息普遍进行严格保护的有益经验值得借鉴，但在包括债权救济在内的特殊情形中，如果满足了法律规定的条件，就可以允许将个人信息获取、处理和使用的同意权由公民个人过渡到国家机关，以实现公民个人利益和国家利益、社会公共利益之间的平衡。

1.公民个人信息立法保护的域外经验

诚如学者所言，“大数据环境下，数据就是黄金，也是权力，企业和国家都蜕变为‘渴望数据的利维坦”。信息和网络技术高度繁荣所带来的大数据时代，既是个人获得全面自由发展的黄金时代，也是针对个人信息违法和犯罪行为最为多发的时代。20世纪后期以来，公民个人信息应受保护成为多数西方国家宪法中明确规定的内容，而后这些国家又以统一或分散立法的形式制定、颁行了独立的个人信息保护法。经过多年的摸索和实践，就公民个人信息的立法保护，基本形成了以欧盟、美国和日本三个国家或地区为代表的立法模式。

（1）欧盟“最严格保护”模式。作为全世界对个人隐私保护最为严格的地区之一，早在1995年，欧盟就发布了《个人数据保护指令》（“Directive 95/46/EC”），并将其直接适用于欧盟各成员国。但经过十多年的适用，随着数据挖掘和分析技术的不断提高，无论是个人信息的主体还是信息和数据的具体内容，在互联网公司面前都越来越“透明化”，《个人数据保护指令》已经难以适应时代发展对公民个人信息提出的更高等级的保护要求。另一方面，考虑到欧盟不同成员国家有关保护个人隐私的立法规定的“一体化”需要，2016年4月14日，欧洲议会投票通过了商讨近四年的《一般数据保护条例》（“General DataProtection Regulation”），该条例在欧盟官方杂志全文公布后，已于2018年正式生效。通过对新旧两部个人数据保护法令的对比可以看出，《一般数据保护条例》在《个人数据保护指令》已经对个人信息进行严格保护的基础上，将保护的力度和强度又提升一个等级，进而形成“史上最严格的数据保护条例”。欧盟立法对个人信息严格保护的态度较为明显地表现在：①保护对象范围的广泛性。除了姓名、地址、电话、邮箱、身份证件号码等数据外，生物信息（如医疗健康信息和指纹）、宗教信仰、政治观点、性取向等信息都被纳入应受保护的个人数据之列。②个人信息的获取必须经权利人同意。新通过的《一般数据保护条例》特别强调了网络用户的知情权和同意权。③非法获取、滥用个人数据处罚的严厉性。除了高额的罚款，如果涉及犯罪还会被追究刑事责任。可见，“最严格保护”是欧盟立法对待个人信息与数据的基本态度，而且无论是个人还是企业，获取、处理和使用公民个人信息都必须事先取得权利人的同意。

（2）美国“保护但有例外”模式。根据20世纪80年代经济合作开发组织理事会颁布的《关于保护隐私和个人数据国际流通的指南》，美国采取分散立法的模式，将有关个人信息保护的表述分散规定在不同法律和司法案例当中。在基础性立法方面，美国早在1974年就已通过生效的《隐私法》，该法对个人信息保护的影响最大，由其确立的个人信息权利包括：个人信息决定权、个人信息知情权以及个人信息更正修改权。而在普通立法层面，美国构建起了一套涵括侵权法、合同法和财产法等法律在内的完整体系，对公民隐私和个人信息的安全实行立体化的法律保护。同时，在网络个人信息保护方面，美国也走在了前端，如《金融服务现代化法案》就规定了金融机构处理个人私密信息的方式。可见，美国通过基础性立法和一系列的普通立法，构建起一张个人数据的保护网。但与欧盟对个人信息严格保护并基本不存在例外的模式相比，美国法律规定，在特殊情形下，出于维护公共利益的考虑（如根据司法机关的命令、要求提供个人记录）对公民个人信息保护可以存在例外。总体来看，对公民个人信息的获取和使用以征得权利人同意为前提，但在为了维护公共利益和秩序以及紧急情况下的特殊处理，成为美国在公民个人信息保护领域最大的立法特色。

（3）日本“立法与保护意识并重”模式。从立法史上看，1973年日本德岛市关于公民个人信息保护的立法探索开创了该领域地方立法的先河。从已有的判例来看，该国对个人信息的保护经历了一个从消极的“不打扰”到积极的“不随意被使用、被获取”的过程。2003年5月出台的《个人信息保护法》从日本的现实国情出发，并没有盲目效仿欧美等国对个人信息近乎严苛的保护，可谓“兼容欧美、又颇具自身特色”，在个人信息的保护和依法获取、使用之间找到了平衡点。在建立健全法制体系的同时，日本政府还高度重视培养、提高社会公众对他人个人信息的保护意识。不难看出，就公民个人信息的保护问题，日本政府通过立法确立了获取、处理、使用个人信息前的同意征求及“退出同意”等核心制度。除此之外，该国还特别注重对尊重、保护他人个人信息和数据意识的培养，个人信息和他人的生命、身体、财产一样受到严格的保护，这已逐渐成为深入人心的基本观念。

通过以上对欧盟、美国和日本现存的保护公民个人信息立法的简要阐述中可以看出，无论是哪一种立法模式（保护方式），对待公民个人信息均采严格保护的态度，区别仅在于，在严格保护的基本立场下是否允许存在例外以及在多大程度上存在例外。此外，日本政府重视培养公众尊重和保护他人个人信息意识的做法，能够起到从根本上减少侵犯他人个人信息违法犯罪行为的作用，显得格外引人注目。

2.债务人个人信息的严格保护与债权救济之间的有效平衡

自2012年12月28日通过《关于加强网络信息保护的决定》后，我国正式开始了个人信息全方位保护的立法之路，在之后多部法律的制定过程中，个人信息保护逐渐成为必备条款，尤其成为《消费者权益保护法》（2013年修订）、《网络安全法》（2016年11月颁布）等法律法规的重要内容。根据修改后《消费者权益保护法》第29条和《网络安全法》第22条的规定，收集和使用公民个人信息的前提在于必须取得被收集人同意，这也顺应了当前世界主要国家对公民个人信息进行严格保护的立法趋势和基本态度。这就意味着，未经同意收集、处理和使用公民的个人信息即构成违法，应该承担相应的民事法律责任，接受行政处罚措施。而根据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的规定，“违反法律、行政法规、部门规章有关公民个人信息保护的规定”，即是《刑法》第253条之一要求的“违反国家有关规定”。既然《中华人民共和国消费者权益保护法》《中华人民共和国网络安全法》中将同意视为收集和提供他人个人信息的必要条件，那么是否获得同意也就顺理成章地成为判定是否构成侵犯公民个人信息犯罪的重要标准。“如果法律没有被严格执行，无异于一纸空文。”目前，我国社会主义法制体系刚刚建立不久，法治目标的实现还需要进一步的努力，在无论是刑法、民法、经济法等基本法律，还是其他法律规章都将公民个人信息的保护提高到前所未有高度的立法背景下，司法的任务就在于保障立法目的的实现。因此，未经同意收集、处理和使用他人个人信息的行为就是违法乃至犯罪行为，而不论行为人是出于救济债权的目的还是转让牟利的目的。债权人及其辅助人如果想要获取、处理和使用债务人的个人信息，就必须获得债务人的同意。但这种模式在债权救济等特殊场合下又明显会陷入两难境地——债权人及其辅助人之所以想要获取债务人的个人信息，多是因为找不到债务人而使债务履行请求权的行使陷入困境，那么债权人及其辅助人又如何能取得债务人的同意呢？

以上的事实说明，就公民个人信息的严格保护与合理利用问题，我国目前存在着法律规定与实践需求之间严重脱离的困境。因此，如何在遵守法律规定和实现目的之间寻求平衡就成为问题解决的关键——现实要求国家机关挺身而出并承担起更为重要的角色。事实上，我国部分省市已经就此问题进行过有益的探索。如2017年9月，河北省第十二届人民代表大会常务委员会第三十二次会议通过了《河北省社会信用信息条例》（以下简称《条例》）并其已于2018年1月正式生效。《条例》第1条规定，“为规范社会信用信息的归集、披露、使用，加强社会信用信息管理，维护社会信用信息安全，实现社会信用信息资源共享，保障自然人、法人和非法人组织的合法权益，推进社会信用体系建设……制定本条例”。由此可见，《条例》制定的目的就在于化解目前维护权利人合法利益和义务人个人信息也需要保护之间存在的矛盾——事先由特定的专门机关将政府职能部门、企业法人、自然人等主体的公共信用信息加以搜集、整理和归类，在社会公众或者相关权利人需要查询时，再依照《条例》规定的程序获取。《条例》第19条规定，“公共信用信息通过依法公开、政务共享、授权查询的方式在社会信用信息平台进行披露”，明确了对于不同类型的公共信用信息有着不同的获取方式和程序——对于属于依法公开的公共信用信息，公众可以通过政府公报、新闻发布会、互联网、报刊、广播和电视等途径获取，而对于必须经授权查询的公共信用信息，权利人则应当依法通过提供复制件、安排查阅相关资料等适当形式获取。这种实践探索为本文讨论的主题提供了一种新的思路——在特定情况下，将公民个人信息的获取、处理和使用审批权（同意权）交由特定的国家机关来行使，即实现公民个人信息获取、处理和使用权由个人同意向社会（国家）同意之间的过渡。具体而言，在借款合同签订之前，贷款人可以要求借款人将其自身的公共信用信息提前录入所在地的公共信用信息目录（已经录入的可以提供录人证明），在债务人到期不归还借款时，债权人就可以向特定的国家机关提交查阅债务人公共信用信息的申请和能够证明债权合法存在的相关材料。该国家机关在对债权人及其辅助人的申请和证明材料进行实质审查后，如果满足法律规定的条件，即可将债务人的公共信用信息交由债权人或其辅助人使用，并负责监督债务人的个人信息是否按照规定的用途被合法、正当使用。总体上看，本文倡导的是将获取债务人个人信息作为一种债权救济的常规方法，但是这种方法必须是在有国家公权力机关参与和监督的前提下依法使用的，从而可以有效避免当前债务催收行业存在的乱象。其实，本文的这一主张与由欧盟提出的要建立专门的个人信息保护机构的思路基本相同，与英国的信息专员、德国的数据保护专员以及常设为内阁咨询机关的日本个人信息保护审查会等机构也具有异曲同工的效果，都在于强调设置专门的独立机构来处理、化解公民个人信息保护和在一些特殊场合中又必须对特定公民个人信息加以收集、处理和使用之间的矛盾。本文的这一思路至少具有四个方面的优势：一是顺应了当前国际社会保护公民个人信息的主要趋势;二是完全符合了我国现行法律的规定，避免出现为了实现目的而忽略手段正当性的弊端;三是能够确保债务人的个人信息被合理、合法地获取和使用，有利于降低侵犯公民个人信息犯罪的发生率;四是有利于规范债务催收工作人员的催收行为，逐步改善该行业在社会公众心目中的形象，推动其早日走上规范化、制度化的道路。至于具体应该由哪个国家机关来负责这一工作，《条例》也给我们提供了思路——《条例》第5条规定，“省人民政府发展改革部门是本省社会信用信息工作主管部门，负责本行政区域社会信用信息综合协调和监督管理工作。省人民政府教育、工信、公安、环保、住建、商務、民政、质监、工商等部门，省高级人民法院、省人民检察院，中国人民银行石家庄中心支行应当在各自职责范围内做好社会信用信息相关管理工作”。按照这种观点，未来可以构建由各省政府发展改革部门牵头，省人民政府教育、工信、公安、环保、住建、商务、民政、质监、工商等部门积极配合的公共信用信息收集、归类、管理、披露体系。

此外，之所以会出现债权人私自获取债务人个人信息的行为，源头还是在于债权实现得不到保障。因此，为了从根本上减少此类行为并维护社会整体环境的和谐与稳定，在加强对全社会进行尊重他人个人信息教育的同时，还必须进一步加大对“老赖”的打击力度，逐步压缩其存在空间，绝不能让其产生有恃无恐的心理。从司法上看，需要司法机关挺身而出，提高司法效率，使每一份判决都落到实处，彻底解决执行难的问题。对于一些想尽各种办法隐瞒、转移财产，拒不履行生效判决的被执行人或债务人，可适当追究其法律责任，情节严重的，可以依《刑法》第313条规定的“拒不执行判决、裁定罪”追究其刑事责任。在被执行人名下确实没有任何现实财产可供执行的案件中，通过划扣被执行人的住房公积金，微信、支付宝余额宝中的余额，养老保险金等存款来清偿债务也不失为一条可供选择的路径;从其他国家机关的角度来看，要尽快建立全国范围内的失信被执行人曝光查询平台并及时进行数据更新，限制“老赖”特定类型的消费行为，限制其进入特定的场所、限制其从事特定的行为（如乘坐高铁、飞机等）、限制其从事特定的行业。可喜的是，目前我国在此已做出有益的探索，如2017年10月11日，中宣部、最高人民法院、银保监会就联合下发通知，要求各地有关部门认真学习、借鉴江西省“法媒银·失信被执行人曝光台”的经验，积极发挥网络和人民群众的监督作用，让更多的社会公众了解并参与到打击“老赖”的工作中来，充分发挥网络时代自媒体的有益效果，使“老赖”无处遁形，切实保护债权人的合法权益。

四、结语

在大数据和信息化的时代背景下，“债权一债务”关系呈现出新的特点，同时也面临着更为艰巨的挑战——尤其是在债务催收机构作为债权辅助人参与到这一过程中来——债权救济和债务人个人信息保护之间呈现出紧张的对立状态。目前，从严保护公民个人信息是世界其他国家普遍采用的立场，也是近年来我国基本法律的发展趋势，公民个人信息与生命、身体和重大财产安全一样，都是其基本权利（益）的内涵所在。债权需要及时、有效的救济，债务人的个人信息也需要全方位的保护，如何实现二者的平衡成为我国立法、司法、行政机关需要尽快解决的难题。应该说，社会由个人组成，个人是社会中的个人，个人的全面自由发展离不开社会整体的和谐与稳定。因此，面对欠债不还，千方百计隐瞒、转移财产，甚至不把人民法院生效判决放在眼里的“老赖”，将获取、处理、使用其个人信息的同意权由他本人过渡到国家机关，在特殊情形下，允许债权人通过合法途径获取和使用其个人信息，无疑是兼顾个人发展与社会和谐稳定的一种折中路径。当然，这也不是解决问题的根本途径，尽快制定、颁行统一的《个人信息保护法》《社会信用法》和《债务催收法》（及行业规章）等专门法律，提高司法效率，培養社会公众尊重他人隐私权、保护他人个人信息的法治思维，才是保护公民个人信息、推进我国社会治理向法治化迈进的根本保障。